OpenVPN mit Win10 GUI läuft, mit OpenVPN Connect App (Android) nicht

[ecryptFS]

Hallo!

Meine OpenVPN-Verbindung über Win10 läuft wunderbar mit OpenVPN GUI v2.4.6-I602 zum Synology OpenVPN Server.

Ich nutze Port 443, den ich auf 1194 (UDP) zur DiskStation forwarde.

Mein Android Gerät läuft zur Zeit noch auf einem VPN zur FritzBox, ich möchte das aber switchen und ebenso OpenVPN auf dem Android-Gerät verwenden und dann die alte VPN-Verbindung unter der FritzBox stilllegen.

Nun sieht meine Config für Android so aus:

dev tun
tls-client
remote *meinedynip* 443
redirect-gateway def1
dhcp-option DNS *IP_von_meinem_PI-HoleDNS-Server*
pull
proto udp
script-security 2
comp-lzo
reneg-sec 0
cipher AES-256-CBC
# auth RSA-SHA384
auth SHA512
auth-user-pass
# auth-nocache
<ca>
xxxxx
</ca>

den DNS-Server habe ich auch schon weggelassen. Eine Verbindung wird hergestellt und auch auf dem VPN-Server angezeigt. Meist wird aber neu verbunden. Die Tun Bytes Out ist 0, also ist keine Kommunikation möglich.

App: "OpenVPN Connect – Fast & Safe SSL VPN Client"

Bei der Verbindung wird nach einem Zertifikat gefragt. Ich hatte es bereits schon einmal installiert, aber das interessiert die OpenVPN App nicht. Frag mich sowieso, warum ein Zertifikat verlangt wird, wenn es doch im Config-File eingebunden ist.

Hat jemand ein funktionierendes Profil und kann mir Tipps geben?

Auf dem Smartphone ohne Root sind einem schon die Hände gebunden...

Danke!!

 

[Loading--------]

Warum verbindest du dich mit Port 443? Der Standard-Port von OpenVPN ist soweit ich weiß 1194.

 

[diver68]

Weil man über 443 auch aus “anderen Ländern” ein VPN aufbauen kann, wenn alles andere gesperrt ist. Habe ich auch schon lange so.
@TE: Hast Du noch andere Anwendungen (Webserver etc.) auf der DS, die über 443 laufen? Wenn ja, hast Du SSLH auf der DS installiert? Du kannst dann auch die 443 im Router auf die 1194 verweisen und den OpenVPN “normal” auf die 1194 legen. Ansonsten würde ich auch mal die Komprimierung abschalten (Server/Clientseitig) da dies von der aktuellen OpenVPN nicht mehr unterstützt wird.

Gruss aus einem “anderen Land”

 

[Fusion]

@diver68 - https://community.openvpn.net/openvpn/wiki/DeprecatedOptions#a--comp-lzo - zwischen Komprimierung wird nicht mehr unterstützt und Komprimierung heißt jetzt anders ist schon ein Unterschied. Wichtig auch: Der Server läuft auf openVPN 2.3 während die meisten Clients 2.4.x sein dürften

 

[ecryptFS]

Danke an alle.

@diver68: Port 443 nutze ich erst seit 2 Wochen. Das geht sogar durch manche Firmen-Firewalls, ist ziemlich praktisch. Mit dem OpenVPN Connect Client bastel ich ab und an schon länger rum ohne jemals eine Verbindung damit zustande zu bekommen. Laut Anleitung und dem vorgefertigten config-file ja ein Kinderspiel, aber dann irgendwie eben doch nicht.

@Fusion: comp lzo hab ich auch schon raus gehabt das hat auch nichts gebracht. Ich hatte den internen 1194 mal auf irgendeinen Fantasieport genattet, wo garantiert keine Dienste drauf laufen, aber das war dasselbe Ergebnis. 1194 hab ich auch mal 1:1 versucht - gleiches Verhalten.

sslh nutze ich nicht. Ich hab mich eben noch einmal vergewissert, ob ein Standard-Syno-Dienst bei mir auch auf 443 laufen könnte, aber ich hab keines der Pakete: https://www.synology.com/de-de/know...t_network_ports_are_used_by_Synology_services

 

[Loading--------]

Inzwischen eine Lösung bekannt? Bei mir das gleiche, eben mit Android OpenVPN getestet.

 

[ecryptFS]

Bei mir nicht. Ich hab ein neues Smartphone (S9 Plus) aber dasselbe Spiel...

Momentan nutze ich das Fritz! VPN mit IPSec/XAuth - aber eigentlich will ich davon ja loskommen.... Auf meinem Win10 Notebook funktioniert alles wunderbar mit dem OVPN GUI

 

[Fusion]

Haben wir mal ein ausführliches Verbindungs-Log vom Client und Server?

Bei mir klappen die Verbindungen mit openVPN Clients 2.4 (OpenVPN für Android 0.7.5 von Arne Schwabe) zu Syno openVPN 2.3 und andere openVPN 2.4 servern.

 

[ecryptFS]

loggt der Synology-VPN-Server denn und wenn ja wo finde ich den Log? Sicher nicht über das Protokoll-Center

Und auf dem Smartphone mit der "offiziellen" OVPN-Android-App - gibts da einen ausführlichen Log? Oder bin ich blind?

 

[tproko]

Am Server muss man per SSH drauf und das log erst aktivieren, dann kann mans ansehen.

Am Client per openvpn App gibts oben Rechts das entsprechende Logo.

 

[ecryptFS]

Moin!

Muss ich das Schreiben des Logfiles aktivieren oder muss ich nur per SSH rauf und mir den abgreifen?

Ich hab mal danach gesucht, aber so wirklich was gefunden habe ich nicht.

 

[tproko]

Du musst es zunächst aktivieren:

vi /usr/syno/etc/packages/VPNCenter/openvpn/openvpn.conf

Inhalt:

log-append /var/log/openvpn.log
verb 3

Anschließend zB. mit

tail -n 100 /var/log/openvpn.log

Abschließend bitte das Logging wieder deaktivieren oder für die Datei logrotate einrichten, damit nicht irgendwann deine Systempartition voll wird

 

[ecryptFS]

Danke. Oh dear... ich hab vi zuletzt 2001 benutzt haha.

openvpn.conf ist eine readonly-datei.

Und jetzt war da was mit chmod... aber ganz ehrlich nach 17 Jahren....

 

[tproko]

Alte Liebe rostet bekanntlich nie

Spaß beiseite, Arbeite dich einfach wieder kurz ein und mit dem Log wirst du dein Problem sicher besser einschränken können.

Ad Berechtigung: zB.: chmod 755 FILE
Nach der Änderung am File einfach den Vpn Server per GUI stoppen und Neustarten.

 

[ecryptFS]

Sehr gut, danke fürs Mutmachen. Ich hab gestern einen RasPi neu aufgesetzt mit Stretch... jetzt bin ich wieder drin.

Ich hab das Logfile erst einmal aktiviert, ich kann mich mit dem Smartphone warum auch immer nicht drauf verbinden, aber ich habs dann mal mit dem (funktionierenden) Windows-Client gemacht.

Im Logfile kann ich sehen:

Sun Nov 11 02:22:15 2018 OpenVPN 2.3.11 x86_64-pc-linux-gnu [SSL (OpenSSL)] [LZO] [EPOLL] [MH] [IPv6] built on Jul  2 2018
Sun Nov 11 02:22:15 2018 library versions: OpenSSL 1.0.2o-fips  27 Mar 2018, LZO 2.09
Sun Nov 11 02:22:15 2018 MANAGEMENT: TCP Socket listening on [AF_INET]127.0.0.1:1195
Sun Nov 11 02:22:15 2018 RADIUS-PLUGIN: Configfile name: /var/packages/VPNCenter/target/etc/openvpn/radiusplugin.cnf.
Sun Nov 11 02:22:15 2018 PLUGIN_INIT: POST /var/packages/VPNCenter/target/lib/radiusplugin.so '[/var/packages/VPNCenter/target/lib/radiusplugin.so] [/var/packages/VPNCenter/target/etc/openvpn/radiusplugin.cnf]' intercepted=PLUGIN_AUTH_USER_PASS_VERIFY|PLUGIN_CLIENT_CONNECT|PLUGIN_CLIENT_DISCONNECT
Sun Nov 11 02:22:15 2018 Diffie-Hellman initialized with 3072 bit key
Sun Nov 11 02:22:15 2018 WARNING: POTENTIALLY DANGEROUS OPTION --client-cert-not-required may accept clients which do not present a certificate
Sun Nov 11 02:22:15 2018 Socket Buffers: R=[212992->212992] S=[212992->212992]
Sun Nov 11 02:22:15 2018 ROUTE_GATEWAY 192.168.3.1/255.255.255.0 IFACE=bond0 HWADDR=00:10:22:6a:ab:ab
Sun Nov 11 02:22:15 2018 TUN/TAP device tun0 opened
Sun Nov 11 02:22:15 2018 TUN/TAP TX queue length set to 100
Sun Nov 11 02:22:15 2018 do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
Sun Nov 11 02:22:15 2018 /sbin/ifconfig tun0 192.168.4.1 pointopoint 192.168.4.2 mtu 1500
Sun Nov 11 02:22:15 2018 /sbin/route add -net 192.168.4.0 netmask 255.255.255.0 gw 192.168.4.2
Sun Nov 11 02:22:15 2018 UDPv6 link local (bound): [undef]
Sun Nov 11 02:22:15 2018 UDPv6 link remote: [undef]
Sun Nov 11 02:22:15 2018 MULTI: multi_init called, r=256 v=256
Sun Nov 11 02:22:15 2018 IFCONFIG POOL: base=192.168.4.4 size=62, ipv6=0
Sun Nov 11 02:22:15 2018 Initialization Sequence Completed
Sun Nov 11 02:31:53 2018 ::ffff:meine_oeffentliche_ip(1194) TLS: Initial packet from [AF_INET6]::ffff:meine_oeffentliche_ip:1194, sid=asdf
Sun Nov 11 02:31:53 2018 RADIUS-PLUGIN: FOREGROUND THREAD: Auth_user_pass_verify thread started.
Sun Nov 11 02:31:53 2018 RADIUS-PLUGIN: FOREGROUND THREAD: New user.
Sun Nov 11 02:31:53 2018 RADIUS-PLUGIN: No attributes Acct Interim Interval or bad length.
Sun Nov 11 02:31:53 2018 RADIUS-PLUGIN: Client config file was not written, overwriteccfiles is false
.Sun Nov 11 02:31:53 2018 RADIUS-PLUGIN: FOREGROUND THREAD: Add user to map.
Sun Nov 11 02:31:53 2018 ::ffff:meine_oeffentliche_ip(1194) PLUGIN_CALL: POST /var/packages/VPNCenter/target/lib/radiusplugin.so/PLUGIN_AUTH_USER_PASS_VERIFY status=0
Sun Nov 11 02:31:53 2018 ::ffff:meine_oeffentliche_ip(1194) TLS: Username/Password authentication succeeded for username 'mein_VPN_USER' [CN SET]
Sun Nov 11 02:31:53 2018 ::ffff:meine_oeffentliche_ip(1194) Data Channel Encrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
Sun Nov 11 02:31:53 2018 ::ffff:meine_oeffentliche_ip(1194) Data Channel Encrypt: Using 384 bit message hash 'SHA384' for HMAC authentication
Sun Nov 11 02:31:53 2018 ::ffff:meine_oeffentliche_ip(1194) Data Channel Decrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
Sun Nov 11 02:31:53 2018 ::ffff:meine_oeffentliche_ip(1194) Data Channel Decrypt: Using 384 bit message hash 'SHA384' for HMAC authentication
Sun Nov 11 02:31:53 2018 ::ffff:meine_oeffentliche_ip(1194) Control Channel: TLSv1.2, cipher TLSv1/SSLv3 DHE-RSA-AES256-GCM-SHA384
Sun Nov 11 02:31:53 2018 ::ffff:meine_oeffentliche_ip(1194) [mein_VPN_USER] Peer Connection Initiated with [AF_INET6]::ffff:meine_oeffentliche_ip:1194
Sun Nov 11 02:31:53 2018 mein_VPN_USER/::ffff:meine_oeffentliche_ip(1194) MULTI_sva: pool returned IPv4=192.168.4.6, IPv6=(Not enabled)
Sun Nov 11 02:31:53 2018 mein_VPN_USER/::ffff:meine_oeffentliche_ip(1194) PLUGIN_CALL: POST /var/packages/VPNCenter/target/lib/radiusplugin.so/PLUGIN_CLIENT_CONNECT status=0
Sun Nov 11 02:31:53 2018 mein_VPN_USER/::ffff:meine_oeffentliche_ip(1194) OPTIONS IMPORT: reading client specific options from: /tmp/openvpn_cc_asdfasdf.tmp
Sun Nov 11 02:31:53 2018 mein_VPN_USER/::ffff:meine_oeffentliche_ip(1194) MULTI: Learn: 192.168.4.6 -> mein_VPN_USER/::ffff:meine_oeffentliche_ip(1194)
Sun Nov 11 02:31:53 2018 mein_VPN_USER/::ffff:meine_oeffentliche_ip(1194) MULTI: primary virtual IP for mein_VPN_USER/::ffff:meine_oeffentliche_ip(1194): 192.168.4.6
Sun Nov 11 02:31:54 2018 mein_VPN_USER/::ffff:meine_oeffentliche_ip(1194) PUSH: Received control message: 'PUSH_REQUEST'
Sun Nov 11 02:31:54 2018 mein_VPN_USER/::ffff:meine_oeffentliche_ip(1194) send_push_reply(): safe_cap=940
Sun Nov 11 02:31:54 2018 mein_VPN_USER/::ffff:meine_oeffentliche_ip(1194) SENT CONTROL [mein_VPN_USER]: 'PUSH_REPLY,route 192.168.4.0 255.255.255.0,route 192.168.4.1,topology net30,ping 10,ping-restart 60,ifconfig 192.168.4.6 192.168.4.5' (status=1)

Ich gehe davon aus, dass das das Problem für den AndroidClient ist:

Control Channel: TLSv1.2, cipher TLSv1/SSLv3 DHE-RSA-AES256-GCM-SHA384

Da ich ja ein bissl Paranoid bin hab ich natürlich sämtliche IPs etc. renamed

Vielen Dank und goooood Night.