OpenVPN klappt nicht

[bonesaw]

Hallo erstmal.
Ich bin neu hier, lese schon seit Tagen alle möglichen Beiträge und Anleitungen, drehe mich aber nur im Kreis und finde keine Lösung. Ich habe mir vor 2 Wochen eine 212j zugelegt und war als absoluter NAS Neuling mit dem Gerät erst mal völlig überfordert. Nach tagelangem Konsum aller möglichen Anleitungen habe ich es dann geschafft Benutzerkonten zu erstellen und meine Daten auf die DS zu schaufeln. Ich habe drei Rechner an der DS, einen PC im Büro über Kabel, ein Netbook über WLAN und einen PC über DLAN im Bastelkeller. Für jeden Rechner habe ich je ein Konto erstellt, mit gleichem Benutzernamen wie im WIN7 meiner Rechner. Dass trotzdem beim Einbinden von Laufwerken immer das Windows Netzwerkkennwort Fenster auftaucht nervt tierisch, aber damit könnte ich noch irgendwie leben.
Viel mehr nervt mich, dass ich seit Tagen versuche eine OpenVPN Verbindung zu erstellen, bis jetzt ohne Erfolg. EZ-Internet funktioniert nicht, da die DS meinen Router nicht kennt (Speedport W700V) ich muß also alles per Hand machen. Zuerst habe ich mir bei no-ip eine DDNS besorgt um dann festzustellen dass mein Router no-ip nicht unterstützt. Nach einiger Sucherei habe ich dann einen Patch fürs Speedport gefunden und damit gings. Die DDNS Daten habe ich dann in der DS eingetragen. Bei meinem Router habe ich DynDNS aktiviert und die Port-Weiterleitung für die DS auf TCP 443 und UDP 1194 eingestellt. Das anpingen der DDNS Adresse funktioniert. In der Firewall der DS sind die entsprechenden Ports frei. Dann habe ich OpenVPN auf der DS eingerichtet, OpenVPN auf dem Client installiert und die OpenVPN DS config auf den Client kopiert und dort meine DDNS eingetragen. Teste jetzt seit Tagen und bekomme keinen Zugriff.
Hätte erst mal zwei Fragen um etwas klarer zu sehen.

1. Die dynamische IP Adresse die ich in der DS bei OpenVPN auswählen kann ist die Adresse die den Clients beim Anmelden zugewiesen wird, ist das richtig?. Wie ich gelesen habe soll man hier einen Bereich auswählen der nichts mit dem lokalen Netzwerk zu tun hat. Welchen der angebotenen Bereiche ich dann auswähle ist aber egal, richtig?. Ich habe zum testen mal 10.11.12.0 genommen, das sollte in Ordnung sein, denke ich.

2. Wenn ich mich vom Client aus über OpenVPN GUI anmelden möchte soll ich Benutzername und Kennwort eingeben. Welche sind da gemeint ?.Benutzername und Kennwort von einem meiner DS Benutzerkonten auf den ich zugreifen möchte ?. oder was Anderes?.

Im Moment bekomme ich beim Versuch mich anzumelden die Meldung "No server certificate verification method has been enabled"


Schon mal danke im Voraus für eure Mühe

Gruß bonesaw

 

[bonesaw]

OK wie ich mittlerweile rausgefunden habe ist die Meldung "No server certificate verification method has been enabled" zu vernachlässigen und hat nichts mit meinen Verbindungsproblemen zu tun. Man kann die Meldung auch mit einem Eintrag in der config deaktivieren, was ich gemacht habe. Meine Login Versuche sehen im Moment so aus.

 

[Frogman]

Für jeden Rechner habe ich je ein Konto erstellt, mit gleichem Benutzernamen wie im WIN7 meiner Rechner. Dass trotzdem beim Einbinden von Laufwerken immer das Windows Netzwerkkennwort Fenster auftaucht nervt tierisch,...

Als Hinweis: die gesamten Benutzerdaten müssen übereinstimmen - nicht nur der Benutzername, sondern auch das dazugehörige Passwort, ansonsten wird eben genau nach dem korrekten Passwort gefragt.

 

[goetz]

Hallo,
testest Du die Verbindung von extern oder intern?

Gruß Götz

 

[bonesaw]

Als Hinweis: die gesamten Benutzerdaten müssen übereinstimmen - nicht nur der Benutzername, sondern auch das dazugehörige Passwort, ansonsten wird eben genau nach dem korrekten Passwort gefragt.

Das tun sie, und das Ganze funktioniert auch wenn ich ein Laufwerk ganz normal einbinden will. Sobald ich beim Einbinden aber bei "Beim Anmelden automatisch verbinden" einen Hacken rein mache geht jedes mal nach dem klicken auf WEITER das Windows Netzwerkkennwort Fenster auf. Ist der Ordner dann einmal eingebunden kommt das Fenster nicht mehr, auch nicht nach einem Neustart. Erst beim Trennen und erneuten einbinden kommt das Fenster wieder. Auch ein Hacken bei "Anmeldedaten speichern nützt nichts, den Benutzernamen merkt er sich, Kennwort muß ich immer neu eingeben

Hallo, testest Du die Verbindung von extern oder intern?

Hier hatte ich von intern getestet, war mir aber nicht sicher ob das überhaupt funktionieren kann. Hatte jetzt gestern mal Zeit von extern zu testen, und dann sieht das Log so aus.

Wed Feb 06 18:36:17 2013 OpenVPN 2.3.0 i686-w64-mingw32 [SSL (OpenSSL)] [LZO] [PKCS11] [eurephia] [IPv6] built on Jan 8 2013
Enter Management Password:
Wed Feb 06 18:36:29 2013 NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
Wed Feb 06 18:36:31 2013 UDPv4 link local (bound): [undef]
Wed Feb 06 18:36:31 2013 UDPv4 link remote: [AF_INET]91.33.231.206:1194
Wed Feb 06 18:36:31 2013 WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
Wed Feb 06 18:36:33 2013 [Snake Oil CA] Peer Connection Initiated with [AF_INET]91.33.231.206:1194
Wed Feb 06 18:36:35 2013 AUTH: Received control message: AUTH_FAILED
Wed Feb 06 18:36:35 2013 SIGUSR1[soft,auth-failure] received, process restarting
Wed Feb 06 18:36:37 2013 NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
Wed Feb 06 18:36:37 2013 UDPv4 link local (bound): [undef]
Wed Feb 06 18:36:37 2013 UDPv4 link remote: [AF_INET]91.33.231.206:1194
Wed Feb 06 18:36:37 2013 TLS Error: Unroutable control packet received from [AF_INET]91.33.231.206:1194 (si=3 op=P_CONTROL_V1)
Wed Feb 06 18:36:56 2013 [Snake Oil CA] Peer Connection Initiated with [AF_INET]91.33.231.206:1194
Wed Feb 06 18:36:58 2013 AUTH: Received control message: AUTH_FAILED
Wed Feb 06 18:36:58 2013 SIGTERM[soft,auth-failure] received, process exiting

 

[bonesaw]

So, habe heute wieder viele Stunden damit verbracht um den Fehler zu finden, leider ohne Erfolg. Ich habe jetzt mal den Speedport Router gegen eine Fritzbox getauscht, weil ich dachte dass es vielleicht am Router liegt. Dann habe ich die client config noch mal neu gemacht weil ich dachte dort einen Fehler gemacht zu haben. Am Ergebnis hat sich aber nichts geändert, das LOG bleibt das gleiche. Ist es richtig, dass ich nach dem Erstellen der config mit der DS, diese auf den Client kopieren und entpacken muß, dann in der openvpn.ovpn meine Dyndns eintragen muß und fertig?. Bin jetzt ehrlich gesagt mit meinem Latein am Ende und weiß nicht mehr was ich noch machen soll. Die Google suche nach der Fehlermeldung " TLS Error: Unroutable control packet received from [AF_INET]xxxxxxxxxxxxx:1194 (si=3 op=P_CONTROL_V1)" brachte mich auch nicht weiter und nach dem ich heute sehr kurz davor war die DS gegen die Wand zu schmeißen bin ich am überlegen sie wohl besser zurückschicken und mich mal bei QNAP oder Buffalo umschauen, vielleicht habe ich da mehr Glück.

 

[bonesaw]

So, nachdem ich jetzt eine Woche KZH war und viel Zeit hatte, habe ich nach viel Rumprobieren OpenVPN zum laufen gebracht. Woran es jetzt letztendlich lag, keine Ahnung, ich habe allerhand ausprobiert und irgendwann gings dann plötzlich. Ein Problem habe ich allerdings noch das zwar nichts mit der DS zu tun hat, aber vielleicht weiß doch jemand Rat. Ich greife mit zwei Notebooks per VPN auf die DS zu. Eines ist ein älters Model mit XP drauf, mit diesem funktioniert alles tadellos. Das andere ist ein neuers Model mit Win7, mit dem ich das Problem habe dass der Zugriff auf Webseiten bei bestehender VPN Verbindung nicht funktioniert. Zugriff auf die DS und Mailstation funktioniert. In meinem Browser erscheint die Fehlermeldung "Zugriff auf den Server nicht möglich". Win7 Firewall und UAC hatte ich schon deaktiviert und mit der "redirect gateway" Einstellung gespielt, das Ergebnis ist immer das gleiche. Mit dem XP Rechner funktioniert das einwandfrei, bei gleicher config und gleichem Benutzerkonto.
Hat da jemand ne Idee?.

 

[Hessi30]

Gratuliere zu deinem Erfolg dass du openVPN zum laufen gebracht hast. Ich bin da noch nicht soweit obwohl ich seit Wochen daran rumbastle. Vielleicht kannst du mir einen Team geben. z.B. Wie sieht deine "openvpn.ovpn" aus?

Mit der hier scheint es nicht zu gehen

dev tun
tls-client

remote meinname.dyndns.org 1194

# The "float" tells OpenVPN to accept authenticated packets from any address, 
# not only the address which was specified in the --remote option. 
# This is useful when you are connecting to a peer which holds a dynamic address 
# such as a dial-in user or DHCP client.
# (Please refer to the manual of OpenVPN for more information.)

#float

# If redirect-gateway is enabled, the client will redirect it's
# default network gateway through the VPN.
# It means the VPN connection will firstly connect to the VPN Server
# and then to the internet.
# (Please refer to the manual of OpenVPN for more information.)

#redirect-gateway

# dhcp-option DNS: To set primary domain name server address.
# Repeat this option to set secondary DNS server addresses.

#dhcp-option DNS DNS_IP_ADDRESS

pull

proto udp
script-security 2

ca ca.crt

comp-lzo

reneg-sec 0

auth-user-pass

Ich bekomme diese Meldungen

Tue Mar 05 20:38:37 2013 OpenVPN 2.3.0 x86_64-w64-mingw32 [SSL (OpenSSL)] [LZO] [PKCS11] [eurephia] [IPv6] built on Feb 14 2013
Enter Management Password:
Tue Mar 05 20:38:49 2013 WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
Tue Mar 05 20:38:49 2013 NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
Tue Mar 05 20:38:50 2013 UDPv4 link local (bound): [undef]
Tue Mar 05 20:38:50 2013 UDPv4 link remote: [AF_INET]95.112.52.70:1194
Tue Mar 05 20:38:50 2013 read UDPv4: Connection reset by peer (WSAECONNRESET) (code=10054)
Tue Mar 05 20:38:52 2013 read UDPv4: Connection reset by peer (WSAECONNRESET) (code=10054)
Tue Mar 05 20:38:57 2013 read UDPv4: Connection reset by peer (WSAECONNRESET) (code=10054)
Tue Mar 05 20:39:05 2013 read UDPv4: Connection reset by peer (WSAECONNRESET) (code=10054)
Tue Mar 05 20:39:20 2013 read UDPv4: Connection reset by peer (WSAECONNRESET) (code=10054)

Vielleicht hast du eine Idee?

 

[fpo4711]

Hallo,

das Doppelkreuz vor redirect-gateway entfernen. Siehe README.txt

Gruß Frank

 

[Hessi30]

Hallo Frank,
vielen Dank für den Tipp. Aber läuft dann nicht der gesamte Datenstrom über das Gateway oder verstehe ich da etwas falsch?

 

[fpo4711]

Aber läuft dann nicht der gesamte Datenstrom über das Gateway

Genau. Alternativ kannst Du aber auch eine Route setzen. Aber ohne eins von beiden kann dein Rechner nicht wissen was über den Tunnel zu erreichen ist.

Gruß Frank

 

[Hessi30]

D.h. was kann ich über diesen Punkt noch lösen? ich hatte mir so gedacht dass die Freigabe aus dem Tunnelkommen, aber der Datenstrom fürs Internet zum surfen nicht.

 

[fpo4711]

D.h. was kann ich über diesen Punkt noch lösen? ich hatte mir so gedacht dass die Freigabe aus dem Tunnelkommen, aber der Datenstrom fürs Internet zum surfen nicht.

Wie schon in #11 geschrieben, wenn Dir das nicht gefällt das alles durch den Tunnel geht, dann eben Route definieren.

 

[Hessi30]

Wie schon in #11 geschrieben, wenn Dir das nicht gefällt das alles durch den Tunnel geht, dann eben Route definieren.

ok verstanden. wie muss ich denn meine Route definieren? Ich steh da auf dem Schlauch...

 

[nugendugen]

Ich habe auch ein Problem mit der VPN Verbindung via OpenVPN nd würde dies gerne hier platzieren.
Das OpenVPN funktioniert eigentlich tadellos wenn ich die Standardeinstellungen verwende.
Um dies genauer zu erläutern, den Standart Port 1194. Nun will ich nicht den Port 1194 verwenden sondern den Standard SSL Port 443.
Diese änderung kann man via SSH mit root login in der Config einrichten. Anleitngen vorhanden falls gewünscht.

Mein Problem ist nun, dass wenn ich den Port 443 verwende, ich beim Loginversuch via OpenVPN GUI in einen Loop gerate bei dem die Verbindung zurückgesetzt wird sobald sie aufgeaut ist.

Wed Apr 24 06:57:34 2013 OpenVPN 2.3.1 x86_64-w64-mingw32 [SSL (OpenSSL)] [LZO] [PKCS11] [eurephia] [IPv6] built on Mar 28 2013
Enter Management Password:
Wed Apr 24 06:57:42 2013 WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
Wed Apr 24 06:57:42 2013 NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
Wed Apr 24 06:57:42 2013 Attempting to establish TCP connection with [AF_INET]178.XXX.XX.XX:443
Wed Apr 24 06:57:42 2013 TCP connection established with [AF_INET]178.XXX.XX.XX:443
Wed Apr 24 06:57:42 2013 TCPv4_CLIENT link local: [undef]
Wed Apr 24 06:57:42 2013 TCPv4_CLIENT link remote: [AF_INET]178.XXX.XX.XX:443
Wed Apr 24 06:57:42 2013 Connection reset, restarting [0]
Wed Apr 24 06:57:42 2013 SIGUSR1[soft,connection-reset] received, process restarting
Wed Apr 24 06:57:47 2013 WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
Wed Apr 24 06:57:47 2013 NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
Wed Apr 24 06:57:47 2013 Attempting to establish TCP connection with [AF_INET]178.XXX.XX.XX:443
Wed Apr 24 06:57:47 2013 TCP connection established with [AF_INET]178.XXX.XX.XX:443
Wed Apr 24 06:57:47 2013 TCPv4_CLIENT link local: [undef]
Wed Apr 24 06:57:47 2013 TCPv4_CLIENT link remote: [AF_INET]178.XXX.XX.XX:443
Wed Apr 24 06:57:47 2013 Connection reset, restarting [0]
Wed Apr 24 06:57:47 2013 SIGUSR1[soft,connection-reset] received, process restarting
Wed Apr 24 06:57:51 2013 SIGTERM[hard,init_instance] received, process exiting

 

[nugendugen]

Habe die Lösung bereits gefunden. Auf der Server Log war ersichtlich, das der Port 443 bereits in benutzung ist und deshalb für OpenVPN blockiert.
Verursacht hat dieses Problem die Einstellung "HTTPS-Verbindung für Webdienste aktivieren" in der Systemsteuerung unter "Webdienste".