Re: openvpn
Op 03-01-19 om 19:45 schreef Fred:
>
>
> Op 03-01-19 om 19:01 schreef Paul van der Vlis:
>> Op 03-01-19 om 17:45 schreef Fred:
>>>
>>> Op 03-01-19 om 17:39 schreef Paul van der Vlis:
Op 03-01-19 om 15:05 schreef Fred:
> Op 02-01-19 om 20:53 schreef Paul van der Vlis:
>> Hoi,
>>
>> Op 02-01-19 om 20:00 schreef Fred:
>>> Beste,
>>>
>>> Ik heb op een RBP een VPN servertje draaien waarmee ik via de ap van
>>> mijn mobiel een verbinding kan krijgen.
>>> Vanaf mijn laptop lukt dit echter niet.
>>>
>>> Ik heb wel het .ovpn configuratie bestand in de netwerk beheerder
>>> van
>>> Gnome geïmporteerd echter met uitzondering van het
>>> gedeelte.
>>> Deze lijkt namelijk niet geaccepteerd te worden als in n VPN wil
>>> toevoegen.
>> Bedoel je wellicht het gedeelte?
>> Als je dat op de server hebt, moet je het ook op de client hebben.
>> Je kunt het dus ook weghalen aan zowel de server als de client kant.
> Onderstaande heb ik uit het .ovpn configuratie bestand gekopieerd;
>
>> #
>> #
>> # 2048 bit OpenVPN static key
>> #
>> #-BEGIN OpenVPN Static key V1-
> Deze sectie wordt niet aanvaart door de netwerkmanager, dat dat ik de
> regels van n comment out # heb voorzien wel.
> Het gaat volgens mij dus wel om i,p,v (?)
>
> Maar in jou methode om een .opvn bestand te genereren zie ik juist die
> tag niet terug.
> Wellicht dat dat juist het probleem is. De log verwijst in elk
> geval wel
> naar een tls issue.
Ik zie dus zoiets en dat werkt:
#
# 2048 bit OpenVPN static key
#
-BEGIN OpenVPN Static key V1-
(...)
-END OpenVPN Static key V1-
Probeer het misschien eens aan te passen.
>>> Dat heb ik juist geprobeerd maar levert ook niet het gewenste
>>> resultaat op;
>>> De log laat dan dit zien;
>>> Jan 3 15:37:00 raspberrypi ovpn-server[338]: tls-crypt unwrap error:
>>> packet authentication failed
>>> Jan 3 15:37:00 raspberrypi ovpn-server[338]: TLS Error: tls-crypt
>>> unwrapping failed from [AF_INET]
>> Ik heb nog wat verder gekeken, tls-auth is wat anders dan tls-crypt. Als
>> ik me niet vergis is tls-crypt nieuwer/beter, maar het zou best eens
>> kunnen dat networkmanager in Debian het nog niet ondersteund.
>> Hmm, ik zie dat er ook een backports-versie van is.
>>
>> Uit de manual: "In contrast to --tls-auth, --tls-crypt does *not*
>> require the user to set --key-direction."
>>
>> Met tls-crypt heb ik nog geen ervaring. Hieronder ga ik in op tls-auth.
>>
>> Networkmanager importeert alles nu netjes?
> Ja, als ik van maak dan wordt het ovpn config
> bestand wel geïmporteerd, maar wel geeft dus toch in de log van de
> server een foutmelding zoals hierboven. Het bestand word ook
> geïmporteerd als ik de regels out comment.
>>
>> Wat staat er op de tls-auth regel in je client-configfile?
>> Bij mij staat er dit:
>> tls-auth ta.key 1
> Die komt in mijn client-configfile niet voor.
>
> -
> client
> dev tun
> proto udp
> remote xx.xx.xx.xx 1194
> resolv-retry infinite
> nobind
> persist-key
> persist-tun
> remote-cert-tls server
> tls-version-min 1.2
> verify-x509-name server_KLsSwJCOaYqwbKIp name
> cipher AES-256-CBC
> auth SHA256
> auth-nocache
> verb 3
> ---
> En hierna de certificaten en keys...
Ik heb op de client dit, daarna de certificaten en keys:
---
client
dev tun
proto udp
remote xx.xx.xx.xx 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client.crt
key client.key
remote-cert-tls server
tls-auth ta.key 1
cipher AES-256-CBC
verb 3
-
Volgens mij verschilt de cipher en heb jij "auth" waar ik "tls-auth"
heb, en dan de "direction".
>> Dit staat er bij mij in het server configfile:
>> tls-auth /etc/openvpn/keys/ta.key 0
>> Let op die laatste 0 en 1, dat is de direction.
> Bij mij;
> tls-crypt /etc/openvpn/easy-rsa/pki/ta.key
>
> Dus zonder toevoeging van 0 of 1
Bovenstaande regel lijkt me geschikt voor tls-crypt en niet voor tls-auth.
Je zult moeten kiezen tussen tls-auth en tls-crypt.
Met dat laatste heb ik nog geen ervaring.
En of de network-manager openvpn plugin daarmee werkt weet ik niet.
Je zou het ook eerst zonder tls-crypt of tls-auth aan de praat kunnen
brengen om te zien of het dan werkt.
Je zou het ook zonder de network-manager plugin kunnen doen.
Gewoon het configfile in /etc/openvpn/ zetten en renamen (.ovpn moet
.conf worden). Daarna reboot ik normaal, de VPN start dan automatisch
als er een netwerkverbinding is.
Je kunt hem echter ook uitzetten in /etc/default/openvpn en hem met de
hand starten ("openvpn --config /path/configfile".
Groet,
Paul
--
Paul van der Vlis Linux systeembeheer Groningen
https://www.vandervlis.nl/
Re: openvpn
Op 03-01-19 om 19:01 schreef Paul van der Vlis: Op 03-01-19 om 17:45 schreef Fred: Op 03-01-19 om 17:39 schreef Paul van der Vlis: Op 03-01-19 om 15:05 schreef Fred: Op 02-01-19 om 20:53 schreef Paul van der Vlis: Hoi, Op 02-01-19 om 20:00 schreef Fred: Beste, Ik heb op een RBP een VPN servertje draaien waarmee ik via de ap van mijn mobiel een verbinding kan krijgen. Vanaf mijn laptop lukt dit echter niet. Ik heb wel het .ovpn configuratie bestand in de netwerk beheerder van Gnome geïmporteerd echter met uitzondering van het gedeelte. Deze lijkt namelijk niet geaccepteerd te worden als in n VPN wil toevoegen. Bedoel je wellicht het gedeelte? Als je dat op de server hebt, moet je het ook op de client hebben. Je kunt het dus ook weghalen aan zowel de server als de client kant. Onderstaande heb ik uit het .ovpn configuratie bestand gekopieerd; # # # 2048 bit OpenVPN static key # #-BEGIN OpenVPN Static key V1- Deze sectie wordt niet aanvaart door de netwerkmanager, dat dat ik de regels van n comment out # heb voorzien wel. Het gaat volgens mij dus wel om i,p,v (?) Maar in jou methode om een .opvn bestand te genereren zie ik juist die tag niet terug. Wellicht dat dat juist het probleem is. De log verwijst in elk geval wel naar een tls issue. Ik zie dus zoiets en dat werkt: # # 2048 bit OpenVPN static key # -BEGIN OpenVPN Static key V1- (...) -END OpenVPN Static key V1- Probeer het misschien eens aan te passen. Dat heb ik juist geprobeerd maar levert ook niet het gewenste resultaat op; De log laat dan dit zien; Jan 3 15:37:00 raspberrypi ovpn-server[338]: tls-crypt unwrap error: packet authentication failed Jan 3 15:37:00 raspberrypi ovpn-server[338]: TLS Error: tls-crypt unwrapping failed from [AF_INET] Ik heb nog wat verder gekeken, tls-auth is wat anders dan tls-crypt. Als ik me niet vergis is tls-crypt nieuwer/beter, maar het zou best eens kunnen dat networkmanager in Debian het nog niet ondersteund. Hmm, ik zie dat er ook een backports-versie van is. Uit de manual: "In contrast to --tls-auth, --tls-crypt does *not* require the user to set --key-direction." Met tls-crypt heb ik nog geen ervaring. Hieronder ga ik in op tls-auth. Networkmanager importeert alles nu netjes? Ja, als ik van maak dan wordt het ovpn config bestand wel geïmporteerd, maar wel geeft dus toch in de log van de server een foutmelding zoals hierboven. Het bestand word ook geïmporteerd als ik de regels out comment. Wat staat er op de tls-auth regel in je client-configfile? Bij mij staat er dit: tls-auth ta.key 1 Die komt in mijn client-configfile niet voor. - client dev tun proto udp remote xx.xx.xx.xx 1194 resolv-retry infinite nobind persist-key persist-tun remote-cert-tls server tls-version-min 1.2 verify-x509-name server_KLsSwJCOaYqwbKIp name cipher AES-256-CBC auth SHA256 auth-nocache verb 3 --- En hierna de certificaten en keys... Dit staat er bij mij in het server configfile: tls-auth /etc/openvpn/keys/ta.key 0 Let op die laatste 0 en 1, dat is de direction. Bij mij; tls-crypt /etc/openvpn/easy-rsa/pki/ta.key Dus zonder toevoeging van 0 of 1 gr Fred
Re: openvpn
Op 03-01-19 om 17:45 schreef Fred: > > > Op 03-01-19 om 17:39 schreef Paul van der Vlis: >> Op 03-01-19 om 15:05 schreef Fred: >>> >>> Op 02-01-19 om 20:53 schreef Paul van der Vlis: Hoi, Op 02-01-19 om 20:00 schreef Fred: > Beste, > > Ik heb op een RBP een VPN servertje draaien waarmee ik via de ap van > mijn mobiel een verbinding kan krijgen. > Vanaf mijn laptop lukt dit echter niet. > > Ik heb wel het .ovpn configuratie bestand in de netwerk beheerder van > Gnome geïmporteerd echter met uitzondering van het > gedeelte. > Deze lijkt namelijk niet geaccepteerd te worden als in n VPN wil > toevoegen. Bedoel je wellicht het gedeelte? Als je dat op de server hebt, moet je het ook op de client hebben. Je kunt het dus ook weghalen aan zowel de server als de client kant. >>> Onderstaande heb ik uit het .ovpn configuratie bestand gekopieerd; >>> # # # 2048 bit OpenVPN static key # #-BEGIN OpenVPN Static key V1- >>> Deze sectie wordt niet aanvaart door de netwerkmanager, dat dat ik de >>> regels van n comment out # heb voorzien wel. >>> Het gaat volgens mij dus wel om i,p,v (?) >>> >>> Maar in jou methode om een .opvn bestand te genereren zie ik juist die >>> tag niet terug. >>> Wellicht dat dat juist het probleem is. De log verwijst in elk geval wel >>> naar een tls issue. >> Ik zie dus zoiets en dat werkt: >> >> >> # >> # 2048 bit OpenVPN static key >> # >> -BEGIN OpenVPN Static key V1- >> >> (...) >> >> -END OpenVPN Static key V1- >> >> >> >> Probeer het misschien eens aan te passen. > Dat heb ik juist geprobeerd maar levert ook niet het gewenste resultaat op; > De log laat dan dit zien; > Jan 3 15:37:00 raspberrypi ovpn-server[338]: tls-crypt unwrap error: > packet authentication failed > Jan 3 15:37:00 raspberrypi ovpn-server[338]: TLS Error: tls-crypt > unwrapping failed from [AF_INET] Ik heb nog wat verder gekeken, tls-auth is wat anders dan tls-crypt. Als ik me niet vergis is tls-crypt nieuwer/beter, maar het zou best eens kunnen dat networkmanager in Debian het nog niet ondersteund. Hmm, ik zie dat er ook een backports-versie van is. Uit de manual: "In contrast to --tls-auth, --tls-crypt does *not* require the user to set --key-direction." Met tls-crypt heb ik nog geen ervaring. Hieronder ga ik in op tls-auth. Networkmanager importeert alles nu netjes? Wat staat er op de tls-auth regel in je client-configfile? Bij mij staat er dit: tls-auth ta.key 1 Dit staat er bij mij in het server configfile: tls-auth /etc/openvpn/keys/ta.key 0 Let op die laatste 0 en 1, dat is de direction. Groet, Paul -- Paul van der Vlis Linux systeembeheer Groningen https://www.vandervlis.nl/
Re: openvpn
Op 03-01-19 om 17:39 schreef Paul van der Vlis: Op 03-01-19 om 15:05 schreef Fred: Op 02-01-19 om 20:53 schreef Paul van der Vlis: Hoi, Op 02-01-19 om 20:00 schreef Fred: Beste, Ik heb op een RBP een VPN servertje draaien waarmee ik via de ap van mijn mobiel een verbinding kan krijgen. Vanaf mijn laptop lukt dit echter niet. Ik heb wel het .ovpn configuratie bestand in de netwerk beheerder van Gnome geïmporteerd echter met uitzondering van het gedeelte. Deze lijkt namelijk niet geaccepteerd te worden als in n VPN wil toevoegen. Bedoel je wellicht het gedeelte? Als je dat op de server hebt, moet je het ook op de client hebben. Je kunt het dus ook weghalen aan zowel de server als de client kant. Onderstaande heb ik uit het .ovpn configuratie bestand gekopieerd; # # # 2048 bit OpenVPN static key # #-BEGIN OpenVPN Static key V1- Deze sectie wordt niet aanvaart door de netwerkmanager, dat dat ik de regels van n comment out # heb voorzien wel. Het gaat volgens mij dus wel om i,p,v (?) Maar in jou methode om een .opvn bestand te genereren zie ik juist die tag niet terug. Wellicht dat dat juist het probleem is. De log verwijst in elk geval wel naar een tls issue. Ik zie dus zoiets en dat werkt: # # 2048 bit OpenVPN static key # -BEGIN OpenVPN Static key V1- (...) -END OpenVPN Static key V1- Probeer het misschien eens aan te passen. Dat heb ik juist geprobeerd maar levert ook niet het gewenste resultaat op; De log laat dan dit zien; Jan 3 15:37:00 raspberrypi ovpn-server[338]: tls-crypt unwrap error: packet authentication failed Jan 3 15:37:00 raspberrypi ovpn-server[338]: TLS Error: tls-crypt unwrapping failed from [AF_INET] gr Fred
Re: openvpn
Op 03-01-19 om 15:05 schreef Fred: > > > Op 02-01-19 om 20:53 schreef Paul van der Vlis: >> Hoi, >> >> Op 02-01-19 om 20:00 schreef Fred: >>> Beste, >>> >>> Ik heb op een RBP een VPN servertje draaien waarmee ik via de ap van >>> mijn mobiel een verbinding kan krijgen. >>> Vanaf mijn laptop lukt dit echter niet. >>> >>> Ik heb wel het .ovpn configuratie bestand in de netwerk beheerder van >>> Gnome geïmporteerd echter met uitzondering van het gedeelte. >>> Deze lijkt namelijk niet geaccepteerd te worden als in n VPN wil >>> toevoegen. >> Bedoel je wellicht het gedeelte? >> Als je dat op de server hebt, moet je het ook op de client hebben. >> Je kunt het dus ook weghalen aan zowel de server als de client kant. > Onderstaande heb ik uit het .ovpn configuratie bestand gekopieerd; > >> # >> # >> # 2048 bit OpenVPN static key >> # >> #-BEGIN OpenVPN Static key V1- > Deze sectie wordt niet aanvaart door de netwerkmanager, dat dat ik de > regels van n comment out # heb voorzien wel. > Het gaat volgens mij dus wel om i,p,v (?) > > Maar in jou methode om een .opvn bestand te genereren zie ik juist die > tag niet terug. > Wellicht dat dat juist het probleem is. De log verwijst in elk geval wel > naar een tls issue. Ik zie dus zoiets en dat werkt: # # 2048 bit OpenVPN static key # -BEGIN OpenVPN Static key V1- (...) -END OpenVPN Static key V1- Probeer het misschien eens aan te passen. Groet, Paul -- Paul van der Vlis Linux systeembeheer Groningen https://www.vandervlis.nl/
Re: openvpn
Op 02-01-19 om 20:53 schreef Paul van der Vlis: Hoi, Op 02-01-19 om 20:00 schreef Fred: Beste, Ik heb op een RBP een VPN servertje draaien waarmee ik via de ap van mijn mobiel een verbinding kan krijgen. Vanaf mijn laptop lukt dit echter niet. Ik heb wel het .ovpn configuratie bestand in de netwerk beheerder van Gnome geïmporteerd echter met uitzondering van het gedeelte. Deze lijkt namelijk niet geaccepteerd te worden als in n VPN wil toevoegen. Bedoel je wellicht het gedeelte? Als je dat op de server hebt, moet je het ook op de client hebben. Je kunt het dus ook weghalen aan zowel de server als de client kant. Onderstaande heb ik uit het .ovpn configuratie bestand gekopieerd; # # # 2048 bit OpenVPN static key # #-BEGIN OpenVPN Static key V1- Deze sectie wordt niet aanvaart door de netwerkmanager, dat dat ik de regels van n comment out # heb voorzien wel. Het gaat volgens mij dus wel om i,p,v (?) Maar in jou methode om een .opvn bestand te genereren zie ik juist die tag niet terug. Wellicht dat dat juist het probleem is. De log verwijst in elk geval wel naar een tls issue. Gr Fred
