Permanenete Reconnects OpenVPN

Status
Für weitere Antworten geschlossen.

colonelt

Benutzer
Mitglied seit
17. Sep 2017
Beiträge
4
Punkte für Reaktionen
0
Punkte
0
Hallo liebe Forumgemeinde,

ich stehe aktuell vor folgendem Problem.

Hbe die DS916+ über DSM als OpenVPN Server konfiguriert. Config exportiert und dem Client zugefügt.
Die Verbindung kommt zustande, bricht jedoch fast im Minutentakt wieder ab.

Ist euch so etwas vielleicht bekannt.

Anbei ein Auszu aus dem LOG:

Sun Sep 17 16:02:53 2017 OpenVPN 2.4.3 x86_64-w64-mingw32 [SSL (OpenSSL)] [LZO] [LZ4] [PKCS11] [AEAD] built on Jul 14 2017
Sun Sep 17 16:02:53 2017 Windows version 6.2 (Windows 8 or greater) 64bit
Sun Sep 17 16:02:53 2017 library versions: OpenSSL 1.0.2l 25 May 2017, LZO 2.10
Enter Management Password:
Sun Sep 17 16:02:58 2017 WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
Sun Sep 17 16:02:58 2017 TCP/UDP: Preserving recently used remote address: [AF_INET6]xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
Sun Sep 17 16:02:58 2017 Attempting to establish TCP connection with [AF_INET6]xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx [nonblock]
Sun Sep 17 16:02:59 2017 TCP connection established with [AF_INET6]xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
Sun Sep 17 16:02:59 2017 TCPv6_CLIENT link local: (not bound)
Sun Sep 17 16:02:59 2017 TCPv6_CLIENT link remote: [AF_INET6]xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
Sun Sep 17 16:02:59 2017 WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
Sun Sep 17 16:02:59 2017 [synology.com] Peer Connection Initiated with [AF_INET6]xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
Sun Sep 17 16:03:01 2017 WARNING: INSECURE cipher with block size less than 128 bit (64 bit). This allows attacks like SWEET32. Mitigate by using a --cipher with a larger block size (e.g. AES-256-CBC).
Sun Sep 17 16:03:01 2017 WARNING: INSECURE cipher with block size less than 128 bit (64 bit). This allows attacks like SWEET32. Mitigate by using a --cipher with a larger block size (e.g. AES-256-CBC).
Sun Sep 17 16:03:01 2017 WARNING: cipher with small block size in use, reducing reneg-bytes to 64MB to mitigate SWEET32 attacks.
Sun Sep 17 16:03:01 2017 open_tun
Sun Sep 17 16:03:01 2017 TAP-WIN32 device [Ethernet 2] opened: \\.\Global\{1DFE4413-7DD7-45E6-B3CB-50A46CF33A28}.tap
Sun Sep 17 16:03:01 2017 Notified TAP-Windows driver to set a DHCP IP/netmask of 10.8.0.6/255.255.255.252 on interface {1DFE4413-7DD7-45E6-B3CB-50A46CF33A28} [DHCP-serv: 10.8.0.5, lease-time: 31536000]
Sun Sep 17 16:03:01 2017 Successful ARP Flush on interface [16] {1DFE4413-7DD7-45E6-B3CB-50A46CF33A28}
Sun Sep 17 16:03:01 2017 do_ifconfig, tt->did_ifconfig_ipv6_setup=0
Sun Sep 17 16:03:06 2017 Initialization Sequence Completed
Sun Sep 17 16:05:11 2017 read TCPv6_CLIENT: Connection timed out (WSAETIMEDOUT) (code=10060)
Sun Sep 17 16:05:11 2017 Connection reset, restarting [-1]
Sun Sep 17 16:05:11 2017 SIGUSR1[soft,connection-reset] received, process restarting
Sun Sep 17 16:05:16 2017 WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
Sun Sep 17 16:05:16 2017 TCP/UDP: Preserving recently used remote address: [AF_INET6]xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
Sun Sep 17 16:05:16 2017 Attempting to establish TCP connection with [AF_INET6]xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx [nonblock]
Sun Sep 17 16:05:17 2017 TCP connection established with [AF_INET6]xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
Sun Sep 17 16:05:17 2017 TCPv6_CLIENT link local: (not bound)
Sun Sep 17 16:05:17 2017 TCPv6_CLIENT link remote: [AF_INET6]xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
Sun Sep 17 16:05:17 2017 [synology.com] Peer Connection Initiated with [AF_INET6]xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
Sun Sep 17 16:05:19 2017 WARNING: INSECURE cipher with block size less than 128 bit (64 bit). This allows attacks like SWEET32. Mitigate by using a --cipher with a larger block size (e.g. AES-256-CBC).
Sun Sep 17 16:05:19 2017 WARNING: INSECURE cipher with block size less than 128 bit (64 bit). This allows attacks like SWEET32. Mitigate by using a --cipher with a larger block size (e.g. AES-256-CBC).
Sun Sep 17 16:05:19 2017 WARNING: cipher with small block size in use, reducing reneg-bytes to 64MB to mitigate SWEET32 attacks.
Sun Sep 17 16:05:19 2017 open_tun
Sun Sep 17 16:05:19 2017 TAP-WIN32 device [Ethernet 2] opened: \\.\Global\{1DFE4413-7DD7-45E6-B3CB-50A46CF33A28}.tap
Sun Sep 17 16:05:19 2017 Notified TAP-Windows driver to set a DHCP IP/netmask of 10.8.0.10/255.255.255.252 on interface {1DFE4413-7DD7-45E6-B3CB-50A46CF33A28} [DHCP-serv: 10.8.0.9, lease-time: 31536000]
Sun Sep 17 16:05:19 2017 Successful ARP Flush on interface [16] {1DFE4413-7DD7-45E6-B3CB-50A46CF33A28}
Sun Sep 17 16:05:19 2017 do_ifconfig, tt->did_ifconfig_ipv6_setup=0

Der Auszug ist aus dem Log der Clients. Es sind aktuell 2 Win10 Clients. Mit beiden das gleiche Problem.


Die öffentliche IPV6 ist jeweils mit xxx versehen.




Vielen Dank für eure Lösungsansätze!!!!
 
Zuletzt bearbeitet:

tproko

Benutzer
Sehr erfahren
Mitglied seit
11. Jun 2017
Beiträge
2.101
Punkte für Reaktionen
253
Punkte
129
Du könntest / solltest mal im openvpn Server-Log schauen, ob dort mehr steht warum die Connection-Reseted wird.

Steigst du mit dem gleichen Benutzer ein? Wenn ja, hast du die Anzahl der Verbindungen pro Benutzer entsprechend hoch gesetzt (ist in den DSM OpenVPN GUI eine der Optionen).
Und was du auf jeden Fall auch ändern solltest: Cipher anpassen, siehe Client Warnings. ZB. auf AES-256-CBC
 

colonelt

Benutzer
Mitglied seit
17. Sep 2017
Beiträge
4
Punkte für Reaktionen
0
Punkte
0
Hallo,

vielen Dank erstmal!

Cipher werde ich anpassen, das ist mir auch schon aufgefallen. Die Anzahl der Verbindungen pro Nutzer ist auch korrekt. Was ich noch nicht weiß ist wie ich an das Log vom Server komme. Habe bisher alles über die DSM GUI gemacht.
 

tproko

Benutzer
Sehr erfahren
Mitglied seit
11. Jun 2017
Beiträge
2.101
Punkte für Reaktionen
253
Punkte
129
Dazu musst du "leider" auf die Synology per SSH.

SSH muss zunächst in DSM aktiviert werden.

Danach
Als Linux User einfach mit "ssh <deinUser>@<IP>"
Mit Wndows wäre das simpleste Programm wohl Putty

Bezüglich Server-Log, das muss man zunächst aktivieren. Dazu gibt es in diesem Forum schon einige Referenzen, einfach nach "log-append" suchen.
 

colonelt

Benutzer
Mitglied seit
17. Sep 2017
Beiträge
4
Punkte für Reaktionen
0
Punkte
0
Ich habe folgende Vorgehensweise mal versucht:

1.) Via ssh als root und vi /var/packages/VPNCenter/etc/openvpn/openvpn.conf
2.) Zeile einkommentieren bzw. hinzufügen: log-append /var/log/openvpn.log
3.) Danach OpenVPN Server neustarten: /var/packages/VPNCenter/target/scripts/openvpn.sh restart
4.) Nach Verbindungsversuch Log ansehen (less falls installiert, sonst more /var/log/openvpn.log)
5.) Debugging wieder abdrehen oder Log-Rotate einrichten.

Beim Speichern im vi erscheint der Fehler: E212: Can`t open file for writing


Kurze Ergänzung: war nicht als root angemeldet, jetzt funktionierts!
 
Zuletzt bearbeitet:

colonelt

Benutzer
Mitglied seit
17. Sep 2017
Beiträge
4
Punkte für Reaktionen
0
Punkte
0
Kurzes Feedback...

Nachdem ich festgestellt, dass auf der Seite des Servers permanenet die Internetverbindung wegbricht gehe ich davon aus, dass das Problem mit den Reconnects logischerweise darauf bezogen ist.
Schuld hierfür ist eine defekte Fritzbox 7490. Werden morgen die neue 7590 installieren und schauen wie es sich dann verhält.
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat