OpenVPN Server startet nicht auf TCP 443

[JohnDoe42]

Hallo Gemeinde,

sicherlich werdet Ihr lächeln und auch schnell eine Antwort parat haben ...
Ich aber leider nicht...deshalb würde ich Euch gern mit folgendem Problem bekannt machen und gern wissen, ob Ihr eine Idee für mich habt.

Zustand: FritzBox 7170 Fon WLAN,
neuestes Freetz-Image mit OpenVPN erstellt (sonstiges Paket: AVM-Firewall).

Wenn ich den Server wie hier beschrieben via UDP, Port 1194, im Routing-Modus betreibe, läuft alles prima und ich kann mich mit dem Client verbinden.

Nehm' ich aber die TCP-Variante über Port 443 meldet OpenVPN via Rudi-Shell das Folgende:

Wed May 19 20:05:53 2010 OpenVPN 2.1.1 mipsel-linux [SSL] [LZO2] [EPOLL] [MH] built on May 18 2010
Wed May 19 20:05:53 2010 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Wed May 19 20:05:54 2010 Diffie-Hellman initialized with 1024 bit key
Wed May 19 20:05:54 2010 WARNING: file '/tmp/flash/box.key' is group or others accessible
Wed May 19 20:05:54 2010 Control Channel Authentication: using '/tmp/flash/static.key' as a OpenVPN static key file
Wed May 19 20:05:54 2010 Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed May 19 20:05:54 2010 Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed May 19 20:05:54 2010 TLS-Auth MTU parms [ L:1592 D:168 EF:68 EB:0 ET:0 EL:0 ]
Wed May 19 20:05:54 2010 TCP/UDP: Socket bind failed on local address [undef]: Address already in use
Wed May 19 20:05:54 2010 Exiting

Wenn ich auf der Box mittels netstat nachschaue, lauscht da in der Tat ein Dienst auf Port 443 ... bloß welcher ????
Bin für jede zielführende Idee dankbar,

Grüße,

J.

 

[hermann72pb]

AVM-https

Muss es denn 443 sein? Das ist quasi für https reserviert. Port 443 wird von jedem Browser automatisch der URL angehängt, sobald du https:// davor antippst.

MfG

 

[JohnDoe42]

Hallo Hermann,

eigentlich sollte es schon TCP 443 sein ... da ich durch eine Firewall/Proxy-Kombination zur Fritz-Box connecten will .. und außer Port 80 und 443 geht da nicht viel durch ...

Wer oder was ist "AVM-https" ? Lauscht selbiges an dem bewußten Port und verhindert so einen Start des OpenVPN-Servers ? Wenn ja: Kann man das abschalten ? Wenn ja: Wie ?

Grüße,

J.

 

[Silent-Tears]

Heisst im AVM-Webinterface Fernwartung, und diese kannst du (de-)aktivieren oder auch den Port ändern.

 

[hermann72pb]

Abschalten kannst du es vermutlich irgendwo in AVM-WebIF. Ich hoffe, dass der ctlmgr damit auf 443 ruhig gestellt wird. Vielleicht könnte man noch Fernwartung aus dem Image rauspatchen.

OpenVPN über TCP laufen zu lassen ist keine gute Idee. Mehr dazu lies bitte auf OpenVPN-WebSeite. Das ist kein FREETZ-spezifisches Thema.

Bevor du die Admins deines Arbeitgebers bescheißt, überlege es dir bitte, ob es denn wirklich sinnvoll ist.

Als Tipp sag ich dir nur Port 53 UDP. Glaub mir, es geht in den meisten Fällen. Und von Extern willst du ja nicht auf die Box als Timeserver zugreifen. Für den Fall bitte OpenVPN intern schon auf dem default-Port belassen (war das 1194?) und dann in ar7.cfg (oder eben AVM-Firewall-CGI) eine Weiterleitung von extern Port 53 auf intern Port 1194 anlegen.

MfG

 

[JohnDoe42]

Argh .....

Danke! Server läuft. Bloß kann ich mich jetzt (noch) nicht mit dem Client verbinden ....

Wed May 19 21:00:14 2010 OpenVPN 2.0.9 Win32-MinGW [SSL] [LZO] built on Oct  1 2006
Wed May 19 21:00:14 2010 IMPORTANT: OpenVPN's default port number is now 1194, based on an official port number assignment by IANA.  OpenVPN 2.0-beta16 and earlier used 5000 as the default port.
Wed May 19 21:00:14 2010 Control Channel Authentication: using 'C:\Programme\OpenVPN\fritz-keys\Static.key' as a OpenVPN static key file
Wed May 19 21:00:14 2010 Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed May 19 21:00:14 2010 Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed May 19 21:00:14 2010 LZO compression initialized
Wed May 19 21:00:14 2010 Control Channel MTU parms [ L:1592 D:168 EF:68 EB:0 ET:0 EL:0 ]
Wed May 19 21:00:14 2010 Data Channel MTU parms [ L:1592 D:1450 EF:60 EB:135 ET:32 EL:0 AF:3/1 ]
Wed May 19 21:00:14 2010 Local Options hash (VER=V4): '88107939'
Wed May 19 21:00:14 2010 Expected Remote Options hash (VER=V4): 'ad144f1c'
Wed May 19 21:00:14 2010 Attempting to establish TCP connection with *.*.*.*:443
Wed May 19 21:00:15 2010 TCP: connect to *.*.*.*:443 failed, will try again in 5 seconds

Hättet Ihr dafür auch noch 'ne Idee ... ?
Nochmal danke,

J.

 

[JohnDoe42]

Bevor du die Admins deines Arbeitgebers bescheißt, überlege es dir bitte, ob es denn wirklich sinnvoll ist.

Ohne da jetzt weiter d'rauf eingehen zu wollen ..
Ja, es ist sinnvoll. Und ich weiß, was ich mache.

Als Tipp sag ich dir nur Port 53 UDP. Glaub mir, es geht in den meisten Fällen. Und von Extern willst du ja nicht auf die Box als Timeserver zugreifen. Für den Fall bitte OpenVPN intern schon auf dem default-Port belassen (war das 1194?) und dann in ar7.cfg (oder eben AVM-Firewall-CGI) eine Weiterleitung von extern Port 53 auf intern Port 1194 anlegen.
MfG

Okay, also Port-Forwarding von Ankommmend UDP 53 auf (Box) UDP 1194.
Werd's mal probieren und weiter berichten.
Danke,

J.

 

[hermann72pb]

Hättet Ihr dafür auch noch 'ne Idee ... ?

Dein Klient scheint keine Verbindung zu bekommen. Hast du 443 wirklich nach draußen als TCP freigegeben? Ist es wirklich TCP anstatt UDP (default) sowohl beim Klient als auch auf dem Server?

MfG

 

[JohnDoe42]

Hast du 443 wirklich nach draußen als TCP freigegeben?

Ich habe TCP Port 443 geforwarded ...

Ist es wirklich TCP anstatt UDP (default) sowohl beim Klient als auch auf dem Server?
MfG

Ja.

Grüße,

J.

EDIT: Jetzt läufts, keine Ahnung warum. Hin wie her: Besten Dank. Auch für den Tip mit dem DNS-Port ...
Ich werde weiter berichten.