Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Openvpn per stunnel verstecken (Openvpn läuft ausserhalb stunnel problemlos) (Raspberry Pi - Android)

Frage Netzwerke LAN, WAN, Wireless

Mitglied: chr2002

chr2002 (Level 1) - Jetzt verbinden

16.03.2014, aktualisiert 23:52 Uhr, 2679 Aufrufe, 7 Kommentare

Hallo,

ich möchte meinen Openvpn Traffic vor der Telekom verstecken, weil die per DPI den Verbindungsaufbau blocken.

Der Tunnel baut sich im stunnel problemlos auf, nur kommt kein Routing zustande.

Zum Testen steht mir ein Wlan vom Nachbarn zur Verfügung, um weitere Fehler die per UMTS auftreten könnten erstmal ausschliessen zu können.

Das VPN läuft mit der selben Konfig problemlos ausserhalb des SSL Tunnels.
Das Problem könnte sein, dass sich der OpenVpn Client auf dem Handy erst auf den localhost verbindet und von dort aus dann der SSL Tunnel aufgebaut wird. Hier ist wohl ein Routingproblem...... Da ich einen Tap Tunnel nutze, habe ich keinerlei Routing in meinen openvpn configs.

Liegt das Problem wirklich am localhost ?

Das sind meine configs.

stunnel Server


01.
cert = /etc/stunnel/keys/cert-server.pem 
02.
key = /etc/stunnel/keys/key-server.pem 
03.
sslVersion = all 
04.
foreground = yes 
05.
pid = /var/run/stunnel4.pid 
06.
[service] 
07.
accept  = 443 
08.
connect = 192.168.11.7:8080

stunnel Client

01.
client = yes 
02.
foreground = yes 
03.
[openvpn] 
04.
accept  = 8080 
05.
connect = meine.dyndns.adresse:443

OpenVpn Server


01.
ca ca.crt 
02.
cert server.crt 
03.
key server.key 
04.
dh dh1024.pem 
05.
auth SHA1 
06.
cipher AES-256-CBC 
07.
 
08.
dev tap0 
09.
persist-tun 
10.
 
11.
proto tcp-server 
12.
local 192.168.11.7 
13.
port 8080 
14.
 
15.
mode server 
16.
tls-server 
17.
ifconfig-pool 192.168.11.46 192.168.11.50 255.255.255.0 
18.
push "route-gateway 192.168.11.1" 
19.
push "redirect-gateway def1" 
20.
push "dhcp-option DNS 192.168.11.1" 
21.
client-to-client 
22.
comp-lzo 
23.
keepalive 10 200 
24.
nice 1 
25.
verb 4 
26.
float

OpenVpn Client

01.
client 
02.
ca ca.crt 
03.
cert client1.crt 
04.
key client1.key 
05.
auth SHA1 
06.
cipher AES-256-CBC 
07.
dev tap 
08.
dev-node /dev/tun 
09.
proto tcp 
10.
tun-mtu 1500 
11.
nobind 
12.
tls-client 
13.
ns-cert-type server #for OVP2.0 and below: check the server.crt 
14.
pull	 
15.
remote localhost 8080 
16.
comp-lzo 
17.
verb 4 
18.
persist-tun  
19.
persist-key 
20.
nice 1
Mit den OpenVpn Configs kann ich problemlos den Tunnel über Wlan Hotspots aufbauen, das routing klappt, ich kann alles im Lan erreichen und den Internet Traffic über mein Heimnetz routen. Die "remote" Befehle sind hier natürlich für stunnel angepasst. Normalerweise habe ich die Dyndns Addresse dort stehen.

Client Log


01.
Sun Mar 16 23:05:32 2014 OpenVPN 2.1.1 i686-pc-linux-gnu [SSL] [LZO2] [EPOLL] built on Jan  6 2012 
02.
Sun Mar 16 23:05:32 2014 MANAGEMENT: TCP Socket listening on 127.0.0.1:26112 
03.
Sun Mar 16 23:05:32 2014 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables 
04.
Sun Mar 16 23:05:32 2014 WARNING: file 'client1.key' is group or others accessible 
05.
Sun Mar 16 23:05:32 2014 LZO compression initialized 
06.
Sun Mar 16 23:05:32 2014 Control Channel MTU parms [ L:1592 D:140 EF:40 EB:0 ET:0 EL:0 ] 
07.
Sun Mar 16 23:05:32 2014 Data Channel MTU parms [ L:1592 D:1450 EF:60 EB:135 ET:32 EL:0 AF:3/1 ] 
08.
Sun Mar 16 23:05:32 2014 Local Options hash (VER=V4): '44fbca6b' 
09.
Sun Mar 16 23:05:32 2014 Expected Remote Options hash (VER=V4): '570d8093' 
10.
Sun Mar 16 23:05:32 2014 nice 1 succeeded 
11.
Sun Mar 16 23:05:32 2014 Attempting to establish TCP connection with 127.0.0.1:8080 [nonblock] 
12.
Sun Mar 16 23:05:32 2014 TCP connection established with 127.0.0.1:8080 
13.
Sun Mar 16 23:05:32 2014 Socket Buffers: R=[1048576->131072] S=[524288->131072] 
14.
Sun Mar 16 23:05:32 2014 TCPv4_CLIENT link local: [undef] 
15.
Sun Mar 16 23:05:32 2014 TCPv4_CLIENT link remote: 127.0.0.1:8080 
16.
Sun Mar 16 23:05:32 2014 MANAGEMENT: Client connected from 127.0.0.1:26112 
17.
Sun Mar 16 23:05:32 2014 MANAGEMENT: CMD 'state' 
18.
Sun Mar 16 23:05:32 2014 MANAGEMENT: CMD 'state on' 
19.
Sun Mar 16 23:05:32 2014 MANAGEMENT: CMD 'bytecount 0' 
20.
Sun Mar 16 23:05:32 2014 MANAGEMENT: >STATE:1395007532,AUTH,,, 
21.
Sun Mar 16 23:05:32 2014 TLS: Initial packet from 127.0.0.1:8080, sid=7a20735a 74cee18a 
22.
Sun Mar 16 23:05:32 2014 MANAGEMENT: CMD 'bytecount 0' 
23.
Sun Mar 16 23:05:32 2014 VERIFY OK: depth=1, /C=DE/ST=***********************************entfernt :) 
24.
Sun Mar 16 23:05:32 2014 VERIFY OK: nsCertType=SERVER 
25.
Sun Mar 16 23:05:32 2014 VERIFY OK: depth=0, /C=DE/ST=***********************************entfernt :) 
26.
Sun Mar 16 23:05:33 2014 Data Channel Encrypt: Cipher 'AES-256-CBC' initialized with 256 bit key 
27.
Sun Mar 16 23:05:33 2014 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication 
28.
Sun Mar 16 23:05:33 2014 Data Channel Decrypt: Cipher 'AES-256-CBC' initialized with 256 bit key 
29.
Sun Mar 16 23:05:33 2014 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication 
30.
Sun Mar 16 23:05:33 2014 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA 
31.
Sun Mar 16 23:05:33 2014 [SERVER] Peer Connection Initiated with 127.0.0.1:8080 
32.
Sun Mar 16 23:05:34 2014 MANAGEMENT: >STATE:1395007534,GET_CONFIG,,, 
33.
Sun Mar 16 23:05:34 2014 MANAGEMENT: CMD 'bytecount 0' 
34.
Sun Mar 16 23:05:35 2014 SENT CONTROL [SERVER]: 'PUSH_REQUEST' (status=1) 
35.
Sun Mar 16 23:05:35 2014 PUSH: Received control message: 'PUSH_REPLY,route-gateway 192.168.11.1,redirect-gateway def1,dhcp-option DNS 192.168.11.1,ping 10,ping-restart 200,ifconfig 192.168.11.46 255.255.255.0' 
36.
Sun Mar 16 23:05:35 2014 OPTIONS IMPORT: timers and/or timeouts modified 
37.
Sun Mar 16 23:05:35 2014 OPTIONS IMPORT: --ifconfig/up options modified 
38.
Sun Mar 16 23:05:35 2014 OPTIONS IMPORT: route options modified 
39.
Sun Mar 16 23:05:35 2014 OPTIONS IMPORT: route-related options modified 
40.
Sun Mar 16 23:05:35 2014 OPTIONS IMPORT: --ip-win32 and/or --dhcp-option options modified 
41.
Sun Mar 16 23:05:35 2014 ROUTE default_gateway=192.168.0.1 
42.
Sun Mar 16 23:05:35 2014 TUN/TAP device tap0 opened 
43.
Sun Mar 16 23:05:35 2014 TUN/TAP TX queue length set to 100 
44.
Sun Mar 16 23:05:35 2014 MANAGEMENT: >STATE:1395007535,ASSIGN_IP,,192.168.11.46, 
45.
Sun Mar 16 23:05:35 2014 /system/xbin/ifconfig tap0 192.168.11.46 netmask 255.255.255.0 mtu 1500 broadcast 192.168.11.255 
46.
Sun Mar 16 23:05:35 2014 /system/xbin/route add -net 127.0.0.1 netmask 255.255.255.255 gw 192.168.0.1 
47.
Sun Mar 16 23:05:35 2014 /system/xbin/route add -net 0.0.0.0 netmask 128.0.0.0 gw 192.168.11.1 
48.
Sun Mar 16 23:05:35 2014 /system/xbin/route add -net 128.0.0.0 netmask 128.0.0.0 gw 192.168.11.1 
49.
Sun Mar 16 23:05:35 2014 Initialization Sequence Completed 
50.
Sun Mar 16 23:05:35 2014 MANAGEMENT: >STATE:1395007535,CONNECTED,SUCCESS,192.168.11.46,127.0.0.1 
51.
Sun Mar 16 23:05:35 2014 MANAGEMENT: CMD 'bytecount 0' 
52.
Sun Mar 16 23:05:35 2014 MANAGEMENT: CMD 'bytecount 3' 
53.
Sun Mar 16 23:08:56 2014 [SERVER] Inactivity timeout (--ping-restart), restarting 
54.
Sun Mar 16 23:08:56 2014 TCP/UDP: Closing socket 
55.
Sun Mar 16 23:08:56 2014 SIGUSR1[soft,ping-restart] received, process restarting 
56.
Sun Mar 16 23:08:56 2014 MANAGEMENT: >STATE:1395007736,RECONNECTING,ping-restart,, 
57.
Sun Mar 16 23:08:56 2014 Restart pause, 5 second(s) 
58.
Sun Mar 16 23:08:56 2014 MANAGEMENT: CMD 'bytecount 0' 
59.
Sun Mar 16 23:09:01 2014 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables 
60.
Sun Mar 16 23:09:01 2014 Re-using SSL/TLS context 
61.
Sun Mar 16 23:09:01 2014 LZO compression initialized 
62.
Sun Mar 16 23:09:01 2014 Control Channel MTU parms [ L:1592 D:140 EF:40 EB:0 ET:0 EL:0 ] 
63.
Sun Mar 16 23:09:01 2014 MANAGEMENT: >STATE:1395007741,RESOLVE,,, 
64.
Sun Mar 16 23:09:01 2014 Data Channel MTU parms [ L:1592 D:1450 EF:60 EB:135 ET:32 EL:0 AF:3/1 ] 
65.
Sun Mar 16 23:09:01 2014 Local Options hash (VER=V4): '44fbca6b' 
66.
Sun Mar 16 23:09:01 2014 Expected Remote Options hash (VER=V4): '570d8093' 
67.
Sun Mar 16 23:09:01 2014 Attempting to establish TCP connection with 127.0.0.1:8080 [nonblock] 
68.
Sun Mar 16 23:09:01 2014 MANAGEMENT: >STATE:1395007741,TCP_CONNECT,,, 
69.
Sun Mar 16 23:09:01 2014 TCP connection established with 127.0.0.1:8080 
70.
Sun Mar 16 23:09:01 2014 Socket Buffers: R=[1048576->131072] S=[524288->131072] 
71.
Sun Mar 16 23:09:01 2014 TCPv4_CLIENT link local: [undef] 
72.
Sun Mar 16 23:09:01 2014 TCPv4_CLIENT link remote: 127.0.0.1:8080 
73.
Sun Mar 16 23:09:01 2014 MANAGEMENT: >STATE:1395007741,WAIT,,, 
74.
Sun Mar 16 23:09:01 2014 MANAGEMENT: CMD 'bytecount 0' 
75.
Sun Mar 16 23:09:01 2014 MANAGEMENT: CMD 'bytecount 0' 
76.
Sun Mar 16 23:09:01 2014 MANAGEMENT: CMD 'bytecount 0' 
77.
Sun Mar 16 23:09:02 2014 Connection reset, restarting [-1] 
78.
Sun Mar 16 23:09:02 2014 TCP/UDP: Closing socket 
79.
Sun Mar 16 23:09:02 2014 SIGUSR1[soft,connection-reset] received, process restarting
Mitglied: orcape
17.03.2014 um 05:27 Uhr
Hi chr2002,
Liegt das Problem wirklich am localhost ?
Dem Client sollte hierdurch eigentlich sein Ziel unbekannt werden (remote localhost 8080).
Ausserdem hast Du in der OVPN-Server-conf. "client-to-client" stehen. Damit baust Du normalerweise einen Multiclienttunnel, der aber hier nicht benötigt wird.
Das mal auskommentieren oder Weglassen.
Poste mal bitte noch die Routing-Tabelle des Servers.
Gruß orcape
Bitte warten ..
Mitglied: chr2002
17.03.2014 um 19:40 Uhr
Stimmt, das client-to-client brauch ich nicht. War wohl von Anfang an drin und hat mich nicht gestört

Die Routung Tabelle sieht am Server recht übersichtlich aus.

Ziel Router Genmask Flags Metric Ref Use Iface
default ads.yahoo.com 0.0.0.0 UG 0 0 0 br0
192.168.11.0 * 255.255.255.0 U 0 0 0 br0


Ich habe den Fehler gefunden, es liegt am "push "redirect-gateway def1" " in der Server Config.
Anscheinend wird dann auch der ssl Tunnel ins VPN geleitet, was dann keinerlei kommunikation ermöglicht.

Ich habe das mal rausgenommen und kann jetzt problemlos über umts einen Openvpn Tunnel aufbauen und alles im LAN erreichen.

Jetzt ist es aber nicht mehr möglich, den Internet Traffic in den Tunnel zu leiten. Das wäre recht praktisch, wenn ich einen unsicheren Hotspot verwende.
Ich könnte jetzt mehrere Instanzen auf dem Openvpn Server starten mit einer Konfig in der das Default GW umgeleitet wird und mit einer Config wo es nicht umgeleitet wird. Irgendwie ist das auch nicht das Wahre. Ist es möglich, die Umleitung des default GWs nur in der Client Konfig festzulegen ?
Bitte warten ..
Mitglied: orcape
17.03.2014 um 19:57 Uhr
Irgendwie ist das auch nicht das Wahre. Ist es möglich, die Umleitung des default GWs nur in der Client Konfig
festzulegen ?
Normalerweise wird das auf dem Server mit "push "redirect-gateway " erledigt.
Vielleicht hilft hier Iptables...
Gruß orcape
Bitte warten ..
Mitglied: chr2002
17.03.2014 um 20:01 Uhr
Genau das ist mein Problem, wenn ich den Server das Def GW umleiten lasse, dann leitet das auch meinen ssl Tunnel um

Auf der Clientseite wäre es sowas von einfach. Mann erstellt einfach zwei oder drei Konfig Files für OpenVpn.

Eines für stunnel ohne def GW, eines direkt ohne Stunnel mit Def GW und nochmal eines ohne Stunnel und ohne Def GW , wenn man bei Freunden ist und das Wlan sicher ist.
Bitte warten ..
Mitglied: orcape
17.03.2014 um 20:06 Uhr
...wenn man bei Freunden ist und das Wlan sicher ist.
O...O....
Bitte warten ..
Mitglied: chr2002
17.03.2014 um 20:28 Uhr
Ganz einfach

route-nopull und schon bin ich das Default GW los.

So brauche ich keine weiteren Instanzen laufen lassen, wenn ich mal ein Def GW übers VPN brauche.
Bitte warten ..
Mitglied: C.R.S.
17.03.2014 um 22:46 Uhr
Du kannst auch redirect-gateway def1 verwenden und die Server-IP-Range per route net_gateway ausnehmen.

Grüße
Richard
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Ubuntu
Open VPN auf Raspberry PI 2 (4)

Frage von Hector-User zum Thema Ubuntu ...

Apache Server
gelöst Raspberry Pi 3 Owncloud installieren (4)

Frage von bestelitt zum Thema Apache Server ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (21)

Frage von Xaero1982 zum Thema Microsoft ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Windows Update
Treiberinstallation durch Windows Update läßt sich nicht verhindern (14)

Frage von liquidbase zum Thema Windows Update ...

DSL, VDSL
Problem mit variernder Internetgeschwindigkeit (12)

Frage von schaurian zum Thema DSL, VDSL ...