OpenVPN mit Cyberghost

Heute ist Stammtischzeit:
Jeden Donnerstag 20:30 Uhr hier im Chat.
Wer Lust hat, kann sich gerne beteiligen. ;)
  • Moin allerseits,
    ich benötige mal Hilfe bei OpenVPN mit Cyberghost auf einem Raspi 2 B.
    Soweit läuft es, startet nach dem Booten und baut einen PVN_Tunnel. Die Funktion überwache ich mit einem LCD auf dem die öffentliche IP
    angezeigt wird. Installiert habe ich nach der Anleitung von Cyberghost.
    Nun zum Fehler:
    Nach einer Netz-Trennung des Internet-Anbieters ( nachts, oder über die FRitzbox von mir ausgelöst) wird der VPN-Tunnel nicht wieder aufgebaut.
    Damit greift der Raspi mit der originalen Internet-IP zu. Das ist nicht gerade sicher und natürlich unerwünscht.
    Wo und was muss ich ändern, damit OpenVPN richtig funktioniert. Bitte um entsprechende Ideen, vielen Dank.
    Gruß debas26


  • Nach einer Netz-Trennung des Internet-Anbieters ( nachts, oder über die FRitzbox von mir ausgelöst) wird der VPN-Tunnel nicht wieder aufgebaut.
    Damit greift der Raspi mit der originalen Internet-IP zu. Das ist nicht gerade sicher und natürlich unerwünscht.
    Wo und was muss ich ändern, damit OpenVPN richtig funktioniert.

    Dafür solltest Du die config deines OpenVPN-Clienten und, mit bzw. ohne Zwangstrennung, vom Client-Log (mit verbose 3) die Ausgaben nach einem:

    Code
    sudo kill -s USR1 $(pidof openvpn)


    , posten.

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Meine PIs

    PI4B/8GB (border device) OpenBSD 7.4 (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server

    PI3B+ FreeBSD 14.0-R-p3 (arm64): SSH-Serv., WireGuard-Serv., ircd-hybrid-Serv., stunnel-Proxy, Mumble-Serv., ddclient

    PI4B/4GB Bullseye-lite (64bit; modifiziert): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server, botamusique, ample

    Einmal editiert, zuletzt von rpi444 (26. Februar 2016 um 11:33)

  • Danke rpi444 für Deine schnelle Reaktion, allerdings mache ich das zum erstenmal, also eher Laie ;)
    Geht das bitte detailierter für einen Linux-Dummi? Aber lernwillig :)
    Gruß debas26


  • Geht das bitte detailierter ...

    Mit den Tasten strg + alt + t auf dem PI einen Terminal öffnen und dann dort jeweils eingeben:

    Code
    cat /etc/openvpn/client.conf


    bzw.

    Code
    sudo kill -s USR1 $(pidof openvpn)


    und nach jeder Eingabe die enter-Taste drücken. Die Ausgaben (... ohne die Kommentar-Zeilen; "#") hier in code-Blocks posten.

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Meine PIs

    PI4B/8GB (border device) OpenBSD 7.4 (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server

    PI3B+ FreeBSD 14.0-R-p3 (arm64): SSH-Serv., WireGuard-Serv., ircd-hybrid-Serv., stunnel-Proxy, Mumble-Serv., ddclient

    PI4B/4GB Bullseye-lite (64bit; modifiziert): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server, botamusique, ample

  • Also,
    nach dem cat Befehl erfolgt die Ausgabe:
    Meine heißt CG_DE.conf


    Nach dem zweiten Befehl erfolgt keine Ausgabe.
    Liegt mein Problem vieleicht daran das ich Raspian Jessie benutze?
    debas26

    Einmal editiert, zuletzt von debas26 (26. Februar 2016 um 14:46)


  • Nach dem zweiten Befehl erfolgt keine Ausgabe.

    Poste mal aus dem Terminal deines PI, die richtig anonymisierte Ausgabe von:

    Code
    sudo tail -n 400 /var/log/syslog


    in code-Blocks.

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Meine PIs

    PI4B/8GB (border device) OpenBSD 7.4 (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server

    PI3B+ FreeBSD 14.0-R-p3 (arm64): SSH-Serv., WireGuard-Serv., ircd-hybrid-Serv., stunnel-Proxy, Mumble-Serv., ddclient

    PI4B/4GB Bullseye-lite (64bit; modifiziert): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server, botamusique, ample

  • sudo tail -n 400 /var/log/syslog

    Das ergibt folgende Ausgabe:

    Ausgabe wenn es korrekt läuft.


  • Ausgabe wenn es korrekt läuft.

    Das ist aber mit "verb 4", statt "verb 3".

    Wie ist die Ausgabe mit "verb 3" in der client.conf, wenn es nicht korrekt läuft?

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Meine PIs

    PI4B/8GB (border device) OpenBSD 7.4 (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server

    PI3B+ FreeBSD 14.0-R-p3 (arm64): SSH-Serv., WireGuard-Serv., ircd-hybrid-Serv., stunnel-Proxy, Mumble-Serv., ddclient

    PI4B/4GB Bullseye-lite (64bit; modifiziert): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server, botamusique, ample

  • Moin,
    hier ist die Ausgabe mit verbose 3 und nach IP-Wechsel (Fehlfunktion):

    Da bin ich gespannt :)
    Gruß debas26

    Einmal editiert, zuletzt von debas26 (27. Februar 2016 um 09:13)


  • hier ist die Ausgabe mit verbose 3 und nach IP-Wechsel (Fehlfunktion):

    Code
    Feb 27 08:58:35 raspberrypi ovpn-CG_DE[476]: [CyberGhost] Inactivity timeout (--ping-exit), exiting
    ...
    Feb 27 08:58:35 raspberrypi ovpn-CG_DE[476]: SIGTERM received, sending exit notification to peer

    Entferne mal aus der config des Clienten die Eintragungen:

    Code
    ping 5
    ping-exit 60
    ping-timer-rem


    und trage dort:

    Code
    ping-restart 0


    und falls es nicht besser wird, dann ändere den Wert 0 auf 300 (oder einen anderen Wert der dem ungünstigsten Verhalten deiner FritzBox bei der Zwangstrennung entspricht).

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Meine PIs

    PI4B/8GB (border device) OpenBSD 7.4 (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server

    PI3B+ FreeBSD 14.0-R-p3 (arm64): SSH-Serv., WireGuard-Serv., ircd-hybrid-Serv., stunnel-Proxy, Mumble-Serv., ddclient

    PI4B/4GB Bullseye-lite (64bit; modifiziert): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server, botamusique, ample

    Einmal editiert, zuletzt von rpi444 (27. Februar 2016 um 11:26)

  • So, ich habe das so geändert wie vorgeschlagen, dann nimmt er zwar nach der Unterbrechung nicht mehr die Native IP des Providers, sondern stellt gar keine Verbindung wieder her..
    Die Zwangsunterbrechung an der Fritzbox dauert nur wenige Sekunden, normalerweise ist innerhalb 5-10s eine neue Verbindung da.
    Macht es da Sinn ping-restart auf 300 zu setzen?


  • Die Zwangsunterbrechung an der Fritzbox dauert nur wenige Sekunden, normalerweise ist innerhalb 5-10s eine neue Verbindung da.

    D. h. der Zeitraum in dem die Geräte (Clients) im W/LAN der FritzBox keine Internetverbindung haben, beträgt lediglich bzw. maximal 10 Sekunden?

    Versuch dann mal mit einen "ping-restart"-Wert von 60 Sekunden in der config des VPN-Clienten. Wenn der VPN-Client in diesem Zeitraum keinen erfolgreichen bzw. keinen gegenseitigen Datenaustausch mit dem VPN-Server hat, wird ein "SIGUSR1 restart" auf dem VPN-Client eingeleitet.

    Evtl. wird durch das "SIGUSR1 soft", die Verbindung zum Server erneut und "schonend" hergestellt/aufgebaut.

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Meine PIs

    PI4B/8GB (border device) OpenBSD 7.4 (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server

    PI3B+ FreeBSD 14.0-R-p3 (arm64): SSH-Serv., WireGuard-Serv., ircd-hybrid-Serv., stunnel-Proxy, Mumble-Serv., ddclient

    PI4B/4GB Bullseye-lite (64bit; modifiziert): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server, botamusique, ample

    Einmal editiert, zuletzt von rpi444 (27. Februar 2016 um 12:49)

  • Gut, ich teste nochmal mit 60. Aber zwischenzeitlich hatte ich mit 300 getestet. Es erfolgt keine neue VPN-Verbindung
    Automatisch zusammengefügt:
    Nein, auch mit ping-restart 60 bleibt es dabei, es wird keine neue Verbindung hergestellt. Meine LCD-Anzeige zeigt eine leere IP und auch mit Iceweasel ist keine Internetverbindung möglich.
    Die Unterbrechung an der Fritzbox habe ich mit 6s gestoppt, dann war eine neue IP da.

    Einmal editiert, zuletzt von debas26 (27. Februar 2016 um 13:19)


  • Nein, auch mit ping-restart 60 bleibt es dabei, es wird keine neue Verbindung hergestellt.

    Dann teste mal mit 1., einem "hard SIGUSR1":

    Code
    sudo kill -s USR1 $(pidof openvpn)


    ob nach der Zwangstrennung eine VPN-Verbindung wieder hergestellt wird, ... und 2., wenn das nicht der Fall ist, dann mit einem restart (Neustart) des VPN-Clienten (in einem geeigneten Zeitraum) nach der Zwangstrennung durch die FritzBox:

    Code
    sudo service openvpn restart


    (oder gleichwertig).

    EDIT:

    Maßgebend ist nicht wann nach der Zwangstrennung die neue IP der FritzBox (als border device) wieder da ist, sondern zu welchem Zeitpunkt nach der Zwangstrennung, die Clients im Heimnetz (W/LAN) der FritzBox, das Internet (... d. h. Datenaustausch mit dem Internet möglich ist) erfolgreich nutzen können.

    EDIT 2:

    BTW: Wenn Du auf deinem PI, den avahi-daemon nicht brauchst, dann deinstallieren, IPv6 blacklisten wenn nicht benötigt und den ntp so konfigurieren, dass dieser IPv6 und das Entstehen/Verschwinden von neuen Interfaces (hier tun+) einfach ignoriert.

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Meine PIs

    PI4B/8GB (border device) OpenBSD 7.4 (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server

    PI3B+ FreeBSD 14.0-R-p3 (arm64): SSH-Serv., WireGuard-Serv., ircd-hybrid-Serv., stunnel-Proxy, Mumble-Serv., ddclient

    PI4B/4GB Bullseye-lite (64bit; modifiziert): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server, botamusique, ample

    Einmal editiert, zuletzt von rpi444 (27. Februar 2016 um 14:22)

  • Der Raspi-Client bekommt ca. 3-5s nach der Fritzbox eine neue IP (bei gestopptem openvpn)

    Nach einem:

    Code
    sudo kill -s USR1 $(pidof openvpn)

    erfolgt entweder keine Reaktion oder VPN wird gestoppt.
    Ist es gestoppt, erfolgt keine automatische Neuverbindung.
    es läßt sich mit:

    Code
    sudo service openvpn start

    nicht wieder neu starten, auch nicht mit restart.
    Erst nach einem Neuboot läuft es wieder, obwohl der Start nach dem Booten gestern und auch heute immer wieder unsicher war.

    In einer Stunde schau ich wieder rein.
    Gruß debas26

    Einmal editiert, zuletzt von debas26 (27. Februar 2016 um 14:54)


  • erfolgt entweder keine Reaktion oder VPN wird gestoppt.
    Ist es gestoppt, erfolgt keine automatische Neuverbindung.
    es läßt sich mit:

    Code
    sudo service openvpn start

    nicht wieder neu starten, auch nicht mit restart.

    Naja, ich habe ja auch "restart" geschrieben und nicht "start". Ist der Dienst, mit "restart" wenigstens beendet/gestoppt worden? Denn wenn der Dienst nicht richtig gestoppt (d. h. nicht richtig beendet ist), dann wirst Du diesen evtl. mit:

    Code
    sudo service openvpn start


    nicht richtig (re)starten können. Dann wäre ein:

    Code
    sudo service openvpn stop


    oder ein:

    Code
    sudo kill -15 $(pidof openvpn)


    oder

    Code
    sudo killall openvpn
    Code
    service openvpn status
    ps -fC openvpn
    ps aux | grep -i openvpn | grep -v grep
    Code
    sudo service openvpn start


    schon besser.

    Wenn es so auch (ohne ein reboot des PI) nicht funktioniert, dann liegt es evtl. am Server von Cyberghost. Hast Du bei Cyberghost einen kostenpflichtigen account, der dann evtl. auch supportet wird?

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Meine PIs

    PI4B/8GB (border device) OpenBSD 7.4 (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server

    PI3B+ FreeBSD 14.0-R-p3 (arm64): SSH-Serv., WireGuard-Serv., ircd-hybrid-Serv., stunnel-Proxy, Mumble-Serv., ddclient

    PI4B/4GB Bullseye-lite (64bit; modifiziert): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server, botamusique, ample

    Einmal editiert, zuletzt von rpi444 (27. Februar 2016 um 15:20)

  • So nach einem Neustart nach der Kaffeepause ist das Verhalten etwas anders.
    Nach einem:

    Code
    sudo kill -15 $(pidof openvpn)

    Da kommt jetzt als Ausgabe die Provider-IP und die bleibt aber, kein automatischer Restart von VPN.

    Nach einem anschließendem:

    Code
    sudo service openvpn restart

    läuft vpn wieder.
    Mein Cyberghost Account ist kostenpflichtig. Die Startprobleme bei einem Neustart kamen daher, das OpenVPN nicht automatisch gestartet war. Erst nach einem:

    Code
    sudo update-rc.d openvpn enable


    funktionierte der Autostart wieder (mehrfach, war immer mal wieder weg)


  • Nach einem:

    Code
    sudo kill -15 $(pidof openvpn)

    Da kommt jetzt als Ausgabe die Provider-IP und die bleibt aber, kein automatischer Restart von VPN.

    Das verstehe ich jetzt nicht, denn mit "kill -15 PID" sollte der VPN-Client beednet (gekillt) werden.

    Viel wichtiger wäre jetzt zu wissen, was nach deiner geänderten Konfiguration, das SIGUSR1 bewirkt?

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Meine PIs

    PI4B/8GB (border device) OpenBSD 7.4 (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server

    PI3B+ FreeBSD 14.0-R-p3 (arm64): SSH-Serv., WireGuard-Serv., ircd-hybrid-Serv., stunnel-Proxy, Mumble-Serv., ddclient

    PI4B/4GB Bullseye-lite (64bit; modifiziert): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server, botamusique, ample

  • Moin,
    da ist wohl ein Verständnisproblem meinerseits. Nach "sudo kill -15 $(pidof openvpn)" soll der Dienst gekillt sein, soll der danach automatisch neu starten oder nicht?
    Für heute und morgen bin ich verhindert und melde mich spätestens am 1. oder 2..3. wieder. Zunächst herzlichen Dank.
    Gruß debas26


  • Nach "sudo kill -15 $(pidof openvpn)" soll der Dienst gekillt sein, soll der danach automatisch neu starten oder nicht?

    Nein, denn gekillt ist gekillt, da wird nicht neu gestartet.

    Wenn Du das willst, dann solltest Du:

    Code
    sudo kill -s USR1 $(pidof openvpn)


    oder

    Code
    sudo service openvpn restart


    und wenn das mit dem restart nicht funktioniert (... weil evtl. Interfaces und Routen so nicht "vernichtet" werden können), dann:

    Code
    sudo service openvpn stop
    Code
    sudo service openvpn start


    verwenden.

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Meine PIs

    PI4B/8GB (border device) OpenBSD 7.4 (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server

    PI3B+ FreeBSD 14.0-R-p3 (arm64): SSH-Serv., WireGuard-Serv., ircd-hybrid-Serv., stunnel-Proxy, Mumble-Serv., ddclient

    PI4B/4GB Bullseye-lite (64bit; modifiziert): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server, botamusique, ample

    Einmal editiert, zuletzt von rpi444 (28. Februar 2016 um 15:05)

Jetzt mitmachen!

Du hast noch kein Benutzerkonto auf unserer Seite? Registriere dich kostenlos und nimm an unserer Community teil!