OpenVPN op RPi: connect niet - Netwerken

vrijdag 28 oktober 2016 19:00

Acties:

Do you stay for dinner?Clarice

Topicstarter

Ik wil graag OpenVPN gaan gebruiken met als server mijn Rpi2.

Ik heb deze instructies gevolgd:
https://sys.jonaharagon.c...a-raspberry-pi-2-part-12/

En deze:
https://sys.jonaharagon.c...pi-openvpn-server-part-2/

De verkregen certificaten en keys zijn gekopieerd naar de windows client.
Port forwarding is ingesteld op de router.

Als ik nu connect krijg ik alleen deze melding:

code:

Fri Oct 28 18:51:02 2016 SIGUSR1[soft,tls-error] received, process restarting
Fri Oct 28 18:51:04 2016 UDPv4 link local: [undef]
Fri Oct 28 18:51:04 2016 UDPv4 link remote: [AF_INET]83.87.6.27:1149
Fri Oct 28 18:52:04 2016 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Fri Oct 28 18:52:04 2016 TLS Error: TLS handshake failed

Ter info: de port is bewust niet de standaard 1194. Het is zowel in de server, client en router geconfigureerd met 1149 via UDP.

IP tables is verder leeg, dus er is geen firewall actief op de pi.
Iemand een idee waar ik dit verder kan zoeken?

Als ik in de client config het serveradres wijzig naar het interne IP blijft het hetzelfde. Dus je zou zeggen dat het een probleem met port forwarding uitsluit?

[ Voor 12% gewijzigd door Hann1BaL op 28-10-2016 19:11 ]

zaterdag 29 oktober 2016 05:10

Acties:

Brahiewahiewa

boelkloedig

ister ook een log file van de pi?

QnJhaGlld2FoaWV3YQ==

zaterdag 29 oktober 2016 07:41

Acties:

_root

Dit soort meldingen komen 9 van de 10 keer door verkeerde certificaten of fouten in de configuratie mbt tot de certificaten.

Laat de server logfile nog wat zien?

PVoutput 3250 WP

zaterdag 29 oktober 2016 09:04

Acties:

Zerobase

Heb je de shared secret (ta.key) op zowel de server als de client toegevoegd?

Ik gebruik een RPI2 met Raspbian Jessy.

Mijn OpenVPN server.conf (Voor het gemak alle commentaar even verwijderd):

code:

local 192.168.1.3
port 1194
proto udp
dev tun
ca ca.crt
cert server.crt
key server.key
dh dh2048.pem
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 192.168.1.3"
push "dhcp-option DOMAIN mijndomein.local"
keepalive 10 120
tls-auth ta.key 0 # <==== Deze file bedoel ik dus (Voor de serverkant moet er een 0 achter)
cipher AES-256-CBC
comp-lzo
user nobody
group nogroup
persist-key
persist-tun
status openvpn-status.log
verb 1
chroot /etc/openvpn/jail

Het openvpn profiel (.ovpn) dat ik op mijn iPad gebruik ziet er zo uit:

code:

client
dev tun
proto udp
remote mijnserver.dyndns.nu 1194
resolv-retry infinite
nobind
user nobody
group nogroup
persist-key
persist-tun
ns-cert-type server
key-direction 1  # <=== Voor de client kant moet hier een 1 staan
cipher AES-256-CBC
comp-lzo
verb 3
<ca>
Hiertussen het met easy-rsa gegenereerde CA certificaat
</ca>
<cert>
Hiertussen het client certificaat
</cert>
<key>
Hier de private key behorende bij het clientcertificaat
</key>
<tls-auth>
Hier de openvpn static key (ta.key)
</tls-auth>

IP forwarding aanzetten:

code:

1	# sysctl -w net.ipv4.conf.all.forwarding=1

Firewall aanpassen:

code:

1	# firewall-cmd --zone=<zone waarin je VPN subnet zit> --add-masquerade

BIj het genereren van de servercertificaten is het belangrijk dat je de CN (Common Name) gelijk houdt aan de DNS naam waarmee je extern je RPI benaderd.

Als je dus extern je RPI benaderd op 'framboos.dynamicdnsprovider.com', zorg dan ook dat je dit invult bij de Common Name als je het servercertificaat genereert.

Misschien kun je hier iets mee?

Hann1BaL schreef op vrijdag 28 oktober 2016 @ 19:00:
Ik wil graag OpenVPN gaan gebruiken met als server mijn Rpi2.
....
IFri Oct 28 18:52:04 2016 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Fri Oct 28 18:52:04 2016 TLS Error: TLS handshake failed
[/code]

zaterdag 29 oktober 2016 09:59

Acties:

_root

De common name (CN) is voor openvpn niet belangrijk, je controleert de server aan de hand van de CA die op de client staat.
Voor een RPI zou ik de cipher naar AES-128-CBC zetten, 256 is wel een hele aanslag op de CPU, tenzij het om echt vertrouwelijke informatie gaat.
Je kan voorlopig ook de de TLS auth weghalen, maakt het bij het voor het eerst opzetten wat eenvoudiger:
Mijn server.conf:

code:

port 1194
proto udp
dev tun
ca ca.cer
cert server.crt
key server.key 
dh dh2048.pem
server 10.24.24.0 255.255.255.0
client-config-dir ccd
push "redirect-gateway"
push "dhcp-option DNS 8.8.8.8"
keepalive 10 120
cipher AES-128-CBC 
comp-lzo
max-clients 100
user nobody
group nobody
persist-key
persist-tun
status openvpn-status.log
verb 3

client, openvpn android, telefoon.ovpn

code:

client
dev tun
proto udp
remote <ip of FQDN> 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert telefoon.crt
key telefoon.key
cipher AES-128-CBC
comp-lzo
verb 3

[ Voor 59% gewijzigd door _root op 29-10-2016 11:38 ]

PVoutput 3250 WP

zaterdag 29 oktober 2016 11:21

Acties:

SadisticPanda

Heet patatje :o

als het niet lukt, kan je dit install scriptje gebruiken. http://www.pivpn.io/

Lekker makkelijk en simpel om te beheren erachter.

Marstek 5.12kw v151, CT003 v117, Sagecom Xs212 1P,

zondag 30 oktober 2016 11:55

Acties:

Hann1BaL

Do you stay for dinner?Clarice

Topicstarter

De AES staat op 128 en niet op 256.
De settings lijken redelijk ok? De certificaten en keys zijn allemaal op de pi gegenereerd:
server.conf:

code:

local 192.168.178.53
dev tun
proto udp
port 1149
ca ca.crt
cert rpi.crt
key rpi.key
dh dh2048.pem
server 10.8.0.0 255.255.255.0
ifconfig 10.8.0.1 10.8.0.2
push "route 10.8.0.1 255.255.255.255"
push "route 10.8.0.0 255.255.255.0"
push "route 192.168.178.53 255.255.255.255"
push "dhcp-option DNS 192.168.178.1"
push "redirect-gateway def1"
client-to-client
duplicate-cn
keepalive 10 120
tls-auth /etc/openvpn/easy-rsa/keys/ta.key 0
cipher AES-128-CBC
comp-lzo
user nobody
group nogroup
persist-key
persist-tun
status /var/log/openvpn-status.log 20
log /var/log/openvpn.log
verb 1

client conf:

code:

client
dev tun
proto udp
remote host.dyndns.org 1149
resolv-retry infinite
nobind
persist-key
persist-tun
mute-replay-warnings
ns-cert-type server
key-direction 1
cipher AES-128-CBC
comp-lzo
verb 1
mute 20
<ca>
-----BEGIN CERTIFICATE-----

-----END CERTIFICATE-----
</ca>
<cert>
-----BEGIN CERTIFICATE-----

-----END CERTIFICATE-----
</cert>
<key>
-----BEGIN RSA PRIVATE KEY-----
Proc-Type: 4,ENCRYPTED
DEK-Info: DES-EDE3-CBC,85E000673C428F46

-----END RSA PRIVATE KEY-----
</key>
<tls-auth>
#
# 2048 bit OpenVPN static key
#
-----BEGIN OpenVPN Static key V1-----

-----END OpenVPN Static key V1-----
</tls-auth>

Ik zie weinig in de openvpn logs op de rpi.

azz_kikr schreef op zaterdag 29 oktober 2016 @ 11:21:
als het niet lukt, kan je dit install scriptje gebruiken. http://www.pivpn.io/

Lekker makkelijk en simpel om te beheren erachter.

Mijn kennis is redelijk basic en ik ben bang dat het scriptje de huidige set up gaat aanpassen. De RPi doet meer dan alleen VPN. Er draait Domoticz op en mijn duckdns tool voor de dynamic DNS.

_root schreef op zaterdag 29 oktober 2016 @ 09:59:
De common name (CN) is voor openvpn niet belangrijk, je controleert de server aan de hand van de CA die op de client staat.
Voor een RPI zou ik de cipher naar AES-128-CBC zetten, 256 is wel een hele aanslag op de CPU, tenzij het om echt vertrouwelijke informatie gaat.
Je kan voorlopig ook de de TLS auth weghalen, maakt het bij het voor het eerst opzetten wat eenvoudiger:
Mijn server.conf:
code:
1
<knip>
client, openvpn android, telefoon.ovpn
code:
1
<knip>

Dat is wel het proberen waard. Mijn config lijkt redelijk te matchen met de jouwe. Op de variabelen, zoals IP, port etc na.

[ Voor 30% gewijzigd door Hann1BaL op 30-10-2016 12:08 ]

zondag 30 oktober 2016 13:28

Acties:

Hann1BaL

Do you stay for dinner?Clarice

Topicstarter

Het probleem was dat mijn rpi de mist in ging met de locatie van de keys en certs. Deze stonden in de locatie waar ze gegenereerd waren. Dit is opgelost door het volledige path in te vullen:

code:

ca /etc/openvpn/easy-rsa/keys/ca.crt
cert /etc/openvpn/easy-rsa/keys/rpi.crt
key /etc/openvpn/easy-rsa/keys/rpi.key
dh /etc/openvpn/easy-rsa/keys/dh2048.pem

Daarnaast had ik de pech dat na een reboot de openVPN service was gestopt met runnen. Geen idee waarom, maar dat helpt uiteraard niet.

Bedankt voor alle opties. Hoewel het probleem elders lag heeft het toch geholpen om op het juiste pad terecht te komen.

Mocht iemand anders dit ook ervaren, dan hoop ik dat dit topic kan helpen.
VPN werkt! Ik kan nu TV kijken terwijl ik op moment van schrijven aan de andere kant van de wereld zit. Tegelijk kan ik ook bij mn files. Niet heel vaak nodig, maar het is net te makkelijk om het niet te hebben.

Nu heb ik het profiel ook getest op mijn Android telefoon en verbinden gaat prima, maar geen verkeer. Dus ik moet nu even naar de oplossing zoeken voor de client. De Windows client werkt gewoon prima!

[ Voor 37% gewijzigd door Hann1BaL op 30-10-2016 14:01 ]

zondag 30 oktober 2016 14:42

Acties:

_root

Altijd makkelijk is het starten van de openvpn server vanuit de CLI, je kan gelijk meekijken waar het fout gaat. En dat was het ontbreken van de files wel gelijk te zien geweest.
Vanuit de CLI op de RPI kan je de server starten met "openvpn --config server.conf".
Ook zie je dan de inkomende verbindingen en de eventuele problemen.

Gek dat de android client niet werkt, aan de rechterzijde van de client kan je nog een log opvragen, daar geen gekke dingen??
Ik neem aan dat je de routing en masquerade hebt aangezet op de RPI, want de windows client werkt wel!

Toch niet toevallig hetzelfde certificaat gebruikt ? dan even toevoegen duplicate-cn aan de server config

[ Voor 34% gewijzigd door _root op 30-10-2016 15:03 ]

PVoutput 3250 WP

zondag 30 oktober 2016 14:49

Acties:

HollowGamer

azz_kikr schreef op zaterdag 29 oktober 2016 @ 11:21:
als het niet lukt, kan je dit install scriptje gebruiken. http://www.pivpn.io/

Lekker makkelijk en simpel om te beheren erachter.

Ga deze eens bekijken.

zondag 30 oktober 2016 15:18

Acties:

True

Dislecticus

Je kan even proberen of je port wel 'goed open' is door bijvoorbeeld SSH op die port te zetten:

code:

$ nano /etc/ssh/sshd_config
# What ports, IPs and protocols we listen for
Port 50683
$ /etc/init.d/ssh restart

Daarnaast heb ik zelf https://github.com/Nyr/openvpn-install gebruikt voor OpenVPN op mijn RPi, heerlijk script, je kan nog wat wijzigen aanbrengen maar dit rommelt ook niet met je andere instellingen. Werkt zonder rotzooi en je kan je port ook aanpassen indien gewenst via het script zelf.

VW ID.7 Tourer Pro S | 5670 Wp JA Solar - 14x405 33° op Zuid | Twente

dinsdag 1 november 2016 14:27

Acties:

Mitssz

Ik had ook problemen met het niet starten van de OpenVPN service na een reboot, dit heb ik opgelost door de regel "local 192.168.178.53" uit de server configuratie te verwijderen

Yamaha R6 RJ15 2008 | Yamaha XJ6 Diversion 2011 | Honda MSX125 Grom 2018 | Kia Ceed SW PHEV 2024

Pagina: 1

Reageer