Toggle sidebar

OpenVPN und TLS Error

A

aaaha

Benutzer
Mitglied seit
22. Jun 2012
Beiträge
82
Punkte für Reaktionen
1
Punkte
8
Hallo zusammen,

ich versuche mich lokal(!) direkt per Tunnelblick und OpenVPN auf meine NAS zu verbinden und bekomme folgende Fehlermeldung. Nach ein paar Google Suchen deutet immer alles darauf hin, das der typische UDP 1194 Port auf dem Router nicht weitergeleitet wird oder die Firewall des Hosts die Verbindung blockiert. Letzteres habe ich erstmal deaktiviert. Der Router ist in meinem Fall auch erstmal aussen vor (da Direktverbindung).

Es scheint mir irgend ein Zertifikat-Problem zu sein, aber ich weiß nicht, was ich tun kann. Es gibt zwei, die aktuell sind: Synology.com und synology.me. Letzteren verwende ich als dynamic DNS. Beide habe ich ausprobiert, indem ich unter Systemeinstellungen / Sicherheit / Konfiguration / VPN Server den jeweiligen ausgewählt habe, dann den VPN Server aus- und wieder eingeschaltet, die config Datei geladen, modifiziert und verwendet habe.

Das hier ist mein log-File aus Tunnelblick:

2021-09-14 22:07:10.251664 MANAGEMENT: CMD 'password [...]'
2021-09-14 22:07:10.260922 WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
2021-09-14 22:07:10.260971 NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
2021-09-14 22:07:10.276340 TCP/UDP: Preserving recently used remote address: [AF_INET]192.168.x.x:1194
2021-09-14 22:07:10.276433 Socket Buffers: R=[786896->786896] S=[9216->9216]
2021-09-14 22:07:10.276463 UDP link local (bound): [AF_INET][undef]:1194
2021-09-14 22:07:10.276475 UDP link remote: [AF_INET]192.168.x.x:1194
2021-09-14 22:07:10.276872 MANAGEMENT: >STATE:1631650030,WAIT,,,,,,
2021-09-14 22:07:10.420851 MANAGEMENT: >STATE:1631650030,AUTH,,,,,,
2021-09-14 22:07:10.420978 TLS: Initial packet from [AF_INET]192.168.x.x:1194, sid=4e159b6f 0ca7919e
2021-09-14 22:07:10.489385 VERIFY OK: depth=1, C=TW, L=Taipei, O=Synology Inc., CN=Synology Inc. CA
2021-09-14 22:07:10.490384 VERIFY OK: depth=0, C=TW, L=Taipei, O=Synology Inc., CN=synology.com
2021-09-14 22:08:10.309804 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
2021-09-14 22:08:10.309902 TLS Error: TLS handshake failed

Ich bin mit meinem Latein am Ende. Wer kann mir helfen? Was kann ich tun?
 
O

ottosykora

Benutzer
Mitglied seit
17. Apr 2013
Beiträge
8.299
Punkte für Reaktionen
912
Punkte
268
also VPN lokal im gleichen Subnetz zu versuchen ist schon alleine schlechte Idee. Das ist nämlich gar nicht vorgesehen dass es funktioniert.
 
A

aaaha

Benutzer
Mitglied seit
22. Jun 2012
Beiträge
82
Punkte für Reaktionen
1
Punkte
8
Dat is mir schon klar : ) Nur hatte ich von "außen" eben das gleiche Problem. Um es einzugrenzen, wollte ich es mal so intern probieren. So weiß ich, dass der Router z.B. erstmal nicht das Problem ist.
 
the other

the other

Benutzer
Sehr erfahren
Mitglied seit
17. Okt 2015
Beiträge
2.100
Punkte für Reaktionen
541
Punkte
154
Moinsen,
ja, bringt aber wie @ottosykora bereits meinte nix, da dadurch (wenn es überhaupt klappt) diverse ganz anders gelagerte Fehlermeldungen kommen. Als Differentialdiagnostik also eher ungeeignet...

Versuch es eher mal mit dem smartphone unter Mobilfunk. Dann den Tunnel mal versuchen aufzubauen...
- welchen Vertrag hast du mit deinem ISP? Echtes IPv4 als Adresse? Oder dualstack? Oder dualstack lite?
- hast du eine DDNS, welche auf den Router zeigt?
- das Zertifikat scheint nicht das Problem zu sein (denn das ist ja nur ne Warnung, kein Error). Eher scheint es gar keine Verbindung für den Schlüsselaustausch zu geben denn:
aaaha schrieb:
2021-09-14 22:08:10.309804 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
2021-09-14 22:08:10.309902 TLS Error: TLS handshake failed
Zum Vergrößern anklicken....
 
A

aaaha

Benutzer
Mitglied seit
22. Jun 2012
Beiträge
82
Punkte für Reaktionen
1
Punkte
8
Morgen und vielen Dank für die Antwort. Ich versuchte es eben über ein fremdes WLAN (Arbeit) und LTE via der openVPN iOS App. Hier habe ich einen connection timeout, logs siehe unten.

Um deine Fragen zu beantworten:
- Vertrag: O2 my Home L mit Dualstack (zumindest was ich so im Netz finde zu dem Vertrag)
- DDNS ist von Synology (synology.me) und läuft entsprechend auf der DS. Router ist eine Fritzbox 7580 mit Port Weiterleitung auf die IP der DS. Ping auf die DDNS-Adresse ergibt die gleiche IP wie auf wtfismyip.com. Port ist bewusst nicht 1194 (habe ich auch schon probiert, ohne Erfolg).


Hier der Log:

Code: 
2021-09-21 09:26:40 ----- OpenVPN Start -----
OpenVPN core 3.git::58b92569 ios arm64 64-bit

2021-09-21 09:26:40 OpenVPN core 3.git::58b92569 ios arm64 64-bit

2021-09-21 09:26:40 Frame=512/2048/512 mssfix-ctrl=1250

2021-09-21 09:26:40 UNUSED OPTIONS
1 [tls-client]
4 [pull]
6 [script-security] [2]

2021-09-21 09:26:40 EVENT: RESOLVE

2021-09-21 09:26:40 Contacting [x.x.x.x]:1199/UDP via UDP

2021-09-21 09:26:40 EVENT: WAIT

2021-09-21 09:26:40 Connecting to [x.synology.me]:1199 (x.x.x.x) via UDPv4

2021-09-21 09:26:51 Server poll timeout, trying next remote entry...

2021-09-21 09:26:51 EVENT: RECONNECTING

2021-09-21 09:26:51 Contacting [x.x.x.x]:1199/UDP via UDP

2021-09-21 09:26:51 EVENT: WAIT

2021-09-21 09:26:51 EVENT: CONNECTION_TIMEOUT [ERR]

2021-09-21 09:26:51 Raw stats on disconnect:
  BYTES_OUT : 140
  PACKETS_OUT : 10
  CONNECTION_TIMEOUT : 1
  N_RECONNECT : 1

2021-09-21 09:26:51 Performance stats on disconnect:
  CPU usage (microseconds): 76792
  Network bytes per CPU second: 1823
  Tunnel bytes per CPU second: 0

2021-09-21 09:26:51 EVENT: DISCONNECTED

2021-09-21 09:26:51 Raw stats on disconnect:
  BYTES_OUT : 140
  PACKETS_OUT : 10
  CONNECTION_TIMEOUT : 1
  N_RECONNECT : 1

2021-09-21 09:26:51 Performance stats on disconnect:
  CPU usage (microseconds): 95981
  Network bytes per CPU second: 1458
  Tunnel bytes per CPU second: 0
 
A

aaaha

Benutzer
Mitglied seit
22. Jun 2012
Beiträge
82
Punkte für Reaktionen
1
Punkte
8
Ich habe eine 2FA laufen. Hat es vielleicht damit etwas zu tun?

Edit: Unter Systemsteuerung / Info-Center / Dienst / VPN Server ist u.a. der Port 1194 verzeichnet. Ein Test der Verbindung in diesem Tool sagt "LAN zugänglich". Ich hatte 1199 eingestellt (der aber genau das gleiche Problem liefert).
 
Zuletzt bearbeitet:
A

aaaha

Benutzer
Mitglied seit
22. Jun 2012
Beiträge
82
Punkte für Reaktionen
1
Punkte
8
Ich glaube, ich habe den Fehler gefunden! Die DS öffnet den Port einfach nicht. Ich habe eben mit nmap die Ports gescannt und 1194 erscheint nicht. Es gibt einen alten Thread hier, in dem user das Problem beschreiben, jedoch keine Lösung haben...

Kennt jemand von euch das Phänomen?
 
O

ottosykora

Benutzer
Mitglied seit
17. Apr 2013
Beiträge
8.299
Punkte für Reaktionen
912
Punkte
268
na ja, DS öffnet kein Port
Port bedeutet Programm
also wenn auf der DS der Port als geschlossen gezeigt wird, dann läuft das Programm, welches auf dem Port hören soll, also der VPN Server nicht oder nicht richtig
 
A

aaaha

Benutzer
Mitglied seit
22. Jun 2012
Beiträge
82
Punkte für Reaktionen
1
Punkte
8
Update: Habe die VPN "App" im Store de- und wieder installiert. Geht jetzt.
 
Zuletzt bearbeitet:
  • Like
Reaktionen: ottosykora
NAS-Central - Ihr Partner für NAS Lösungen
NAS-Central - The Home of NAS
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat 

Hosted by netcup
IT Lösungen mit NAS Servern
IT Firma Trier
Fotograf Trier
 
 
Oben Unten
Zurück