It is currently 11.12.2017 13:00


All times are UTC




Post new topic Reply to topic  [ 6 posts ] 
Author Message
 Post subject: Zerina OpenVPN - Verbindungsproblem
PostPosted: 19.11.2009 19:14 
DES
DES

Joined: 19.11.2009 16:41
Posts: 5
Hallo,

ich bin neu hier und schicke gleich voraus, dass ich technisch nicht so versiert bin, aber ein VPN einrichten mit Zerina auf IPCop ist ja eigentlich deppensicher ... ;-) Trotzdem habe ich ein Problem:

Ich habe 2 Clients eingerichtet, die sich mit dem IPCop daheim verbinden können sollen.
Der eine Client ist ein Notebook mit dem ich mich meistens über Handy und UMTS verbinde. OpenVPN wird gestartet, Paßwort eingeben, Verbindung steht und alles funktioniert.
Der 2. Client ist der Büro-PC meiner Frau. Dort wird ebenfalls OpenVPN gestartet, Paßwort eingegeben, Verbindung steht und alles geht ... aber nur zeitweise. Die VPN-Verbindung bleibt die ganze Zeit aufrecht. D.h. im IPCop steht beim Status "offen" und am Client wird auch "verbunden" angezeigt. Wenn ich allerdings einen Ping aus dem Netzwerk daheim auf den Client absetze und länger laufen lasse, dann kommt ca. für ca. 20-30 Sek. eine Antwort. Dann kommt mehrere Minuten lang die Antwort "Zeitüberschreitung der Anforderung". Irgendwann gehen dann wieder 10-15 Pings durch ehe die Verbindung wieder unterbricht. Das ganze wiederholt sich in unregelmäßigen Abständen immer wieder.

Da man bei der Einrichtung mit Zerina im IPCop eigentlich nichts falsch machen kann (Einstellungen machen, OpenVPN-Settings runterladen) fällt mir eigentlich als Ursache nur eines ein: die Internetverbindung. Der Büro-PC hängt in einem Netzwerk mit ein paar anderen PCs. In dieses Netzwerk habe ich keinen Einblick. Kann es sein, dass dort irgendwelche Sicherheitsvorrichtungen die ordnungsgemäße Verbindung verhindern? Z.B. dass bestimmte Ports gesperrt sind oder dass eine Firewall blockt? Wenn es so ist, wie kann man sich dann erklären, dass die Verbindung zeitweise ganz normal funktioniert?

Ich bin mal für jeden Hinweis dankbar. Auch würde ich mich über Tips freuen, wie ich die Ursache eingrenzen kann.

Vielen Dank schon mal im voraus an alle!
Herzliche Grüße
Hannes


Top
Offline Profile  
Reply with quote  
 Post subject: Re: Zerina OpenVPN - Verbindungsproblem
PostPosted: 19.11.2009 19:42 
DES
DES

Joined: 19.11.2009 16:41
Posts: 5
Ergänzend meine server.conf auf dem IPCop:

#OpenVPN Server conf

daemon openvpnserver
writepid /var/run/openvpn.pid
#DAN prepare ZERINA for listening on blue and orange
;local <IP-Adresse des IPCop im Internet>
dev tun
tun-mtu 1400
proto udp
port 1194
tls-server
ca /var/ipcop/ovpn/ca/cacert.pem
cert /var/ipcop/ovpn/certs/servercert.pem
key /var/ipcop/ovpn/certs/serverkey.pem
dh /var/ipcop/ovpn/ca/dh1024.pem
server 192.168.1.0 255.255.255.0
push "route 192.168.0.0 255.255.255.0"
status-version 1
status /var/log/ovpnserver.log 30
cipher BF-CBC
max-clients 100
tls-verify /var/ipcop/ovpn/verify
crl-verify /var/ipcop/ovpn/crls/cacrl.pem
user nobody
group nobody
persist-key
persist-tun
verb 3


Top
Offline Profile  
Reply with quote  
 Post subject: Re: Zerina OpenVPN - Verbindungsproblem
PostPosted: 19.11.2009 19:44 
DES
DES

Joined: 19.11.2009 16:41
Posts: 5
Und hier die *.ovpn-Datei am client, der nicht so richtig will:

#OpenVPN Server conf
tls-client
client
dev tun
proto udp
tun-mtu 1400
remote <IP-Adresse des IPCop im Internet> 1194
pkcs12 <Name>.p12
cipher BF-CBC
verb 3
ns-cert-type server


Top
Offline Profile  
Reply with quote  
 Post subject: Re: Zerina OpenVPN - Verbindungsproblem
PostPosted: 20.11.2009 06:40 
Profi
Profi

Joined: 23.10.2007 12:10
Posts: 2191
Hast du als erstes
die Logs des Clients mal angesehen ?
die Logs des Server(IPCop) angesehen ?
meist findet man da gute Hinweise...für den Angfang solle Loglevel 3 reichen...
Wenn man den kritischen Rechner gfunden hat , kann man auch schon mal hochdrehen (Level4)
Interessant sind die Prozesse um den Abbruch (alos auch paar Zeilen davor)
Ansonsten: kenne ich solche Effekte nicht (wirklich)

Code:
server 192.168.1.0 255.255.255.0
push "route 192.168.0.0 255.255.255.0"


Macht natürlich "Ärger", wenn das entfernte Netz einen dieser Addressbereiche nutzt..oder sollte ich sagen: macht Merkwürdigkeiten ...

F.


Top
Offline Profile  
Reply with quote  
 Post subject: Re: Zerina OpenVPN - Verbindungsproblem
PostPosted: 20.11.2009 10:14 
DES
DES

Joined: 19.11.2009 16:41
Posts: 5
Vielen Dank einmal für Deine Antwort.

Die Logdatei des IPCops sieht so aus (von unten nach oben zu lesen!). Das ist die Sequenz beim ersten Verbindungsaufbau. Ein Teil dieser Logzeilen wiederholt sich danach immer wieder.

Code:
Connection refused (code=111)
'PUSH_REPLY,route 192.168.0.0 255.255.255.0,route 192.168.1.1,ifconfig 192.168.1 .6 192.168.1.5' (status=1)
Name/89.176.220.3:49196 PUSH: Received control message: 'PUSH_REQUEST'
MULTI: primary virtual IP for Name/89.176.220.3:49196: 192.168.1.6
MULTI: Learn: 192.168.1.6 -> Name/89.176.220.3:49196
MULTI: new connection by client 'Name' will cause previous active sessions b y this client to be dropped. Remember to use the --duplicate-cn option if you w ant multiple clients using the same certificate or username to concurrently conn ect.
89.176.220.3:49196 [Name] Peer Connection Initiated with 89.176.220.3:49196
89.176.220.3:49196 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA , 1024 bit RSA
89.176.220.3:49196 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for H MAC authentication
89.176.220.3:49196 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bi t key
89.176.220.3:49196 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for H MAC authentication
89.176.220.3:49196 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bi t key
89.176.220.3:49196 VERIFY OK: depth=0, /C=AT/ST=Stadt/O=Nachname/OU=Buero/CN=Buero
89.176.220.3:49196 CRL CHECK OK: /C=AT/ST=Stadt/O=Nachname/OU=Buero/CN=Name
89.176.220.3:49196 VERIFY SCRIPT OK: depth=0, /C=AT/ST=Stadt/O=Nachname/OU=Ord i/CN=Name
89.176.220.3:49196 VERIFY OK: depth=1, /C=AT/ST=Stadt/L=Stadt/O=Nachname/OU=Daheim/CN=Nachname_CA/emailAddress=Nachname@test.net
89.176.220.3:49196 CRL CHECK OK: /C=AT/ST=Stadt/L=Stadt/O=Nachname/OU=Daheim/ CN=Nachname_CA/emailAddress=Nachname@test.net
89.176.220.3:49196 VERIFY SCRIPT OK: depth=1, /C=AT/ST=Stadt/L=Stadt/O=Name/OU=Daheim/CN=Nachname_CA/emailAddress=Nachname@test.net
89.176.220.3:49196 TLS: Initial packet from 89.176.220.3:49196, sid=fcb62a60 ca8 a3f25
89.176.220.3:49196 Expected Remote Options hash (VER=V4): '57657c3f'
89.176.220.3:49196 Local Options hash (VER=V4): '778eeec5'
89.176.220.3:49196 Data Channel MTU parms [ L:1441 D:1441 EF:41 EB:4 ET:0 EL:0 ]
89.176.220.3:49196 Control Channel MTU parms [ L:1441 D:138 EF:38 EB:0 ET:0 EL:0 ]
89.176.220.3:49196 WARNING: normally if you use --mssfix and/or --fragment, you should also set --tun-mtu 1500 (currently it is 1400)
89.176.220.3:49196 Re-using SSL/TLS context
MULTI: multi_create_instance called
'PUSH_REPLY,route 192.168.0.0 255.255.255.0,route 192.168.1.1,ifconfig 192.168.1 .6 192.168.1.5' (status=1)
Name/89.176.220.3:65480 PUSH: Received control message: 'PUSH_REQUEST'
Name/89.176.220.3:65480 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-A ES256-SHA, 1024 bit RSA
Name/89.176.220.3:65480 TLS: tls_multi_process: untrusted session promoted t o trusted
Name/89.176.220.3:65480 TLS: move_session: dest=TM_ACTIVE src=TM_UNTRUSTED r einit_src=1
Name/89.176.220.3:65480 Data Channel Decrypt: Using 160 bit message hash 'SH A1' for HMAC authentication
Name/89.176.220.3:65480 Data Channel Decrypt: Cipher 'BF-CBC' initialized wi th 128 bit key
Name/89.176.220.3:65480 Data Channel Encrypt: Using 160 bit message hash 'SH A1' for HMAC authentication
Name/89.176.220.3:65480 Data Channel Encrypt: Cipher 'BF-CBC' initialized wi th 128 bit key
Name/89.176.220.3:65480 VERIFY OK: depth=0, /C=AT/ST=Stadt/O=Nachname/OU=Buero/CN=Name
Name/89.176.220.3:65480 CRL CHECK OK: /C=AT/ST=Stadt/O=Nachname/OU=Buero/CN =Name
Name/89.176.220.3:65480 VERIFY SCRIPT OK: depth=0, /C=AT/ST=Stadt/O=Name/OU=Buero/CN=Name
Name/89.176.220.3:65480 VERIFY OK: depth=1, /C=AT/ST=Stadt/L=Stadt/O=Name/OU=Daheim/CN=Nachname_CA/emailAddress=Nachname@test.net
Name/89.176.220.3:65480 CRL CHECK OK: /C=AT/ST=Stadt/L=Stadt/O=Nachname/O U=Daheim/CN=Nachname_CA/emailAddress=Nachname@test.net
Name/89.176.220.3:65480 VERIFY SCRIPT OK: depth=1, /C=AT/ST=Stadt/L=Stadt/O= Nachname/OU=Daheim/CN=Nachname_CA/emailAddress=Nachname@test.net
Name/89.176.220.3:65480 TLS: new session incoming connection from 89.176.220.3:65480
'PUSH_REPLY,route 192.168.0.0 255.255.255.0,route 192.168.1.1,ifconfig 192.168.1 .6 192.168.1.5' (status=1)
Name/89.176.220.3:65480 PUSH: Received control message: 'PUSH_REQUEST'
Name/89.176.220.3:65480 MULTI: primary virtual IP for Name/89.176.220.3: 65480: 192.168.1.6
Name/89.176.220.3:65480 MULTI: Learn: 192.168.1.6 -> Name/89.176.220.3:65480
89.176.220.3:65480 [Name] Peer Connection Initiated with 89.176.220.3:65480
89.176.220.3:65480 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA , 1024 bit RSA
89.176.220.3:65480 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for H MAC authentication
89.176.220.3:65480 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bi t key
89.176.220.3:65480 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for H MAC authentication
89.176.220.3:65480 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bi t key
89.176.220.3:65480 VERIFY OK: depth=0, /C=AT/ST=Stadt/O=Nachname/OU=Buero/CN=Buero
89.176.220.3:65480 CRL CHECK OK: /C=AT/ST=Stadt/O=Nachname/OU=Buero/CN=Name
89.176.220.3:65480 VERIFY SCRIPT OK: depth=0, /C=AT/ST=Stadt/O=Nachname/OU=Buero/CN=Name
89.176.220.3:65480 VERIFY OK: depth=1, /C=AT/ST=Stadt/L=Stadt/O=Nachname/OU=Daheim/CN=Nachname_CA/emailAddress=Nachname@test.net
89.176.220.3:65480 CRL CHECK OK: /C=AT/ST=Stadt/L=Stadt/O=Nachname/OU=Daheim/ CN=Nachname_CA/emailAddress=Nachname@test.net
89.176.220.3:65480 VERIFY SCRIPT OK: depth=1, /C=AT/ST=Stadt/L=Stadt/O=Name/OU=Daheim/CN=Nachname_CA/emailAddress=Nachname@test.net
89.176.220.3:65480 TLS: Initial packet from 89.176.220.3:65480, sid=72e75b34 2df a00be
89.176.220.3:65480 Expected Remote Options hash (VER=V4): '57657c3f'
89.176.220.3:65480 Local Options hash (VER=V4): '778eeec5'
89.176.220.3:65480 Data Channel MTU parms [ L:1441 D:1441 EF:41 EB:4 ET:0 EL:0 ]
89.176.220.3:65480 Control Channel MTU parms [ L:1441 D:138 EF:38 EB:0 ET:0 EL:0 ]
89.176.220.3:65480 WARNING: normally if you use --mssfix and/or --fragment, you should also set --tun-mtu 1500 (currently it is 1400)
89.176.220.3:65480 Re-using SSL/TLS context
MULTI: multi_create_instance called


Logdatei des Clients habe ich im Moment nicht griffbereit.

Was bedeutet "Loglevel"?

Das Netzwerk hinter dem IPCop hat die IP-Adressen 192.168.0.x. Das VPN hat die Adressen 192.168.1.x. Das Netz in dem sich der Client bewegt und über das er ins Internet kommt, weiß ich jetzt nicht. Müsste ich erst recherchieren.

Herzliche Grüße
Hannes


Top
Offline Profile  
Reply with quote  
 Post subject: Re: Zerina OpenVPN - Verbindungsproblem
PostPosted: 30.11.2009 21:54 
DES
DES

Joined: 19.11.2009 16:41
Posts: 5
Hallo,

schade, dass sonst keine Tips für mein Problem gekommen sind.

Ich habe vor ein paar Tagen einen neuerlichen Versuch unternommen und die Verbindung hat diensmal ganz problemlos über längere Zeit funktioniert (ohne dass ich in der Zwischenzeit irgendwelche Änderungen vorgenommen hätte!). Woran kann denn das liegen, wenn die Verbindung so instabil ist? Ideen?

Ich rechne damit, dass das nächste Mal die ursprünglichen Probleme wieder auftreten. Wenn man sich nicht wirklich auf die Funktion verlassen kann, ist es blöd ...

Liebe Grüße
Hannes


Top
Offline Profile  
Reply with quote  
Display posts from previous:  Sort by  
Post new topic Reply to topic  [ 6 posts ]  Moderator: Moderators

All times are UTC


Who is online

Users browsing this forum: No registered users and 3 guests


You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot post attachments in this forum

Search for:
Jump to:  
Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group
Theme created StylerBB.net