OpenVPN Server und iOS Client - keine Verbindung

[DrHasen]

Moin,

ich bin seit gestern dabei eine funktionierende OpenVPN Verbindung zwischen meiner DS713+ und meinem iPhone herzustellen.
Ich bin nach folgender Anleitung vorgegangen:

http://www.synology-forum.de/showth...-nutzen-wollen&p=332499&viewfull=1#post332499

Meine openvpn.conf

push "route 192.168.178.0 255.255.255.0"                                                                                                                              
push "route 10.8.0.0 255.255.255.0"                                                                                                                                   
push "dhcp-option DNS 192.168.178.1"                                                                                                                                  
dev tun                                                                                                                                                               
                                                                                                                                                                      
management 127.0.0.1 1195                                                                                                                                             
                                                                                                                                                                      
server 10.8.0.0 255.255.255.0                                                                                                                                         
                                                                                                                                                                      
                                                                                                                                                                      
dh /var/packages/VPNCenter/target/etc/openvpn/keys/dh2048.pem                                                                                                         
ca /var/packages/VPNCenter/target/etc/openvpn/keys/ca.crt                                                                                                             
cert /var/packages/VPNCenter/target/etc/openvpn/keys/server.crt                                                                                                       
key /var/packages/VPNCenter/target/etc/openvpn/keys/server.key                                                                                                        
                                                                                                                                                                      
max-clients 5                                                                                                                                                         
                                                                                                                                                                      
comp-lzo                                                                                                                                                              
                                                                                                                                                                      
persist-tun                                                                                                                                                           
persist-key                                                                                                                                                           
                                                                                                                                                                      
verb 3                                                                                                                                                                
                                                                                                                                                                      
#log-append /var/log/openvpn.log                                                                                                                                      
                                                                                                                                                                      
keepalive 10 60                                                                                                                                                       
reneg-sec 3600                                                                                                                                                        
                                                                                                                                                                      
plugin /var/packages/VPNCenter/target/lib/radiusplugin.so /var/packages/VPNCenter/target/etc/openvpn/radiusplugin.cnf                                                 
client-cert-not-required                                                                                                                                              
username-as-common-name                                                                                                                                               
duplicate-cn

Meine iOS.ovpn

remote "aktuelle iP meines Anschlusses" 1194
client
dev tun
script-security 3
proto udp
resolv-retry infinite
nobind
auth-user-pass
cipher AES-128-CBC
comp-lzo
pkcs12 client_iphone.p12
reneg-sec 3600
pull

# If redirect-gateway is enabled, the client will redirect it's
# default network gateway through the VPN.
# It means the VPN connection will firstly connect to the VPN Server
# and then to the internet.
# (Please refer to the manual of OpenVPN for more information.)

#redirect-gateway

<ca>
-----BEGIN CERTIFICATE-----
......

Wenn ich nun über das iPhone und die OpenVPN App eine Verbindung herstellen möchte, bekomme ich ein timeout....

Firewall vom Router und der DS reichen UDP 1194 weiter

...und hier bin ich mit meinem Latein am Ende und wäre über Hilfe sehr dankbar.

VG Hagen

ps: wird nicht das Problem sein, kann aber noch eines werden: da ich an einem MAC arbeite, konnte ich bei der Zertifikaterstellung bei "Key usage" nicht Microsoft client" eintragen, da es nicht vorhanden ist, sondern habe TLS Web Client Authentication" genommen. ich denke, das war nicht die richtige Wahl, aber was wäre richtig gewesen?

 

[jahlives]

Testest du das auch ganz sicher von ausserhalb deines LANs? Innerhalb desselben Subnetzes wie die DS eine OVPN Verbindung herzustellen gibt mit Garantie Routing-Probleme

 

[DrHasen]

Jap,

hab das WLan am iPhone aus und gehe über LTE ins Netz...

 

[jahlives]

also der Connection Timeout deutet für mich schon darauf hin, dass die Gegenseite keinerlei Antwort sendet. Bist du 150% sicher dass die Portweiterleitung im Router und allen Firewalls korrekt ist? Falls ja dann würde ich als nächstes mal auf dem OVPN-Server ein bisschen sniffen Dazu bietet sich unter Linux tcpdump an. Allerdings gehört das glaub immer noch nicht zur Firmware, lässt sich aber via ipkg nachrüsten

tcpdump -i eth0 -n host EXTERNE_IP_PHONE and udp port 1194

dann eine Verbindung probieren. Dann musst du Pakete sehen können. Falls nein dann verwirft irgendwas im Netz zwischen Handy und OVPN-Server diese Pakete

 

[DrHasen]

So, nachdem ich nicht nur den VPN Service neu gestartet habe, sondern die ganze DS, verbindet er sich schon mal. Nach einer Minute beendet er aber die Verbindung.

"Session invalidated"

Die Systemzeiten sind auf beiden Geräten identisch.

 

[jahlives]

wie identisch sind die Zeiten? OVPN kann bei recht wenigen Sekunden Abweichung bereits Probleme bekommen. Darauf deutet imho der "Session invalidated"
Ich kenn diese Meldung bei mir nur aus dem Zusammenhang mit nicht identischen Zeiten zwischen Client und Server. Hast du mal auf der DS geguckt ob du dazu etwas in den Logs finden kannst?

 

[DrHasen]

Systemzeiten sind auf die Sekunde gleich.

Ich habe mal das Log der Serverseite:

Fri Sep 27 18:38:49 2013 OpenVPN 2.1.4 i686-linux-gnu [SSL] [LZO2] [EPOLL] built on May 31 2013
Fri Sep 27 18:38:49 2013 MANAGEMENT: TCP Socket listening on 127.0.0.1:1195
Fri Sep 27 18:38:49 2013 IMPORTANT: OpenVPN's default port number is now 1194, based on an official port number assignment by IANA.  OpenVPN 2.0-beta16 and earlier used 5000 as the default port.
Fri Sep 27 18:38:49 2013 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Fri Sep 27 18:38:49 2013 RADIUS-PLUGIN: Configfile name: /var/packages/VPNCenter/target/etc/openvpn/radiusplugin.cnf.
Fri Sep 27 18:38:50 2013 PLUGIN_INIT: POST /var/packages/VPNCenter/target/lib/radiusplugin.so '[/var/packages/VPNCenter/target/lib/radiusplugin.so] [/var/packages/VPNCenter/target/etc/openvpn/radiusplugin.cnf]' intercepted=PLUGIN_AUTH_USER_PASS_VERIFY|PLUGIN_CLIENT_CONNECT|PLUGIN_CLIENT_DISCONNECT 
Fri Sep 27 18:38:50 2013 Diffie-Hellman initialized with 2048 bit key
Fri Sep 27 18:38:50 2013 WARNING: file '/var/packages/VPNCenter/target/etc/openvpn/keys/server.key' is group or others accessible
Fri Sep 27 18:38:50 2013 WARNING: POTENTIALLY DANGEROUS OPTION --client-cert-not-required may accept clients whxxxxx do not present a certificate
Fri Sep 27 18:38:50 2013 TLS-Auth MTU parms [ L:1542 D:138 EF:38 EB:0 ET:0 EL:0 ]
Fri Sep 27 18:38:50 2013 Socket Buffers: R=[229376->131072] S=[229376->131072]
Fri Sep 27 18:38:50 2013 ROUTE default_gateway=192.168.abc.xyz
Fri Sep 27 18:38:50 2013 TUN/TAP device tun0 opened
Fri Sep 27 18:38:50 2013 TUN/TAP TX queue length set to 100
Fri Sep 27 18:38:50 2013 /sbin/ifconfig tun0 10.8.0.1 pointopoint 10.8.0.2 mtu 1500
Fri Sep 27 18:38:50 2013 /sbin/route add -net 10.8.0.0 netmask 255.255.255.0 gw 10.8.0.2
Fri Sep 27 18:38:50 2013 Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:0 EL:0 AF:3/1 ]
Fri Sep 27 18:38:50 2013 UDPv4 link local (bound): [undef]:1194
Fri Sep 27 18:38:50 2013 UDPv4 link remote: [undef]
Fri Sep 27 18:38:50 2013 MULTI: multi_init called, r=256 v=256
Fri Sep 27 18:38:50 2013 IFCONFIG POOL: base=10.8.0.4 size=62
Fri Sep 27 18:38:50 2013 Initialization Sequence Completed
Fri Sep 27 18:39:20 2013 MULTI: multi_create_instance called
Fri Sep 27 18:39:20 2013 80.187.xyz.abc:19102 Re-using SSL/TLS context
Fri Sep 27 18:39:20 2013 80.187.xyz.abc:19102 LZO compression initialized
Fri Sep 27 18:39:20 2013 80.187.xyz.abc:19102 Control Channel MTU parms [ L:1542 D:138 EF:38 EB:0 ET:0 EL:0 ]
Fri Sep 27 18:39:20 2013 80.187.xyz.abc:19102 Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:0 EL:0 AF:3/1 ]
Fri Sep 27 18:39:20 2013 80.187.xyz.abc:19102 Local Options hash (VER=V4): '530fdded'
Fri Sep 27 18:39:20 2013 80.187.xyz.abc:19102 Expected Remote Options hash (VER=V4): '41690919'
Fri Sep 27 18:39:20 2013 80.187.xyz.abc:19102 TLS: Initial packet from 80.187.xyz.abc:19102, sid=4212304d 7d23bc46
Fri Sep 27 18:39:24 2013 RADIUS-PLUGIN: FOREGROUND THREAD: Auth_user_pass_verify thread started.
Fri Sep 27 18:39:24 2013 RADIUS-PLUGIN: FOREGROUND THREAD: New user.
Fri Sep 27 18:39:24 2013 RADIUS-PLUGIN: No attributes Acct Interim Interval or bad length.
Fri Sep 27 18:39:24 2013 RADIUS-PLUGIN: Client config file was not written, overwriteccfiles is false 
.Fri Sep 27 18:39:24 2013 RADIUS-PLUGIN: FOREGROUND THREAD: Add user to map.
Fri Sep 27 18:39:24 2013 80.187.xyz.abc:19102 PLUGIN_CALL: POST /var/packages/VPNCenter/target/lib/radiusplugin.so/PLUGIN_AUTH_USER_PASS_VERIFY status=0
Fri Sep 27 18:39:24 2013 80.187.xyz.abc:19102 TLS: Username/Password authentication succeeded for username 'xxxxx' [CN SET]
Fri Sep 27 18:39:24 2013 80.187.xyz.abc:19102 WARNING: 'link-mtu' is used inconsistently, local='link-mtu 1542', remote='link-mtu 1558'
Fri Sep 27 18:39:24 2013 80.187.xyz.abc:19102 WARNING: 'cipher' is used inconsistently, local='cipher BF-CBC', remote='cipher AES-128-CBC'
Fri Sep 27 18:39:24 2013 80.187.xyz.abc:19102 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Fri Sep 27 18:39:24 2013 80.187.xyz.abc:19102 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Fri Sep 27 18:39:24 2013 80.187.xyz.abc:19102 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Fri Sep 27 18:39:24 2013 80.187.xyz.abc:19102 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Fri Sep 27 18:39:25 2013 80.187.xyz.abc:19102 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA
Fri Sep 27 18:39:25 2013 80.187.xyz.abc:19102 [xxxxx] Peer Connection Initiated with 80.187.xyz.abc:19102
Fri Sep 27 18:39:25 2013 xxxxx/80.187.xyz.abc:19102 PLUGIN_CALL: POST /var/packages/VPNCenter/target/lib/radiusplugin.so/PLUGIN_CLIENT_CONNECT status=0
Fri Sep 27 18:39:25 2013 xxxxx/80.187.xyz.abc:19102 MULTI: Learn: 10.8.0.6 -> xxxxx/80.187.xyz.abc:19102
Fri Sep 27 18:39:25 2013 xxxxx/80.187.xyz.abc:19102 MULTI: primary virtual IP for xxxxx/80.187.xyz.abc:19102: 10.8.0.6
Fri Sep 27 18:39:26 2013 xxxxx/80.187.xyz.abc:19102 PUSH: Received control message: 'PUSH_REQUEST'
Fri Sep 27 18:39:26 2013 xxxxx/80.187.xyz.abc:19102 SENT CONTROL [xxxxx]: 'PUSH_REPLY,route 192.168.178.0 255.255.255.0,route 10.8.0.0 255.255.255.0,dhcp-option DNS 192.168.abc.xyz,route 10.8.0.1,topology net30,ping 10,ping-restart 60,ifconfig 10.8.0.6 10.8.0.5' (status=1)
Fri Sep 27 18:39:26 2013 xxxxx/80.187.xyz.abc:19102 Authenticate/Decrypt packet error: cipher final failed
Fri Sep 27 18:39:26 2013 xxxxx/80.187.xyz.abc:19102 Authenticate/Decrypt packet error: cipher final failed
Fri Sep 27 18:39:26 2013 xxxxx/80.187.xyz.abc:19102 Authenticate/Decrypt packet error: cipher final failed
Fri Sep 27 18:39:26 2013 xxxxx/80.187.xyz.abc:19102 Authenticate/Decrypt packet error: cipher final failed
Fri Sep 27 18:39:26 2013 xxxxx/80.187.xyz.abc:19102 Authenticate/Decrypt packet error: cipher final failed
Fri Sep 27 18:39:26 2013 xxxxx/80.187.xyz.abc:19102 Authenticate/Decrypt packet error: cipher final failed
Fri Sep 27 18:39:28 2013 xxxxx/80.187.xyz.abc:19102 Authenticate/Decrypt packet error: cipher final failed
Fri Sep 27 18:39:28 2013 xxxxx/80.187.xyz.abc:19102 Authenticate/Decrypt packet error: cipher final failed
Fri Sep 27 18:39:28 2013 xxxxx/80.187.xyz.abc:19102 Authenticate/Decrypt packet error: cipher final failed
Fri Sep 27 18:39:28 2013 xxxxx/80.187.xyz.abc:19102 Authenticate/Decrypt packet error: cipher final failed
Fri Sep 27 18:39:28 2013 xxxxx/80.187.xyz.abc:19102 Authenticate/Decrypt packet error: cipher final failed
Fri Sep 27 18:39:28 2013 xxxxx/80.187.xyz.abc:19102 Authenticate/Decrypt packet error: cipher final failed
Fri Sep 27 18:39:36 2013 xxxxx/80.187.xyz.abc:19102 Authenticate/Decrypt packet error: cipher final failed
Fri Sep 27 18:39:45 2013 xxxxx/80.187.xyz.abc:19102 Authenticate/Decrypt packet error: cipher final failed
Fri Sep 27 18:39:53 2013 xxxxx/80.187.xyz.abc:19102 Authenticate/Decrypt packet error: cipher final failed
Fri Sep 27 18:40:01 2013 xxxxx/80.187.xyz.abc:19102 Authenticate/Decrypt packet error: cipher final failed
Fri Sep 27 18:40:07 2013 SYNO_ERR_HOST
Fri Sep 27 18:40:07 2013 read UDPv4 [ECONNREFUSED]: Connection refused (code=111)

Ich scheine ein bekanntes Problem zu haben. Nur die Lösung kenne ich nicht.

http://www.synology-forum.de/showth...nktioniert-nicht-mit-OpenVPN&highlight=cipher

 

[jahlives]

[COLOR=#333333]Fri Sep 27 18:39:24 2013 80.187.xyz.abc:19102 WARNING: 'link-mtu' is used inconsistently, local='link-mtu 1542', remote='link-mtu 1558'
[/COLOR][COLOR=#333333]Fri Sep 27 18:39:24 2013 80.187.xyz.abc:19102 WARNING: 'cipher' is used inconsistently, local='cipher BF-CBC', remote='cipher AES-128-CBC'
[/COLOR]

da scheinen Server und Clientconfig nicht dieselben Einstellungen zu haben. Was hast du denn in der Client Konfig unter cipher und auth ? Das sollte mit der Konfig auf dem Server übereinstimmen. Wegen der Warning mit dem MTU: probier mal auf dem Server und dem Client einen tieferen Wert zu erzwingen z.B.

mssfix 1300

auch dieser Wert sollte in beiden Konfigs identisch sein

 

[DrHasen]

Nabend,

ich habe im ersten Schritt in der Server Config und dem Client die Zeile "cipher AES-256-CBC" hinzugefügt. Nun habe ich eine stabile Verbindung.


Danke für die Hilfe. Den MTU Wert werde ich später korrigieren.

Tolles Forum mit schneller und kompetenter Hilfe.

VG Hagen

 

[jahlives]

Die MTU solltest du schon auch noch bald fixen. Das kann auch instabile Verbindungen geben
Helfen konnte ich dir nur weil du alles schön präsentiert hast: configs, screenshots und logs. Damit kann man arbeiten
In diesem Sinne: danke für das gute Ausgangsmaterial ;-)

Gruss

tobi