Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

OpenVPN Server auf DDWRT startet nicht

Frage Internet

Mitglied: Mehonidas

Mehonidas (Level 1) - Jetzt verbinden

19.08.2011, aktualisiert 18.10.2012, 6215 Aufrufe, 31 Kommentare

Hallo Community,
ich habe nach Anleitungen aus diesem Forum einen Linksys Router mit der DDWRT Firmenware geflasht und anschließend OpenVPN Schlüssel erstellt und in diesem eingebunden. Wenn ich den Serverstatus mithilfe von Putti abfrage wird der OpenVPN Diesnt/Prozes nicht angezeigt.
Was nun tun ?

Das Netz:
Ich habe ein Modem welches die Internetverbindung herstellt und dahinter den DDWRT der den VPN Server beherbergen soll, dahinter ist dann das eigentliche Netz mit Clienten, Server und Drucker:

Mit RealTimeViewer habe ich diesen Logeintrag gefunden: (Der gesammte Log steht Unten)
19/08/20011 15:57:43 Daemon Error 192.168.128.254 Jan 1 00:00:14 openvpn[263]: Cannot open /tmp/openvpn/dh1024.pem for DH parameters:
Den Schlüssel habe ich nochmal eingefügt und auch das Feld auf richtigkeit überprüft, leider half das nicht,

Kann es sein, dass meine Server Conf falsch ist?

Server Config

port 1197
proto udp
dev tun0
ca /tmp/openvpn/ca.crt
cert /tmp/openvpn/Name-OpenVPN.crt
key /tmp/openvpn/Name-OpenVPN.key
dh /tmp/openvpn/dh1024.pem
server 10.8.0.0 255.255.255.0
push "route 192.168.128.0 255.255.255.0"
keepalive 10 120
comp-lzo
persist-key
persist-tun
verb 3

Ich bin für jeden Ratschlag dankbar!

Gruß Meho


RealTimeViewer Log

19/08/20011 15:57:36 User Info 192.168.128.254 Jan 1 00:00:05 kernel: device eth0 entered promiscuous mode
19/08/20011 15:57:36 User Info 192.168.128.254 Jan 1 00:00:05 kernel: device vlan0 entered promiscuous mode
19/08/20011 15:57:36 User Info 192.168.128.254 Jan 1 00:00:05 kernel: device eth1 entered promiscuous mode
19/08/20011 15:57:36 User Info 192.168.128.254 Jan 1 00:00:05 kernel: device eth1 entered promiscuous mode
19/08/20011 15:57:37 User Info 192.168.128.254 Jan 1 00:00:07 syslog: vpn modules : vpn modules successfully unloaded
19/08/20011 15:57:37 User Info 192.168.128.254 Jan 1 00:00:07 syslog: vpn modules : ip_conntrack_proto_gre successfully loaded
19/08/20011 15:57:37 User Info 192.168.128.254 Jan 1 00:00:08 syslog: vpn modules : ip_nat_proto_gre successfully loaded
19/08/20011 15:57:38 User Info 192.168.128.254 Jan 1 00:00:08 syslog: vpn modules : ip_conntrack_pptp successfully loaded
19/08/20011 15:57:38 User Info 192.168.128.254 Jan 1 00:00:08 syslog: vpn modules : ip_nat_pptp successfully loaded
19/08/20011 15:57:39 User Info 192.168.128.254 Jan 1 00:00:09 syslog: wland : WLAN daemon successfully started
19/08/20011 15:57:39 User Info 192.168.128.254 Jan 1 00:00:09 syslog: cron : cron daemon successfully started
19/08/20011 15:57:39 Cron Info 192.168.128.254 Jan 1 00:00:10 cron[258]: (CRON) STARTUP (fork ok)
19/08/20011 15:57:39 Cron Info 192.168.128.254 Jan 1 00:00:10 cron[258]: (crontabs) ORPHAN (no passwd entry)
19/08/20011 15:57:41 System0 Info 192.168.128.254 Jan 1 00:00:11 dropbear[264]: Running in background
19/08/20011 15:57:43 Daemon Notice 192.168.128.254 Jan 1 00:00:13 openvpn[263]: OpenVPN 2.1_rc7 mipsel-unknown-linux-gnu [SSL] [LZO1] [EPOLL] built on Jul 27 2008
19/08/20011 15:57:43 Daemon Error 192.168.128.254 Jan 1 00:00:14 openvpn[263]: Cannot open /tmp/openvpn/dh1024.pem for DH parameters: error:02001002:lib(2):func(1):reason(2): error:2006D080:lib(32):func(109):reason(128)
19/08/20011 15:57:43 Daemon Notice 192.168.128.254 Jan 1 00:00:14 openvpn[263]: Exiting
19/08/20011 15:57:43 User Info 192.168.128.254 Jan 1 00:00:14 kernel: device vlan1 entered promiscuous mode
19/08/20011 15:57:44 User Emergency 192.168.128.254 Jan 1 00:00:14 kernel: vlan1: Setting MAC address to c0 c1 c0 3c f2 e5.
19/08/20011 15:57:44 User Info 192.168.128.254 Jan 1 00:00:14 kernel: vlan1: dev_set_promiscuity(master, 1)
19/08/20011 15:57:44 User Info 192.168.128.254 Jan 1 00:00:14 kernel: vlan1: dev_set_allmulti(master, 1)
19/08/20011 15:57:44 User Info 192.168.128.254 Jan 1 00:00:14 kernel: vlan1: dev_set_promiscuity(master, -1)
19/08/20011 15:57:44 User Info 192.168.128.254 Jan 1 00:00:14 kernel: device vlan1 left promiscuous mode
19/08/20011 15:57:44 User Info 192.168.128.254 Jan 1 00:00:14 kernel: vlan1: dev_set_allmulti(master, -1)
19/08/20011 15:57:44 User Debug 192.168.128.254 Jan 1 00:00:14 kernel: vlan1: add 01:00:5e:00:00:01 mcast address to master interface
19/08/20011 15:57:44 User Info 192.168.128.254 Jan 1 00:00:14 syslog: vpn modules : vpn modules successfully unloaded
19/08/20011 15:57:44 User Info 192.168.128.254 Jan 1 00:00:14 syslog: vpn modules : ip_conntrack_proto_gre successfully loaded
19/08/20011 15:57:44 User Info 192.168.128.254 Jan 1 00:00:14 syslog: vpn modules : ip_nat_proto_gre successfully loaded
19/08/20011 15:57:44 User Info 192.168.128.254 Jan 1 00:00:14 syslog: vpn modules : ip_conntrack_pptp successfully loaded
19/08/20011 15:57:44 User Info 192.168.128.254 Jan 1 00:00:14 syslog: vpn modules : ip_nat_pptp successfully loaded
19/08/20011 15:57:45 User Info 192.168.128.254 Jan 1 00:00:15 syslog: process_monitor successfully started
19/08/20011 15:57:46 Daemon Debug 192.168.128.254 Aug 19 15:57:58 process_monitor[313]: We need to re-update after 3600 seconds
19/08/20011 15:57:52 User Info 192.168.128.254 Aug 19 15:58:04 syslog: vpn modules : vpn modules successfully unloaded
19/08/20011 15:57:52 User Info 192.168.128.254 Aug 19 15:58:04 syslog: vpn modules : ip_conntrack_proto_gre successfully loaded
19/08/20011 15:57:52 User Info 192.168.128.254 Aug 19 15:58:04 syslog: vpn modules : ip_nat_proto_gre successfully loaded
19/08/20011 15:57:52 User Info 192.168.128.254 Aug 19 15:58:04 syslog: vpn modules : ip_conntrack_pptp successfully loaded
19/08/20011 15:57:52 User Info 192.168.128.254 Aug 19 15:58:04 syslog: vpn modules : ip_nat_pptp successfully loaded
19/08/20011 15:57:53 User Info 192.168.128.254 Aug 19 15:58:05 syslog: wland : WLAN daemon successfully stopped
19/08/20011 15:57:54 User Info 192.168.128.254 Aug 19 15:58:07 syslog: vpn modules : vpn modules successfully unloaded
19/08/20011 15:57:54 User Info 192.168.128.254 Aug 19 15:58:07 syslog: vpn modules : ip_conntrack_proto_gre successfully loaded
19/08/20011 15:57:54 User Info 192.168.128.254 Aug 19 15:58:07 syslog: vpn modules : ip_nat_proto_gre successfully loaded
19/08/20011 15:57:54 User Info 192.168.128.254 Aug 19 15:58:07 syslog: vpn modules : ip_conntrack_pptp successfully loaded
19/08/20011 15:57:54 User Info 192.168.128.254 Aug 19 15:58:07 syslog: vpn modules : ip_nat_pptp successfully loaded
19/08/20011 15:57:55 User Info 192.168.128.254 Aug 19 15:58:08 syslog: wland : WLAN daemon successfully started
19/08/20011 15:57:55 User Info 192.168.128.254 Aug 19 15:58:08 syslog: WAN is up. IP: 192.168.130.2
19/08/20011 15:57:55 User Info 192.168.128.254 Aug 19 15:58:08 syslog: ttraff : traffic counter daemon successfully started
19/08/20011 15:57:56 User Debug 192.168.128.254 Aug 19 15:58:08 syslog: ttraff: data collection started
19/08/20011 15:57:57 User Info 192.168.128.254 Aug 19 15:58:09 syslog: klogd : klog daemon successfully stopped
19/08/20011 15:57:57 User Info 192.168.128.254 Aug 19 15:58:09 syslog: syslogd : syslog daemon successfully stopped
19/08/20011 15:57:57 User Info 192.168.128.254 Aug 19 15:58:10 syslog: klogd : klog daemon successfully started
19/08/20011 15:57:57 User Notice 192.168.128.254 Aug 19 15:58:10 kernel: klogd started: BusyBox v1.11.1 (2008-07-27 16:20:53 CEST)
31 Antworten
Mitglied: runlevel2
19.08.2011 um 18:04 Uhr
Hi,

möglicherweise wird das /tmp-Verzeichnis beim Reboot/Start des Systems komplett geleert. Ich würde als erstes alle Dateien unter /etc/openvpn und die config anpassen. Der Key sollte nicht für alle lesbar sein.

Grüße, Kurt
Bitte warten ..
Mitglied: aqui
19.08.2011, aktualisiert 18.10.2012
Lies dir bitte das Tutorial im Abschnitt OpenVPN installieren einmal genau durch:
http://www.administrator.de/wissen/openvpn-server-installieren-auf-dd-w ...
Und beantworte folgende Fragen bzw. poste den Output hier:
  • Hast du mit SSH (Putty etc.) einen Shellzugang wie im Tutorial beschrieben aktiviert ?
  • Stimmen alle Dateirechte im Verzeichnis /tmp/openvpn ? ls -l /tmp/openvpn ?
  • Was sagt der Output von ps ?
  • Wichtig: Was passiert wenn du OpenVPN manuell startest mit openvpn -conf /tmp/openvpn/openvpn.conf ? Startet der Dienst dann und ist er mit "ps" zu sehen ? Poste ggf. den Output hier wenn du manuell startest wie es auch im Tutorialmzusehen ist ! Anhand des Terminaloutputs kann man sofort sehen wo es kneift.
Bevor du diese Fragen nicht sicher beantwortest müssen wir hier nicht weitermachen. Alles andere wäre Raten im freien Fall
Bitte warten ..
Mitglied: Mehonidas
22.08.2011 um 11:29 Uhr
Hallo Ihr 2 Danke für eure Antworten!

Zitat von aqui:
  • Hast du mit SSH (Putty etc.) einen Shellzugang wie im Tutorial beschrieben aktiviert ?
Ja sonst wäre ich ja gar nicht darauf gekommen, dass der Dienst nicht läuft!

* Stimmen alle Dateirechte im Verzeichnis /tmp/openvpn ? ls -l /tmp/openvpn ?
  • Was sagt der Output von ps ?
da steht nichts von VPN oder der gleichen!
* Wichtig: Was passiert wenn du OpenVPN manuell startest mit openvpn -conf /tmp/openvpn/openvpn.conf ? Startet der Dienst dann
und ist er mit "ps" zu sehen ? Poste ggf. den Output hier wenn du manuell startest wie es auch im Tutorialmzusehen ist !
Ich hab mal nen Sceenshot hochgeladen:
Putti Screenshot


Was meinst du mit, den Schlüssel sollte nicht jeder lesen können, den hab ich doch nirgens gepostet, oder ?
Meinst du den Nemen ?

Vielen Dank

Gruß Meho
Bitte warten ..
Mitglied: runlevel2
22.08.2011 um 12:01 Uhr
Hallo Meho,


Ich hab mal nen Sceenshot hochgeladen:
Putti Screenshot
OpenVPN startet nicht. Bei mir heißt der Parameter --config, also:

openvpn --config /tmp/openvpn/openvpn.conf



Was meinst du mit, den Schlüssel sollte nicht jeder lesen können, den hab ich doch nirgens gepostet, oder ?
Meinst du den Nemen ?
Damit meinte ich den Server-key; also /tmp/openvpn/Name-OpenVPN.key.

Grüße, Kurt



Vielen Dank

Gruß Meho
Bitte warten ..
Mitglied: Mehonidas
22.08.2011 um 12:12 Uhr
openvpn --config /tmp/openvpn/openvpn.conf

Hallo Kurt,
wenn ich das so eingebe wie du es geschrieben hast, kommt die gleiche Fehlermeldung wie in der Log Datei:

Das ist der Copy aus Putti:

Mon Aug 22 12:09:54 2011 OpenVPN 2.1_rc7 mipsel-unknown-linux-gnu [SSL] [LZO1] [EPOLL] built on Jul 27 2008
Mon Aug 22 12:09:54 2011 Cannot open /tmp/openvpn/dh1024.pem for DH parameters: error:02001002:lib(2):func(1):reason(2): error:2006D080:lib(32):func(109):reason(128)
Mon Aug 22 12:09:54 2011 Exiting

Gruß Meho
Bitte warten ..
Mitglied: aqui
22.08.2011 um 13:39 Uhr
Keine Ahnung was du da machst auf deinem DD-WRT aber wenn man die Zertifikate (oder Testzertifikate) wie im Tutorial beschrieben installierst und alles korrekt Schritt für Schritt ausführst ist der OpenVPN Dienst automatisch gestartet. Spätestens nach einem Rebbot des Routers !!
Die Fehlermeldung oben sagt aber ganz klar das deine dh1024.pem Datei kaputt ist und/oder du die vermutlich nicht richtig kopiert hast über das GUI oder WinSCP oder wie auch immer du die auf den Router bringst ?! 2te Möglichkeit du hast die falschen Dateirechte für diese Datei. ls-l und der Check im Tutorial sagen dir das auf Anhieb !
Das ist doch eindeutig und dann korrigierst du das !! Das muss man nicht mal einem Erstklässler erklären....sorry !

Du hast immer die folgenden Optionen OpenVPN einmal von Hand zu starten um die Startmeldungen von OpenVPN zu sehen. Dazu kannst du ins Verzeichnis /tmp/openvpn gehen und erstmal mit ls -l nachsehen ob alle Dateien da sind !
Dann führst du das Kommando: openvpn /tmp/openvpn/openvpn.conf aus ! Das sollte sauber starten wie auf diesem Screenshot zu sehen:

26f2ba88d6c786c6db2e2b448aae36f4 - Klicke auf das Bild, um es zu vergrößern

Ist das der Fall und du siehst alle korrekten Startmeldungen von OpenVPN, dann kommt der nächste Schritt und du kannst OpenVPN dann manauell als Daemon (Dienst) starten !
Das geschieht mit dem Kommando: openvpn --config /tmp/openvpn/openvpn.conf --daemon
Der folgende Screenshot zeigt dir das. Einmal "ps" wo du siehst das der Dienst nicht rennt und nach dem Starten des Dienstes wo er gestartet ist und in der Prozessliste zu sehen ist:

02fbb88c78cce3755b77d6a37df65e54 - Klicke auf das Bild, um es zu vergrößern

Das ist doch eine lächerliche Standardprozedur zum Checken, ohne das man dafür 20 Threadeinträge schreiben muss dzzzz....
Korrigier also deine dh1024.pem und gut iss !!
Bitte warten ..
Mitglied: skapi85
18.12.2016 um 19:07 Uhr
Hallo,

ich weiß, der Thread ist schon ein paar Tage alt, aber ich kämpfe gerade mit einem ähnlichen Problem...
Hab einen Netgear R7000 mit DD-wrt (kongac)

Server config
01.
port xxx 
02.
proto tcp 
03.
dev tun0 
04.
ca /tmp/openvpn/ca.crt 
05.
cert /tmp/openvpn/cert.pem 
06.
key /tmp/openvpn/key.pem  
07.
dh /tmp/openvpn/dh.pem  
08.
server 10.8.0.0 255.255.255.0 
09.
push "dhcp-options DNS 8.8.8.8" 
10.
push "redirect-gateway def1" 
11.
keepalive 10 120 
12.
comp-lzo 
13.
persist-key 
14.
persist-tun 
15.
verb 3
Das ist die Ausgabe auf der Konsole
01.
root@Privat:~# openvpn /tmp/openvpn/openvpn.conf 
02.
Sun Dec 18 17:56:22 2016 OpenVPN 2.4_rc1 arm-unknown-linux-gnu [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [MH/PKTINFO] [AEAD] 
03.
Sun Dec 18 17:56:22 2016 library versions: OpenSSL 1.0.2j  26 Sep 2016, LZO 2.09 
04.
Sun Dec 18 17:56:22 2016 Diffie-Hellman initialized with 2016 bit key 
05.
Sun Dec 18 17:56:22 2016 TUN/TAP device tun0 opened 
06.
Sun Dec 18 17:56:22 2016 TUN/TAP TX queue length set to 100 
07.
Sun Dec 18 17:56:22 2016 do_ifconfig, tt->did_ifconfig_ipv6_setup=0 
08.
Sun Dec 18 17:56:22 2016 /sbin/ifconfig tun0 10.8.0.1 pointopoint 10.8.0.2 mtu 1500 
09.
Sun Dec 18 17:56:22 2016 /sbin/route add -net 10.8.0.0 netmask 255.255.255.0 gw 10.8.0.2 
10.
Sun Dec 18 17:56:22 2016 Could not determine IPv4/IPv6 protocol. Using AF_INET6 
11.
Sun Dec 18 17:56:22 2016 Cannot create TCP socket: Address family not supported by protocol (errno=97) 
12.
Sun Dec 18 17:56:22 2016 Exiting due to fatal error 
13.
Sun Dec 18 17:56:22 2016 /sbin/route del -net 10.8.0.0 netmask 255.255.255.0 
14.
Sun Dec 18 17:56:22 2016 Closing TUN/TAP interface 
15.
Sun Dec 18 17:56:22 2016 /sbin/ifconfig tun0 0.0.0.0
Jemand ne Idee wo hier ein Fehler ist?
Bitte warten ..
Mitglied: BirdyB
18.12.2016 um 21:05 Uhr
Jep... dein Router hat wohl keine IPv6-Adresse...
Konfiguriere OpenVPN mal fest auf IPv4...
Bitte warten ..
Mitglied: aqui
19.12.2016 um 10:21 Uhr
Und "push "dhcp-options DNS 8.8.8.8" " machen nur ziemliche Dummies deren ihre privatsphäre nix mehr wert ist. Das Google dann die Gewohnheiten in ein Profil packt ist. Klar....
Sowas an seine Clients zu pushen ist völliger Blödsinn in der OVPN Konfig !
Wenn dann den lokalen DNS oder den des Providers (Router) niemals aber Google !
Bitte warten ..
Mitglied: skapi85
19.12.2016 um 11:08 Uhr
@BirdyB Das ist richtig, ipv6 ist beim Router deaktiviert.
Wie soll ich deiner Meinung nach die Konfiguration ändern?

@aqui Google DNS erschien mir gestern, testweise als beste Lösung. Dass das keine Dauerlösung ist, ist für mich klar!

Wichtig ist dass ich ovpn mal zum laufen bekomme
Bitte warten ..
Mitglied: BirdyB
19.12.2016 um 12:43 Uhr
Müsste es dann nicht "proto tcp-server" heißen?
Bitte warten ..
Mitglied: aqui
19.12.2016 um 14:08 Uhr
Müsste es dann nicht "proto tcp-server" heißen?
Nein das ist schon richtig. Siehe hier:
https://openvpn.net/index.php/open-source/documentation/howto.html#examp ...

Den fatalen Fehler den der TO aber macht ist TCP Encapsulation zu nutzen. Das ist so gut wie immer tödlich und sollte man niemals machen, das das den Tunneloverhead unnötigerweise erhöht und weitere Probleme mit der MTU gibt.
Das OVPN Manual rät deshalb auch aus guten Grund dringenst davon ab und immer wenn nur irgend möglich mit UDP Encapsulation zu fahren wie der Standard.
Es ist also recht kontraproduktiv TCP zu nutzen. Besser ist und auch syntaktisch korrekt:
port 1194
proto udp
dev tun0
ca /tmp/openvpn/ca.crt
cert /tmp/openvpn/cert.pem
key /tmp/openvpn/key.pem
dh /tmp/openvpn/dh.pem
server 10.8.0.0 255.255.255.0
push "redirect-gateway def1"
keepalive 10 120
comp-lzo
persist-key
persist-tun
verb 3

Das wäre eine sinnvolle Minimalkonfig. Siehe auch hier:
https://www.administrator.de/wissen/openvpn-server-installieren-dd-wrt-r ...
Wobei hier noch zu beachten ist das der TO mit push redirect.. sein komplettes Default Gateway auf dem Client Rechner in den Tunnel biegt.
Sinnvoller für den Test ist hier erstmal nur das lokale Server LAN zu nehmen mit push route...
Wichtig ist dass ich ovpn mal zum laufen bekomme
Sollte mit der o.a. Konfig fehlerlos klappen.
Sonst zum Troubleshooting hier immer den Logauszug vom Server und Client posten beim Sessionaufbau !
Bitte warten ..
Mitglied: skapi85
19.12.2016, aktualisiert um 17:19 Uhr
Danke für die Antworten!

@aqui Ich hab mal C&P mit deiner Config gemacht, leider das selbe Problem

Hier die Terminal ausgabe
01.
root@Privat:~# openvpn /tmp/openvpn/openvpn.conf 
02.
Mon Dec 19 16:37:19 2016 OpenVPN 2.4_rc1 arm-unknown-linux-gnu [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [MH/PKTINFO] [AEAD] 
03.
Mon Dec 19 16:37:19 2016 library versions: OpenSSL 1.0.2j  26 Sep 2016, LZO 2.09 
04.
Mon Dec 19 16:37:19 2016 Diffie-Hellman initialized with 2016 bit key 
05.
Mon Dec 19 16:37:19 2016 TUN/TAP device tun0 opened 
06.
Mon Dec 19 16:37:19 2016 TUN/TAP TX queue length set to 100 
07.
Mon Dec 19 16:37:19 2016 do_ifconfig, tt->did_ifconfig_ipv6_setup=0 
08.
Mon Dec 19 16:37:19 2016 /sbin/ifconfig tun0 10.8.0.1 pointopoint 10.8.0.2 mtu 1500 
09.
Mon Dec 19 16:37:19 2016 /sbin/route add -net 10.8.0.0 netmask 255.255.255.0 gw 10.8.0.2 
10.
Mon Dec 19 16:37:19 2016 Could not determine IPv4/IPv6 protocol. Using AF_INET6 
11.
Mon Dec 19 16:37:19 2016 UDP: Cannot create UDP/UDP6 socket: Address family not supported by protocol (errno=97) 
12.
Mon Dec 19 16:37:19 2016 Exiting due to fatal error 
13.
Mon Dec 19 16:37:19 2016 /sbin/route del -net 10.8.0.0 netmask 255.255.255.0 
14.
Mon Dec 19 16:37:19 2016 Closing TUN/TAP interface 
15.
Mon Dec 19 16:37:19 2016 /sbin/ifconfig tun0 0.0.0.0 
16.
root@Privat:~# 
bildschirmfoto_2016-12-19_um_17_14_26 - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: aqui
20.12.2016, aktualisiert um 10:36 Uhr
Hier die Terminal ausgabe
Fatal error...ist ja klar das da nicht laufen kann !!!

Das sieht so aus als ob der OpenVPN Prozess noch rennt ?! Kann das sein ??
Hast du mal vorher ps eingegeben und geprüft ob da noch ein OVPN Daemon läuft ??
Den musst du vorher mit kill <prozess_nr> stoppen !!!
Erst dann kannst du manuell den neuen OVPN Prozess starten ! Ansonsten versucht sich der neue Daemon über den Laufenden zu starten was natürlich sofort fehlschlägt wie oben bei dir zu sehen.
Der Output muss dann mit einer "Initialization Sequence Completed" Message abschliessen. Erst dann ist alles sauber !
Siehe auch hier:
https://www.administrator.de/wissen/openvpn-server-installieren-dd-wrt-r ...
Bitte warten ..
Mitglied: skapi85
20.12.2016 um 11:46 Uhr
Hab's mit ps geprüft - läuft nichts
Bitte warten ..
Mitglied: BirdyB
20.12.2016 um 11:54 Uhr
01.
Mon Dec 19 16:37:19 2016 Could not determine IPv4/IPv6 protocol. Using AF_INET6  
02.
11. 
03.
Mon Dec 19 16:37:19 2016 UDP: Cannot create UDP/UDP6 socket: Address family not supported by protocol (errno=97)
Hier liegt wohl das Problem... Ich verstehe nur nicht, warum OpenVPN bei dir so IPv6-affin ist...
Bitte warten ..
Mitglied: aqui
20.12.2016 um 12:32 Uhr
Das ist in der Tat merkwürdig. Deaktiviere doch einfach mal den IPv6 Support auf dem System.
Bitte warten ..
Mitglied: skapi85
20.12.2016 um 14:35 Uhr
Bei mir ist nur ipv4 aktiv - ipv6 ist deaktiviert
Bitte warten ..
Mitglied: aqui
20.12.2016 um 17:16 Uhr
Scheinbar wohl nicht, denn der Router sagt ja das er nicht erkennen kann für welches Protokoll es genutzt wird und sich dann für IPv6 entscheidet was dann prompt in die Hose geht.
Der Blick ins Handbuch sagt dir aber das du IPv4 im Setup erzwingen kannst:
To enforce only IPv4, you need to use --udp4, --tcp4-client or --tcp4-server;

Wenn du also:
proto udp4
in deine Konfig packst sollte er IPv4 erzwingen und starten !
Bitte warten ..
Mitglied: skapi85
21.12.2016 um 11:35 Uhr
Mit proto udp4 gehts (wenn ich Manuell starte) - hatte ich zwar selbst am Anfang mal probiert, da gings nicht aber jetzt gehts.
Jedoch habe ich bei Status keine anzeige drinnen (also kein Success o.Ä.)
Muss hier noch der Pfad fürs pid-file, log usw. angepasst werden (wie in den Server -> Fixed Parameters @ DD-Wrt)?
Bitte warten ..
Mitglied: aqui
21.12.2016 um 12:31 Uhr
aber jetzt gehts.
Das hört sich doch schon mal sehr gut an
Jedoch habe ich bei Status keine anzeige drinnen
Welche Status Anzeige ??
Wenn du den OVPN testweise manuell startest gibts da keinen Status logischerweise.
Dann siehst du doch am Konsolen Output ob da als letzter Satz "Initialization Sequence Completed" , oder ?
Ist das der Fall renn der Daemon fehlerfrei und staertet nach einem Reboot fehlerfrei.
Das manuelle Starten dient nur dazu zu checken ob der Daemon sauber hochkommt und die Konfig OK ist.
Danach rebootest du die Kiste und der Daemon wird ja durch System dann gestartet, was du mit "ps" ja auch checken kannst ob er rennt.

Dann mit dem Client eine Connection versuchen und hier wieder das Log beobachten. Wenn der auch ohne Errormeldung startet und nach einem route print den Tunnel und die Route darein anzeigt ist alles bella mit den VPN und OpenVPN !!
Bitte warten ..
Mitglied: skapi85
21.12.2016 um 15:32 Uhr
Im Terminal startet OpenVPN korrekt
01.
Wed Dec 21 15:01:30 2016 Initialization Sequence Completed
Zitat von aqui:
Welche Status Anzeige ??
Diese hier
bildschirmfoto 2016-12-21 um 15.30.16 - Klicke auf das Bild, um es zu vergrößern

Zitat von aqui:
Ist das der Fall renn der Daemon fehlerfrei und staertet nach einem Reboot fehlerfrei.
Leider wird OVPN beim Reboot nicht mitgestartet
Bitte warten ..
Mitglied: aqui
21.12.2016, aktualisiert um 16:55 Uhr
Im Terminal startet OpenVPN korrekt
Perfekt...sieht gut aus !
Die Status Anzeige ist hier auf einem WRT-54 auch leer aber OVPN rennt fehlerlos !
Sieht nach einem kosmetischen Bug aus.
Leider wird OVPN beim Reboot nicht mitgestartet
Mmmmhhh das ist komisch !! Beim WRT-54 rennt das hier fehlerfrei.
Hast du auch den OVPN Dienst im Setup aktiviert ??
Bitte warten ..
Mitglied: skapi85
21.12.2016 um 17:17 Uhr
Habs in der Zwischenzeit hinbekommen...
1. kongac router update - hat den autostart vom ovpn daemon gefixt
2. die ovpn conf um folgenden Syntax ergänzt management 127.0.0.1 14

Meine aktuelle config schaut nun so aus
01.
port 1194 
02.
proto udp4 
03.
dev tun0 
04.
server 10.8.0.0 255.255.255.0 
05.
push "redirect-gateway def1" 
06.
keepalive 10 120 
07.
comp-lzo 
08.
persist-key 
09.
persist-tun 
10.
verb 3  
11.
mute 3 
12.
management 127.0.0.1 14 
13.
management-log-cache 100 
14.
topology subnet 
15.
script-security 2 
16.
fast-io 
17.
passtos 
18.
writepid /var/run/openvpnd.pid 
19.
log-append /var/log/openvpn 
20.
client-connect /tmp/openvpn/clcon.sh 
21.
client-disconnect /tmp/openvpn/cldiscon.sh 
22.
client-config-dir /tmp/openvpn/ccd 
23.
ifconfig-pool-persist /tmp/openvpn/ip-pool 86400
Firewall sieht so aus (aus dem HowTo)
01.
iptables -I INPUT 1 -p tcp --dport 443 -j ACCEPT 
02.
iptables -I INPUT 3 -i tun0 -j ACCEPT 
03.
iptables -I FORWARD 3 -i tun0 -o tun0 -j ACCEPT 
04.
iptables -I FORWARD -i br0 -o tun0 -j ACCEPT  
05.
iptables -I FORWARD -i tun0 -o br0 -j ACCEPT
Was mir jetzt nur noch fehlt, nachdem der ganze Traffic (Client <-> Server) über den Tunnel läuft dass vom Tunnel über das WAN vom Router ins WWW geroutet wird.
Wie soll denn das hier aussehen?
Bitte warten ..
Mitglied: aqui
21.12.2016 um 18:03 Uhr
Habs in der Zwischenzeit hinbekommen...
Klasse, Glückwunsch !
dass vom Tunnel über das WAN vom Router ins WWW geroutet wird.
Ächz....das versteht keiner
Bitte nochmal genauer ! Soviel ist jetzt verstanden...
  • OVPN Server steht bei dir im lokalen Netz hinter einem NAT Router !
  • Client ist irgendwo im Internet
  • Gesamter Traffic soll vom Client über den OVPN Server via dem Router davor ins Internet, richtig ?
Du willst also quasi sowas wie einen sicheren Tunnel schaffen für deinen Client wenn du mal an öffentlichen Hotspots oder sowas bist, richtig ?

OK, im Grunde ist es ganz einfach....
Der Client schiebt so oder so alles in den Tunnel wenn der aktiv ist. Das kannst du ja mit Traceroute auch wunderbar sehen.
Dein OVPN Router braucht einzig nur eine Default Route auf den davorliegenden NAT Router.
Dieser braucht lediglich einen statische Route auf das 10.8.0.0 /24 Netz via next Hop lolae OVPN Server IP im LAN.
Das wars...
Bitte warten ..
Mitglied: skapi85
21.12.2016 um 19:50 Uhr
Du willst also quasi sowas wie einen sicheren Tunnel schaffen für deinen Client wenn du mal an öffentlichen Hotspots oder sowas bist, richtig ?
Exakt
Bsp. Client ist irgendwo im www -> Tunnelverbindung ist aufrecht -> Wenn ich jetzt beim Client http://www.wieistmeineip.at aufrufe soll die ip vom OVPN Server (die öffentliche IP vom Router=OVPN Server) angezeigt werden
So wie ich das aus dem Wiki verstanden habe, sollte das ca. so aussehen
01.
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE
Bitte warten ..
Mitglied: aqui
21.12.2016, aktualisiert um 20:55 Uhr
Das geht auch, dann machst du NAT am Tunnelinterface, sprich übersetzt das komplette interne VPN Netzwerk 10.8.0.0 auf die LAN IP Adresse des OVPN Servers.
Damit tauchen dann der gesamte Client Traffic mit der lokalen OVPN Server LAN IP Adresse im lokalen Netzwerk auf so das er aussieht wie lokaler Traffic.
Das Masquerading ersetzt die Source IP (Absender IP, -s Parameter) im Paket mit der IP des eth0 Interfaces (-o = output) und gaukelt dem lokalen Router dann so lokalen Traffic vor.
Billige Consumer Router wie häufig die billigen Zwangsrouter von providern NATen oft nur IP Pakete des lokalen LANs aber keine die andere IP Absenderadressen haben. In so einem Fall ist das o.a. Masquerading dann auch zwingend.
Damit ersparst du dir dann sämtliche statischen Routen.
Geht natürlich auch und funktioniert ebenso, wie auch der andere Weg.
Beides ist richtig !
Wenn ich jetzt beim Client http://www.wieistmeineip.at aufrufe soll die ip vom OVPN Server (die öffentliche IP vom Router=OVPN Server) angezeigt werden
Nein !
Das ist natürlich Blödsinn !! Denk mal ein bischen nach bitte !!!
Die Original Absender IP des Clients ist 10.8.0.x die wird dann wenn du das o.a. iptables Masquerading im Tunnel aktivierst am Server auf dessen lokale eth0 IP Adresse gewandelt also eine 192.168.128.x IP aus deinem lokalen LAN.
Damit taucht sie in deinem lokalen LAN auf.
Diese geht jetzt durch den Internet Router davor und wird dann dort nochmals per NAT auf die öffentliche Provider IP gewandelt die dein Router da am DSL/WAN Interface hat. Diese IP siehst du dann bei wieistmeineip
Private RFC 1918 IP Adressen wie die 10er oder 192.168er IP wirst du niemals sehen, denn diese werden im Internet gar nicht geroutet, sind dort also folglich inexistent als IP Netze !
Kannst du dann ganz einfach mal verifizieren wenn du den Tunnel stoppst. Dann geht dein Client über das lokale Internet raus in dem Netz wo er sich befindet und hat dann mit einmal bei wieistmeineip eine ganz andere Absender IP.
Noch plastischer zeigt dir das ein Traceroute (tracert) auf die 8.8.8.8 z.B.
Da siehst du dann logischerweise mit und ohne VPN Tunnel völlig andere Routing Wege ins Ziel
Bitte warten ..
Mitglied: skapi85
22.12.2016 um 19:48 Uhr
Ich glaube ich drücke mich immer wieder einwenig unglücklich aus da dass was ich sagen will nicht so ankommt wie ich es meine....

Meine Firewall hab ich mal mit dem o.a. Syntax ergänzt, leider komme ich als client, mit dem Tunnel verbunden, nicht ins www. Auf z.B. das WebIf vom Router hab ich zugriff...
Bitte warten ..
Mitglied: aqui
23.12.2016 um 16:39 Uhr
da dass was ich sagen will nicht so ankommt wie ich es meine....
Oder wir sind hier zu blöd und verstehen es immer falsch...?!
leider komme ich als client, mit dem Tunnel verbunden, nicht ins www.
Was sagt denn ein Pathping oder Traceroute (tracert) ?? Wo bleibt der hängen ?

Weiterer wichtiger Test:
Hänge mal einen lokalen Rechner ins lokale LAN am OVPN Server und starte darauf einen Wireshark.
Dann pingst du diesen Rechner vom OVPN Client mal an.
Welche Absender IP hat der ICMP Ping ??
Bitte warten ..
Mitglied: skapi85
30.12.2016 um 15:38 Uhr
So... Problem gelöst

Hab mich mal mit Tomato (Shibby) beschäftigt uns siehe da, dort läuft alles auf anhieb...
Bitte warten ..
Mitglied: aqui
30.12.2016, aktualisiert um 17:50 Uhr
Ist ja der gleiche Unterbau wie bei DD-WRT.
Bleibt also nur die Vermutung das du im DD-WRT etwas falsch gemacht hast, denn damit rennt es erwiesenermaßen auch vollkommen problemlos.
Aber gut wenns nun rennt...wenn auch über den Tomatenumweg !

Bitte dann auch
https://www.administrator.de/faq/32
nicht vergessen !
Bitte warten ..
Ähnliche Inhalte
LAN, WAN, Wireless
DDWRT Gäste WLAN Flächendeckend
Frage von stefan01220LAN, WAN, Wireless5 Kommentare

Hallo Gemeinde: erstmal zu meinem Aufbau: > Telekom / A1 Business Anschluss , welcher auf Routing gestellt wurde. Dahinter ...

LAN, WAN, Wireless
Openvpn kein ping auf openvpn server möglich
gelöst Frage von kohle1957LAN, WAN, Wireless4 Kommentare

Mein Server ist ein Windows 2012 Standard hinter einen Kabel Deutschland modem interne ip 192.168.0.200 Habe 2 virtuelle Maschinen ...

Router & Routing
DDWRT VPN ROUTING
Frage von routing123Router & Routing7 Kommentare

Guten Tag! Mein jetziges Heimnetzwerk besteht aus einem Server, der einen FTP Server und einen Teamspeak Server bereitstellt, meinem ...

Netzwerke
PfSense OpenVPN serven startet nicht - too many host addresses
gelöst Frage von kiwianaNetzwerke7 Kommentare

Vorweg meine Konfiguration: - Router, LAN 10.0.0.1 - pfSense / APU, WAN 10.0.0.2, Bridge 192.168.1.1 (Members: LAN & WiFi) ...

Neue Wissensbeiträge
Windows 10

Windows 10 v1709 EN murkst bei den Regionseinstellungen

Tipp von DerWoWusste vor 2 StundenWindows 10

Dieser kurze Tipp richtet sich an den kleinen Personenkreis, der Win10 v1709 EN-US frisch installiert und dabei die englische ...

Webbrowser

Kein Ton bei Firefox Quantum über RDP

Tipp von Moddry vor 2 StundenWebbrowser

Hallo Kollegen! Hatte das Problem, dass der neue Firefox bei mir auf der Kiste keinen Ton hat, wenn ich ...

Internet

EU-DSGVO: WHOIS soll weniger Informationen liefern

Information von sabines vor 14 StundenInternet4 Kommentare

Wegen der europäische Datenschutzgrundverordnung stehen die Prozesse um die Registrierung von Domains auf dem Prüfstand. Sollte die Forderungen umgesetzt ...

Verschlüsselung & Zertifikate

19 Jahre alter Angriff auf TLS funktioniert immer noch

Information von BassFishFox vor 21 StundenVerschlüsselung & Zertifikate1 Kommentar

Interessant zu lesen. Der Bleichenbacher-Angriff gilt unter Kryptographen als Klassiker, trotzdem funktioniert er oft noch. Wie wir herausgefunden haben, ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
Von rj11 auf rj45
Frage von jensgebkenLAN, WAN, Wireless19 Kommentare

Hallo Gemeinschaft, könnt ihr mir vielleicht bei der anfertigung eines Kabels helfen - habe ein rj 11 stecker und ...

Netzwerkmanagement
NAS über zwei weitere Ethernet Anschlüsse verbinden
gelöst Frage von Sibelius001Netzwerkmanagement17 Kommentare

Sorry - ich bin hier wahrscheinlich als kompetter IT Trottel unterwegs. Aber eventuell kann mir jemand ganz einfach helfen: ...

Netzwerkmanagement
Firefox Profieles im Roaming
gelöst Frage von Hendrik2586Netzwerkmanagement17 Kommentare

Hallo liebe Leute. :) Ich hab da ein kleines Problem, welches anscheinend nicht unbekannt ist. Wir nutzen hier in ...

LAN, WAN, Wireless
Häufig Probleme beim Anmelden in WLAN
Frage von mabue88LAN, WAN, Wireless15 Kommentare

Hallo zusammen, in einem Netzwerk gibt es relativ häufig (1-2 mal pro Woche) Probleme mit der WLAN-Verbindung. Zunächst mal ...