VPN und Zwangstrennung Provider

Einrichten des lokalen Netzes, Verbindung zu anderen Computern und Diensten.
Antworten
mat6937
Beiträge: 3415
Registriert: 09.12.2014 10:44:00

Re: VPN und Zwangstrennung Provider

Beitrag von mat6937 » 04.02.2016 21:50:33

grosser hat geschrieben: Jup, beim Client sind auch diese Meldungen zu finden.
Ich habe aber nicht gefragt, ob diese Meldungen beim Client (auch) zu finden sind, denn diese Meldungen sind ja vom Client.

Es geht darum ob diese Meldungen beim Client auch dann zu finden sind, wenn der Client mit dem Server (richtig) verbunden ist (d. h., wenn der VPN-Tunnel funktioniert).

EDIT:

Siehe auch diese FAQ von OpenVPN: https://community.openvpn.net/openvpn/w ... s-with-tls
Debian 12.9 mit LXDE, OpenBSD 7.6 mit i3wm, FreeBSD 14.1 mit Xfce
Nach oben
grosser
Beiträge: 58
Registriert: 03.02.2016 07:24:42

Re: VPN und Zwangstrennung Provider

Beitrag von grosser » 05.02.2016 05:10:45

mat6937 hat geschrieben:
grosser hat geschrieben: Jup, beim Client sind auch diese Meldungen zu finden.
Ich habe aber nicht gefragt, ob diese Meldungen beim Client (auch) zu finden sind, denn diese Meldungen sind ja vom Client.

Es geht darum ob diese Meldungen beim Client auch dann zu finden sind, wenn der Client mit dem Server (richtig) verbunden ist (d. h., wenn der VPN-Tunnel funktioniert).

EDIT:

Siehe auch diese FAQ von OpenVPN: https://community.openvpn.net/openvpn/w ... s-with-tls
Sorry, falsch geantwortet.
Ob es bei bestehender Verbindung auch so ist muss ich noch mal prüfen.

Nach den Änderungen auf folgende Config am Server

Code: Alles auswählen

dev tun
proto udp
port 4624
ca /etc/openvpn/easy-rsa2/keys/ca.crt
cert /etc/openvpn/easy-rsa2/keys/server.crt
key /etc/openvpn/easy-rsa2/keys/server.key
dh /etc/openvpn/easy-rsa2/keys/dh2048.pem
user nobody
group nogroup
server 10.8.0.0 255.255.255.0
persist-key
persist-tun
status /mnt/Log/vpn/openvpn-status.log
verb 3
tls-server
auth RSA-SHA256
cipher AES-256-CBC
push "redirect-gateway def1 bypass-dhcp"
#set the dns servers
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 8.8.4.4"
log-append /mnt/Log/vpn/openvpn
comp-lzo
duplicate-cn
keepalive 10 120
erhalte ich folgende Meldungen im Log des Severs

Code: Alles auswählen

Fri Feb  5 02:33:49 2016 Client/79.238.237.130:56250 TLS: tls_process: killed expiring key
Fri Feb  5 02:33:51 2016 Client/79.238.237.130:56250 TLS: soft reset sec=0 bytes=418628/0 pkts=3112/0
Fri Feb  5 02:33:52 2016 Client/79.238.237.130:56250 VERIFY OK: depth=1, C=US, ST=CA, L=SanFrancisco, O=Fort-Funston, OU=MyOrganizationalUnit, CN=Pogoplug, name=EasyRSA, emailAddress=me@myhost.mydomain
Fri Feb  5 02:33:52 2016 Client/79.238.237.130:56250 VERIFY OK: depth=0, C=US, ST=CA, L=SanFrancisco, O=Fort-Funston, OU=MyOrganizationalUnit, CN=vusolojs, name=EasyRSA, emailAddress=me@myhost.mydomain
Fri Feb  5 02:33:53 2016 Client/79.238.237.130:56250 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Fri Feb  5 02:33:53 2016 Client/79.238.237.130:56250 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Fri Feb  5 02:33:53 2016 Client/79.238.237.130:56250 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Fri Feb  5 02:33:53 2016 Client/79.238.237.130:56250 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Fri Feb  5 02:33:53 2016 Client/79.238.237.130:56250 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 2048 bit RSA
Fri Feb  5 03:05:45 2016 Client1/91.13.97.217:59764 [Client1] Inactivity timeout (--ping-restart), restarting
Fri Feb  5 03:05:45 2016 Client1/91.13.97.217:59764 SIGUSR1[soft,ping-restart] received, client-instance restarting
Fri Feb  5 03:05:51 2016 Client/79.238.237.130:56250 [Client] Inactivity timeout (--ping-restart), restarting
Fri Feb  5 03:05:51 2016 Client/79.238.237.130:56250 SIGUSR1[soft,ping-restart] received, client-instance restarting
Fri Feb  5 05:12:09 2016 event_wait : Interrupted system call (code=4)
Fri Feb  5 05:12:09 2016 /sbin/ip route del 10.8.0.0/24
RTNETLINK answers: Operation not permitted
Fri Feb  5 05:12:09 2016 ERROR: Linux route delete command failed: external program exited with error status: 2
Fri Feb  5 05:12:09 2016 Closing TUN/TAP interface
Fri Feb  5 05:12:09 2016 /sbin/ip addr del dev tun0 local 10.8.0.1 peer 10.8.0.2
RTNETLINK answers: Operation not permitted
Fri Feb  5 05:12:09 2016 Linux ip addr del failed: external program exited with error status: 2
Fri Feb  5 05:12:09 2016 SIGTERM[hard,] received, process exiting
Fri Feb  5 05:12:10 2016 OpenVPN 2.3.4 i586-pc-linux-gnu [SSL (OpenSSL)] [LZO] [EPOLL] [PKCS11] [MH] [IPv6] built on Dec  1 2014
Fri Feb  5 05:12:10 2016 library versions: OpenSSL 1.0.1k 8 Jan 2015, LZO 2.08
Fri Feb  5 05:12:10 2016 Diffie-Hellman initialized with 2048 bit key
Fri Feb  5 05:12:10 2016 Socket Buffers: R=[163840->131072] S=[163840->131072]
Fri Feb  5 05:12:10 2016 TCP/UDP: Socket bind failed on local address [undef]: Address already in use
Fri Feb  5 05:12:10 2016 Exiting due to fatal error
EDIT:
Die TLS Fehlermeldung kommt auf dem Client auch ab und an bei bestehender Verbindung (aufgebauten Tunnel).

Puh, irgendwie wird es langsam schwer das alles zu überblicken
Zuletzt geändert von grosser am 05.02.2016 06:37:03, insgesamt 1-mal geändert.
Nach oben
Benutzeravatar
orcape
Beiträge: 1530
Registriert: 07.11.2008 18:37:24
Wohnort: 50°36'23.99"N / 12°10'20.66"E

Re: VPN und Zwangstrennung Provider

Beitrag von orcape » 05.02.2016 06:31:56

Cipher 'BF-CBC'
...am Client noch anpassen. Muß genauso aussehen wie beim Server.
Nach oben
grosser
Beiträge: 58
Registriert: 03.02.2016 07:24:42

Re: VPN und Zwangstrennung Provider

Beitrag von grosser » 05.02.2016 06:44:03

orcape hat geschrieben:
Cipher 'BF-CBC'
...am Client noch anpassen. Muß genauso aussehen wie beim Server.
Bin der Meinung das hab ich gemacht, prüfe das aber gleich noch mal wenn ich an den Client rankomme.

Danke schon mal für die viele Zeit die Ihr hier investiert.
Nach oben
mat6937
Beiträge: 3415
Registriert: 09.12.2014 10:44:00

Re: VPN und Zwangstrennung Provider

Beitrag von mat6937 » 05.02.2016 09:16:18

grosser hat geschrieben: Bin der Meinung das hab ich gemacht, prüfe das aber gleich noch mal wenn ich an den Client rankomme.
Du hast aber mehrere Clients:
Fri Feb 5 03:05:45 2016 Client1/91.13.97.217:59764 [Client1] Inactivity timeout (--ping-restart), restarting
Fri Feb 5 03:05:45 2016 Client1/91.13.97.217:59764 SIGUSR1[soft,ping-restart] received, client-instance restarting

Fri Feb 5 03:05:51 2016 Client/79.238.237.130:56250 [Client] Inactivity timeout (--ping-restart), restarting
Fri Feb 5 03:05:51 2016 Client/79.238.237.130:56250 SIGUSR1[soft,ping-restart] received, client-instance restarting
D. h., Du musst das bei allen Clients so konfigurieren/eintragen.


BTW: Aus deinen Logs ist auch ersichtlich, dass Du kein(e) Zertifikat(e) erstellt hast, sondern nur welche(s) übernommen hast und das ist nicht gut. Z. B. bei dir:
Wed Feb 3 19:01:31 2016 VERIFY OK: depth=0, C=US, ST=CA, L=SanFrancisco, O=Fort-Funston, OU=MyOrganizationalUnit, CN=server, name=EasyRSA, emailAddress=me@myhost.mydomain
Erstelle das Zertifikat für den Server und trage (mindestens) bei CN (common name) das ein, was Du in der config des Clienten, in der Zeile:

Code: Alles auswählen

remote xxxxxxxxxxxxxxxxxxxx 4624
ausgeixt hast.
Debian 12.9 mit LXDE, OpenBSD 7.6 mit i3wm, FreeBSD 14.1 mit Xfce
Nach oben
grosser
Beiträge: 58
Registriert: 03.02.2016 07:24:42

Re: VPN und Zwangstrennung Provider

Beitrag von grosser » 05.02.2016 11:12:08

Hab jetzt alles auf Anfang gesetzt, die Zertifikate für den Server und auch für den Client.
Zum testen hab ich erstmal nur einen Client mit Zertifikat.
Server Zertifikat ist wie von mat6937 beschrieben erstellt.

Soeben eine Zwangstrennung durchgeführt und der Client verbindet sich wieder nicht. Irgendwie merkt sich der Client die alte IP und scheint diese nicht erneut über die dyndns abzufragen.
So würde ich das zumindest aus dem Log hier verstehen

Code: Alles auswählen

Fri Feb  5 10:51:35 2016 event_wait : Interrupted system call (code=4)
Fri Feb  5 10:51:35 2016 /sbin/ip route del 10.8.0.0/24
Fri Feb  5 10:51:35 2016 /sbin/ip route del 91.38.154.135/32
Fri Feb  5 10:51:35 2016 /sbin/ip route del 0.0.0.0/1
Fri Feb  5 10:51:35 2016 /sbin/ip route del 128.0.0.0/1
Fri Feb  5 10:51:35 2016 Closing TUN/TAP interface
Fri Feb  5 10:51:35 2016 /sbin/ip addr del dev tun0 local 10.8.0.6 peer 10.8.0.5
Fri Feb  5 10:51:35 2016 SIGTERM[hard,] received, process exiting
Fri Feb  5 10:52:13 2016 OpenVPN 2.3.6 mipsel-oe-linux-gnu [SSL (OpenSSL)] [LZO] [EPOLL] [MH] [IPv6] built on Nov 13 2015
Fri Feb  5 10:52:13 2016 library versions: OpenSSL 1.0.2a 19 Mar 2015, LZO 2.09
Fri Feb  5 10:52:13 2016 WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
Fri Feb  5 10:52:13 2016 WARNING: file '/etc/openvpn/client.key' is group or others accessible
Fri Feb  5 10:52:13 2016 Socket Buffers: R=[163840->131072] S=[163840->131072]
Fri Feb  5 10:52:14 2016 UDPv4 link local: [undef]
Fri Feb  5 10:52:14 2016 UDPv4 link remote: [AF_INET]91.38.154.135:4624
Fri Feb  5 10:52:14 2016 TLS: Initial packet from [AF_INET]91.38.154.135:4624, sid=38412152 7792ccaa
Fri Feb  5 10:52:14 2016 VERIFY OK: depth=1, C=DE, ST=CA, L=Slepo, O=Fort-Funston, OU=MyOrganizationalUnit, CN=Debian-MS, name=EasyRSA, emailAddress=me@myhost.mydomain
Fri Feb  5 10:52:14 2016 VERIFY OK: depth=0, C=DE, ST=CA, L=Slepo, O=Fort-Knox, OU=MyOrganizationalUnit, CN=meine.dyndns.biz, name=EasyRSA, emailAddress=me@myhost.mydomain
Fri Feb  5 10:52:15 2016 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Fri Feb  5 10:52:15 2016 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Fri Feb  5 10:52:15 2016 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Fri Feb  5 10:52:15 2016 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Fri Feb  5 10:52:15 2016 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 2048 bit RSA
Fri Feb  5 10:52:15 2016 [meine.dyndns.biz] Peer Connection Initiated with [AF_INET]91.38.154.135:4624
Fri Feb  5 10:52:18 2016 SENT CONTROL [meine.dyndns.biz]: 'PUSH_REQUEST' (status=1)
Fri Feb  5 10:52:18 2016 PUSH: Received control message: 'PUSH_REPLY,redirect-gateway def1 bypass-dhcp,dhcp-option DNS 8.8.8.8,dhcp-option DNS 8.8.4.4,route 10.8.0.0 255.255.255.0,topology net30,ping 10,ping-restart 120,ifconfig 10.8.0.14 10.8.0.13'
Fri Feb  5 10:52:18 2016 OPTIONS IMPORT: timers and/or timeouts modified
Fri Feb  5 10:52:18 2016 OPTIONS IMPORT: --ifconfig/up options modified
Fri Feb  5 10:52:18 2016 OPTIONS IMPORT: route options modified
Fri Feb  5 10:52:18 2016 OPTIONS IMPORT: --ip-win32 and/or --dhcp-option options modified
Fri Feb  5 10:52:18 2016 ROUTE_GATEWAY 192.168.2.1/255.255.255.0 IFACE=eth0 HWADDR=00:1d:ec:0a:30:c1
Fri Feb  5 10:52:18 2016 TUN/TAP device tun0 opened
Fri Feb  5 10:52:18 2016 TUN/TAP TX queue length set to 100
Fri Feb  5 10:52:18 2016 do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
Fri Feb  5 10:52:18 2016 /sbin/ip link set dev tun0 up mtu 1500
Fri Feb  5 10:52:18 2016 /sbin/ip addr add dev tun0 local 10.8.0.14 peer 10.8.0.13
Fri Feb  5 10:52:18 2016 /sbin/ip route add 91.38.154.135/32 via 192.168.2.1
Fri Feb  5 10:52:18 2016 /sbin/ip route add 0.0.0.0/1 via 10.8.0.13
Fri Feb  5 10:52:18 2016 /sbin/ip route add 128.0.0.0/1 via 10.8.0.13
Fri Feb  5 10:52:18 2016 /sbin/ip route add 10.8.0.0/24 via 10.8.0.13
Fri Feb  5 10:52:18 2016 Initialization Sequence Completed
Fri Feb  5 10:58:53 2016 [meine.dyndns.biz] Inactivity timeout (--ping-restart), restarting
Fri Feb  5 10:58:53 2016 SIGUSR1[soft,ping-restart] received, process restarting
Fri Feb  5 10:58:53 2016 Restart pause, 2 second(s)
Fri Feb  5 10:58:55 2016 WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
Fri Feb  5 10:58:55 2016 Socket Buffers: R=[163840->131072] S=[163840->131072]
Fri Feb  5 10:58:56 2016 UDPv4 link local: [undef]
Fri Feb  5 10:58:56 2016 UDPv4 link remote: [AF_INET]91.38.154.135:4624
Fri Feb  5 10:59:56 2016 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Fri Feb  5 10:59:56 2016 TLS Error: TLS handshake failed
Fri Feb  5 10:59:56 2016 SIGUSR1[soft,tls-error] received, process restarting
Fri Feb  5 10:59:56 2016 Restart pause, 2 second(s)
Fri Feb  5 10:59:58 2016 WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
Fri Feb  5 10:59:58 2016 Socket Buffers: R=[163840->131072] S=[163840->131072]
Fri Feb  5 10:59:58 2016 UDPv4 link local: [undef]
Fri Feb  5 10:59:58 2016 UDPv4 link remote: [AF_INET]91.38.154.135:4624
Fri Feb  5 11:00:58 2016 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Fri Feb  5 11:00:58 2016 TLS Error: TLS handshake failed
Fri Feb  5 11:00:58 2016 SIGUSR1[soft,tls-error] received, process restarting
Fri Feb  5 11:00:58 2016 Restart pause, 2 second(s)
Fri Feb  5 11:01:00 2016 WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
Fri Feb  5 11:01:00 2016 Socket Buffers: R=[163840->131072] S=[163840->131072]
Fri Feb  5 11:01:00 2016 UDPv4 link local: [undef]
Fri Feb  5 11:01:00 2016 UDPv4 link remote: [AF_INET]91.38.151.76:4624
:facepalm:
Nach oben
Benutzeravatar
MSfree
Beiträge: 11748
Registriert: 25.09.2007 19:59:30

Re: VPN und Zwangstrennung Provider

Beitrag von MSfree » 05.02.2016 11:22:52

grosser hat geschrieben:Irgendwie merkt sich der Client die alte IP und scheint diese nicht erneut über die dyndns abzufragen.
So würde ich das zumindest aus dem Log hier verstehen

Code: Alles auswählen

Fri Feb  5 10:52:14 2016 UDPv4 link remote: [AF_INET]91.38.154.135:4624
Fri Feb  5 10:52:14 2016 TLS: Initial packet from [AF_INET]91.38.154.135:4624, sid=38412152 7792ccaa
Fri Feb  5 10:52:15 2016 [meine.dyndns.biz] Peer Connection Initiated with [AF_INET]91.38.154.135:4624
Fri Feb  5 10:58:56 2016 UDPv4 link remote: [AF_INET]91.38.154.135:4624
Fri Feb  5 10:59:58 2016 UDPv4 link remote: [AF_INET]91.38.154.135:4624
Fri Feb  5 11:01:00 2016 UDPv4 link remote: [AF_INET]91.38.151.76:4624
Wenn man sich das reduzierte Log anschaut, sieht man, daß am Ende eine andere IP-Adresse steht. Es wird also wohl durchaus ein Nameserverlookup durchgeführt. Allerdings, und das hatte ich weiter oben schonmal geschrieben, kann es mehrere Minuten dauern, bis dein Client mitbekommt, daß sich die IP geändert hat und bis dahin noch mit der alten IP versucht, solange halt, bis der DNS, den dein Client benutzt, über den IP-Wechsel bescheid bekommt.
Nach oben
grosser
Beiträge: 58
Registriert: 03.02.2016 07:24:42

Re: VPN und Zwangstrennung Provider

Beitrag von grosser » 05.02.2016 11:29:57

MSfree hat geschrieben:
Wenn man sich das reduzierte Log anschaut, sieht man, daß am Ende eine andere IP-Adresse steht. Es wird also wohl durchaus ein Nameserverlookup durchgeführt. Allerdings, und das hatte ich weiter oben schonmal geschrieben, kann es mehrere Minuten dauern, bis dein Client mitbekommt, daß sich die IP geändert hat und bis dahin noch mit der alten IP versucht, solange halt, bis der DNS, den dein Client benutzt, über den IP-Wechsel bescheid bekommt.[/quote]

Okay, also scheint er das zu begreifen. Die Frage wäre nur warum er dann keine Verbidung aufbaut?
Aber irgendwie scheint das ein ganz kurioses Problem zu sein.
Nach oben
Benutzeravatar
MSfree
Beiträge: 11748
Registriert: 25.09.2007 19:59:30

Re: VPN und Zwangstrennung Provider

Beitrag von MSfree » 05.02.2016 11:34:20

grosser hat geschrieben:Okay, also scheint er das zu begreifen. Die Frage wäre nur warum er dann keine Verbidung aufbaut?
Interessant wäre, wie das Log dann ab Fri Feb 5 11:01:00 2016 weiter geht.
Nach oben
mat6937
Beiträge: 3415
Registriert: 09.12.2014 10:44:00

Re: VPN und Zwangstrennung Provider

Beitrag von mat6937 » 05.02.2016 14:43:22

Welche TTLs (... d. h. die Zeitspanne für die der Eintrag im DNS-Cache beim ddns-Provider gültig ist und durch den ddns-Provider auch Nichts geändert wird) stellt dein ddns-Provider beim updaten der externen IPv4-Adresse zur Verfügung bzw. welche TTL hast Du in deinem account beim ddns-Provider konfiguriert?

BTW: Es gibt kostenlose ddns-accounts, mit einer TTL von 60 Sekunden.

grosser hat geschrieben:Die Frage wäre nur warum er dann keine Verbidung aufbaut?
Wie bzw. zu welchem Zeitpunkt nach der Zwangstrennung (beim Router des VPN-Servers) hast Du festgestellt, dass der VPN-Client keine Verbindung aufbaut? Was hätte den VPN-Client veranlassen sollen eine Verbindung herzustellen?

Das Aushandeln eines neuen TLS-Schlüssels (... renegotiate data channel key, per default after 3600 seconds) oder die sofortige/zeitnahe Nutzung des VPN-Tunnels? Wenn die Nutzung des VPN-Tunnels, dann aus welcher Richtung? Client -> Server oder Server -> Client?
Debian 12.9 mit LXDE, OpenBSD 7.6 mit i3wm, FreeBSD 14.1 mit Xfce
Nach oben
grosser
Beiträge: 58
Registriert: 03.02.2016 07:24:42

Re: VPN und Zwangstrennung Provider

Beitrag von grosser » 05.02.2016 15:01:05

MSfree hat geschrieben:
grosser hat geschrieben:Okay, also scheint er das zu begreifen. Die Frage wäre nur warum er dann keine Verbidung aufbaut?
Interessant wäre, wie das Log dann ab Fri Feb 5 11:01:00 2016 weiter geht.
Gar nicht, weil ich erstmal alles gestoppt habe bis ich wieder zu Hause war.
Nun bin ich zu Hause und versuche alles mal ganz in Ruhe, melde mich dann wieder.

Edit:

Ich versuche jetzt noch mal die Settings zu bereinigen, so wie ich sie im ersten Beitrag hatte.
Zusätzlich baue ich mal folgende Befehel mit ein im Server als auch im Client

Code: Alles auswählen

cipher AES-256-CBC
tls-server
auth RSA-SHA256
Ich habe einen kostenpflichtigen dyndns Anbieter, bin bei all-inkl.
Nach oben
mat6937
Beiträge: 3415
Registriert: 09.12.2014 10:44:00

Re: VPN und Zwangstrennung Provider

Beitrag von mat6937 » 05.02.2016 15:24:53

grosser hat geschrieben: Zusätzlich baue ich mal folgende Befehel mit ein im Server als auch im Client

Code: Alles auswählen

cipher AES-256-CBC
tls-server
auth RSA-SHA256
Beim Client nicht "tls-server" einbauen, sondern "tls-client".
Debian 12.9 mit LXDE, OpenBSD 7.6 mit i3wm, FreeBSD 14.1 mit Xfce
Nach oben
grosser
Beiträge: 58
Registriert: 03.02.2016 07:24:42

Re: VPN und Zwangstrennung Provider

Beitrag von grosser » 05.02.2016 15:40:06

Jup, hab ich gemacht.

Damit kommen wieder andere Fehlermeldungen. Hier der Log vom Server

Code: Alles auswählen

Fri Feb  5 15:07:28 2016 vusoloms/109.47.195.227:33794 [vusoloms] Inactivity timeout (--ping-restart), restarting
Fri Feb  5 15:07:28 2016 vusoloms/109.47.195.227:33794 SIGUSR1[soft,ping-restart] received, client-instance restarting
Fri Feb  5 15:07:37 2016 vusoloms/109.47.195.227:59396 Authenticate/Decrypt packet error: packet HMAC authentication failed
Fri Feb  5 15:07:42 2016 109.47.195.227:56386 TLS: Initial packet from [AF_INET]109.47.195.227:56386, sid=dc0d75a3 8add3397
Fri Feb  5 15:07:45 2016 109.47.195.227:56386 VERIFY OK: depth=1, C=DE, ST=CA, L=Slepo, O=Fort-Funston, OU=MyOrganizationalUnit, CN=Debian-MS, name=EasyRSA, emailAddress=me@myhost.mydomain
Fri Feb  5 15:07:45 2016 109.47.195.227:56386 VERIFY OK: depth=0, C=DE, ST=CA, L=Slepo, O=Fort-Funston, OU=MyOrganizationalUnit, CN=vusoloms, name=EasyRSA, emailAddress=me@myhost.mydomain
Fri Feb  5 15:07:45 2016 109.47.195.227:56386 WARNING: 'link-mtu' is used inconsistently, local='link-mtu 1542', remote='link-mtu 1570'
Fri Feb  5 15:07:45 2016 109.47.195.227:56386 WARNING: 'cipher' is used inconsistently, local='cipher BF-CBC', remote='cipher AES-256-CBC'
Fri Feb  5 15:07:45 2016 109.47.195.227:56386 WARNING: 'auth' is used inconsistently, local='auth SHA1', remote='auth SHA256'
Fri Feb  5 15:07:45 2016 109.47.195.227:56386 WARNING: 'keysize' is used inconsistently, local='keysize 128', remote='keysize 256'
Fri Feb  5 15:07:45 2016 109.47.195.227:56386 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Fri Feb  5 15:07:45 2016 109.47.195.227:56386 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Fri Feb  5 15:07:45 2016 109.47.195.227:56386 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Fri Feb  5 15:07:45 2016 109.47.195.227:56386 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Fri Feb  5 15:07:46 2016 109.47.195.227:56386 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 2048 bit RSA
Fri Feb  5 15:07:46 2016 109.47.195.227:56386 [vusoloms] Peer Connection Initiated with [AF_INET]109.47.195.227:56386
Fri Feb  5 15:07:46 2016 vusoloms/109.47.195.227:56386 MULTI_sva: pool returned IPv4=10.8.0.6, IPv6=(Not enabled)
Fri Feb  5 15:07:46 2016 vusoloms/109.47.195.227:56386 MULTI: Learn: 10.8.0.6 -> vusoloms/109.47.195.227:56386
Fri Feb  5 15:07:46 2016 vusoloms/109.47.195.227:56386 MULTI: primary virtual IP for vusoloms/109.47.195.227:56386: 10.8.0.6
Fri Feb  5 15:07:48 2016 vusoloms/109.47.195.227:56386 PUSH: Received control message: 'PUSH_REQUEST'
Fri Feb  5 15:07:48 2016 vusoloms/109.47.195.227:56386 send_push_reply(): safe_cap=940
Fri Feb  5 15:07:48 2016 vusoloms/109.47.195.227:56386 SENT CONTROL [vusoloms]: 'PUSH_REPLY,redirect-gateway def1 bypass-dhcp,dhcp-option DNS 8.8.8.8,dhcp-option DNS 8.8.4.4,route 10.8.0.0 255.255.255.0,topology net30,ping 10,ping-restart 120,ifconfig 10.8.0.6 10.8.0.5' (status=1)
Fri Feb  5 15:07:50 2016 vusoloms/109.47.195.227:56386 Authenticate/Decrypt packet error: packet HMAC authentication failed
Fri Feb  5 15:07:51 2016 vusoloms/109.47.195.227:56386 Authenticate/Decrypt packet error: packet HMAC authentication failed
Fri Feb  5 15:08:01 2016 vusoloms/109.47.195.227:56386 Authenticate/Decrypt packet error: packet HMAC authentication failed
Fri Feb  5 15:08:12 2016 vusoloms/109.47.195.227:56386 Authenticate/Decrypt packet error: packet HMAC authentication failed
Fri Feb  5 15:08:21 2016 vusoloms/109.47.195.227:56386 Authenticate/Decrypt packet error: packet HMAC authentication failed
Fri Feb  5 15:08:33 2016 vusoloms/109.47.195.227:56386 Authenticate/Decrypt packet error: packet HMAC authentication failed
Fri Feb  5 15:08:41 2016 vusoloms/109.47.195.227:56386 Authenticate/Decrypt packet error: packet HMAC authentication failed
Fri Feb  5 15:08:52 2016 vusoloms/109.47.195.227:56386 Authenticate/Decrypt packet error: packet HMAC authentication failed
Fri Feb  5 15:08:58 2016 vusoloms/109.47.195.227:56386 Authenticate/Decrypt packet error: packet HMAC authentication failed
Fri Feb  5 15:08:59 2016 vusoloms/109.47.195.227:56386 Authenticate/Decrypt packet error: packet HMAC authentication failed
und der vom Client

Code: Alles auswählen

Fri Feb  5 15:05:41 2016 OPTIONS IMPORT: timers and/or timeouts modified
Fri Feb  5 15:05:41 2016 OPTIONS IMPORT: --ifconfig/up options modified
Fri Feb  5 15:05:41 2016 OPTIONS IMPORT: route options modified
Fri Feb  5 15:05:41 2016 OPTIONS IMPORT: --ip-win32 and/or --dhcp-option options modified
Fri Feb  5 15:05:41 2016 Preserving previous TUN/TAP instance: tun0
Fri Feb  5 15:05:41 2016 NOTE: Pulled options changed on restart, will need to close and reopen TUN/TAP device.
Fri Feb  5 15:05:41 2016 /sbin/ip route del 10.8.0.0/24
Fri Feb  5 15:05:41 2016 /sbin/ip route del 91.38.148.23/32
Fri Feb  5 15:05:41 2016 /sbin/ip route del 0.0.0.0/1
Fri Feb  5 15:05:41 2016 /sbin/ip route del 128.0.0.0/1
Fri Feb  5 15:05:41 2016 Closing TUN/TAP interface
Fri Feb  5 15:05:41 2016 /sbin/ip addr del dev tun0 local 10.8.0.6 peer 10.8.0.5
Fri Feb  5 15:05:42 2016 ROUTE_GATEWAY 192.168.43.1/255.255.255.0 IFACE=wlan0 HWADDR=80:1f:02:60:e9:49
Fri Feb  5 15:05:42 2016 TUN/TAP device tun0 opened
Fri Feb  5 15:05:42 2016 TUN/TAP TX queue length set to 100
Fri Feb  5 15:05:42 2016 do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
Fri Feb  5 15:05:42 2016 /sbin/ip link set dev tun0 up mtu 1500
Fri Feb  5 15:05:42 2016 /sbin/ip addr add dev tun0 local 10.8.0.10 peer 10.8.0.9
Fri Feb  5 15:05:42 2016 /sbin/ip route add 91.38.148.23/32 via 192.168.43.1
Fri Feb  5 15:05:42 2016 /sbin/ip route add 0.0.0.0/1 via 10.8.0.9
Fri Feb  5 15:05:42 2016 /sbin/ip route add 128.0.0.0/1 via 10.8.0.9
Fri Feb  5 15:05:43 2016 /sbin/ip route add 10.8.0.0/24 via 10.8.0.9
Fri Feb  5 15:05:43 2016 Initialization Sequence Completed
Fri Feb  5 15:05:52 2016 Authenticate/Decrypt packet error: packet HMAC authentication failed
Fri Feb  5 15:06:02 2016 Authenticate/Decrypt packet error: packet HMAC authentication failed
Fri Feb  5 15:06:12 2016 Authenticate/Decrypt packet error: packet HMAC authentication failed
Fri Feb  5 15:06:22 2016 Authenticate/Decrypt packet error: packet HMAC authentication failed
Fri Feb  5 15:06:32 2016 Authenticate/Decrypt packet error: packet HMAC authentication failed
Fri Feb  5 15:06:41 2016 Authenticate/Decrypt packet error: packet HMAC authentication failed
Fri Feb  5 15:06:52 2016 Authenticate/Decrypt packet error: packet HMAC authentication failed
Fri Feb  5 15:07:02 2016 Authenticate/Decrypt packet error: packet HMAC authentication failed
Fri Feb  5 15:07:12 2016 Authenticate/Decrypt packet error: packet HMAC authentication failed
Fri Feb  5 15:07:22 2016 Authenticate/Decrypt packet error: packet HMAC authentication failed
Fri Feb  5 15:07:31 2016 Authenticate/Decrypt packet error: packet HMAC authentication failed
Fri Feb  5 15:07:41 2016 [meinedyndns.biz] Inactivity timeout (--ping-restart), restarting
Fri Feb  5 15:07:41 2016 SIGUSR1[soft,ping-restart] received, process restarting
Fri Feb  5 15:07:41 2016 Restart pause, 2 second(s)
Fri Feb  5 15:07:43 2016 WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
Fri Feb  5 15:07:43 2016 Socket Buffers: R=[163840->131072] S=[163840->131072]
Fri Feb  5 15:07:43 2016 UDPv4 link local: [undef]
Fri Feb  5 15:07:43 2016 UDPv4 link remote: [AF_INET]91.38.148.23:4624
Fri Feb  5 15:07:43 2016 TLS: Initial packet from [AF_INET]91.38.148.23:4624, sid=ce5a6deb d9f50942
Fri Feb  5 15:07:44 2016 VERIFY OK: depth=1, C=DE, ST=CA, L=Slepo, O=Fort-Funston, OU=MyOrganizationalUnit, CN=Debian-MS, name=EasyRSA, emailAddress=me@myhost.mydomain
Fri Feb  5 15:07:44 2016 VERIFY OK: depth=0, C=DE, ST=CA, L=Slepo, O=Fort-Knox, OU=MyOrganizationalUnit, CN=meinedyndns.biz, name=EasyRSA, emailAddress=me@myhost.mydomain
Fri Feb  5 15:07:46 2016 WARNING: 'link-mtu' is used inconsistently, local='link-mtu 1570', remote='link-mtu 1542'
Fri Feb  5 15:07:46 2016 WARNING: 'cipher' is used inconsistently, local='cipher AES-256-CBC', remote='cipher BF-CBC'
Fri Feb  5 15:07:46 2016 WARNING: 'auth' is used inconsistently, local='auth SHA256', remote='auth SHA1'
Fri Feb  5 15:07:46 2016 WARNING: 'keysize' is used inconsistently, local='keysize 256', remote='keysize 128'
Fri Feb  5 15:07:46 2016 Data Channel Encrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
Fri Feb  5 15:07:46 2016 Data Channel Encrypt: Using 256 bit message hash 'SHA256' for HMAC authentication
Fri Feb  5 15:07:46 2016 Data Channel Decrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
Fri Feb  5 15:07:46 2016 Data Channel Decrypt: Using 256 bit message hash 'SHA256' for HMAC authentication
Fri Feb  5 15:07:46 2016 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 2048 bit RSA
Fri Feb  5 15:07:46 2016 [meinedyndns.biz] Peer Connection Initiated with [AF_INET]91.38.148.23:4624
Fri Feb  5 15:07:48 2016 SENT CONTROL [meinedyndns.biz]: 'PUSH_REQUEST' (status=1)
Fri Feb  5 15:07:49 2016 PUSH: Received control message: 'PUSH_REPLY,redirect-gateway def1 bypass-dhcp,dhcp-option DNS 8.8.8.8,dhcp-option DNS 8.8.4.4,route 10.8.0.0 255.255.255.0,topology net30,ping 10,ping-restart 120,ifconfig 10.8.0.6 10.8.0.5'
Fri Feb  5 15:07:49 2016 OPTIONS IMPORT: timers and/or timeouts modified
Fri Feb  5 15:07:49 2016 OPTIONS IMPORT: --ifconfig/up options modified
Fri Feb  5 15:07:49 2016 OPTIONS IMPORT: route options modified
Fri Feb  5 15:07:49 2016 OPTIONS IMPORT: --ip-win32 and/or --dhcp-option options modified
Fri Feb  5 15:07:49 2016 Preserving previous TUN/TAP instance: tun0
Fri Feb  5 15:07:49 2016 NOTE: Pulled options changed on restart, will need to close and reopen TUN/TAP device.
Fri Feb  5 15:07:49 2016 /sbin/ip route del 10.8.0.0/24
Fri Feb  5 15:07:49 2016 /sbin/ip route del 91.38.148.23/32
Fri Feb  5 15:07:49 2016 /sbin/ip route del 0.0.0.0/1
Fri Feb  5 15:07:49 2016 /sbin/ip route del 128.0.0.0/1
Fri Feb  5 15:07:49 2016 Closing TUN/TAP interface
Fri Feb  5 15:07:49 2016 /sbin/ip addr del dev tun0 local 10.8.0.10 peer 10.8.0.9
Fri Feb  5 15:07:50 2016 ROUTE_GATEWAY 192.168.43.1/255.255.255.0 IFACE=wlan0 HWADDR=80:1f:02:60:e9:49
Fri Feb  5 15:07:50 2016 TUN/TAP device tun0 opened
Fri Feb  5 15:07:50 2016 TUN/TAP TX queue length set to 100
Fri Feb  5 15:07:50 2016 do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
Fri Feb  5 15:07:50 2016 /sbin/ip link set dev tun0 up mtu 1500
Fri Feb  5 15:07:50 2016 /sbin/ip addr add dev tun0 local 10.8.0.6 peer 10.8.0.5
Fri Feb  5 15:07:50 2016 /sbin/ip route add 91.38.148.23/32 via 192.168.43.1
Fri Feb  5 15:07:50 2016 /sbin/ip route add 0.0.0.0/1 via 10.8.0.5
Fri Feb  5 15:07:50 2016 /sbin/ip route add 128.0.0.0/1 via 10.8.0.5
Fri Feb  5 15:07:50 2016 /sbin/ip route add 10.8.0.0/24 via 10.8.0.5
Fri Feb  5 15:07:50 2016 Initialization Sequence Completed
Fri Feb  5 15:07:58 2016 Authenticate/Decrypt packet error: packet HMAC authentication failed
Fri Feb  5 15:08:09 2016 Authenticate/Decrypt packet error: packet HMAC authentication failed
Fri Feb  5 15:08:20 2016 Authenticate/Decrypt packet error: packet HMAC authentication failed
Fri Feb  5 15:08:30 2016 Authenticate/Decrypt packet error: packet HMAC authentication failed
Fri Feb  5 15:08:41 2016 Authenticate/Decrypt packet error: packet HMAC authentication failed
Fri Feb  5 15:08:51 2016 Authenticate/Decrypt packet error: packet HMAC authentication failed
Fri Feb  5 15:09:00 2016 Authenticate/Decrypt packet error: packet HMAC authentication failed
Fri Feb  5 15:09:11 2016 Authenticate/Decrypt packet error: packet HMAC authentication failed
Fri Feb  5 15:09:21 2016 Authenticate/Decrypt packet error: packet HMAC authentication failed
Fri Feb  5 15:09:31 2016 Authenticate/Decrypt packet error: packet HMAC authentication failed
Fri Feb  5 15:09:41 2016 Authenticate/Decrypt packet error: packet HMAC authentication failed
Fri Feb  5 15:09:49 2016 [meinedyndns.biz] Inactivity timeout (--ping-restart), restarting
Fri Feb  5 15:09:49 2016 SIGUSR1[soft,ping-restart] received, process restarting
Fri Feb  5 15:09:49 2016 Restart pause, 2 second(s)
Fri Feb  5 15:09:51 2016 WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
Fri Feb  5 15:09:51 2016 Socket Buffers: R=[163840->131072] S=[163840->131072]
Fri Feb  5 15:09:51 2016 UDPv4 link local: [undef]
Fri Feb  5 15:09:51 2016 UDPv4 link remote: [AF_INET]91.38.148.23:4624
Fri Feb  5 15:09:51 2016 TLS: Initial packet from [AF_INET]91.38.148.23:4624, sid=ae2e2d35 f9afd61d
Fri Feb  5 15:09:52 2016 VERIFY OK: depth=1, C=DE, ST=CA, L=Slepo, O=Fort-Funston, OU=MyOrganizationalUnit, CN=Debian-MS, name=EasyRSA, emailAddress=me@myhost.mydomain
Fri Feb  5 15:09:52 2016 VERIFY OK: depth=0, C=DE, ST=CA, L=Slepo, O=Fort-Knox, OU=MyOrganizationalUnit, CN=meinedyndns.biz, name=EasyRSA, emailAddress=me@myhost.mydomain
Fri Feb  5 15:09:54 2016 WARNING: 'link-mtu' is used inconsistently, local='link-mtu 1570', remote='link-mtu 1542'
Fri Feb  5 15:09:54 2016 WARNING: 'cipher' is used inconsistently, local='cipher AES-256-CBC', remote='cipher BF-CBC'
Fri Feb  5 15:09:54 2016 WARNING: 'auth' is used inconsistently, local='auth SHA256', remote='auth SHA1'
Fri Feb  5 15:09:54 2016 WARNING: 'keysize' is used inconsistently, local='keysize 256', remote='keysize 128'
Fri Feb  5 15:09:54 2016 Data Channel Encrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
Fri Feb  5 15:09:54 2016 Data Channel Encrypt: Using 256 bit message hash 'SHA256' for HMAC authentication
Fri Feb  5 15:09:54 2016 Data Channel Decrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
Fri Feb  5 15:09:54 2016 Data Channel Decrypt: Using 256 bit message hash 'SHA256' for HMAC authentication
Fri Feb  5 15:09:54 2016 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 2048 bit RSA
Fri Feb  5 15:09:54 2016 [meinedyndns.biz] Peer Connection Initiated with [AF_INET]91.38.148.23:4624
Fri Feb  5 15:09:57 2016 SENT CONTROL [meinedyndns.biz]: 'PUSH_REQUEST' (status=1)
Fri Feb  5 15:09:57 2016 PUSH: Received control message: 'PUSH_REPLY,redirect-gateway def1 bypass-dhcp,dhcp-option DNS 8.8.8.8,dhcp-option DNS 8.8.4.4,route 10.8.0.0 255.255.255.0,topology net30,ping 10,ping-restart 120,ifconfig 10.8.0.10 10.8.0.9'
Zu der Frage wie ich feststelle das keine Verbindung mehr da ist.
Der Client holt sich einen Schlüssel beim Server ab um etwas zu entschlüsseln, und das funktioniert nach der Zwangstrennung nicht mehr.

EDIT:
Eine Frage, am Server selbst kann es nicht liegen oder?
Ist ein Thinclient, nicht das der zu alt ist.
Nach oben
mat6937
Beiträge: 3415
Registriert: 09.12.2014 10:44:00

Re: VPN und Zwangstrennung Provider

Beitrag von mat6937 » 05.02.2016 16:16:49

grosser hat geschrieben: Der Client holt sich einen Schlüssel beim Server ab um etwas zu entschlüsseln, und das funktioniert nach der Zwangstrennung nicht mehr.
Ja, aber das macht der Client ohne Anlass nur stündlich (d. h. alle 3600 Sekunden). Auch wenn z. B. der Server in der Mitte dieses Zeitraums restartet oder seine externe IP-Adresse (Zwangstrennung) ändert, weiß das der Client doch nicht und hat deshalb m. E. zu diesem Zeitpunkt keinen Bedarf an einem neuen "TLS key exchange"?

Oder hast Du beim Client diesen "TLS key exchange" (... früher als die max. 3600 Sekunden) provoziert? Wenn ja, wie?
Debian 12.9 mit LXDE, OpenBSD 7.6 mit i3wm, FreeBSD 14.1 mit Xfce
Nach oben
grosser
Beiträge: 58
Registriert: 03.02.2016 07:24:42

Re: VPN und Zwangstrennung Provider

Beitrag von grosser » 05.02.2016 16:21:18

mat6937 hat geschrieben:
Oder hast Du beim Client diesen "TLS key exchange" (... früher als die max. 3600 Sekunden) provoziert? Wenn ja, wie?
Das Problem ist ich wüsste nicht wie?
Kann man das mit den 3600 Sekunden irgendwo anpassen?
Nach oben
mat6937
Beiträge: 3415
Registriert: 09.12.2014 10:44:00

Re: VPN und Zwangstrennung Provider

Beitrag von mat6937 » 05.02.2016 16:30:36

grosser hat geschrieben: Kann man das mit den 3600 Sekunden irgendwo anpassen?
Ja, in der config mit:
reneg-sec n
Renegotiate data channel key after n seconds (default=3600).
Debian 12.9 mit LXDE, OpenBSD 7.6 mit i3wm, FreeBSD 14.1 mit Xfce
Nach oben
grosser
Beiträge: 58
Registriert: 03.02.2016 07:24:42

Re: VPN und Zwangstrennung Provider

Beitrag von grosser » 05.02.2016 16:50:09

mat6937 hat geschrieben:
Ja, in der config mit:
reneg-sec n
Renegotiate data channel key after n seconds (default=3600).
Und denkst du es bringt was diesen Wert zu verändern? Oder sollte man diesen lieber auf default lassen?
Nach oben
mat6937
Beiträge: 3415
Registriert: 09.12.2014 10:44:00

Re: VPN und Zwangstrennung Provider

Beitrag von mat6937 » 06.02.2016 09:08:06

grosser hat geschrieben: Und denkst du es bringt was diesen Wert zu verändern?
Nein, das bringt nichts, wenn nach der Zwangstrennung keine UDP-Verbindung zwischen Server und Client zustande kommt:

Auszug aus deinen logs:

Code: Alles auswählen

...
Fri Feb  5 15:07:45 2016 109.47.195.227:56386 WARNING: 'link-mtu' is used inconsistently, local='link-mtu 1542', remote='link-mtu 1570'
Fri Feb  5 15:07:45 2016 109.47.195.227:56386 WARNING: 'cipher' is used inconsistently, local='cipher BF-CBC', remote='cipher AES-256-CBC'
Fri Feb  5 15:07:45 2016 109.47.195.227:56386 WARNING: 'auth' is used inconsistently, local='auth SHA1', remote='auth SHA256'
Fri Feb  5 15:07:45 2016 109.47.195.227:56386 WARNING: 'keysize' is used inconsistently, local='keysize 128', remote='keysize 256'
...
Hast Du auf beiden Seiten (Server und Client) mtu, cipher, auth und keysize angepasst?

Versuch mal zusätzlich auf dem Server:

Code: Alles auswählen

keepalive 30 600
(Neustart Server)
und auf dem Client:

Code: Alles auswählen

lport 42865
ping 20
ping-restart 540
(Neustart Client).

Konfiguriere im Router des Clienten eine UDP-Portfreigabe auf den UDP-Port 42865 des VPN-Clienten (... denn auch bei "mode server" gibt es Verbindungen zum Client, die vom Server ausgelöst werden; das kann man z. B. mit tcpdump sehen).
Z. B. entwerder auf dem Server oder auf dem Client mit:

Code: Alles auswählen

tcpdump -c 100 -vvveni any udp port 42865
Zuletzt geändert von mat6937 am 06.02.2016 09:32:37, insgesamt 1-mal geändert.
Debian 12.9 mit LXDE, OpenBSD 7.6 mit i3wm, FreeBSD 14.1 mit Xfce
Nach oben
Benutzeravatar
orcape
Beiträge: 1530
Registriert: 07.11.2008 18:37:24
Wohnort: 50°36'23.99"N / 12°10'20.66"E

Re: VPN und Zwangstrennung Provider

Beitrag von orcape » 06.02.2016 09:20:24

Hi,
weil ich gerade MTU lese. Reduziere die auf unter MTU1500, auch wenn sich da in den Logs anschließend "Beschwerde-Einträge" befinden. Ich hatte schon Tunnelabbrüche, je nach Provider, bei MTU1492. Ich habe sogar Tunnel am laufen, die nicht mehr wie MTU1432 vertragen haben, bei allem was höher lag, gab es Verbindungsabbrüche. Wie gesagt, das kann man nicht pauschalisieren, ist wohl abhängig vom DSL-Netz/Provider.
Gruß orcape
Nach oben
grosser
Beiträge: 58
Registriert: 03.02.2016 07:24:42

Re: VPN und Zwangstrennung Provider

Beitrag von grosser » 07.02.2016 15:42:40

Hallo Leute, sorry das ich mich erst jetzt zurück melde.

Hab noch mal einiges probiert, auch den Eintrag

Code: Alles auswählen

    keepalive 30 600
Beim Server, war aber bisher nicht von Erfolg gekrönt.
Das mit dem MTU muss ich noch versuchen, ist das bei beiden in die config einzutragen? Server und Client.

Den Vorschlag mit dem Port am Client konnte ich nicht testen, da der Client über einen mobilen Stick am Netz hängt.

Hab mit folgenden Settings es mal über Nacht laufen lassen

Server config

Code: Alles auswählen

dev tun
proto udp
port 4624
ca /etc/openvpn/easy-rsa2/keys/ca.crt
cert /etc/openvpn/easy-rsa2/keys/meinedyndns.biz.crt
key /etc/openvpn/easy-rsa2/keys/meinedyndns.biz.key
dh /etc/openvpn/easy-rsa2/keys/dh2048.pem
user nobody
group nogroup
server 10.8.0.0 255.255.255.0
persist-key
persist-tun
cipher AES-256-CBC
tls-server
auth RSA-SHA256
status /mnt/Log/vpn/openvpn-status.log
verb 3
push "redirect-gateway def1 bypass-dhcp"
#set the dns servers
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 8.8.4.4"
log-append /mnt/Log/vpn/openvpn
comp-lzo
duplicate-cn
keepalive 30 600
Client Config

Code: Alles auswählen

dev tun
client
proto udp
remote meinedyndns.biz 4624
resolv-retry infinite
nobind
persist-key
persist-tun
cipher AES-256-CBC
tls-client
auth RSA-SHA256
ca /etc/openvpn/ca.crt
cert /etc/openvpn/vusoloms.crt
key /etc/openvpn/vusoloms.key
log-append /var/log/openvpn.log
comp-lzo
verb 3
keepalive 10 120
Hier der Log vom Client, man beachte das die Zwangstrennung wie schon mal erwähtn um 3:00 Uhr Nachts durch FritzBox durchgeführt wrid

Code: Alles auswählen

Sun Feb  7 00:44:20 2016 TLS: tls_process: killed expiring key
Sun Feb  7 00:44:23 2016 TLS: soft reset sec=0 bytes=279299/0 pkts=2442/0
Sun Feb  7 00:44:26 2016 VERIFY OK: depth=1, C=DE, ST=CA, L=Slepo, O=Fort-Knox, OU=MyOrganizationalUnit, CN=meinedyndns.biz, name=EasyRSA, emailAddress=me@myhost.mydomain
Sun Feb  7 00:44:26 2016 VERIFY OK: depth=0, C=DE, ST=CA, L=Slepo, O=Fort-Knox, OU=MyOrganizationalUnit, CN=meinedyndns.biz, name=EasyRSA, emailAddress=me@myhost.mydomain
Sun Feb  7 00:44:29 2016 Data Channel Encrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
Sun Feb  7 00:44:29 2016 Data Channel Encrypt: Using 256 bit message hash 'SHA256' for HMAC authentication
Sun Feb  7 00:44:29 2016 Data Channel Decrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
Sun Feb  7 00:44:29 2016 Data Channel Decrypt: Using 256 bit message hash 'SHA256' for HMAC authentication
Sun Feb  7 00:44:29 2016 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 2048 bit RSA
Sun Feb  7 00:44:59 2016 Authenticate/Decrypt packet error: bad packet ID (may be a replay): [ #1103 ] -- see the man page entry for --no-replay and --replay-window for more info or silence this warning with --mute-replay-warnings
Sun Feb  7 00:47:48 2016 Authenticate/Decrypt packet error: bad packet ID (may be a replay): [ #46 ] -- see the man page entry for --no-replay and --replay-window for more info or silence this warning with --mute-replay-warnings
Sun Feb  7 00:47:48 2016 Authenticate/Decrypt packet error: bad packet ID (may be a replay): [ #47 ] -- see the man page entry for --no-replay and --replay-window for more info or silence this warning with --mute-replay-warnings
Sun Feb  7 00:47:48 2016 Authenticate/Decrypt packet error: bad packet ID (may be a replay): [ #48 ] -- see the man page entry for --no-replay and --replay-window for more info or silence this warning with --mute-replay-warnings
Sun Feb  7 00:48:27 2016 Authenticate/Decrypt packet error: bad packet ID (may be a replay): [ #58 ] -- see the man page entry for --no-replay and --replay-window for more info or silence this warning with --mute-replay-warnings
Sun Feb  7 00:48:27 2016 Authenticate/Decrypt packet error: bad packet ID (may be a replay): [ #59 ] -- see the man page entry for --no-replay and --replay-window for more info or silence this warning with --mute-replay-warnings
Sun Feb  7 00:48:53 2016 Authenticate/Decrypt packet error: bad packet ID (may be a replay): [ #66 ] -- see the man page entry for --no-replay and --replay-window for more info or silence this warning with --mute-replay-warnings
Sun Feb  7 00:49:32 2016 Authenticate/Decrypt packet error: bad packet ID (may be a replay): [ #77 ] -- see the man page entry for --no-replay and --replay-window for more info or silence this warning with --mute-replay-warnings
Sun Feb  7 00:49:32 2016 Authenticate/Decrypt packet error: bad packet ID (may be a replay): [ #78 ] -- see the man page entry for --no-replay and --replay-window for more info or silence this warning with --mute-replay-warnings

Sun Feb  7 01:42:11 2016 Authenticate/Decrypt packet error: bad packet ID (may be a replay): [ #1037 ] -- see the man page entry for --no-replay and --replay-window for more info or silence this warning with --mute-replay-warnings
Sun Feb  7 01:44:23 2016 TLS: tls_process: killed expiring key
Sun Feb  7 01:44:30 2016 VERIFY OK: depth=1, C=DE, ST=CA, L=Slepo, O=Fort-Knox, OU=MyOrganizationalUnit, CN=meinedyndns.biz, name=EasyRSA, emailAddress=me@myhost.mydomain
Sun Feb  7 01:44:30 2016 VERIFY OK: depth=0, C=DE, ST=CA, L=Slepo, O=Fort-Knox, OU=MyOrganizationalUnit, CN=meinedyndns.biz, name=EasyRSA, emailAddress=me@myhost.mydomain
Sun Feb  7 01:44:32 2016 Data Channel Encrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
Sun Feb  7 01:44:32 2016 Data Channel Encrypt: Using 256 bit message hash 'SHA256' for HMAC authentication
Sun Feb  7 01:44:32 2016 Data Channel Decrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
Sun Feb  7 01:44:32 2016 Data Channel Decrypt: Using 256 bit message hash 'SHA256' for HMAC authentication
Sun Feb  7 01:44:32 2016 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 2048 bit RSA
Sun Feb  7 02:44:29 2016 TLS: tls_process: killed expiring key
Sun Feb  7 02:44:32 2016 TLS: soft reset sec=0 bytes=325072/0 pkts=2738/0
Sun Feb  7 02:44:33 2016 VERIFY OK: depth=1, C=DE, ST=CA, L=Slepo, O=Fort-Knox, OU=MyOrganizationalUnit, CN=meinedyndns.biz, name=EasyRSA, emailAddress=me@myhost.mydomain
Sun Feb  7 02:44:33 2016 VERIFY OK: depth=0, C=DE, ST=CA, L=Slepo, O=Fort-Knox, OU=MyOrganizationalUnit, CN=meinedyndns.biz, name=EasyRSA, emailAddress=me@myhost.mydomain
Sun Feb  7 02:44:35 2016 Data Channel Encrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
Sun Feb  7 02:44:35 2016 Data Channel Encrypt: Using 256 bit message hash 'SHA256' for HMAC authentication
Sun Feb  7 02:44:35 2016 Data Channel Decrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
Sun Feb  7 02:44:35 2016 Data Channel Decrypt: Using 256 bit message hash 'SHA256' for HMAC authentication
Sun Feb  7 02:44:35 2016 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 2048 bit RSA
Sun Feb  7 03:32:07 2016 [meinedyndns.biz] Inactivity timeout (--ping-restart), restarting
Sun Feb  7 03:32:07 2016 SIGUSR1[soft,ping-restart] received, process restarting
Sun Feb  7 03:32:07 2016 Restart pause, 2 second(s)
Sun Feb  7 03:32:09 2016 WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
Sun Feb  7 03:32:09 2016 Socket Buffers: R=[163840->131072] S=[163840->131072]
Sun Feb  7 03:32:10 2016 UDPv4 link local: [undef]
Sun Feb  7 03:32:10 2016 UDPv4 link remote: [AF_INET]91.38.157.22:4624
Sun Feb  7 03:33:10 2016 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Sun Feb  7 03:33:10 2016 TLS Error: TLS handshake failed
Sun Feb  7 03:33:10 2016 SIGUSR1[soft,tls-error] received, process restarting
Sun Feb  7 03:33:10 2016 Restart pause, 2 second(s)
Sun Feb  7 03:33:12 2016 WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
Sun Feb  7 03:33:12 2016 Socket Buffers: R=[163840->131072] S=[163840->131072]
Sun Feb  7 03:33:13 2016 UDPv4 link local: [undef]
Sun Feb  7 03:33:13 2016 UDPv4 link remote: [AF_INET]91.38.144.94:4624
Sun Feb  7 03:34:13 2016 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Sun Feb  7 03:34:13 2016 TLS Error: TLS handshake failed
Sun Feb  7 03:34:13 2016 SIGUSR1[soft,tls-error] received, process restarting
Sun Feb  7 03:34:13 2016 Restart pause, 2 second(s)
Sun Feb  7 03:34:15 2016 WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
Sun Feb  7 03:34:15 2016 Socket Buffers: R=[163840->131072] S=[163840->131072]
Sun Feb  7 03:34:16 2016 UDPv4 link local: [undef]
Sun Feb  7 03:34:16 2016 UDPv4 link remote: [AF_INET]91.38.144.94:4624
Sun Feb  7 03:35:16 2016 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Sun Feb  7 03:35:16 2016 TLS Error: TLS handshake failed
Sun Feb  7 03:35:16 2016 SIGUSR1[soft,tls-error] received, process restarting
Sun Feb  7 03:35:16 2016 Restart pause, 2 second(s)
Sun Feb  7 03:35:18 2016 WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
Sun Feb  7 03:35:18 2016 Socket Buffers: R=[163840->131072] S=[163840->131072]
Sun Feb  7 03:35:20 2016 UDPv4 link local: [undef]
Sun Feb  7 03:35:20 2016 UDPv4 link remote: [AF_INET]91.38.144.94:4624
Sun Feb  7 03:36:20 2016 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Sun Feb  7 03:36:20 2016 TLS Error: TLS handshake failed
Sun Feb  7 03:36:20 2016 SIGUSR1[soft,tls-error] received, process restarting
Sun Feb  7 03:36:20 2016 Restart pause, 2 second(s)
Sun Feb  7 03:36:22 2016 WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
Sun Feb  7 03:36:22 2016 Socket Buffers: R=[163840->131072] S=[163840->131072]
Sun Feb  7 03:36:24 2016 UDPv4 link local: [undef]
Sun Feb  7 03:36:24 2016 UDPv4 link remote: [AF_INET]91.38.144.94:4624
Sun Feb  7 03:37:24 2016 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Sun Feb  7 03:37:24 2016 TLS Error: TLS handshake failed
Zuletzt geändert von grosser am 08.02.2016 05:37:41, insgesamt 2-mal geändert.
Nach oben
Benutzeravatar
orcape
Beiträge: 1530
Registriert: 07.11.2008 18:37:24
Wohnort: 50°36'23.99"N / 12°10'20.66"E

Re: VPN und Zwangstrennung Provider

Beitrag von orcape » 07.02.2016 15:58:46

Das mit dem MTU muss ich noch versuchen, ist das bei beiden in die config einzutragen?
Jepp....
Aus der "server.conf" (pfSense-ALIX) eines meiner Tunnel....
tun-mtu 1342
...dazu gehörende "client.conf" (DD-WRT-Router)
tun-mtu 1342
Wie ich bereits sagte, ein Tunnel, der mit höherer MTU nicht funktionierte.
Gruß orcape
Nach oben
mat6937
Beiträge: 3415
Registriert: 09.12.2014 10:44:00

Re: VPN und Zwangstrennung Provider

Beitrag von mat6937 » 07.02.2016 17:41:10

grosser hat geschrieben: Client Config

Code: Alles auswählen

keepalive 10 120
Hier der Log vom Client, man beachte das die Zwangstrennung wie schon mal erwähtn um 3:00 Uhr Nachts durch FritzBox durchgeführt wrid

Code: Alles auswählen

...
Sun Feb  7 02:44:35 2016 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 2048 bit RSA
Sun Feb  7 03:32:07 2016 [meinedyndns.biz] Inactivity timeout (--ping-restart), restarting
Sun Feb  7 03:32:07 2016 SIGUSR1[soft,ping-restart] received, process restarting
...
Könntest Du in deinem ddns-account nachschauen, wann genau (Uhrzeit in hh:mm:ss) nach der Zwangstrennung die "neue" externe/öffentliche IPv4-Adresse zur Verfügung stand bzw. mit meinedyndns.biz genutzt werden konnte. Schau mal auch in deinem Router nach, wann genau (Uhrzeit in hh:mm:ss) die Zwangstrennung war.

Wie ist die TTL in deinem ddns-account konfiguriert?
Debian 12.9 mit LXDE, OpenBSD 7.6 mit i3wm, FreeBSD 14.1 mit Xfce
Nach oben
grosser
Beiträge: 58
Registriert: 03.02.2016 07:24:42

Re: VPN und Zwangstrennung Provider

Beitrag von grosser » 07.02.2016 21:32:35

Also laut Log beim Provider sind folgenden Daten verfügbar.

Code: Alles auswählen

2016-02-07 03:32:02     91.38.144.94    Fritz!Box DDNS/1.0.1

2016-02-06 11:31:44      91.38.157.22    Fritz!Box DDNS/1.0.1
Nach oben
mat6937
Beiträge: 3415
Registriert: 09.12.2014 10:44:00

Re: VPN und Zwangstrennung Provider

Beitrag von mat6937 » 07.02.2016 22:10:50

grosser hat geschrieben:Also laut Log beim Provider sind folgenden Daten verfügbar.

Code: Alles auswählen

2016-02-07 03:32:02     91.38.144.94    Fritz!Box DDNS/1.0.1
OK, und um 03:33:13 Uhr war lt. Log, dem Client bekannt, dass er die IP-Adresse 91.38.144.94 verwenden muss:

Code: Alles auswählen

Sun Feb  7 03:33:13 2016 UDPv4 link remote: [AF_INET]91.38.144.94:4624
Warum sieht man dann 60 Sekunden später. im Log des Clienten, folgende Fehlermeldungen:

Code: Alles auswählen

Sun Feb  7 03:34:13 2016 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Sun Feb  7 03:34:13 2016 TLS Error: TLS handshake failed
?

Kann es evtl. sein, dass jetzt der Server eine vom Client initiierte Verbindung (... zur "neuen" IP-Adresse) nicht zulässt?

Code: Alles auswählen

Sun Feb  7 03:34:15 2016 WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.

Versuch mal mit:

Code: Alles auswählen

openvpn --genkey --secret ta.key
und dann auf dem Client, in dessen config mit:

Code: Alles auswählen

ns-cert-type server
tls-auth /etc/openvpn/keys/ta.key 1
und auf dem Server, in dessen config:

Code: Alles auswählen

tls-auth /etc/openvpn/easy-rsa2/keys/ta.key 0
EDIT:

Evtl. auch (als test) die Zwangstrennung zur Tageszeit machen lassen und wenn möglich, in diesem Zeitraum auf dem Server, mit tcpdump (und geeignetem Filter) die Verbindungsversuche des Clienten sniffen/loggen.
Debian 12.9 mit LXDE, OpenBSD 7.6 mit i3wm, FreeBSD 14.1 mit Xfce
Nach oben
grosser
Beiträge: 58
Registriert: 03.02.2016 07:24:42

Re: VPN und Zwangstrennung Provider

Beitrag von grosser » 08.02.2016 20:38:29

@ mat6937

habe mal deine Vorschläge eingearbeitet, im Log vom Server kommt seither folgende Meldung

Code: Alles auswählen

Mon Feb  8 20:17:51 2016 TLS Error: cannot locate HMAC in incoming packet from [AF_INET]84.183.196.195:42111
Mon Feb  8 20:17:55 2016 TLS Error: cannot locate HMAC in incoming packet from [AF_INET]84.183.196.195:42111
Mon Feb  8 20:18:03 2016 TLS Error: cannot locate HMAC in incoming packet from [AF_INET]84.183.196.195:42111
Mon Feb  8 20:18:19 2016 TLS Error: cannot locate HMAC in incoming packet from [AF_INET]84.183.196.195:42111
Mon Feb  8 20:18:52 2016 TLS Error: cannot locate HMAC in incoming packet from [AF_INET]84.183.196.195:52325
Mon Feb  8 20:18:54 2016 TLS Error: cannot locate HMAC in incoming packet from [AF_INET]84.183.196.195:52325
Mon Feb  8 20:18:58 2016 TLS Error: cannot locate HMAC in incoming packet from [AF_INET]84.183.196.195:52325
Mon Feb  8 20:19:06 2016 TLS Error: cannot locate HMAC in incoming packet from [AF_INET]84.183.196.195:52325
Mon Feb  8 20:19:13 2016 109.47.193.235:38940 WARNING: normally if you use --mssfix and/or --fragment, you should also set --tun-mtu 1500 (currently it is 1442)
Mon Feb  8 20:19:13 2016 109.47.193.235:38940 TLS: Initial packet from [AF_INET]109.47.193.235:38940, sid=b6758cd6 9ae9111f
Mon Feb  8 20:19:18 2016 109.47.193.235:38940 VERIFY OK: depth=1, C=DE, ST=CA, L=Slepo, O=Fort-Knox, OU=MyOrganizationalUnit, CN=come-on.takealookarround.biz, name=EasyRSA, emailAddress=me@myhost.mydomain
Mon Feb  8 20:19:18 2016 109.47.193.235:38940 VERIFY OK: depth=0, C=DE, ST=CA, L=Slepo, O=Fort-Knox, OU=MyOrganizationalUnit, CN=vusoloMS, name=EasyRSA, emailAddress=me@myhost.mydomain
Mon Feb  8 20:19:19 2016 109.47.193.235:38940 Data Channel Encrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
Mon Feb  8 20:19:19 2016 109.47.193.235:38940 Data Channel Encrypt: Using 256 bit message hash 'SHA256' for HMAC authentication
Mon Feb  8 20:19:19 2016 109.47.193.235:38940 Data Channel Decrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
Mon Feb  8 20:19:19 2016 109.47.193.235:38940 Data Channel Decrypt: Using 256 bit message hash 'SHA256' for HMAC authentication
Mon Feb  8 20:19:22 2016 109.47.193.235:38940 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 2048 bit RSA
Mon Feb  8 20:19:22 2016 109.47.193.235:38940 [vusoloMS] Peer Connection Initiated with [AF_INET]109.47.193.235:38940
Mon Feb  8 20:19:22 2016 vusoloMS/109.47.193.235:38940 MULTI_sva: pool returned IPv4=10.8.0.6, IPv6=(Not enabled)
Mon Feb  8 20:19:22 2016 vusoloMS/109.47.193.235:38940 MULTI: Learn: 10.8.0.6 -> vusoloMS/109.47.193.235:38940
Mon Feb  8 20:19:22 2016 vusoloMS/109.47.193.235:38940 MULTI: primary virtual IP for vusoloMS/109.47.193.235:38940: 10.8.0.6
Mon Feb  8 20:19:22 2016 TLS Error: cannot locate HMAC in incoming packet from [AF_INET]84.183.196.195:52325
Mon Feb  8 20:19:27 2016 vusoloMS/109.47.193.235:38940 PUSH: Received control message: 'PUSH_REQUEST'
Mon Feb  8 20:19:27 2016 vusoloMS/109.47.193.235:38940 send_push_reply(): safe_cap=940
Mon Feb  8 20:19:27 2016 vusoloMS/109.47.193.235:38940 SENT CONTROL [vusoloMS]: 'PUSH_REPLY,redirect-gateway def1 bypass-dhcp,dhcp-option DNS 8.8.8.8,dhcp-option DNS 8.8.4.4,route 10.8.0.1,topology net30,ping 30,ping-restart 600,ifconfig 10.8.0.6 10.8.0.5' (status=1)
Mon Feb  8 20:19:54 2016 TLS Error: cannot locate HMAC in incoming packet from [AF_INET]84.183.196.195:47774
Mon Feb  8 20:19:56 2016 TLS Error: cannot locate HMAC in incoming packet from [AF_INET]84.183.196.195:47774
Mon Feb  8 20:20:00 2016 TLS Error: cannot locate HMAC in incoming packet from [AF_INET]84.183.196.195:47774
Mon Feb  8 20:20:08 2016 TLS Error: cannot locate HMAC in incoming packet from [AF_INET]84.183.196.195:47774
Mon Feb  8 20:20:24 2016 TLS Error: cannot locate HMAC in incoming packet from [AF_INET]84.183.196.195:47774
Mon Feb  8 20:20:56 2016 TLS Error: cannot locate HMAC in incoming packet from [AF_INET]84.183.196.195:36804
Mon Feb  8 20:20:58 2016 TLS Error: cannot locate HMAC in incoming packet from [AF_INET]84.183.196.195:36804
Mon Feb  8 20:21:02 2016 TLS Error: cannot locate HMAC in incoming packet from [AF_INET]84.183.196.195:36804
Mon Feb  8 20:21:10 2016 TLS Error: cannot locate HMAC in incoming packet from [AF_INET]84.183.196.195:36804
Mon Feb  8 20:21:26 2016 TLS Error: cannot locate HMAC in incoming packet from [AF_INET]84.183.196.195:36804
Mon Feb  8 20:21:58 2016 TLS Error: cannot locate HMAC in incoming packet from [AF_INET]84.183.196.195:47998
Mon Feb  8 20:22:00 2016 TLS Error: cannot locate HMAC in incoming packet from [AF_INET]84.183.196.195:47998
Mon Feb  8 20:22:04 2016 TLS Error: cannot locate HMAC in incoming packet from [AF_INET]84.183.196.195:47998
Mon Feb  8 20:22:13 2016 TLS Error: cannot locate HMAC in incoming packet from [AF_INET]84.183.196.195:47998
Mon Feb  8 20:22:29 2016 TLS Error: cannot locate HMAC in incoming packet from [AF_INET]84.183.196.195:47998
Mon Feb  8 20:23:00 2016 TLS Error: cannot locate HMAC in incoming packet from [AF_INET]84.183.196.195:43180
Mon Feb  8 20:23:02 2016 TLS Error: cannot locate HMAC in incoming packet from [AF_INET]84.183.196.195:43180
Mon Feb  8 20:23:06 2016 TLS Error: cannot locate HMAC in incoming packet from [AF_INET]84.183.196.195:43180
Mon Feb  8 20:23:14 2016 TLS Error: cannot locate HMAC in incoming packet from [AF_INET]84.183.196.195:43180
Mon Feb  8 20:23:30 2016 TLS Error: cannot locate HMAC in incoming packet from [AF_INET]84.183.196.195:43180
Mon Feb  8 20:24:02 2016 TLS Error: cannot locate HMAC in incoming packet from [AF_INET]84.183.196.195:49838
Mon Feb  8 20:24:04 2016 TLS Error: cannot locate HMAC in incoming packet from [AF_INET]84.183.196.195:49838
Mon Feb  8 20:24:09 2016 TLS Error: cannot locate HMAC in incoming packet from [AF_INET]84.183.196.195:49838
Mon Feb  8 20:24:17 2016 TLS Error: cannot locate HMAC in incoming packet from [AF_INET]84.183.196.195:49838
Mon Feb  8 20:24:34 2016 TLS Error: cannot locate HMAC in incoming packet from [AF_INET]84.183.196.195:49838
Mon Feb  8 20:25:04 2016 TLS Error: cannot locate HMAC in incoming packet from [AF_INET]84.183.196.195:59700
Mon Feb  8 20:25:06 2016 TLS Error: cannot locate HMAC in incoming packet from [AF_INET]84.183.196.195:59700
Mon Feb  8 20:25:10 2016 TLS Error: cannot locate HMAC in incoming packet from [AF_INET]84.183.196.195:59700
Mon Feb  8 20:25:18 2016 TLS Error: cannot locate HMAC in incoming packet from [AF_INET]84.183.196.195:59700
Mon Feb  8 20:25:34 2016 TLS Error: cannot locate HMAC in incoming packet from [AF_INET]84.183.196.195:59700
Mon Feb  8 20:26:06 2016 TLS Error: cannot locate HMAC in incoming packet from [AF_INET]84.183.196.195:46282
Mon Feb  8 20:26:09 2016 TLS Error: cannot locate HMAC in incoming packet from [AF_INET]84.183.196.195:46282
Mon Feb  8 20:26:13 2016 TLS Error: cannot locate HMAC in incoming packet from [AF_INET]84.183.196.195:46282
Mon Feb  8 20:26:21 2016 TLS Error: cannot locate HMAC in incoming packet from [AF_INET]84.183.196.195:46282
Mon Feb  8 20:26:37 2016 TLS Error: cannot locate HMAC in incoming packet from [AF_INET]84.183.196.195:46282
Mon Feb  8 20:27:09 2016 TLS Error: cannot locate HMAC in incoming packet from [AF_INET]84.183.196.195:50391
Mon Feb  8 20:27:10 2016 TLS Error: cannot locate HMAC in incoming packet from [AF_INET]84.183.196.195:50391
Mon Feb  8 20:27:15 2016 TLS Error: cannot locate HMAC in incoming packet from [AF_INET]84.183.196.195:50391
Mon Feb  8 20:27:23 2016 TLS Error: cannot locate HMAC in incoming packet from [AF_INET]84.183.196.195:50391
Mon Feb  8 20:27:39 2016 TLS Error: cannot locate HMAC in incoming packet from [AF_INET]84.183.196.195:50391
Mon Feb  8 20:28:11 2016 TLS Error: cannot locate HMAC in incoming packet from [AF_INET]84.183.196.195:55926
Mon Feb  8 20:28:13 2016 TLS Error: cannot locate HMAC in incoming packet from [AF_INET]84.183.196.195:55926
Mon Feb  8 20:28:17 2016 TLS Error: cannot locate HMAC in incoming packet from [AF_INET]84.183.196.195:55926
Mon Feb  8 20:28:26 2016 TLS Error: cannot locate HMAC in incoming packet from [AF_INET]84.183.196.195:55926
Mon Feb  8 20:28:42 2016 TLS Error: cannot locate HMAC in incoming packet from [AF_INET]84.183.196.195:55926
Mon Feb  8 20:29:13 2016 TLS Error: cannot locate HMAC in incoming packet from [AF_INET]84.183.196.195:41233
Mon Feb  8 20:29:15 2016 TLS Error: cannot locate HMAC in incoming packet from [AF_INET]84.183.196.195:41233
Mon Feb  8 20:29:19 2016 TLS Error: cannot locate HMAC in incoming packet from [AF_INET]84.183.196.195:41233
Mon Feb  8 20:29:27 2016 TLS Error: cannot locate HMAC in incoming packet from [AF_INET]84.183.196.195:41233
Mon Feb  8 20:29:43 2016 TLS Error: cannot locate HMAC in incoming packet from [AF_INET]84.183.196.195:41233
Im Router hab ich die Zeit der Zwangstrennung mal geändert, und schwusb war der Client wieder raus.

Der Log im Client sagt für den Zeitraum folgendees

Code: Alles auswählen

Mon Feb  8 20:18:28 2016 WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
Mon Feb  8 20:18:28 2016 WARNING: normally if you use --mssfix and/or --fragment, you should also set --tun-mtu 1500 (currently it is 1442)
Mon Feb  8 20:18:28 2016 Socket Buffers: R=[163840->131072] S=[163840->131072]
Mon Feb  8 20:18:33 2016 UDPv4 link local: [undef]
Mon Feb  8 20:18:33 2016 UDPv4 link remote: [AF_INET]91.38.140.68:4624
Mon Feb  8 20:18:59 2016 event_wait : Interrupted system call (code=4)
Mon Feb  8 20:18:59 2016 /sbin/ip route del 10.8.0.1/32
Mon Feb  8 20:18:59 2016 /sbin/ip route del 91.38.144.94/32
ip: RTNETLINK answers: No such process
Mon Feb  8 20:18:59 2016 ERROR: Linux route delete command failed: external program exited with error status: 2
Mon Feb  8 20:18:59 2016 /sbin/ip route del 0.0.0.0/1
Mon Feb  8 20:18:59 2016 /sbin/ip route del 128.0.0.0/1
Mon Feb  8 20:18:59 2016 Closing TUN/TAP interface
Mon Feb  8 20:18:59 2016 /sbin/ip addr del dev tun0 local 10.8.0.18 peer 10.8.0.17
Mon Feb  8 20:18:59 2016 SIGTERM[hard,] received, process exiting
Mon Feb  8 20:19:11 2016 OpenVPN 2.3.6 mipsel-oe-linux-gnu [SSL (OpenSSL)] [LZO] [EPOLL] [MH] [IPv6] built on Nov 13 2015
Mon Feb  8 20:19:11 2016 library versions: OpenSSL 1.0.2a 19 Mar 2015, LZO 2.09
Mon Feb  8 20:19:11 2016 WARNING: file '/etc/openvpn/vusoloms.key' is group or others accessible
Mon Feb  8 20:19:11 2016 WARNING: file '/etc/openvpn/ta.key' is group or others accessible
Mon Feb  8 20:19:11 2016 Control Channel Authentication: using '/etc/openvpn/ta.key' as a OpenVPN static key file
Mon Feb  8 20:19:11 2016 Outgoing Control Channel Authentication: Using 256 bit message hash 'SHA256' for HMAC authentication
Mon Feb  8 20:19:11 2016 Incoming Control Channel Authentication: Using 256 bit message hash 'SHA256' for HMAC authentication
Mon Feb  8 20:19:11 2016 WARNING: normally if you use --mssfix and/or --fragment, you should also set --tun-mtu 1500 (currently it is 1442)
Mon Feb  8 20:19:11 2016 Socket Buffers: R=[163840->131072] S=[163840->131072]
Mon Feb  8 20:19:11 2016 UDPv4 link local: [undef]
Mon Feb  8 20:19:11 2016 UDPv4 link remote: [AF_INET]91.38.140.68:4624
Mon Feb  8 20:19:12 2016 TLS: Initial packet from [AF_INET]91.38.140.68:4624, sid=3fb58e63 360ce922
Mon Feb  8 20:19:14 2016 Authenticate/Decrypt packet error: bad packet ID (may be a replay): [ #4 / time = (1454959153) Mon Feb  8 20:19:13 2016 ] -- see the man page entry for --no-replay and --replay-window for more info or silence this warning with --mute-replay-warnings
Mon Feb  8 20:19:14 2016 TLS Error: incoming packet authentication failed from [AF_INET]91.38.140.68:4624
Mon Feb  8 20:19:14 2016 Authenticate/Decrypt packet error: bad packet ID (may be a replay): [ #5 / time = (1454959153) Mon Feb  8 20:19:13 2016 ] -- see the man page entry for --no-replay and --replay-window for more info or silence this warning with --mute-replay-warnings
Mon Feb  8 20:19:14 2016 TLS Error: incoming packet authentication failed from [AF_INET]91.38.140.68:4624
Mon Feb  8 20:19:15 2016 VERIFY OK: depth=1, C=DE, ST=CA, L=Slepo, O=Fort-Knox, OU=MyOrganizationalUnit, CN=meinedyndns.biz, name=EasyRSA, emailAddress=me@myhost.mydomain
Mon Feb  8 20:19:15 2016 VERIFY OK: nsCertType=SERVER
Mon Feb  8 20:19:15 2016 VERIFY OK: depth=0, C=DE, ST=CA, L=Slepo, O=Fort-Knox, OU=MyOrganizationalUnit, CN=meinedyndns.biz, name=EasyRSA, emailAddress=me@myhost.mydomain
Mon Feb  8 20:19:21 2016 Data Channel Encrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
Mon Feb  8 20:19:21 2016 Data Channel Encrypt: Using 256 bit message hash 'SHA256' for HMAC authentication
Mon Feb  8 20:19:21 2016 Data Channel Decrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
Mon Feb  8 20:19:21 2016 Data Channel Decrypt: Using 256 bit message hash 'SHA256' for HMAC authentication
Mon Feb  8 20:19:23 2016 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 2048 bit RSA
Mon Feb  8 20:19:23 2016 [meinedyndns.biz] Peer Connection Initiated with [AF_INET]91.38.140.68:4624
Mon Feb  8 20:19:26 2016 SENT CONTROL [meinedyndns.biz]: 'PUSH_REQUEST' (status=1)
Mon Feb  8 20:19:26 2016 PUSH: Received control message: 'PUSH_REPLY,redirect-gateway def1 bypass-dhcp,dhcp-option DNS 8.8.8.8,dhcp-option DNS 8.8.4.4,route 10.8.0.1,topology net30,ping 30,ping-restart 600,ifconfig 10.8.0.6 10.8.0.5'
Mon Feb  8 20:19:26 2016 OPTIONS IMPORT: timers and/or timeouts modified
Mon Feb  8 20:19:26 2016 OPTIONS IMPORT: --ifconfig/up options modified
Mon Feb  8 20:19:26 2016 OPTIONS IMPORT: route options modified
Mon Feb  8 20:19:26 2016 OPTIONS IMPORT: --ip-win32 and/or --dhcp-option options modified
Mon Feb  8 20:19:26 2016 ROUTE_GATEWAY 192.168.43.1/255.255.255.0 IFACE=wlan0 HWADDR=80:1f:02:60:e9:49
Mon Feb  8 20:19:26 2016 TUN/TAP device tun0 opened
Mon Feb  8 20:19:26 2016 TUN/TAP TX queue length set to 100
Mon Feb  8 20:19:26 2016 do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
Mon Feb  8 20:19:26 2016 /sbin/ip link set dev tun0 up mtu 1442
Mon Feb  8 20:19:26 2016 /sbin/ip addr add dev tun0 local 10.8.0.6 peer 10.8.0.5
Mon Feb  8 20:19:26 2016 /sbin/ip route add 91.38.140.68/32 via 192.168.43.1
Mon Feb  8 20:19:26 2016 /sbin/ip route add 0.0.0.0/1 via 10.8.0.5
Mon Feb  8 20:19:26 2016 /sbin/ip route add 128.0.0.0/1 via 10.8.0.5
Mon Feb  8 20:19:26 2016 /sbin/ip route add 10.8.0.1/32 via 10.8.0.5
Mon Feb  8 20:19:26 2016 Initialization Sequence Completed
Mon Feb  8 20:20:51 2016 Authenticate/Decrypt packet error: bad packet ID (may be a replay): [ #20 ] -- see the man page entry for --no-replay and --replay-window for more info or silence this warning with --mute-replay-warnings
Mon Feb  8 20:22:22 2016 Authenticate/Decrypt packet error: bad packet ID (may be a replay): [ #59 ] -- see the man page entry for --no-replay and --replay-window for more info or silence this warning with --mute-replay-warnings
Mon Feb  8 20:22:22 2016 Authenticate/Decrypt packet error: bad packet ID (may be a replay): [ #60 ] -- see the man page entry for --no-replay and --replay-window for more info or silence this warning with --mute-replay-warnings
Mon Feb  8 20:23:00 2016 Authenticate/Decrypt packet error: bad packet ID (may be a replay): [ #74 ] -- see the man page entry for --no-replay and --replay-window for more info or silence this warning with --mute-replay-warnings
Mon Feb  8 20:23:00 2016 Authenticate/Decrypt packet error: bad packet ID (may be a replay): [ #75 ] -- see the man page entry for --no-replay and --replay-window for more info or silence this warning with --mute-replay-warnings
Mon Feb  8 20:24:15 2016 Authenticate/Decrypt packet error: bad packet ID (may be a replay): [ #418 ] -- see the man page entry for --no-replay and --replay-window for more info or silence this warning with --mute-replay-warnings
Mon Feb  8 20:24:25 2016 Authenticate/Decrypt packet error: bad packet ID (may be a replay): [ #430 ] -- see the man page entry for --no-replay and --replay-window for more info or silence this warning with --mute-replay-warnings
Mon Feb  8 20:24:44 2016 Authenticate/Decrypt packet error: bad packet ID (may be a replay): [ #448 ] -- see the man page entry for --no-replay and --replay-window for more info or silence this warning with --mute-replay-warnings
Mon Feb  8 20:24:44 2016 Authenticate/Decrypt packet error: bad packet ID (may be a replay): [ #449 ] -- see the man page entry for --no-replay and --replay-window for more info or silence this warning with --mute-replay-warnings
Mon Feb  8 20:24:57 2016 Authenticate/Decrypt packet error: bad packet ID (may be a replay): [ #465 ] -- see the man page entry for --no-replay and --replay-window for more info or silence this warning with --mute-replay-warnings
Mon Feb  8 20:26:02 2016 Authenticate/Decrypt packet error: bad packet ID (may be a replay): [ #518 ] -- see the man page entry for --no-replay and --replay-window for more info or silence this warning with --mute-replay-warnings
Mon Feb  8 20:26:17 2016 Authenticate/Decrypt packet error: bad packet ID (may be a replay): [ #528 ] -- see the man page entry for --no-replay and --replay-window for more info or silence this warning with --mute-replay-warnings
Mon Feb  8 20:26:17 2016 Authenticate/Decrypt packet error: bad packet ID (may be a replay): [ #529 ] -- see the man page entry for --no-replay and --replay-window for more info or silence this warning with --mute-replay-warnings
Mon Feb  8 20:26:28 2016 Authenticate/Decrypt packet error: bad packet ID (may be a replay): [ #533 ] -- see the man page entry for --no-replay and --replay-window for more info or silence this warning with --mute-replay-warnings
Mon Feb  8 20:26:28 2016 Authenticate/Decrypt packet error: bad packet ID (may be a replay): [ #534 ] -- see the man page entry for --no-replay and --replay-window for more info or silence this warning with --mute-replay-warnings
Mon Feb  8 20:26:42 2016 Authenticate/Decrypt packet error: bad packet ID (may be a replay): [ #538 ] -- see the man page entry for --no-replay and --replay-window for more info or silence this warning with --mute-replay-warnings
Mon Feb  8 20:27:07 2016 Authenticate/Decrypt packet error: bad packet ID (may be a replay): [ #548 ] -- see the man page entry for --no-replay and --replay-window for more info or silence this warning with --mute-replay-warnings
Mon Feb  8 20:27:16 2016 Authenticate/Decrypt packet error: bad packet ID (may be a replay): [ #551 ] -- see the man page entry for --no-replay and --replay-window for more info or silence this warning with --mute-replay-warnings
Mon Feb  8 20:27:46 2016 Authenticate/Decrypt packet error: bad packet ID (may be a replay): [ #566 ] -- see the man page entry for --no-replay and --replay-window for more info or silence this warning with --mute-replay-warnings
Mon Feb  8 20:27:46 2016 Authenticate/Decrypt packet error: bad packet ID (may be a replay): [ #567 ] -- see the man page entry for --no-replay and --replay-window for more info or silence this warning with --mute-replay-warnings
Mon Feb  8 20:37:46 2016 [meinedyndns.biz] Inactivity timeout (--ping-restart), restarting
Mon Feb  8 20:37:46 2016 SIGUSR1[soft,ping-restart] received, process restarting
Mon Feb  8 20:37:46 2016 Restart pause, 2 second(s)
Mon Feb  8 20:37:48 2016 WARNING: normally if you use --mssfix and/or --fragment, you should also set --tun-mtu 1500 (currently it is 1442)
Mon Feb  8 20:37:48 2016 Socket Buffers: R=[163840->131072] S=[163840->131072]
Mon Feb  8 20:37:50 2016 UDPv4 link local: [undef]
Mon Feb  8 20:37:50 2016 UDPv4 link remote: [AF_INET]91.38.137.132:4624
Mon Feb  8 20:38:50 2016 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Mon Feb  8 20:38:50 2016 TLS Error: TLS handshake failed
Mon Feb  8 20:38:50 2016 SIGUSR1[soft,tls-error] received, process restarting
Mon Feb  8 20:38:50 2016 Restart pause, 2 second(s)
Mon Feb  8 20:38:52 2016 WARNING: normally if you use --mssfix and/or --fragment, you should also set --tun-mtu 1500 (currently it is 1442)
Mon Feb  8 20:38:52 2016 Socket Buffers: R=[163840->131072] S=[163840->131072]
Mon Feb  8 20:38:54 2016 UDPv4 link local: [undef]
Mon Feb  8 20:38:54 2016 UDPv4 link remote: [AF_INET]91.38.137.132:4624
Den MTU werde ich gleich noch ändern. Melde mich dann dazu auch noch mal.

EDIT:
Hatte die MTU bereits geändert, jetzt heist es abwarten.
Nach oben
Antworten

Zurück zu „Netzwerk“