Portunity und OpenVPN

L I V E Stammtisch ab 20:30 Uhr im Chat
  • Hallo,

    ich habe mir vor kurzem einen Raspi zugelegt, um als LTE-Kunde ohne öffentliche IP über einen OpenVPN-Tunnel auf meine Haussteuerung zugreifen zu können.

    Leider bin ich absoluter Linux Neuling und scheitere schon am Aufbau des Tunnels.

    Ich bin nach der Anleitung von Portunity vorgegangen, leider erhalte ich bei starten des Tunnels folgende Fehlermeldung:

    Mon Sep 2 10:32:49 2013 OpenVPN 2.2.1 arm-linux-gnueabihf [SSL] [LZO2] [EPOLL] [PKCS11] [eurephia] [MH] [PF_INET6] [IPv6 payload 20110424-2 (2.2RC2)] built on Jun 15 2013
    Mon Sep 2 10:32:49 2013 WARNING: file 'portunity.login' is group or others accessible
    Mon Sep 2 10:32:49 2013 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
    Mon Sep 2 10:32:49 2013 WARNING: file 'portunity/ta.key' is group or others accessible
    Mon Sep 2 10:32:49 2013 Control Channel Authentication: using 'portunity/ta.key' as a OpenVPN static key file
    Mon Sep 2 10:32:49 2013 Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
    Mon Sep 2 10:32:49 2013 Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
    Mon Sep 2 10:32:49 2013 Control Channel MTU parms [ L:1545 D:166 EF:66 EB:0 ET:0 EL:0 ]
    Mon Sep 2 10:32:49 2013 UDP: Cannot create UDP6 socket: Address family not supported by protocol (errno=97)
    Mon Sep 2 10:32:49 2013 Exiting

    Vielleicht kann mir ja jemand unterstützend unter die Arme greifen?

    Vielen Dank

    Taf

  • Mon Sep 2 10:32:49 2013 WARNING: file 'portunity/ta.key' is group or others accessible

    Vielleicht kann mir ja jemand unterstützend unter die Arme greifen?

    Vielen Dank

    Taf

    Die Rechte des Keyfile sind falsch.


    Code
    chmod 600 /pfad/zum/portunity/ta.key


    Und du benutzt IPv6, ist das so richtig ?
    Poste mal die OpenVPN Config.

    Offizieller Schmier und Schmutzfink des Forum.
    Warum einfach wenn's auch schwer geht ?

    Kein Support per PN !
    Fragen bitte hier im Forum stellen. So hat jeder etwas davon.

  • Erstmal Danke für Deine Hilfe!

    Die Rechte habe ich nun geändert, meine Config sieht so aus:

    client
    dev tun
    #proto udp
    tun-mtu 1500
    fragment 1400
    mssfix
    remote ipv6.openvpn.ffm.portunity.de 1194 udp6
    auth-retry interact
    resolv-retry infinite
    nobind
    persist-key
    persist-tun
    ca portunity/ca.crt
    tls-auth portunity/ta.key 1
    ns-cert-type server

    # Debug Level
    verb 3
    #tun-ipv6

    # Bitte editieren Sie die Datei "/etc/openvpn/portunity.login" an und passen
    # Ihre Benutzernamen und Ihre Passwort an
    # Bitte beachten Sie das nicht in allen OpenVPN Paketen die Möglichkeit einkompiliert ist
    # die Zugangsdaten aus einer separaten Datei zu lesen dann kommentieren Sie die folgenden
    # Zeilen bitte um

    ## Zugangsdaten abfragen und nicht aus einer Datei lesen
    # auth-user-pass

    ## Zugangsdaten aus einer Datei lesen
    auth-user-pass portunity.login


    # Den Tunnel als Default Gateway nutzen! Wenn Sie dies nicht möchten
    # dann kommentieren oder löschen Sie folgende Zeile!
    # Eine Alternative dazu ist unter Linux PBR Policy Based Routing.
    # Zu finden in unserem WIKI unter folgendem Link:
    # http://www.portunity.de/access/wiki/PB…ased_Routing%29
    redirect-gateway
    route 0.0.0.0 0.0.0.0 188.246.4.1 65000


    # Den Tunnel nach dem aufbau alle Rechte entziehen (Nicht bei Windows möglich)
    # Bitte beachten Sie das es die Gruppe "nogroup" auf anderen Distributionen
    # auch "nobody" heisen kann. Dann bitte einfach die Kommentare ändern!
    #user nobody
    #group nobody
    #group nogroup


    Danke

  • OK,
    IPv6, da bin ich erst mal raus, ich hab keinen Schimmer wie das bei Portunity läuft.
    Da wird das Problem wohl schon bei LTE sein.
    Sorry......

    Offizieller Schmier und Schmutzfink des Forum.
    Warum einfach wenn's auch schwer geht ?

    Kein Support per PN !
    Fragen bitte hier im Forum stellen. So hat jeder etwas davon.

  • Im Grunde würde sich nur folgende Zeile in der config ändern :

    Das muß dann auch der tarif hergeben, der Kostenlose von Portunity kann nur IPv6

    Code
    remote ipv6.openvpn.ffm.portunity.de 1194 udp6

    nach

    Code
    remote openvpn.ffm.portunity.de 1194

    wäre ja mal einen Versuch wert.

    Offizieller Schmier und Schmutzfink des Forum.
    Warum einfach wenn's auch schwer geht ?

    Kein Support per PN !
    Fragen bitte hier im Forum stellen. So hat jeder etwas davon.

    Einmal editiert, zuletzt von Der_Imperator (2. September 2013 um 13:46)

  • Danke Dir!

    die Config habe ich nun geändert, leider wird immer noch versucht einen Tunnel über IPv6 zu öffen, hier das log:

    Mon Sep 2 13:43:52 2013 OpenVPN 2.2.1 arm-linux-gnueabihf [SSL] [LZO2] [EPOLL] [PKCS11] [eurephia] [MH] [PF_INET6] [IPv6 payload 20110424-2 (2.2RC2)] built on Jun 15 2013
    Mon Sep 2 13:43:52 2013 WARNING: file 'portunity.login' is group or others accessible
    Mon Sep 2 13:43:52 2013 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
    Mon Sep 2 13:43:52 2013 Control Channel Authentication: using 'portunity/ta.key' as a OpenVPN static key file
    Mon Sep 2 13:43:52 2013 Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
    Mon Sep 2 13:43:52 2013 Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
    Mon Sep 2 13:43:52 2013 Control Channel MTU parms [ L:1545 D:166 EF:66 EB:0 ET:0 EL:0 ]
    Mon Sep 2 13:43:52 2013 Socket Buffers: R=[163840->131072] S=[163840->131072]
    Mon Sep 2 13:43:52 2013 Data Channel MTU parms [ L:1545 D:1400 EF:45 EB:4 ET:0 EL:0 ]
    Mon Sep 2 13:43:52 2013 Fragmentation MTU parms [ L:1545 D:1400 EF:45 EB:4 ET:0 EL:0 ]
    Mon Sep 2 13:43:52 2013 Local Options hash (VER=V4): '885414e3'
    Mon Sep 2 13:43:52 2013 Expected Remote Options hash (VER=V4): '8bcc3b84'
    Mon Sep 2 13:43:52 2013 UDPv4 link local: [undef]
    Mon Sep 2 13:43:52 2013 UDPv4 link remote: [AF_INET]188.246.0.50:1194
    Mon Sep 2 13:43:52 2013 TLS: Initial packet from [AF_INET]188.246.0.50:1194, sid=112b679b 18fafd3a
    Mon Sep 2 13:43:52 2013 WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
    Mon Sep 2 13:43:53 2013 VERIFY OK: depth=1, /C=DE/ST=NRW/L=Wuppertal/O=Portunity_GmbH/CN=Portunity_GmbH_CA/emailAddress=hostmaster@portuniy.de
    Mon Sep 2 13:43:53 2013 VERIFY OK: nsCertType=SERVER
    Mon Sep 2 13:43:53 2013 VERIFY OK: depth=0, /C=DE/ST=NRW/L=Wuppertal/O=Portunity_GmbH/CN=server/emailAddress=hostmaster@portuniy.de
    Mon Sep 2 13:43:53 2013 Replay-window backtrack occurred [1]
    Mon Sep 2 13:43:53 2013 WARNING: 'link-mtu' is used inconsistently, local='link-mtu 1545', remote='link-mtu 1485'
    Mon Sep 2 13:43:53 2013 WARNING: 'tun-mtu' is used inconsistently, local='tun-mtu 1500', remote='tun-mtu 1440'
    Mon Sep 2 13:43:53 2013 WARNING: 'proto' is used inconsistently, local='proto UDPv4', remote='proto UDPv6'
    Mon Sep 2 13:43:53 2013 WARNING: 'tun-ipv6' is present in remote config but missing in local config, remote='tun-ipv6'
    Mon Sep 2 13:43:53 2013 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
    Mon Sep 2 13:43:53 2013 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
    Mon Sep 2 13:43:53 2013 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
    Mon Sep 2 13:43:53 2013 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
    Mon Sep 2 13:43:53 2013 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
    Mon Sep 2 13:43:53 2013 [server] Peer Connection Initiated with [AF_INET]188.246.0.50:1194
    Mon Sep 2 13:43:55 2013 SENT CONTROL [server]: 'PUSH_REQUEST' (status=1)
    Mon Sep 2 13:43:55 2013 PUSH: Received control message: 'PUSH_REPLY,ifconfig-ipv6 2a02:a00:e00f:ffff::8:4085/64 2a02:a00:e00f:ffff::1,ping 10,ping-restart 60,route-ipv6 fe80::8,tun-ipv6,route-gateway 188.246.4.1,topology subnet,ifconfig 188.246.6.74 255.255.252.0'
    Mon Sep 2 13:43:55 2013 OPTIONS IMPORT: timers and/or timeouts modified
    Mon Sep 2 13:43:55 2013 OPTIONS IMPORT: --ifconfig/up options modified
    Mon Sep 2 13:43:55 2013 OPTIONS IMPORT: route options modified
    Mon Sep 2 13:43:55 2013 OPTIONS IMPORT: route-related options modified
    Mon Sep 2 13:43:55 2013 ROUTE default_gateway=192.168.1.1
    Mon Sep 2 13:43:55 2013 ROUTE6: default_gateway=UNDEF
    Mon Sep 2 13:43:55 2013 TUN/TAP device tun0 opened
    Mon Sep 2 13:43:55 2013 TUN/TAP TX queue length set to 100
    Mon Sep 2 13:43:55 2013 do_ifconfig, tt->ipv6=1, tt->did_ifconfig_ipv6_setup=1
    Mon Sep 2 13:43:55 2013 /sbin/ifconfig tun0 188.246.6.74 netmask 255.255.252.0 mtu 1500 broadcast 188.246.7.255
    Mon Sep 2 13:43:55 2013 /sbin/ifconfig tun0 inet6 add 2a02:a00:e00f:ffff::8:4085/64
    No support for INET6 on this system.
    Mon Sep 2 13:43:55 2013 Linux ifconfig inet6 failed: external program exited with error status: 1
    Mon Sep 2 13:43:55 2013 Exiting

  • Sieht so aus als wenn du um IPv6 nicht herrumkommst.

    Also :
    nano /etc/modules
    Am Ende einfügen :

    Code
    ipv6

    Dann
    nano /etc/sysctl.conf

    Den Eintrag

    Code
    #net.ipv6.conf.all.forwarding=1

    Suchen und das Bracket vorne weg.


    Code
    modprobe ipv6
    sysctl -p

    Aktiviert das IPv6 und das Routing

    Jetzt noch in der Openvpn Config

    Code
    tun-ipv6


    Und nocheinmal versuchen.

    Ach ja.
    Ich möchte noch anmerken das wenn du eine Public IPv6 Adresse an deinem PI hast der mit
    Hose Runter im Internet steht.
    Da ist kein NAT Router mehr dazwischen, alle Ports hängen offen am Internet.
    Hier musst du dann entsprechende Maßnahmen ergreifen um denen PI zu sichern.

    Offizieller Schmier und Schmutzfink des Forum.
    Warum einfach wenn's auch schwer geht ?

    Kein Support per PN !
    Fragen bitte hier im Forum stellen. So hat jeder etwas davon.

    Einmal editiert, zuletzt von Der_Imperator (2. September 2013 um 14:24)

  • Gibt hier irgendwo nen Thread.
    Geht mit IP Tables.
    Musst mal die SuFu nutzen.

    EDIT:
    Schau mal hier :
    http://www.gtkdb.de/index_36_2167.html

    Du musst halt nur das TUN Interface nehmen. Da kommen deine Verbindungen rein.

    Offizieller Schmier und Schmutzfink des Forum.
    Warum einfach wenn's auch schwer geht ?

    Kein Support per PN !
    Fragen bitte hier im Forum stellen. So hat jeder etwas davon.

    Einmal editiert, zuletzt von Der_Imperator (2. September 2013 um 23:18)

  • TUN ist doch eh Routingmodus, daher muss da nicht viel gemacht werden.
    Das funktioniert nur mit IP-Paketen - andere Protokolle werden nicht unterstützt. Das Prinzip setzt also auf Layer 3 auf.
    Du bekommst doch eh nur Peer-to-Peer Verbindungen in einem /30 Netz, also NetzIP, IP des Servers, Deine IP, Netzmaske. Andere Teilnehmer solltest Du nicht erreichen und die auch nicht.
    Da sollte eh nichts vom Server ankommen, da dort explizit Forwarding aktiviert sein müsste. Sollte das aktiv sein würde ich in dem Fall eh einen anderen Anbieter suchen, da man für diesen Anwendungsfall gerade das ja nicht wollte.

    Jeder VPN Client müsste die Routen zu den anderen Teilnehmern kennen. Sie müssten diese wenn dann selbst setzen, hätten dann aber das Problem das Dein Endpoint nicht anworten würde/könnte, da er die Rückroute nicht kennt. Die Datenpakete würden in dem Fall an Dein Standard Gateway, vermutlich ein DSL-Router gehen und der kennt die Route auch nicht. Also werden sie dann verworfen.

    Hast Du irgendwelche Dienst laufen wie einen Webserver, MySQL Datenbank usw?
    Bei allen Diensten solltest Du das Listen auf deine interne IP setzen, so das sie nicht auch noch auf dem Tunneldevice mit lauschen und Anfragen entgegen nehmen.

    Als Vorsichtsmassnahme würde ich dann aber trotzdem per iptables eingehen über das TUN-Device nur das erlauben was Du ausgehend angefragt hast. Alles andere was reinkommt merkt der Kernel und vergleicht es mit dein Conntrack-Table und was er nicht findet soll dann rejected oder gedropped werden. Da ja eigentlich so ein Fall nie passieren sollte, sollte ja auch nicht aufschlagen. Daher vor dem Reject/Drop am besten noch ein -j LOG machen. Sollte da irgend etwas aufschlagen genau gucken was das ist und sollte es den Anschein haben das doch am Server Forwarding und Routing von anderen Netzen aktiviert ist sofort abschalten und den Anbieter hinterfragen.

    Findest Du zu iptables die Infos selbst oder sollen wir Dir dabei etwas auf die Sprünge helfen?

    Mal eben noch ein Nachtrag nachdem ich dein Logfile Auszug noch mal genauer angeguckt habe:

    Code
    Mon Sep  2 13:43:55 2013 /sbin/ifconfig tun0 188.246.6.74 netmask 255.255.252.0 mtu 1500 broadcast 188.246.7.255

    Wieso machen die denn bitte so etwas?

    Code
    188.246.6.74/255.255.252.0
    Address:   188.246.6.74         10111100.11110110.000001 10.01001010
    Netmask:   255.255.252.0 = 22   11111111.11111111.111111 00.00000000
    Wildcard:  0.0.3.255            00000000.00000000.000000 11.11111111
    =>
    Network:   188.246.4.0/22       10111100.11110110.000001 00.00000000
    HostMin:   188.246.4.1          10111100.11110110.000001 00.00000001
    HostMax:   188.246.7.254        10111100.11110110.000001 11.11111110
    Broadcast: 188.246.7.255        10111100.11110110.000001 11.11111111
    Hosts/Net: 1022                  Class B

    Kannst Du mal bei aufgebauten Tunnel bitte die Ausgabe von ifconfig oder ip hier mal eben rein posten?

    Code
    ifconfig tun0
    bzw.
    ip a s dev tun0

    2. Edit, ich sollte das Logfile nicht zu lange angucken :D

    Mir ist aber noch etwas aufgefallen, kleiner Schönheitsfehler, der aber auch gefährlich werden könnte.

    Code
    Mon Sep  2 13:43:53 2013 VERIFY OK: depth=1, /C=DE/ST=NRW/L=Wuppertal/O=Portunity_GmbH/CN=Portunity_GmbH_CA/emailAddress=hostmaster@portuniy.de

    Ganz hinten steht portuniy.de der Anbieter heisst aber protunity.de und die Domain portuniy.de ist nicht registriert. Könnte jetzt jeder registrieren und sich an die Mailadresse hostmaster@ ein richtiges Zertifikat erstellen lassen oder wenn man es geschickt macht ggf. auch ein aktuell offizielles vielleicht auch bei der CA erschleichen, wenn sie dafür ein "richtiges" Cert benutzen und nicht eh ein Selfsinged haben. :D
    Ist mir jetzt nur so aufgefallen, sind zwar auf dem ersten Blick Kleinigkeiten, aber macht in Summe einen nicht so guten Eindruck.

  • Hallo,

    ein Dank auch an Dich für die Hilfe, ich schau mir das mit den iptables mal an, wenn ich da nicht weiter weiß, melde ich mich noch mal ;)!

    Hier die gewünschte Ausgabe von ifconfig:

    tun0 Link encap:UNSPEC Hardware Adresse 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
    inet Adresse:188.246.6.74 P-z-P:188.246.6.74 Maske:255.255.252.0
    inet6-Adresse: 2a02:a00:e00f:ffff::8:4085/64 Gültigkeitsbereich:Global
    UP PUNKTZUPUNKT RUNNING NOARP MULTICAST MTU:1500 Metrik:1
    RX packets:584 errors:0 dropped:0 overruns:0 frame:0
    TX packets:1187 errors:0 dropped:0 overruns:0 carrier:0
    Kollisionen:0 Sendewarteschlangenlänge:100
    RX bytes:45478 (44.4 KiB) TX bytes:155889 (152.2 KiB)

    Grüße

    Einmal editiert, zuletzt von Taf73 (3. September 2013 um 20:08)

Jetzt mitmachen!

Du hast noch kein Benutzerkonto auf unserer Seite? Registriere dich kostenlos und nimm an unserer Community teil!