OpenVPN: problemen bij configuratie

[J-J]

Na een jaartje ben ik toch terug overgeschakeld naar OpenVPN. (lees: poging ondernomen om het werkende te krijgen)

Echter krijg ik het niet werkende... Ik heb de handleiding van @MMD hiervoor gevolgd.

Op laptop (windows 10):

• OpenVPN maakt verbinding
• Geen interneterbinding

--> zie log in bijlage

Kan dit met de DNS instellingen te maken hebben?
Heb extact de handeiding gevolgd en voor dynamische ip adres 192.168.160.1. Thuis zit ik echter op het 192.168.1.0 netwerk (weet niet of dit er iets mee te maken heeft?)

Op iOS device (iOS11)

• Kan geen verbinding maken
• Blijft hangen op "waiting for server, en krijg dan een "conection timeout"

In de log (bijlage) vind ik volgende regel terug:

Tue Nov 28 17:05:20 2017 us=460284 TLS Error: cannot locate HMAC in incoming packet from [AF_INET]192.168.1.1:60257
Tue Nov 28 17:05:55 2017 us=587972 TLS Error: cannot locate HMAC in incoming packet from [AF_INET]192.168.1.1:55592
Tue Nov 28 17:06:00 2017 us=993593 TLS Error: cannot locate HMAC in incoming packet from [AF_INET]94.109.212.180:4018
Tue Nov 28 17:06:10 2017 us=651813 TLS Error: cannot locate HMAC in incoming packet from [AF_INET]94.109.212.180:3136

Heb het al een gegoogled maar ik vind niet direct een mogelijke oplossing...


Als iemand mij voort zou kunnen helpen?


PS: Ik heb een DS412+

[Pippin]

Het lijkt erop dat de ta.key aan de client zijde mist.

[J-J]

De ta.key heb ik in het inline openvpn.ovpn opgenomen. (zie bijlage)
Heb hem voor de zekerheid nog eens opnieuw ingesteld.

In de iOS openvpn log zie ik volgende meldingen:

Code: [Selecteer]

2017-11-28 21:37:56 ----- OpenVPN Start -----
OpenVPN core 3.1.2 ios arm64 64-bit built on Dec  5 2016 12:50:25
2017-11-28 21:37:56 Frame=512/2048/512 mssfix-ctrl=1250
2017-11-28 21:37:56 UNUSED OPTIONS
2 [verb] [4me]
6 [pull]
7 [tls-client]
11 [fast-io]
15 [auth-nocache]

2017-11-28 21:37:56 EVENT: RESOLVE
2017-11-28 21:37:56 Contacting mijn.ext.ip.adres:1194 via UDP
2017-11-28 21:37:56 EVENT: WAIT
2017-11-28 21:37:56 SetTunnelSocket returned 1
2017-11-28 21:37:56 Connecting to [mijn.synology.ddns]:1194 (mijn.ext.ip.adres) via UDPv4
2017-11-28 21:37:57 NET Internet:ReachableViaWWAN/WR t------
2017-11-28 21:38:06 Server poll timeout, trying next remote entry...
2017-11-28 21:38:06 EVENT: RECONNECTING
2017-11-28 21:38:06 EVENT: RESOLVE
2017-11-28 21:38:06 Contacting mijn.ext.ip.adres:1194 via UDP
2017-11-28 21:38:06 EVENT: WAIT
2017-11-28 21:38:06 SetTunnelSocket returned 1
2017-11-28 21:38:06 Connecting to [mijn.synology.ddns]:1194 (mijn.ext.ip.adres) via UDPv4
2017-11-28 21:38:16 Server poll timeout, trying next remote entry...
2017-11-28 21:38:16 EVENT: RECONNECTING
2017-11-28 21:38:16 EVENT: RESOLVE
2017-11-28 21:38:16 Contacting mijn.ext.ip.adres:1194 via UDP
2017-11-28 21:38:16 EVENT: WAIT
2017-11-28 21:38:16 SetTunnelSocket returned 1
2017-11-28 21:38:16 Connecting to [mijn.synology.ddns]:1194 (mijn.ext.ip.adres) via UDPv4
2017-11-28 21:38:26 Server poll timeout, trying next remote entry...
2017-11-28 21:38:26 EVENT: RECONNECTING
2017-11-28 21:38:26 EVENT: RESOLVE
2017-11-28 21:38:26 Contacting mijn.ext.ip.adres:1194 via UDP
2017-11-28 21:38:26 EVENT: WAIT
2017-11-28 21:38:26 SetTunnelSocket returned 1
2017-11-28 21:38:26 Connecting to [mijn.synology.ddns]:1194 (mijn.ext.ip.adres) via UDPv4
2017-11-28 21:38:36 Server poll timeout, trying next remote entry...
2017-11-28 21:38:36 EVENT: RECONNECTING
2017-11-28 21:38:36 EVENT: RESOLVE
2017-11-28 21:38:36 Contacting mijn.ext.ip.adres:1194 via UDP
2017-11-28 21:38:36 EVENT: WAIT
2017-11-28 21:38:36 SetTunnelSocket returned 1
2017-11-28 21:38:36 Connecting to [mijn.synology.ddns]:1194 (mijn.ext.ip.adres) via UDPv4
2017-11-28 21:38:46 Server poll timeout, trying next remote entry...
2017-11-28 21:38:46 EVENT: RECONNECTING
2017-11-28 21:38:46 EVENT: RESOLVE
2017-11-28 21:38:46 Contacting mijn.ext.ip.adres:1194 via UDP
2017-11-28 21:38:46 EVENT: WAIT
2017-11-28 21:38:46 SetTunnelSocket returned 1
2017-11-28 21:38:46 Connecting to [mijn.synology.ddns]:1194 (mijn.ext.ip.adres) via UDPv4
2017-11-28 21:38:56 EVENT: CONNECTION_TIMEOUT [ERR]
2017-11-28 21:38:56 EVENT: DISCONNECTED
2017-11-28 21:38:56 Raw stats on disconnect:
  BYTES_OUT : 2520
  PACKETS_OUT : 60
  CONNECTION_TIMEOUT : 1
  N_RECONNECT : 5
2017-11-28 21:38:56 Performance stats on disconnect:
  CPU usage (microseconds): 76081
  Network bytes per CPU second: 33122
  Tunnel bytes per CPU second: 0
2017-11-28 21:38:56 EVENT: DISCONNECT_PENDING
2017-11-28 21:38:56 ----- OpenVPN Stop -----
In de openvpn.log op de DS staat dezelfde error als voordien.

[Birdy]

@J-J  Tip: Verberg je ext. IP even.

[Pippin]

In het client config zie ik:

Code: [Selecteer]

verb 4meDat hoort

Code: [Selecteer]

verb 4te zijn

Wat is de ta.key direction op de server?
Deze dient 0 te zijn en op de client 1.

Heb je een Unix capabele editor gebruikt zoals Notepad++?
Voor IOS/Linux lijkt mij dat van belang, voor Windows niet.

[J-J]

Die verb 4me zal per ongeluk aangepast zijn , maar aanpassing veranderd niets.

Ik werk steeds met notepad++

De ta.key direction op de server staat volgens mij goed.
In openvpn.conf.user vind ik de regel "tls-auth /usr/syno/etc/packages/VPNCenter/VPNcerts/ta.key 0" of moet ik in het ta.key bestand zelf de regel "key-direction 0" toevoegen? (zoals in openvpn.ovpn)

[Pippin]

Op de server "tls-auth /usr/syno/etc/packages/VPNCenter/VPNcerts/ta.key 0" is goed.
Op de (alle) clients is de key-direction 1.
Dat kan op twee manieren:
1. Een bestandspad met 1 erachter (zoals op server)
2. Met inline ta.key EN "key-direction 1"

[J-J]

Voorbije weekend toch nog maar eens geprobeerd dit werkende te krijgen, maar zonder succes.
Via Windows kan ik verbinden met m'n NAS, maar ik heb dan gewoon geen internet verbinding meer.
Probleem gegoogled, maar geraak er niet wijzer uit.
Ik werk met een aangepaste poort voor OpenVPN, maar in de log kom ik nog vaak de standaard poort "1194" tegen.

• Server log: https://www.dropbox.com/s/mijwracy8icvxae/openvpn.log?dl=0
• Client log: https://www.dropbox.com/s/p97waf1qhns9xhy/openvpn-client.log?dl=0

Voor de client certificaten heb ik mijn Gebruikersnaam genomen.
Voor het dynamische IP heb ik 192.168.160.1 uit het handleiding gekozen.
Locale IP heb ik op 192.168.1.1 staan (ook al veranderd in router naar 192.168.150.1, maar lost probleem niet op)
Mijn aangepaste poort 4567 (voor deze post even aangepast)


Indien iemand weet hoe ik mijn internet werkende krijg?

[hanspaint]

Ik heb open vpn al een tijdje lopen. De installatie was bij mij een fluitjevan een cent. Hierbij hoe ik het heb gedaan.
Er is 1 user-id met VPN toegang en geen toegang tot andere applicaties en gedeelde mappen.
Het local ip-adres van de NAS (DS712+) is vast.
Er is een DDNS naam als voorbeeld is dat even snurk
Activeer open vpn laat het dynamisch ip-adres voor wat het is.
Exporteer de configuratie
Pas de VPNconfig file aan. Zet bij remote snurk.synology.me 1194 meer niet.
Zet de VPNconfig file op een plek waar vanuit je de file kunt importeren in je open vpn client(s)
Zet de poort forwarding in je router. Public poort 1194 naar local poort 1194 en het ip-adres van de NAS. Je kan ook een andere public of en local poort definieeren maar waarom ?

Ik gebruik open vpn om vanaf een internetlokatie verbinding te maken met mijn thuisnetwerk.

[Birdy]

Kleine note:



Ik zou kiezen voor:

[Boekel]

Misschien eens proberen in dezelfde ip-range te blijven?
Dus niet 192.168.160.1, 192.168.1.1 of 192.168.150.1,
maar 192.168.1.1 en 192.168.1.160 bijvoorbeeld.

[hanspaint]

Dit staat inderdaad op mijn TODO lijstje.

[J-J]

@hanspaint : Bedankt voor je reactie.
Ik gebruik echter de geavanceerde OpenVPN instellingen waarvoor @MMD een handleiding maakte. Op jou manier werkt het wel, maar wil een nog veiligere manier.

@Boekel : Als ik thuis ben zal ik eens proberen de IP in dezelfde range te zetten.

[André PE1PQX]

Misschien eens proberen in dezelfde ip-range te blijven?
Dus niet 192.168.160.1, 192.168.1.1 of 192.168.150.1,
maar 192.168.1.1 en 192.168.1.160 bijvoorbeeld.

De zelfde IP-range gaat volgens mij niet werken in OpenVPN van Syno. Ik heb 192.168.1.x voor LAN toegang, 192.168.160.x voor VPN en dat gaat gewoon goed volgens de stappenplan van  @MMD
Vanaf VPN kan ik ook op mijn LAN komen, dus eventueel een printje maken naar mijn Canon laser (lan)printer. Enig probleempje wat ik heb is dat DNS namen voor mijn Syno's niet werken, dus moet ik remote met IP-adressen werken. Maar da's voor latere zorg.