OpenVPN und tun0 als client

[peterle]

Ich entblöde mich nicht zu fragen ... DAS Internet habe ich schon leer gelesen und jeder erzählt was anderes, aber nichts funktioniert.

Der OpenVPN Server läuft auf einem FreebBSD und auch ein Client unter FreeBSD und einer unter Windows tun brav ihre Pflicht - gut das Windowsdingen ist was langsam.

Nun soll eine OpenBSD 5.8 Kiste als client laufen und dafür braucht es eine hostname.tun0 - so nehme ich zumdest an und da soll folgendes rein - so habe ich gelesen ...

# cat /etc/hostname.tun0

up
!/usr/local/sbin/openvpn --daemon --config /etc/openvpn/client.conf &

Nun weigert sich aber tun0 irgendwas zu machen, wie sich z.B. aktiv zu melden, der Status ist immer down.

Was mache ich denn da falsch oder wo gehe ich noch suchen oder fragen?

Danke!

 

[peterle]

Ich gebe zu, noch immer keine Lösung gefunden zu haben.

Da hier keine Antwort gekommen ist, schubse ich das noch einmal nach oben. Danke.

 

[TCM]

Was sagt denn das OpenVPN-Log?

 

[peterle]

Das ist eine gute Frage ...

Sat Feb 27 23:13:30 2016 us=325356 OpenVPN 2.3.7 x86_64-unknown-openbsd5.8 [SSL (OpenSSL)] [LZO] [MH] [IPv6] built on Aug  8 2015
Sat Feb 27 23:13:30 2016 us=325434 library versions: LibreSSL 2.2.2, LZO 2.09
Sat Feb 27 23:13:30 2016 us=330459 LZO compression initialized
Sat Feb 27 23:13:30 2016 us=331305 Control Channel MTU parms [ L:1542 D:138 EF:38 EB:0 ET:0 EL:3 ]
Sat Feb 27 23:13:30 2016 us=331474 Socket Buffers: R=[41600->65536] S=[9216->65536]
Sat Feb 27 23:13:30 2016 us=331918 Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:143 ET:0 EL:3 AF:3/1 ]
Sat Feb 27 23:13:30 2016 us=332029 Local Options String: 'V4,dev-type tun,link-mtu 1542,tun-mtu 1500,proto UDPv4,comp-lzo,cipher BF-CBC,auth SHA1,keysize 128,key-method 2,tls-client'
Sat Feb 27 23:13:30 2016 us=332060 Expected Remote Options String: 'V4,dev-type tun,link-mtu 1542,tun-mtu 1500,proto UDPv4,comp-lzo,cipher BF-CBC,auth SHA1,keysize 128,key-method 2,tls-server'
Sat Feb 27 23:13:30 2016 us=332171 Local Options hash (VER=V4): '41690919'
Sat Feb 27 23:13:30 2016 us=332229 Expected Remote Options hash (VER=V4): '530fdded'
Sat Feb 27 23:13:30 2016 us=332621 NOTE: UID/GID downgrade will be delayed because of --client, --pull, or --up-delay
Sat Feb 27 23:13:30 2016 us=332653 UDPv4 link local: [undef]
Sat Feb 27 23:13:30 2016 us=332680 UDPv4 link remote: [AF_INET]10.8.0.1:1194
Sat Feb 27 23:13:30 2016 us=332992 UDPv4 WRITE [14] to [AF_INET]10.8.0.1:1194: P_CONTROL_HARD_RESET_CLIENT_V2 kid=0 [ ] pid=0 DATA len=0
Sat Feb 27 23:13:32 2016 us=730430 UDPv4 WRITE [14] to [AF_INET]10.8.0.1:1194: P_CONTROL_HARD_RESET_CLIENT_V2 kid=0 [ ] pid=0 DATA len=0
Sat Feb 27 23:13:36 2016 us=330436 UDPv4 WRITE [14] to [AF_INET]10.8.0.1:1194: P_CONTROL_HARD_RESET_CLIENT_V2 kid=0 [ ] pid=0 DATA len=0
Sat Feb 27 23:13:44 2016 us=790435 UDPv4 WRITE [14] to [AF_INET]10.8.0.1:1194: P_CONTROL_HARD_RESET_CLIENT_V2 kid=0 [ ] pid=0 DATA len=0
Sat Feb 27 23:14:00 2016 us=20506 UDPv4 WRITE [14] to [AF_INET]10.8.0.1:1194: P_CONTROL_HARD_RESET_CLIENT_V2 kid=0 [ ] pid=0 DATA len=0

# ifconfig tun0   
tun0: flags=11<UP,POINTOPOINT> mtu 1500
  priority: 0
  groups: tun
  status: down

 

[peterle]

So ... wer zu doof ist die *.conf ansatzweise zu verstehen, der hat auch Probleme das Ding zum Laufen zu kriegen ... hier war es wohl unter anderem die Einstellung von

remote-cert-tls server

Der aber auf dem Server gar nicht gesetzt war.

Interessanterweise braucht OpenBSD kein file /etc/hostname.tun0, der baut sich das einfach selber zusammen.

Mal schauen, wie ich das Dingen am besten jetzt starten lasse.

 

[peterle]

Am einfachsten und elegantesten finde ich ein kleines Standard-RC-Skript

# cat /etc/rc.d/openvpn  
#!/bin/sh
#
# $OpenBSD$

daemon="/usr/local/sbin/openvpn --daemon --config /etc/openvpn/client.conf"

. /etc/rc.d/rc.subr

rc_cmd $1

Interessant wäre aber die Möglichkeit, wenn OpenVPN schauen würde, ob es überhaupt eine Verbindung zum notwendigen Server gibt und sich dann selbstständig zurücksetzt. Mir passiert es aktuell, daß sich das Notebook gerne mal ins falsche Netzt hängt und OpenVPN kann sich nicht mit dem Server verbinden.
Ändere ich dann das Netz, merkt OpenVPN nichts davon und somit muß er dann ebenfalls von Hand neu gestartet werden.

OpenBSD braucht in der config keine genaue Angabe für das Device, sondern es reicht etwas wie

dev tun