OpenVPN keine Verbindung mehr möglich - Connection reset, restarting [0]

[jbrenner]

Hallo!
ich habe mit meinem OpenVPN-Server auf der DS213+ seit ein paar Wochen Probleme. Ursprünglich lief das alles ganz geschmeidig.
Die DS steckt hinter einer FritzBox 7490, dort ist Port 443 freigegeben, der auf den Port 1194 der DS verweist.

Die Firmware ist bei beiden Geräten aktuell. Ich kann den genauen Zeitpunkt leider nicht mehr genau eingrenzen, sprich ich weiß nicht, ob es eines der letzten Updates Schuld hat.

Das Übliche wie OpenVPN auf der DS und unter Windows deinstallieren und neu installieren, Ports ändern, Firewall (Windows + DS) abschalten, als Admin ausführen, andere Clients (Android) versuchen, neue Zertifikate ausstellen (und exportieren), anderen Cipher habe ich alles schon probiert, ich komme einfach nicht weiter.

Das Log mit Verbose 5 sieht so aus:

Wed Jul 26 11:44:16 2017 us=962629 OpenVPN 2.4.3 x86_64-w64-mingw32 [SSL (OpenSSL)] [LZO] [LZ4] [PKCS11] [AEAD] built on Jul 14 2017
Wed Jul 26 11:44:16 2017 us=962629 Windows version 6.1 (Windows 7) 64bit
Wed Jul 26 11:44:16 2017 us=962629 library versions: OpenSSL 1.0.2l  25 May 2017, LZO 2.10
Enter Management Password:
Wed Jul 26 11:44:16 2017 us=964629 MANAGEMENT: TCP Socket listening on [AF_INET]127.0.0.1:25340
Wed Jul 26 11:44:16 2017 us=964629 Need hold release from management interface, waiting...
Wed Jul 26 11:44:17 2017 us=439656 MANAGEMENT: Client connected from [AF_INET]127.0.0.1:25340
Wed Jul 26 11:44:17 2017 us=539662 MANAGEMENT: CMD 'state on'
Wed Jul 26 11:44:17 2017 us=539662 MANAGEMENT: CMD 'log all on'
Wed Jul 26 11:44:17 2017 us=616666 MANAGEMENT: CMD 'echo all on'
Wed Jul 26 11:44:17 2017 us=617666 MANAGEMENT: CMD 'hold off'
Wed Jul 26 11:44:17 2017 us=618666 MANAGEMENT: CMD 'hold release'
Wed Jul 26 11:44:23 2017 us=106980 MANAGEMENT: CMD 'username "Auth" "der_benutzername"'
Wed Jul 26 11:44:23 2017 us=110980 MANAGEMENT: CMD 'password [...]'
Wed Jul 26 11:44:23 2017 us=110980 WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
Wed Jul 26 11:44:23 2017 us=261989 LZO compression initializing
Wed Jul 26 11:44:23 2017 us=261989 Control Channel MTU parms [ L:1624 D:1210 EF:40 EB:0 ET:0 EL:3 ]
Wed Jul 26 11:44:23 2017 us=261989 MANAGEMENT: >STATE:1501062263,RESOLVE,,,,,,
Wed Jul 26 11:44:23 2017 us=636010 Data Channel MTU parms [ L:1624 D:1450 EF:124 EB:406 ET:0 EL:3 ]
Wed Jul 26 11:44:23 2017 us=636010 Local Options String (VER=V4): 'V4,dev-type tun,link-mtu 1560,tun-mtu 1500,proto TCPv4_CLIENT,comp-lzo,cipher AES-128-CBC,auth SHA1,keysize 128,key-method 2,tls-client'
Wed Jul 26 11:44:23 2017 us=636010 Expected Remote Options String (VER=V4): 'V4,dev-type tun,link-mtu 1560,tun-mtu 1500,proto TCPv4_SERVER,comp-lzo,cipher AES-128-CBC,auth SHA1,keysize 128,key-method 2,tls-server'
Wed Jul 26 11:44:23 2017 us=636010 TCP/UDP: Preserving recently used remote address: [AF_INET]die.ip.adresse:443
Wed Jul 26 11:44:23 2017 us=636010 Socket Buffers: R=[8192->8192] S=[8192->8192]
Wed Jul 26 11:44:23 2017 us=636010 Attempting to establish TCP connection with [AF_INET]die.ip.adresse:443 [nonblock]
Wed Jul 26 11:44:23 2017 us=636010 MANAGEMENT: >STATE:1501062263,TCP_CONNECT,,,,,,
Wed Jul 26 11:44:24 2017 us=636068 TCP connection established with [AF_INET]die.ip.adresse:443
Wed Jul 26 11:44:24 2017 us=639068 TCP_CLIENT link local: (not bound)
Wed Jul 26 11:44:24 2017 us=640068 TCP_CLIENT link remote: [AF_INET]die.ip.adresse:443
Wed Jul 26 11:44:24 2017 us=640068 MANAGEMENT: >STATE:1501062264,WAIT,,,,,,
Wed Jul 26 11:44:24 2017 us=641068 MANAGEMENT: >STATE:1501062264,AUTH,,,,,,
Wed Jul 26 11:44:24 2017 us=641068 TLS: Initial packet from [AF_INET]die.ip.adresse:443, sid=acbfc661 5dc930f5
Wed Jul 26 11:44:25 2017 us=99094 WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
Wed Jul 26 11:44:26 2017 us=601180 VERIFY OK: depth=1, C=DE, ST=MV, L=HRO, O=-, OU=-, CN=OpenVPN, emailAddress=foo@bar.com
Wed Jul 26 11:44:26 2017 us=601180 VERIFY OK: depth=0, C=DE, ST=MV, L=HRO, O=-, OU=-, CN=der.hostname.de, emailAddress=foo@bar.com
Wed Jul 26 11:44:27 2017 us=201214 Connection reset, restarting [0]
Wed Jul 26 11:44:27 2017 us=201214 TCP/UDP: Closing socket
Wed Jul 26 11:44:27 2017 us=201214 SIGUSR1[soft,connection-reset] received, process restarting
Wed Jul 26 11:44:27 2017 us=201214 MANAGEMENT: >STATE:1501062267,RECONNECTING,connection-reset,,,,,
Wed Jul 26 11:44:27 2017 us=201214 Restart pause, 5 second(s)

Das (selbst-signierte) Zertifikat scheint akzeptiert zu werden (VERIFY OK), dann gibt es den Verbindungsabbruch.
Irgendwelche Ideen?
Danke!

Gruß,
Johannes

 

[Kurt-oe1kyw]

nur zur Sicherheit meine Nachfrage:

DSM > Hauptmenü > VPN Server > Einstellungen > OpenVPN > "Clients den Server-LAN Zugriff erlauben" - der Haken ist auch nach den Updates dort immer noch gesetzt?

und zweitens:

1194 ist der Port für das UDP Protokoll, kann es sein dass du irrtümlich TCP eingetragen hast?

 

[tproko]

Die Konfig erlaubt sowohl das setzen des Ports und auch ob UDP/TCP. Dh. man könnte auch TCP mit Port 1194 laufen lassen.

Am Server und Client muss TCP/UDP zusammen passen und der gleiche Port verwendet werden.
Beim Port Forward von 443 auf 1194, ist da auch das richtige Protokoll weitergeleitet bzw. beide?

Schau mal unter den Einstellungen - Sicherheit - Zertifikat ob dein self signed Certificat auch verwendet wird beim VPN Server.
Hast du dir nach neu erstellen vom Zertifikat auch die ovpn Datei neu auf den Client geladen? Dort ist ja das CA inline soweit ich mich erinnern kann? Den Port musst du dann wieder auf 443 umbiegen in der Konfig.


Bzw. kannst du mal auf der DS in der openvpn Config debug Log aktivieren. Und dann mal schauen, was im Server Log steht. Das wird am einfachsten sein, sonst ist es schwierig und viel Raterei.

1.) Via ssh als root und vi /var/packages/VPNCenter/etc/openvpn/openvpn.conf
2.) Zeile einkommentieren bzw. hinzufügen: log-append /var/log/openvpn.log
3.) Danach OpenVPN Server neustarten: /var/packages/VPNCenter/target/scripts/openvpn.sh restart
4.) Nach Verbindungsversuch Log ansehen (less falls installiert, sonst more /var/log/openvpn.log)
5.) Debugging wieder abdrehen oder Log-Rotate einrichten.

 

[jbrenner]

Bzw. kannst du mal auf der DS in der openvpn Config debug Log aktivieren. Und dann mal schauen, was im Server Log steht. Das wird am einfachsten sein, sonst ist es schwierig

Danke, das war der entscheidende Hinweis bzw. im Server-Log habe ich den Fehler gefunden.

Wed Jul 26 22:28:27 2017 ip:ip:ip(54813) TLS: Initial packet from [AF_INET6]ip:ip:ip:54813, sid=e7425431 68b775e5
Wed Jul 26 22:28:29 2017 ip:ip:ip(54813) OpenSSL: error:140890C7:SSL routines:ssl3_get_client_certificate:peer did not return a certificate
Wed Jul 26 22:28:29 2017 ip:ip:ip(54813) TLS_ERROR: BIO read tls_read_plaintext error
Wed Jul 26 22:28:29 2017 ip:ip:ip(54813) TLS Error: TLS object -> incoming plaintext read error
Wed Jul 26 22:28:29 2017 ip:ip:ip(54813) SYNO_ERR_CERT
Wed Jul 26 22:28:29 2017 ip:ip:ip(54813) TLS Error: TLS handshake failed
Wed Jul 26 22:28:29 2017 ip:ip:ip(54813) Fatal TLS error (check_tls_errors_co), restarting

Der Server hat ein Client-Zertifikat erwartet. Hier ist die Konfiguration von Seitens Synology nicht stimmig: Wenn ich die Client-Konfiguration auf der DS exportiere, wird keine Client-Zertifikat mitgegeben. In der Server-Konfiguration jedoch ist client-cert-not-required auskommentiert, sprich der Server erwartet ein Zertifikat vom Client.

Nach dieser Änderung in der openvpn.conf auf der DS hat es erstmal funktioniert!

Ein zweites Problem ist danach aufgetaucht: ein paar Sekunden nach der erfolgreichen VPN-Verbindung ist meiner Rechner (Win7 Pro 64bit) mit einem Bluescreen abgestürzt.
Die Lösung habe ich hier gefunden:
Es ist der AVM-VPN Treiber. Ist der im TAP-Adapter deaktiviert, funktioniert alles bestens.

Vielen Dank für eure Hilfe!

Johannes

 

[tproko]

Ist bei mir schon etwas länger bzw. habe ich das ganze dann noch etwas anders gelöst.

1.) meine Hauptprobleme (Sicherheitsbedenken) mit Syno openvpn waren genau, dass "client-cert-not-required" scharf ist und somit jeder mit User+Passwort reinkam ohne Client Cert.
Wäre ja schön, dass sie das endlich erweitern. Aber wenn es am Server scharf ist, und man für den Client kein Cert mitbekommt... natürlich suboptimal
Mit dem Client Cert hast du schonmal einen zusätzlichen Authentifizierungsschritt, und Clients ohne Cert kommen einfach nicht rein.

2.) Aber nachdem du das mit den Logs und SSH hinbekommen hast, könntest du dir noch überlegen, dein VPN gleich noch etwas "vernünftiger" als den Standard von Synology aufzusetzen
(wie auch immer dieser gerade aussieht, aber ganz stimmig ist er eben noch nicht)
Stichwörter tls-auth, PKCS12 Client cert, stärkerer DH key

Ich habe dazu die Anleitung von https://forum.synology.com/enu/viewtopic.php?f=173&t=100066#p393793 verwendet. Zusätzlich findest du auf Seite 2 noch einen Nachfolgepost mit Ergänzungen/Korrekturen auf Grund von VPNServer Updates. Und auf Seite 3 dann noch eine Beschreibung wie PKCS12 mit den verschiedenen Clients wie Android, Iphone, Linux bzw. Windows verwendet wird.

 

[schlacka]

Hallo,

ich bekomme folgende Errormeldung beim Starten vom OpenVPN Server:
Mon Oct 28 18:10:16 2019 OpenVPN 2.3.11 armle-unknown-linux-gnu [SSL (OpenSSL)] [LZO] [EPOLL] [MH] [IPv6] built on Jul 2 2018
Mon Oct 28 18:10:16 2019 library versions: OpenSSL 1.0.2r-fips 26 Feb 2019, LZO 2.09
Mon Oct 28 18:10:16 2019 MANAGEMENT: Socket bind failed on local address [AF_INET]127.0.0.1:1195: Address already in use
Mon Oct 28 18:10:16 2019 Exiting due to fatal error
Mon Oct 28 18:11:37 2019 OpenVPN 2.3.11 armle-unknown-linux-gnu [SSL (OpenSSL)] [LZO] [EPOLL] [MH] [IPv6] built on Jul 2 2018
Mon Oct 28 18:11:37 2019 library versions: OpenSSL 1.0.2r-fips 26 Feb 2019, LZO 2.09
Mon Oct 28 18:11:37 2019 MANAGEMENT: Socket bind failed on local address [AF_INET]127.0.0.1:1195: Address already in use
Mon Oct 28 18:11:37 2019 Exiting due to fatal error
Mon Oct 28 18:12:57 2019 OpenVPN 2.3.11 armle-unknown-linux-gnu [SSL (OpenSSL)] [LZO] [EPOLL] [MH] [IPv6] built on Jul 2 2018
Mon Oct 28 18:12:57 2019 library versions: OpenSSL 1.0.2r-fips 26 Feb 2019, LZO 2.09
Mon Oct 28 18:12:57 2019 MANAGEMENT: Socket bind failed on local address [AF_INET]127.0.0.1:1195: Address already in use
Mon Oct 28 18:12:57 2019 Exiting due to fatal error

Ich nutze folgende Konfiguration:


Ich habe schon mehrere Ports ausgewählt und OpenVPN neugestartet aber leider ist keine Besserung eingetreten. Weiß jemand weiter?

 

[Kurt-oe1kyw]

hmmmmmmmmmm, ich bin nicht der VPN Spezialist aber da sind einige Ports bei dir durcheinander. Dein Screenshot vom VPN Server auf der DS für OpenVPN zeigt Port 1196, ABER in deiner Fehlermeldung wird Port :1195 immer angegeben im Log?
Der Standardport wäre 1194 und als Protokoll UDP und nicht TCP.

 

[schlacka]

Hallo Kurt,

ja Port 1194 ist Standard und den habe ich auch zunächst getestet - leider ohne Erfolg, da die gleiche Fehlermeldung erscheint. Warum im Log ein anderer Port angezeigt wird als in der Konfiguration kann ich mir auch nicht erklären...
TCP nutze ich, da ich folgender Anleitung für OpenVPN unter DS Lite gefolgt bin: https://www.andysblog.de/zugriff-auf-server-oder-eingehendes-vpn-mit-ds-lite-anschluessen

 

[Kurt-oe1kyw]

ahhhh ok, damit kenne ich mich gar nicht aus mit dem ganzen DS Lite usw, das müssen sich die Netzwerkspezialisten hier ansehen.

 

[schlacka]

Das Problem konnte durch einen Restart vom NAS behoben werden.