Probleme mit dperson/openvpn-client Container

Status
Für weitere Antworten geschlossen.

BlackNet

Benutzer
Mitglied seit
02. Jul 2018
Beiträge
3
Punkte für Reaktionen
0
Punkte
1
Hallo zusammen,

ich versuche jetzt schon seit einer Ewigkeit den dperson/openvpn-client (https://github.com/dperson/openvpn-client) auf meiner DS918+ zum laufen zu bekommen, aber leider ohne jeglichen erfolg.
Test weise habe ich es auf einer Ubuntu Mate 18.4 ausprobiert und hier funktioniert alles einwandfrei.

Hier mein docker-composer File (DNS funktioniert anscheinend auch nicht da es nicht in die /etc/resolv.conf übernommen wird)
PHP:
version: "3.2"

services:

  vpn:
    sysctls:
      - net.ipv6.conf.all.disable_ipv6=0
    container_name: vpn
    image: dperson/openvpn-client:latest
    cap_add:
      - net_admin # required to modify network interfaces
    restart: unless-stopped
    dns: 
      - 8.8.8.8
      - 8.8.4.4
    environment:
      - PUID=1026
      - PGID=100
      - TZ=Europe/Berlin
    volumes:
      - /dev/net/tun:/dev/net/tun # tun device
      - /volume1/docker/.config/vpn:/vpn # OpenVPN configuration
    ports:
      - "8888:8888"
    command: -r "192.168.1.0/24" -f "" 

  proxy:
    container_name: proxy
    image: reiz/nginx_proxy
    depends_on:
      - vpn
    restart: unless-stopped
    network_mode: service:vpn
    volumes:
      - /volume1/docker/.config/proxy/nginx.conf:/usr/local/nginx/conf/nginx.conf

Im Log habe ich immer diese Meldung write UDP: Operation not permitted (code=1)

PHP:
Bad argument `1151'
Try `iptables -h' or 'iptables --help' for more information.
Bad argument `1151'
Try `iptables -h' or 'iptables --help' for more information.
Bad argument `1151'
Try `iptables -h' or 'iptables --help' for more information.
Bad argument `1151'
Try `iptables -h' or 'iptables --help' for more information.
.
.
.
Mon Jul  2 17:04:38 2018 us=539902 OpenVPN 2.4.4 x86_64-alpine-linux-musl [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [MH/PKTINFO] [AEAD] built on Nov  9 2017
Mon Jul  2 17:04:38 2018 us=539912 library versions: LibreSSL 2.6.3, LZO 2.10
Mon Jul  2 17:04:38 2018 us=540870 Outgoing Control Channel Authentication: Using 512 bit message hash 'SHA512' for HMAC authentication
Mon Jul  2 17:04:38 2018 us=540888 Incoming Control Channel Authentication: Using 512 bit message hash 'SHA512' for HMAC authentication
Mon Jul  2 17:04:38 2018 us=540908 LZO compression initializing
Mon Jul  2 17:04:38 2018 us=541023 Control Channel MTU parms [ L:1626 D:1140 EF:110 EB:0 ET:0 EL:3 ]
Mon Jul  2 17:04:38 2018 us=577189 Data Channel MTU parms [ L:1626 D:1300 EF:126 EB:407 ET:0 EL:3 ]
Mon Jul  2 17:04:38 2018 us=577218 Fragmentation MTU parms [ L:1626 D:1300 EF:125 EB:407 ET:1 EL:3 ]
Mon Jul  2 17:04:38 2018 us=577280 Local Options String (VER=V4): 'V4,dev-type tun,link-mtu 1606,tun-mtu 1500,proto UDPv4,comp-lzo,mtu-dynamic,keydir 1,cipher AES-256-CBC,auth SHA512,keysize 256,tls-auth,key-method 2,tls-client'
Mon Jul  2 17:04:38 2018 us=577292 Expected Remote Options String (VER=V4): 'V4,dev-type tun,link-mtu 1606,tun-mtu 1500,proto UDPv4,comp-lzo,mtu-dynamic,keydir 0,cipher AES-256-CBC,auth SHA512,keysize 256,tls-auth,key-method 2,tls-server'
Mon Jul  2 17:04:38 2018 us=577311 TCP/UDP: Preserving recently used remote address: [AF_INET]92.43.104.66:149
Mon Jul  2 17:04:38 2018 us=577335 Socket Buffers: R=[212992->212992] S=[212992->212992]
Mon Jul  2 17:04:38 2018 us=577347 UDP link local: (not bound)
Mon Jul  2 17:04:38 2018 us=577358 UDP link remote: [AF_INET]92.43.104.66:149
Mon Jul  2 17:04:38 2018 us=577458 write UDP: Operation not permitted (code=1)
Mon Jul  2 17:04:43 2018 us=210446 write UDP: Operation not permitted (code=1)
Mon Jul  2 17:04:53 2018 us=576635 write UDP: Operation not permitted (code=1)

Ich bin momentan mit meinem Latein am ende, hat jemand ggf. den Container schon mal auf einer Synology zum laufen gebracht?
Falls das noch hilfreich ist, es handelt sich hierbei um einen Zugang zu perfect-privacy, in der Config habe ich auch eine auth.txt angeben wo Benutzer und Passwort übergeben werden.

Wäre für jede Hilfe Dankbar.
 

BlackNet

Benutzer
Mitglied seit
02. Jul 2018
Beiträge
3
Punkte für Reaktionen
0
Punkte
1
An sich bin ich mir sicher das es vorhanden ist.

Erstellt wird es beim System Start mit folgendem Script

Rich (BBCode):
#!/bin/sh

# Create the necessary file structure for /dev/net/tun
if ( [ ! -c /dev/net/tun ] ); then
  if ( [ ! -d /dev/net ] ); then
    mkdir -m 755 /dev/net
  fi
  mknod /dev/net/tun c 10 200
fi

# Load the tun module if not already loaded
if ( !(lsmod | grep -q "^tun\s") ); then
  insmod /lib/modules/tun.ko
fi

# Load iptables mangle is not already loaded
if ( !(lsmod |grep -q "^iptable_mangle\s") ); then
  insmod /lib/modules/iptable_mangle.ko
fi
 

haydibe

Benutzer
Sehr erfahren
Mitglied seit
12. Apr 2016
Beiträge
1.468
Punkte für Reaktionen
356
Punkte
103
Zumindest der erste IF-Block ist so wie es sein soll. Zu denen danach kann ich nur sagen: keine Ahnung ob welche fehlen oder zuviel sind,

Versuch doch mal zwei Dinge:
1. leg mal versuchsweise das Device auf einem Share ab, auf das Docker direkt zugreifen kann
2. versuch mal chmod 777 auf das neu angelegte Device.
 

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.103
Punkte
248
777 ist schon immer der beste Rat gewesen... man könnte fast meinen Du wärst Programmierer, denn normalerweise höre ich so etwas (um das mal vorsichtig zu formulieren) immer nur aus der Programmiererecke :eek:

Was den Thread angeht - ich sag es mal ganz salopp: Ein Container beinhaltet auch nur die Dinge, welche der Ersteller da "zusammengebastelt" hat. Hast Du es schon mal mit einem.... anderen... probiert? Alternativ kannst Du natürlich auch einfach ein "sauberes" Image installieren... mir persönlich sagt "Zugang zu perfect privacy" grade nix, aber ich vermute mal, dass es ein öffentlicher VPN-Anbieter ist. Da wird es entsprechende Anleitungen geben... Such Dir eine Distro aus (z.B. Debian), starte den Container, installier was nötig ist und ab dafür, denn nur "dann" weisst Du, ob es nicht ggf. an irgendwelchen Dingen liegt, welcher der Ersteller eingepflegt hat. Also saubere Installation, OpenVPN installieren, ggf. Anleitungen von Perfect-Privacy folgen und ab dafür :)
 

BlackNet

Benutzer
Mitglied seit
02. Jul 2018
Beiträge
3
Punkte für Reaktionen
0
Punkte
1
Danke erste mal.
Bisher hab ich keinen einzigen VPN-Client auf der Syno zum laufen gebracht, auf Ubuntu laufen sie ohne Probleme.

Es wird wohl besser sein, eine Distri runterzuladen und es manuell versuchen zum laufen zu bekommen. Wenn es dann immer noch nicht geht, dann ist es halt so :) Dann kommt eine VM drauf uns gut ist.
perfect privacy hat gute Anleitung für alles, unter Ubuntu läuft alles wie es soll...also hol ich mir mal einen Debian oder Ubuntu Container und versuche mal mein glück.
 

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.103
Punkte
248
Viel Erfolg! :)
 

haydibe

Benutzer
Sehr erfahren
Mitglied seit
12. Apr 2016
Beiträge
1.468
Punkte für Reaktionen
356
Punkte
103
777 ist schon immer der beste Rat gewesen... man könnte fast meinen Du wärst Programmierer, denn normalerweise höre ich so etwas (um das mal vorsichtig zu formulieren) immer nur aus der Programmiererecke :eek:

Esoterische Laufzeitumgebungen bedurfen manchmal esoterische Untersuchungsmaßnahmen.
Im unbekannten Problem-Raum ist eine Lösungsfindung in der Regel ein Prozess.

Selber bauen ist natürlich immer die beste Lösung, weil man dann exakt weiss, was das Image kann und wie es sicher verhält.
Wobei es kein Allheilmittel ist, wenn das Problem auf Grund von Syno-Docker-Sonderlocken entsteht.

Der Autor schrieb schon: das Image läuft auf einer anderen Plattform. Für mich ist der nächste Schritt sich dann mit den Eigenheiten der Plattform auseinander zu setzen...
Aber was weiß ich schon, ich bin ja "nur" Progammierer ;)
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat