OpenVPN und Android 4.0 jetzt (ohne root) möglich

[dany]

Habe es gerade erfolgreich ausprobiert.
Wer ein Android 4.0 hat kann nun OpenVPN ohne ein gerootetes OS nutzen. (VPN-API wurde implementiert)

https://play.google.com/store/apps/details?id=de.blinkt.openvpn

Nach der Installation kann man openvpn.ovpn importieren (inkl. ca.crt).
Er reklamiert nur noch nach dem Benutzernamen (in den Einstellungen nachtragen) und dann steht nichts mehr im weg.

Gruss Dany

 

[Niemand2006]

Hallo,

das Versuche ich jetzt schon die ganze Woche. Aber bei mir funktioniert es leider nicht. Funktioniert es denn bei dir, wenn ja wie hast du denn alles eingestellt?

 

[dany]

Hallo Niemand2006

Ich habe folgende Eckdaten:
Android: 4.0.4
OpenVPN für Android: 0.5.8

=> Läuft dein OpenVPN z.B. über Windows? Nur zum sicherstellen das OpenVPN auch wirklich richtig läuft.
=> Was sagt das Log im VPN aus?

Ich konnte mich beim ersten mal nicht anmelden, da der Benutzername fehlte. Danach konnte ich mich erfolgreich verbinden.

Gruss Dany

 

[Niemand2006]

Ich bekomme immer als fehler das der TLS Handshake faild. Mit Windows funktioniert es nur mit dem Handy nicht.
Die Version von OpenVPN habe ich auch aber es geht leider nicht.

Was ich Vergessen hatte ist das ich Android 4.0.3 drauf habe.

Beste Grüße

Niemand2006

 

[dany]

Hallo Niemand2006

Android 4.0.3 sollte IMOH schon VPN unterstützen.

Aus welchem Netz versuchst du dich einzuloggen? Ev. WLAN im Office? => Vielleicht wird Port 1194 blockiert?
ca.crt (Zertifikat) auch auf das Telefon kopiert?
Das einzige was ich geändert habe (d.h. Kein Synology-Standard) das ich den Port geändert habe. Ich bewege mich in Netzen wo 1194 nicht offen ist.

Wenn du zu Hause bist (dein WLAN), kannst du dich mit OpenVPN verbinden?


Gruss Dany

 

[cyorps]

Bitte mal in den Verbindungseinstellungen -> Advanced -> Log Detail Level auf 5 stellen und dann die Verbindungslog (=Option "Sende Logdatei" der Log die während des Verbindungsaufbaus zu sehen ist) posten. Alles andere läuft auf reines Raten hinaus.

 

[Niemand2006]

Hallo Niemand2006

Android 4.0.3 sollte IMOH schon VPN unterstützen.

Aus welchem Netz versuchst du dich einzuloggen? Ev. WLAN im Office? => Vielleicht wird Port 1194 blockiert?
ca.crt (Zertifikat) auch auf das Telefon kopiert?
Das einzige was ich geändert habe (d.h. Kein Synology-Standard) das ich den Port geändert habe. Ich bewege mich in Netzen wo 1194 nicht offen ist.

Wenn du zu Hause bist (dein WLAN), kannst du dich mit OpenVPN verbinden?


Gruss Dany

Ich versuche es via Handy also HSDPA.

 

[Niemand2006]

Log cleared.
Generiere OpenVPN Konfigration…
P:Current Parameter Settings:
P:  config = '/data/data/de.blinkt.openvpn/cache/android.conf'
P:  mode = 0
P:  show_ciphers = DISABLED
P:  show_digests = DISABLED
P:  show_engines = DISABLED
P:  genkey = DISABLED
P:  key_pass_file = '[UNDEF]'
P:  show_tls_ciphers = DISABLED
P:Connection profiles [default]:
P:  proto = udp
P:  local = '[UNDEF]'
P:  local_port = 1194
P:  remote = 'xxxxxxx.dyndns.org'
P:  remote_port = 1194
P:  remote_float = DISABLED
P:  bind_defined = DISABLED
P:  bind_local = ENABLED
P:  connect_retry_seconds = 5
P:  connect_timeout = 10
P:  connect_retry_max = 5
P:  socks_proxy_server = '[UNDEF]'
P:  socks_proxy_port = 0
P:  socks_proxy_retry = DISABLED
P:  tun_mtu = 1500
P:  tun_mtu_defined = ENABLED
P:  link_mtu = 1500
P:  link_mtu_defined = DISABLED
P:  tun_mtu_extra = 0
P:  tun_mtu_extra_defined = DISABLED
P:  mtu_discover_type = -1
P:  fragment = 0
P:  mssfix = 1450
P:  explicit_exit_notification = 0
P:Connection profiles END
P:  remote_random = DISABLED
P:  ipchange = '[UNDEF]'
P:  dev = 'tun'
P:  dev_type = '[UNDEF]'
P:  dev_node = '[UNDEF]'
P:  lladdr = '[UNDEF]'
P:  topology = 1
P:  tun_ipv6 = DISABLED
P:  ifconfig_local = '[UNDEF]'
P:  ifconfig_remote_netmask = '[UNDEF]'
P:  ifconfig_noexec = DISABLED
P:  ifconfig_nowarn = DISABLED
P:  ifconfig_ipv6_local = '[UNDEF]'
P:  ifconfig_ipv6_netbits = 0
P:  ifconfig_ipv6_remote = '[UNDEF]'
P:  shaper = 0
P:  mtu_test = 0
P:  mlock = DISABLED
P:  keepalive_ping = 0
P:  keepalive_timeout = 0
P:  inactivity_timeout = 0
P:  ping_send_timeout = 0
P:  ping_rec_timeout = 0
P:  ping_rec_timeout_action = 0
P:  ping_timer_remote = DISABLED
P:  remap_sigusr1 = 0
P:  persist_tun = DISABLED
P:  persist_local_ip = DISABLED
P:  persist_remote_ip = DISABLED
P:  persist_key = DISABLED
P:  resolve_retry_seconds = 5
P:  username = '[UNDEF]'
P:  groupname = '[UNDEF]'
P:  chroot_dir = '[UNDEF]'
P:  cd_dir = '[UNDEF]'
P:  writepid = '[UNDEF]'
P:  up_script = '[UNDEF]'
P:  down_script = '[UNDEF]'
P:  down_pre = DISABLED
P:  up_restart = DISABLED
P:  up_delay = DISABLED
P:  daemon = DISABLED
P:  inetd = 0
P:  log = DISABLED
P:  suppress_timestamps = ENABLED
P:  nice = 0
P:  verbosity = 5
P:  mute = 0
P:  gremlin = 0
P:  status_file = '[UNDEF]'
P:  status_file_version = 1
P:  status_file_update_freq = 60
P:  occ = ENABLED
P:  rcvbuf = 65536
P:  sndbuf = 65536
P:  sockflags = 0
P:  fast_io = DISABLED
P:  lzo = 7
P:  route_script = '[UNDEF]'
P:  route_default_gateway = '[UNDEF]'
P:  route_default_metric = 0
P:  route_noexec = DISABLED
P:  route_delay = 0
P:  route_delay_window = 30
P:  route_delay_defined = DISABLED
P:  route_nopull = DISABLED
P:  route_gateway_via_dhcp = DISABLED
P:  max_routes = 100
P:  allow_pull_fqdn = DISABLED
P:  management_addr = '/data/data/de.blinkt.openvpn/cache/mgmtsocket'
P:  management_port = 0
P:  management_user_pass = '[UNDEF]'
P:  management_log_history_cache = 250
P:  management_echo_buffer_size = 100
P:  management_write_peer_info_file = '[UNDEF]'
P:  management_client_user = '[UNDEF]'
P:  management_client_group = '[UNDEF]'
P:  management_flags = 262
P:  shared_secret_file = '[UNDEF]'
P:  key_direction = 0
P:  ciphername_defined = ENABLED
P:  ciphername = 'BF-CBC'
P:  authname_defined = ENABLED
P:  authname = 'SHA1'
P:  prng_hash = 'SHA1'
P:  prng_nonce_secret_len = 16
P:  keysize = 0
P:  engine = DISABLED
P:  replay = ENABLED
P:  mute_replay_warnings = DISABLED
P:  replay_window = 64
P:  replay_time = 15
P:  packet_id_file = '[UNDEF]'
P:  use_iv = ENABLED
P:  test_crypto = DISABLED
P:  tls_server = DISABLED
P:  tls_client = ENABLED
P:  key_method = 2
P:  ca_file = '/sdcard/openvpn/ca.crt'
P:  ca_path = '[UNDEF]'
P:  dh_file = '[UNDEF]'
P:  cert_file = '[UNDEF]'
P:  priv_key_file = '[UNDEF]'
P:  pkcs12_file = '[UNDEF]'
P:  cipher_list = '[UNDEF]'
P:  tls_verify = '[UNDEF]'
P:  tls_export_cert = '[UNDEF]'
P:  tls_remote = '[UNDEF]'
P:  crl_file = '[UNDEF]'
P:  ns_cert_type = 0
P:  remote_cert_ku = 0
P:  remote_cert_ku = 0
P:  remote_cert_ku = 0
P:  remote_cert_ku = 0
P:  remote_cert_ku = 0
P:  remote_cert_ku = 0
P:  remote_cert_ku = 0
P:  remote_cert_ku = 0
P:  remote_cert_ku = 0
P:  remote_cert_ku = 0
P:  remote_cert_ku = 0
P:  remote_cert_ku = 0
P:  remote_cert_ku = 0
P:  remote_cert_ku = 0
P:  remote_cert_ku = 0
P:  remote_cert_ku = 0
P:  remote_cert_eku = '[UNDEF]'
P:  ssl_flags = 0
P:  tls_timeout = 2
P:  renegotiate_bytes = 0
P:  renegotiate_packets = 0
P:  renegotiate_seconds = 3600
P:  handshake_window = 60
P:  transition_window = 3600
P:  single_session = DISABLED
P:  push_peer_info = DISABLED
P:  tls_exit = DISABLED
P:  tls_auth_file = '[UNDEF]'
P:  client = ENABLED
P:  pull = ENABLED
P:  auth_user_pass_file = 'stdin'
P:OpenVPN 2.3_alpha1 arm-linux-androideabi [SSL (OpenSSL)] [LZO] [EPOLL] [MH] [PF_INET6] [IPv6 payload 20110522-1 (2.2.0)] built on Jun  3 2012
P:MANAGEMENT: unix domain socket listening on /data/data/de.blinkt.openvpn/cache/mgmtsocket
P:Need hold release from management interface, waiting...
P:MANAGEMENT: Client connected from /data/data/de.blinkt.openvpn/cache/mgmtsocket
P:MANAGEMENT: CMD 'hold release'
P:MANAGEMENT: CMD 'bytecount 2'
P:MANAGEMENT: CMD 'state on'
P:MANAGEMENT: CMD 'username 'Auth' "xxxxx"'
P:MANAGEMENT: CMD 'password [...]'
P:WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
P:NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
P:LZO compression initialized
P:Control Channel MTU parms [ L:1542 D:138 EF:38 EB:0 ET:0 EL:0 ]
P:MANAGEMENT: CMD 'needok 'PROTECTFD' ok'
P:Socket Buffers: R=[110592->131072] S=[110592->131072]
P:MANAGEMENT: >STATE:1340874427,RESOLVE,,,
Netzwerkstatus: CONNECTED HSDPA to mobile web.vodafone.de
P:Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:0 EL:0 AF:3/1 ]
P:Local Options String: 'V4,dev-type tun,link-mtu 1542,tun-mtu 1500,proto UDPv4,comp-lzo,cipher BF-CBC,auth SHA1,keysize 128,key-method 2,tls-client'
P:Expected Remote Options String: 'V4,dev-type tun,link-mtu 1542,tun-mtu 1500,proto UDPv4,comp-lzo,cipher BF-CBC,auth SHA1,keysize 128,key-method 2,tls-server'
P:Local Options hash (VER=V4): '41690919'
P:Expected Remote Options hash (VER=V4): '530fdded'
P:UDPv4 link local (bound): [undef]
P:UDPv4 link remote: [AF_INET]xxx.xxx.xxx.xxx:1194
P:MANAGEMENT: >STATE:1340874428,WAIT,,,
P:WWWWWTLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
P:TLS Error: TLS handshake failed
P:TCP/UDP: Closing socket
P:SIGUSR1[soft,tls-error] received, process restarting
P:MANAGEMENT: >STATE:1340874488,RECONNECTING,tls-error,,
P:MANAGEMENT: CMD 'hold release'
P:MANAGEMENT: CMD 'bytecount 2'
P:MANAGEMENT: CMD 'state on'
P:WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
P:NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
P:LZO compression initialized
P:Control Channel MTU parms [ L:1542 D:138 EF:38 EB:0 ET:0 EL:0 ]
P:MANAGEMENT: CMD 'needok 'PROTECTFD' ok'
P:Socket Buffers: R=[110592->131072] S=[110592->131072]
P:MANAGEMENT: >STATE:1340874489,RESOLVE,,,
P:Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:0 EL:0 AF:3/1 ]
P:Local Options String: 'V4,dev-type tun,link-mtu 1542,tun-mtu 1500,proto UDPv4,comp-lzo,cipher BF-CBC,auth SHA1,keysize 128,key-method 2,tls-client'
P:Expected Remote Options String: 'V4,dev-type tun,link-mtu 1542,tun-mtu 1500,proto UDPv4,comp-lzo,cipher BF-CBC,auth SHA1,keysize 128,key-method 2,tls-server'
P:Local Options hash (VER=V4): '41690919'
P:Expected Remote Options hash (VER=V4): '530fdded'
P:UDPv4 link local (bound): [undef]
P:UDPv4 link remote: [AF_INET]xxx.xxx.xxx.xxx:1194
P:MANAGEMENT: >STATE:1340874489,WAIT,,,
P:WWWMANAGEMENT: CMD 'signal SIGINT'
P:TCP/UDP: Closing socket
P:SIGINT[hard,] received, process exiting
P:MANAGEMENT: >STATE:1340874499,EXITING,SIGINT,,

Hier mal die Log.
Mal sehen ob mit jetzt jemand helfen kann.

 

[dany]

Hallo Niemand2006

Heute war ich auch unterwegs und hatte die gleichen symtome wie du, das er "TLS key negotiation failed to occur within 60 seconds" meldete.
Hatte noch keine Zeit dann dem genauer nachzugehen. Habe mal diese Wikiseite im Netz gefunden. Vielleicht hilft es dir ja:

http://wiki.nefarius.at/linux/mit_openvpn_ins_internet#verbindung_via_umtshsdpa_funktioniert_nicht

Gruss Dany

 

[Niemand2006]

Ich habe mal die Zeilen eingetragen aber leider bekomme ich immernoch keine verbindung, sondern immernoch der gleiche Fehler.

Hat es bei jemand anderen funktioniert?

 

[Matthieu]

Läuft leider nicht auf Sony-Geräten weil Sony mal wieder Mist gebaut hat
*im Web nach bösen Smileys such* ...

MfG Matthieu

 

[Niemand2006]

Also ich habe mein Samsung Galaxy S2 funktioniert es da oder ist es da genauso hoffnungslos?

 

[Matthieu]

Ich hab mich nur gewundert warum es bei mir als inkompatibel auftauchte, bis ich eine Anmerkung des Autors gesehen hab. Bezieht sich aber nur auf Sony, bei allen anderen scheint es zu gehen.

MfG Matthieu

 

[Niemand2006]

Dann kann ich nur etwas falsch machen weil es bei mir nicht geht.

Wenn ich nur wüsste was. Kannst dir ja mal die Log anschauen wenn du willst vielleicht findest du den Fehler.

MfG Niemand2006

 

[dany]

Läuft leider nicht auf Sony-Geräten weil Sony mal wieder Mist gebaut hat

Das ist ein Grund warum ich kein Sony Mobile-Gerät mehr kaufen würde. Ich hatte das "Xperia X10 mini pro" (U20i) von Sony Ericsson. Irgendwann haben sie ein Update auf 1.6 herausgebracht aber dort stürzte mir bei SMS immer wieder das Telefon ab. Updates gibt es bekanntlich keine und man muss damit Leben. Ansonsten waren alle Menüs träge und lagsam. Das zurücksetzen auf Werkzustand brachte auch keine besserung.

Mit dem S3 habe ich endlich ein Telefon das nach meinen Bedürfnissen entspricht, ausser eben die Batterieleistung, aber das wird es bei den Smartphones nach lange nicht geben.

Gruss Dany

 

[Matthieu]

Nenn mir eine echte Alternative zum Xperia mini pro und ich schmeiß meins sofort in die Ecke ...
Vielleicht wird es doch mal Zeit für ein Custom-ROM?

MfG Matthieu

 

[dany]

Hallo Niemand2006

Heute funktioniert es unterwegs wieder ohne Probleme. Bis auf das Routing, da musst ich ein wenig nachhelfen.
Ich habe mir mal meine Konfiguration herausgeschrieben:

Basic
Profilname: Mein-Name
Server: subdomain.meine-Domain.org
Serer Port: 1194
Protokoll: UDP
LZO Kompr: Ja
CA Zertifikat [[Eingebettete Datei]]

IP and DNS
Pull Settings JA
IPv4: leer
IPv6: leer
Keine lokales Binden: Nein
Eigene DNS Server: Ja
DNS Such Domäne: leer
DNS Server: IP der NAS (private 10.0.0.x oder 192.168.0.X usw.)
Backup DNS Server: leer

Routing
Ignoriere gepuschte Routen: Ja
Benutze Default Route: Ja

Authentifizeriung / Verschlüsselung
Erwarte TLS Server: Nein
Zertifikat Name überprüfen: Nein
Benutze TLS Auth: Nein

Advanced
Random Host Prefix: Nein
Erlaubte floating Server: Nein
Eigene Kofiguration Optionen: Ja
Eigene Optionen:
reneg-sec 0
script-security 2

Vielleicht hiflt es ja.
Gruss Dany

 

[dany]

Wesshalb hast du dich für das Xperia entschieden? Die Grösse, die Tastatur?
Gruss Dany

 

[Matthieu]

Wesshalb hast du dich für das Xperia entschieden? Die Grösse, die Tastatur?
Gruss Dany

Genau das beides zusammen. Ein Handy dass nicht wieder in Richtung Telefonzelle geht, mit ausschiebbarer Tastatur die groß genug ist um Tasten sicher zu treffen.
EDIT: Ach ja und der Preis. 600€ wie für hochklassige Smartphones ist mir definitiv zu viel, 300 ist ungefähr Schmerzgrenze, das Xperia hat damals gut 200 gekostet.

MfG Matthieu

 

[Niemand2006]

Kann es vielleicht damit zusammenhängen, dass ich die Festplatten nach 30 min in den Ruhemodus setze?

Edit:

Wenn ich jetzt eine Verbindung machen will sagt er zu mirYou must define certificate file(--cert) or PKCS#12 file.

Was habe ich denn jetzt wieder falsch gemacht? Ich habe nix am config file geändert.