Gelöst: OpenVPN mit LEDE und DS-LITE

meßmer

New Member
Hallo zusammen,

leider habe ich Probleme damit meinen Traffic via Opevnvpn durch einen Linksys WRT1900ACSv2 zu routen. Der OpenVPN Tunnel verbindet sich aber mein Netzwerkadapter tun0 bekommt keine IP.

Sehr ihr noch ein Problem?

Ich vermute, dass es Probleme mit meinem Unitymedia Anschluss und DS-Lite sind. OpenVPN versucht sich wohl nur via IPv4 zu verbinden. Wenn ich als Protokoll upd6 oder tcp6 wähle funktioniert es leider auch nicht, dann kann er Erfurt als Server nicht auflösen.

Habt ihr noch eine Idee, vor allem in Bezug auf ipv6 DSLITE?

Vielen Dank!









OpenVPN connection Log
Sun Mar 11 20:21:39 2018 daemon.warn openvpn(sample_client)[16066]: Note: option tun-ipv6 is ignored because modern operating systems do not need special IPv6 tun handling anymore.
Sun Mar 11 20:21:39 2018 daemon.warn openvpn(sample_client)[16066]: WARNING: Ignoring option 'dh' in tls-client mode, please only include this in your server configuration
Sun Mar 11 20:21:39 2018 daemon.notice openvpn(sample_client)[16066]: OpenVPN 2.4.4 arm-openwrt-linux-gnu [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [MH/PKTINFO] [AEAD]
Sun Mar 11 20:21:39 2018 daemon.notice openvpn(sample_client)[16066]: library versions: OpenSSL 1.0.2n 7 Dec 2017, LZO 2.10
Sun Mar 11 20:21:39 2018 daemon.warn openvpn(sample_client)[16066]: WARNING: --ns-cert-type is DEPRECATED. Use --remote-cert-tls instead.
Sun Mar 11 20:21:39 2018 daemon.warn openvpn(sample_client)[16066]: NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
Sun Mar 11 20:21:39 2018 daemon.notice openvpn(sample_client)[16066]: Initializing OpenSSL support for engine 'dynamic'
Sun Mar 11 20:21:39 2018 daemon.warn openvpn(sample_client)[16066]: WARNING: Failed to stat CRL file, not (re)loading CRL.
Sun Mar 11 20:21:39 2018 daemon.notice openvpn(sample_client)[16066]: Outgoing Control Channel Authentication: Using 512 bit message hash 'SHA512' for HMAC authentication
Sun Mar 11 20:21:39 2018 daemon.notice openvpn(sample_client)[16066]: Incoming Control Channel Authentication: Using 512 bit message hash 'SHA512' for HMAC authentication
Sun Mar 11 20:21:39 2018 daemon.notice openvpn(sample_client)[16066]: LZO compression initializing
Sun Mar 11 20:21:39 2018 daemon.notice openvpn(sample_client)[16066]: Control Channel MTU parms [ L:1622 D:1140 EF:110 EB:0 ET:0 EL:3 ]
Sun Mar 11 20:21:39 2018 daemon.notice openvpn(sample_client)[16066]: Data Channel MTU parms [ L:1622 D:1450 EF:122 EB:406 ET:0 EL:3 ]
Sun Mar 11 20:21:39 2018 daemon.notice openvpn(sample_client)[16066]: Local Options String (VER=V4): 'V4,dev-type tun,link-mtu 1602,tun-mtu 1500,proto UDPv4,comp-lzo,keydir 1,cipher AES-256-CBC,auth SHA512,keysize 256,tls-auth,key-method 2,tls-client'
Sun Mar 11 20:21:39 2018 daemon.notice openvpn(sample_client)[16066]: Expected Remote Options String (VER=V4): 'V4,dev-type tun,link-mtu 1602,tun-mtu 1500,proto UDPv4,comp-lzo,keydir 0,cipher AES-256-CBC,auth SHA512,keysize 256,tls-auth,key-method 2,tls-server'
Sun Mar 11 20:21:39 2018 daemon.notice openvpn(sample_client)[16066]: TCP/UDP: Preserving recently used remote address: [AF_INET]111.000.000.000:1194
Sun Mar 11 20:21:39 2018 daemon.notice openvpn(sample_client)[16066]: Socket Buffers: R=[163840->163840] S=[163840->163840]
Sun Mar 11 20:21:39 2018 daemon.notice openvpn(sample_client)[16066]: UDP link local: (not bound)
Sun Mar 11 20:21:39 2018 daemon.notice openvpn(sample_client)[16066]: UDP link remote: [AF_INET]111.000.000.000:1194
Sun Mar 11 20:21:39 2018 daemon.notice openvpn(sample_client)[16066]: NOTE: UID/GID downgrade will be delayed because of --client, --pull, or --up-delay
Firewall settings:
config defaults
option syn_flood '1'
option input 'ACCEPT'
option output 'ACCEPT'
option forward 'REJECT'

config zone
option name 'lan'
option input 'ACCEPT'
option output 'ACCEPT'
option forward 'ACCEPT'
option network 'lan'

config zone
option name 'wan'
option input 'REJECT'
option output 'ACCEPT'
option forward 'REJECT'
option masq '1'
option mtu_fix '1'
option network 'wan wan6'

config forwarding
option src 'lan'
option dest 'wan'

config rule
option name 'Allow-DHCP-Renew'
option src 'wan'
option proto 'udp'
option dest_port '68'
option target 'ACCEPT'
option family 'ipv4'

config rule
option name 'Allow-Ping'
option src 'wan'
option proto 'icmp'
option icmp_type 'echo-request'
option family 'ipv4'
option target 'ACCEPT'

config rule
option name 'Allow-IGMP'
option src 'wan'
option proto 'igmp'
option family 'ipv4'
option target 'ACCEPT'

config rule
option name 'Allow-DHCPv6'
option src 'wan'
option proto 'udp'
option src_ip 'fc00::/6'
option dest_ip 'fc00::/6'
option dest_port '546'
option family 'ipv6'
option target 'ACCEPT'

config rule
option name 'Allow-MLD'
option src 'wan'
option proto 'icmp'
option src_ip 'fe80::/10'
list icmp_type '130/0'
list icmp_type '131/0'
list icmp_type '132/0'
list icmp_type '143/0'
option family 'ipv6'
option target 'ACCEPT'

config rule
option name 'Allow-ICMPv6-Input'
option src 'wan'
option proto 'icmp'
list icmp_type 'echo-request'
list icmp_type 'echo-reply'
list icmp_type 'destination-unreachable'
list icmp_type 'packet-too-big'
list icmp_type 'time-exceeded'
list icmp_type 'bad-header'
list icmp_type 'unknown-header-type'
list icmp_type 'router-solicitation'
list icmp_type 'neighbour-solicitation'
list icmp_type 'router-advertisement'
list icmp_type 'neighbour-advertisement'
option limit '1000/sec'
option family 'ipv6'
option target 'ACCEPT'

config rule
option name 'Allow-ICMPv6-Forward'
option src 'wan'
option dest '*'
option proto 'icmp'
list icmp_type 'echo-request'
list icmp_type 'echo-reply'
list icmp_type 'destination-unreachable'
list icmp_type 'packet-too-big'
list icmp_type 'time-exceeded'
list icmp_type 'bad-header'
list icmp_type 'unknown-header-type'
option limit '1000/sec'
option family 'ipv6'
option target 'ACCEPT'

config rule
option name 'Allow-IPSec-ESP'
option src 'wan'
option dest 'lan'
option proto 'esp'
option target 'ACCEPT'

config rule
option name 'Allow-ISAKMP'
option src 'wan'
option dest 'lan'
option dest_port '500'
option proto 'udp'
option target 'ACCEPT'

config include
option path '/etc/firewall.user'

config include 'miniupnpd'
option type 'script'
option path '/usr/share/miniupnpd/firewall.include'
option family 'any'
option reload '1'

config zone
option name 'PP'
option output 'ACCEPT'
option network 'tun0'
option masq '1'
option mtu_fix '1'
option input 'REJECT'
option forward 'REJECT'

config forwarding
option dest 'PP'
option src 'lan'
OpenVPN Config:
config openvpn 'sample_client'
option client '1'
option proto 'udp'
option nobind '1'
option persist_key '1'
option persist_tun '1'
option user 'nobody'
option compress 'lzo'
option ca '/etc/luci-uploads/cbid.openvpn.sample_client.ca'
option cert '/etc/luci-uploads/cbid.openvpn.sample_client.cert'
option dev_type 'tun'
option key '/etc/luci-uploads/cbid.openvpn.sample_client.key'
option key_direction '1'
option dh '/etc/easy-rsa/keys/dh1024.pem'
option enabled '1'
option tun_ipv6 '1'
option port '1194'
list remote 'someserveraddress.com'
option persist_remote_ip '1'
option resolv_retry '60'
option mute_replay_warnings '1'
option auth 'SHA512'
option tls_auth '/etc/openvpn/tlsauth.key'
option auth_user_pass '/etc/openvpn/userpass.txt'
option route_delay '0'
option redirect_gateway 'def1'
option cipher 'AES-256-CBC'
option tls_version_min '1.0'
option tls_version_max '1.2'
option tls_cipher 'TLS-DHE-RSA-WITH-AES-256-GCM-SHA384:TLS-DHE-RSA-WITH-AES-256-CBC-SHA256:TLS-DHE-RSA-WITH-CAMELLIA-256-CBC-SHA:TLS-DHE-RSA-WITH-AES-256-CBC-SHA:TLS-RSA-WITH-CAMELLIA-256-CBC-SHA:TLS-RSA-WITH-AES-256-CBC-SHA'
option ns_cert_type 'server'
option reneg_sec '3600'
option crl_verify '/etc/easy-rsa/keys/crl.pem'
option engine 'dynamic'
option script_security '2'
option verb '4'
option tls_timeout '2'
option tls_remote 'remote_x509_name'
option remote_cert_tls 'client'
option comp_lzo 'yes'
option remote_random '1'
option ping_restart '120'
option ping '5'
option inactive '604800'
option key_method '2'
option down '/usr/bin/ovpn-down'
option tls_client '1'
option route_gateway '192.168.1.1'
option dev 'tun0'
list push 'dhcp-option DNS 223.134.241.10’
list push 'block-outside-dns’
list push 'route 192.168.1.0 255.255.255.0'
list push 'redirect-gateway def1'
 
Last edited:

PP Stephan

Staff member
Was mir dabei erstmal auffällt ist, dass protocol "udp6" oder "tcp6" nicht geht - du musst udp oder tcp nehmen (udp empfohlen). Und ggf hängt das damit zusammen aber es wird nicht zu einer unserer IP verbunden: UDP link remote: [AF_INET]111.000.000.000:1194 - das sieht kaputt aus.
 

Gerd

Junior Member
Da hast du dir aber eine schwierige Firmware für den Linksys WRT1900ACSv2 rausgesucht. Bei PIA gibt es eine gut beschriebene Anleitung, an der du dich (so in etwa) orientieren kannst. So wie ich es gesehen habe, kannst du per opkg auch eine grafische Benutzeroberfläche installieren und dort alles nach der PPServer.ovpn Datei einstellen.

An deiner Stelle würde ich eine grafische Oberfläche bevorzugen, bevor man an den Konfigs manuell rum werkelt. So kannst du dir viele falsche Einstellungen ersparen.
 

meßmer

New Member
Was mir dabei erstmal auffällt ist, dass protocol "udp6" oder "tcp6" nicht geht - du musst udp oder tcp nehmen (udp empfohlen). Und ggf hängt das damit zusammen aber es wird nicht zu einer unserer IP verbunden: UDP link remote: [AF_INET]111.000.000.000:1194 - das sieht kaputt aus.
Ich hatte die IP geändert weil ich in einem anderen Forum gepostet habe.


Da hast du dir aber eine schwierige Firmware für den Linksys WRT1900ACSv2 rausgesucht. Bei PIA gibt es eine gut beschriebene Anleitung, an der du dich (so in etwa) orientieren kannst. So wie ich es gesehen habe, kannst du per opkg auch eine grafische Benutzeroberfläche installieren und dort alles nach der PPServer.ovpn Datei einstellen.

An deiner Stelle würde ich eine grafische Oberfläche bevorzugen, bevor man an den Konfigs manuell rum werkelt. So kannst du dir viele falsche Einstellungen ersparen.
Danke, ich habe die grafische Oberfläche verwendet und gerade noch einmal alles nach der PIA Anleitung kontrolliert und angepasst. Leider funktioniert es trotzdem nicht. Ich bekomme keine "link local" address. UDP link remote: [AF_INET]217.114.218.18:194 sieht gut aus.
OpenVPN habe ich gerade auf die neuste Version für LEDE geupdatet, will trotzdem nicht.

Testweise zudem mal mit Port 194:
Mon Mar 12 16:03:22 2018 daemon.notice openvpn(sample_client)[15350]: Re-using SSL/TLS context
Mon Mar 12 16:03:22 2018 daemon.notice openvpn(sample_client)[15350]: LZO compression initializing
Mon Mar 12 16:03:22 2018 daemon.notice openvpn(sample_client)[15350]: Control Channel MTU parms [ L:1622 D:1140 EF:110 EB:0 ET:0 EL:3 ]
Mon Mar 12 16:03:22 2018 daemon.notice openvpn(sample_client)[15350]: Data Channel MTU parms [ L:1622 D:1450 EF:122 EB:406 ET:0 EL:3 ]
Mon Mar 12 16:03:22 2018 daemon.notice openvpn(sample_client)[15350]: Local Options String (VER=V4): 'V4,dev-type tun,link-mtu 1602,tun-mtu 1500,proto UDPv4,comp-lzo,keydir 1,cipher AES-256-CBC,auth SHA512,keysize 256,tls-auth,key-method 2,tls-client'
Mon Mar 12 16:03:22 2018 daemon.notice openvpn(sample_client)[15350]: Expected Remote Options String (VER=V4): 'V4,dev-type tun,link-mtu 1602,tun-mtu 1500,proto UDPv4,comp-lzo,keydir 0,cipher AES-256-CBC,auth SHA512,keysize 256,tls-auth,key-method 2,tls-server'
Mon Mar 12 16:03:22 2018 daemon.notice openvpn(sample_client)[15350]: TCP/UDP: Preserving recently used remote address: [AF_INET]217.114.218.18:194
Mon Mar 12 16:03:22 2018 daemon.notice openvpn(sample_client)[15350]: Socket Buffers: R=[163840->163840] S=[163840->163840]
Mon Mar 12 16:03:22 2018 daemon.notice openvpn(sample_client)[15350]: UDP link local: (not bound)
Mon Mar 12 16:03:22 2018 daemon.notice openvpn(sample_client)[15350]: UDP link remote: [AF_INET]217.114.218.18:194
 

meßmer

New Member
Port 194 ist kein gültiger UDP Port. Probiere mal zB 151 (alle ports sieht du hier: https://www.perfect-privacy.com/german/member/server/)
Danke für den Hinweis, will leider trotzdem nicht :( Ports habe ich schon alle möglichen probiert:

cat /tmp/openvpn.log:
Mon Mar 12 17:33:46 2018 us=896978 WARNING: Ignoring option 'dh' in tls-client mode, please only include this in your server configuration
Mon Mar 12 17:33:46 2018 us=897055 OpenVPN 2.4.5 arm-openwrt-linux-gnu [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [MH/PKTINFO] [AEAD]
Mon Mar 12 17:33:46 2018 us=897124 library versions: OpenSSL 1.0.2n 7 Dec 2017, LZO 2.10
Mon Mar 12 17:33:46 2018 us=897293 WARNING: --ns-cert-type is DEPRECATED. Use --remote-cert-tls instead.
Mon Mar 12 17:33:46 2018 us=897339 NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
Mon Mar 12 17:33:46 2018 us=970140 Initializing OpenSSL support for engine 'dynamic'
Mon Mar 12 17:33:46 2018 us=974038 WARNING: Failed to stat CRL file, not (re)loading CRL.
Mon Mar 12 17:33:46 2018 us=974285 LZO compression initializing
Mon Mar 12 17:33:46 2018 us=974554 Control Channel MTU parms [ L:1622 D:1212 EF:38 EB:0 ET:0 EL:3 ]
Mon Mar 12 17:33:47 2018 us=3420 Data Channel MTU parms [ L:1622 D:1450 EF:122 EB:406 ET:0 EL:3 ]
Mon Mar 12 17:33:47 2018 us=3559 Local Options String (VER=V4): 'V4,dev-type tun,link-mtu 1602,tun-mtu 1500,proto UDPv4,comp-lzo,keydir 1,cipher AES-256-CBC,auth SHA512,keysize 256,key-method 2,tls-client'
Mon Mar 12 17:33:47 2018 us=3602 Expected Remote Options String (VER=V4): 'V4,dev-type tun,link-mtu 1602,tun-mtu 1500,proto UDPv4,comp-lzo,keydir 0,cipher AES-256-CBC,auth SHA512,keysize 256,key-method 2,tls-server'
Mon Mar 12 17:33:47 2018 us=3674 TCP/UDP: Preserving recently used remote address: [AF_INET]217.114.218.18:151
Mon Mar 12 17:33:47 2018 us=3724 Socket Buffers: R=[163840->163840] S=[163840->163840]
Mon Mar 12 17:33:47 2018 us=3760 UDP link local: (not bound)
Mon Mar 12 17:33:47 2018 us=3799 UDP link remote: [AF_INET]217.114.218.18:151
Mon Mar 12 17:33:47 2018 us=3831 NOTE: UID/GID downgrade will be delayed because of --client, --pull, or --up-delay
Danach passiert nichts mehr. Tun0 bekommt keine ip...
 

Gerd

Junior Member
Kannst du von OpenVPN Gui Regsiterkarten "Service, Networking, VPN u. Cryptography" die Bilder hier posten. So kann ich leichter erkennen, ob sich da ein Fehler eingeschlichen hat.
 

MixMaster

Member
Hallo.

Wenn es an dieser Stelle hängen bleibt und es *nicht* an einer Firewall-Regel liegt (vielleicht mal mit tcpdump auf dem WAN-interface überprüfen, daß wirklich Pakete rausgehen), ist vielleicht der falsche tls-auth key eingetragen.
Die sind für jeden Standort unterschiedlich und mit einem falschen Key gibt es garkeine Antwort vom Server.
 

meßmer

New Member
Hallo.

Wenn es an dieser Stelle hängen bleibt und es *nicht* an einer Firewall-Regel liegt (vielleicht mal mit tcpdump auf dem WAN-interface überprüfen, daß wirklich Pakete rausgehen), ist vielleicht der falsche tls-auth key eingetragen.
Die sind für jeden Standort unterschiedlich und mit einem falschen Key gibt es garkeine Antwort vom Server.
Guter Tipp. Überprüfe ich noch einmal.

//edit: Ich habe gerade nochmal auf Berlin gewechselt und alles ausgetauscht. ca, cert, client key und tls auth key. Keine Änderung. Ich schaue mal wie ich mit tcpdump ein Ergebnis bekomme.


Kannst du von OpenVPN Gui Regsiterkarten "Service, Networking, VPN u. Cryptography" die Bilder hier posten. So kann ich leichter erkennen, ob sich da ein Fehler eingeschlichen hat.
Sehr gerne. Danke im Vorraus. Irgendwo habe ich Bockmist gebaut...




 
Last edited:

Gerd

Junior Member
Ich weiß nicht wie LEDE läuft. Ich vermute mal dass das meiste über GUI konfiguriert wird und der Rest manuell.
In den Bildern die du gepostet hast, fehlen einige Einstellungen. Wie z.B. udp, tun-mtu 1500, fragment 1300, mssfix.

Ich weiß nicht ob man in der GUI Optionen hinzufügen oder entfernen kann.

Folgendes kannst du noch ändern:

verb 4
port 1149 (148, 149, 150, 151, 1148, 1150, 1151 aber auch möglich)
nobind (kann man deaktivieren)
dev_type (welche Einstellung sind da sonst angegeben? Sonst löschen, falls das möglich ist.)
comp_lzo yes (auf "adaptive" ändern)
persist_remote_ip (aktivieren, falls die Option vorhanden ist)

Zu ca, cert und key: Hier fehlt die "ta" Option. Man kann hier bestimmt zwei Wege nehmen, entweder ca, cert, key und ta in der LEDE Konfig. manuell angeben, oder aus der PPServer.ovpn Datei ca, cert, key und ta Dateien erstellen und in der LEDE GUI hochladen.

tls_remote (Eintrag löschen, wenn es möglich ist)
remote_cert_tls (Was ist dort als Auswahl sonst noch möglich?)

Hast du noch wie bei PIA angegeben die Option "option secret 'shared-secret.key'" in "/etc/config/openvpn" gelöscht?

Vielleicht finde ich später noch etwas, was man ändern könnte.
 

meßmer

New Member
Hallo.

Wenn es an dieser Stelle hängen bleibt und es *nicht* an einer Firewall-Regel liegt (vielleicht mal mit tcpdump auf dem WAN-interface überprüfen, daß wirklich Pakete rausgehen), ist vielleicht der falsche tls-auth key eingetragen.
Die sind für jeden Standort unterschiedlich und mit einem falschen Key gibt es garkeine Antwort vom Server.
Ich weiß nicht wie LEDE läuft. Ich vermute mal dass das meiste über GUI konfiguriert wird und der Rest manuell.
In den Bildern die du gepostet hast, fehlen einige Einstellungen. Wie z.B. udp, tun-mtu 1500, fragment 1300, mssfix.

Ich weiß nicht ob man in der GUI Optionen hinzufügen oder entfernen kann.

Folgendes kannst du noch ändern:

verb 4
port 1149 (148, 149, 150, 151, 1148, 1150, 1151 aber auch möglich)
nobind (kann man deaktivieren)
dev_type (welche Einstellung sind da sonst angegeben? Sonst löschen, falls das möglich ist.)
comp_lzo yes (auf "adaptive" ändern)
persist_remote_ip (aktivieren, falls die Option vorhanden ist)

Zu ca, cert und key: Hier fehlt die "ta" Option. Man kann hier bestimmt zwei Wege nehmen, entweder ca, cert, key und ta in der LEDE Konfig. manuell angeben, oder aus der PPServer.ovpn Datei ca, cert, key und ta Dateien erstellen und in der LEDE GUI hochladen.

tls_remote (Eintrag löschen, wenn es möglich ist)
remote_cert_tls (Was ist dort als Auswahl sonst noch möglich?)

Hast du noch wie bei PIA angegeben die Option "option secret 'shared-secret.key'" in "/etc/config/openvpn" gelöscht?

Vielleicht finde ich später noch etwas, was man ändern könnte.
Vielen Dank Gerd, werde ich heute Abend alles probieren!
 

meßmer

New Member
Vielen Dank Gerd, werde ich heute Abend alles probieren!
Hat leider nicht geholfen. Ich habe nun einen reset gemacht und es noch einmal neu probiert. Meine Konfig sieht nun wie folgt aus.

Code:
config openvpn 'Erfurt'
    option dh 'dh1024.pem'
    option client '1'
    option comp_lzo 'yes'
    option reneg_sec '0'
    option persist_key '1'
    option nobind '1'
    option remote_cert_tls 'server'
    option dev 'tun'
    option persist_tun '1'
    list remote 'erfurt.perfect-privacy.com'
    option auth_user_pass '/etc/openvpn/userpass.txt'
    option resolv_retry 'infinite'
    option auth 'SHA1'
    option cipher 'AES-128-CBC'
    option mute_replay_warnings '1'
    option tls_client '1'
    option auth_nocache '1'
    option ca '/etc/luci-uploads/cbid.openvpn.Erfurt.ca'
    option cert '/etc/luci-uploads/cbid.openvpn.Erfurt.cert'
    option tls_auth '/etc/openvpn/tlsauth.key'
    option key '/etc/luci-uploads/cbid.openvpn.Erfurt.key'
    option log '/var/log/openvpn.log'
    option log_append '/var/log/openvpn.log'
    option enabled '1'
    option proto 'tcp-client'
    option port '300'
    option verb '7'
Die Fehlermeldung:
Code:
Wed Mar 14 19:58:54 2018 us=727129 Restart pause, 80 second(s)
Wed Mar 14 20:00:14 2018 us=727234 Re-using SSL/TLS context
Wed Mar 14 20:00:14 2018 us=727302 crypto_adjust_frame_parameters: Adjusting frame parameters for crypto by 28 bytes
Wed Mar 14 20:00:14 2018 us=727342 LZO compression initializing
Wed Mar 14 20:00:14 2018 us=727527 Control Channel MTU parms [ L:1624 D:1182 EF:68 EB:0 ET:0 EL:3 ]
Wed Mar 14 20:00:14 2018 us=789689 Data Channel MTU parms [ L:1624 D:1450 EF:124 EB:406 ET:0 EL:3 ]
Wed Mar 14 20:00:14 2018 us=789795 crypto_adjust_frame_parameters: Adjusting frame parameters for crypto by 56 bytes
Wed Mar 14 20:00:14 2018 us=789835 calc_options_string_link_mtu: link-mtu 1624 -> 1560
Wed Mar 14 20:00:14 2018 us=789892 crypto_adjust_frame_parameters: Adjusting frame parameters for crypto by 56 bytes
Wed Mar 14 20:00:14 2018 us=789924 calc_options_string_link_mtu: link-mtu 1624 -> 1560
Wed Mar 14 20:00:14 2018 us=789971 Local Options String (VER=V4): 'V4,dev-type tun,link-mtu 1560,tun-mtu 1500,proto TCPv4_CLIENT,comp-lzo,cipher AES-128-CBC,auth SHA1,keysize 128,tls-auth,key-method 2,tls-client'
Wed Mar 14 20:00:14 2018 us=790004 Expected Remote Options String (VER=V4): 'V4,dev-type tun,link-mtu 1560,tun-mtu 1500,proto TCPv4_SERVER,comp-lzo,cipher AES-128-CBC,auth SHA1,keysize 128,tls-auth,key-method 2,tls-server'
Wed Mar 14 20:00:14 2018 us=790053 TCP/UDP: Preserving recently used remote address: [AF_INET]217.114.218.18:300
Wed Mar 14 20:00:14 2018 us=790106 Socket Buffers: R=[87380->87380] S=[16384->16384]
Wed Mar 14 20:00:14 2018 us=790147 Attempting to establish TCP connection with [AF_INET]217.114.218.18:300 [nonblock]
Wed Mar 14 20:00:15 2018 us=790326 TCP connection established with [AF_INET]217.114.218.18:300
Wed Mar 14 20:00:15 2018 us=790387 TCP_CLIENT link local: (not bound)
Wed Mar 14 20:00:15 2018 us=790432 TCP_CLIENT link remote: [AF_INET]217.114.218.18:300
Wed Mar 14 20:00:15 2018 us=790609 TCP_CLIENT WRITE [42] to [AF_INET]217.114.218.18:300: P_CONTROL_HARD_RESET_CLIENT_V2 kid=0 pid=[ #1 ] [ ] pid=0 DATA len=0
Wed Mar 14 20:00:15 2018 us=909611 Connection reset, restarting [0]
Wed Mar 14 20:00:15 2018 us=909738 TCP/UDP: Closing socket
Wed Mar 14 20:00:15 2018 us=909821 SIGUSR1[soft,connection-reset] received, process restarting
Wed Mar 14 20:00:15 2018 us=909876 Restart pause, 160 second(s)
ich probiere es weiter...
 

Gerd

Junior Member
Mit derzeitigen OpenVPN Einstellungen wird es auch nicht funktionieren, weil nach wie vor die wichtigsten Optionen fehlen.

option dh 'dh1024.pem' # löschen
option comp_lzo 'yes' # hier mit ersetzen: option comp_lzo 'adaptive'
option reneg_sec '0' # hier mit ersetzen: option reneg_sec '3600'
option resolv_retry 'infinite' # hier mit ersetzen: option resolv_retry '60'
option auth 'SHA1' # hier mit ersetzen: option auth 'SHA512'
option cipher 'AES-128-CBC' # hier mit ersetzen: option cipher 'AES-256-CBC'
option proto 'tcp-client' # hier mit ersetzen: option proto 'udp'
option port '300' # hier nach wie vor definitiv keine 300: option port '1149'

jetzt kommt noch folgendes hinzu:

option tun_mtu '1500'
option fragment '1300'
option mssfix '0' # hier bin ich mir nicht sicher, weil nur mssfix in der config steht
option ncp_disable '1’
 

Gerd

Junior Member
Folgendes noch ändern:

option tls_auth '/etc/openvpn/tlsauth.key' # hier mit ersetzen: option tls_auth '/etc/openvpn/tlsauth.key 1'
option mssfix '0' # hier mit probieren: option mssfix '1'
 

meßmer

New Member
Danke für deine Geuld Gerd. Werde ich probieren. Ich habe auch in dem Forum für die Router Anleitungen noch ein paar Dinge gesehen die ich probieren können, aber erst einmal deine Ideen!
 

meßmer

New Member
Config habe ich angepasst, selbes Problem :-/

Code:
config openvpn 'Erfurt'
    option client '1'
    option comp_lzo 'adaptive'
    option reneg_sec '3600'
    option persist_key '1'
    option nobind '1'
    option remote_cert_tls 'server'
    option dev 'tun'
    option persist_tun '1'
    list remote 'erfurt.perfect-privacy.com'
    option auth_user_pass '/etc/openvpn/userpass.txt'
    option resolv_retry '60'
    option auth 'SHA512'
    option cipher 'AES-256-CBC'
    option mute_replay_warnings '1'
    option tls_client '1'
    option auth_nocache '1'
    option ca '/etc/luci-uploads/cbid.openvpn.Erfurt.ca'
    option cert '/etc/luci-uploads/cbid.openvpn.Erfurt.cert'
    option tls_auth '/etc/openvpn/tlsauth.key'
    option key '/etc/luci-uploads/cbid.openvpn.Erfurt.key'
    option log '/var/log/openvpn.log'
    option log_append '/var/log/openvpn.log'
    option enabled '1'
    option proto 'udp'
    option port '1149'
    option verb '7'
    option tun_mtu '1500'
    option fragment '1300'
    option mssfix '0'
    option ncp_disable '1'
Log:

Code:
Thu Mar 15 16:44:15 2018 us=454964 OpenVPN 2.4.5 arm-openwrt-linux-gnu [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [MH/PKTINFO] [AEAD]
Thu Mar 15 16:44:15 2018 us=455046 library versions: OpenSSL 1.0.2n  7 Dec 2017, LZO 2.10
Thu Mar 15 16:44:15 2018 us=456917 Outgoing Control Channel Authentication: Using 512 bit message hash 'SHA512' for HMAC authentication
Thu Mar 15 16:44:15 2018 us=456997 Incoming Control Channel Authentication: Using 512 bit message hash 'SHA512' for HMAC authentication
Thu Mar 15 16:44:15 2018 us=457038 crypto_adjust_frame_parameters: Adjusting frame parameters for crypto by 72 bytes
Thu Mar 15 16:44:15 2018 us=457079 LZO compression initializing
Thu Mar 15 16:44:15 2018 us=457281 Control Channel MTU parms [ L:1626 D:1140 EF:110 EB:0 ET:0 EL:3 ]
Thu Mar 15 16:44:15 2018 us=461723 Data Channel MTU parms [ L:1626 D:1626 EF:126 EB:407 ET:0 EL:3 ]
Thu Mar 15 16:44:15 2018 us=461797 Fragmentation MTU parms [ L:1626 D:1300 EF:125 EB:407 ET:1 EL:3 ]
Thu Mar 15 16:44:15 2018 us=461849 crypto_adjust_frame_parameters: Adjusting frame parameters for crypto by 100 bytes
Thu Mar 15 16:44:15 2018 us=461884 calc_options_string_link_mtu: link-mtu 1626 -> 1606
Thu Mar 15 16:44:15 2018 us=461941 crypto_adjust_frame_parameters: Adjusting frame parameters for crypto by 100 bytes
Thu Mar 15 16:44:15 2018 us=461974 calc_options_string_link_mtu: link-mtu 1626 -> 1606
Thu Mar 15 16:44:15 2018 us=462027 Local Options String (VER=V4): 'V4,dev-type tun,link-mtu 1606,tun-mtu 1500,proto UDPv4,comp-lzo,mtu-dynamic,cipher AES-256-CBC,auth SHA512,keysize 256,tls-auth,key-method 2,tls-client'
Thu Mar 15 16:44:15 2018 us=462061 Expected Remote Options String (VER=V4): 'V4,dev-type tun,link-mtu 1606,tun-mtu 1500,proto UDPv4,comp-lzo,mtu-dynamic,cipher AES-256-CBC,auth SHA512,keysize 256,tls-auth,key-method 2,tls-server'
Thu Mar 15 16:44:15 2018 us=462109 TCP/UDP: Preserving recently used remote address: [AF_INET]217.114.218.18:1149
Thu Mar 15 16:44:15 2018 us=462155 Socket Buffers: R=[163840->163840] S=[163840->163840]
Thu Mar 15 16:44:15 2018 us=462189 UDP link local: (not bound)
Thu Mar 15 16:44:15 2018 us=462227 UDP link remote: [AF_INET]217.114.218.18:1149
Thu Mar 15 16:44:15 2018 us=462411 UDP WRITE [86] to [AF_INET]217.114.218.18:1149: P_CONTROL_HARD_RESET_CLIENT_V2 kid=0 pid=[ #1 ] [ ] pid=0 DATA len=0
Thu Mar 15 16:44:17 2018 us=885180 UDP WRITE [86] to [AF_INET]217.114.218.18:1149: P_CONTROL_HARD_RESET_CLIENT_V2 kid=0 pid=[ #2 ] [ ] pid=0 DATA len=0
Thu Mar 15 16:44:21 2018 us=519072 UDP WRITE [86] to [AF_INET]217.114.218.18:1149: P_CONTROL_HARD_RESET_CLIENT_V2 kid=0 pid=[ #3 ] [ ] pid=0 DATA len=0
Thu Mar 15 16:44:29 2018 us=409090 UDP WRITE [86] to [AF_INET]217.114.218.18:1149: P_CONTROL_HARD_RESET_CLIENT_V2 kid=0 pid=[ #4 ] [ ] pid=0 DATA len=0
Thu Mar 15 16:44:45 2018 us=386823 UDP WRITE [86] to [AF_INET]217.114.218.18:1149: P_CONTROL_HARD_RESET_CLIENT_V2 kid=0 pid=[ #5 ] [ ] pid=0 DATA len=0
Ich habe langsam das Gefühl, dass etwas mit dem Image oder der Firewall nicht passt. Ich schaue mal ob ich einen anderen Provider als PP testen kann...
 

Gerd

Junior Member
Config habe ich angepasst
Nicht ganz. Du hast den Post #14 übersehen.

Hier nochmal der Auszug:
option tls_auth '/etc/openvpn/tlsauth.key' # hier mit ersetzen: option tls_auth '/etc/openvpn/tlsauth.key 1'
option mssfix '0' # hier mit probieren: option mssfix '1'
die Nummer 1 hinter tlsauth.key und bei mssfix fehlt. Ein fehlender Befehl reicht schon und die Verbindung wird nicht aufgebaut.

Ich habe langsam das Gefühl, dass etwas mit dem Image oder der Firewall nicht passt.
Könnte gut sein.

Die Punkte
-SECTION 5: CONFIGURE NETWORK INTERFACES und
-SECTION 6: CONFIGURE FIREWALL - ZONE SETTINGS
von PIA kannst du 1 zu 1 übernehmen.

Also noch OpenVPN anpassen und die Punkte 5 und 6 von PIA übernehmen. Wenn es dann immer noch nicht läuft, dann wird es nur an Kleinigkeiten liegen.
 

meßmer

New Member
Nicht ganz. Du hast den Post #14 übersehen.

Hier nochmal der Auszug:


die Nummer 1 hinter tlsauth.key und bei mssfix fehlt. Ein fehlender Befehl reicht schon und die Verbindung wird nicht aufgebaut.



Könnte gut sein.

Die Punkte
-SECTION 5: CONFIGURE NETWORK INTERFACES und
-SECTION 6: CONFIGURE FIREWALL - ZONE SETTINGS
von PIA kannst du 1 zu 1 übernehmen.

Also noch OpenVPN anpassen und die Punkte 5 und 6 von PIA übernehmen. Wenn es dann immer noch nicht läuft, dann wird es nur an Kleinigkeiten liegen.
Wow.

DU hast es echt drauf. Es funktioniert! Du hattest Recht! Vielen Dank für deine Geduld. Ich würde dir jetzt gerne ein Bier ausgeben... :)

Der entscheidende Punkt war übrigens den DNS von PP manuell einzutragen, dann hat es funktioniert! Also der folgende Punkt bei PIA (Use Custom DNS und dann die DNS für Erfurt, für ipv4 und ipv6, jeweils bei den entsprechenden WAN interfaces 217.114.218.30, 2001:1b60:2:240:3247::13: )
https://helpdesk.privateinternetaccess.com/hc/article_attachments/115018123386/02_InterfacesWANAdvanced.png

Vielen lieben Dank Gerd!:)

Ich denke ich kann nun eine Anleitung für PP schreiben!
 

datatest

New Member
Gibt es inzwischen eigentlich eine Anleitung, an der ich mich für PP grob orientieren kann?
Ich finde immer nur Anleitungen, die jedoch für mich schwer verständlich sind. Oft reicht mein Wissen nicht aus.
 
Top