DS114 OpenVPN Kein Verbindungsaufbau

sy-pit · 27. Mai 2014

Hallo Leute,

ich bekomme auf meiner DS114 einfach den OpenVPN vom iPad aus nicht zum laufen.
Verwende eine iOS.ovpn Datei mit inline-Zertifikaten.
Auf meine DS212 komme ich, aber bei der DS114 klappt es einfach nicht.
Hier ist die Logfile vom client:

2014-05-27 20:35:13 Performance stats on disconnect:
CPU usage (microseconds): 52297
Network bytes per CPU second: 8031
Tunnel bytes per CPU second: 0
2014-05-27 20:35:13 ----- OpenVPN Stop -----
2014-05-27 20:35:13 EVENT: DISCONNECT_PENDING
2014-05-27 21:12:31 ----- OpenVPN Start (iOS 32-bit) -----
2014-05-27 21:12:31 UNUSED OPTIONS
1 [tls-client]
4 [pull]
6 [script-security] [2]
10 [setenv] [CLIENT_CERT] [0]
12 [cert] [-----BEGIN CERTIFICATE----- MIID+zCCA2SgAwIBAgIBATANBgkqhkiG9w0B...]

2014-05-27 21:12:31 LZO-ASYM init swap=0 asym=0
2014-05-27 21:12:31 EVENT: RESOLVE
2014-05-27 21:12:32 Contacting >IP

ORT< via UDP
2014-05-27 21:12:32 EVENT: WAIT
2014-05-27 21:12:32 Connecting to >IP

ORT< via UDPv4
2014-05-27 21:12:41 Server poll timeout, trying next remote entry...
2014-05-27 21:12:41 EVENT: RECONNECTING
2014-05-27 21:12:41 LZO-ASYM init swap=0 asym=0
2014-05-27 21:12:41 EVENT: RESOLVE
2014-05-27 21:12:41 Contacting >IP

ORT< via UDP
2014-05-27 21:12:41 EVENT: WAIT
2014-05-27 21:12:41 Connecting to >IP

ORT< via UDPv4
2014-05-27 21:12:51 Server poll timeout, trying next remote entry...
2014-05-27 21:12:51 EVENT: RECONNECTING
2014-05-27 21:12:51 LZO-ASYM init swap=0 asym=0
2014-05-27 21:12:51 EVENT: RESOLVE
2014-05-27 21:12:51 Contacting >IP

ORT< via UDP
2014-05-27 21:12:51 EVENT: WAIT
2014-05-27 21:12:51 Connecting to >IP

ORT< via UDPv4
2014-05-27 21:13:01 Server poll timeout, trying next remote entry...
2014-05-27 21:13:01 EVENT: RECONNECTING
2014-05-27 21:13:01 LZO-ASYM init swap=0 asym=0
2014-05-27 21:13:01 EVENT: RESOLVE
2014-05-27 21:13:01 Contacting >IP

ORT< via UDP
2014-05-27 21:13:01 EVENT: WAIT
2014-05-27 21:13:01 Connecting >IP

ORT< via UDPv4
2014-05-27 21:13:11 Server poll timeout, trying next remote entry...
2014-05-27 21:13:11 EVENT: RECONNECTING
2014-05-27 21:13:11 LZO-ASYM init swap=0 asym=0
2014-05-27 21:13:11 EVENT: RESOLVE
2014-05-27 21:13:11 Contacting >IP

ORT< via UDP
2014-05-27 21:13:11 EVENT: WAIT
2014-05-27 21:13:11 Connecting to >IP

ORT< via UDPv4
2014-05-27 21:13:21 Server poll timeout, trying next remote entry...
2014-05-27 21:13:21 EVENT: RECONNECTING
2014-05-27 21:13:21 LZO-ASYM init swap=0 asym=0
2014-05-27 21:13:21 EVENT: RESOLVE
2014-05-27 21:13:21 Contacting >IP

ORT< via UDP
2014-05-27 21:13:21 EVENT: WAIT
2014-05-27 21:13:21 Connecting to >IP

ORT< via UDPv4
2014-05-27 21:13:31 EVENT: CONNECTION_TIMEOUT [ERR]
2014-05-27 21:13:31 EVENT: DISCONNECTED
2014-05-27 21:13:31 Raw stats on disconnect:
BYTES_OUT : 420
PACKETS_OUT : 30
CONNECTION_TIMEOUT : 1
N_RECONNECT : 5
2014-05-27 21:13:31 Performance stats on disconnect:
CPU usage (microseconds): 50329
Network bytes per CPU second: 8345
Tunnel bytes per CPU second: 0
2014-05-27 21:13:31 ----- OpenVPN Stop -----
2014-05-27 21:13:31 EVENT: DISCONNECT_PENDING

Hier ist die iOS.ovpn:

dev tun
tls-client

remote >IP

ORT<

# The "float" tells OpenVPN to accept authenticated packets from any address,
# not only the address which was specified in the --remote option.
# This is useful when you are connecting to a peer which holds a dynamic address
# such as a dial-in user or DHCP client.
# (Please refer to the manual of OpenVPN for more information.)

#float

# If redirect-gateway is enabled, the client will redirect it's
# default network gateway through the VPN.
# It means the VPN connection will firstly connect to the VPN Server
# and then to the internet.
# (Please refer to the manual of OpenVPN for more information.)

redirect-gateway

# dhcp-option DNS: To set primary domain name server address.
# Repeat this option to set secondary DNS server addresses.

dhcp-option DNS 192.168.0.1

pull

proto udp
script-security 2

comp-lzo

reneg-sec 8640000

#Inline-Zertifikate
#ca.crt
#server.crt
#server.key
auth-user-pass

setenv CLIENT_CERT 0

<ca>
-----BEGIN CERTIFICATE-----
..............................................

Irgendwo ist der Wurm drinn.

Anzeige · 27. Mai 2014

Hallo sy-pit,

Bücher und Hardware zum Thema gibt es bei Amazon: DS114 OpenVPN Kein Verbindungsaufbau

krautz · 27. Mai 2014

den ovpn port hast du in den firewalleinstellungen freigegeben? da es so aussieht als ob die diskstation nicht antworten will.

mfg

sy-pit · 28. Mai 2014

hallo,
ja aber nur den 1194 UDP.
Die unterstrichene Zeile scheint ja auf einen Fehler hinzuweisen.
Da ich über einen wi-DSL Provider ins Netz gehe, will ich die Konfiguration mal auf den Port der DS212 ändern und testen.
In welchem Logfile kann ich hier mehr Information zu der Fehlermeldung finden?
Gruß

cyorps · 28. Mai 2014

Stehen die DS212 und DS114 im selben Netz? Wenn ja, welchen Port nutzt du für die DS114?

krautz · 28. Mai 2014

Wenn du einen ssh zugang gemacht hast dann müsste die file /var/log/messages darüber auskunft geben ob es probleme mit openvpn gibt. ich habe bei mir zu testzwecken mal nen falsches ca eingebunden da sieht das dann so aus:

May 28 09:21:35 NAS openvpn[14325]: >IP<:46511 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
May 28 09:21:35 NAS openvpn[14325]: >IP<:46511 TLS Error: TLS handshake failed
May 28 09:21:37 NAS openvpn[14325]: >IP<:43307 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
May 28 09:21:37 NAS openvpn[14325]: >IP<:43307 TLS Error: TLS handshake failed
May 28 09:21:39 NAS openvpn[14325]: >IP<:47283 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
May 28 09:21:39 NAS openvpn[14325]: >IP<:47283 TLS Error: TLS handshake failed

das setzt natürlich voraus das die paket bis zur DS kommen

mfg

cyorps · 28. Mai 2014

krautz schrieb:
das setzt natürlich voraus das die paket bis zur DS kommen

Und genau das passiert laut Log eben nicht. Er dürfte in diesen Fall maximal auf seinen Router sehen, dass dort Anfragen ankommen. Wenn beide DS in gleichen Netz stehen, vermute ich, dass er die identischen Ports für beide VPN's benutzt. Das funktioniert natürlich nicht und er müsste vom Router aus einen anderen Port weiterleiten. Allerdings würde sich mir in diesen Fall die Frage stellen, weshalb man zwei VPN's für ein Netz braucht.

laserdesign · 28. Mai 2014

@cyorps,

schon richtig, aber da der Threadersteller zu wenige Info's preis gibt ist das alles Speculation.

2014-05-27 21:12:32 Connecting to >IPORT< via UDPv4
2014-05-27 21:12:41 Server poll timeout, trying next remote entry...

hier sieht man das:

remote >IPORT<

gegen die Wand läuft.

cyorps · 28. Mai 2014

Ich gehe davon aus, dass er diesen Konfigurationsteil via Suchen&Ersetzen geändert hat und die Konfig bezüglich IP/Domain und Port dahingehend stimmig ist.

laserdesign · 28. Mai 2014

@cyorps,

etwas OT, ich sehe gerade, das du Freetz auf deiner Fritte hast und openvpn läuft.
Welche Firmware läuft denn auf der Fritte?? wollte mich da auch mal ran machen.

cyorps · 28. Mai 2014

Off-topic

FritzOS 84.06.03 rev27349 und freetz-devel-11839

Ist eine schöne Sache! Allerdings du hängst bei der 73er und 74er ständig im Trunk-Strang. Ich glaube auch nicht, dass sich daran etwas großartig ändert. Laut den IRC's sind die Freetz-Entwickler für diese Boxen echt nicht zu beneiden!

laserdesign · 28. Mai 2014

cool, danke dir für die Info's

sy-pit · 28. Mai 2014

krautz schrieb:
Wenn du einen ssh zugang gemacht hast dann müsste die file /var/log/messages darüber auskunft geben ob es probleme mit openvpn gibt. ich habe bei mir zu testzwecken mal nen falsches ca eingebunden da sieht das dann so aus:

das setzt natürlich voraus das die paket bis zur DS kommen

mfg

Hallo krautz,

manschmal muss ich auch Brötchen verdienen... ;-)
Erst mal danke für den Pfad zum Logfile.

Habe jetzt erst mal aus meinem statisch gerouteten Garten-Subnet getestet.
192.168.1.0 --> 192.168.0.0
und angepasster iOS.ovpn...
dev tun
tls-client
remote 192.168.0.2 1194
...
auf die DS114 zugegriffen. Hier erfolgt dann auch mal ein Logeintrag:

May 27 21:22:16 Synology-DS114 ddnsd: ddnsd.c:2545 Success to update [hier ist meine IP ;-)] at [Strato.com]
May 28 17:26:23 Synology-DS114 openvpn[19328]: read UDPv4 [ECONNREFUSED]: Connection refused (code=111)
May 28 17:26:24 Synology-DS114 openvpn[19328]: read UDPv4 [ECONNREFUSED]: Connection refused (code=111)
May 28 17:26:26 Synology-DS114 openvpn[19328]: read UDPv4 [ECONNREFUSED|ECONNREFUSED]: Connection refused (code=111)
May 28 17:26:27 Synology-DS114 openvpn[19328]: read UDPv4 [ECONNREFUSED]: Connection refused (code=111)
May 28 17:26:28 Synology-DS114 openvpn[19328]: read UDPv4 [ECONNREFUSED]: Connection refused (code=111)
May 28 17:26:30 Synology-DS114 openvpn[19328]: read UDPv4 [ECONNREFUSED]: Connection refused (code=111)
May 28 17:26:31 Synology-DS114 openvpn[19328]: read UDPv4 [ECONNREFUSED]: Connection refused (code=111)
May 28 17:26:35 Synology-DS114 openvpn[19328]: read UDPv4 [ECONNREFUSED]: Connection refused (code=111)
May 28 17:26:36 Synology-DS114 openvpn[19328]: read UDPv4 [ECONNREFUSED]: Connection refused (code=111)
May 28 17:26:38 Synology-DS114 openvpn[19328]: read UDPv4 [ECONNREFUSED]: Connection refused (code=111)
May 28 17:26:39 Synology-DS114 openvpn[19328]: read UDPv4 [ECONNREFUSED]: Connection refused (code=111)
May 28 17:26:51 Synology-DS114 openvpn[19328]: read UDPv4 [ECONNREFUSED]: Connection refused (code=111)
May 28 17:26:52 Synology-DS114 openvpn[19328]: read UDPv4 [ECONNREFUSED]: Connection refused (code=111)
May 28 17:26:54 Synology-DS114 openvpn[19328]: read UDPv4 [ECONNREFUSED]: Connection refused (code=111)
May 28 17:26:55 Synology-DS114 openvpn[19328]: read UDPv4 [ECONNREFUSED]: Connection refused (code=111)
May 28 17:27:21 Synology-DS114 openvpn[19328]: 192.168.1.197:54358 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
May 28 17:27:21 Synology-DS114 openvpn[19328]: 192.168.1.197:54358 TLS Error: TLS handshake failed
May 28 17:28:03 Synology-DS114 openvpn[19328]: read UDPv4 [ECONNREFUSED]: Connection refused (code=111)
May 28 17:28:05 Synology-DS114 openvpn[19328]: read UDPv4 [ECONNREFUSED]: Connection refused (code=111)
May 28 17:28:06 Synology-DS114 openvpn[19328]: read UDPv4 [ECONNREFUSED]: Connection refused (code=111)
May 28 17:28:07 Synology-DS114 openvpn[19328]: read UDPv4 [ECONNREFUSED]: Connection refused (code=111)
May 28 17:28:08 Synology-DS114 openvpn[19328]: read UDPv4 [ECONNREFUSED]: Connection refused (code=111)
May 28 17:28:09 Synology-DS114 openvpn[19328]: read UDPv4 [ECONNREFUSED]: Connection refused (code=111)
May 28 17:28:11 Synology-DS114 openvpn[19328]: read UDPv4 [ECONNREFUSED|ECONNREFUSED]: Connection refused (code=111)
May 28 17:28:12 Synology-DS114 openvpn[19328]: read UDPv4 [ECONNREFUSED]: Connection refused (code=111)
May 28 17:28:17 Synology-DS114 openvpn[19328]: read UDPv4 [ECONNREFUSED]: Connection refused (code=111)
May 28 17:28:19 Synology-DS114 openvpn[19328]: read UDPv4 [ECONNREFUSED]: Connection refused (code=111)
May 28 17:28:20 Synology-DS114 openvpn[19328]: read UDPv4 [ECONNREFUSED]: Connection refused (code=111)
May 28 17:28:21 Synology-DS114 openvpn[19328]: read UDPv4 [ECONNREFUSED]: Connection refused (code=111)
May 28 17:28:33 Synology-DS114 openvpn[19328]: read UDPv4 [ECONNREFUSED]: Connection refused (code=111)
May 28 17:28:36 Synology-DS114 openvpn[19328]: read UDPv4 [ECONNREFUSED|ECONNREFUSED]: Connection refused (code=111)
May 28 17:28:37 Synology-DS114 openvpn[19328]: read UDPv4 [ECONNREFUSED]: Connection refused (code=111)
May 28 17:29:03 Synology-DS114 openvpn[19328]: 192.168.1.197:52948 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
May 28 17:29:03 Synology-DS114 openvpn[19328]: 192.168.1.197:52948 TLS Error: TLS handshake failed

Über die Wi-DSL verbindung kommt bei der DS114 tatsächlich nichts an, dass ist jetzt aber erst mal das kleinere Problem.
Nur zur Info, ich habe momentan für beide DS folgende ports gemappt:
DS114
6xxx1 udp --> 192.168.0.2:1194
6xxx1 tcp --> 192.168.0.2:443
DS212
6xxx2 udp --> 192.168.0.3:1194
6xxx2 tcp --> 192.168.0.3:443

Ich habe nur eine Hand voll Ports :-(

sy-pit · 04. Jun 2014

cyorps schrieb:
Und genau das passiert laut Log eben nicht. Er dürfte in diesen Fall maximal auf seinen Router sehen, dass dort Anfragen ankommen. Wenn beide DS in gleichen Netz stehen, vermute ich, dass er die identischen Ports für beide VPN's benutzt. Das funktioniert natürlich nicht und er müsste vom Router aus einen anderen Port weiterleiten. Allerdings würde sich mir in diesen Fall die Frage stellen, weshalb man zwei VPN's für ein Netz braucht.

Hallo krautz,

ich warte momentan auf einen freien Port bei meinem Wi-DSL Provider.

Es sind momentan für beide DS folgende ports gemappt:
DS114
6xxx1 udp --> 192.168.0.2:1194 (udp ist aktuell verhindert)
6xxx1 tcp --> 192.168.0.2:443
DS212
6xxx2 udp --> 192.168.0.3:1194
6xxx2 tcp --> 192.168.0.3:443

Habe ich da einen Denkfehler?

Ich habe leider nur eine Hand voll Ports :-(

Suche

DS114 OpenVPN Kein Verbindungsaufbau

sy-pit

Benutzer

Anzeige

krautz

Benutzer

sy-pit

Benutzer

cyorps

Benutzer

krautz

Benutzer

cyorps

Benutzer

laserdesign

Benutzer

cyorps

Benutzer

laserdesign

Benutzer

cyorps

Benutzer

laserdesign

Benutzer

sy-pit

Benutzer

sy-pit

Benutzer

Kaffeautomat