ubuntuusers.de

OpenVPN: Server poll timeout, trying nex

Status: Gelöst | Ubuntu-Version: Ubuntu 16.04 (Xenial Xerus)
Antworten |

Dommas89

Anmeldungsdatum:
29. April 2020

Beiträge: Zähle...

Hallo,

Ich habe einen OpenVPN-Server aufgesetzt. Zertifikate erzeugt usw. Ich habe nun test weise auf meinem Android-Smartphone die App OpenVPN installiert. Hierfür sieht die OVPN-Datei wie folgt aus:

client
dev tun
proto udp
remote myServer.net 1194
resolve-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
tls-client
remote-cert-tls server
auth-user
comp-lzo
verb 1
reneg-sec 0

Im Log von der App sehe ich, dass der DNS-Name richtig aufgelöst wird. (korrekte IP wird angezeigt). Hier zeigt die App den Fehler im Log "Server poll timeout, trying next remote entry..."

Ich habe mittels https://www.ipfingerprints.com/portscan.php geprüft ob der Port erreichbar ist. hier wird mir angezeigt "filtered". Habe hier eine Fritzbox und die Portfreigabe entsprechend eingerichtet. Wird mir auch als freigegeben angezeigt.

OpenVPN-Server-Status ebenfalls geprüft. Hier wird mir angezeigt

● openvpn.service - OpenVPN service
   Loaded: loaded (/lib/systemd/system/openvpn.service; enabled; vendor preset: enabled)
   Active: active (exited) since Wed 2020-04-29 13:25:28 CEST; 3min 24s ago
 Main PID: 1363 (code=exited, status=0/SUCCESS)
    Tasks: 0
   Memory: 0B
      CPU: 0
   CGroup: /system.slice/openvpn.service

Könnt ihr mir bitte einen Hinweis geben /weiterhelfen, an was es liegen könnte? Falls euch noch Infos fehlen, fragt bitte. Bin für jede Hilfe/Hinweis dankbar.

LG Dommas

lubux

Anmeldungsdatum:
21. November 2012

Beiträge: 14349

Dommas89 schrieb:

remote myServer.net 1194

Ich habe mittels https://www.ipfingerprints.com/portscan.php geprüft ob der Port erreichbar ist. hier wird mir angezeigt "filtered". Habe hier eine Fritzbox und die Portfreigabe entsprechend eingerichtet. Wird mir auch als freigegeben angezeigt.

Ein UDP-Port ist nicht so einfach zu scannen. Teste mal mit tcpdump auf dem UDP-Port 1194.

Dommas89

(Themenstarter)

Anmeldungsdatum:
29. April 2020

Beiträge: 19

Habe jetzt auf dem System auf dem OpenVPN-Server läuft tcpdump ausgeführt. Im Anschluss auf meinem Smartphone Den Client dazu gestartet und versucht eine Verbindung aufzubauen. Danach hat mir tcpdump auch entsprechend folgendes angezeigt:

sudo tcpdump udp port 1194
13:23:28.297737 IP client.59922 > OpenVPNSERVER.fritz.box.openvpn: UDP, length 356
13:23:29.297720 IP client.59922 > OpenVPNSERVER.fritz.box.openvpn: UDP, length 356
13:23:30.297708 IP client.59922 > OpenVPNSERVER.fritz.box.openvpn: UDP, length 356
13:23:31.299608 IP client.59922 > OpenVPNSERVER.fritz.box.openvpn: UDP, length 356
13:23:32.297811 IP client.59922 > OpenVPNSERVER.fritz.box.openvpn: UDP, length 356
13:23:33.298159 IP client.59922 > OpenVPNSERVER.fritz.box.openvpn: UDP, length 356
13:23:34.300774 IP client.59922 > OpenVPNSERVER.fritz.box.openvpn: UDP, length 356
13:23:35.297739 IP client.59922 > OpenVPNSERVER.fritz.box.openvpn: UDP, length 356
13:23:36.308110 IP client.59922 > OpenVPNSERVER.fritz.box.openvpn: UDP, length 356

lubux

Anmeldungsdatum:
21. November 2012

Beiträge: 14349

Dommas89 schrieb:

Im Anschluss auf meinem Smartphone Den Client dazu gestartet und versucht eine Verbindung aufzubauen. Danach hat mir tcpdump auch entsprechend folgendes angezeigt:

13:23:28.297737 IP client.59922 > OpenVPNSERVER.fritz.box.openvpn: UDP, length 356

OK, aber das wird eine Verbindung via (W)LAN sein und nicht via Internet, oder?

Dommas89

(Themenstarter)

Anmeldungsdatum:
29. April 2020

Beiträge: 19

War via Internet. WLAN hatte ich extra ausgeschaltet. An der Stelle, an der "client" steht, stand der Name meines Anbieters usw. wollte das nur unkenntlich machen. Sorry.

lubux

Anmeldungsdatum:
21. November 2012

Beiträge: 14349

Dommas89 schrieb:

An der Stelle, an der "client" steht, stand der Name meines Anbieters usw. wollte das nur unkenntlich machen.

OK, d. h. der Server ist aus dem Internet erreichbar. Kann jetzt zwischen Client und Server, ein brauchbarer VPN-Tunnel hergestellt werden?

Dommas89

(Themenstarter)

Anmeldungsdatum:
29. April 2020

Beiträge: 19

Komme jetzt warum auch immer einen "Schritt" weiter 😉 Würde ich sagen.

Hier ein Auszug aus dem Client-Log: Habe hoffentlich alles relevante "zensiert" 😉 DNS, öffentliche IP und so.

15:25:25.113 -- ----- OpenVPN Start -----

15:25:25.113 -- EVENT: CORE_THREAD_ACTIVE

15:25:25.115 -- OpenVPN core 3.git::f225fcd0:Release android arm64 64-bit PT_PROXY built on Mar  3 2020 21:07:24

15:25:25.117 -- Frame=512/2048/512 mssfix-ctrl=1250

15:25:25.117 -- UNUSED OPTIONS
4 [resolv-retry] [infinite] 
5 [nobind] 
6 [persist-key] 
7 [persist-tun] 
9 [tls-client] 
11 [auth-user] 
13 [verb] [1] 

15:25:25.118 -- EVENT: RESOLVE

15:25:25.248 -- Contacting [öffentliche IP]:1194 via UDP

15:25:25.249 -- EVENT: WAIT

15:25:25.250 -- Connecting to [myfritzDNS]:1194 ([öffentliche IP]) via UDPv4

15:25:25.311 -- EVENT: CONNECTING

15:25:25.313 -- Tunnel Options:V4,dev-type tun,link-mtu 1542,tun-mtu 1500,proto UDPv4,comp-lzo,cipher BF-CBC,auth SHA1,keysize 128,key-method 2,tls-client

15:25:25.314 -- Creds: UsernameEmpty/PasswordEmpty

15:25:25.314 -- Peer Info:
IV_GUI_VER=OC30Android
IV_VER=3.git::f225fcd0:Release
IV_PLAT=android
IV_NCP=2
IV_TCPNL=1
IV_PROTO=2
IV_LZO_STUB=1
IV_COMP_STUB=1
IV_COMP_STUBv2=1
IV_AUTO_SESS=1
IV_BS64DL=1


15:25:25.398 -- VERIFY OK : depth=1
cert. version     : 3
serial number     : [zensiert]
issuer name       : C=DE, ST=[BL], L=[Stadt], CN=[Server], emailAddress=[Mail]
subject name      : C=DE, ST=[BL], L=[Stadt], CN=[Server], emailAddress=[Mail]
issued  on        : 2020-04-28 16:48:29
expires on        : 2030-04-26 16:48:29
signed using      : RSA with SHA-256
RSA key size      : 2048 bits
basic constraints : CA=true


15:25:25.398 -- VERIFY OK : depth=0
cert. version     : 3
serial number     : 01
issuer name       : C=DE, ST=[BL], L=[Stadt], CN=[SERVER], emailAddress=[Mail]
subject name      : C=DE, ST=[BL], L=[Stadt], CN=[myfritzDNS], emailAddress=[Mail]
issued  on        : 2020-04-28 16:51:44
expires on        : 2030-04-26 16:51:44
signed using      : RSA with SHA-256
RSA key size      : 2048 bits
basic constraints : CA=false
subject alt name  : server
cert. type        : SSL Server
key usage         : Digital Signature, Key Encipherment
ext key usage     : TLS Web Server Authentication


15:26:05.398 -- Session invalidated: KEEPALIVE_TIMEOUT

15:26:05.399 -- Client terminated, restarting in 2000 ms...

15:26:07.397 -- EVENT: RECONNECTING

15:26:07.400 -- EVENT: RESOLVE

15:26:07.476 -- Contacting [öffentliche IP]:1194 via UDP

15:26:07.476 -- EVENT: WAIT

15:26:07.481 -- Connecting to [myfritzDNS]:1194 ([öffentliche IP]) via UDPv4

15:26:07.535 -- EVENT: CONNECTING

15:26:07.537 -- Tunnel Options:V4,dev-type tun,link-mtu 1542,tun-mtu 1500,proto UDPv4,comp-lzo,cipher BF-CBC,auth SHA1,keysize 128,key-method 2,tls-client

15:26:07.538 -- Creds: UsernameEmpty/PasswordEmpty

15:26:07.538 -- Peer Info:
IV_GUI_VER=OC30Android
IV_VER=3.git::f225fcd0:Release
IV_PLAT=android
IV_NCP=2
IV_TCPNL=1
IV_PROTO=2
IV_LZO_STUB=1
IV_COMP_STUB=1
IV_COMP_STUBv2=1
IV_AUTO_SESS=1
IV_BS64DL=1


15:26:07.608 -- VERIFY OK : depth=1
cert. version     : 3
serial number     : [zensiert]
issuer name       : C=DE, ST=[BL], L=[Stadt], CN=[Server], emailAddress=[Mail]
subject name      : C=DE, ST=[BL], L=[Stadt], CN=[Server], emailAddress=[Mail]
issued  on        : 2020-04-28 16:48:29
expires on        : 2030-04-26 16:48:29
signed using      : RSA with SHA-256
RSA key size      : 2048 bits
basic constraints : CA=true


15:26:07.609 -- VERIFY OK : depth=0
cert. version     : 3
serial number     : 01
issuer name       : C=DE, ST=[BL], L=[Stadt], CN=[Server], emailAddress=[Mail]
subject name      : C=DE, ST=[BL], L=[Stadt], CN=[myfritzDNS], emailAddress=[Mail]
issued  on        : 2020-04-28 16:51:44
expires on        : 2030-04-26 16:51:44
signed using      : RSA with SHA-256
RSA key size      : 2048 bits
basic constraints : CA=false
subject alt name  : server
cert. type        : SSL Server
key usage         : Digital Signature, Key Encipherment
ext key usage     : TLS Web Server Authentication


15:26:25.120 -- EVENT: CONNECTION_TIMEOUT

15:26:25.127 -- EVENT: DISCONNECTED

15:26:25.127 -- Tunnel bytes per CPU second: 0

15:26:25.128 -- ----- OpenVPN Stop -----

Kannst du da etwas erkennen?

lubux

Anmeldungsdatum:
21. November 2012

Beiträge: 14349

Dommas89 schrieb:

15:25:25.115 -- OpenVPN core 3.git::f225fcd0:Release android arm64 64-bit PT_PROXY built on Mar  3 2020 21:07:24

Wie man einen OpenVPN-Client für android konfiguriert, weiß ich nicht, weil ich so etwas nicht benutze.

Dommas89

(Themenstarter)

Anmeldungsdatum:
29. April 2020

Beiträge: 19

Meinst du das liegt am Client? Woraus schließt du das?

Verwendest du Apple/iOS?

Habe mir die config-Datei selbst zusammengestellt aus verschiedenen Beiträgen. Kann man sich so eine config-Datei erzeugen lassen? oder kannst du evtl ein Beispiel bereitstellen, an dem ich mich orientieren kann, was alles in der Client-Config enthalten sein muss?

Dommas89

(Themenstarter)

Anmeldungsdatum:
29. April 2020

Beiträge: 19

Hat nun funktioniert. Warum ersteres funktioniert, weiß ich nicht. Das jetzige (Client-Config für Android) lag an mir selbst 😉 Wenn man nur die Hälfte angibt, kann er die restlichen Zertifikate und so ja nicht finden 😉

Habe jetzt folgendes eingefügt:

cert Client.crt
key Client.key

Jetzt kann ich mich verbinden 😉

Jetzt sehe ich auch meinen Server. Kann mich allerdings nicht per bspw SFTP damit verbinden. "socket is not established". Was muss ich noch tun? Liegt das jetzt an OpenVPN oder an etwas anderem?

lubux

Anmeldungsdatum:
21. November 2012

Beiträge: 14349

Dommas89 schrieb:

Kann mich allerdings nicht per bspw SFTP damit verbinden. "socket is not established". Was muss ich noch tun? Liegt das jetzt an OpenVPN oder an etwas anderem?

Ich denke nicht, dass es an OpenVPN liegt. Kannst Du den lauschenden Port 22 des sshd erreichen?

Dommas89

(Themenstarter)

Anmeldungsdatum:
29. April 2020

Beiträge: 19

Also ohne openvpn im LAN funktioniert das einwandfrei.

lubux

Anmeldungsdatum:
21. November 2012

Beiträge: 14349

Dommas89 schrieb:

Also ohne openvpn im LAN funktioniert das einwandfrei.

SFTP funktioniert im LAN. Ich meinte aber ob Du via VPN, den lauschenden Port 22 erreichen kannst?

Dommas89

(Themenstarter)

Anmeldungsdatum:
29. April 2020

Beiträge: 19

Aso, sorry. Ne, ist nicht erreichbar. Offensichtlich kein einziger Port. Mir ist aufgefallen, dass ich nur den OpenVPN-Server sehe, aber keine anderen Geräte. Hier muss ich wsl noch das LAN in der Config und so mit einbeziehen. Internet Zugriff funktioniert zumindest vom verbundenen OpenVPN-Client aus.

lubux

Anmeldungsdatum:
21. November 2012

Beiträge: 14349

Dommas89 schrieb:

Aso, sorry. Ne, ist nicht erreichbar. Offensichtlich kein einziger Port.

Wie hast Du getestet?

Antworten |