VPS - Ubuntu 16.04.3 LTS mit vorinstallierem OpenVPN Access Server

  • Moin,

    Ziel: VPN Bridge über den VPS. Öffentliche WLAN Zugänge sind nicht sooo sicher, daher wollte ich über ein VPN Tunnel über den VPS ins Internet.


    Hab auf meinem VPS Ubuntu 16.04.3 LTS mit OpenVPN Access Server installiert.


    Die Einstellungen habe ich entsprechend der folgenden Anleitung angepasst https://www.netcup-wiki.de/wiki/OpenVPN_Access_Server


    Wenn ich mit meinem Ubuntu Rechner darauf verbinden möchte erhalte ich:

    openvpn --config client.ovpn

    Tue Feb 13 22:13:50 2018 OpenVPN 2.3.2 x86_64-pc-linux-gnu [SSL (OpenSSL)] [LZO] [EPOLL] [PKCS11] [eurephia] [MH] [IPv6] built on Jun 22 2017

    Tue Feb 13 22:13:50 2018 Control Channel Authentication: tls-auth using INLINE static key file

    Tue Feb 13 22:13:50 2018 Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication

    Tue Feb 13 22:13:50 2018 Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication

    Tue Feb 13 22:13:50 2018 Socket Buffers: R=[212992->200000] S=[212992->200000]

    Tue Feb 13 22:13:50 2018 UDPv4 link local: [undef]

    Tue Feb 13 22:13:50 2018 UDPv4 link remote: [AF_INET]***IP***:1194

    Tue Feb 13 22:13:50 2018 TLS: Initial packet from [AF_INET]***IP***:1194, sid=669d1075 de8bca21

    Tue Feb 13 22:14:50 2018 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)

    Tue Feb 13 22:14:50 2018 TLS Error: TLS handshake failed

    Tue Feb 13 22:14:50 2018 SIGUSR1[soft,tls-error] received, process restarting

    Tue Feb 13 22:14:50 2018 Restart pause, 2 second(s)


    die Hilfe von openvpn ist nicht sehr hilfreich: https://openvpn.net/index.php/…network-connectivity.html

    Die ersten 4 angegebenen Punkte sollten stimmen, da vorinstalliert & ich nutz die Einstellungen die die Weboberfläche zur Verfügung stellt.

    Der letzte Punkt betrifft Windwos.


    Hier im Forum hatte ich einen Beitrag gefunden, wo ein User diesen Fehler mit einem anderen Port (53) umgehen konnte, auch das hat nicht funktioniert...


    Mein Androidhandy mit der offiziellen openVPN App baut eine VPN Verbindung zum Server auf. (mit benutzer@ip/autologin & Passwort - mit dem ausgegenbenen Configfile hat es auch nicht funktioniert.)


    Wo könnte es hängen?


    vg

    Norbert


    PS: das Configfile vom Client:

    setenv FORWARD_COMPATIBLE 1

    client

    server-poll-timeout 4

    nobind

    remote **IP** 1194 udp

    remote **IP** 443 tcp

    dev tun

    dev-type tun

    ns-cert-type server

    setenv opt tls-version-min 1.0 or-highest

    reneg-sec 604800

    sndbuf 100000

    rcvbuf 100000

    # NOTE: LZO commands are pushed by the Access Server at connect time.

    # NOTE: The below line doesn't disable LZO.

    comp-lzo no

    verb 3

    setenv PUSH_PEER_INFO

  • Hay,


    der Fehler ist leider sehr allgemein, hatte ich auch mal. Bei mir war es einmal ein Firewall-Issue, weil ich das tun-Interface keiner Zone zugewiesen hatte.


    CU, Peter

    Peter Kleemann // https://www.pkleemann.de // +49 621 1806222-0 // Kann Programme, Internet, Netzwerke und Telefon.

  • Hallo & danke für die Antworten! :)

    ... das tun-Interface keiner Zone zugewiesen hatte.

    Aus dieser Oberfläche erhalte ich leider keine weiteren Logs mit Hinweisen oder Fehlermeldungen... Hab's komplett durchgeklickt und finde nichts von tun-Interface und Zonen. Wenn ich mich mit ssh einlogge und ifconfig eingebe, erscheint kein tun... meinst du das? Wenn ja, wie bekomme ich das da rein?

    evtl auch ein MTU Problem? welchen Internet Anbieter hast du? evtl ein Anbieter mit dualstack Lite? falls ja: probier Mal eine MTU von 1200

    Hab es von 3 verschiedenen Anschlüssen getestet, 2 Router und ein Handyhotspot, immer das gleiche Ergebnis. link-mtu 1200 in den Configs hat leider keine besserung gebracht.

  • Hay,

    Hab's komplett durchgeklickt und finde nichts von tun-Interface und Zonen. Wenn ich mich mit ssh einlogge und ifconfig eingebe, erscheint kein tun... meinst du das? Wenn ja, wie bekomme ich das da rein?

    also nichts wie ... ?


    Code
    tun0      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00   -00
              inet addr:10.9.0.1  P-t-P:10.9.0.2  Mask:255.255.255.255
              UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1500  Metric:1
              RX packets:3178686 errors:0 dropped:0 overruns:0 frame:0
              TX packets:2883692 errors:0 dropped:0 overruns:0 carrier:0
              collisions:0 txqueuelen:100
              RX bytes:1688402249 (1610.1 Mb)  TX bytes:991297462 (945.3 Mb)

    Das würde ja bedeuten, das Interface ist gar nicht erst angelegt?

    Ich schicke dir mal meine client.conf - ist sehr minimalistisch.

    CU, Peter

    Peter Kleemann // https://www.pkleemann.de // +49 621 1806222-0 // Kann Programme, Internet, Netzwerke und Telefon.

  • Danke für die schnelle Antwort! :)


    tun0 gibts nicht, nur:

    as0t0, as0t1, ens3 und lo


    Also müsste ich das Interface nachrüsten? Müsste das nicht bei der Installation mit kommen? Ist ja ein fertiges Serverimage mit installiertem OpenVPN...

  • Hay,


    openvpn erstellt das tun-Device nach erfolgreichem Start, das ist nur ein virtuelles Interface. Musst nichts bestellen oder nachrüsten :D


    Kannst Du bitte mal ifconfig von as0t0 und as0t1 posten? Ich glaube fast, das sind die tun-Interfaces...


    CU, Peter

    Peter Kleemann // https://www.pkleemann.de // +49 621 1806222-0 // Kann Programme, Internet, Netzwerke und Telefon.

  • Moin & gerne:


    ...diese IP Adressen sind nicht die von meinem VPS.



    cu

    Norbert

  • Bei OpenVPN AS sind das die Interfaces von OpenVPN.

    Ich habe leider leine AS Version am laufen (nutze nur die OpenSource Variante).

    Kannst du ggf. deine Config vom Server posten?

    Hast du an der Firewall (kann man das bei dem Image?) was eingestellt?

  • Moin & danke für die Antwort!

    Hab das Image so wie es war gelassen, hab nur updates eingespielt (ohne die Updates hatte ich den gleichen effekt). Hab nur in der Oberfläche mein Client angelegt und wie im Wiki empfohlen bei Userath auf Local gestellt.


    die config vom Server... finde ich nicht.... unter /etc/ gibts kein openvpn Ordner

    und unter /usr/local/openvpn_as/ liegt sie auch nicht, nur ein OpenVPN AS 1.1 configuration file, das ist aber nicht die gesuchte server.conf


    Das Problem besteht nur bei meinem UbuntuLaptop. Mit meinem Androidhandy koopieriert er....:/

  • Mein Fehler, ich habe übersehen, das es mit Android funktioniert.

    Hm, sehe ich das richtig? Da sind 2 Remote Einträge in deiner client.conf? Der AS Server hört glaube ich auf beides, aber du solltest zum testen (bzw. wenn du später auch innerhalb des VPNs routen möchstest) nur auf UDP gehen.

    Kommentiere die Zeile einmal aus.

    Dann steht im Protokoll auch

    Code
    Tue Feb 13 22:13:50 2018 UDPv4 link local: [undef]

    Als Meldung drin. Da wird das device nichtangelegt.

    dev-type tun ist nur nötig wenn dein Device nicht mit tun/tap beginnt.

    Wenn du Ubuntu auf dem Client hast, kann es auch sein, dass der Network Manager da noch mitspielt. Hast du mal versucht, die Verbindung über die GUI aufzubauen?

  • Moin & danke für die Antwort! :)


    ja, da sind 2 drin, auch wenn ich nur die udp drin habe, kommt dieser Fehler.


    Wenn ich das über den NetworkManager versuche, rödelt er beim verbinden ewig rum, bis er dann sagt, das die VPN Verbindung nicht hergestellt werden kann. Leider hab ich da kein Log gefunden & er verrät mir auch nicht warum.



    VG
    Norbert


  • wenn ich "modprobe tun" eingebe passiert nichts, es erscheint einfach die nächste Eingabezeile ohne irgend eine Meldung.


    von der clientseite aus:


    :~$ telnet **ip-server** PORT

    Trying **ip-server**

    telnet: Unable to connect to remote host: Connection refused


    und:

    :~$ openssl s_client -connect **ip-server**:PORT

    connect: Connection refused

    connect:errno=111


    hab noch bissel nach den ausgaben gegoogelt aber nichts brauchbares gefunden...:/

  • Ok, wenn keine Fehlermeldung kommt, findet er das Modul.

    Einmal auf dem Server schauen, auf welchen Ports alles OpenVPN aktiv ist:

    netstat -anp | grep -i openvpn

    Ich denke der Dienst heißt auf dem AS genau so.

    Falls Port 443 auch erscheint: telnet IP 443

    Wenn das von deinem Rechner aus nicht geht, hast du lokal schon ein Problem.

    SSH zum Server selber funktioniert? Hast du vielleicht lokal eine Firewall laufen?

  • ja, ssh funktioniert einwandfrei. Firewall habe ich keine installiert.


    Serverseite:

    :~# netstat -anp | grep -i openvpn

    tcp 0 0 **ip-server**:443 0.0.0.0:* LISTEN 1375/openvpn-openss

    udp 0 0 **ip-server**:1194 0.0.0.0:* 1405/openvpn-openss

    unix 2 [ ACC ] STREAM HÖRT 15786 1323/python /usr/local/openvpn_as/etc/sock/sagent

    unix 2 [ ACC ] STREAM HÖRT 15789 1323/python /usr/local/openvpn_as/etc/sock/sagent.localroot

    unix 2 [ ACC ] STREAM HÖRT 15790 1323/python /usr/local/openvpn_as/etc/sock/sagent.api

    unix 3 [ ] DGRAM 16020 1375/openvpn-openss

    unix 3 [ ] DGRAM 16021 1392/openvpn-openss

    unix 3 [ ] STREAM VERBUNDEN 16051 1405/openvpn-openss

    unix 3 [ ] STREAM VERBUNDEN 16052 1323/python /usr/local/openvpn_as/etc/sock/omisock

    unix 3 [ ] STREAM VERBUNDEN 15994 1375/openvpn-openss

    unix 3 [ ] STREAM VERBUNDEN 15995 1323/python /usr/local/openvpn_as/etc/sock/omisock


    Client:

    :~$ telnet **ip-server** 443

    Trying **ip-server**...

    Connected to **ip-server**.

    Escape character is '^]'.


    ...tcp funktioniert also...

  • Du kannst einmal UDP auf dem Ubuntu rausnehmen und es testen.

    Du kannst auch einmal mit deinem Android Gerät die Verbindung aufbauen und mit Netstat schauen ob diese über TCP oder UDP realisiert wird.

  • Der Androide geht über UDP.


    Wenn ich versuche via TCP zu verbinden kommt fast das gleiche (ich hoffe das meintest du):