OpenVPN disconnect

[warl0ck]

Hallo,
um von der Firma aus auf mein Heimnetz zugreifen zu können, nutze ich einen OpenVPN tunnel.
Leider habe ich dabei folgendes Problem: Der Tunnel baut sich ohne Probleme auf nach ca 15 bis 20 sec bricht die Verbindung ab, und er reconnectet.

Code: Alles auswählen

Thu Jan 15 09:48:49 2009 Initialization Sequence Completed
Thu Jan 15 09:48:56 2009 Connection reset, restarting [0]
Thu Jan 15 09:48:56 2009 TCP/UDP: Closing socket
Thu Jan 15 09:48:56 2009 SIGUSR1[soft,connection-reset] received, process restarting
Thu Jan 15 09:48:56 2009 Restart pause, 5 second(s)
Thu Jan 15 09:49:01 2009 IMPORTANT: OpenVPN's default port number is now 1194, based on an official port number assignment by IANA.  OpenVPN 2.0-beta16 and earlier used 5000 as the default port.
Thu Jan 15 09:49:01 2009 WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
Thu Jan 15 09:49:01 2009 Re-using SSL/TLS context
Thu Jan 15 09:49:01 2009 LZO compression initialized
Thu Jan 15 09:49:01 2009 Control Channel MTU parms [ L:1544 D:140 EF:40 EB:0 ET:0 EL:0 ]
Thu Jan 15 09:49:01 2009 Data Channel MTU parms [ L:1544 D:1450 EF:44 EB:135 ET:0 EL:0 AF:3/1 ]
Thu Jan 15 09:49:01 2009 Local Options hash (VER=V4): '69109d17'
Thu Jan 15 09:49:01 2009 Expected Remote Options hash (VER=V4): 'c0103fa8'
Thu Jan 15 09:49:01 2009 Attempting to establish TCP connection with 129.181.210.73:8080
Thu Jan 15 09:49:01 2009 TCP connection established with 129.181.210.73:8080
Thu Jan 15 09:49:01 2009 Send to HTTP proxy: 'CONNECT h3ll.homelinux.net:443 HTTP/1.0'
Thu Jan 15 09:49:02 2009 HTTP proxy returned: 'HTTP/1.0 200 Connection established'
Thu Jan 15 09:49:02 2009 TCPv4_CLIENT link local: [undef]
Thu Jan 15 09:49:02 2009 TCPv4_CLIENT link remote: 129.181.210.73:8080
Thu Jan 15 09:49:02 2009 TLS: Initial packet from 129.181.210.73:8080, sid=6f20ade9 0679bfa5
Thu Jan 15 09:49:03 2009 VERIFY OK: depth=1, /C=DE/ST=NRW/L=Cologne/O=H3ll-home/emailAddress=nc-stolarth@netcologne.de
Thu Jan 15 09:49:03 2009 VERIFY OK: depth=0, /C=DE/ST=NRW/O=H3ll-home/CN=gateway/emailAddress=nc-stolarth@netcologne.de
Thu Jan 15 09:49:04 2009 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Thu Jan 15 09:49:04 2009 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Thu Jan 15 09:49:04 2009 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Thu Jan 15 09:49:04 2009 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Thu Jan 15 09:49:04 2009 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
Thu Jan 15 09:49:04 2009 [gateway] Peer Connection Initiated with 129.181.210.73:8080
Thu Jan 15 09:49:05 2009 SENT CONTROL [gateway]: 'PUSH_REQUEST' (status=1)
Thu Jan 15 09:49:05 2009 PUSH: Received control message: 'PUSH_REPLY,route 192.168.1.0 255.255.255.0,redirect-gateway,route 10.8.0.0 255.255.255.0,ping 10,ping-restart 120,ifconfig 10.8.0.6 10.8.0.5'
Thu Jan 15 09:49:05 2009 OPTIONS IMPORT: timers and/or timeouts modified
Thu Jan 15 09:49:05 2009 OPTIONS IMPORT: --ifconfig/up options modified
Thu Jan 15 09:49:05 2009 OPTIONS IMPORT: route options modified
Thu Jan 15 09:49:05 2009 Preserving previous TUN/TAP instance: tun1
Thu Jan 15 09:49:05 2009 Initialization Sequence Completed

Client config

Code: Alles auswählen

pull
client
dev tun
proto tcp
remote h3ll.*********** 443
resolv-retry infinite
nobind
user nobody
group nogroup
persist-key
persist-tun
ca /opt/keys/***.crt
cert /opt/keys/client.crt
key /opt/keys/client1.key
comp-lzo
verb 3
http-proxy 129.***.***.73 8080

Server config

Code: Alles auswählen

port 443
proto tcp
dev tun
ca /opt/keys/ca.crt
cert /opt/keys/server.crt
key /opt/keys/server.key
dh /opt/keys/dh1024.pem
server 10.8.0.0 255.255.255.0
push "route 192.168.1.0 255.255.255.0"
push "redirect-gateway"
ifconfig-pool-persist ipp.txt
client-to-client
keepalive 10 120
comp-lzo
user nobody
group nogroup
persist-key
persist-tun
status openvpn-status.log
verb 3

Feuer frei...


Grüße
Tim

[Duff]

Wenn du die IP-Adressen nicht preisgeben willst, dann ändere sie auch im ersten Code-Auszug, wo du die Verbindung zum Server vom Client aus aufbaust

Ich verwende bei mir udp anstelle von tcp.

Was sagen denn die Logfiles (z.B. die von openvpn)?

[warl0ck]

OpenVPN log

Code: Alles auswählen

Thu Jan 15 15:23:24 2009 TCP connection established with 213.61.164.122:41591
Thu Jan 15 15:23:24 2009 TCPv4_SERVER link local: [undef]
Thu Jan 15 15:23:24 2009 TCPv4_SERVER link remote: 213.61.164.122:41591
Thu Jan 15 15:23:24 2009 213.61.164.122:41591 TLS: Initial packet from 213.61.164.122:41591, sid=690ba99c 0884a9b1
Thu Jan 15 15:23:26 2009 213.61.164.122:41591 VERIFY OK: depth=1, /C=DE/ST=NRW/L=Cologne/O=H3ll-home/emailAddress=nc-stolarth@netcologne.de
Thu Jan 15 15:23:26 2009 213.61.164.122:41591 VERIFY OK: depth=0, /C=DE/ST=NRW/O=H3ll-home/CN=gateway/emailAddress=nc-stolarth@netcologne.de
Thu Jan 15 15:23:26 2009 213.61.164.122:41591 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Thu Jan 15 15:23:26 2009 213.61.164.122:41591 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Thu Jan 15 15:23:26 2009 213.61.164.122:41591 NOTE: --mute triggered...
Thu Jan 15 15:23:26 2009 213.61.164.122:41591 3 variation(s) on previous 5 message(s) suppressed by --mute
Thu Jan 15 15:23:26 2009 213.61.164.122:41591 [gateway] Peer Connection Initiated with 213.61.164.122:41591
Thu Jan 15 15:23:26 2009 gateway/213.61.164.122:41591 TCP/UDP: Closing socket
Thu Jan 15 15:23:26 2009 MULTI: new connection by client 'gateway' will cause previous active sessions by this client to be dropped.  Remember to use the --duplicate-cn option if you want multiple clients using the same certificate or username to concurrently connect.
Thu Jan 15 15:23:26 2009 MULTI: Learn: 10.8.0.6 -> gateway/213.61.164.122:41591
Thu Jan 15 15:23:26 2009 MULTI: primary virtual IP for gateway/213.61.164.122:41591: 10.8.0.6
Thu Jan 15 15:23:27 2009 gateway/213.61.164.122:41591 PUSH: Received control message: 'PUSH_REQUEST'
Thu Jan 15 15:23:27 2009 gateway/213.61.164.122:41591 SENT CONTROL [gateway]: 'PUSH_REPLY,route 192.168.1.0 255.255.255.0,redirect-gateway,route 10.8.0.0 255.255.255.0,ping 10,ping-restart 120,ifconfig 10.8.0.6 10.8.0.5' (status=1)
Thu Jan 15 15:23:32 2009 MULTI: multi_create_instance called
Thu Jan 15 15:23:32 2009 Re-using SSL/TLS context
Thu Jan 15 15:23:32 2009 LZO compression initialized
Thu Jan 15 15:23:32 2009 Control Channel MTU parms [ L:1544 D:140 EF:40 EB:0 ET:0 EL:0 ]
Thu Jan 15 15:23:32 2009 Data Channel MTU parms [ L:1544 D:1450 EF:44 EB:135 ET:0 EL:0 AF:3/1 ]
Thu Jan 15 15:23:32 2009 Local Options hash (VER=V4): 'c0103fa8'
Thu Jan 15 15:23:32 2009 Expected Remote Options hash (VER=V4): '69109d17'
Thu Jan 15 15:23:32 2009 TCP connection established with 213.61.164.122:41622

[Duff]

Also ich kann so auch erstmal keinen Fehler erkennen.
Was siehtst du denn für Meldungen, wenn die Verbindung nach ca. 20 Sekunden abgebrochen wird?

Weiß nicht ob es relevant ist, aber hast du den MTU-Wert von 1500 herunter gesetzt?

[warl0ck]

ich rufe die verbindung in der console auf openvpn /etc/openvpn/client.conf
und das was ich davon sehe (in der console) ist das, was ich im ersten Post schon geschrieben habe.

Code: Alles auswählen

Thu Jan 15 09:48:56 2009 Connection reset, restarting [0]
Thu Jan 15 09:48:56 2009 TCP/UDP: Closing socket
Thu Jan 15 09:48:56 2009 SIGUSR1[soft,connection-reset] received, process restarting
Thu Jan 15 09:48:56 2009 Restart pause, 5 second(s)

[chroiss]

dann kuck mal aufm server in den logs, denn von dem wirst du das SIGNAL (SIGUSR1) initiiert kriegen.

gruss chroiss

[warl0ck]

Oben, unter OpenVPN log steht ein ausschnitt des Server logs...
Aber das sagt mir nicht wirklich was.

[chroiss]

hm, das ist ja was. auch wenn es nicht befriedigend ist , aber hast du schon mal probiert es auf tap und udp umzustellen ??? (da es sich um dein heimnetz handelt - wohl eher ja )
ich denke das dann solche meldungen nicht mehr auftauchen können.

gruss chroiss

[warl0ck]

Werde es testen sobald ich wieder in der in der Firma bin.
Danke!

[Duff]

hm, das ist ja was. auch wenn es nicht befriedigend ist , aber hast du schon mal probiert es auf tap und udp umzustellen ??? (da es sich um dein heimnetz handelt - wohl eher ja )
ich denke das dann solche meldungen nicht mehr auftauchen können.

gruss chroiss

Würde es mit dem tun-device und udp versuchen.
So mache ich es auch und es funktioniert soweit ganz gut.

Meine client.conf:

Code: Alles auswählen

client
float
dev tun
tun-mtu 1492
fragment 1300
mssfix
proto udp
remote mydyndns.org 65100
#tls-remote server
ca /etc/openvpn/vpn-ca.pem
cert /etc/openvpn/Mycert.pem
key /etc/openvpn/Mykey.pem
auth SHA1
cipher aes-256-cbc
nobind
comp-lzo yes
persist-key
persist-tun
verb 3

[chroiss]

Würde es mit dem tun-device und udp versuchen.

Hehe , und ich mit tap und es funktioniert perfekt.
Keine Ahnung was davon wirklich besser funkt.
Aber über udp sind wir uns einig !?
Gruesse chroiss

[warl0ck]

Welche Variante auch immer....
Hauptsache .. es läuft ...

Grüße,
Tim

[warl0ck]

udp scheint keine Lösung zu sein!
Options error: --http-proxy MUST be used in TCP Client mode (i.e. --proto tcp-client)


Lösung?

[chroiss]

naja wahrscheinlich würde es klappen, wenn du den proxy manuell eingibst, und nicht per openvpn erzwingst (also die proxyzeile rausnimmst).

gruss chroiss