marty500
Meedenker
  • 13Posts
  • 0Oplossingen
  • 2Likes

OpenVPN probleem met ConnectBox TLS Error Unroutable control

Hallo, Er zit een Synology NAS achter het modem. In die NAS staat OpenVPN aan. Ik heb een ConnectBox. In die Connectbox staat poort 1194 UDP geforward naar de NAS.  In de NAS staat de firewall uit. Als ik een verbinding maak van buitenaf krijg ik de melding: TLS Error Unroutable control packet received from AF_INET enz. en krijg dus geen verbinding.

Doe ik hetzelfde vanaf een pc op het interne netwerk van de NAS dan wordt de vpn zo gemaakt. Ik ga ervan uit dat de ConnectBox de vpn data niet snapt of zo en de pakketten weggooit. Is dat aan te passen in het modem? Bij IPv4 Firewall staat alles uit in het modem. Het buiten-ip adres is een ipv4 adres.

Nou kan ik hem in bridge zetten en een router erachter zetten, maar ik lees ook berichten dat het dan  ooksoms niet werkt.

 

Gegevens modem:

Conform standaard specificaties : DOCSIS 3.0
Hardware versie : 10
Software versie : 9.1.1902.203

 

Alvast bedankt,

Marty

25 Reacties 25
marty500
topicstarter
Meedenker
  • 13Posts
  • 0Oplossingen
  • 2Likes

Net nog geprobeerd met IP-sec vpn, maar daar gaat het ook niet mee.

Mariska
Community Moderator
Community Moderator
  • 4339Posts
  • 441Oplossingen
  • 1125Likes

Hey @marty500 en welkom op onze Community! 

Wat rot dat je problemen ervaart en steeds als je verbinding wilt maken een error code te zien krijgt. @Ronihd volgens mij ligt jouw expertise hier  Heb jij een idee wat @marty500 kan checken om het probleem op te lossen? 

efok
Expert
Expert
  • 3159Posts
  • 170Oplossingen
  • 1034Likes

De foutmelding wil wel voorkomen als de systeem tijd niet gelijk is op de apparaten. Dan faalt de TLS connectie.

https://www.ivpn.net/knowledgebase/152/TLS-Error-Unroutable-control-packet-received---How-to-fix.htm...

Geen idee of dat hier ook zo is, maar wel eenvoudig te controleren

Marco1861
Expert
Expert
  • 979Posts
  • 54Oplossingen
  • 278Likes

Kun je de OVPN-client eens posten? 

Ronihd
Super Expert
Super Expert
  • 7440Posts
  • 276Oplossingen
  • 2363Likes

Mariska Ziggo wrote:

Hey @marty500 en welkom op onze Community! 

Wat rot dat je problemen ervaart en steeds als je verbinding wilt maken een error code te zien krijgt. @Ronihd volgens mij ligt jouw expertise hier  Heb jij een idee wat @marty500 kan checken om het probleem op te lossen? 

 

Mijn expertise is niet op dit vlak echt goed genoeg , VPN heb niet eerder gebruikt met een synology.

marty500
topicstarter
Meedenker
  • 13Posts
  • 0Oplossingen
  • 2Likes

@Marco1861 

Dag Marco,

 

Bij deze de client. YOUR_SERVER_IP heb ik standaard laten staan hier maar is aangepast bij de werkelijke client. Het certificaat heb ik niet gekopieerd hier.
Bij cipher AES-256-CBC is van alles te kiezen. Ik heb het standaard laten staan.


dev tun
tls-client

remote YOUR_SERVER_IP 1194

# The "float" tells OpenVPN to accept authenticated packets from any address,
# not only the address which was specified in the --remote option.
# This is useful when you are connecting to a peer which holds a dynamic address
# such as a dial-in user or DHCP client.
# (Please refer to the manual of OpenVPN for more information.)

#float

# If redirect-gateway is enabled, the client will redirect it's
# default network gateway through the VPN.
# It means the VPN connection will firstly connect to the VPN Server
# and then to the internet.
# (Please refer to the manual of OpenVPN for more information.)

#redirect-gateway def1

# dhcp-option DNS: To set primary domain name server address.
# Repeat this option to set secondary DNS server addresses.

#dhcp-option DNS DNS_IP_ADDRESS

pull

# If you want to connect by Server's IPv6 address, you should use
# "proto udp6" in UDP mode or "proto tcp6-client" in TCP mode
proto tcp-client

script-security 2


comp-lzo

reneg-sec 0

cipher AES-256-CBC

auth SHA1

auth-user-pass
<ca>
-----BEGIN CERTIFICATE----- 

Marco1861
Expert
Expert
  • 979Posts
  • 54Oplossingen
  • 278Likes

Kun je ‘remote-cert-tls server’ eens toevoegen en testen? Welk certificaat heb je geïnstalleerd (Let's Encrypt)?

 

 

marty500
topicstarter
Meedenker
  • 13Posts
  • 0Oplossingen
  • 2Likes

Dag Marco, ik heb geen certificaat toegevoegd. Synology verzint zijn eigen certificaat. Ik voeg in een Synology nas nooit een vertificaat toe met OpenVPN.

Marco1861
Expert
Expert
  • 979Posts
  • 54Oplossingen
  • 278Likes

En hoe maak je, of haal je, de key vandaan? 

 

tls-client

remote-cert-tls server

cipher AES-256-CBC

prng SHA256 32

auth SHA256

tls-version-min 1.2 or-highest

tls-auth GEBRUIKER.key 1

marty500
topicstarter
Meedenker
  • 13Posts
  • 0Oplossingen
  • 2Likes

Die zit in de client, in de VPNConfig.ovpn file waarvan ik het eerste gedeelte hierboven noteerde: Ik doe hierbij een deel van de key erbij. 

auth SHA512

auth-user-pass
<ca>
-----BEGIN CERTIFICATE-----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Marco1861
Expert
Expert
  • 979Posts
  • 54Oplossingen
  • 278Likes

Hmm, mijn ideeën zijn op.

 

Het enige wat ik nog kan herinneren is dat ik zelf een key heb aangemaakt voor de server en client middels ‘openvpn --genkey --secret GEBRUIKER.key’ en dit in de OVPN had staan: 

 

tls-client

remote-cert-tls server

cipher AES-256-CBC

prng SHA256 32

auth SHA256

tls-version-min 1.2 or-highest

tls-auth GEBRUIKER.key 1

marty500
topicstarter
Meedenker
  • 13Posts
  • 0Oplossingen
  • 2Likes

Dag Marco, ok, jammer. Ik doe het altijd op deze manier. Zeg maar de Synology manier, waar Synology standaard mee komt. Op jouw manier, komt hij dan wel door het modem?

Heb je er ervaring mee als dit modem in bridge staat? Gaat het dan wel goed?

Dank je wel voor het meedenken.

Marco1861
Expert
Expert
  • 979Posts
  • 54Oplossingen
  • 278Likes

Ja, ik heb de modem altijd in bridge gehad. Maar heb 2 jaar geleden afscheid genomen van mijn Synology en kan het dus niet meer nakijken/testen.

marty500
topicstarter
Meedenker
  • 13Posts
  • 0Oplossingen
  • 2Likes

Dan ga ik het in bridge proberen. Dank je wel.

hugo2
Stamgast
  • 32Posts
  • 1Oplossingen
  • 5Likes

Je geeft aan dat een connectie op je eigen netwerk naar je openvpn server wel werkt. Ik neem aan dat je in de client config dan bij “remote” het ipadres (of hostname) van je synology opgeeft? Vanaf internet is dat natuurlijk dan je ipadres of hostname van je verbinding.

Aangezien het wel goed werkt op je eigen lan (zoals ik lees), is het geen probleem in je openvpn config lijkt mij. Om te testen zou je nog eens tcp kunnen testen ipv udp (al wil je liever udp gebruiken voor performance redenen). Ook is het belangrijk dat je synology een default gateway naar je router ingesteld heeft staan, maar ook dat zal waarschijnlijk wel het geval zijn.

Ik weet niet of de tools op de synology beschikbaar zijn, maar je kan daar eventueel nog met tcpdump het verkeer inspecteren (iets als “tcpdump udp port 1194”) en natuurlijk is het ook interessant wat je openvpn server log laat zien (die zal ook op je synology staan). Ik weet niet of synology openvpn gewoon als daemon draait of misschien als docker container? In geval van een gewone daemon zou ik de logs verwachten in /var/log/syslog of /var/log/messages (sorry, ik heb geen synology ervaring).

Ik lees ook iets over letsencrypt hier, maar dat is voor openvpn totaal onnodig en onhandig. Daar maak je gewoon je eigen pki infrastructuur met een CA en certificaten voor server en client. Dat zal je synology allemaal regelen en daar zal ik vooral niets aan veranderen.

efok
Expert
Expert
  • 3159Posts
  • 170Oplossingen
  • 1034Likes

marty500 wrote:

 In die Connectbox staat poort 1194 UDP geforward naar de NAS.  In de NAS staat de firewall uit. Als ik een verbinding maak van buitenaf krijg ik de melding: TLS Error Unroutable control packet received from AF_INET enz. en krijg dus geen verbinding.

 

proto tcp-client

script-security 2

 

@marty500 Kennelijk heb je de client en server geïnstrueerd om via het TCP protocol connectie te maken (UDP is de default voor OpenVPN en werkt ook sneller). Dan moet je ook TCP forwarden in je connectbox en niet UDP.

marty500
topicstarter
Meedenker
  • 13Posts
  • 0Oplossingen
  • 2Likes

Dag Hugo2,

Ja, ik had het ip-adres naar het interne adres gewijzigd. TCP had ik ook geprobeerd.

De log van OpenVPN. Ik ben even gaan Googlen en kwam dit ergens tegen:

Navigeer met WinSCP naar /usr/syno/etc/packages/VPNCenter/openvpn en open openvpn.conf.
Haal # weg voor #log-append /var/log/openvpn.log, sla op en start opnieuw de VPN Server.
Navigeer naar /var/log en open openvpn.log om het log te bekijken.
Als je meer wilt zien in het log kun je de waarde verb verhogen tot max 9.
5 is al redelijk gedetailleerd.

Dat probeerde ik maar kon niet opslaan omdat ik geen rechten genoeg had. Dat wordt even uitzoeken maar dat lukt me op dit moment niet.

Ik ben benieuwd wat er in de logs komt te staan.

Denk je wel Hugo2

 

marty500
topicstarter
Meedenker
  • 13Posts
  • 0Oplossingen
  • 2Likes

Dag Efok, je hebt helemaal gelijk. Ik heb per ongeluk de versie van de tcp hier neergezet omdat dat de laatste was die ik getest had. Ik heb ze niet door elkaar gehaald, met de tcp versie heb ik de tcp poort geforward met de udp versie de udp poort en in de Synology heb ik het overeenkomstig ingesteld.

Sorry voor de verwarring.

hugo2
Stamgast
  • 32Posts
  • 1Oplossingen
  • 5Likes

Wat ik mij later nog bedacht: hoe test je via het modem? Want, stel dat je dit doet vanaf het netwerk waar ook je openvpn server in staat, dan heb je kans dat het retourverkeer in de knoop raakt. Als je dit inderdaad doet, test het dan eens even vanaf een andere verbinding (bijv. via een hotspot op je telefoon oid).

Want als je wél op hetzelfde netwerk zit, dan gaat het verkeer *naar* je vpn server via het modem, maar de *terugweg* gaat rechtstreeks, omdat je vpn server direct verbinding met je laptop kan maken. Dat wordt echter door je laptop niet geaccepteerd omdat het source adres dan plotseling niet meer je publieke internet ip is, maar het ipadres van je openvpn server.

Uitgelicht topic