OpenVPN - Dienst startet nicht

[anna82]

Hi,

ich habe auf meiner FritzBox Fon WLan 7270 (FW 54.04.80) und habe ein freetz-1.1.3 mit OpenVPN & Dropbear installiert. Die Serverseite habe ich soweit (???) ich kann den Server-Dienst aber nicht starten.

Starting openvpn ... failed

Bekomme ich irgendwie heraus (log file?) was hier schief geht?

 

[olistudent]

Meistens ist der Syslog eine gute Anlaufstelle. Wenn du das Paket im Image hast gibt es auch eine Log-Seite im Webinterface. Ansonsten kann man vielleicht auf der OpenVPN Seite Logging Optionen aktivieren.

Gruß
Oliver

 

[MaxMuster]

... oder du schaust im Freetz-WIKI zu dem Paket, dort ist versucht, unter Ein paar Tips wenn es nicht gleich so klappt genau dazu Tipps zu geben ;-)

Jörg

 

[anna82]

habe das mit der RudiShell so gemacht, allerdings kommt da eine "dubiose" Fehlermeldung:

Thu Jan 20 07:33:19 2011 OpenVPN 2.1.1 mipsel-linux [SSL] [LZO2] [EPOLL] [MH] built on Jan 6 2011
Thu Jan 20 07:33:19 2011 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Thu Jan 20 07:33:19 2011 Cannot load DH parameters from /tmp/flash/dh.pem: error:0906D06C:lib(9):func(109):reason(108)
Thu Jan 20 07:33:19 2011 Exiting

 

[MaxMuster]

Hast du denn daraufhin den DH Parameter überprüft? Ist der korrekt übertragen worden?

Jörg

 

[anna82]

AHHHHHHH!!!!
Asche auf mein Haupt....
Service startet jetzt aber er will nicht connecten.
Was mir gerade einfällt, den static key habe ich nicht aus der freetz-gui bekommen, den habe ich mir in der console selbst generieren müssen. Habe diesen dann aber im freetz-web-ui eingefügt und im client hinterlegt.
Anbei noch mein clientlog (OS: XP SP2):

Thu Jan 20 09:48:53 2011 OpenVPN 2.2-beta5 i686-pc-mingw32 [SSL] [LZO2] [PKCS11] built on Nov 30 2010
Thu Jan 20 09:48:53 2011 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Thu Jan 20 09:48:54 2011 Control Channel Authentication: using 'C:\Programme\OpenVPN\keys\static.key' as a OpenVPN static key file
Thu Jan 20 09:48:54 2011 Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Thu Jan 20 09:48:54 2011 Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Thu Jan 20 09:48:54 2011 Control Channel MTU parms [ L:1589 D:166 EF:66 EB:0 ET:0 EL:0 ]
Thu Jan 20 09:48:54 2011 Socket Buffers: R=[8192->8192] S=[8192->8192]
Thu Jan 20 09:48:54 2011 Data Channel MTU parms [ L:1589 D:1450 EF:57 EB:4 ET:32 EL:0 ]
Thu Jan 20 09:48:54 2011 Local Options hash (VER=V4): 'a2a0364a'
Thu Jan 20 09:48:54 2011 Expected Remote Options hash (VER=V4): 'd4545bb3'
Thu Jan 20 09:48:54 2011 UDPv4 link local: [undef]
Thu Jan 20 09:48:54 2011 UDPv4 link remote: 111.222.333.444:1194
Thu Jan 20 09:49:55 2011 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Thu Jan 20 09:49:55 2011 TLS Error: TLS handshake failed
Thu Jan 20 09:49:55 2011 TCP/UDP: Closing socket
Thu Jan 20 09:49:55 2011 SIGUSR1[soft,tls-error] received, process restarting
Thu Jan 20 09:49:55 2011 Restart pause, 2 second(s)
Thu Jan 20 09:49:57 2011 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Thu Jan 20 09:49:57 2011 Control Channel Authentication: using 'C:\Programme\OpenVPN\keys\static.key' as a OpenVPN static key file
Thu Jan 20 09:49:57 2011 Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Thu Jan 20 09:49:57 2011 Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Thu Jan 20 09:49:57 2011 Control Channel MTU parms [ L:1589 D:166 EF:66 EB:0 ET:0 EL:0 ]
Thu Jan 20 09:49:57 2011 Socket Buffers: R=[8192->8192] S=[8192->8192]
Thu Jan 20 09:49:57 2011 Data Channel MTU parms [ L:1589 D:1450 EF:57 EB:4 ET:32 EL:0 ]
Thu Jan 20 09:49:57 2011 Local Options hash (VER=V4): 'a2a0364a'
Thu Jan 20 09:49:57 2011 Expected Remote Options hash (VER=V4): 'd4545bb3'
Thu Jan 20 09:49:57 2011 UDPv4 link local: [undef]
Thu Jan 20 09:49:57 2011 UDPv4 link remote: 111.222.333.444:1194
Thu Jan 20 09:50:35 2011 TCP/UDP: Closing socket
Thu Jan 20 09:50:35 2011 SIGTERM[hard,] received, process exiting

 

[JohnDoe42]

Hallo,

Du mußt es bezüglich des static keys exakt anders herum machen: Den (auf der Box durch OpenVPN selbst) generierten static key auch auf dem client benutzen.
Grüße,

JD.

 

[MaxMuster]

Ohne die beiden Konfigs ist das reines Raten. Sind auf beiden Seiten die "cipher" identisch? LZO aus?

Zweiter Punkt: Wie ist die Portweiterleitung gemacht? Geht die auf die IP 0.0.0.0?

Jörg

EDIT PS: Hier im Forum ist es [code], nicht <code> ;-)

 

[anna82]

ich habs nochmal durchgespielt, sprich neue Zertifizierung gemacht, habe aber das selbe Problem wie schon beim ersten mal, ich bekomme auf der Box keinen static key generiert?
muss man das irgendwie anstoßen?

*ggg* das mit dem <> war nicht schlecht..... manchmal doch zu viel html ;-)

 

[JohnDoe42]

Am einfachsten ist es, wenn Du Dir das OpenVPN-Paket erst mal irgendwo installierst und Dir mittels easy-rsa erst mal einen Satz Schlüssel bzw. Zertifikate anlegst. Diese lädst Du dann nach dem hier beschriebenen Schema (unter Zertifikate) auf die Box und klickst auf "Übernehmen". Beim nächsten Aufruf der Einstellungen sollte sich unter OpenVPN: Static Key eben jener finden lassen. Den wiederum verwendest Du dann auch auf Deinem Client.
Grüße,

JD.

 

[anna82]

hab ich doch!!! *heul*
ich habe auf meiner xp - büchse mit openvpn alles so generiert, dann alles brav mit notepad++ in die gui gepastet, ich bekomme aber (zum kukuck) keinen static_key (nerv)
da fällt mir was auf: muss ich bei box cert nur den certificat teil nehmen, oder das drüber auch?

 

[JohnDoe42]

Du mußt ALLES (also ALLES) exakt so und in Gänze, wie es in den jeweiligen Dateien zu finden ist, auf die Box laden.
Grüße,

JD.

 

[MaxMuster]

Also, wenn die Box keinen static-key hat, generiert sie den beim ersten Starten vom OpenVPN. Das kannst du aber auch "erzwingen", entweder indem du die Datei "/tmp/flash/static.key" löscht (und danach diesen Zustand speicherst, z.B. indem du irgendein Paket "übernimmst" oder per "modsave flash") und dann neu startest, oder das ganze selbst machst mit

openvpn --genkey --secret /tmp/flash/static.key
/usr/bin/modsave flash

Danach sollte der Key vorhanden sein.

Zur "Nichtfunktion": Hast du vielleicht tls-auth an? Dann immer dran denken, dass der Client den Eintrag "tls-auth <static-key der Box> 1" benötigt!

Jörg

 

[anna82]

das mit dem generieren des static key hat super (!!!) funktioniert *hüpf*
aber, jetzt kann ich kein client-cert mehr ausstellen

failed to update database
TXT_DB error number 2

btw, das mit der 1 in der openvpn.config habe ich auch noch als fehler auf dem radar, muss aber wie gesagt erst mein prob mit dem cert lösen ...

 

[MaxMuster]

Ich bin mir ziemlich sicher, dass der Fehler kam, wenn man versucht einen CN mehrfach zu vergeben (also zweimal "client01" oder so)...

 

[anna82]

Es geht!!!!
Danke Euch allen!!!

Ich habe nochmals die Zertifikate erstellt, der dubiose DB-Fehler kam (wohl) dadurch zustande, dass ich unter "common name" nicht den Parameter vom Aufruf angegeben habe.... (wer lesen kann ist klar im Vorteil..)

Der zweite Fehler war tatsächlich der tls-auth in meiner client-config.... (das zählt aber als Anfängerfehler )

 

[cando]

Ich habe da noch eine Frage. Ich habe erfolgreich mein openVPN eingerichtet, allerdings kann ich am nächsten Tag nicht mehr rein. Kann es sein, dass man den Dienst immer wieder neu starten muss nach der Zwangstrennung durch den Provider und wie kann man das geschickt automatisieren?

 

[cuma]

"onlinechanged"

 

[cando]

Danke, aber was schreibt man da rein für openvpn?

Ist das so OK?

case $1 in
 start)
   ;;
 online)
   /etc/init.d/rc.openvpn restart
   ;;
 offline)
   # Kommandos wenn der Router offline geht (zB Zwangstrennung)
   ;;
esac

Müssen die Semikolon's bleiben?

 

[JohnDoe42]

Kann es sein, dass man den Dienst immer wieder neu starten muss nach der Zwangstrennung durch den Provider und wie kann man das geschickt automatisieren?

Hallo cando,

auf allen meinen Boxen läuft der OpenVPN-Dienst auch nach der Zwangstrennung normal weiter ... komisch. Könnte es evtl. sein, daß es bei Dir eher ein Problem mit der Namensauflösung, sprich: DynDNS gibt ?
Grüße,

JD.