Gelöst: OpenVPN mit LEDE und DS-LITE

Discussion in 'Dienste - Fragen & Antworten (Q&A)' started by meßmer, Mar 12, 2018.

  1. m

    meßmer New Member

    Hallo zusammen,

    leider habe ich Probleme damit meinen Traffic via Opevnvpn durch einen Linksys WRT1900ACSv2 zu routen. Der OpenVPN Tunnel verbindet sich aber mein Netzwerkadapter tun0 bekommt keine IP.

    Sehr ihr noch ein Problem?

    Ich vermute, dass es Probleme mit meinem Unitymedia Anschluss und DS-Lite sind. OpenVPN versucht sich wohl nur via IPv4 zu verbinden. Wenn ich als Protokoll upd6 oder tcp6 wähle funktioniert es leider auch nicht, dann kann er Erfurt als Server nicht auflösen.

    Habt ihr noch eine Idee, vor allem in Bezug auf ipv6 DSLITE?

    Vielen Dank!


    [​IMG]


    [​IMG]

    [​IMG]

    OpenVPN connection Log
    Firewall settings:
    OpenVPN Config:
     
    Last edited: Mar 12, 2018
  2. PP Stephan

    PP Stephan Staff Member

    Was mir dabei erstmal auffällt ist, dass protocol "udp6" oder "tcp6" nicht geht - du musst udp oder tcp nehmen (udp empfohlen). Und ggf hängt das damit zusammen aber es wird nicht zu einer unserer IP verbunden: UDP link remote: [AF_INET]111.000.000.000:1194 - das sieht kaputt aus.
     
  3. G

    Gerd Junior Member

    Da hast du dir aber eine schwierige Firmware für den Linksys WRT1900ACSv2 rausgesucht. Bei PIA gibt es eine gut beschriebene Anleitung, an der du dich (so in etwa) orientieren kannst. So wie ich es gesehen habe, kannst du per opkg auch eine grafische Benutzeroberfläche installieren und dort alles nach der PPServer.ovpn Datei einstellen.

    An deiner Stelle würde ich eine grafische Oberfläche bevorzugen, bevor man an den Konfigs manuell rum werkelt. So kannst du dir viele falsche Einstellungen ersparen.
     
  4. m

    meßmer New Member

    Ich hatte die IP geändert weil ich in einem anderen Forum gepostet habe.


    Danke, ich habe die grafische Oberfläche verwendet und gerade noch einmal alles nach der PIA Anleitung kontrolliert und angepasst. Leider funktioniert es trotzdem nicht. Ich bekomme keine "link local" address. UDP link remote: [AF_INET]217.114.218.18:194 sieht gut aus.
    OpenVPN habe ich gerade auf die neuste Version für LEDE geupdatet, will trotzdem nicht.

    Testweise zudem mal mit Port 194:
     
  5. PP Stephan

    PP Stephan Staff Member

  6. m

    meßmer New Member

    Danke für den Hinweis, will leider trotzdem nicht :( Ports habe ich schon alle möglichen probiert:

    cat /tmp/openvpn.log:
    Danach passiert nichts mehr. Tun0 bekommt keine ip...
     
  7. G

    Gerd Junior Member

    Kannst du von OpenVPN Gui Regsiterkarten "Service, Networking, VPN u. Cryptography" die Bilder hier posten. So kann ich leichter erkennen, ob sich da ein Fehler eingeschlichen hat.
     
  8. MixMaster

    MixMaster Member

    Hallo.

    Wenn es an dieser Stelle hängen bleibt und es *nicht* an einer Firewall-Regel liegt (vielleicht mal mit tcpdump auf dem WAN-interface überprüfen, daß wirklich Pakete rausgehen), ist vielleicht der falsche tls-auth key eingetragen.
    Die sind für jeden Standort unterschiedlich und mit einem falschen Key gibt es garkeine Antwort vom Server.
     
    meßmer likes this.
  9. m

    meßmer New Member

    Guter Tipp. Überprüfe ich noch einmal.

    //edit: Ich habe gerade nochmal auf Berlin gewechselt und alles ausgetauscht. ca, cert, client key und tls auth key. Keine Änderung. Ich schaue mal wie ich mit tcpdump ein Ergebnis bekomme.


    Sehr gerne. Danke im Vorraus. Irgendwo habe ich Bockmist gebaut...

    [​IMG]
    [​IMG]
    [​IMG]
    [​IMG]
     
    Last edited: Mar 12, 2018
  10. G

    Gerd Junior Member

    Ich weiß nicht wie LEDE läuft. Ich vermute mal dass das meiste über GUI konfiguriert wird und der Rest manuell.
    In den Bildern die du gepostet hast, fehlen einige Einstellungen. Wie z.B. udp, tun-mtu 1500, fragment 1300, mssfix.

    Ich weiß nicht ob man in der GUI Optionen hinzufügen oder entfernen kann.

    Folgendes kannst du noch ändern:

    verb 4
    port 1149 (148, 149, 150, 151, 1148, 1150, 1151 aber auch möglich)
    nobind (kann man deaktivieren)
    dev_type (welche Einstellung sind da sonst angegeben? Sonst löschen, falls das möglich ist.)
    comp_lzo yes (auf "adaptive" ändern)
    persist_remote_ip (aktivieren, falls die Option vorhanden ist)

    Zu ca, cert und key: Hier fehlt die "ta" Option. Man kann hier bestimmt zwei Wege nehmen, entweder ca, cert, key und ta in der LEDE Konfig. manuell angeben, oder aus der PPServer.ovpn Datei ca, cert, key und ta Dateien erstellen und in der LEDE GUI hochladen.

    tls_remote (Eintrag löschen, wenn es möglich ist)
    remote_cert_tls (Was ist dort als Auswahl sonst noch möglich?)

    Hast du noch wie bei PIA angegeben die Option "option secret 'shared-secret.key'" in "/etc/config/openvpn" gelöscht?

    Vielleicht finde ich später noch etwas, was man ändern könnte.
     
    meßmer likes this.
  11. m

    meßmer New Member

    Vielen Dank Gerd, werde ich heute Abend alles probieren!
     
  12. m

    meßmer New Member

    Hat leider nicht geholfen. Ich habe nun einen reset gemacht und es noch einmal neu probiert. Meine Konfig sieht nun wie folgt aus.

    Code:
    config openvpn 'Erfurt'
        option dh 'dh1024.pem'
        option client '1'
        option comp_lzo 'yes'
        option reneg_sec '0'
        option persist_key '1'
        option nobind '1'
        option remote_cert_tls 'server'
        option dev 'tun'
        option persist_tun '1'
        list remote 'erfurt.perfect-privacy.com'
        option auth_user_pass '/etc/openvpn/userpass.txt'
        option resolv_retry 'infinite'
        option auth 'SHA1'
        option cipher 'AES-128-CBC'
        option mute_replay_warnings '1'
        option tls_client '1'
        option auth_nocache '1'
        option ca '/etc/luci-uploads/cbid.openvpn.Erfurt.ca'
        option cert '/etc/luci-uploads/cbid.openvpn.Erfurt.cert'
        option tls_auth '/etc/openvpn/tlsauth.key'
        option key '/etc/luci-uploads/cbid.openvpn.Erfurt.key'
        option log '/var/log/openvpn.log'
        option log_append '/var/log/openvpn.log'
        option enabled '1'
        option proto 'tcp-client'
        option port '300'
        option verb '7'
    
    Die Fehlermeldung:
    Code:
    Wed Mar 14 19:58:54 2018 us=727129 Restart pause, 80 second(s)
    Wed Mar 14 20:00:14 2018 us=727234 Re-using SSL/TLS context
    Wed Mar 14 20:00:14 2018 us=727302 crypto_adjust_frame_parameters: Adjusting frame parameters for crypto by 28 bytes
    Wed Mar 14 20:00:14 2018 us=727342 LZO compression initializing
    Wed Mar 14 20:00:14 2018 us=727527 Control Channel MTU parms [ L:1624 D:1182 EF:68 EB:0 ET:0 EL:3 ]
    Wed Mar 14 20:00:14 2018 us=789689 Data Channel MTU parms [ L:1624 D:1450 EF:124 EB:406 ET:0 EL:3 ]
    Wed Mar 14 20:00:14 2018 us=789795 crypto_adjust_frame_parameters: Adjusting frame parameters for crypto by 56 bytes
    Wed Mar 14 20:00:14 2018 us=789835 calc_options_string_link_mtu: link-mtu 1624 -> 1560
    Wed Mar 14 20:00:14 2018 us=789892 crypto_adjust_frame_parameters: Adjusting frame parameters for crypto by 56 bytes
    Wed Mar 14 20:00:14 2018 us=789924 calc_options_string_link_mtu: link-mtu 1624 -> 1560
    Wed Mar 14 20:00:14 2018 us=789971 Local Options String (VER=V4): 'V4,dev-type tun,link-mtu 1560,tun-mtu 1500,proto TCPv4_CLIENT,comp-lzo,cipher AES-128-CBC,auth SHA1,keysize 128,tls-auth,key-method 2,tls-client'
    Wed Mar 14 20:00:14 2018 us=790004 Expected Remote Options String (VER=V4): 'V4,dev-type tun,link-mtu 1560,tun-mtu 1500,proto TCPv4_SERVER,comp-lzo,cipher AES-128-CBC,auth SHA1,keysize 128,tls-auth,key-method 2,tls-server'
    Wed Mar 14 20:00:14 2018 us=790053 TCP/UDP: Preserving recently used remote address: [AF_INET]217.114.218.18:300
    Wed Mar 14 20:00:14 2018 us=790106 Socket Buffers: R=[87380->87380] S=[16384->16384]
    Wed Mar 14 20:00:14 2018 us=790147 Attempting to establish TCP connection with [AF_INET]217.114.218.18:300 [nonblock]
    Wed Mar 14 20:00:15 2018 us=790326 TCP connection established with [AF_INET]217.114.218.18:300
    Wed Mar 14 20:00:15 2018 us=790387 TCP_CLIENT link local: (not bound)
    Wed Mar 14 20:00:15 2018 us=790432 TCP_CLIENT link remote: [AF_INET]217.114.218.18:300
    Wed Mar 14 20:00:15 2018 us=790609 TCP_CLIENT WRITE [42] to [AF_INET]217.114.218.18:300: P_CONTROL_HARD_RESET_CLIENT_V2 kid=0 pid=[ #1 ] [ ] pid=0 DATA len=0
    Wed Mar 14 20:00:15 2018 us=909611 Connection reset, restarting [0]
    Wed Mar 14 20:00:15 2018 us=909738 TCP/UDP: Closing socket
    Wed Mar 14 20:00:15 2018 us=909821 SIGUSR1[soft,connection-reset] received, process restarting
    Wed Mar 14 20:00:15 2018 us=909876 Restart pause, 160 second(s)
    
    ich probiere es weiter...
     
  13. G

    Gerd Junior Member

    Mit derzeitigen OpenVPN Einstellungen wird es auch nicht funktionieren, weil nach wie vor die wichtigsten Optionen fehlen.

    option dh 'dh1024.pem' # löschen
    option comp_lzo 'yes' # hier mit ersetzen: option comp_lzo 'adaptive'
    option reneg_sec '0' # hier mit ersetzen: option reneg_sec '3600'
    option resolv_retry 'infinite' # hier mit ersetzen: option resolv_retry '60'
    option auth 'SHA1' # hier mit ersetzen: option auth 'SHA512'
    option cipher 'AES-128-CBC' # hier mit ersetzen: option cipher 'AES-256-CBC'
    option proto 'tcp-client' # hier mit ersetzen: option proto 'udp'
    option port '300' # hier nach wie vor definitiv keine 300: option port '1149'

    jetzt kommt noch folgendes hinzu:

    option tun_mtu '1500'
    option fragment '1300'
    option mssfix '0' # hier bin ich mir nicht sicher, weil nur mssfix in der config steht
    option ncp_disable '1’
     
  14. G

    Gerd Junior Member

    Folgendes noch ändern:

    option tls_auth '/etc/openvpn/tlsauth.key' # hier mit ersetzen: option tls_auth '/etc/openvpn/tlsauth.key 1'
    option mssfix '0' # hier mit probieren: option mssfix '1'
     
  15. m

    meßmer New Member

    Danke für deine Geuld Gerd. Werde ich probieren. Ich habe auch in dem Forum für die Router Anleitungen noch ein paar Dinge gesehen die ich probieren können, aber erst einmal deine Ideen!
     
  16. m

    meßmer New Member

    Config habe ich angepasst, selbes Problem :-/

    Code:
    config openvpn 'Erfurt'
        option client '1'
        option comp_lzo 'adaptive'
        option reneg_sec '3600'
        option persist_key '1'
        option nobind '1'
        option remote_cert_tls 'server'
        option dev 'tun'
        option persist_tun '1'
        list remote 'erfurt.perfect-privacy.com'
        option auth_user_pass '/etc/openvpn/userpass.txt'
        option resolv_retry '60'
        option auth 'SHA512'
        option cipher 'AES-256-CBC'
        option mute_replay_warnings '1'
        option tls_client '1'
        option auth_nocache '1'
        option ca '/etc/luci-uploads/cbid.openvpn.Erfurt.ca'
        option cert '/etc/luci-uploads/cbid.openvpn.Erfurt.cert'
        option tls_auth '/etc/openvpn/tlsauth.key'
        option key '/etc/luci-uploads/cbid.openvpn.Erfurt.key'
        option log '/var/log/openvpn.log'
        option log_append '/var/log/openvpn.log'
        option enabled '1'
        option proto 'udp'
        option port '1149'
        option verb '7'
        option tun_mtu '1500'
        option fragment '1300'
        option mssfix '0'
        option ncp_disable '1'
    
    
    Log:

    Code:
    Thu Mar 15 16:44:15 2018 us=454964 OpenVPN 2.4.5 arm-openwrt-linux-gnu [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [MH/PKTINFO] [AEAD]
    Thu Mar 15 16:44:15 2018 us=455046 library versions: OpenSSL 1.0.2n  7 Dec 2017, LZO 2.10
    Thu Mar 15 16:44:15 2018 us=456917 Outgoing Control Channel Authentication: Using 512 bit message hash 'SHA512' for HMAC authentication
    Thu Mar 15 16:44:15 2018 us=456997 Incoming Control Channel Authentication: Using 512 bit message hash 'SHA512' for HMAC authentication
    Thu Mar 15 16:44:15 2018 us=457038 crypto_adjust_frame_parameters: Adjusting frame parameters for crypto by 72 bytes
    Thu Mar 15 16:44:15 2018 us=457079 LZO compression initializing
    Thu Mar 15 16:44:15 2018 us=457281 Control Channel MTU parms [ L:1626 D:1140 EF:110 EB:0 ET:0 EL:3 ]
    Thu Mar 15 16:44:15 2018 us=461723 Data Channel MTU parms [ L:1626 D:1626 EF:126 EB:407 ET:0 EL:3 ]
    Thu Mar 15 16:44:15 2018 us=461797 Fragmentation MTU parms [ L:1626 D:1300 EF:125 EB:407 ET:1 EL:3 ]
    Thu Mar 15 16:44:15 2018 us=461849 crypto_adjust_frame_parameters: Adjusting frame parameters for crypto by 100 bytes
    Thu Mar 15 16:44:15 2018 us=461884 calc_options_string_link_mtu: link-mtu 1626 -> 1606
    Thu Mar 15 16:44:15 2018 us=461941 crypto_adjust_frame_parameters: Adjusting frame parameters for crypto by 100 bytes
    Thu Mar 15 16:44:15 2018 us=461974 calc_options_string_link_mtu: link-mtu 1626 -> 1606
    Thu Mar 15 16:44:15 2018 us=462027 Local Options String (VER=V4): 'V4,dev-type tun,link-mtu 1606,tun-mtu 1500,proto UDPv4,comp-lzo,mtu-dynamic,cipher AES-256-CBC,auth SHA512,keysize 256,tls-auth,key-method 2,tls-client'
    Thu Mar 15 16:44:15 2018 us=462061 Expected Remote Options String (VER=V4): 'V4,dev-type tun,link-mtu 1606,tun-mtu 1500,proto UDPv4,comp-lzo,mtu-dynamic,cipher AES-256-CBC,auth SHA512,keysize 256,tls-auth,key-method 2,tls-server'
    Thu Mar 15 16:44:15 2018 us=462109 TCP/UDP: Preserving recently used remote address: [AF_INET]217.114.218.18:1149
    Thu Mar 15 16:44:15 2018 us=462155 Socket Buffers: R=[163840->163840] S=[163840->163840]
    Thu Mar 15 16:44:15 2018 us=462189 UDP link local: (not bound)
    Thu Mar 15 16:44:15 2018 us=462227 UDP link remote: [AF_INET]217.114.218.18:1149
    Thu Mar 15 16:44:15 2018 us=462411 UDP WRITE [86] to [AF_INET]217.114.218.18:1149: P_CONTROL_HARD_RESET_CLIENT_V2 kid=0 pid=[ #1 ] [ ] pid=0 DATA len=0
    Thu Mar 15 16:44:17 2018 us=885180 UDP WRITE [86] to [AF_INET]217.114.218.18:1149: P_CONTROL_HARD_RESET_CLIENT_V2 kid=0 pid=[ #2 ] [ ] pid=0 DATA len=0
    Thu Mar 15 16:44:21 2018 us=519072 UDP WRITE [86] to [AF_INET]217.114.218.18:1149: P_CONTROL_HARD_RESET_CLIENT_V2 kid=0 pid=[ #3 ] [ ] pid=0 DATA len=0
    Thu Mar 15 16:44:29 2018 us=409090 UDP WRITE [86] to [AF_INET]217.114.218.18:1149: P_CONTROL_HARD_RESET_CLIENT_V2 kid=0 pid=[ #4 ] [ ] pid=0 DATA len=0
    Thu Mar 15 16:44:45 2018 us=386823 UDP WRITE [86] to [AF_INET]217.114.218.18:1149: P_CONTROL_HARD_RESET_CLIENT_V2 kid=0 pid=[ #5 ] [ ] pid=0 DATA len=0
    
    Ich habe langsam das Gefühl, dass etwas mit dem Image oder der Firewall nicht passt. Ich schaue mal ob ich einen anderen Provider als PP testen kann...
     
  17. G

    Gerd Junior Member

    Nicht ganz. Du hast den Post #14 übersehen.

    Hier nochmal der Auszug:
    die Nummer 1 hinter tlsauth.key und bei mssfix fehlt. Ein fehlender Befehl reicht schon und die Verbindung wird nicht aufgebaut.

    Könnte gut sein.

    Die Punkte
    -SECTION 5: CONFIGURE NETWORK INTERFACES und
    -SECTION 6: CONFIGURE FIREWALL - ZONE SETTINGS
    von PIA kannst du 1 zu 1 übernehmen.

    Also noch OpenVPN anpassen und die Punkte 5 und 6 von PIA übernehmen. Wenn es dann immer noch nicht läuft, dann wird es nur an Kleinigkeiten liegen.
     
  18. m

    meßmer New Member

    Wow.

    DU hast es echt drauf. Es funktioniert! Du hattest Recht! Vielen Dank für deine Geduld. Ich würde dir jetzt gerne ein Bier ausgeben... :)

    Der entscheidende Punkt war übrigens den DNS von PP manuell einzutragen, dann hat es funktioniert! Also der folgende Punkt bei PIA (Use Custom DNS und dann die DNS für Erfurt, für ipv4 und ipv6, jeweils bei den entsprechenden WAN interfaces 217.114.218.30, 2001:1b60:2:240:3247::13: )
    https://helpdesk.privateinternetacc...nts/115018123386/02_InterfacesWANAdvanced.png

    Vielen lieben Dank Gerd!:)

    Ich denke ich kann nun eine Anleitung für PP schreiben!
     
  19. d

    datatest New Member

    Gibt es inzwischen eigentlich eine Anleitung, an der ich mich für PP grob orientieren kann?
    Ich finde immer nur Anleitungen, die jedoch für mich schwer verständlich sind. Oft reicht mein Wissen nicht aus.