OpenVPN op Pi met TP-Link C3200 werkt niet

Hallo allemaal,

Sinds kort heb ik een TP-Link Archer C3200 router achter mijn Ziggo modem (in Bridge) geinstalleerd. Op een raspberry Pi draait Openvpn en direct na de installatie werkte dit prima op mijn oude Router (WRT3500). Mijn twee clients, beide Android telefoons, konden zonder problemen verbinding maken.

Op mijn nieuwe router zijn er problemen, helaas.
Ik was vergeten dat Ziggo dynamisch IP adressen uit deelt en zodoende gebeurde het dat m'n Openvpn verbinding weg viel.

Na wat onderzoek een DynDNS profiel aangemaakt, mijn router instellingen gewijzigd zodat deze er nu voor zorgt dat het Dyn DNS werkt.

Maar op de een of andere manier krijg ik geen verbinding met de OpenVPN server.

Eerst zat ik in de verkeerde file te prutsen, dat is nu weer terug zoals het was. de Default.txt van PiVPN omgezet van static naar Dynamic;

client
dev tun
proto udp
remote XXXXXX.dyndns.info 1194
resolv-retry infinite
nobind
persist-key
persist-tun
key-direction 1
remote-cert-tls server
tls-version-min 1.2
verify-x509-name server_PPRSTOaQRsRB9wFW name
cipher AES-256-CBC
auth SHA256
comp-lzo
verb 3

De OpenVPN server.conf;

dev tun
proto udp
port 1194
ca /etc/openvpn/easy-rsa/pki/ca.crt
cert /etc/openvpn/easy-rsa/pki/issued/server_PPRB9wFW.crt
key /etc/openvpn/easy-rsa/pki/private/server_PP9wFW.key
dh /etc/openvpn/easy-rsa/pki/dh2048.pem
topology subnet
server 10.8.0.0 255.255.255.0
# Set your primary domain name server address for clients
push "dhcp-option DNS 10.0.0.1"
push "dhcp-option DNS 89.101.251.228"
# Prevent DNS leaks on Windows
push "block-outside-dns"
# Override the Client default gateway by using 0.0.0.0/1 and
# 128.0.0.0/1 rather than 0.0.0.0/0. This has the benefit of
# overriding but not wiping out the original default gateway.
push "redirect-gateway def1"
client-to-client
keepalive 1800 3600
remote-cert-tls client
tls-version-min 1.2
ls-auth /etc/openvpn/easy-rsa/pki/ta.key 0
cipher AES-256-CBC
auth SHA256
comp-lzo
user nobody
group nogroup
persist-key
persist-tun
crl-verify /etc/openvpn/crl.pem
status /var/log/openvpn-status.log 20
status-version 3
syslog
verb 3
#DuplicateCNs allow access control on a less-granular, per user basis.
#Remove # if you will manage access by user instead of device.
#duplicate-cn
# Generated for use by PiVPN.io

Zoals eerder gezegd, toen PiVPN nog op het statische adres stond, deed het gebeuren het wel. Ook het terugzetten van de client config file naar static helpt niet.

In de nieuwe router staan de poorten 1194 (UDP) en 443 (TCP) open en verwijzen naar de Pi. op de Pi draaien Fail2Ban en UFW. In UFW staan de beide poorten ook op allowed.

Ik begin een beetje op de rotonde van de radeloosheid te geraken, heeft iemand een tip in welke richting ik moet kijken?
...

Ik zie op de Pi verkeer binnen komen als ik via 4G m'n telefoon de openVPN app laat draaien en verbinding probeer te maken.

21:24:16.823617 IP 89.214.134.196.32396 > 10.0.0.254.openvpn: UDP, length 54
21:24:17.841746 IP 89.214.134.196.32396 > 10.0.0.254.openvpn: UDP, length 54

Het lijkt er op dat OpenVPN helemaal niet reageert...

[ Voor 33% gewijzigd door Looney11 op 29-07-2018 21:25 ]

Met netstat -ant|grep 1194 krijg ik niks te zien, met netstat -an een helehoop spul maar zowel OpenVPN als iets met 1194 staan er niet tussen.

eeeh niet te snel

Met sudo service openvpn start en daarna sudo service --status-all zie ik een + bij Openvpn staan, dan draait de service in ieder geval..

Jul 29 22:55:47 raspberrypi systemd[1]: Starting OpenVPN connection to server...
Jul 29 22:55:47 raspberrypi systemd[1]: Started OpenVPN service.
Jul 29 22:55:48 raspberrypi systemd[1]: openvpn@server.service: control process exited, code=exited status=1
Jul 29 22:55:48 raspberrypi systemd[1]: Failed to start OpenVPN connection to server.
Jul 29 22:55:48 raspberrypi systemd[1]: Unit openvpn@server.service entered failed state.

hmmm

Jul 29 22:55:47 raspberrypi ovpn-server[1045]: Options error: Unrecognized option or missing parameter(s) in /etc/openvpn/server.conf:23: ls-auth (2.3.4)

Even server.conf er bij pakken..

line 23: ls-auth /etc/openvpn/easy-rsa/pki/ta.key 0

Ah, veranderd en opnieuw opgestart.

Jul 29 23:28:22 raspberrypi ovpn-server[1864]: OpenVPN 2.3.4 arm-unknown-linux-gnueabihf [SSL (OpenSSL)] [LZO] [EPOLL] [PKCS11] [MH] [IPv6] built on Jun 27 2017
Jul 29 23:28:22 raspberrypi ovpn-server[1864]: library versions: OpenSSL 1.0.1t 3 May 2016, LZO 2.08
Jul 29 23:28:22 raspberrypi ovpn-server[1864]: Diffie-Hellman initialized with 2048 bit key
Jul 29 23:28:22 raspberrypi ovpn-server[1864]: Cannot load certificate file /etc/openvpn/easy-rsa/pki/issued/server_PPRSTOaQRsRB9wFW.crt: error:0906D06C:PEM routines:PEM_read_bio:no start line: error:140AD009:SSL routines:SSL_CTX_u$
Jul 29 23:28:22 raspberrypi ovpn-server[1864]: Exiting due to fatal error

Ik heb niks aan de certificate files veranderd, laat staan commando's gegeven daarvoor. Moet ik na elke wijziging alle key files opnieuw genereren of zo?

Ik kijk vanavond weer even. In het ergste geval laat ik OpenVPN nieuwe keys generen, wellicht dat dat soelaas biedt.

OpenVPN opnieuw geconfigureerd en gelijk DynDNS optie gekozen. Nu werkt alles naar behoren.

KinfOfDos bedankt voor de hulp, ben weer wat rijker geworden qua storing zoeken en Linux commando's. Predator ook bedankt!