Hallo zusammen,
ich habe mich mal wieder an OpenVPN versucht, aber leider klappt es auch nach einem Jahr noch nicht
Ich hab OpenVPN installiert wie in der Anleitung bei jankarres.de (Artikel). Lief alles flüssig durch, aber leider kann ich mich nicht von außen verbinden. Ich erhalte folgende Fehlermeldung:
Sun Apr 12 15:08:15 2015 OpenVPN 2.3.6 i686-w64-mingw32 [SSL (OpenSSL)] [LZO] [PKCS11] [IPv6] built on Mar 19 2015
Sun Apr 12 15:08:15 2015 library versions: OpenSSL 1.0.1m 19 Mar 2015, LZO 2.08
Sun Apr 12 15:08:15 2015 WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
Sun Apr 12 15:08:15 2015 Socket Buffers: R=[65536->65536] S=[65536->65536]
Sun Apr 12 15:08:15 2015 UDPv4 link local: [undef]
Sun Apr 12 15:08:15 2015 UDPv4 link remote: [AF_INET]<mypublicIP>:1194
Sun Apr 12 15:08:15 2015 TLS: Initial packet from [AF_INET]<mypublicIP>:1194, sid=61d9ef38 b4e945a1
Sun Apr 12 15:09:15 2015 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Sun Apr 12 15:09:15 2015 TLS Error: TLS handshake failed
Sun Apr 12 15:09:15 2015 SIGUSR1[soft,tls-error] received, process restarting
Sun Apr 12 15:09:15 2015 Restart pause, 2 second(s)
Alles anzeigen
Ich bin mal so frei, meine Config Files zu posten:
openvpn.conf
dev tun
proto udp
port 1194
ca /etc/openvpn/easy-rsa/keys/ca.crt
cert /etc/openvpn/easy-rsa/keys/server.crt
key /etc/openvpn/easy-rsa/keys/server.key
dh /etc/openvpn/easy-rsa/keys/dh1024.pem
user nobody
group nogroup
server 10.8.0.0 255.255.255.0
persist-key
persist-tun
status /var/log/openvpn-status.log
verb 3
client-to-client
push "redirect-gateway def1 bypass-dhcp"
#set the dns servers
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 8.8.4.4"
log-append /var/log/openvpn
comp-lzo
duplicate-cn
keepalive 10 120
Alles anzeigen
raspberrypi.opvn
dev tun
client
proto udp
remote <mypublicIP> 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client1.crt
key client1.key
comp-lzo
verb 3
Alles anzeigen
Und noch einige System Outputs ...
route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
0.0.0.0 192.168.0.1 0.0.0.0 UG 0 0 0 wlan0
10.8.0.0 10.8.0.2 255.255.255.0 UG 0 0 0 tun0
10.8.0.2 0.0.0.0 255.255.255.255 UH 0 0 0 tun0
192.168.0.0 0.0.0.0 255.255.255.0 U 0 0 0 wlan0
iptables -nvx -L
Chain INPUT (policy ACCEPT 551 packets, 64970 bytes)
pkts bytes target prot opt in out source destination
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
Chain OUTPUT (policy ACCEPT 603 packets, 74340 bytes)
pkts bytes target prot opt in out source destination
sudo netstat -tulpen
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address Foreign Address State User Inode PID/Program name
tcp 0 0 127.0.0.1:3306 0.0.0.0:* LISTEN 108 6732 2742/mysqld
tcp 0 0 0.0.0.0:139 0.0.0.0:* LISTEN 0 6183 2164/smbd
tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN 0 6201 2208/apache2
tcp 0 0 0.0.0.0:10001 0.0.0.0:* LISTEN 1000 7237 3060/ccnet-server
tcp 0 0 0.0.0.0:8082 0.0.0.0:* LISTEN 1000 7317 3087/seaf-server
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 0 7052 2995/sshd
tcp 0 0 0.0.0.0:445 0.0.0.0:* LISTEN 0 6181 2164/smbd
tcp 0 0 0.0.0.0:8000 0.0.0.0:* LISTEN 1000 7727 3259/python2.7
tcp 0 0 0.0.0.0:12001 0.0.0.0:* LISTEN 1000 7314 3087/seaf-server
udp 0 0 0.0.0.0:20390 0.0.0.0:* 0 5545 1769/dhclient
udp 0 0 0.0.0.0:1194 0.0.0.0:* 0 6923 2934/openvpn
udp 0 0 0.0.0.0:68 0.0.0.0:* 0 5567 1769/dhclient
udp 0 0 10.8.0.1:123 0.0.0.0:* 102 7088 2364/ntpd
udp 0 0 192.168.0.51:123 0.0.0.0:* 0 6393 2364/ntpd
udp 0 0 127.0.0.1:123 0.0.0.0:* 0 6392 2364/ntpd
udp 0 0 0.0.0.0:123 0.0.0.0:* 0 6388 2364/ntpd
udp 0 0 192.168.0.255:137 0.0.0.0:* 0 6140 2161/nmbd
udp 0 0 192.168.0.51:137 0.0.0.0:* 0 6139 2161/nmbd
udp 0 0 0.0.0.0:137 0.0.0.0:* 0 6136 2161/nmbd
udp 0 0 192.168.0.255:138 0.0.0.0:* 0 6142 2161/nmbd
udp 0 0 192.168.0.51:138 0.0.0.0:* 0 6141 2161/nmbd
udp 0 0 0.0.0.0:138 0.0.0.0:* 0 6137 2161/nmbd
Alles anzeigen
In meiner FB-Firewall habe ich den Port 1194 für UDP und TCP weitergeleitet auf den Pi. Komischerweise wird mir der Port aber bei Port Checkern als geschlossen angezeigt. Ich vermute daher, dass irgendwas mit dem Service nicht stimmt, und dass es nicht an potentiellen Clients liegt. [update] Wobei ich gerade gelesen habe, dass UDP schwierig zu überprüfen sein soll. Bei pentest-tools.com habe ich gerade als Meldung "PORT STATE SERVICE - 1194/udp open|filtered openvpn " erhalten, wobei alle anderen Seiten, die mir Google in den Top10 gegeben hat, sagen, dass der Port zu sei.
Was sagt ihr dazu? Was könnte ich überprüfen, oder woran könnte es liegen?
Bin für jeden Hinweise sehr dankbar!
***
edit
Ich habe es gerade intern im Heimnetz (ja, ich gehe auch davon aus, dass es im LAN eh nicht funktioniert) probiert und in der Console von OpenVPN kam folgendes Log zustande:
Tue Apr 14 16:11:28 2015 WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
Tue Apr 14 16:11:28 2015 Socket Buffers: R=[65536->65536] S=[65536->65536]
Tue Apr 14 16:11:28 2015 UDPv4 link local: [undef]
Tue Apr 14 16:11:28 2015 UDPv4 link remote: [AF_INET]<lokaleIP>:1194
Tue Apr 14 16:11:28 2015 TLS: Initial packet from [AF_INET]<lokaleIP>:1194, sid=054ab75b 0d70f4e5
Tue Apr 14 16:11:28 2015 VERIFY OK: depth=1, C=DE, ST=<...>, L=<...>, O=<...>, OU=IT, CN=Pi-Seafile, name=<...>, emailAddress=<...>
Tue Apr 14 16:11:28 2015 VERIFY OK: depth=0, C=DE, ST=<...>, L=<...>, O=<...>, OU=IT, CN=Pi-Seafile, name=<...>, emailAddress=<...>
Tue Apr 14 16:11:28 2015 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Tue Apr 14 16:11:28 2015 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Tue Apr 14 16:11:28 2015 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Tue Apr 14 16:11:28 2015 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Tue Apr 14 16:11:28 2015 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
Tue Apr 14 16:11:28 2015 [Pi-Seafile] Peer Connection Initiated with [AF_INET]<lokaleIP>:1194
Tue Apr 14 16:11:30 2015 SENT CONTROL [Pi-Seafile]: 'PUSH_REQUEST' (status=1)
Tue Apr 14 16:11:30 2015 PUSH: Received control message: 'PUSH_REPLY,redirect-gateway def1 bypass-dhcp,dhcp-option DNS 8.8.8.8,dhcp-option DNS 8.8.4.4,route 10.8.0.0 255.255.255.0,topology net30,ping 10,ping-restart 120,ifconfig 10.8.0.10 10.8.0.9'
Tue Apr 14 16:11:30 2015 OPTIONS IMPORT: timers and/or timeouts modified
Tue Apr 14 16:11:30 2015 OPTIONS IMPORT: --ifconfig/up options modified
Tue Apr 14 16:11:30 2015 OPTIONS IMPORT: route options modified
Tue Apr 14 16:11:30 2015 OPTIONS IMPORT: --ip-win32 and/or --dhcp-option options modified
Tue Apr 14 16:11:30 2015 do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
Tue Apr 14 16:11:30 2015 open_tun, tt->ipv6=0
Tue Apr 14 16:11:30 2015 TAP-WIN32 device [LAN-Verbindung] opened: \\.\Global\{AC0A61FD-693C-45BC-B4AE-1D6469AE480D}.tap
Tue Apr 14 16:11:30 2015 TAP-Windows Driver Version 9.21
Tue Apr 14 16:11:30 2015 Notified TAP-Windows driver to set a DHCP IP/netmask of 10.8.0.10/255.255.255.252 on interface {AC0A61FD-693C-45BC-B4AE-1D6469AE480D} [
DHCP-serv: 10.8.0.9, lease-time: 31536000]
Tue Apr 14 16:11:30 2015 NOTE: FlushIpNetTable failed on interface [23] {AC0A61FD-693C-45BC-B4AE-1D6469AE480D} (status=5) : Zugriff verweigert
Tue Apr 14 16:11:36 2015 TEST ROUTES: 0/0 succeeded len=1 ret=0 a=0 u/d=down
Tue Apr 14 16:11:36 2015 Route: Waiting for TUN/TAP interface to come up...
Tue Apr 14 16:11:42 2015 TEST ROUTES: 0/0 succeeded len=1 ret=0 a=0 u/d=down
Tue Apr 14 16:11:42 2015 Route: Waiting for TUN/TAP interface to come up...
Tue Apr 14 16:11:43 2015 TEST ROUTES: 0/0 succeeded len=1 ret=0 a=0 u/d=down
Tue Apr 14 16:11:43 2015 Route: Waiting for TUN/TAP interface to come up...
Tue Apr 14 16:11:44 2015 TEST ROUTES: 0/0 succeeded len=1 ret=0 a=0 u/d=down
Tue Apr 14 16:11:44 2015 Route: Waiting for TUN/TAP interface to come up...
Alles anzeigen
Sieht für mich so aus, als würde es im LAN halbwegs funktionieren. Mich wundert dann aber, dass der Zugriff von außen so gar nicht geht und gleich geblockt wird
Ich hab auch mal einen Screenshot von den Freigaben in der FritzBox angehängt.