OpenVPN instabiel, instellingen?

[Binnetie]

Sinds een tijdje heb ik een slecht werkende VPN verbinding (valt telkens weg) en ik kan niet goed achterhalen waar de fout nu zit omdat het daarvoor prima werkte.

Op mijn DS214 heb ik OpenVPN staan, met deze settings:


Waarom ik voor de gekozen codering heb gekozen weet ik zo niet. Meende dat ik dit eens gelezen had als tip op een forum.

De settings in mijn client:

dev tun
tls-client

remote xxx.xxx.xxx.xxx 1194

#float

redirect-gateway def1

# dhcp-option DNS: To set primary domain name server address.
# Repeat this option to set secondary DNS server addresses.

dhcp-option DNS 192.168.1.1
dhcp-option DNS 8.8.8.8

pull

script-security 2
ca ca.crt
#comp-lzo
reneg-sec 0
auth-nocache
auth-user-pass
block-outside-dns

Heb de tekst er even tussenuit gehaald.

Als ik nu verbinding maak met de VPN vanaf een externe locatie dan is dit het logboek:

Thu Jul 20 12:33:49 2017 OpenVPN 2.4.1 x86_64-w64-mingw32 [SSL (OpenSSL)] [LZO] [LZ4] [PKCS11] [AEAD] built on Mar 22 2017
Thu Jul 20 12:33:49 2017 Windows version 6.2 (Windows 8 or greater) 64bit
Thu Jul 20 12:33:49 2017 library versions: OpenSSL 1.0.2k  26 Jan 2017, LZO 2.09
Enter Management Password:
Thu Jul 20 12:33:57 2017 WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
Thu Jul 20 12:33:57 2017 TCP/UDP: Preserving recently used remote address: [AF_INET]xxx.xxx.xxx.xxx:1194
Thu Jul 20 12:33:57 2017 UDP link local (bound): [AF_INET][undef]:1194
Thu Jul 20 12:33:57 2017 UDP link remote: [AF_INET]xxx.xxx.xxx.xxx:1194
Thu Jul 20 12:33:57 2017 TLS Error: local/remote TLS keys are out of sync: [AF_INET]xxx.xxx.xxx.xxx:1194

Thu Jul 20 12:33:58 2017 TLS Error: local/remote TLS keys are out of sync: [AF_INET]xxx.xxx.xxx.xxx:1194

Thu Jul 20 12:33:58 2017 TLS Error: local/remote TLS keys are out of sync: [AF_INET]xxx.xxx.xxx.xxx:1194

Thu Jul 20 12:33:58 2017 TLS Error: local/remote TLS keys are out of sync: [AF_INET]xxx.xxx.xxx.xxx:1194

Thu Jul 20 12:33:59 2017 TLS Error: local/remote TLS keys are out of sync: [AF_INET]xxx.xxx.xxx.xxx:1194

Thu Jul 20 12:33:59 2017 TLS Error: local/remote TLS keys are out of sync: [AF_INET]xxx.xxx.xxx.xxx:1194

Thu Jul 20 12:33:59 2017 [synology.com] Peer Connection Initiated with [AF_INET]xxx.xxx.xxx.xxx:1194
Thu Jul 20 12:34:00 2017 WARNING: INSECURE cipher with block size less than 128 bit (64 bit).  This allows attacks like SWEET32.  Mitigate by using a --cipher with a larger block size (e.g. AES-256-CBC).
Thu Jul 20 12:34:00 2017 WARNING: INSECURE cipher with block size less than 128 bit (64 bit).  This allows attacks like SWEET32.  Mitigate by using a --cipher with a larger block size (e.g. AES-256-CBC).
Thu Jul 20 12:34:00 2017 WARNING: cipher with small block size in use, reducing reneg-bytes to 64MB to mitigate SWEET32 attacks.
Thu Jul 20 12:34:00 2017 open_tun
Thu Jul 20 12:34:00 2017 TAP-WIN32 device [Ethernet 3] opened: \\.\Global\{783FD3B0-E036-4CE8-AC67-68F34CD6E73C}.tap
Thu Jul 20 12:34:00 2017 Notified TAP-Windows driver to set a DHCP IP/netmask of 10.10.0.10/255.255.255.252 on interface {783FD3B0-E036-4CE8-AC67-68F34CD6E73C} [DHCP-serv: 10.10.0.9, lease-time: 31536000]
Thu Jul 20 12:34:00 2017 Successful ARP Flush on interface [10] {783FD3B0-E036-4CE8-AC67-68F34CD6E73C}
Thu Jul 20 12:34:00 2017 do_ifconfig, tt->did_ifconfig_ipv6_setup=0
Thu Jul 20 12:34:00 2017 Block_DNS: WFP engine opened
Thu Jul 20 12:34:00 2017 Block_DNS: Using existing sublayer
Thu Jul 20 12:34:00 2017 Block_DNS: Added permit filters for exe_path
Thu Jul 20 12:34:00 2017 Block_DNS: Added block filters for all interfaces
Thu Jul 20 12:34:00 2017 Block_DNS: Added permit filters for TAP interface
Thu Jul 20 12:34:05 2017 Initialization Sequence Completed

Als ik dan een speedtest doe zakt de verbinding helemaal in elkaar en krijg ik 'connection socket errors' te zien op speedtest.net
Het vreemde is dat ik soms ook wel eens error over de MTU voorbij zie komen. Deze zie ik alleen nu niet.
Sowieso heb ik twijfels over mijn settings, de fouten en de gekozen codering.

Voorheen werkte het goed, bestanden kopieren ging met de maximale internet snelheid van mijn verbinding thuis, maar zakt dus nu in.
Weet iemand waar het in kan zitten?

[Pippin]

Hallo,

Codering wijzigen in AES-128-CBC.

Op de NAS, Regionale opties,  Tijd instellingen nakijken, ik gebruik daar 193.67.79.202 als Serveradres.
Op de client ook de tijd nakijken en update doen naar OpenVPN versie 2.4.3


Eventueel kun je op TAB NTP-service inschakelen en vervolgens in de settings van de client

Code: [Selecteer]

dhcp-option NTP lan.ip.van.nas (192.168.1.?) toevoegen.

[Binnetie]

Ik heb je aanwijzingen opgevolgd en aangepast, heb nog niet geupdate naar 2.4.3.

De log is nu:

Thu Jul 20 13:47:49 2017 OpenVPN 2.4.1 x86_64-w64-mingw32 [SSL (OpenSSL)] [LZO] [LZ4] [PKCS11] [AEAD] built on Mar 22 2017
Thu Jul 20 13:47:49 2017 Windows version 6.2 (Windows 8 or greater) 64bit
Thu Jul 20 13:47:49 2017 library versions: OpenSSL 1.0.2k  26 Jan 2017, LZO 2.09
Enter Management Password:
Thu Jul 20 13:47:54 2017 WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
Thu Jul 20 13:47:54 2017 TCP/UDP: Preserving recently used remote address: [AF_INET]xxx.xxx.xxx.xxx:1194
Thu Jul 20 13:47:54 2017 UDP link local (bound): [AF_INET][undef]:1194
Thu Jul 20 13:47:54 2017 UDP link remote: [AF_INET]xxx.xxx.xxx.xxx:1194
Thu Jul 20 13:47:56 2017 WARNING: 'link-mtu' is used inconsistently, local='link-mtu 1541', remote='link-mtu 1557'
Thu Jul 20 13:47:56 2017 WARNING: 'cipher' is used inconsistently, local='cipher BF-CBC', remote='cipher AES-128-CBC'
Thu Jul 20 13:47:56 2017 [synology.com] Peer Connection Initiated with [AF_INET]xxx.xxx.xxx.xxx:1194
Thu Jul 20 13:47:57 2017 WARNING: INSECURE cipher with block size less than 128 bit (64 bit).  This allows attacks like SWEET32.  Mitigate by using a --cipher with a larger block size (e.g. AES-256-CBC).
Thu Jul 20 13:47:57 2017 WARNING: INSECURE cipher with block size less than 128 bit (64 bit).  This allows attacks like SWEET32.  Mitigate by using a --cipher with a larger block size (e.g. AES-256-CBC).
Thu Jul 20 13:47:57 2017 WARNING: cipher with small block size in use, reducing reneg-bytes to 64MB to mitigate SWEET32 attacks.
Thu Jul 20 13:47:57 2017 open_tun
Thu Jul 20 13:47:57 2017 TAP-WIN32 device [Ethernet 3] opened: \\.\Global\{783FD3B0-E036-4CE8-AC67-68F34CD6E73C}.tap
Thu Jul 20 13:47:57 2017 Notified TAP-Windows driver to set a DHCP IP/netmask of 10.10.0.6/255.255.255.252 on interface {783FD3B0-E036-4CE8-AC67-68F34CD6E73C} [DHCP-serv: 10.10.0.5, lease-time: 31536000]
Thu Jul 20 13:47:57 2017 Successful ARP Flush on interface [10] {783FD3B0-E036-4CE8-AC67-68F34CD6E73C}
Thu Jul 20 13:47:57 2017 do_ifconfig, tt->did_ifconfig_ipv6_setup=0
Thu Jul 20 13:47:57 2017 Block_DNS: WFP engine opened
Thu Jul 20 13:47:57 2017 Block_DNS: Using existing sublayer
Thu Jul 20 13:47:57 2017 Block_DNS: Added permit filters for exe_path
Thu Jul 20 13:47:57 2017 Block_DNS: Added block filters for all interfaces
Thu Jul 20 13:47:57 2017 Block_DNS: Added permit filters for TAP interface
Thu Jul 20 13:48:02 2017 Initialization Sequence Completed
Thu Jul 20 13:48:07 2017 Authenticate/Decrypt packet error: cipher final failed
Thu Jul 20 13:48:17 2017 Authenticate/Decrypt packet error: cipher final failed
Thu Jul 20 13:48:27 2017 Authenticate/Decrypt packet error: cipher final failed

Uiteindelijk wel verbinding maar nog niet intensief getest.

[Pippin]

Na wijzigingen moet de client config opnieuw geëxporteerd worden...

[Binnetie]

Gedaan en even aangevuld met mijn ip en settings:

dev tun
tls-client

remote xxx.xxx.xxx.xxx 1194

#float
#redirect-gateway def1

# dhcp-option DNS: To set primary domain name server address.
# Repeat this option to set secondary DNS server addresses.

dhcp-option DNS 192.168.1.1
dhcp-option DNS 8.8.8.8

pull

script-security 2

auth-nocache
auth-user-pass
block-outside-dns
dhcp-option NTP 192.168.1.30
reneg-sec 0
cipher AES-128-CBC
auth SHA1
auth-user-pass
<ca>
-----BEGIN CERTIFICATE-----
Inhoud certificaat.
</ca>

Log:

Thu Jul 20 15:52:56 2017 OpenVPN 2.4.3 x86_64-w64-mingw32 [SSL (OpenSSL)] [LZO] [LZ4] [PKCS11] [AEAD] built on Jun 20 2017
Thu Jul 20 15:52:56 2017 Windows version 6.2 (Windows 8 or greater) 64bit
Thu Jul 20 15:52:56 2017 library versions: OpenSSL 1.0.2l  25 May 2017, LZO 2.10
Enter Management Password:
Thu Jul 20 15:53:00 2017 WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
Thu Jul 20 15:53:01 2017 TCP/UDP: Preserving recently used remote address: [AF_INET]xxx.xxx.xxx.xxx:1194
Thu Jul 20 15:53:01 2017 UDP link local (bound): [AF_INET][undef]:1194
Thu Jul 20 15:53:01 2017 UDP link remote: [AF_INET]xxx.xxx.xxx.xxx:1194
Thu Jul 20 15:53:02 2017 [synology.com] Peer Connection Initiated with [AF_INET]xxx.xxx.xxx.xxx:1194
Thu Jul 20 15:53:03 2017 open_tun
Thu Jul 20 15:53:03 2017 TAP-WIN32 device [Ethernet 3] opened: \\.\Global\{783FD3B0-E036-4CE8-AC67-68F34CD6E73C}.tap
Thu Jul 20 15:53:03 2017 Notified TAP-Windows driver to set a DHCP IP/netmask of 10.10.0.6/255.255.255.252 on interface {783FD3B0-E036-4CE8-AC67-68F34CD6E73C} [DHCP-serv: 10.10.0.5, lease-time: 31536000]
Thu Jul 20 15:53:03 2017 Successful ARP Flush on interface [10] {783FD3B0-E036-4CE8-AC67-68F34CD6E73C}
Thu Jul 20 15:53:03 2017 do_ifconfig, tt->did_ifconfig_ipv6_setup=0
Thu Jul 20 15:53:03 2017 Block_DNS: WFP engine opened
Thu Jul 20 15:53:03 2017 Block_DNS: Using existing sublayer
Thu Jul 20 15:53:03 2017 Block_DNS: Added permit filters for exe_path
Thu Jul 20 15:53:03 2017 Block_DNS: Added block filters for all interfaces
Thu Jul 20 15:53:03 2017 Block_DNS: Added permit filters for TAP interface
Thu Jul 20 15:53:08 2017 Initialization Sequence Completed

Ik heb nu een youtube filmpje opgezet en tot nu to werkt het. Zitten er in de settings of log nog dingen die beter kunnen? Hoe is de veiligheid op deze manier zeg maar?

Edit: Ik zie nu ineens het ipadres van de externe verbinding waar ik op zit. Niet het ip-adres van mij thuis, waar de VPN server draait.

[Robstar]

Even het hekje weghalen bij #redirect-gateway def1

[Pippin]

^^^ precies.

Zitten er in de settings of log nog dingen die beter kunnen?

Code: [Selecteer]

WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.Aan de client config nog

Code: [Selecteer]

remote-cert-tls servertoevoegen.
Dan zit je redelijk goed.

Wat betreft de OpenVPN versie en configuratie die Synology nog steeds  , gebruikt wil ik het niet meer hebben, stelletje  daar 

[Binnetie]

Hmm gaat toch niet helemaal goed, heb het # weggehaald en de 'remote-cert-tls server' toegevoegd.

Thu Jul 20 17:45:24 2017 OpenVPN 2.4.3 x86_64-w64-mingw32 [SSL (OpenSSL)] [LZO] [LZ4] [PKCS11] [AEAD] built on Jun 20 2017
Thu Jul 20 17:45:24 2017 Windows version 6.2 (Windows 8 or greater) 64bit
Thu Jul 20 17:45:24 2017 library versions: OpenSSL 1.0.2l  25 May 2017, LZO 2.10
Enter Management Password:
Thu Jul 20 17:45:33 2017 TCP/UDP: Preserving recently used remote address: [AF_INET]xxx.xxx.xxx.xxx:1194
Thu Jul 20 17:45:33 2017 UDP link local (bound): [AF_INET][undef]:1194
Thu Jul 20 17:45:33 2017 UDP link remote: [AF_INET]xxx.xxx.xxx.xxx:1194
Thu Jul 20 17:45:34 2017 Certificate does not have key usage extension
Thu Jul 20 17:45:34 2017 OpenSSL: error:14090086:SSL routines:ssl3_get_server_certificate:certificate verify failed
Thu Jul 20 17:45:34 2017 TLS_ERROR: BIO read tls_read_plaintext error
Thu Jul 20 17:45:34 2017 TLS Error: TLS object -> incoming plaintext read error
Thu Jul 20 17:45:34 2017 TLS Error: TLS handshake failed
Thu Jul 20 17:45:34 2017 SIGUSR1[soft,tls-error] received, process restarting

[Pippin]

Dan 'remote-cert-tls server' weer verwijderen.

Het wordt steeds gekker bij Synology`s OpenVPN, nog meer 
 

[Binnetie]

Ik heb hem weer verwijderd. Verbinding maken kan nu wel, maar wat ik niet begrijp is dat de verbinding telkens weer in kakt.
Een speedtest begin op volle snelheid om na 2 seconden in te zakken naar 0 om vervolgens een error te geven.

Ga ik extern via de verkenner naar de nas om een bestand te downloaden dan begint ook deze snel te download om daarna ook in te zakken en op 0KB/s te blijven hangen. Dan schiet hij af en toe weer even naar boven om weer stil te vallen. Heel vreemd.
Voorheen verbrak de VPN wel eens, maar nu blijft hij wel verbonden ondanks dat hij zo instabiel is.

[Pippin]

om vervolgens een error te geven

Welke?

Hang anders het volledige log eens aan.
Voeg dan eerst

Code: [Selecteer]

verb 4
toe aan de client settings.

Zelf MTU settings gedaan in de client settings?
Hoe zijn de instellingen met betrekking tot MTU van de netwerkadapter(s) van de NAS en client?
Die behoren alle op 1500 te staan.

[Binnetie]

De error in speedtest is dat er een connection socket gereset is. Met andere woorden, de verbinding is gewoon weg.
Ik zal eens kijken wat de MTU waarden zijn.

[Binnetie]

Hier zie je dat hij tijdens een speedtest heel snel inzakt:


Overigens gaat downloaden vanuit Filestation wel snel (niet verbonden via VPN).

De MTU in de netwerkinstellingen van de nas stond op 9000 (jumboframes). Deze heb ik weer standaard gemaakt. Maar dit stond ook gewoon zo toen VPN nog prima werkte.
De TAP windows V9 adapter heeft een MTU van 1500.

De log heb ik als bijlage bijgevoegd.

[Pippin]

Je test toch wel van buiten je eigen thuisnetwerk?
B.v. met laptop via een hotspot op je telefoon/4G (met WiFi uit).
Of op de WiFi van buurman/vrouw... openbare hotspot....

De TAP windows V9 adapter heeft een MTU van 1500.

En de gebruikte LAN of WiFi adapter?

[Binnetie]

Ik test vanuit een externe locatie inderdaad.

De Tap 9 lijkt mij een virtuele netwerkkaart die aangemaakt wordt door de OpenVPN client.
Mijn draadloze wifi adapter is een Intel Dual Band Wireless-AC 8260 ik kan hier geen MTU instellen. Deze staan niet bij geavanceerde instellingen van de netwerkkaart in Windows 10.