VPN Fehler

Einrichten des lokalen Netzes, Verbindung zu anderen Computern und Diensten.
Antworten
ubik
Beiträge: 145
Registriert: 26.02.2009 12:02:24

VPN Fehler

Beitrag von ubik » 06.03.2019 14:12:31

Hallo,

ich habe ein Problem.

Ich habe einen OpenVPN Server installiert, genauso wie es hier stand: https://wiki.ubuntuusers.de/OpenVPN/

Dann habe ich auf meinem PC OpenVPN installiert und dann /etc/openvpn/client.conf angepasst. Nun starte ich mit dem Befehl:

Code: Alles auswählen

openvpn /etc/openvpn/client.conf
Leider funktioniert das Ganze nicht. Es kommt nach 60 Sekunden ein Timeout:

Code: Alles auswählen

Wed Mar  6 14:08:01 2019 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Wed Mar  6 14:08:01 2019 TLS Error: TLS handshake failed
Warum?

Ich habe mit:

Code: Alles auswählen

openvpn --genkey --secret ta.key
Ein Zertifikat generiert...

eggy
Beiträge: 3331
Registriert: 10.05.2008 11:23:50

Re: VPN Fehler

Beitrag von eggy » 06.03.2019 14:17:58

Wie üblich: Configs nach NoPaste, dann sieht vielleicht jemand nen Fehler.

TomL

Re: VPN Fehler

Beitrag von TomL » 06.03.2019 14:36:29

ubik hat geschrieben: ↑ zum Beitrag ↑
06.03.2019 14:12:31

Code: Alles auswählen

openvpn --genkey --secret ta.key
Ein Zertifikat generiert...
Leider nicht... das ist nur die hmac-Firewall, die lediglich den Schlüsselaustausch verschlüsselt.... da gehört also noch einiges mehr zu. Was jetzt noch fehlt sieht man nur daran, wenn Du zeigst, was Du schon hast.... also alle Confs nach NoPaste. Und natürlich, wie (und ob überhaupt) ist der DSL-Router eingestellt? Irgendwelche Firewalls auf dem VPN-Server installiert, die das blocken könnten? Wie ist die Test-Umgebung...?... ist ein Test-Zugriff über eine externe WAN-Verbindung (z.B. Smartphone als Tethering-Hotspot) möglich?

Benutzeravatar
MSfree
Beiträge: 10685
Registriert: 25.09.2007 19:59:30

Re: VPN Fehler

Beitrag von MSfree » 06.03.2019 14:48:04

TomL hat geschrieben: ↑ zum Beitrag ↑
06.03.2019 14:36:29
ubik hat geschrieben: ↑ zum Beitrag ↑
06.03.2019 14:12:31

Code: Alles auswählen

openvpn --genkey --secret ta.key
Ein Zertifikat generiert...
Leider nicht.
Doch.

Es gibt zwei Möglichkeiten, OpenVPN-Schlüssel zu erzeugen. Die einfache ist, mit

Code: Alles auswählen

openvpn --genkey --secret static.key
einen statischen, preshared Schlüssel zu erzeugen.

Die zweite, kompliziertere ist, mit OpenSSL Private/Public-Schlüsselpaare zu generieren.

Bei Thomas Krenn gibt es eine gut verständliche Anleitung für den ersten Fall mit static.key.
https://www.thomas-krenn.com/de/wiki/Op ... shared_Key

TomL

Re: VPN Fehler

Beitrag von TomL » 06.03.2019 14:54:24

Oh, sorry... Du hast Recht. Ich habe mich vom Namen "ta.key" ablenken lassen. Üblicherweise kenne ich diesen Namen immer in Verbindung mit der hmac-FW. An eine einfache Static-Key-Konfiguration hatte ich jetzt gar nicht gedacht. Allerdings denke ich, dass das keine gute Lösung ist, weil der Server nicht feststellen kann, mit wem er spricht. :roll:

ubik
Beiträge: 145
Registriert: 26.02.2009 12:02:24

Re: VPN Fehler

Beitrag von ubik » 06.03.2019 15:41:54

Hallo,

okay, hier die NoPaste von der client.conf: https://pastebin.com/74Fp6RQk

Und hier die von der server.conf: https://pastebin.com/Xt577c7U

Hmm...

Das ganze läuft auf einem vServer auf 1fire.de . Es handelt sich um dieses Produkt: https://www.1fire.de/vserver/openvz/ (die 2 GB Version).

Ich weiß es nicht, warum das nicht läuft.

Benutzeravatar
MSfree
Beiträge: 10685
Registriert: 25.09.2007 19:59:30

Re: VPN Fehler

Beitrag von MSfree » 06.03.2019 15:44:44

TomL hat geschrieben: ↑ zum Beitrag ↑
06.03.2019 14:54:24
Allerdings denke ich, dass das keine gute Lösung ist, weil der Server nicht feststellen kann, mit wem er spricht. :roll:
Der Server weiß, daß er mit jemanden spricht, der den gleichen Pre-Shared-Key (PSK) verwendet, sonst würden die sich gar nicht unterhalten können. Im WLAN macht man sich ja auch in der Regel keine Gedanken darum, da konfiguriert man auch meistens (vor allem im Heimbereich) PSK.

Für zwei räumlich getrennte Niederlassungen, die nur untereinander venetzt sein wollen, halte ich PSK gar nicht mal für so schlecht. Wenn man aber Aussendienstler mit einbinden will, sollte man ernsthaft über die OpenSLL-Lösung nachdenken. Denn von einem ausgeschiedenen Mitarbeiter den Schlüssel zu widerrufen, ist damit einfach, der wird im Prinzip nur geblacklistet. Mit PSK muß man allen Clients einen neuen Schlüssel geben.

Benutzeravatar
MSfree
Beiträge: 10685
Registriert: 25.09.2007 19:59:30

Re: VPN Fehler

Beitrag von MSfree » 06.03.2019 15:48:10

ubik hat geschrieben: ↑ zum Beitrag ↑
06.03.2019 15:41:54
okay, hier die NoPaste von der client.conf
Und hier die von der server.conf
Die Konfiguration ist aber für das Verfahren mit Private/Public-Keypairs.
Den Link zu einer Beispielkonfiguration mit Pre-Shared-Key habe ich oben gepostet.

TomL

Re: VPN Fehler

Beitrag von TomL » 06.03.2019 15:59:15

MSfree hat geschrieben: ↑ zum Beitrag ↑
06.03.2019 15:44:44
TomL hat geschrieben: ↑ zum Beitrag ↑
06.03.2019 14:54:24
Allerdings denke ich, dass das keine gute Lösung ist, weil der Server nicht feststellen kann, mit wem er spricht. :roll:
Der Server weiß, daß er mit jemanden spricht, der den gleichen Pre-Shared-Key (PSK) verwendet, sonst würden die sich gar nicht unterhalten können.
Nun, der Server weiss nur, dass es der richtige Schlüssel ist, er weiss aber nicht, wer den verwendet. Und er weiss auch nicht, die wievielte Kopie das ist, die verwendet wird. Aber was für mich noch gravierender ist, mit dem Schlüssel kannst Du beliebig weit zurück vergangene Sitzungen (sofern der Traffic vorliegt) nachträglich entschlüsseln. Deshalb empfinde ich Static-Keys eigentlich als K.O.-Kriterium.... ganz besonders dann,wenn man das auch noch an unsicheren fremden Hotspots mit ungesicherten eigenen Endgeräten macht. Aber wenn ich mir die Confs hier ansehe, scheint das erste Posting wenig mit der Wirklichkeit zu tun zu haben... anscheinend liegt ja doch eine PKI vor.
Für zwei räumlich getrennte Niederlassungen, die nur untereinander venetzt sein wollen, halte ich PSK gar nicht mal für so schlecht.
Ich denke, da gehe ich mit. Im Regelfall sind die ja dann auch an festen vertragsgebundenen Zugangspunkten verbunden... und da jetzt auch noch einen MITM anzudenken find ich auch übertrieben. :wink:
Wenn man aber Aussendienstler mit einbinden will, sollte man ernsthaft über die OpenSLL-Lösung nachdenken.
Oder eben, wenn wir Privathansels im Urlaub oder auf Reisen uns mit allen möglichen unbekannten Hotspots verbinden. Das ist die PKI sicher die bessere Lösung... zumal dabei die Trafficverschlüsselung über wechselnde Schlüssel stattfindet.
Denn von einem ausgeschiedenen Mitarbeiter den Schlüssel zu widerrufen, ist damit einfach, der wird im Prinzip nur geblacklistet. Mit PSK muß man allen Clients einen neuen Schlüssel geben.
Oder wieder auf uns Privathansels bezogen, wenn uns unser Handy (als VPN-Client) am Strand geklaut wird oder der Laptop aus dem Zelt ... wie auch immer.

ubik
Beiträge: 145
Registriert: 26.02.2009 12:02:24

Re: VPN Fehler

Beitrag von ubik » 07.03.2019 18:00:55

Hallo,

es funktioniert immer noch nicht... :-(

Diesmal hab ich ein Skript genommen, https://github.com/angristan/openvpn-install .

Dann habe ich in meinen Webhosting Einstellungen "Tun/Tap" aktiviert.

Und ich erhalte die Meldung:

root@Lenovo-L580:/home/ubik# openvpn ubik.ovpn
Thu Mar 7 17:58:56 2019 Unrecognized option or missing or extra parameter(s) in ubik.ovpn:17: block-outside-dns (2.4.0)
Thu Mar 7 17:58:56 2019 OpenVPN 2.4.0 x86_64-pc-linux-gnu [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [PKCS11] [MH/PKTINFO] [AEAD] built on Oct 14 2018
Thu Mar 7 17:58:56 2019 library versions: OpenSSL 1.0.2r 26 Feb 2019, LZO 2.08
Enter Private Key Password: ***********
Thu Mar 7 17:58:58 2019 Outgoing Control Channel Encryption: Cipher 'AES-256-CTR' initialized with 256 bit key
Thu Mar 7 17:58:58 2019 Outgoing Control Channel Encryption: Using 256 bit message hash 'SHA256' for HMAC authentication
Thu Mar 7 17:58:58 2019 Incoming Control Channel Encryption: Cipher 'AES-256-CTR' initialized with 256 bit key
Thu Mar 7 17:58:58 2019 Incoming Control Channel Encryption: Using 256 bit message hash 'SHA256' for HMAC authentication
Thu Mar 7 17:58:58 2019 TCP/UDP: Preserving recently used remote address: [AF_INET]62.113.211.136:1194
Thu Mar 7 17:58:58 2019 Socket Buffers: R=[212992->212992] S=[212992->212992]
Thu Mar 7 17:58:58 2019 UDP link local: (not bound)
Thu Mar 7 17:58:58 2019 UDP link remote: [AF_INET]62.113.211.136:1194
Thu Mar 7 17:59:58 2019 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Thu Mar 7 17:59:58 2019 TLS Error: TLS handshake failed
Thu Mar 7 17:59:58 2019 SIGUSR1[soft,tls-error] received, process restarting
Thu Mar 7 17:59:58 2019 Restart pause, 5 second(s)
Thu Mar 7 18:00:03 2019 TCP/UDP: Preserving recently used remote address: [AF_INET]62.113.211.136:1194
Thu Mar 7 18:00:03 2019 Socket Buffers: R=[212992->212992] S=[212992->212992]
Thu Mar 7 18:00:03 2019 UDP link local: (not bound)
Thu Mar 7 18:00:03 2019 UDP link remote: [AF_INET]62.113.211.136:1194

TomL

Re: VPN Fehler

Beitrag von TomL » 07.03.2019 18:13:52

ubik hat geschrieben: ↑ zum Beitrag ↑
07.03.2019 18:00:55

Code: Alles auswählen

Thu Mar  7 17:59:58 2019 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Thu Mar  7 17:59:58 2019 TLS Error: TLS handshake failed
Da hatte ich oben schon mal drauf hingewiesen... Stichwort Firewall auf einer der 2 VPN-Seiten und/oder Port/NAT auf dem Router... siehe auch hier:
https://openvpn.net/faq/tls-error-tls-k ... nectivity/

eggy
Beiträge: 3331
Registriert: 10.05.2008 11:23:50

Re: VPN Fehler

Beitrag von eggy » 07.03.2019 18:22:50

Eins versteh ich echt nicht: man nimmt ja nen VPN nur weil mans irgendwie "sicher" haben will. Aber dann führt man nen x-beliebiges Script aus diesem komischen Internet aus, als root, dass einem komische und völlig unbekannte Sachen am Rechner configt.
Dass es da teils nen zusätzlichen Key in den Keyring malt, wundert mich dann auch nicht weiter.
Und irgendwie auch nicht, dass da sowas "Lustiges" drin ist:

Code: Alles auswählen

find /home/ -maxdepth 2 -name "*.ovpn" -delete
find /root/ -maxdepth 1 -name "*.ovpn" -delete
Ob auch noch irgendwas wirklich gefährliches passiert, ka, so interessant fand ichs dann doch wieder nicht.


@ubik: kleiner Tipp für die Zukunft: Scripte aus dem Netz ausführen, bei denen man nicht überblickt, was sie machen, ist überhaupt keine gute Idee.

ubik
Beiträge: 145
Registriert: 26.02.2009 12:02:24

Re: VPN Fehler

Beitrag von ubik » 08.03.2019 18:41:03

Hallo,

jetzt funktioniert es aber! :-)

Ich hab allerdings immer noch ein Problem. Nach ca. 5-10 Minuten bricht die Verbindung ab. Ich weiß nicht, warum. Jemand eine Idee?

Ich hab schon

Code: Alles auswählen

keepalive 2 259200
versucht.

Das passiert auch insbesondere, wenn ich YouTube Videos schaue. Komischerweise hab ich einen anderen Client auf dem Handy (Android) und dort läuft es...

Benutzeravatar
MSfree
Beiträge: 10685
Registriert: 25.09.2007 19:59:30

Re: VPN Fehler

Beitrag von MSfree » 08.03.2019 20:21:20

ubik hat geschrieben: ↑ zum Beitrag ↑
08.03.2019 18:41:03
Nach ca. 5-10 Minuten bricht die Verbindung ab.
OpenVPN protokolliert nun wirklich viel mit. Was sagt denn das Log?
keepalive 2 259200
ist ürigens ziemlicher Unfug. Ein 2 Sekunden Pinginterval (erster Wert) ist zu kurz. Es reicht völlig aus, wenn sich die beiden VPN-Enden alle 20s darüber vergewissern, daß sie noch leben. Der Timeout von 259200 sind 3 mal 24h mal 60m mal 60s also 3 Tage. Das heißt, wenn der Ping, der im ersten Wert steckt, nicht innerhalb von 3 Tagen antwortet, daß dann die Verbindung als tot erachtet wird und ein Reconnect gemacht wird. Bei 3 Tagen kannst du lange warten, bis die Leitung wieder steht. :mrgreen:
Viel hilft nicht immer viel.

Code: Alles auswählen

keepalive 30 120
ist völlig ausreichend.

ubik
Beiträge: 145
Registriert: 26.02.2009 12:02:24

Re: VPN Fehler

Beitrag von ubik » 09.03.2019 13:44:00

Japp, das hat funktioniert. Der VPN verbindet sich immer wieder neu.

Aber warum verliert mein PC ständig die Verbindung mit dem VPN. Auf meinem Android Handy ist das nicht so. Vielleicht liegt es am WLAN Treiber...

Edit:

Moment mal.

keepalive 2 60 bedeutet doch, dass er sich nach 2 Ping Timeouts neu verbindet und die Verbindung über 60 Sekunden besteht. Oder verstehe ich was falsch?

Benutzeravatar
MSfree
Beiträge: 10685
Registriert: 25.09.2007 19:59:30

Re: VPN Fehler

Beitrag von MSfree » 10.03.2019 12:15:19

ubik hat geschrieben: ↑ zum Beitrag ↑
09.03.2019 13:44:00
keepalive 2 60 bedeutet doch, dass er sich nach 2 Ping Timeouts neu verbindet und die Verbindung über 60 Sekunden besteht. Oder verstehe ich was falsch?
Nein, es wird alle 2 Sekunden ein Ping über den Tunnel geschickt. Und wenn das Echo innerhalb von 60s ausbleibt, wird der Tunnel als unterbrochen betrachtet.

Wie gesagt, alle 2 Sekunden ein Ping ist Unfug. Du produzierst damit nur unnötig Traffic auf deinem Tunnel und schmälerst die Bandbreite damit. Sinnvoll sind diese Heartbeats ohnehin nur dafür, einen Tunnel, der auch mal längere zeit keinen Verkehr hat, am Leben zu halten, oder eine DSL-Zwangstrennung zu erkennen. Deswegen reichen da auch 30s völlig aus.

Wenn du wissen willst, warum dein Tunnel zusammenbricht, dann schau in deine Logs. Bei Verbindungsproblemen hilft es jedenfalls überhaupt nicht, das Ping-Interval zu verkürzen. Der zusätzliche Verkehr durch diese Heartbeats bringt den Tunnel sogar noch früher zum Abbruch.

dirk11
Beiträge: 2812
Registriert: 02.07.2013 11:47:01

Re: VPN Fehler

Beitrag von dirk11 » 10.03.2019 12:47:58

Interessante Erläuterung, danke! Habe meine eigenen openvpn-Einstellungen erstmal angepasst (ich brauche auch keine 10s-ping).

Antworten