plötzlich keine Verbindung zum open VPN Server mehr möglich

[DrHasen]

Hallo,

erst mal beschreibe ich euch meine Situation.

Ich habe auf einer DS 713+ (DSM 5.0 / zuvor 4.3) den VPN Server (1.2-2412) laufen. Als Protokoll nutze ich open VPN. Auf den Clients (iPhone Ipad und Macbook air) läuft OpenVPN 1.0.4 build 140 / Tunnelblick.

Ins internet komme ich über eine Fritzbox 3370 (06.03). Dort wird der Port UDP 1194 an die DS weitergeleitet. Auf der DS ist natürlich der Port UDP 1194 offen.

Das funktionierte zumindest in der Vergangenheit ohne Probleme. Seit ein paar Tagen geht das nun nicht mehr. Es werden nur Datenpakete vom Client gesendet, aber keine empfangen. Eine Verbindung kommt gar nicht zustande. Protokollauszug unten.

Was hat sich unter umständen geändert.

Die Fritzbox hat vor ein paar Tagen ein aktuelles Update bekommen. Port habe ich erneut freigegeben. Keine Besserung
Die App openVPN wurde auch aktualisiert, wobei das nicht das Problem sein kann, da Tunnelblick auf dem Macbook auch nicht mehr funktioniert.

Die Verbindungsversuche finden nicht aus dem lokalen Netz statt.

Weder unter DSM 4.3 noch 5.0 hat sich etwas geändert.

Entweder hat die Fritzbox mit der neuen Firmware nun Probleme und leitet den Port nicht korrekt weiter, oder die DS ist nicht erreichbar.

Da ich die Einstellungen aber nicht geändert habe, verstehe ich das Problem nicht.

Kann jemand helfen?

VG Hagen

2014-03-13 19:12:07 LZO-ASYM init swap=0 asym=0


2014-03-13 19:12:07 EVENT: RESOLVE
2014-03-13 19:12:08 Contacting xxx:1194 via UDP
2014-03-13 19:12:08 EVENT: WAIT
2014-03-13 19:12:08 Connecting to xxx.selfhost.bz:1194 (xxx) via UDPv4
2014-03-13 19:12:17 Server poll timeout, trying next remote entry...
2014-03-13 19:12:17 EVENT: RECONNECTING
2014-03-13 19:12:17 LZO-ASYM init swap=0 asym=0
2014-03-13 19:12:17 EVENT: RESOLVE
2014-03-13 19:12:17 Contacting xxx:1194 via UDP
2014-03-13 19:12:17 EVENT: WAIT
2014-03-13 19:12:17 Connecting to xxx.selfhost.bz:1194 (xxx) via UDPv4
2014-03-13 19:12:27 Server poll timeout, trying next remote entry...
2014-03-13 19:12:27 EVENT: RECONNECTING
2014-03-13 19:12:27 LZO-ASYM init swap=0 asym=0
2014-03-13 19:12:27 EVENT: RESOLVE
2014-03-13 19:12:27 Contacting xxx:1194 via UDP
2014-03-13 19:12:27 EVENT: WAIT
2014-03-13 19:12:27 Connecting to xxx.selfhost.bz:1194 (xxx) via UDPv4
2014-03-13 19:12:37 Server poll timeout, trying next remote entry...
2014-03-13 19:12:37 EVENT: RECONNECTING
2014-03-13 19:12:37 LZO-ASYM init swap=0 asym=0
2014-03-13 19:12:37 EVENT: RESOLVE
2014-03-13 19:12:37 Contacting xxx:1194 via UDP
2014-03-13 19:12:37 EVENT: WAIT
2014-03-13 19:12:37 Connecting to xxx.selfhost.bz:1194 (xxx) via UDPv4
2014-03-13 19:12:47 Server poll timeout, trying next remote entry...
2014-03-13 19:12:47 EVENT: RECONNECTING
2014-03-13 19:12:47 LZO-ASYM init swap=0 asym=0
2014-03-13 19:12:47 EVENT: RESOLVE
2014-03-13 19:12:47 Contacting xxx:1194 via UDP
2014-03-13 19:12:47 EVENT: WAIT
2014-03-13 19:12:47 Connecting to xxx.selfhost.bz:1194 (xxx) via UDPv4
2014-03-13 19:12:57 Server poll timeout, trying next remote entry...
2014-03-13 19:12:57 EVENT: RECONNECTING
2014-03-13 19:12:57 LZO-ASYM init swap=0 asym=0
2014-03-13 19:12:57 EVENT: RESOLVE
2014-03-13 19:13:00 Contacting xxx:1194 via UDP
2014-03-13 19:13:00 EVENT: WAIT
2014-03-13 19:13:00 Connecting to xxx.bz:1194 (xxx) via UDPv4
2014-03-13 19:13:07 EVENT: CONNECTION_TIMEOUT [ERR]
2014-03-13 19:13:07 EVENT: DISCONNECTED
2014-03-13 19:13:07 Raw stats on disconnect:
  BYTES_OUT : 420
  PACKETS_OUT : 30
  CONNECTION_TIMEOUT : 1
  N_RECONNECT : 5
2014-03-13 19:13:07 Performance stats on disconnect:
  CPU usage (microseconds): 52804
  Network bytes per CPU second: 7953
  Tunnel bytes per CPU second: 0
2014-03-13 19:13:07 ----- OpenVPN Stop -----
2014-03-13 19:13:07 EVENT: DISCONNECT_PENDING

 

[fpo4711]

Hallo,

häng doch mal dein Macbook ins lokale Netz und versuche dann eine Verbindung zur lokalen IP deiner DS aufzubauen. Also nicht die selfhost-Adresse nehmen. Das funktioniert dann zwar nur für einen Test des Verbindungsaufbaus. Somit kannst Du dann aber Client und VPN-Server ausschliessen. Alternativ könntest Du noch mit "tcpdump port 1194" prüfen ob überhaupt auf der DS was ankommt. Bei der Syntax von tcpdump bin ich mir nicht sicher, war jetzt aus dem Kopf. Kann das gerade nicht prüfen.

Somit kann es dann wahrscheinlich nur am Weg (Fritzbox) liegen. Falls die DS eine IP per DHCP bekommt, vieleicht auch mal den Eintrag unter Heimnetz in der Heimnetz löschen. Du hast es zwar völlig richtig geschrieben aber ein gern gemachter Fehler ist TCP anstatt UDP bei der Weiterleitung einzutragen.

Ein letzter Punkt wäre noch zu prüfen ob dein DDNS Anbieter die Adresse auch richtig auflöst bzw. wenn Du den DDNS durch die Fritzbox aktuallisieren läßt ob dieser überhaupt aktuallisiert wird.

Gruß Frank

 

[jahlives]

hmh connection timeout deutet imho schon darauf hin, dass die Ports nicht offen sind. Bist du zudem 100% sicher dass dein dyndns Name auf deine aktuelle IP zeigt? Vielleicht ein Problem beim Update des Hostnamens und er zeigt noch auf deine alte IP.
Hast du allenfalls auf der DS die Firewall am Laufen? Router schonmal neugestartet?

 

[DrHasen]

Hallo,

erst mal danke, dass ihr versucht zu helfen. Oft ist man da ja auch betriebsblind.

Also, der Hoster Selfhost sollte kein Problem sein, da der Webserver über die DNS Auflösung zu erreichen ist.

Ich habe mir nun noch mal die openvpn.log angesehen. Der Dem sagt zwar, dass der OpenVPN Server läuft, aber die Logs sehen komisch aus.

Thu Mar 13 20:25:14 2014 OpenVPN 2.1.4 i686-pc-linux-gnu [SSL] [LZO2] [EPOLL] built on Mar  3 2014                                                                                                                                                                     
Thu Mar 13 20:25:14 2014 MANAGEMENT: TCP Socket listening on 127.0.0.1:1195                                                                                                                                                                                            
Thu Mar 13 20:25:14 2014 IMPORTANT: OpenVPN's default port number is now 1194, based on an official port number assignment by IANA.  OpenVPN 2.0-beta16 and earlier used 5000 as the default port.                                                                     
Thu Mar 13 20:25:14 2014 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables                                                                                                                                        
Thu Mar 13 20:25:14 2014 RADIUS-PLUGIN: Configfile name: /var/packages/VPNCenter/target/etc/openvpn/radiusplugin.cnf.                                                                                                                                                  
Thu Mar 13 20:25:14 2014 PLUGIN_INIT: POST /var/packages/VPNCenter/target/lib/radiusplugin.so '[/var/packages/VPNCenter/target/lib/radiusplugin.so] [/var/packages/VPNCenter/target/etc/openvpn/radiusplugin.cnf]' intercepted=PLUGIN_AUTH_USER_PASS_VERIFY|PLUGIN_CLIE
Thu Mar 13 20:25:14 2014 Cannot open /var/packages/VPNCenter/target/etc/openvpn/keys/dh2048.pem for DH parameters: error:02001002:lib(2):func(1):reason(2): error:2006D080:lib(32):func(109):reason(128)                                                               
Thu Mar 13 20:25:14 2014 Exiting                                                                                                                                                                                                                                       
~

Muss mir nun mal die dh2048.pem ansehen....

melde mich

 

[jahlives]

falls nicht vorhanden sollten sich diese dh Parameter so "bauen" lassen

openssl dhparam -out /[COLOR=#333333]var/packages/VPNCenter/target/etc/openvpn/keys[/COLOR]/dh2048.pem 2048

 

[DrHasen]

komisch,

in der openvpn.conf steht:

...
dh /var/packages/VPNCenter/target/etc/openvpn/keys/dh2048.pem
ca /var/packages/VPNCenter/target/etc/openvpn/keys/ca.crt
cert /var/packages/VPNCenter/target/etc/openvpn/keys/server.crt
key /var/packages/VPNCenter/target/etc/openvpn/keys/server.key
...

im Verzeichnis findet sich aber nur eine

dh1024.pem

drwxr-xr-x    2 root     root          4096 Mar 13 18:55 .
drwxr-xr-x    3 root     root          4096 Mar  3 11:08 ..
-rwxr-xr-x    1 root     root          1866 Mar  3 11:08 README.txt
-rw-r--r--    1 root     root          2078 Mar 13 18:55 android.ovpn
lrwxrwxrwx    1 root     root            52 Mar 13 18:55 ca.crt -> /usr/syno/etc/packages/VPNCenter/openvpn/keys/ca.crt
-rw-r--r--    1 root     root          1172 Mar  3 11:08 client.crt
-rw-r--r--    1 root     root           887 Mar  3 11:08 client.key
-rw-r--r--    1 root     root           245 Mar  3 11:08 dh1024.pem
-rw-r--r--    1 root     root          4167 Mar 13 18:55 iOS.ovpn
-rw-r--r--    1 root     root           977 Mar  3 11:08 mobile.ovpn
-rwxr-xr-x    1 root     root           957 Mar  3 11:08 openvpn.ovpn
lrwxrwxrwx    1 root     root            56 Mar 13 18:55 server.crt -> /usr/syno/etc/packages/VPNCenter/openvpn/keys/server.crt
lrwxrwxrwx    1 root     root            56 Mar 13 18:55 server.key -> /usr/syno/etc/packages/VPNCenter/openvpn/keys/server.key

Wo ist denn meine Datei hin?

 

[jahlives]

schau mal ob die Datei in /usr/syno/etc/packages/VPNCenter/openvpn/keys noch vorhanden ist und allenfalls nur der Link fehlt. Sonst generier die Datei oder stellt deine Konfig um. Ich vermute mal die Datei hat ein Update nicht überlebt

 

[DrHasen]

falls nicht vorhanden sollten sich diese dh Parameter so "bauen" lassen

openssl dhparam -out /[COLOR=#333333]var/packages/VPNCenter/target/etc/openvpn/keys[/COLOR]/dh2048.pem 2048

....läuft wieder, besten Dank für die schnelle und vor allem zielführende Hilfe. Hier findet sich schon ne Menge Knowhow.

Bin nun zwar vollkommen unnötiger Weise zur DSM 5.0 gewechselt, aber die läuft bei mir ansonsten ohne Probleme.

Danke und ich wünsche euch noch einen schönen Abend

VG Hagen

 

[DrHasen]

ah, bevor ich es vergesse, wenn jemand vergleichbare Probleme hat.... immer die DS neu starten. Ein Neustart des VPN Servers alleine (über das Paketzentrum) hat nicht direkt zum erfolg geführt. Erst das Neustarten der ganzen DS löste das Problem.