Frage zu OVPN mit mehreren Instanzen



  • Hallo,

    ich mal wieder. Ich habe dein aktuell ein Verhalten feststellen dürfen, nur verstehe ich nicht warum es so ist.

    Was für ein Problem habe ich:

    
    Enter Auth Username: *******
    Enter Auth Password: *************
    Tue May  8 15:05:51 2018 Control Channel Authentication: tls-auth using INLINE static key file
    Tue May  8 15:05:51 2018 UDPv4 link local (bound): [undef]
    Tue May  8 15:05:51 2018 UDPv4 link remote: [AF_INET]91.AA.BB.CC:1196
    Tue May  8 15:05:51 2018 WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
    Tue May  8 15:05:51 2018 [VPN CA] Peer Connection Initiated with [AF_INET]91.AA.BB.CC:1196
    Tue May  8 15:05:53 2018 TUN/TAP device tun0 opened
    Tue May  8 15:05:53 2018 do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
    Tue May  8 15:05:53 2018 /sbin/ip link set dev tun0 up mtu 1500
    Tue May  8 15:05:53 2018 /sbin/ip addr add dev tun0 10.1.2.2/24 broadcast 10.1.2.255
    Tue May  8 15:05:53 2018 Initialization Sequence Completed
    Tue May  8 15:05:59 2018 TCP/UDP: Incoming packet rejected from [AF_INET]91.AA.BB.CC:1194[2], expected peer address: [AF_INET]91.AA.BB.CC:1196 (allow this incoming source address/port by removing --remote or adding --float)
    Tue May  8 15:06:09 2018 TCP/UDP: Incoming packet rejected from [AF_INET]91.AA.BB.CC:1194[2], expected peer address: [AF_INET]91.AA.BB.CC:1196 (allow this incoming source address/port by removing --remote or adding --float)
    Tue May  8 15:06:20 2018 TCP/UDP: Incoming packet rejected from [AF_INET]91.AA.BB.CC:1194[2], expected peer address: [AF_INET]91.AA.BB.CC:1196 (allow this incoming source address/port by removing --remote or adding --float)
    
    

    Was für ein Setting habe ich:

    Ich habe zwei VPN-Server aktiv auf der PFS einen mit UDP1194 und einen anderen mit UDP1196. Beide funktionieren soweit auch, nur aber diese Meldung kommt und in der Dashboard-Übersicht sehe ich im Bereich des aktiven VPN-Server die Verbindung des Clients mit dem falschen UDP Port als verbunden.

    Die Clientconf sieht so aus:

    
    dev tun
    persist-tun
    persist-key
    cipher AES-256-CFB
    auth SHA1
    tls-client
    client
    resolv-retry infinite
    remote my-gateway.org 1196 udp
    verify-x509-name "VPN CA" name
    auth-user-pass
    remote-cert-tls server
    
     <ca>-----BEGIN CERTIFICATE-----
    ff9242fc9af0a6b35d2c9afa7dfec90d
    ....
    ....
    ....
    -----END CERTIFICATE-----</ca> 
     <cert>-----BEGIN CERTIFICATE-----
    ff9242fc9af0a6b35d2c9afa7dfec90d
    ....
    ....
    ....
    -----END CERTIFICATE-----</cert> 
     <key>-----BEGIN PRIVATE KEY-----
    ff9242fc9af0a6b35d2c9afa7dfec90d
    ....
    ....
    ....
    -----END PRIVATE KEY-----</key> 
     <tls-auth>#
    # 2048 bit OpenVPN static key
    #
    -----BEGIN OpenVPN Static key V1-----
    ff9242fc9af0a6b35d2c9afa7dfec90d
    ....
    ....
    ....
    -----END OpenVPN Static key V1-----</tls-auth> 
    key-direction 1
    
    

    Klar kann ich in der client.conf des VPN-Clients ganz oben float hinterlegen und die Meldung im Terminal ist weg, jedoch verstehe ich nicht, warum sie überhaupt kommt und ich den falschen Port erhalte. Auch den Dynamic IP Flag in den Serversettings habe ich testweise rausgenommen, aber das half erst einmal auch nicht weiter. Oder muss ich den jeweiligen Server einmal offline und dann wieder online nehmen damit er die Änderung erkennt?

    Hat jemand eine Idee wie soetwas zu stande kommt?
    VG, 5p9


  • Moderator

    Da du so viel zu deinem Problem schreibst kann man das auch so schön debuggen…wie wärs mit den Server Infos? Warum 2 Server, wie konfiguriert, etc. etc.?

    Mit der Client Konf und deinem Log dir jetzt zu sagen WARUM du WO vielleicht WAS falsch konfiguriert hast... merkt man selbst, oder? :)



  • Hi,

    sorry. Zum einen dachte ich mir, jemand hatte dieses Verhalten in der freihen Laufbahn schon gesehen und zum anderen wollte ich euch nicht meinen Wulst an Konfigurationsmisständen den Tag versauen ;)

    Aber ja, du hast natürlich recht. Damit ist keinem geholfen.

    Warum ich mehrere Server verwenden möchte? Ja, da ich weiß, dass Apple z.B. bei CBC in der Vergangenheit diesen chipers nicht unterstützt würde ich gerne für die eine Serverconfig eine "leichtere" Crypto verwenden und für die anderen Geräte einfach das was ich mir wünsche.

    Dazu kommt noch das ich am Testen bin, was die PFS so kann und welche Lasten im kleineren Rahmen dadurch in Erscheinung treten können/könnten. Nach dem OpenVPN RW will ich in der Zukunft auch noch OpenVPN S2S Verbindungen testen. Aber die Anfragen kommen sicherlich später zu euch hier ins Forum, wenn es soweit ist ;)

    Bin ja noch jung und unerfahren im Umgang mit der PFS.

    Hier die Serverconfig von dem Server mit Port 1194 (Bild 01.png zeig das Dashboard):

    
    verb 1
    dev-type tun
    dev-node /dev/tun2
    writepid /var/run/openvpn_server2.pid
    #user nobody
    #group nobody
    script-security 3
    daemon
    keepalive 10 60
    ping-timer-rem
    persist-tun
    persist-key
    proto udp4
    cipher AES-256-CBC
    auth SHA256
    up /usr/local/sbin/ovpn-linkup
    down /usr/local/sbin/ovpn-linkdown
    client-connect /usr/local/sbin/openvpn.attributes.sh
    client-disconnect /usr/local/sbin/openvpn.attributes.sh
    local EXTERN-IP
    tls-server
    server 10.2.22.0 255.255.255.0
    client-config-dir /var/etc/openvpn-csc/server2
    username-as-common-name
    auth-user-pass-verify "/usr/local/sbin/ovpn_auth_verify user TG9jYWwg444YWJhc2U= false server2 1194" via-env
    tls-verify "/usr/local/sbin/ovpn_auth_verify tls 'VPN CA' 1"
    lport 1194
    management /var/etc/openvpn/server2.sock unix
    push "route 192.168.local-net.0 255.255.255.0"
    push "route 10.1.dmz-net.0 255.255.255.0"
    push "route 192.168.wlan-net.0 255.255.255.0"
    push "dhcp-option DNS 192.168.pfs.local-ip"
    ca /var/etc/openvpn/server2.ca 
    cert /var/etc/openvpn/server2.cert 
    key /var/etc/openvpn/server2.key 
    dh /etc/dh-parameters.2048
    tls-auth /var/etc/openvpn/server2.tls-auth 0
    ncp-disable
    persist-remote-ip
    float
    topology subnet
    
    

    und hier die Serverconfig mit Port 1196(Bild 02.png zeig das Dashboard):

    
    dev ovpns3
    verb 3
    dev-type tun
    dev-node /dev/tun3
    writepid /var/run/openvpn_server3.pid
    #user nobody
    #group nobody
    script-security 3
    daemon
    keepalive 10 60
    ping-timer-rem
    persist-tun
    persist-key
    proto udp4
    cipher AES-256-CFB
    auth SHA1
    up /usr/local/sbin/ovpn-linkup
    down /usr/local/sbin/ovpn-linkdown
    client-connect /usr/local/sbin/openvpn.attributes.sh
    client-disconnect /usr/local/sbin/openvpn.attributes.sh
    local EXTERN-IP
    engine cryptodev
    tls-server
    server 10.2.24.0 255.255.255.0
    client-config-dir /var/etc/openvpn-csc/server3
    username-as-common-name
    auth-user-pass-verify "/usr/local/sbin/ovpn_auth_verify user TG9jYWwg444YWJhc2U= false server3 1196" via-env
    tls-verify "/usr/local/sbin/ovpn_auth_verify tls 'VPN CA' 1"
    lport 1196
    management /var/etc/openvpn/server3.sock unix
    push "route 192.168.local-net.0 255.255.255.0"
    push "route 10.1.dmz-net.0 255.255.255.0"
    push "route 192.168.wlan-net.0 255.255.255.0"
    push "dhcp-option DNS 192.168.pfs.local-ip"
    ca /var/etc/openvpn/server3.ca 
    cert /var/etc/openvpn/server3.cert 
    key /var/etc/openvpn/server3.key 
    dh /etc/dh-parameters.2048
    tls-auth /var/etc/openvpn/server3.tls-auth 0
    ncp-disable
    topology subnet
    
    

    Aber jetzt wo ich mir die Config so ansehe, sehe ich bei der 1194er die "float" Funktion hinterlegt. Okay? ISt das die

    Dynamic IP Allow connected clients to retain their connections if their IP address changes.

    ?

    Und hier mal das Log vom VPN Server:

    
    May 8 17:44:59 	openvpn 	92722 	MANAGEMENT: Client disconnected
    May 8 17:44:59 	openvpn 	92722 	MANAGEMENT: CMD 'quit'
    May 8 17:44:58 	openvpn 	92722 	MANAGEMENT: CMD 'status 2'
    May 8 17:44:58 	openvpn 	92722 	MANAGEMENT: Client connected from /var/etc/openvpn/server3.sock
    May 8 17:43:56 	openvpn 	92722 	MANAGEMENT: Client disconnected
    May 8 17:43:56 	openvpn 	92722 	MANAGEMENT: CMD 'quit'
    May 8 17:43:55 	openvpn 	92722 	MANAGEMENT: CMD 'status 2'
    May 8 17:43:55 	openvpn 	92722 	MANAGEMENT: Client connected from /var/etc/openvpn/server3.sock
    May 8 17:42:52 	openvpn 	92722 	MANAGEMENT: Client disconnected
    May 8 17:42:52 	openvpn 	92722 	MANAGEMENT: CMD 'quit'
    May 8 17:42:52 	openvpn 	92722 	MANAGEMENT: CMD 'status 2'
    May 8 17:42:52 	openvpn 	92722 	MANAGEMENT: Client connected from /var/etc/openvpn/server3.sock 
    May 8 17:42:07 	openvpn 	92722 	USERNAME/24.AA.BB.CC:1194 SENT CONTROL [USERNAME]: 'PUSH_REPLY,route 192.168.local-net.0 255.255.255.0,route 10.1.dmz-net.0 255.255.255.0,route 192.168.wlan-net.0 255.255.255.0,dhcp-option DNS 8.8.8.8,route-gateway 10.2.24.1,topology subnet,ping 10,ping-restart 60,ifconfig 10.2.24.2 255.255.255.0,peer-id 0' (status=1)
    May 8 17:42:07 	openvpn 	92722 	USERNAME/24.AA.BB.CC:1194 PUSH: Received control message: 'PUSH_REQUEST'
    May 8 17:42:06 	openvpn 	92722 	USERNAME/24.AA.BB.CC:1194 Control Channel: TLSv1.2, cipher TLSv1/SSLv3 ECDHE-RSA-AES256-GCM-SHA384, 2048 bit RSA
    May 8 17:42:06 	openvpn 	92722 	USERNAME/24.AA.BB.CC:1194 TLS: tls_multi_process: untrusted session promoted to semi-trusted
    May 8 17:42:06 	openvpn 	92722 	USERNAME/24.AA.BB.CC:1194 TLS: move_session: dest=TM_ACTIVE src=TM_UNTRUSTED reinit_src=1
    May 8 17:42:06 	openvpn 	92722 	USERNAME/24.AA.BB.CC:1194 Incoming Data Channel: Using 160 bit message hash 'SHA1' for HMAC authentication
    May 8 17:42:06 	openvpn 	92722 	USERNAME/24.AA.BB.CC:1194 Incoming Data Channel: Cipher 'AES-256-CFB' initialized with 256 bit key
    May 8 17:42:06 	openvpn 	92722 	USERNAME/24.AA.BB.CC:1194 Outgoing Data Channel: Using 160 bit message hash 'SHA1' for HMAC authentication
    May 8 17:42:06 	openvpn 	92722 	USERNAME/24.AA.BB.CC:1194 Outgoing Data Channel: Cipher 'AES-256-CFB' initialized with 256 bit key
    May 8 17:42:06 	openvpn 	92722 	USERNAME/24.AA.BB.CC:1194 TLS: Username/Password authentication succeeded for username 'USERNAME' [CN SET]
    May 8 17:42:06 	openvpn 		user 'USERNAME' authenticated
    May 8 17:42:06 	openvpn 	92722 	USERNAME/24.AA.BB.CC:1194 peer info: IV_GUI_VER=OpenVPN_GUI_11
    May 8 17:42:06 	openvpn 	92722 	USERNAME/24.AA.BB.CC:1194 peer info: IV_TCPNL=1
    May 8 17:42:06 	openvpn 	92722 	USERNAME/24.AA.BB.CC:1194 peer info: IV_COMP_STUBv2=1
    May 8 17:42:06 	openvpn 	92722 	USERNAME/24.AA.BB.CC:1194 peer info: IV_COMP_STUB=1
    May 8 17:42:06 	openvpn 	92722 	USERNAME/24.AA.BB.CC:1194 peer info: IV_LZO=1
    May 8 17:42:06 	openvpn 	92722 	USERNAME/24.AA.BB.CC:1194 peer info: IV_LZ4v2=1
    May 8 17:42:06 	openvpn 	92722 	USERNAME/24.AA.BB.CC:1194 peer info: IV_LZ4=1
    May 8 17:42:06 	openvpn 	92722 	USERNAME/24.AA.BB.CC:1194 peer info: IV_PROTO=2
    May 8 17:42:06 	openvpn 	92722 	USERNAME/24.AA.BB.CC:1194 peer info: IV_PLAT=win
    May 8 17:42:06 	openvpn 	92722 	USERNAME/24.AA.BB.CC:1194 peer info: IV_VER=2.4.4
    May 8 17:42:06 	openvpn 	92722 	USERNAME/24.AA.BB.CC:1194 VERIFY OK: depth=0, C=DE, ST=BY, L=gohome, O=mehome, emailAddress=me@home.de, CN=usertls, OU=vpn2home
    May 8 17:42:06 	openvpn 	92722 	USERNAME/24.AA.BB.CC:1194 VERIFY SCRIPT OK: depth=0, C=DE, ST=BY, L=gohome, O=mehome, emailAddress=me@home.de, CN=usertls, OU=vpn2home
    May 8 17:42:06 	openvpn 	92722 	USERNAME/24.AA.BB.CC:1194 VERIFY OK: depth=1, C=DE, ST=BY, L=gohome, O=mehome, emailAddress=me@home.de, CN=internal-ca
    May 8 17:42:06 	openvpn 	92722 	USERNAME/24.AA.BB.CC:1194 VERIFY SCRIPT OK: depth=1, C=DE, ST=BY, L=gohome, O=mehome, emailAddress=me@home.de, CN=internal-ca
    May 8 17:42:05 	openvpn 	92722 	USERNAME/24.AA.BB.CC:1194 TLS: new session incoming connection from [AF_INET]24.AA.BB.CC:1194 
    
    

    Und dies wundert mich richtig, da ich das Client-Profil mit dem Port 1196 verwende kommt aber der Port 1194 zustande:

    TLS: new session incoming connection from [AF_INET]24.AA.BB.CC:1194 
    

    Vielleicht hilft euch das weiter, mich bringts hier nicht wirklich voran im Verständnis.  ???

    Danke schon mal,

    VG, 5p9






  • Hi,

    ein kleines Update. Nachdem ich die VPN-Server einzeln Down und dann wieder up gesetzt habe (kleine Pause dazwischen) war der erste Login dieses Mal richtig. Und gleich danach habe ich die Verbindung getrennt und mich mit dem anderen Profil (selber User Auth) mit dem Port 1196 verbinden wollen und habe im Dashboard gesehen, dass er bei der Verbindung für den zweiten Server wieder den Port 1194 verwendet hat.

    Siehe Screen 03.png…

    Kann es sein das der VPN Server Verbindungsinformationen irgendwo cached? Wäre für mich soweit die einzige Erklärung warum ich immer mit einem anderen Port aufschlage. Obwohl, ganz so logisch nicht, aber wäre ein Ansatz.

    VG, 5p9

    EDIT: Okay. Liegt nicht am User. Gerade mit einem anderen gestestet. Siehe Screen 04.png






  • @5p9:

    Aber jetzt wo ich mir die Config so ansehe, sehe ich bei der 1194er die "float" Funktion hinterlegt. Okay? ISt das die

    Dynamic IP Allow connected clients to retain their connections if their IP address changes.

    ?

    Ja.

    @5p9:

    Und dies wundert mich richtig, da ich das Client-Profil mit dem Port 1196 verwende kommt aber der Port 1194 zustande:

    TLS: new session incoming connection from [AF_INET]24.AA.BB.CC:1194 
    

    1194 ist hier nur der Client Port.
    Solange du diesen nicht festlegst, kann der alles mögliche sein. Das sollte aber kein Problem darstellen.
    1194 wird eben bevorzugt, ist aber kein Muss.



  • Hallo,

    1194 ist hier nur der Client Port.
    Solange du diesen nicht festlegst, kann der alles mögliche sein. Das sollte aber kein Problem darstellen.
    1194 wird eben bevorzugt, ist aber kein Muss.

    ah okay. Verstehe. Dann könnte ich eigentlich auch alle weiteren Server via 1194 erstellen, sollte ich vorhaben noch weitere Instantzen laufen zu lassen?
    Gut, das mit dem festlegen dachte ich mache ich am OpenVPN Server den ich dort angelegt hatte und per WAN-Rule eben diesen Port auch hinterlege.

    Muss ich noch verstehen. Aber vorerst danke ich suche mal wie ich dies vornehmen kann.

    VG, 5p9



  • Nein! Was du am Server einstellst, ist der Server-Port. Dieser muss am Server (eigentlich auf 1 IP) exklusiv sein, kann also auf der WAN-IP nur einmal verwendet werden.

    Dein Screenshot zeigt aber den Remote-Port des Clients. Auch dieser muss exklusiv sein, allerdings nur am Client.
    Am Server können aber sich mehrere Clients mit unterschiedlicher IP, doch gleichem Remote-Port, verbinden.



  • Oh. Okay jetzt habe ich dich verstanden. Das werde ich mir in den nächsten Tagen einmal näher ansehen.

    Vielen Dank dir & einen schönen Abend noch, 5p9