.titleBar { margin-bottom: 5px!important; }

Openvpn läuft, aber .....

Dieses Thema im Forum "FRITZ!Box Fon: Modifikationen" wurde erstellt von Doyanole, 16 Dez. 2011.

  1. Doyanole

    Doyanole Neuer User

    Registriert seit:
    9 März 2011
    Beiträge:
    53
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Moin ,
    ich hab mal ne frage zwecks Openvpn.

    Ich habe eine Openvpn zwischen meinem Linux Server (Openvpn Server) und meiner Fritzbox (Openvpn Client) interne IP der fritz ist 192.168.1.0. VPN IP ist 10.10.0.0

    ich kann mich per telnet 10.10.0.10 auf die fritz verbinden vom server aus. das ist kein problem. auch zurück zum server , das klappt auch.

    ich will aber nun wenn ich auf meinem laptop telnet 10.10.0.1 eingebe , auf meinem Openvpn server rauskommen.

    Wie geht das ? muss ich da ne route definieren in der Fritz ? von 192.168.1.0 auf 10.10.0.0 ?
    falls ja , wie genau geht das ?

    danke für die hilfe
     
  2. MaxMuster

    MaxMuster IPPF-Promi

    Registriert seit:
    1 Feb. 2005
    Beiträge:
    6,924
    Zustimmungen:
    0
    Punkte für Erfolge:
    36
    Davon ausgehend, dass dein Notebook im Netz der FB ist und über diese auch z.B ins Internet geht (dann ist die FB das Default-Gateway für das Notebook), dann fehlt vermutlich nur die "Rückroute" auf dem Server.

    In der Konfig des Servers sollte ein "route 192.168.1.0 255.255.255.0" reichen.

    Schwieriger wird es, wenn dort eine "Multi-Client" Config drauf ist, an der sich per Zertifikat mehrere Clients anmelden können. Dann muss dem Server das noch zusätzlich in einem Client-Config-Dir per "iroute" mitgegeben werden, zu welchem Client dieses Netz muss...
     
  3. Doyanole

    Doyanole Neuer User

    Registriert seit:
    9 März 2011
    Beiträge:
    53
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    danke

    es geht so halb

    ich krieg noch ne fehlermeldung wenn ich probiere mich einzuloggen von meinem Laptop aus :


    Fri Dec 16 18:28:25 2011 85.93.207.241:38430 MULTI: bad source address from client [192.168.1.10], packet dropped


    ausserdem geht der Ping net

    an was kann das liegen ?
     
  4. MaxMuster

    MaxMuster IPPF-Promi

    Registriert seit:
    1 Feb. 2005
    Beiträge:
    6,924
    Zustimmungen:
    0
    Punkte für Erfolge:
    36
    ... das ist genau das, was ich oben beschrieben habe: Der Server hat eine Config für mehrere Clients.

    Damit sind Netze bei Clients nur möglich, wenn du über ein "CCD" für den Client, bei dem das Netz ist, dieses per "iroute" einträgst. Wenn du eine solche Multi-Client-Umgebung brauchst, musst du leider die deutlich komplexere Konfiguration in Kauf nehmen.
     
  5. Doyanole

    Doyanole Neuer User

    Registriert seit:
    9 März 2011
    Beiträge:
    53
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    also rein theoretisch will ich mich nur von meiner Fritzbox da reinloggen, also brauch ich das net .

    meine server config sieht im moment so aus :

    port 2002
    proto udp
    dev tun
    ca 2.0/keys/ca.crt
    cert 2.0/keys/server.crt
    key 2.0/keys/server.key
    dh 2.0/keys/dh1024.pem
    server 10.100.0.0 255.255.0.0
    route 192.168.1.0 255.255.255.0
    ifconfig-pool-persist ipp.txt
    #push "redirect-gateway def1"
    keepalive 10 120
    persist-key
    persist-tun
    status openvpn-privat_ua-status.log
    verb 3
    script-security 3
    auth-user-pass-verify auth.sh via-env
    script-security 3
    client-cert-not-required

    was soll ich denn da jetzt ändern ?

    danke für deine hilfe !!!
     
  6. MaxMuster

    MaxMuster IPPF-Promi

    Registriert seit:
    1 Feb. 2005
    Beiträge:
    6,924
    Zustimmungen:
    0
    Punkte für Erfolge:
    36
    "server 10.100.0.0 255.255.0.0" ist das "Problem", denn das ist ein "Makro" und führt u.a. zu einem Eintrag "mode server".

    Versuche doch mal statt dieses Eintrags:
    Code:
    ...
    dh 2.0/keys/dh1024.pem
    [B]server 10.100.0.0 255.255.0.0
    route 192.168.1.0 255.255.255.0
    ifconfig-pool-persist ipp.txt[/B]
    #push "redirect-gateway def1"
    ...
    
    diesen hier:

    Code:
    ...
    dh 2.0/keys/dh1024.pem
    [B]tls-server
    ifconfig 10.100.0.1 10.100.0.2
    ifconfig-pool 10.8.0.4 10.8.0.251
    ifconfig-pool-persist ipp.txt
    route 192.168.1.0 255.255.255.0[/B]
    #push "redirect-gateway def1"
    ...
    
     
  7. Doyanole

    Doyanole Neuer User

    Registriert seit:
    9 März 2011
    Beiträge:
    53
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    #7 Doyanole, 16 Dez. 2011
    Zuletzt bearbeitet: 16 Dez. 2011
    ok, ich komm nun vom laptop aus mit telnet 10.100.0.6 auf die fritzbox

    aber net auf den server.

    der ping zwischen server und fritz und umgekehrt geht auch net, aber connection ist da :

    dream:/etc/openvpn# Fri Dec 16 20:42:47 2011 OpenVPN 2.1_rc11 i486-pc-linux-gnu [SSL] [LZO2] [EPOLL] [PKCS11] built on Sep 18 2008
    Fri Dec 16 20:42:47 2011 NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
    Fri Dec 16 20:42:47 2011 WARNING: the current --script-security setting may allow passwords to be passed to scripts via environmental variables
    Fri Dec 16 20:42:47 2011 Diffie-Hellman initialized with 1024 bit key
    Fri Dec 16 20:42:47 2011 WARNING: POTENTIALLY DANGEROUS OPTION --client-cert-not-required may accept clients which do not present a certificate
    Fri Dec 16 20:42:47 2011 /usr/bin/openssl-vulnkey -q -b 1024 -m <modulus omitted>
    Fri Dec 16 20:42:47 2011 TLS-Auth MTU parms [ L:1541 D:138 EF:38 EB:0 ET:0 EL:0 ]
    Fri Dec 16 20:42:47 2011 ROUTE default_gateway=80.90.43.1
    Fri Dec 16 20:42:47 2011 TUN/TAP device tun3 opened
    Fri Dec 16 20:42:47 2011 TUN/TAP TX queue length set to 100
    Fri Dec 16 20:42:47 2011 /sbin/ifconfig tun3 11.0.0.1 pointopoint 11.0.0.2 mtu 1500
    Fri Dec 16 20:42:47 2011 /sbin/route add -net 192.168.1.0 netmask 255.255.255.0 gw 11.0.0.2
    Fri Dec 16 20:42:47 2011 Data Channel MTU parms [ L:1541 D:1450 EF:41 EB:4 ET:0 EL:0 ]
    Fri Dec 16 20:42:47 2011 Socket Buffers: R=[111616->131072] S=[111616->131072]
    Fri Dec 16 20:42:47 2011 UDPv4 link local (bound): [undef]:2002
    Fri Dec 16 20:42:47 2011 UDPv4 link remote: [undef]
    Fri Dec 16 20:42:47 2011 MULTI: multi_init called, r=256 v=256
    Fri Dec 16 20:42:47 2011 IFCONFIG POOL: base=11.0.0.4 size=62
    Fri Dec 16 20:42:47 2011 IFCONFIG POOL LIST
    Fri Dec 16 20:42:47 2011 Initialization Sequence Completed
    Fri Dec 16 20:42:52 2011 MULTI: multi_create_instance called
    Fri Dec 16 20:42:52 2011 85.93.207.241:47443 Re-using SSL/TLS context
    Fri Dec 16 20:42:52 2011 85.93.207.241:47443 Control Channel MTU parms [ L:1541 D:138 EF:38 EB:0 ET:0 EL:0 ]
    Fri Dec 16 20:42:52 2011 85.93.207.241:47443 Data Channel MTU parms [ L:1541 D:1450 EF:41 EB:4 ET:0 EL:0 ]
    Fri Dec 16 20:42:52 2011 85.93.207.241:47443 Local Options hash (VER=V4): '239669a8'
    Fri Dec 16 20:42:52 2011 85.93.207.241:47443 Expected Remote Options hash (VER=V4): '3514370b'
    Fri Dec 16 20:42:52 2011 85.93.207.241:47443 TLS: Initial packet from 85.93.207.241:47443, sid=9ce6b49c dab010ff
    Fri Dec 16 20:42:53 2011 85.93.207.241:47443 TLS: Username/Password authentication succeeded for username 'DM8000'
    Fri Dec 16 20:42:53 2011 85.93.207.241:47443 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
    Fri Dec 16 20:42:53 2011 85.93.207.241:47443 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
    Fri Dec 16 20:42:53 2011 85.93.207.241:47443 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
    Fri Dec 16 20:42:53 2011 85.93.207.241:47443 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
    Fri Dec 16 20:42:53 2011 85.93.207.241:47443 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA
    Fri Dec 16 20:42:53 2011 85.93.207.241:47443 [] Peer Connection Initiated with 85.93.207.241:47443
    Fri Dec 16 20:42:53 2011 85.93.207.241:47443 MULTI: Learn: 11.0.0.6 -> 85.93.207.241:47443
    Fri Dec 16 20:42:53 2011 85.93.207.241:47443 MULTI: primary virtual IP for 85.93.207.241:47443: 11.0.0.6
    Fri Dec 16 20:42:55 2011 85.93.207.241:47443 PUSH: Received control message: 'PUSH_REQUEST'
    Fri Dec 16 20:42:55 2011 85.93.207.241:47443 SENT CONTROL [UNDEF]: 'PUSH_REPLY,ping 10,ping-restart 120,ifconfig 11.0.0.6 11.0.0.5' (status=1)

    hier die configs :

    Server
    mode server
    port 2002
    proto udp
    dev tun
    ca 2.0/keys/ca.crt
    cert 2.0/keys/server.crt
    key 2.0/keys/server.key # This file should be kept secret
    dh 2.0/keys/dh1024.pem
    tls-server
    ifconfig 10.100.0.1 10.100.0.2
    ifconfig-pool 10.100.0.4 10.100.0.251
    ifconfig-pool-persist ipp.txt
    route 192.168.1.0 255.255.255.0*
    client-config-dir ccd
    keepalive 10 120
    persist-key
    persist-tun
    status openvpn-privat_ua-status.log
    verb 3
    script-security 3
    auth-user-pass-verify auth.sh via-env
    script-security 3
    client-cert-not-required

    und die client :

    client
    auth-user-pass user.id
    auth-retry nointeract
    dev tun
    dev-node /var/tmp/tun
    proto udp
    remote dyndns.dyndns.org 2002
    resolv-retry infinite
    nobind
    persist-key
    persist-tun
    ca keys/ca.crt
    verb 3


    danke dir !!!!
     
  8. Doyanole

    Doyanole Neuer User

    Registriert seit:
    9 März 2011
    Beiträge:
    53
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
  9. MaxMuster

    MaxMuster IPPF-Promi

    Registriert seit:
    1 Feb. 2005
    Beiträge:
    6,924
    Zustimmungen:
    0
    Punkte für Erfolge:
    36
    Das ist jetzt ja wieder eine ganz andere Konfig...

    Also, da du nun doch "mode server" drin hast, musst du das ccd auch nutzen:
    In das Verzeichnis "ccd" muss eine Datei mit dem Namen, den dein Client im Zertifikat hat und dem Inhalt "iroute 192.168.1.0 255.255.255.0".

    Warum hast du denn jetzt in der Client-Config kein Key, Cert usw?
     
  10. Doyanole

    Doyanole Neuer User

    Registriert seit:
    9 März 2011
    Beiträge:
    53
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    #10 Doyanole, 17 Dez. 2011
    Zuletzt bearbeitet: 17 Dez. 2011
    hab doch nur das gemacht was du gesagt hast ? oder net ???
    ccd is so wie du beschrieben hast.
    client config hat kein key weil ich das anders löse mit nem Usernamen : auf dem server wird ne DB abgefagt mit Username und auf dem client kommt die user.id mit dem Usernamen drin.
    wenn der ok ist ,dann hast du zugang, ansonsten net.

    wenn ich bei der config da mode server rausnehme, dann kommt folgende fehlermeldung :

    Options error: --ifconfig-pool/--ifconfig-pool-persist requires --mode server


    P.S. also prinzipiell ist es mir egal wie die config ist, hauptsache ich komme von der box auf den server und umgedreht, und von allen clients im fritzbox netz auch.

    wie die aussieht , mit certs oder ohne is mir wurscht :)
     
  11. MaxMuster

    MaxMuster IPPF-Promi

    Registriert seit:
    1 Feb. 2005
    Beiträge:
    6,924
    Zustimmungen:
    0
    Punkte für Erfolge:
    36
    #11 MaxMuster, 17 Dez. 2011
    Zuletzt bearbeitet: 17 Dez. 2011
    Da hatte ich mich wohl nicht klar genug ausgedrückt, die Betonung lag auf dem "ist das Problem" davor ;-)

    An den Pool hatte ich nicht gedacht, sorry.

    o.k., machen wir die ganz einfache Art. Server:

    Code:
    port 2002
    dev tun
    ca    2.0/keys/ca.crt
    cert  2.0/keys/server.crt
    key  2.0/keys/server.key # This file should be kept secret
    dh 2.0/keys/dh1024.pem
    tls-server
    ifconfig 10.100.0.1 10.100.0.2
    route 192.168.1.0 255.255.255.0
    keepalive 10 120
    persist-key
    persist-tun
    verb 3
    

    Und beim Client:

    Code:
    remote xxxx 2002
    dev tun
    ca   <Pfad>/ca.crt
    cert <Pfad>/client.crt
    key  <Pfad>/client.key 
    tls-client
    ifconfig 10.100.0.2 10.100.0.1
    resolv-retry infinite
    nobind
    persist-key
    persist-tun
    
    Damit sollte 10.100.0.1 als Server erreichbar sein

    Analog geht das auch mit User/PW wie oben, wichtig ist, dass die IPs fest vergeben sind und kein "mode server" drin ist ;-)
     
  12. Doyanole

    Doyanole Neuer User

    Registriert seit:
    9 März 2011
    Beiträge:
    53
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    SPITZE !!!

    danke , es klappt, hat nur noch was im client gefehlt . wegen der fritzbox :

    dev-node /var/tmp/tun

    nur noch eine frage.

    wie kann ich das autmatisch starten wenn meine fritzbox mal down ist ?
     
  13. MaxMuster

    MaxMuster IPPF-Promi

    Registriert seit:
    1 Feb. 2005
    Beiträge:
    6,924
    Zustimmungen:
    0
    Punkte für Erfolge:
    36
    #13 MaxMuster, 17 Dez. 2011
    Zuletzt bearbeitet: 17 Dez. 2011
    Kommt drauf an...
    Wie kommt denn das OpenVPN Binary, das du startest, auf die Box? Ist das drauf, auf der Box, oder auf USB oder wird es geladen?

    Steht was in der "debug.cfg"? Mache mal "cat /var/flash/debug.cfg"
     
  14. Doyanole

    Doyanole Neuer User

    Registriert seit:
    9 März 2011
    Beiträge:
    53
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    #14 Doyanole, 17 Dez. 2011
    Zuletzt bearbeitet: 17 Dez. 2011
    telnet eingeschaltet
    binary mit wget auf /var/media/ftp gezogen , mit der config und den keys.
    es ist kein usb drinne.

    da bleibt es , auch wenn ich neu starte.

    ich muss nur jedes mal manuell das hier machen :
    mknod /var/tmp/tun c 10 200
    ./openvpn --config client.conf

    das ist alles.


    muss das in /var/flash/debug.cfg rein ? oder wie ?
     
  15. MaxMuster

    MaxMuster IPPF-Promi

    Registriert seit:
    1 Feb. 2005
    Beiträge:
    6,924
    Zustimmungen:
    0
    Punkte für Erfolge:
    36
    dann sollte das über die debug.cfg funktionieren:
    Code:
    cat << 'EOF' > /var/flash/debug.cfg
    (sleep 60 
    mknod /var/tmp/tun c 10 200
    /var/media/ftp/openvpn --config /var/media/ftp/client.conf) &
    EOF
    
    
    Wichtig, dass in der einen Zeile nur steht
    EOF
    mit direkt einem <Return> dahinter!

    Danach zur Kontrolle mal "cat /var/flash/debug.cfg" ausführen, es sollte alles zwischen den "EOF"s drin stehen...
     
  16. Doyanole

    Doyanole Neuer User

    Registriert seit:
    9 März 2011
    Beiträge:
    53
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    spitze, viiiiielen dank !!!

    nur noch eine frage, muss ich das hier auch in's debug.cfg rein ?

    ifconfig eth0:0 192.168.1.253 netmask 255.255.255.0 up

    um den port zu öffnen auf der fritz ?
    hatte das irgendwo gelesen.
     
  17. MaxMuster

    MaxMuster IPPF-Promi

    Registriert seit:
    1 Feb. 2005
    Beiträge:
    6,924
    Zustimmungen:
    0
    Punkte für Erfolge:
    36
    #17 MaxMuster, 17 Dez. 2011
    Zuletzt bearbeitet: 17 Dez. 2011
    Das brauchst du nur, wenn du auf der FB den Server hast, oder dich auf einen Dienst auf der FB vom Internet her verbinden willst per SSH oder so. Ansonsten benötigst du es nicht.

    Die Freigabe darauf ist aber in den neueren Versionen nicht mehr sehr zuverlässig, besser ist, eine Freigabe ("Portweiterleitung") auf die IP 0.0.0.0, das geht aber nicht direkt über die AVM-Seite.

    Probieren kannst du es aber mit der "virtuellen IP", wenn sie über die debug.cfg angelegt wird, könnte es gehen (es muss immer erst die Weiterleitung da sein, dann die IP angelegt werden).

    Insgesamt wäre es dann:
    Code:
    cat << 'EOF' > /var/flash/debug.cfg
    sleep 60
    mknod /var/flash/tun c 10 200
    ifconfig lan:2 192.168.1.253 
    /var/media/ftp/openvpn --config /var/media/ftp/client.conf) &
    EOF
    
    und danach sollte die Prüfung das ergeben:
    Code:
    root@Fritzbox:/var/mod/root#
    root@Fritzbox:/var/mod/root# cat /var/flash/debug.cfg
    (sleep 60
    mknod /var/flash/tun c 10 200
    ifconfig lan:2 192.168.1.253 
    /var/media/ftp/openvpn --config /var/media/ftp/client.conf) &
    root@Fritzbox:/var/mod/root#
    
    EDIT Besser ist die IP bei "lan" statt "eth0"
     
  18. Doyanole

    Doyanole Neuer User

    Registriert seit:
    9 März 2011
    Beiträge:
    53
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    mir ist nach 2 tagen nun ein kleines problem aufgefallen.

    beide openvpn's laufen , aber irgendwie bleibt es "hängen".
    das heisst wenn ich auf dem server über ssh eingeloggt bin , und ich drauf arbeite, freezed es einfach.

    respektiv , ich will mich einloggen und mache ein ssh auf den server mit der internen IP , dann krieg ich operation timed out.

    ich weiss auch net wo ich das debuggen kann , oder wo ich den fehler finden kann
    ping geht auch net.

    wenn ich openvpn stoppe , und neu starte, dann is wieder alles beim alten.

    an was kann das liegen ?
     
  19. Doyanole

    Doyanole Neuer User

    Registriert seit:
    9 März 2011
    Beiträge:
    53
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    #19 Doyanole, 20 Dez. 2011
    Zuletzt bearbeitet: 20 Dez. 2011
    hier ist das log vom server :
    Das mit der Zeit hab ich gechecked, die ist sync.

    root@spicywurst:/etc/openvpn# openvpn --config fritz.conf
    Tue Dec 20 10:20:43 2011 OpenVPN 2.1.0 x86_64-pc-linux-gnu [SSL] [LZO2] [EPOLL] [PKCS11] [MH] [PF_INET6] [eurephia] built on Jul 20 2010
    Tue Dec 20 10:20:43 2011 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
    Tue Dec 20 10:20:43 2011 Diffie-Hellman initialized with 1024 bit key
    Tue Dec 20 10:20:43 2011 WARNING: file '2.0/keys/server.key' is group or others accessible
    Tue Dec 20 10:20:43 2011 /usr/bin/openssl-vulnkey -q -b 1024 -m <modulus omitted>
    Tue Dec 20 10:20:43 2011 Control Channel MTU parms [ L:1541 D:138 EF:38 EB:0 ET:0 EL:0 ]
    Tue Dec 20 10:20:43 2011 ROUTE default_gateway=178.17.168.209
    Tue Dec 20 10:20:43 2011 TUN/TAP device tun0 opened
    Tue Dec 20 10:20:43 2011 TUN/TAP TX queue length set to 100
    Tue Dec 20 10:20:43 2011 /sbin/ifconfig tun0 11.0.0.1 pointopoint 11.0.0.2 mtu 1500
    Tue Dec 20 10:20:43 2011 /sbin/route add -net 192.168.1.0 netmask 255.255.255.0 gw 11.0.0.2
    Tue Dec 20 10:20:43 2011 Data Channel MTU parms [ L:1541 D:1450 EF:41 EB:4 ET:0 EL:0 ]
    Tue Dec 20 10:20:43 2011 Local Options hash (VER=V4): '27d67aeb'
    Tue Dec 20 10:20:43 2011 Expected Remote Options hash (VER=V4): 'e59cb2ba'
    Tue Dec 20 10:20:43 2011 Socket Buffers: R=[124928->131072] S=[124928->131072]
    Tue Dec 20 10:20:43 2011 UDPv4 link local (bound): [undef]
    Tue Dec 20 10:20:43 2011 UDPv4 link remote: [undef]

    Tue Dec 20 10:20:49 2011 TLS Error: local/remote TLS keys are out of sync: [AF_INET]80.90.57.110:46749 [2]
    Tue Dec 20 10:20:52 2011 TLS Error: local/remote TLS keys are out of sync: [AF_INET]80.90.57.110:46749 [2]
    Tue Dec 20 10:22:43 2011 [UNDEF] Inactivity timeout (--ping-restart), restarting
    Tue Dec 20 10:22:43 2011 TCP/UDP: Closing socket
    Tue Dec 20 10:22:43 2011 SIGUSR1[soft,ping-restart] received, process restarting
    Tue Dec 20 10:22:43 2011 Restart pause, 2 second(s)
    Tue Dec 20 10:22:45 2011 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
    Tue Dec 20 10:22:45 2011 Re-using SSL/TLS context
    Tue Dec 20 10:22:45 2011 Control Channel MTU parms [ L:1541 D:138 EF:38 EB:0 ET:0 EL:0 ]
    Tue Dec 20 10:22:45 2011 Preserving previous TUN/TAP instance: tun0
    Tue Dec 20 10:22:45 2011 Data Channel MTU parms [ L:1541 D:1450 EF:41 EB:4 ET:0 EL:0 ]
    Tue Dec 20 10:22:45 2011 Local Options hash (VER=V4): '27d67aeb'
    Tue Dec 20 10:22:45 2011 Expected Remote Options hash (VER=V4): 'e59cb2ba'
    Tue Dec 20 10:22:45 2011 Socket Buffers: R=[124928->131072] S=[124928->131072]
    Tue Dec 20 10:22:45 2011 UDPv4 link local (bound): [undef]
    Tue Dec 20 10:22:45 2011 UDPv4 link remote: [undef]
    Tue Dec 20 10:23:36 2011 TLS Error: local/remote TLS keys are out of sync: [AF_INET]80.90.57.110:46749 [2]
    Tue Dec 20 10:23:39 2011 TLS Error: local/remote TLS keys are out of sync: [AF_INET]80.90.57.110:46749 [2]
    Tue Dec 20 10:23:45 2011 TLS Error: local/remote TLS keys are out of sync: [AF_INET]80.90.57.110:46749 [2]
    Tue Dec 20 10:23:45 2011 TLS Error: local/remote TLS keys are out of sync: [AF_INET]80.90.57.110:46749 [2]
    Tue Dec 20 10:23:46 2011 TLS Error: local/remote TLS keys are out of sync: [AF_INET]80.90.57.110:46749 [2]
    Tue Dec 20 10:24:45 2011 [UNDEF] Inactivity timeout (--ping-restart), restarting
    Tue Dec 20 10:24:45 2011 TCP/UDP: Closing socket
    Tue Dec 20 10:24:45 2011 SIGUSR1[soft,ping-restart] received, process restarting
    Tue Dec 20 10:24:45 2011 Restart pause, 2 second(s)
    Tue Dec 20 10:24:47 2011 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
    Tue Dec 20 10:24:47 2011 Re-using SSL/TLS context
    Tue Dec 20 10:24:47 2011 Control Channel MTU parms [ L:1541 D:138 EF:38 EB:0 ET:0 EL:0 ]
    Tue Dec 20 10:24:47 2011 Preserving previous TUN/TAP instance: tun0
    Tue Dec 20 10:24:47 2011 Data Channel MTU parms [ L:1541 D:1450 EF:41 EB:4 ET:0 EL:0 ]
    Tue Dec 20 10:24:47 2011 Local Options hash (VER=V4): '27d67aeb'
    Tue Dec 20 10:24:47 2011 Expected Remote Options hash (VER=V4): 'e59cb2ba'
    Tue Dec 20 10:24:47 2011 Socket Buffers: R=[124928->131072] S=[124928->131072]
    Tue Dec 20 10:24:47 2011 UDPv4 link local (bound): [undef]
    Tue Dec 20 10:24:47 2011 UDPv4 link remote: [undef]
     
  20. MaxMuster

    MaxMuster IPPF-Promi

    Registriert seit:
    1 Feb. 2005
    Beiträge:
    6,924
    Zustimmungen:
    0
    Punkte für Erfolge:
    36
    #20 MaxMuster, 21 Dez. 2011
    Zuletzt bearbeitet: 21 Dez. 2011
    Hast du vielleicht eine sehr "unzuverlässige" Verbindung (per UMTS oder sowas)? Ansonsten wäre noch interessant, was dann auf der Gegenseite kommt.

    Du könntest auf beiden Seiten den "Keepalive" einsetzen (also auch beim Client "keepalive 10 120"), oder ihn "kleiner" wählen.

    Ansonsten mit "größerem" verb (z.B. "verb 5") sehen, ob davor was passiert, was das auslöst...

    Und wenn du noch längere Log-Ausgaben oder Configs zwischen [noparse]
    Code:
     und 
    [/noparse] einbetten könntest (im WYSIWYG-Editor das # ), dann kann man es deutlich besser lesen.