Check alle échte Black Friday-deals Ook zo moe van nepaanbiedingen? Wij laten alleen échte deals zien
Toon posts:

OpenVPN op DDWRT, wat zie ik over het hoofd??

Pagina: 1
Acties:

Vraag

dinsdag 20 februari 2018 21:34

Acties:
  • Fryslanboy
  • Registratie: Maart 2010
  • Laatst online: 19-11 01:40

Fryslanboy

Topicstarter
Hallo,

Om met de deur in huis te vallen, een setup van een server op m'n router werkt niet. Ik begrijp niet waar het aan ligt, en zal waarschijnlijk een simpel iets over het hoofd zien. Genoeg om m'n hoofd erover te breken en maar een hulplijn in te schakelen.

Het volgende. We zitten bij KPN, met een H368N. Een v9. Hierachter zit een WRT3200ACM. Daarop draait de DDWRT i.p.v. de originele Linksys software, welke ook een OpenVPN functie had, die ook werkte.. Maar daar gaat het niet over.

Oh, en de reden waarom die server er is: Zodat ik vanaf m'n plaatsing waar ik de hele week zit, bij het netwerk kan, mocht er iets nodig zijn...

Nu is de adressering als volgt.

KPN: 192.168.2.254
WAN 3200ACM: 192.168.2.1
LAN 3200ACM: 192.168.1.1

Hieronder een afbeelding van hoe het er dan uitziet. Heb aan de hand van - https://www.dd-wrt.com/ph...ic.php?t=312064&highlight
- het stappenplan gevolgd, ingevuld met het goede WAN in de client en proberen te testen met m'n laptop op een hotspot van de 4G, zodat het lijkt alsof er iets van buiten komt.

Maargoed. Wat ik ook probeer, met andere poorten, forwarden, andere adressen, ik krijg alleen maar errors. TLS errors. Zowel de handshake als de 'key negotiation failed', al zullen die twee ongetwijfeld bij elkaar horen..

Zie ik iets over het hoofd? Het gekke is dat het met de originele software wel gewerkt heeft. Al was dat met een andere KPN doos. Misschien zit daar iets in wat in de weg zit, al is de poort wel opengezet naar de Linksys. Begin het zolangzamerhand overal te zoeken, en voordat ik alles overhoop trek en dergelijke, misschien is hier iemand die de vinger op de zere plek legt.. Wat fijn zou zijn!

Ik hoor het graag. Ook als er iets van een log moet komen, andere configuraties. Zit ook op het DDWRT forum te zoeken, ook al een post gemaakt. Maar komt nog weinig los..

Groet..

Jacco


Afbeeldingslocatie: https://i.imgur.com/qIW5tU5.jpg

Beste antwoord (via Fryslanboy op 21-02-2018 20:37)

dinsdag 20 februari 2018 22:55

  • Thralas
  • Registratie: December 2002
  • Laatst online: 16:17

Thralas

Post eens configs (gewoon, client en server in tekstvorm). Zet ook 'verb 3' en knip de MANAGEMENT-onzin er vast even uit, dat staat alleen maar in de weg,

En probeer het vooral ook eens gewoon vanaf je LAN. Dan is meteen duidelijk of het hele verhaal over de Experiabox relevant is (en zoja: hoe staan de forwards? 443 UDP (vreemde keus, overigens) -> 1194 lijkt het, maar dat zeg je nergens expliciet...

Alle reacties

dinsdag 20 februari 2018 21:51

Acties:
  • D_Jeff
  • Registratie: April 2011
  • Nu online

D_Jeff

Kan je ergens zien of het misgaat op fase 1 of fase 2?
Daarnaast is OpenWRT Linux light.. probeer eens een PuTTY SSH sessie op te zetten

De key melding kan namelijk aan 2 dingen liggen: private key mismatch of de codering klopt niet

Hold. Step. Move. There will always be a way to keep on moving

dinsdag 20 februari 2018 22:13

Acties:
  • Fryslanboy
  • Registratie: Maart 2010
  • Laatst online: 19-11 01:40

Fryslanboy

Topicstarter
Bovenste is serverlog, onderste is client log op de laptop..

Van wat ik in var/log/messages kan vinden, is hetzelfde wat hier in de serverlog staat.

Het lijkt er wel op dat de server de client ziet:
Client Remote IP:Port Bytes Received Bytes Sent Connected Since
UNDEF 62.72.193.60:17113 0 70 160

[ Voor 98% gewijzigd door Fryslanboy op 21-02-2018 14:28 ]

dinsdag 20 februari 2018 22:33

Acties:
  • D_Jeff
  • Registratie: April 2011
  • Nu online

D_Jeff

Netwerk technisch lijkt het oke
TLS_Timeout met waarde 2 is krap (1 hop erbij en je hebt connectie errors)

Key technisch zie ik het zo snel ook niet

Hold. Step. Move. There will always be a way to keep on moving

dinsdag 20 februari 2018 22:45

Acties:
  • Fryslanboy
  • Registratie: Maart 2010
  • Laatst online: 19-11 01:40

Fryslanboy

Topicstarter
Mag ik vragen hoe of waar je dat ziet?

Verder, qua keys en RSA. Met de tools op m'n PC de dingen gedaan, crt, key en dh's. En de client config. Die op een usb stick naar de laptop (goeie map) gesleept, laten draaien, en niks..

En ik weet dat het met een ander type KPN modem, originele Linksys software waarop ook een OpenVPN server applicatie zit, werkte.. Dat is het rare.

En nu doe ik hetzelfde, met het handje, en alles draait de soep in!

dinsdag 20 februari 2018 22:55

Acties:
  • Beste antwoord
  • Thralas
  • Registratie: December 2002
  • Laatst online: 16:17

Thralas

Post eens configs (gewoon, client en server in tekstvorm). Zet ook 'verb 3' en knip de MANAGEMENT-onzin er vast even uit, dat staat alleen maar in de weg,

En probeer het vooral ook eens gewoon vanaf je LAN. Dan is meteen duidelijk of het hele verhaal over de Experiabox relevant is (en zoja: hoe staan de forwards? 443 UDP (vreemde keus, overigens) -> 1194 lijkt het, maar dat zeg je nergens expliciet...

dinsdag 20 februari 2018 23:13

Acties:
  • Fryslanboy
  • Registratie: Maart 2010
  • Laatst online: 19-11 01:40

Fryslanboy

Topicstarter
Configs komen eraan.

Ik heb met zowel 443 als 1194 geprobeerd. Beide keren hetzelfde resultaat. Vandaar dat die 443 ertussen staat.

Zal het ook eens via LAN proberen, een goeie..

woensdag 21 februari 2018 00:03

Acties:
  • matsuba
  • Registratie: Juli 2014
  • Laatst online: 22-11 15:32

matsuba

Nog een schot in het donker:

Houd er rekening mee, poort 443 is TCP, 1194 is UDP.
Het wil ook wel eens helpen de MTU naar 1492 te zetten.
Heb je het certificaat ook mee gekopieerd?

woensdag 21 februari 2018 01:43

Acties:
  • shure-fan
  • Registratie: Maart 2002
  • Laatst online: 10:12

shure-fan

Als je via de wan van je ddwrt probeert moet je ook een regel forwarden dat 1194 doorzet,

Dus zowel in je exbox alsin je ddwrt, openvpn server is tenslotte een client binnen die router.

Tevens:
Als je een wachtwoord hebt moeten invullen bij het aanmaken van het profiel, dan moet deze ook worden ingevuld: staat me iets bij van, binnen het tabblad "commands" bij de status ofzo,
En dan moet je een userpass aanmaken.... Moet je ff op googlen want ik weet het niet precies meer

[ Voor 44% gewijzigd door shure-fan op 21-02-2018 01:46 ]

Voip enthousiastelling, Liever een kabel dan wifi

woensdag 21 februari 2018 01:54

Acties:
  • johnkeates
  • Registratie: Februari 2008
  • Laatst online: 04-07 16:30

johnkeates

Je hebt TLS packet auth aan gezet maar geen static key ingevoerd.

woensdag 21 februari 2018 10:04

Acties:
  • Fryslanboy
  • Registratie: Maart 2010
  • Laatst online: 19-11 01:40

Fryslanboy

Topicstarter
matsuba schreef op woensdag 21 februari 2018 @ 00:03:
Nog een schot in het donker:

Houd er rekening mee, poort 443 is TCP, 1194 is UDP.
Het wil ook wel eens helpen de MTU naar 1492 te zetten.
Heb je het certificaat ook mee gekopieerd?
Dat is waar ook. Te snel gedacht door even te veranderen naar een bekende poort.
Heb de 'ca.crt, client.crt, client.key en client.ovpn' naar de laptop gekopieërd.
Als je via de wan van je ddwrt probeert moet je ook een regel forwarden dat 1194 doorzet,

Dus zowel in je exbox alsin je ddwrt, openvpn server is tenslotte een client binnen die router.

Tevens:
Als je een wachtwoord hebt moeten invullen bij het aanmaken van het profiel, dan moet deze ook worden ingevuld: staat me iets bij van, binnen het tabblad "commands" bij de status ofzo,
En dan moet je een userpass aanmaken.... Moet je ff op googlen want ik weet het niet precies meer
Ik heb geen wachtwoorden aangemaakt ik het profiel. Op beide routers staat 1194 geforward.
Je hebt TLS packet auth aan gezet maar geen static key ingevoerd.
Ok. Zal ik naar kijken!

woensdag 21 februari 2018 10:15

Acties:
  • Fryslanboy
  • Registratie: Maart 2010
  • Laatst online: 19-11 01:40

Fryslanboy

Topicstarter
Hier de config van de client.ovpn.

Client:
client
dev tun
proto udp
remote XX.XXX.XXX.XX 1194
nobind
persist-key
persist-tun
remote-cert-tls server
auth-nocache
verb 4
float
comp-lzo yes
tun-mtu 1500
auth SHA256
cipher AES-256-CBC
ca ca.crt
cert client1.crt
key client1.key
Config in de router:
dh /tmp/openvpn/dh.pem
ca /tmp/openvpn/ca.crt
cert /tmp/openvpn/cert.pem
key /tmp/openvpn/key.pem
keepalive 10 120
verb 3
mute 3
syslog
writepid /var/run/openvpnd.pid
management 127.0.0.1 14
management-log-cache 100
topology subnet
script-security 2
port 1194
proto udp4
cipher aes-256-cbc
auth sha256
client-connect /tmp/openvpn/clcon.sh
client-disconnect /tmp/openvpn/cldiscon.sh
client-config-dir /tmp/openvpn/ccd
comp-lzo yes
tls-server
ifconfig-pool-persist /tmp/openvpn/ip-pool 86400
client-to-client
push "redirect-gateway def1"
fast-io
tun-mtu 1500
mtu-disc yes
server 10.8.0.0 255.255.255.0
dev tun2
push "route 192.168.1.0 255.255.255.0"
push "redirect-gateway def1"

[ Voor 57% gewijzigd door Fryslanboy op 21-02-2018 14:02 ]

woensdag 21 februari 2018 13:56

Acties:
  • Fryslanboy
  • Registratie: Maart 2010
  • Laatst online: 19-11 01:40

Fryslanboy

Topicstarter
Zojuist met 192.168.2.1 en 192.168.1.1 verbonden vanaf de PC. Dit werkt. Dus, naar mijn inzien, lijkt het dus goed te zitten qua certificaten, keys en instellingen (intern dan)

Als ik dit adres vervolgens weer wijzig naar m'n daadwerkelijke WAN IP, dan zit alles weer vol meldingen...

Hier de output van het log van de client als het goed gaat, vanuit LAN:
Wed Feb 21 14:24:34 2018 OpenVPN 2.4.4 x86_64-w64-mingw32 [SSL (OpenSSL)] [LZO] [LZ4] [PKCS11] [AEAD] built on Sep 26 2017
Wed Feb 21 14:24:34 2018 Windows version 6.2 (Windows 8 or greater) 64bit
Wed Feb 21 14:24:34 2018 library versions: OpenSSL 1.0.2l 25 May 2017, LZO 2.10
Enter Management Password:
Wed Feb 21 14:24:34 2018 MANAGEMENT: TCP Socket listening on [AF_INET]127.0.0.1:25340
Wed Feb 21 14:24:34 2018 Need hold release from management interface, waiting...
Wed Feb 21 14:24:35 2018 MANAGEMENT: Client connected from [AF_INET]127.0.0.1:25340
Wed Feb 21 14:24:35 2018 MANAGEMENT: CMD 'state on'
Wed Feb 21 14:24:35 2018 MANAGEMENT: CMD 'log all on'
Wed Feb 21 14:24:35 2018 MANAGEMENT: CMD 'echo all on'
Wed Feb 21 14:24:35 2018 MANAGEMENT: CMD 'hold off'
Wed Feb 21 14:24:35 2018 MANAGEMENT: CMD 'hold release'
Wed Feb 21 14:24:35 2018 TCP/UDP: Preserving recently used remote address: [AF_INET]192.168.2.1:1194
Wed Feb 21 14:24:35 2018 Socket Buffers: R=[65536->65536] S=[65536->65536]
Wed Feb 21 14:24:35 2018 UDP link local: (not bound)
Wed Feb 21 14:24:35 2018 UDP link remote: [AF_INET]192.168.2.1:1194
Wed Feb 21 14:24:35 2018 MANAGEMENT: >STATE:1519219475,WAIT,,,,,,
Wed Feb 21 14:24:35 2018 MANAGEMENT: >STATE:1519219475,AUTH,,,,,,
Wed Feb 21 14:24:35 2018 TLS: Initial packet from [AF_INET]192.168.2.1:1194, sid=39e64d69 c5c6282f
Wed Feb 21 14:24:35 2018 VERIFY OK: depth=1, C=NL, ST=NB, L=Kollum, O=OpenVPN, OU=vdzaag, CN=changeme, name=vdzaag, emailAddress=mail@host.domain
Wed Feb 21 14:24:35 2018 VERIFY KU OK
Wed Feb 21 14:24:35 2018 Validating certificate extended key usage
Wed Feb 21 14:24:35 2018 ++ Certificate has EKU (str) TLS Web Server Authentication, expects TLS Web Server Authentication
Wed Feb 21 14:24:35 2018 VERIFY EKU OK
Wed Feb 21 14:24:35 2018 VERIFY OK: depth=0, C=NL, ST=NB, L=Kollum, O=OpenVPN, OU=vdzaag, CN=server, name=vdzaag, emailAddress=mail@host.domain
Wed Feb 21 14:24:35 2018 Control Channel: TLSv1.2, cipher TLSv1/SSLv3 ECDHE-RSA-AES256-GCM-SHA384, 2048 bit RSA
Wed Feb 21 14:24:35 2018 [server] Peer Connection Initiated with [AF_INET]192.168.2.1:1194
Wed Feb 21 14:24:36 2018 MANAGEMENT: >STATE:1519219476,GET_CONFIG,,,,,,
Wed Feb 21 14:24:36 2018 SENT CONTROL [server]: 'PUSH_REQUEST' (status=1)
Wed Feb 21 14:24:36 2018 PUSH: Received control message: 'PUSH_REPLY,redirect-gateway def1,route-gateway 10.8.0.1,topology subnet,ping 10,ping-restart 120,ifconfig 10.8.0.2 255.255.255.0,peer-id 0,cipher AES-256-GCM'
Wed Feb 21 14:24:36 2018 OPTIONS IMPORT: timers and/or timeouts modified
Wed Feb 21 14:24:36 2018 OPTIONS IMPORT: --ifconfig/up options modified
Wed Feb 21 14:24:36 2018 OPTIONS IMPORT: route options modified
Wed Feb 21 14:24:36 2018 OPTIONS IMPORT: route-related options modified
Wed Feb 21 14:24:36 2018 OPTIONS IMPORT: peer-id set
Wed Feb 21 14:24:36 2018 OPTIONS IMPORT: adjusting link_mtu to 1625
Wed Feb 21 14:24:36 2018 OPTIONS IMPORT: data channel crypto options modified
Wed Feb 21 14:24:36 2018 Data Channel: using negotiated cipher 'AES-256-GCM'
Wed Feb 21 14:24:36 2018 Outgoing Data Channel: Cipher 'AES-256-GCM' initialized with 256 bit key
Wed Feb 21 14:24:36 2018 Incoming Data Channel: Cipher 'AES-256-GCM' initialized with 256 bit key
Wed Feb 21 14:24:36 2018 interactive service msg_channel=0
Wed Feb 21 14:24:36 2018 ROUTE_GATEWAY 192.168.1.1/255.255.255.0 I=7 HWADDR=10:7b:44:95:24:fa
Wed Feb 21 14:24:36 2018 open_tun
Wed Feb 21 14:24:36 2018 TAP-WIN32 device [Ethernet 2] opened: \\.\Global\{2824BCEC-A700-4BD2-BD20-130B62704E7D}.tap
Wed Feb 21 14:24:36 2018 TAP-Windows Driver Version 9.21
Wed Feb 21 14:24:36 2018 Set TAP-Windows TUN subnet mode network/local/netmask = 10.8.0.0/10.8.0.2/255.255.255.0 [SUCCEEDED]
Wed Feb 21 14:24:36 2018 Notified TAP-Windows driver to set a DHCP IP/netmask of 10.8.0.2/255.255.255.0 on interface {2824BCEC-A700-4BD2-BD20-130B62704E7D} [DHCP-serv: 10.8.0.254, lease-time: 31536000]
Wed Feb 21 14:24:36 2018 Successful ARP Flush on interface [36] {2824BCEC-A700-4BD2-BD20-130B62704E7D}
Wed Feb 21 14:24:36 2018 do_ifconfig, tt->did_ifconfig_ipv6_setup=0
Wed Feb 21 14:24:36 2018 MANAGEMENT: >STATE:1519219476,ASSIGN_IP,,10.8.0.2,,,,
Wed Feb 21 14:24:41 2018 TEST ROUTES: 1/1 succeeded len=0 ret=1 a=0 u/d=up
Wed Feb 21 14:24:41 2018 C:\Windows\system32\route.exe ADD 192.168.2.1 MASK 255.255.255.255 192.168.1.1
Wed Feb 21 14:24:41 2018 ROUTE: CreateIpForwardEntry succeeded with dwForwardMetric1=25 and dwForwardType=4
Wed Feb 21 14:24:41 2018 Route addition via IPAPI succeeded [adaptive]
Wed Feb 21 14:24:41 2018 C:\Windows\system32\route.exe ADD 0.0.0.0 MASK 128.0.0.0 10.8.0.1
Wed Feb 21 14:24:41 2018 ROUTE: CreateIpForwardEntry succeeded with dwForwardMetric1=35 and dwForwardType=4
Wed Feb 21 14:24:41 2018 Route addition via IPAPI succeeded [adaptive]
Wed Feb 21 14:24:41 2018 C:\Windows\system32\route.exe ADD 128.0.0.0 MASK 128.0.0.0 10.8.0.1
Wed Feb 21 14:24:41 2018 ROUTE: CreateIpForwardEntry succeeded with dwForwardMetric1=35 and dwForwardType=4
Wed Feb 21 14:24:41 2018 Route addition via IPAPI succeeded [adaptive]
Wed Feb 21 14:24:41 2018 Initialization Sequence Completed
Wed Feb 21 14:24:41 2018 MANAGEMENT: >STATE:1519219481,CONNECTED,SUCCESS,10.8.0.2,192.168.2.1,1194,,
En hier als ik hem via de WAN laat lopen:
Wed Feb 21 14:20:51 2018 OpenVPN 2.4.4 x86_64-w64-mingw32 [SSL (OpenSSL)] [LZO] [LZ4] [PKCS11] [AEAD] built on Sep 26 2017
Wed Feb 21 14:20:51 2018 Windows version 6.2 (Windows 8 or greater) 64bit
Wed Feb 21 14:20:51 2018 library versions: OpenSSL 1.0.2l 25 May 2017, LZO 2.10
Enter Management Password:
Wed Feb 21 14:20:51 2018 MANAGEMENT: TCP Socket listening on [AF_INET]127.0.0.1:25340
Wed Feb 21 14:20:51 2018 Need hold release from management interface, waiting...
Wed Feb 21 14:20:52 2018 MANAGEMENT: Client connected from [AF_INET]127.0.0.1:25340
Wed Feb 21 14:20:52 2018 MANAGEMENT: CMD 'state on'
Wed Feb 21 14:20:52 2018 MANAGEMENT: CMD 'log all on'
Wed Feb 21 14:20:52 2018 MANAGEMENT: CMD 'echo all on'
Wed Feb 21 14:20:52 2018 MANAGEMENT: CMD 'hold off'
Wed Feb 21 14:20:52 2018 MANAGEMENT: CMD 'hold release'
Wed Feb 21 14:20:52 2018 TCP/UDP: Preserving recently used remote address: [AF_INET]XX.XXX.XXX.XX:1194
Wed Feb 21 14:20:52 2018 Socket Buffers: R=[65536->65536] S=[65536->65536]
Wed Feb 21 14:20:52 2018 UDP link local: (not bound)
Wed Feb 21 14:20:52 2018 UDP link remote: [AF_INET]XX.XXX.XXX.XX:1194
Wed Feb 21 14:20:52 2018 MANAGEMENT: >STATE:1519219252,WAIT,,,,,,
Wed Feb 21 14:21:52 2018 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Wed Feb 21 14:21:52 2018 TLS Error: TLS handshake failed
Wed Feb 21 14:21:52 2018 SIGUSR1[soft,tls-error] received, process restarting
Wed Feb 21 14:21:52 2018 MANAGEMENT: >STATE:1519219312,RECONNECTING,tls-error,,,,,
Wed Feb 21 14:21:52 2018 Restart pause, 5 second(s)
Wed Feb 21 14:21:55 2018 SIGTERM[hard,init_instance] received, process exiting
Wed Feb 21 14:21:55 2018 MANAGEMENT: >STATE:1519219315,EXITING,init_instance,,,,,
EDIT:

Deze twee regels in de config file van de client gezet, en het werkte..

push "route 192.168.1.0 255.255.255.0"
push "redirect-gateway def1"

[ Voor 167% gewijzigd door Fryslanboy op 21-02-2018 16:57 ]

woensdag 21 februari 2018 18:54

Acties:
  • Thralas
  • Registratie: December 2002
  • Laatst online: 16:17

Thralas

Fryslanboy schreef op woensdag 21 februari 2018 @ 13:56:
EDIT:

Deze twee regels in de config file van de client gezet, en het werkte..

push "route 192.168.1.0 255.255.255.0"
push "redirect-gateway def1"
Dat had er in ieder geval niets mee te maken.

Configs zien er prima uit - en dat hebn je bevestigd door via het LAN te verbinden.

Als je nu nog problemen ondervindt via de 'echte' route dan is de meest logische vervolgstap om een packet capture te maken om te controleren of je server uberhaupt een antwoord terugstuurt. Ik zou ook verwachten dat hij daar sowieso wat over te melden heeft als je 'verb' maar hoog genoeg zet - meer dan enkel de 'Initial packet from'...

woensdag 21 februari 2018 19:08

Acties:
  • Fryslanboy
  • Registratie: Maart 2010
  • Laatst online: 19-11 01:40

Fryslanboy

Topicstarter
Oke. Ben in ieder geval blij dat het werkt. Wel heel toevallig. Moet wel zeggen dat ik al gauw de neiging heb om met drie verschillende dingen bezig te gaan.

Heb namelijk in de tussentijd alles uit de router gehaald, de VPN programma's opnieuw geinstalleerd, weer opnieuw de bat files gedraaid. Maargoed.

Ik ga dat eens testen. Wat hij dan te melden heeft.
Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq