Frage zu OVPN mit mehreren Instanzen

5p9

Hallo,

ich mal wieder. Ich habe dein aktuell ein Verhalten feststellen dürfen, nur verstehe ich nicht warum es so ist.

Was für ein Problem habe ich:

Enter Auth Username: *******
Enter Auth Password: *************
Tue May  8 15:05:51 2018 Control Channel Authentication: tls-auth using INLINE static key file
Tue May  8 15:05:51 2018 UDPv4 link local (bound): [undef]
Tue May  8 15:05:51 2018 UDPv4 link remote: [AF_INET]91.AA.BB.CC:1196
Tue May  8 15:05:51 2018 WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
Tue May  8 15:05:51 2018 [VPN CA] Peer Connection Initiated with [AF_INET]91.AA.BB.CC:1196
Tue May  8 15:05:53 2018 TUN/TAP device tun0 opened
Tue May  8 15:05:53 2018 do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
Tue May  8 15:05:53 2018 /sbin/ip link set dev tun0 up mtu 1500
Tue May  8 15:05:53 2018 /sbin/ip addr add dev tun0 10.1.2.2/24 broadcast 10.1.2.255
Tue May  8 15:05:53 2018 Initialization Sequence Completed
Tue May  8 15:05:59 2018 TCP/UDP: Incoming packet rejected from [AF_INET]91.AA.BB.CC:1194[2], expected peer address: [AF_INET]91.AA.BB.CC:1196 (allow this incoming source address/port by removing --remote or adding --float)
Tue May  8 15:06:09 2018 TCP/UDP: Incoming packet rejected from [AF_INET]91.AA.BB.CC:1194[2], expected peer address: [AF_INET]91.AA.BB.CC:1196 (allow this incoming source address/port by removing --remote or adding --float)
Tue May  8 15:06:20 2018 TCP/UDP: Incoming packet rejected from [AF_INET]91.AA.BB.CC:1194[2], expected peer address: [AF_INET]91.AA.BB.CC:1196 (allow this incoming source address/port by removing --remote or adding --float)

Was für ein Setting habe ich:

Ich habe zwei VPN-Server aktiv auf der PFS einen mit UDP1194 und einen anderen mit UDP1196. Beide funktionieren soweit auch, nur aber diese Meldung kommt und in der Dashboard-Übersicht sehe ich im Bereich des aktiven VPN-Server die Verbindung des Clients mit dem falschen UDP Port als verbunden.

Die Clientconf sieht so aus:

dev tun
persist-tun
persist-key
cipher AES-256-CFB
auth SHA1
tls-client
client
resolv-retry infinite
remote my-gateway.org 1196 udp
verify-x509-name "VPN CA" name
auth-user-pass
remote-cert-tls server

 <ca>-----BEGIN CERTIFICATE-----
ff9242fc9af0a6b35d2c9afa7dfec90d
....
....
....
-----END CERTIFICATE-----</ca> 
 <cert>-----BEGIN CERTIFICATE-----
ff9242fc9af0a6b35d2c9afa7dfec90d
....
....
....
-----END CERTIFICATE-----</cert> 
 <key>-----BEGIN PRIVATE KEY-----
ff9242fc9af0a6b35d2c9afa7dfec90d
....
....
....
-----END PRIVATE KEY-----</key> 
 <tls-auth>#
# 2048 bit OpenVPN static key
#
-----BEGIN OpenVPN Static key V1-----
ff9242fc9af0a6b35d2c9afa7dfec90d
....
....
....
-----END OpenVPN Static key V1-----</tls-auth> 
key-direction 1

Klar kann ich in der client.conf des VPN-Clients ganz oben float hinterlegen und die Meldung im Terminal ist weg, jedoch verstehe ich nicht, warum sie überhaupt kommt und ich den falschen Port erhalte. Auch den Dynamic IP Flag in den Serversettings habe ich testweise rausgenommen, aber das half erst einmal auch nicht weiter. Oder muss ich den jeweiligen Server einmal offline und dann wieder online nehmen damit er die Änderung erkennt?

Hat jemand eine Idee wie soetwas zu stande kommt?
VG, 5p9

JeGr

Da du so viel zu deinem Problem schreibst kann man das auch so schön debuggen…wie wärs mit den Server Infos? Warum 2 Server, wie konfiguriert, etc. etc.?

Mit der Client Konf und deinem Log dir jetzt zu sagen WARUM du WO vielleicht WAS falsch konfiguriert hast... merkt man selbst, oder? :)

5p9

Hi,

sorry. Zum einen dachte ich mir, jemand hatte dieses Verhalten in der freihen Laufbahn schon gesehen und zum anderen wollte ich euch nicht meinen Wulst an Konfigurationsmisständen den Tag versauen ;)

Aber ja, du hast natürlich recht. Damit ist keinem geholfen.

Warum ich mehrere Server verwenden möchte? Ja, da ich weiß, dass Apple z.B. bei CBC in der Vergangenheit diesen chipers nicht unterstützt würde ich gerne für die eine Serverconfig eine "leichtere" Crypto verwenden und für die anderen Geräte einfach das was ich mir wünsche.

Dazu kommt noch das ich am Testen bin, was die PFS so kann und welche Lasten im kleineren Rahmen dadurch in Erscheinung treten können/könnten. Nach dem OpenVPN RW will ich in der Zukunft auch noch OpenVPN S2S Verbindungen testen. Aber die Anfragen kommen sicherlich später zu euch hier ins Forum, wenn es soweit ist ;)

Bin ja noch jung und unerfahren im Umgang mit der PFS.

Hier die Serverconfig von dem Server mit Port 1194 (Bild 01.png zeig das Dashboard):

verb 1
dev-type tun
dev-node /dev/tun2
writepid /var/run/openvpn_server2.pid
#user nobody
#group nobody
script-security 3
daemon
keepalive 10 60
ping-timer-rem
persist-tun
persist-key
proto udp4
cipher AES-256-CBC
auth SHA256
up /usr/local/sbin/ovpn-linkup
down /usr/local/sbin/ovpn-linkdown
client-connect /usr/local/sbin/openvpn.attributes.sh
client-disconnect /usr/local/sbin/openvpn.attributes.sh
local EXTERN-IP
tls-server
server 10.2.22.0 255.255.255.0
client-config-dir /var/etc/openvpn-csc/server2
username-as-common-name
auth-user-pass-verify "/usr/local/sbin/ovpn_auth_verify user TG9jYWwg444YWJhc2U= false server2 1194" via-env
tls-verify "/usr/local/sbin/ovpn_auth_verify tls 'VPN CA' 1"
lport 1194
management /var/etc/openvpn/server2.sock unix
push "route 192.168.local-net.0 255.255.255.0"
push "route 10.1.dmz-net.0 255.255.255.0"
push "route 192.168.wlan-net.0 255.255.255.0"
push "dhcp-option DNS 192.168.pfs.local-ip"
ca /var/etc/openvpn/server2.ca 
cert /var/etc/openvpn/server2.cert 
key /var/etc/openvpn/server2.key 
dh /etc/dh-parameters.2048
tls-auth /var/etc/openvpn/server2.tls-auth 0
ncp-disable
persist-remote-ip
float
topology subnet

und hier die Serverconfig mit Port 1196(Bild 02.png zeig das Dashboard):

dev ovpns3
verb 3
dev-type tun
dev-node /dev/tun3
writepid /var/run/openvpn_server3.pid
#user nobody
#group nobody
script-security 3
daemon
keepalive 10 60
ping-timer-rem
persist-tun
persist-key
proto udp4
cipher AES-256-CFB
auth SHA1
up /usr/local/sbin/ovpn-linkup
down /usr/local/sbin/ovpn-linkdown
client-connect /usr/local/sbin/openvpn.attributes.sh
client-disconnect /usr/local/sbin/openvpn.attributes.sh
local EXTERN-IP
engine cryptodev
tls-server
server 10.2.24.0 255.255.255.0
client-config-dir /var/etc/openvpn-csc/server3
username-as-common-name
auth-user-pass-verify "/usr/local/sbin/ovpn_auth_verify user TG9jYWwg444YWJhc2U= false server3 1196" via-env
tls-verify "/usr/local/sbin/ovpn_auth_verify tls 'VPN CA' 1"
lport 1196
management /var/etc/openvpn/server3.sock unix
push "route 192.168.local-net.0 255.255.255.0"
push "route 10.1.dmz-net.0 255.255.255.0"
push "route 192.168.wlan-net.0 255.255.255.0"
push "dhcp-option DNS 192.168.pfs.local-ip"
ca /var/etc/openvpn/server3.ca 
cert /var/etc/openvpn/server3.cert 
key /var/etc/openvpn/server3.key 
dh /etc/dh-parameters.2048
tls-auth /var/etc/openvpn/server3.tls-auth 0
ncp-disable
topology subnet

Aber jetzt wo ich mir die Config so ansehe, sehe ich bei der 1194er die "float" Funktion hinterlegt. Okay? ISt das die

Dynamic IP Allow connected clients to retain their connections if their IP address changes.

?

Und hier mal das Log vom VPN Server:

May 8 17:44:59 	openvpn 	92722 	MANAGEMENT: Client disconnected
May 8 17:44:59 	openvpn 	92722 	MANAGEMENT: CMD 'quit'
May 8 17:44:58 	openvpn 	92722 	MANAGEMENT: CMD 'status 2'
May 8 17:44:58 	openvpn 	92722 	MANAGEMENT: Client connected from /var/etc/openvpn/server3.sock
May 8 17:43:56 	openvpn 	92722 	MANAGEMENT: Client disconnected
May 8 17:43:56 	openvpn 	92722 	MANAGEMENT: CMD 'quit'
May 8 17:43:55 	openvpn 	92722 	MANAGEMENT: CMD 'status 2'
May 8 17:43:55 	openvpn 	92722 	MANAGEMENT: Client connected from /var/etc/openvpn/server3.sock
May 8 17:42:52 	openvpn 	92722 	MANAGEMENT: Client disconnected
May 8 17:42:52 	openvpn 	92722 	MANAGEMENT: CMD 'quit'
May 8 17:42:52 	openvpn 	92722 	MANAGEMENT: CMD 'status 2'
May 8 17:42:52 	openvpn 	92722 	MANAGEMENT: Client connected from /var/etc/openvpn/server3.sock 
May 8 17:42:07 	openvpn 	92722 	USERNAME/24.AA.BB.CC:1194 SENT CONTROL [USERNAME]: 'PUSH_REPLY,route 192.168.local-net.0 255.255.255.0,route 10.1.dmz-net.0 255.255.255.0,route 192.168.wlan-net.0 255.255.255.0,dhcp-option DNS 8.8.8.8,route-gateway 10.2.24.1,topology subnet,ping 10,ping-restart 60,ifconfig 10.2.24.2 255.255.255.0,peer-id 0' (status=1)
May 8 17:42:07 	openvpn 	92722 	USERNAME/24.AA.BB.CC:1194 PUSH: Received control message: 'PUSH_REQUEST'
May 8 17:42:06 	openvpn 	92722 	USERNAME/24.AA.BB.CC:1194 Control Channel: TLSv1.2, cipher TLSv1/SSLv3 ECDHE-RSA-AES256-GCM-SHA384, 2048 bit RSA
May 8 17:42:06 	openvpn 	92722 	USERNAME/24.AA.BB.CC:1194 TLS: tls_multi_process: untrusted session promoted to semi-trusted
May 8 17:42:06 	openvpn 	92722 	USERNAME/24.AA.BB.CC:1194 TLS: move_session: dest=TM_ACTIVE src=TM_UNTRUSTED reinit_src=1
May 8 17:42:06 	openvpn 	92722 	USERNAME/24.AA.BB.CC:1194 Incoming Data Channel: Using 160 bit message hash 'SHA1' for HMAC authentication
May 8 17:42:06 	openvpn 	92722 	USERNAME/24.AA.BB.CC:1194 Incoming Data Channel: Cipher 'AES-256-CFB' initialized with 256 bit key
May 8 17:42:06 	openvpn 	92722 	USERNAME/24.AA.BB.CC:1194 Outgoing Data Channel: Using 160 bit message hash 'SHA1' for HMAC authentication
May 8 17:42:06 	openvpn 	92722 	USERNAME/24.AA.BB.CC:1194 Outgoing Data Channel: Cipher 'AES-256-CFB' initialized with 256 bit key
May 8 17:42:06 	openvpn 	92722 	USERNAME/24.AA.BB.CC:1194 TLS: Username/Password authentication succeeded for username 'USERNAME' [CN SET]
May 8 17:42:06 	openvpn 		user 'USERNAME' authenticated
May 8 17:42:06 	openvpn 	92722 	USERNAME/24.AA.BB.CC:1194 peer info: IV_GUI_VER=OpenVPN_GUI_11
May 8 17:42:06 	openvpn 	92722 	USERNAME/24.AA.BB.CC:1194 peer info: IV_TCPNL=1
May 8 17:42:06 	openvpn 	92722 	USERNAME/24.AA.BB.CC:1194 peer info: IV_COMP_STUBv2=1
May 8 17:42:06 	openvpn 	92722 	USERNAME/24.AA.BB.CC:1194 peer info: IV_COMP_STUB=1
May 8 17:42:06 	openvpn 	92722 	USERNAME/24.AA.BB.CC:1194 peer info: IV_LZO=1
May 8 17:42:06 	openvpn 	92722 	USERNAME/24.AA.BB.CC:1194 peer info: IV_LZ4v2=1
May 8 17:42:06 	openvpn 	92722 	USERNAME/24.AA.BB.CC:1194 peer info: IV_LZ4=1
May 8 17:42:06 	openvpn 	92722 	USERNAME/24.AA.BB.CC:1194 peer info: IV_PROTO=2
May 8 17:42:06 	openvpn 	92722 	USERNAME/24.AA.BB.CC:1194 peer info: IV_PLAT=win
May 8 17:42:06 	openvpn 	92722 	USERNAME/24.AA.BB.CC:1194 peer info: IV_VER=2.4.4
May 8 17:42:06 	openvpn 	92722 	USERNAME/24.AA.BB.CC:1194 VERIFY OK: depth=0, C=DE, ST=BY, L=gohome, O=mehome, emailAddress=me@home.de, CN=usertls, OU=vpn2home
May 8 17:42:06 	openvpn 	92722 	USERNAME/24.AA.BB.CC:1194 VERIFY SCRIPT OK: depth=0, C=DE, ST=BY, L=gohome, O=mehome, emailAddress=me@home.de, CN=usertls, OU=vpn2home
May 8 17:42:06 	openvpn 	92722 	USERNAME/24.AA.BB.CC:1194 VERIFY OK: depth=1, C=DE, ST=BY, L=gohome, O=mehome, emailAddress=me@home.de, CN=internal-ca
May 8 17:42:06 	openvpn 	92722 	USERNAME/24.AA.BB.CC:1194 VERIFY SCRIPT OK: depth=1, C=DE, ST=BY, L=gohome, O=mehome, emailAddress=me@home.de, CN=internal-ca
May 8 17:42:05 	openvpn 	92722 	USERNAME/24.AA.BB.CC:1194 TLS: new session incoming connection from [AF_INET]24.AA.BB.CC:1194 

Und dies wundert mich richtig, da ich das Client-Profil mit dem Port 1196 verwende kommt aber der Port 1194 zustande:

TLS: new session incoming connection from [AF_INET]24.AA.BB.CC:1194 

Vielleicht hilft euch das weiter, mich bringts hier nicht wirklich voran im Verständnis.  ???

Danke schon mal,

VG, 5p9

5p9

Hi,

ein kleines Update. Nachdem ich die VPN-Server einzeln Down und dann wieder up gesetzt habe (kleine Pause dazwischen) war der erste Login dieses Mal richtig. Und gleich danach habe ich die Verbindung getrennt und mich mit dem anderen Profil (selber User Auth) mit dem Port 1196 verbinden wollen und habe im Dashboard gesehen, dass er bei der Verbindung für den zweiten Server wieder den Port 1194 verwendet hat.

Siehe Screen 03.png…

Kann es sein das der VPN Server Verbindungsinformationen irgendwo cached? Wäre für mich soweit die einzige Erklärung warum ich immer mit einem anderen Port aufschlage. Obwohl, ganz so logisch nicht, aber wäre ein Ansatz.

VG, 5p9

EDIT: Okay. Liegt nicht am User. Gerade mit einem anderen gestestet. Siehe Screen 04.png

viragomann

@5p9:

Aber jetzt wo ich mir die Config so ansehe, sehe ich bei der 1194er die "float" Funktion hinterlegt. Okay? ISt das die

Dynamic IP Allow connected clients to retain their connections if their IP address changes.

?

Ja.

@5p9:

Und dies wundert mich richtig, da ich das Client-Profil mit dem Port 1196 verwende kommt aber der Port 1194 zustande:

TLS: new session incoming connection from [AF_INET]24.AA.BB.CC:1194 

1194 ist hier nur der Client Port.
Solange du diesen nicht festlegst, kann der alles mögliche sein. Das sollte aber kein Problem darstellen.
1194 wird eben bevorzugt, ist aber kein Muss.

5p9

Hallo,

1194 ist hier nur der Client Port.
Solange du diesen nicht festlegst, kann der alles mögliche sein. Das sollte aber kein Problem darstellen.
1194 wird eben bevorzugt, ist aber kein Muss.

ah okay. Verstehe. Dann könnte ich eigentlich auch alle weiteren Server via 1194 erstellen, sollte ich vorhaben noch weitere Instantzen laufen zu lassen?
Gut, das mit dem festlegen dachte ich mache ich am OpenVPN Server den ich dort angelegt hatte und per WAN-Rule eben diesen Port auch hinterlege.

Muss ich noch verstehen. Aber vorerst danke ich suche mal wie ich dies vornehmen kann.

VG, 5p9

viragomann

Nein! Was du am Server einstellst, ist der Server-Port. Dieser muss am Server (eigentlich auf 1 IP) exklusiv sein, kann also auf der WAN-IP nur einmal verwendet werden.

Dein Screenshot zeigt aber den Remote-Port des Clients. Auch dieser muss exklusiv sein, allerdings nur am Client.
Am Server können aber sich mehrere Clients mit unterschiedlicher IP, doch gleichem Remote-Port, verbinden.

5p9

Oh. Okay jetzt habe ich dich verstanden. Das werde ich mir in den nächsten Tagen einmal näher ansehen.

Vielen Dank dir & einen schönen Abend noch, 5p9