It is currently 24.11.2017 07:22


All times are UTC




Post new topic Reply to topic  [ 13 posts ] 
Author Message
 Post subject: OpenVPN Client killt Session nach paar Sekunden
PostPosted: 24.09.2014 10:10 
DES
DES

Joined: 24.09.2014 09:10
Posts: 6
Hallo!
Ich versuche mich am Aufbau eines gerouteten VPNs aus 3 LANs. 2 habe ich bereits erfolgreich verbunden. Nur im dritten LAN steht ein QNAP NAS mit dem ich Schwierigkeiten habe. Der Client bricht die Session kurz nach Aufbau ab, so etwa nach 20 Sekunden. Mal schneller mal später.
(Die Sicherheit werde ich erst wenn alles läuft optimieren). Da ich noch nicht so 100 % fit in der Thematik bin, kann es sein, dass da durchaus der ein oder andere Fehlerteufel sich eingeschlichen hat. :wink:

Ich möchte hier auch nicht disktuieren, ob ich das OpenVPN besser auf dem Router oder auf einem NAS einrichte.


Der Server läuft auf einer Synology DS214 mit aktuellem DSM5.
Der verwendete OpenVPN Server hat die Version 2.1.4 (ist build-in).

Am Problem Client habe ich einmal das Build-In OpenVPN in Version 2.2.1 und einmal über IPKG installiertes OpenVPN in Version 2.2.0. Egal welche der beiden Versionen ich nutze, ich bekomme immer das gleiche Problem.
(identifizierbare Inhalte sind zensiert, z.B. Public IP)
Code:
Wed Sep 24 11:26:37 2014 OpenVPN 2.2.0 arm-none-linux-gnueabi [SSL] [LZO2] [EPOLL] [eurephia] built on Feb 14 2012
Wed Sep 24 11:26:37 2014 WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
Wed Sep 24 11:26:37 2014 NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
Wed Sep 24 11:26:37 2014 LZO compression initialized
Wed Sep 24 11:26:37 2014 UDPv4 link local: [undef]
Wed Sep 24 11:26:37 2014 UDPv4 link remote: xx.xx.xx.xx:1194
Wed Sep 24 11:26:38 2014 [Snake_Oil_CA] Peer Connection Initiated with xx.xxx.xx.xx:1194
Wed Sep 24 11:26:40 2014 TUN/TAP device tun0 opened
Wed Sep 24 11:26:40 2014 /sbin/ifconfig tun0 10.8.0.6 pointopoint 10.8.0.5 mtu 1500
route: SIOC[ADD|DEL]RT: File exists
Wed Sep 24 11:26:40 2014 ERROR: Linux route add command failed: external program exited with error status: 1
Wed Sep 24 11:26:40 2014 Initialization Sequence Completed

Killed




Logging am Server sieht so aus:
Code:
Wed Sep 24 11:26:37 2014 ::ffff:yy.yy.yy.yy(32939) TLS: Initial packet from [AF_INET6]::ffff:yy.yy.yy.yy:32939, sid=3f55cef4 789a1ced
Wed Sep 24 11:26:38 2014 RADIUS-PLUGIN: FOREGROUND THREAD: New user.
Wed Sep 24 11:26:38 2014 RADIUS-PLUGIN: No attributes Acct Interim Interval or bad length.
Wed Sep 24 11:26:38 2014 RADIUS-PLUGIN: Client config file was not written, overwriteccfiles is false
.Wed Sep 24 11:26:38 2014 RADIUS-PLUGIN: FOREGROUND THREAD: Add user to map.
Wed Sep 24 11:26:38 2014 ::ffff:yy.yy.yy.yy(32939) PLUGIN_CALL: POST /var/packages/VPNCenter/target/lib/radiusplugin.so/PLUGIN_AUTH_USER_PASS_VERIFY status=0
Wed Sep 24 11:26:38 2014 ::ffff:yy.yy.yy.yy(32939) TLS: Username/Password authentication succeeded for username 'USERNAME' [CN SET]
Wed Sep 24 11:26:38 2014 ::ffff:yy.yy.yy.yy(32939) Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Wed Sep 24 11:26:38 2014 ::ffff:yy.yy.yy.yy(32939) Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed Sep 24 11:26:38 2014 ::ffff:yy.yy.yy.yy(32939) Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Wed Sep 24 11:26:38 2014 ::ffff:yy.yy.yy.yy(32939) Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed Sep 24 11:26:38 2014 ::ffff:yy.yy.yy.yy(32939) Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA
Wed Sep 24 11:26:38 2014 ::ffff:yy.yy.yy.yy(32939) [USERNAME] Peer Connection Initiated with [AF_INET6]::ffff:yy.yy.yy.yy:32939
Wed Sep 24 11:26:38 2014 USERNAME/::ffff:yy.yy.yy.yy(32939) OPTIONS IMPORT: reading client specific options from: ccd/USERNAME
Wed Sep 24 11:26:38 2014 USERNAME/::ffff:yy.yy.yy.yy(32939) MULTI_sva: pool returned IPv4=10.8.0.6, IPv6=(Not enabled)
Wed Sep 24 11:26:38 2014 USERNAME/::ffff:yy.yy.yy.yy(32939) PLUGIN_CALL: POST /var/packages/VPNCenter/target/lib/radiusplugin.so/PLUGIN_CLIENT_CONNECT status=0
Wed Sep 24 11:26:38 2014 USERNAME/::ffff:yy.yy.yy.yy(32939) OPTIONS IMPORT: reading client specific options from: /tmp/openvpn_cc_b01a18d278d2bfca9d47075d5951fff1.tmp
Wed Sep 24 11:26:38 2014 USERNAME/::ffff:yy.yy.yy.yy(32939) MULTI: Learn: 10.8.0.6 -> USERNAME/::ffff:yy.yy.yy.yy(32939)
Wed Sep 24 11:26:38 2014 USERNAME/::ffff:yy.yy.yy.yy(32939) MULTI: primary virtual IP for USERNAME/::ffff:yy.yy.yy.yy(32939): 10.8.0.6
Wed Sep 24 11:26:38 2014 USERNAME/::ffff:yy.yy.yy.yy(32939) MULTI: internal route 192.168.0.0/24 -> USERNAME/::ffff:yy.yy.yy.yy(32939)
Wed Sep 24 11:26:38 2014 USERNAME/::ffff:yy.yy.yy.yy(32939) MULTI: Learn: 192.168.0.0/24 -> USERNAME/::ffff:yy.yy.yy.yy(32939)
Wed Sep 24 11:26:40 2014 USERNAME/::ffff:yy.yy.yy.yy(32939) PUSH: Received control message: 'PUSH_REQUEST'
Wed Sep 24 11:26:40 2014 USERNAME/::ffff:yy.yy.yy.yy(32939) send_push_reply(): safe_cap=940
Wed Sep 24 11:26:40 2014 USERNAME/::ffff:yy.yy.yy.yy(32939) SENT CONTROL [USERNAME]: 'PUSH_REPLY,route 192.168.3.0 255.255.255.0,route 10.8.0.0 255.255.255.0,route 10.8.0.0 255.255.255.0,topology net30,ping 10,ping-restart 300,ifconfig 10.8.0.6 10.8.0.5' (status=1)
get arguemnt prtl: openvpn




Client.conf:
Code:
dev tun
tls-client
remote my.domain 1194
pull
proto udp
resolv-retry infinite
nobind
persist-key
persist-tun
log-append /opt/etc/openvpn/log/openvpn.log
ca /share/MD0_DATA/homes/admin/ca_o1411458633.crt
comp-lzo
script-security 2
float
reneg-sec 0
explicit-exit-notify
auth-user-pass /share/MD0_DATA/homes/admin/vpn.auth
auth-nocache


Server.conf
Code:
push "route 192.168.3.0 255.255.255.0"
push "route 10.8.0.0 255.255.255.0"
port 1194
proto udp
dev tun
management 127.0.0.1 1195
server 10.8.0.0 255.255.255.0
route 192.168.0.0 255.255.255.0
route 192.168.2.0 255.255.255.0
client-config-dir ccd
client-to-client
dh /var/packages/VPNCenter/target/etc/openvpn/keys/dh1024.pem
ca /var/packages/VPNCenter/target/etc/openvpn/keys/ca.crt
cert /var/packages/VPNCenter/target/etc/openvpn/keys/server.crt
key /var/packages/VPNCenter/target/etc/openvpn/keys/server.key
max-clients 5
comp-lzo
persist-tun
persist-key
verb 3
log-append /var/log/openvpn.log
keepalive 10 300
reneg-sec 0
plugin /var/packages/VPNCenter/target/lib/radiusplugin.so /var/packages/VPNCenter/target/etc/openvpn/radiusplugin.cnf
client-cert-not-required
username-as-common-name
duplicate-cn
status /tmp/ovpn_status_2_result 30
status-version 2
proto udp6


ccd am Server für den Client:
Code:
iroute 192.168.0.0 255.255.255.0


Hat jemand eine Idee?


Top
Offline Profile  
Reply with quote  
 Post subject: Re: OpenVPN Client killt Session nach paar Sekunden
PostPosted: 24.09.2014 19:21 
Profi
Profi

Joined: 23.10.2007 12:10
Posts: 2189
hallo,
1. Idee ?
2. Netz beschreiben (Bild?)
3. IMHO ist routing per openVPN-Push einen besch.. Idee
[routing geht vom Quelldevice zum Zieldevice - immer , egal ob da ein Tunnel ist oder nicht -> ansonsten kommst du bald zum Roulette :) ]
4. wenn schon zensierte IPs, dann aber alle erklären ... in einem listing taucht die Unbekannte Y.Y.Y.Y auf ...
5. Sessionabbruch hat erst mal nix mit routing zu tun

F.


Top
Offline Profile  
Reply with quote  
 Post subject: Re: OpenVPN Client killt Session nach paar Sekunden
PostPosted: 24.09.2014 20:52 
DES
DES

Joined: 24.09.2014 09:10
Posts: 6
Hi!
Das mit dem Routing habe ich nur der vollständigkeithalber erwähnt und ist auch nicht mein Problem. Das mit dem Routing kriege ich schon noch hin. Ist nicht so, dass ich allgemein beim Thema Netzwerk unerfahren wäre, aber sagen wir mal so, ich habe weniger Erfahrung mit OpenVPN, als mit Routing.
Dass der Sessionabbruch nix mit dem Routing zu tun hat, weiß ich, weil das Routing ja auch die 15 Sekunden lang, bis zum Session Kill, funktioniert :D

yy.yy.yy.yy ist die öffentliche IP des Client
xx.xx.xx.xx ist die öffentliche IP des Servers


Top
Offline Profile  
Reply with quote  
 Post subject: Re: OpenVPN Client killt Session nach paar Sekunden
PostPosted: 25.09.2014 07:17 
Profi
Profi

Joined: 23.10.2007 12:10
Posts: 2189
nichtich wrote:

Code:
Wed Sep 24 11:26:40 2014 /sbin/ifconfig tun0 10.8.0.6 pointopoint 10.8.0.5 mtu 1500
route: SIOC[ADD|DEL]RT: [b]File exists[/b]
Wed Sep 24 11:26:40 2014 ERROR: [b]Linux route add command failed[/b]: external program exited with error status: 1
Wed Sep 24 11:26:40 2014 Initialization Sequence Completed

Killed



Hat jemand eine Idee?

was steht dazu im log ?

F.


Top
Offline Profile  
Reply with quote  
 Post subject: Re: OpenVPN Client killt Session nach paar Sekunden
PostPosted: 25.09.2014 10:26 
DES
DES

Joined: 24.09.2014 09:10
Posts: 6
Welche log meinst du?
Ich habe in der Konfig des Clients ein "append-log" ja ein Log angegeben. Das ist identisch mit der Bildschirm ausgabe, außer dass dort kein "Kill" steht.
Wenn du die Syslog meinst, das ist bei QNAP nicht einfach, da es dort nur eine abgespeckte Variante gibt. Dort tauch nichts zum Thema auf. Ich aber noch auf der Suche, ob man da mehr rausholen kann.

Die Bold-Tags funktionieren im "Code" nicht. Daher ich erst spät gesehen was du meinst.
Meinst du das liegt am Routing, dass die Session killt?

Wenn das mit dem Push nicht gut ist, wie ist es besser?
Kann sein dass ein Fehler darin liegt, dass ich beide Netze beider Clients über das gleiche Tun-Device sehe? Müsste doch eigentlich P2P sein, und so sehe ich es ja als P2M, oder?

Achso, da ich nach eine Skizze gefragt wurde, hier mein Zielzustand:

Aktuell läuft es zwischen A und B wie es soll, ich bin dabei C einzubinden
Attachment:
VPN.png
VPN.png [ 96.71 KiB | Viewed 2677 times ]

Größe durfte das Bild leider nicht werden, um es zu uploaden.

Update:
Moment, da fällt mir ein es wird ein Tunnel mit einer MTU von 1500 bytes aufgebaut. Habe aber an allen Anschlüssen nur 1492, dank PPPoE. Das könnte ein Grund sein..... oder? Womit löse ich das am besten?
link-mtu 1492
tun-mtu (um wieviel unterscheidet sich der wert?)
mssfix
fragment


Last edited by nichtich on 25.09.2014 15:18, edited 1 time in total.

Top
Offline Profile  
Reply with quote  
 Post subject: Re: OpenVPN Client killt Session nach paar Sekunden
PostPosted: 25.09.2014 15:00 
Profi
Profi

Joined: 23.10.2007 12:10
Posts: 2189
nichtich wrote:
Welche log meinst du?

1. QNAP ist dein Problem :)
2. der Fehler sollte (!!) irgendwo geloggt werden -> QNAP
3. bei mir hat jeder Tunnel sein device, ABER ich mache da net-2-net Verbindungen

könnte man mit Aufwand auch über Roadwarriorzugänge machen

F.


Top
Offline Profile  
Reply with quote  
 Post subject: Re: OpenVPN Client killt Session nach paar Sekunden
PostPosted: 25.09.2014 15:25 
DES
DES

Joined: 24.09.2014 09:10
Posts: 6
Jepp, Qnepp ist ein Problem, aber das ist ein anderes Thema. Das Dinges steht da nunmal.
Ich versuche da noch irgendwas rauszukriegen.

Was meinst du mit Net2net? Ich versuche j 3 LANs mit einander zu verwurschteln. Bisher dachte ich mir das so, dass ich den Routern eine statische Route auf den lokalen VPNClient/Server einrichte, um in die anderen Netze zu gelangen. Denen sind durch eine passende OpenVPN Konfig die anderen Netze bekannt. Bei der zweier Konfiguration zwischen zwei Synology hat das auch trotz Push wie gewollt funktioniert. Jeder Host im LAN konnte sich mit der lokalen 192er IP des anderen Netzes verbinden. z.B. Die 192.168.3.10 kann auf die 192.168.2.4 zugreifen ohne irgendeine Tunnel IP zu kennen.
Ein gebridgtes VPN will ich nicht, es ist schon gut wenn jeder seine eigene Broadcast-
Domäne hat.


Ich habe mal das Debug eingeschaltet. Hier der Abschnitt mit dem Error:
Code:
hu Sep 25 20:14:06 2014 us=796105 SENT CONTROL [Snake_Oil_CA]: 'PUSH_REQUEST' (status=1)
Thu Sep 25 20:14:06 2014 us=796208 NOTE: Beginning empirical MTU test -- results should be available in 3 to 4 minutes.
Thu Sep 25 20:14:06 2014 us=796373 UDPv4 WRITE [104] to yy.yy.yy.yy:1194: P_CONTROL_V1 kid=0 [ ] pid=8 DATA len=90
Thu Sep 25 20:14:06 2014 us=796687 UDPv4 WRITE [61] to yy.yy.yy.yy:1194: P_DATA_V1 kid=0 DATA len=60
Thu Sep 25 20:14:06 2014 us=832236 UDPv4 READ [22] from yy.yy.yy.yy:1194: P_ACK_V1 kid=0 [ 8 ]
Thu Sep 25 20:14:06 2014 us=833538 UDPv4 READ [114] from yy.yy.yy.yy:1194: P_CONTROL_V1 kid=0 [ ] pid=38 DATA len=100
Thu Sep 25 20:14:06 2014 us=833885 UDPv4 WRITE [22] to yy.yy.yy.yy:1194: P_ACK_V1 kid=0 [ 38 ]
Thu Sep 25 20:14:06 2014 us=834096 UDPv4 READ [114] from yy.yy.yy.yy:1194: P_CONTROL_V1 kid=0 [ ] pid=39 DATA len=100
Thu Sep 25 20:14:06 2014 us=834261 UDPv4 WRITE [22] to yy.yy.yy.yy:1194: P_ACK_V1 kid=0 [ 39 ]
Thu Sep 25 20:14:06 2014 us=834481 UDPv4 READ [48] from yy.yy.yy.yy:1194: P_CONTROL_V1 kid=0 [ ] pid=40 DATA len=34
Thu Sep 25 20:14:06 2014 us=834736 PUSH: Received control message: 'PUSH_REPLY,route 192.168.3.0 255.255.255.0,route 10.8.0.0 255.255.255.0,route 10.8.0.0 255.255.255.0,topology net30,ping 10,ping-restart 300,ifconfig 10.8.0.6 10.8.0.5'
Thu Sep 25 20:14:06 2014 us=835056 OPTIONS IMPORT: timers and/or timeouts modified
Thu Sep 25 20:14:06 2014 us=835120 OPTIONS IMPORT: --ifconfig/up options modified
Thu Sep 25 20:14:06 2014 us=835173 OPTIONS IMPORT: route options modified
Thu Sep 25 20:14:06 2014 us=836640 ROUTE default_gateway=192.168.0.1
Thu Sep 25 20:14:06 2014 us=856215 TUN/TAP device tun0 opened
Thu Sep 25 20:14:06 2014 us=856349 TUN/TAP TX queue length set to 100
Thu Sep 25 20:14:06 2014 us=856556 /sbin/ifconfig tun0 10.8.0.6 pointopoint 10.8.0.5 mtu 1500
Thu Sep 25 20:14:06 2014 us=879913 /sbin/route add -net 192.168.3.0 netmask 255.255.255.0 gw 10.8.0.5
Thu Sep 25 20:14:06 2014 us=886094 /sbin/route add -net 10.8.0.0 netmask 255.255.255.0 gw 10.8.0.5
Thu Sep 25 20:14:06 2014 us=893808 /sbin/route add -net 10.8.0.0 netmask 255.255.255.0 gw 10.8.0.5
route: SIOC[ADD|DEL]RT: File exists
Thu Sep 25 20:14:06 2014 us=907046 ERROR: Linux route add command failed: external program exited with error status: 1
Thu Sep 25 20:14:06 2014 us=907198 Initialization Sequence Completed
Thu Sep 25 20:14:06 2014 us=907334 UDPv4 WRITE [22] to 87.165.221.123:1194: P_ACK_V1 kid=0 [ 40 ]
Thu Sep 25 20:14:06 2014 us=907619 UDPv4 READ [541] from 87.165.221.123:1194: P_DATA_V1 kid=0 DATA len=540
Thu Sep 25 20:14:10 2014 us=169632 UDPv4 WRITE [541] to 87.165.221.123:1194: P_DATA_V1 kid=0 DATA len=540
Killed


Top
Offline Profile  
Reply with quote  
 Post subject: Re: OpenVPN Client killt Session nach paar Sekunden
PostPosted: 25.09.2014 19:09 
Profi
Profi

Joined: 23.10.2007 12:10
Posts: 2189
nichtich wrote:
Jepp, Qnepp ist ein Problem, aber das ist ein anderes Thema. Das Dinges steht da nunmal.
Ich versuche da noch irgendwas rauszukriegen.

Was meinst du mit Net2net? Ich versuche j 3 LANs mit einander zu verwurschteln. Bisher dachte ich mir das so, dass ich den Routern eine statische Route auf den lokalen VPNClient/Server einrichte, um in die anderen Netze zu gelangen. Denen sind durch eine passende OpenVPN Konfig die anderen Netze bekannt. Bei der zweier Konfiguration zwischen zwei Synology hat das auch trotz Push wie gewollt funktioniert. Jeder Host im LAN konnte sich mit der lokalen 192er IP des anderen Netzes verbinden. z.B. Die 192.168.3.10 kann auf die 192.168.2.4 zugreifen ohne irgendeine Tunnel IP zu kennen.
Ein gebridgtes VPN will ich nicht, es ist schon gut wenn jeder seine eigene Broadcast-
Domäne hat.


Ich habe mal das Debug eingeschaltet. Hier der Abschnitt mit dem Error:
Code:
route: SIOC[ADD|DEL]RT: File exists
Thu Sep 25 20:14:06 2014 us=907046 ERROR: Linux route add command failed: external program exited with error status: 1

dazu sollte es irgendwo ein Log geben...

QNAP ist nicht mein Problem
und ich halte auch sehr wenig bis gar nix von den "aufgebohrten Tunneloptionen"
wie Push route, Push DNS usw.

Das ist alles bei Roadwarriors ganz hifreich, aber bei Netzen sehr mit Vorsicht zu geniessen.

net-2-net -> siehe z.B. openvpn.net im Manual
Mal anders rum gesagt: Trickreiche Versionen gehen oft (mit einem Sack voller Randbedingungen), sind aber bescheiden wartbar!
Wenn die Tunnel laufen... ist ja bei dir nicht so...musst du erst mal die ausführlichen "hat nicht, kann nicht, geht nicht" Meldungen im Log lesen (logging einschalten ?)

Müsste irgenwo stehen... wo: sagt dir QNAP :)

Rest ist stochern im Nebel ...ist ganz grosser Mist, wenn da Leute dran hängen...die (sinngemäss) hinter dir stehen und trampeln.

F.


Top
Offline Profile  
Reply with quote  
 Post subject: Re: OpenVPN Client killt Session nach paar Sekunden
PostPosted: 25.09.2014 20:42 
DES
DES

Joined: 24.09.2014 09:10
Posts: 6
Wie ich schon sagte, das Qnap Linux hat seine eigene Syslog. Ist kein Textfile. Die Syslog kann man sich zwar anzeigen lassen spucken aber nichts brauchbares raus, nur den gleichen Quatsch, den man auf dem WebGUI sehen kann (wer hat sich angemeldet, welche USB Ressource, welches File, wer geblockt wurde usw.usf), Leider nichts sinnvolles zu route.
Nur so ein Quatsch:
log_tool -q -s 1 -o 30 -v -e 0
Query database search count [1]...
event_id,event_type,event_date,event_time,event_user,event_ip,event_comp,event_desc,event_msgid,event_timet,
22927, 0,2014-09-25,22:05:40,System,127.0.0.1,localhost,[Security] Access Violation from 76.72.166.98 with TCP (port=22), 0,1411675540,
22926, 0,2014-09-25,21:50:53,System,127.0.0.1,localhost,[Security] Access Violation from 198.13.96.234 with TCP (port=22), 0,1411674653,
22924, 0,2014-09-25,20:59:09,System,127.0.0.1,localhost,[Printer] Printer HP Color LaserJet 1600 removed., 0,1411671549,
22923, 0,2014-09-25,20:59:01,System,127.0.0.1,localhost,[Printer] Printer HP Color LaserJet 1600 added., 0,1411671541,

Aber alleine der Versuch eine Route manuell zu adden macht Probleme
route add -net 192.168.3.0 netmask 255.255.255.0 gw 10.8.0.5
route: SIOC[ADD|DEL]RT: No such process
Dann muss ich mal in die Richtung forschen.

Ansonsten habe ich eben nur das openvpn-eigene Log, dazu habe ich ja schon genug gepostet.
Klar, ist das Logging nicht dein Problem.

Auch ist richtig, dass man nicht wild einfach irgendwelche Konfigs (sinnlos) ausprobieren sollte.

- Zum Thema Net2Net, kenne ich halt unter Site2Site.
- Zum Thema Push, selbst auf der OpenVPN Webseite und in allen anderen HowTos wird mit Pushs gearbeitet. Wenn es, wie du sagst, unelegant/schlecht ist, wie macht man es besser? Ich lerne gerne dazu. Ein kurzer Satz mit einem Stichwort reicht doch, den Rest würde ich dann schon versuchen zu googlen.
Aber das Wissen darum scheint wohl ein Staatsgeheimnis zu sein. Denn weder bei Tante google noch bei Openvpn.net finde ich Alternativen zum Routen Pushen. Zumindest recherchiere ich zu dem Thema schon lange. Und habe es auch damals beim Aufsetzen des ersten N2N Verbindung getan.

PS: Das ist kein komerzielles Projekt bei mir, der einzige den es stört, wenn es nicht geht, bin ich.

PPS: Ganz ehrlich sehe ich zwischen dem Adden von Routen und dem Killen Sessions keine Zusammenhang, ich gehe dem so gut ich kann nach, aber nur um meine Vermutung zu untermauern.


Top
Offline Profile  
Reply with quote  
 Post subject: Re: OpenVPN Client killt Session nach paar Sekunden
PostPosted: 26.09.2014 09:27 
Profi
Profi

Joined: 23.10.2007 12:10
Posts: 2189
nichtich wrote:

Aber alleine der Versuch eine Route manuell zu adden macht Probleme
route add -net 192.168.3.0 netmask 255.255.255.0 gw 10.8.0.5
route: SIOC[ADD|DEL]RT: No such process
Dann muss ich mal in die Richtung forschen.
scheinbar - und dazu sollte (!!) in irgendeinem Log was stehen
Quote:
Ansonsten habe ich eben nur das openvpn-eigene Log, dazu habe ich ja schon genug gepostet.
Klar, ist das Logging nicht dein Problem.

Auch ist richtig, dass man nicht wild einfach irgendwelche Konfigs (sinnlos) ausprobieren sollte.

- Zum Thema Net2Net, kenne ich halt unter Site2Site.
- Zum Thema Push, selbst auf der OpenVPN Webseite und in allen anderen HowTos wird mit Pushs gearbeitet. Wenn es, wie du sagst, unelegant/schlecht ist, wie macht man es besser? Ich lerne gerne dazu. Ein kurzer Satz mit einem Stichwort reicht doch, den Rest würde ich dann schon versuchen zu googlen.
es gibt dort keine Universallösung, von der Sacher her kann (!) man das lösen, indem man alles über ein passendes Script startet und bei Vorhandensein des Tunnel auf Routen testet und ggfs. Routen setzt.
Mache ich in ein paar Systemen so, auch weil bei Tunnelende das tun-device verschwindet und damit die Route auch. Ist ein Anstaz von mehrereren möglichen
Quote:
Aber das Wissen darum scheint wohl ein Staatsgeheimnis zu sein. Denn weder bei Tante google noch bei Openvpn.net finde ich Alternativen zum Routen Pushen. Zumindest recherchiere ich zu dem Thema schon lange. Und habe es auch damals beim Aufsetzen des ersten N2N Verbindung getan.

PS: Das ist kein komerzielles Projekt bei mir, der einzige den es stört, wenn es nicht geht, bin ich.

PPS: Ganz ehrlich sehe ich zwischen dem Adden von Routen und dem Killen Sessions keine Zusammenhang, ich gehe dem so gut ich kann nach, aber nur um meine Vermutung zu untermauern.

na ja .. man kann Sessionantworten in die Wüste routen, muss aber nicht,
mich macht etwas stutzig, dass du nur eine client.conf hast.

Ich bevorzuge "jedem das seine Spielzeug" :) also dedizierte Tunnel mit eigenen Zertifikaten usw.
duplicate-cn ist eigentlich ein "Unding", zumindest wenn ich Clients "in der Wildbahn" habe, wo auch mal ein Laptop einfach weg sein könnte.

Es hängt aber auch etwas am Anwendungszweck, deswegen findest du auch viele Hinweise im Internet - allerdings in den wenigsten Fällen zu einer in sich geschlossenen Lösung (wie du erwartest). Zerlege dein Problem in "atomare Bestandteile" und du findest zu jedem viele Hinweise/Beispiele -> die du dir dann aber selbst zu DEINEM Ganzen zusammensetzen musst.

F.


Top
Offline Profile  
Reply with quote  
 Post subject: Re: OpenVPN Client killt Session nach paar Sekunden
PostPosted: 26.09.2014 16:11 
AES 256 bit
AES 256 bit

Joined: 27.11.2012 18:37
Posts: 272
Hi,
Routing hin oder her, Du hast ein klassisches Multiclientdesign.
Hier dürfte ein reines config-Problem vorliegen....
Die beiden.....
Code:
push "route 192.168.3.0 255.255.255.0"
push "route 10.8.0.0 255.255.255.0"

...Befehle in der Server.conf kannst Du Dir ersparen.
Der VPN-Server kennt sein eigenes Netz....;-) ..und die Route zum remoten Client auch. Nur der zweite Client hat keine Route.
push "route 192.168.x.0 255.255.255.0" in der Server.conf ist nur für Dein Server-LAN notwendig, damit dieses von den Clients erreichbar ist.
Stimmt der Pfad zur CCD ???
In der CCD sollten folgende Dateien sein....
Bsp. CCD01 (erster Client)
Quote:
ifconfig-push 10.8.0.2 10.8.0.1 # Server ...0.1 / erster Client ....0.2
iroute 192.168.2.0 255.255.255.0 # Befehl zum Clientnetz
push "route (Netz 2.Client) # 2 LAN dem 1.Client belanntgeben (wenn das gewünscht wird)

Für den 2. Client, die 2.CCD Datei entsprechend anpassen.
Wenn eine Kommunikation der Clientnetze unerwünscht ist, kannst Du aber auch 2 einzelne Instanzen (Server) laufen lassen, wie das @dl5ym bereits erwähnt hat.
Auch dann ist ein Routing der beiden Tunnel untereinander möglich.
Wenn die Tunnel dann laufen, solltest Du noch entsprechende Firewall-Rules definieren, damit auch die remoten LAN's erreichbar sind.
Das ist aber wieder Hardware abhängig...
Gruß orcape


Top
Offline Profile  
Reply with quote  
 Post subject: Re: OpenVPN Client killt Session nach paar Sekunden
PostPosted: 26.09.2014 18:01 
DES
DES

Joined: 24.09.2014 09:10
Posts: 6
orcape, danke für deine Ausführungen. Ich denke einen Teil des CCD Vorschlages kann ich gebrauchen, Inter-Client-Routing würde mir schon passen.
Aber der CCD-Pfad ist bekannt. Ich benutze ja jetzt schon einen Client (Standort B), der per CCD konfiguriert wird. Auch wird laut Server log die CCD für den Client am Standort C geladen.

Ich hatte das push "route 192.168.3.0 255.255.255.0" so verstanden, dass der Server die Netze an die Clients pusht :?:

Aktuell fürchte ich eher, dass es ein Problem mit der Version des Servers gab. Synology hat vor paar Tagen, ein Update rausgegeben. Seit dem habe ich im Log gesehen, disconnected sich auch mein Standort B immer nach exakt 20 Minuten. Was an sich nicht so schlimm ist, weil ich alle 30 Min den Client reconnecten lasse. Daher war mir das auch nicht gleich aufgefallen. Ich werde erst mal ein Downgrade am Server machen und dann mal schauen, ob das Problem am Standort C noch besteht.

Dann im Anschluss werde ich mich um den Route Command am Standort C kümmern.


Top
Offline Profile  
Reply with quote  
 Post subject: Re: OpenVPN Client killt Session nach paar Sekunden
PostPosted: 26.09.2014 18:42 
AES 256 bit
AES 256 bit

Joined: 27.11.2012 18:37
Posts: 272
Quote:
Ich hatte das push "route 192.168.3.0 255.255.255.0" so verstanden, dass der Server die Netze an die Clients pusht

....ist nur für das erreichen deines LAN zuständig, teilt dem Client Dein LAN mit.
Quote:
Aktuell fürchte ich eher, dass es ein Problem mit der Version des Servers gab. Synology hat vor paar Tagen, ein Update rausgegeben.

Muss jeder für sich entscheiden, aber für mich ist die Unterbringung der Tunnelkomponenten auf einem Router immer der bessere Weg und für das Routing in die entsprechenden Netze auch einfacher zu handeln.
Ein Router bei EBay gebraucht für 20.- € mit DD-WRT geflasht, ist allemal sinnvoller wie der "Murks" mit dem Synology.
Muss aber jeder selbst wissen wie er seine Zeit totschlägt...;-)
Gruß orcape


Top
Offline Profile  
Reply with quote  
Display posts from previous:  Sort by  
Post new topic Reply to topic  [ 13 posts ]  Moderator: Moderators

All times are UTC


Who is online

Users browsing this forum: Bing [Bot] and 7 guests


You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot post attachments in this forum

Search for:
Jump to:  
Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group
Theme created StylerBB.net