Vraag

OpenVPN probleem met ConnectBox TLS Error Unroutable control

  • 20 oktober 2020
  • 25 reacties
  • 308 keer bekeken

Hallo, Er zit een Synology NAS achter het modem. In die NAS staat OpenVPN aan. Ik heb een ConnectBox. In die Connectbox staat poort 1194 UDP geforward naar de NAS.  In de NAS staat de firewall uit. Als ik een verbinding maak van buitenaf krijg ik de melding: TLS Error Unroutable control packet received from AF_INET enz. en krijg dus geen verbinding.

Doe ik hetzelfde vanaf een pc op het interne netwerk van de NAS dan wordt de vpn zo gemaakt. Ik ga ervan uit dat de ConnectBox de vpn data niet snapt of zo en de pakketten weggooit. Is dat aan te passen in het modem? Bij IPv4 Firewall staat alles uit in het modem. Het buiten-ip adres is een ipv4 adres.

Nou kan ik hem in bridge zetten en een router erachter zetten, maar ik lees ook berichten dat het dan  ooksoms niet werkt.

 

Gegevens modem:

Conform standaard specificaties : DOCSIS 3.0
Hardware versie : 10
Software versie : 9.1.1902.203

 

Alvast bedankt,

Marty


25 Reacties

Net nog geprobeerd met IP-sec vpn, maar daar gaat het ook niet mee.

Hey @marty500 en welkom op onze Community! 

Wat rot dat je problemen ervaart en steeds als je verbinding wilt maken een error code te zien krijgt. @Ronihd volgens mij ligt jouw expertise hier :slight_smile: Heb jij een idee wat @marty500 kan checken om het probleem op te lossen? 

De foutmelding wil wel voorkomen als de systeem tijd niet gelijk is op de apparaten. Dan faalt de TLS connectie.

https://www.ivpn.net/knowledgebase/152/TLS-Error-Unroutable-control-packet-received---How-to-fix.html

Geen idee of dat hier ook zo is, maar wel eenvoudig te controleren

Kun je de OVPN-client eens posten? 

Reputatie 7
Badge +14

Hey @marty500 en welkom op onze Community! 

Wat rot dat je problemen ervaart en steeds als je verbinding wilt maken een error code te zien krijgt. @Ronihd volgens mij ligt jouw expertise hier :slight_smile: Heb jij een idee wat @marty500 kan checken om het probleem op te lossen? 

 

Mijn expertise is niet op dit vlak echt goed genoeg , VPN heb niet eerder gebruikt met een synology.

@Marco1861 

Dag Marco,

 

Bij deze de client. YOUR_SERVER_IP heb ik standaard laten staan hier maar is aangepast bij de werkelijke client. Het certificaat heb ik niet gekopieerd hier.
Bij cipher AES-256-CBC is van alles te kiezen. Ik heb het standaard laten staan.


dev tun
tls-client

remote YOUR_SERVER_IP 1194

# The "float" tells OpenVPN to accept authenticated packets from any address,
# not only the address which was specified in the --remote option.
# This is useful when you are connecting to a peer which holds a dynamic address
# such as a dial-in user or DHCP client.
# (Please refer to the manual of OpenVPN for more information.)

#float

# If redirect-gateway is enabled, the client will redirect it's
# default network gateway through the VPN.
# It means the VPN connection will firstly connect to the VPN Server
# and then to the internet.
# (Please refer to the manual of OpenVPN for more information.)

#redirect-gateway def1

# dhcp-option DNS: To set primary domain name server address.
# Repeat this option to set secondary DNS server addresses.

#dhcp-option DNS DNS_IP_ADDRESS

pull

# If you want to connect by Server's IPv6 address, you should use
# "proto udp6" in UDP mode or "proto tcp6-client" in TCP mode
proto tcp-client

script-security 2


comp-lzo

reneg-sec 0

cipher AES-256-CBC

auth SHA1

auth-user-pass
<ca>
-----BEGIN CERTIFICATE----- 

Kun je ‘remote-cert-tls server’ eens toevoegen en testen? Welk certificaat heb je geïnstalleerd (Let's Encrypt)?

 

 

Dag Marco, ik heb geen certificaat toegevoegd. Synology verzint zijn eigen certificaat. Ik voeg in een Synology nas nooit een vertificaat toe met OpenVPN.

En hoe maak je, of haal je, de key vandaan? 

 

tls-client

remote-cert-tls server

cipher AES-256-CBC

prng SHA256 32

auth SHA256

tls-version-min 1.2 or-highest

tls-auth GEBRUIKER.key 1

Die zit in de client, in de VPNConfig.ovpn file waarvan ik het eerste gedeelte hierboven noteerde: Ik doe hierbij een deel van de key erbij. 

auth SHA512

auth-user-pass
<ca>
-----BEGIN CERTIFICATE-----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Hmm, mijn ideeën zijn op.

 

Het enige wat ik nog kan herinneren is dat ik zelf een key heb aangemaakt voor de server en client middels ‘openvpn --genkey --secret GEBRUIKER.key’ en dit in de OVPN had staan: 

 

tls-client

remote-cert-tls server

cipher AES-256-CBC

prng SHA256 32

auth SHA256

tls-version-min 1.2 or-highest

tls-auth GEBRUIKER.key 1

Dag Marco, ok, jammer. Ik doe het altijd op deze manier. Zeg maar de Synology manier, waar Synology standaard mee komt. Op jouw manier, komt hij dan wel door het modem?

Heb je er ervaring mee als dit modem in bridge staat? Gaat het dan wel goed?

Dank je wel voor het meedenken.

Ja, ik heb de modem altijd in bridge gehad. Maar heb 2 jaar geleden afscheid genomen van mijn Synology en kan het dus niet meer nakijken/testen.

Dan ga ik het in bridge proberen. Dank je wel.

Je geeft aan dat een connectie op je eigen netwerk naar je openvpn server wel werkt. Ik neem aan dat je in de client config dan bij “remote” het ipadres (of hostname) van je synology opgeeft? Vanaf internet is dat natuurlijk dan je ipadres of hostname van je verbinding.

Aangezien het wel goed werkt op je eigen lan (zoals ik lees), is het geen probleem in je openvpn config lijkt mij. Om te testen zou je nog eens tcp kunnen testen ipv udp (al wil je liever udp gebruiken voor performance redenen). Ook is het belangrijk dat je synology een default gateway naar je router ingesteld heeft staan, maar ook dat zal waarschijnlijk wel het geval zijn.

Ik weet niet of de tools op de synology beschikbaar zijn, maar je kan daar eventueel nog met tcpdump het verkeer inspecteren (iets als “tcpdump udp port 1194”) en natuurlijk is het ook interessant wat je openvpn server log laat zien (die zal ook op je synology staan). Ik weet niet of synology openvpn gewoon als daemon draait of misschien als docker container? In geval van een gewone daemon zou ik de logs verwachten in /var/log/syslog of /var/log/messages (sorry, ik heb geen synology ervaring).

Ik lees ook iets over letsencrypt hier, maar dat is voor openvpn totaal onnodig en onhandig. Daar maak je gewoon je eigen pki infrastructuur met een CA en certificaten voor server en client. Dat zal je synology allemaal regelen en daar zal ik vooral niets aan veranderen.

 In die Connectbox staat poort 1194 UDP geforward naar de NAS.  In de NAS staat de firewall uit. Als ik een verbinding maak van buitenaf krijg ik de melding: TLS Error Unroutable control packet received from AF_INET enz. en krijg dus geen verbinding.

 

proto tcp-client

script-security 2

 

@marty500 Kennelijk heb je de client en server geïnstrueerd om via het TCP protocol connectie te maken (UDP is de default voor OpenVPN en werkt ook sneller). Dan moet je ook TCP forwarden in je connectbox en niet UDP.

Dag Hugo2,

Ja, ik had het ip-adres naar het interne adres gewijzigd. TCP had ik ook geprobeerd.

De log van OpenVPN. Ik ben even gaan Googlen en kwam dit ergens tegen:

Navigeer met WinSCP naar /usr/syno/etc/packages/VPNCenter/openvpn en open openvpn.conf.
Haal # weg voor #log-append /var/log/openvpn.log, sla op en start opnieuw de VPN Server.
Navigeer naar /var/log en open openvpn.log om het log te bekijken.
Als je meer wilt zien in het log kun je de waarde verb verhogen tot max 9.
5 is al redelijk gedetailleerd.

Dat probeerde ik maar kon niet opslaan omdat ik geen rechten genoeg had. Dat wordt even uitzoeken maar dat lukt me op dit moment niet.

Ik ben benieuwd wat er in de logs komt te staan.

Denk je wel Hugo2

 

Dag Efok, je hebt helemaal gelijk. Ik heb per ongeluk de versie van de tcp hier neergezet omdat dat de laatste was die ik getest had. Ik heb ze niet door elkaar gehaald, met de tcp versie heb ik de tcp poort geforward met de udp versie de udp poort en in de Synology heb ik het overeenkomstig ingesteld.

Sorry voor de verwarring.

Wat ik mij later nog bedacht: hoe test je via het modem? Want, stel dat je dit doet vanaf het netwerk waar ook je openvpn server in staat, dan heb je kans dat het retourverkeer in de knoop raakt. Als je dit inderdaad doet, test het dan eens even vanaf een andere verbinding (bijv. via een hotspot op je telefoon oid).

Want als je wél op hetzelfde netwerk zit, dan gaat het verkeer *naar* je vpn server via het modem, maar de *terugweg* gaat rechtstreeks, omdat je vpn server direct verbinding met je laptop kan maken. Dat wordt echter door je laptop niet geaccepteerd omdat het source adres dan plotseling niet meer je publieke internet ip is, maar het ipadres van je openvpn server.

Dag Hugo2, nee, ik test het van buitenaf. Als ik van binnen test neem ik het binnen ip van de nas.

Dank je wel.

Als ik een willekeurige andere poort open en ik luister daarachter met een nas of pc (ik heb dan ook daadwerkelijk wat draaien met dat poortnummer. Verder zit er geen router tussen) dan kom ik niet door het modem. Het is een type Arris. Als ik hier (https://community.ziggo.nl/internetverbinding-102/overzicht-arris-connetbox-problemen-38258/index3.html) lees, op een kwart van die pagina staat een lijst. Punt 8 is: 8) port forwards werken niet. Arris geeft open weer, port scans geven closed en cams extern niet te benaderen.

Komt dit vaker voor met een Arris? Lokaal zijn de poorten wel benaderbaar en staan open, maar wat ik ook doe, van buitenaf staat er geen een open.

O ja, ik heb het modem teruggezet naar de fabrieksinstellingen. Daarna weer ingeregeld. Vier dagen daarna waren de instellingen opeens weg (terwijl wel te vinden was dat het modem al zes dagen online is). De instellingen waren ook niet meer toe te voegen. Als je een port forward wilde doen stond er alvast ingevuld 0.0.0. i.p.v. 192.168.178.
Na het modem uit en aan te hebben gezet kan ik wel weer gewoon alles invullen en staat er ook weer 192.168.178. Alleen geen port forward werkt dus.

Ik denk dat het tijd wordt voor een nieuw modem.

Reputatie 7

Hey marty, voordat ik hier verder in kan duiken zou ik graag ook je modem uitlezen. Kun je in je Ziggo Community profiel je adresgegevens invullen? 

Dag Mark, Ik heb zaterdag het modem weer teruggezet naar de fabrieksinstellingen (voor de tweede keer in een paar weken) en toen kon ik de poort wel weer openen. OpenVPN werkt nu prima. (modem in router mode)

Ik wil het even aankijken zo al heb ik mijn twijfels bij het modem.

Ik meld me wel als het nog een keer fout gaat.

Bedankt. Bedankt iedereen voor het meedenken.

Reputatie 7

Weird…. :sweat:

Maar fijn dat het nu werkt!

Reageer