24.07.2017

2132

OpenVPN - Remotedesktop-Abbrüche

Hallo zusammen,

Ich habe hier ein Problem mit OpenVPN und hoffe Ihr könnt mir eine Hilfestellung zur Lösung meines Problems geben.

Zu meinem Problem:
Ich habe unter Windows Server 2012 R2 einen OpenVPN-Server installiert mit folgender Konfiguration...

Server.conf:

local 192.168.10.200
port 1194
proto udp
dev tun

ca "D:\\OpenVPN\\server-keys\\ca.crt"  
cert "D:\\OpenVPN\\server-keys\\server.crt"  
key "D:\\OpenVPN\\server-keys\\server.key"  
dh "D:\\OpenVPN\\server-keys\\dh4096.pem"  

server 10.0.0.0 255.255.255.0

ifconfig-pool-persist "D:\\OpenVPN\\ipp.txt"  
push "route 192.168.10.0 255.255.255.0"  

client-to-client

keepalive 10 120

tls-auth "D:\\OpenVPN\\server-keys\\ta.key" 0 # This file is secret  
cipher AES-256-CBC

comp-lzo
max-clients 10

persist-key
persist-tun

status "D:\\OpenVPN\\log\\openvpn-status.log"  
log "D:\\OpenVPN\\log\\openvpn.log"  

verb 4
explicit-exit-notify 1

Die VPN-Verbindung soll über zwei Windows 7 Notebooks hergestellt werden, hierfür verwende ich folgende Konfiguration mit unterschiedlichen Zertifikaten...

Client.conf:

client
dev tun
proto udp

remote meineadresse.no-ip.org 1194

resolv-retry infinite
nobind
persist-key
persist-tun

ca "C:\\Program Files\\OpenVPN\\keys\\ca.crt"  
cert "C:\\Program Files\\OpenVPN\\keys\\NB-DELL.crt"  
key "C:\\Program Files\\OpenVPN\\keys\\NB-DELL.key"  

remote-cert-tls server
tls-auth "C:\\Program Files\\OpenVPN\\keys\\ta.key" 1  
cipher AES-256-CBC

comp-lzo
verb 3

auth-nocache

Wird eine VPN-Verbindung von einem der beiden Notebooks zum Server hergestellt, wird diese aufgebaut...soweit alles bestens.
Möchte ich nun eine Remotedesktopverbindung zum Server starten wird diese ab und zu aufgebaut und wenn die Verbindung steht bricht diese innerhalb von ein paar Sekunden ab.
Eine erneute Remotedesktopverbindung ist dann nur in den seltensten Fällen möglich, es muss dann die VPN-Verbindung getrennt und wieder hergestellt werden und mit etwas Glück funktioniert die Remotedesktopverbindung, zumindest für einen kurzen Moment.
Die Verbindung wurde im lokalen Netzwerk, über einen entferneten DSL-Anschluss und über die Datenverbindung meines Handys getestet, überall dasselbe Problem.

Netzwerkaufbau:
Gateway - 192.168.10.50
Server-IP - 192.168.10.200

Folgendes wurde durch mich getestet:
- OpenVPN auf beiden Notebooks und auf dem Server deinstalliert, installiert und neu konfiguriert.
- Firewall geprüft (Port 1194 habe ich in der Fritzbox als UDP und zusätzlich TCP zum Server (192.168.10.200) freigegeben, Port 1194 an beiden Windows-PCs in der windowseigenen Firewall freigegeben, beide windowseigenen Firewalls zum testen deaktiviert, Firewallport von 1194 auf 4145 geändert)
- Serverzertifikate neu generiert (für jeden Nutzer ein eigenes!)
- "dev-tun" auf "dev-tab" geändert

Client-Log über das lokale Netzwerk:

Mon Jul 24 22:58:03 2017 OpenVPN 2.4.3 x86_64-w64-mingw32 [SSL (OpenSSL)] [LZO] [LZ4] [PKCS11] [AEAD] built on Jun 20 2017
Mon Jul 24 22:58:03 2017 Windows version 6.1 (Windows 7) 64bit
Mon Jul 24 22:58:03 2017 library versions: OpenSSL 1.0.2l  25 May 2017, LZO 2.10
Mon Jul 24 22:58:03 2017 MANAGEMENT: TCP Socket listening on [AF_INET]127.0.0.1:25340
Mon Jul 24 22:58:03 2017 Need hold release from management interface, waiting...
Mon Jul 24 22:58:04 2017 MANAGEMENT: Client connected from [AF_INET]127.0.0.1:25340
Mon Jul 24 22:58:04 2017 MANAGEMENT: CMD 'state on'  
Mon Jul 24 22:58:04 2017 MANAGEMENT: CMD 'log all on'  
Mon Jul 24 22:58:04 2017 MANAGEMENT: CMD 'echo all on'  
Mon Jul 24 22:58:04 2017 MANAGEMENT: CMD 'hold off'  
Mon Jul 24 22:58:04 2017 MANAGEMENT: CMD 'hold release'  
Mon Jul 24 22:58:04 2017 Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication  
Mon Jul 24 22:58:04 2017 Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication  
Mon Jul 24 22:58:04 2017 MANAGEMENT: >STATE:1500929884,RESOLVE,,,,,,
Mon Jul 24 22:58:04 2017 TCP/UDP: Preserving recently used remote address: [AF_INET]91.89.xxx.xxx:1194
Mon Jul 24 22:58:04 2017 Socket Buffers: R=[8192->8192] S=[8192->8192]
Mon Jul 24 22:58:04 2017 UDP link local: (not bound)
Mon Jul 24 22:58:04 2017 UDP link remote: [AF_INET]91.89.xxx.xxx:1194
Mon Jul 24 22:58:04 2017 MANAGEMENT: >STATE:1500929884,WAIT,,,,,,
Mon Jul 24 22:58:04 2017 MANAGEMENT: >STATE:1500929884,AUTH,,,,,,
Mon Jul 24 22:58:04 2017 TLS: Initial packet from [AF_INET]91.89.xxx.xxx:1194, sid=c500f7ee 3c38bf06
Mon Jul 24 22:58:04 2017 VERIFY OK: depth=1, C=DE, ST=BW, L=ST, O=OpenVPN, OU=IT, CN=SERVER, name=SERVER-OpenVPN, emailAddress=meine-eMail
Mon Jul 24 22:58:04 2017 VERIFY KU OK
Mon Jul 24 22:58:04 2017 Validating certificate extended key usage
Mon Jul 24 22:58:04 2017 ++ Certificate has EKU (str) TLS Web Server Authentication, expects TLS Web Server Authentication
Mon Jul 24 22:58:04 2017 VERIFY EKU OK
Mon Jul 24 22:58:04 2017 VERIFY OK: depth=0, C=DE, ST=BW, L=ST, O=OpenVPN, OU=IT, CN=SERVER, name=SERVER-OpenVPN, emailAddress=meine-eMail
Mon Jul 24 22:58:04 2017 Control Channel: TLSv1.2, cipher TLSv1/SSLv3 ECDHE-RSA-AES256-GCM-SHA384, 4096 bit RSA
Mon Jul 24 22:58:04 2017 [SERVER] Peer Connection Initiated with [AF_INET]91.89.xxx.xxx:1194
Mon Jul 24 22:58:05 2017 MANAGEMENT: >STATE:1500929885,GET_CONFIG,,,,,,
Mon Jul 24 22:58:05 2017 SENT CONTROL [SERVER]: 'PUSH_REQUEST' (status=1)  
Mon Jul 24 22:58:05 2017 PUSH: Received control message: 'PUSH_REPLY,route 192.168.10.0 255.255.255.0,route 10.0.0.0 255.255.255.0,topology net30,ping 10,ping-restart 120,ifconfig 10.0.0.10 10.0.0.9,peer-id 0,cipher AES-256-GCM'  
Mon Jul 24 22:58:05 2017 OPTIONS IMPORT: timers and/or timeouts modified
Mon Jul 24 22:58:05 2017 OPTIONS IMPORT: --ifconfig/up options modified
Mon Jul 24 22:58:05 2017 OPTIONS IMPORT: route options modified
Mon Jul 24 22:58:05 2017 OPTIONS IMPORT: peer-id set
Mon Jul 24 22:58:05 2017 OPTIONS IMPORT: adjusting link_mtu to 1625
Mon Jul 24 22:58:05 2017 OPTIONS IMPORT: data channel crypto options modified
Mon Jul 24 22:58:05 2017 Data Channel: using negotiated cipher 'AES-256-GCM'  
Mon Jul 24 22:58:05 2017 Data Channel Encrypt: Cipher 'AES-256-GCM' initialized with 256 bit key  
Mon Jul 24 22:58:05 2017 Data Channel Decrypt: Cipher 'AES-256-GCM' initialized with 256 bit key  
Mon Jul 24 22:58:05 2017 interactive service msg_channel=0
Mon Jul 24 22:58:05 2017 ROUTE_GATEWAY 192.168.10.50/255.255.255.0 I=17 HWADDR=58:94:6b:f3:1d:c8
Mon Jul 24 22:58:05 2017 open_tun
Mon Jul 24 22:58:05 2017 TAP-WIN32 device [VPN] opened: \\.\Global\{9C186C51-17DF-4A29-AD1E-179886282F99}.tap
Mon Jul 24 22:58:05 2017 TAP-Windows Driver Version 9.21 
Mon Jul 24 22:58:05 2017 Notified TAP-Windows driver to set a DHCP IP/netmask of 10.0.0.10/255.255.255.252 on interface {9C186C51-17DF-4A29-AD1E-179886282F99} [DHCP-serv: 10.0.0.9, lease-time: 31536000]
Mon Jul 24 22:58:05 2017 Successful ARP Flush on interface [16] {9C186C51-17DF-4A29-AD1E-179886282F99}
Mon Jul 24 22:58:05 2017 do_ifconfig, tt->did_ifconfig_ipv6_setup=0
Mon Jul 24 22:58:05 2017 MANAGEMENT: >STATE:1500929885,ASSIGN_IP,,10.0.0.10,,,,
Mon Jul 24 22:58:10 2017 TEST ROUTES: 2/2 succeeded len=2 ret=1 a=0 u/d=up
Mon Jul 24 22:58:10 2017 MANAGEMENT: >STATE:1500929890,ADD_ROUTES,,,,,,
Mon Jul 24 22:58:10 2017 C:\Windows\system32\route.exe ADD 192.168.10.0 MASK 255.255.255.0 10.0.0.9
Mon Jul 24 22:58:10 2017 ROUTE: CreateIpForwardEntry succeeded with dwForwardMetric1=20 and dwForwardType=4
Mon Jul 24 22:58:10 2017 Route addition via IPAPI succeeded [adaptive]
Mon Jul 24 22:58:10 2017 C:\Windows\system32\route.exe ADD 10.0.0.0 MASK 255.255.255.0 10.0.0.9
Mon Jul 24 22:58:10 2017 ROUTE: CreateIpForwardEntry succeeded with dwForwardMetric1=20 and dwForwardType=4
Mon Jul 24 22:58:10 2017 Route addition via IPAPI succeeded [adaptive]
Mon Jul 24 22:58:10 2017 Initialization Sequence Completed
Mon Jul 24 22:58:10 2017 MANAGEMENT: >STATE:1500929890,CONNECTED,SUCCESS,10.0.0.10,91.89.xxx.xxx,1194,,

Server-Log über das lokale Netzwerk:

Mon Jul 24 22:57:26 2017 us=516857 Current Parameter Settings:
Mon Jul 24 22:57:26 2017 us=516857   config = 'D:\OpenVPN\config\SERVER.ovpn'  
Mon Jul 24 22:57:26 2017 us=516857   mode = 1
Mon Jul 24 22:57:26 2017 us=516857   show_ciphers = DISABLED
Mon Jul 24 22:57:26 2017 us=516857   show_digests = DISABLED
Mon Jul 24 22:57:26 2017 us=516857   show_engines = DISABLED
Mon Jul 24 22:57:26 2017 us=516857   genkey = DISABLED
Mon Jul 24 22:57:26 2017 us=516857   key_pass_file = '[UNDEF]'  
Mon Jul 24 22:57:26 2017 us=516857   show_tls_ciphers = DISABLED
Mon Jul 24 22:57:26 2017 us=516857   connect_retry_max = 0
Mon Jul 24 22:57:26 2017 us=516857 Connection profiles :
Mon Jul 24 22:57:26 2017 us=516857   proto = udp
Mon Jul 24 22:57:26 2017 us=516857   local = '192.168.10.200'  
Mon Jul 24 22:57:26 2017 us=516857   local_port = '1194'  
Mon Jul 24 22:57:26 2017 us=516857   remote = '[UNDEF]'  
Mon Jul 24 22:57:26 2017 us=516857   remote_port = '1194'  
Mon Jul 24 22:57:26 2017 us=516857   remote_float = DISABLED
Mon Jul 24 22:57:26 2017 us=516857   bind_defined = DISABLED
Mon Jul 24 22:57:26 2017 us=516857   bind_local = ENABLED
Mon Jul 24 22:57:26 2017 us=516857   bind_ipv6_only = DISABLED
Mon Jul 24 22:57:26 2017 us=516857   connect_retry_seconds = 5
Mon Jul 24 22:57:26 2017 us=516857   connect_timeout = 120
Mon Jul 24 22:57:26 2017 us=516857   socks_proxy_server = '[UNDEF]'  
Mon Jul 24 22:57:26 2017 us=516857   socks_proxy_port = '[UNDEF]'  
Mon Jul 24 22:57:26 2017 us=516857   tun_mtu = 1500
Mon Jul 24 22:57:26 2017 us=516857   tun_mtu_defined = ENABLED
Mon Jul 24 22:57:26 2017 us=516857   link_mtu = 1500
Mon Jul 24 22:57:26 2017 us=516857   link_mtu_defined = DISABLED
Mon Jul 24 22:57:26 2017 us=516857   tun_mtu_extra = 0
Mon Jul 24 22:57:26 2017 us=516857   tun_mtu_extra_defined = DISABLED
Mon Jul 24 22:57:26 2017 us=516857   mtu_discover_type = -1
Mon Jul 24 22:57:26 2017 us=517857   fragment = 0
Mon Jul 24 22:57:26 2017 us=517857   mssfix = 1450
Mon Jul 24 22:57:26 2017 us=517857   explicit_exit_notification = 1
Mon Jul 24 22:57:26 2017 us=517857 Connection profiles END
Mon Jul 24 22:57:26 2017 us=517857   remote_random = DISABLED
Mon Jul 24 22:57:26 2017 us=517857   ipchange = '[UNDEF]'  
Mon Jul 24 22:57:26 2017 us=517857   dev = 'tun'  
Mon Jul 24 22:57:26 2017 us=517857   dev_type = '[UNDEF]'  
Mon Jul 24 22:57:26 2017 us=517857   dev_node = '[UNDEF]'  
Mon Jul 24 22:57:26 2017 us=517857   lladdr = '[UNDEF]'  
Mon Jul 24 22:57:26 2017 us=517857   topology = 1
Mon Jul 24 22:57:26 2017 us=517857   ifconfig_local = '10.0.0.1'  
Mon Jul 24 22:57:26 2017 us=517857   ifconfig_remote_netmask = '10.0.0.2'  
Mon Jul 24 22:57:26 2017 us=517857   ifconfig_noexec = DISABLED
Mon Jul 24 22:57:26 2017 us=517857   ifconfig_nowarn = DISABLED
Mon Jul 24 22:57:26 2017 us=517857   ifconfig_ipv6_local = '[UNDEF]'  
Mon Jul 24 22:57:26 2017 us=517857   ifconfig_ipv6_netbits = 0
Mon Jul 24 22:57:26 2017 us=517857   ifconfig_ipv6_remote = '[UNDEF]'  
Mon Jul 24 22:57:26 2017 us=517857   shaper = 0
Mon Jul 24 22:57:26 2017 us=517857   mtu_test = 0
Mon Jul 24 22:57:26 2017 us=517857   mlock = DISABLED
Mon Jul 24 22:57:26 2017 us=517857   keepalive_ping = 10
Mon Jul 24 22:57:26 2017 us=517857   keepalive_timeout = 120
Mon Jul 24 22:57:26 2017 us=517857   inactivity_timeout = 0
Mon Jul 24 22:57:26 2017 us=517857   ping_send_timeout = 10
Mon Jul 24 22:57:26 2017 us=517857   ping_rec_timeout = 240
Mon Jul 24 22:57:26 2017 us=517857   ping_rec_timeout_action = 2
Mon Jul 24 22:57:26 2017 us=517857   ping_timer_remote = DISABLED
Mon Jul 24 22:57:26 2017 us=517857   remap_sigusr1 = 0
Mon Jul 24 22:57:26 2017 us=517857   persist_tun = ENABLED
Mon Jul 24 22:57:26 2017 us=517857   persist_local_ip = DISABLED
Mon Jul 24 22:57:26 2017 us=517857   persist_remote_ip = DISABLED
Mon Jul 24 22:57:26 2017 us=517857   persist_key = ENABLED
Mon Jul 24 22:57:26 2017 us=517857   passtos = DISABLED
Mon Jul 24 22:57:26 2017 us=517857   resolve_retry_seconds = 1000000000
Mon Jul 24 22:57:26 2017 us=517857   resolve_in_advance = DISABLED
Mon Jul 24 22:57:26 2017 us=517857   username = '[UNDEF]'  
Mon Jul 24 22:57:26 2017 us=517857   groupname = '[UNDEF]'  
Mon Jul 24 22:57:26 2017 us=517857   chroot_dir = '[UNDEF]'  
Mon Jul 24 22:57:26 2017 us=517857   cd_dir = '[UNDEF]'  
Mon Jul 24 22:57:26 2017 us=517857   writepid = '[UNDEF]'  
Mon Jul 24 22:57:26 2017 us=517857   up_script = '[UNDEF]'  
Mon Jul 24 22:57:26 2017 us=517857   down_script = '[UNDEF]'  
Mon Jul 24 22:57:26 2017 us=517857   down_pre = DISABLED
Mon Jul 24 22:57:26 2017 us=517857   up_restart = DISABLED
Mon Jul 24 22:57:26 2017 us=517857   up_delay = DISABLED
Mon Jul 24 22:57:26 2017 us=517857   daemon = DISABLED
Mon Jul 24 22:57:26 2017 us=517857   inetd = 0
Mon Jul 24 22:57:26 2017 us=517857   log = ENABLED
Mon Jul 24 22:57:26 2017 us=517857   suppress_timestamps = DISABLED
Mon Jul 24 22:57:26 2017 us=517857   machine_readable_output = DISABLED
Mon Jul 24 22:57:26 2017 us=517857   nice = 0
Mon Jul 24 22:57:26 2017 us=517857   verbosity = 4
Mon Jul 24 22:57:26 2017 us=517857   mute = 0
Mon Jul 24 22:57:26 2017 us=517857   gremlin = 0
Mon Jul 24 22:57:26 2017 us=517857   status_file = 'D:\OpenVPN\log\openvpn-status.log'  
Mon Jul 24 22:57:26 2017 us=517857   status_file_version = 1
Mon Jul 24 22:57:26 2017 us=517857   status_file_update_freq = 60
Mon Jul 24 22:57:26 2017 us=517857   occ = ENABLED
Mon Jul 24 22:57:26 2017 us=517857   rcvbuf = 0
Mon Jul 24 22:57:26 2017 us=517857   sndbuf = 0
Mon Jul 24 22:57:26 2017 us=517857   sockflags = 0
Mon Jul 24 22:57:26 2017 us=517857   fast_io = DISABLED
Mon Jul 24 22:57:26 2017 us=517857   comp.alg = 2
Mon Jul 24 22:57:26 2017 us=517857   comp.flags = 1
Mon Jul 24 22:57:26 2017 us=517857   route_script = '[UNDEF]'  
Mon Jul 24 22:57:26 2017 us=517857   route_default_gateway = '[UNDEF]'  
Mon Jul 24 22:57:26 2017 us=517857   route_default_metric = 0
Mon Jul 24 22:57:26 2017 us=517857   route_noexec = DISABLED
Mon Jul 24 22:57:26 2017 us=517857   route_delay = 0
Mon Jul 24 22:57:26 2017 us=517857   route_delay_window = 30
Mon Jul 24 22:57:26 2017 us=517857   route_delay_defined = DISABLED
Mon Jul 24 22:57:26 2017 us=517857   route_nopull = DISABLED
Mon Jul 24 22:57:26 2017 us=517857   route_gateway_via_dhcp = DISABLED
Mon Jul 24 22:57:26 2017 us=517857   allow_pull_fqdn = DISABLED
Mon Jul 24 22:57:26 2017 us=517857   route 10.0.0.0/255.255.255.0/default (not set)/default (not set)
Mon Jul 24 22:57:26 2017 us=517857   management_addr = '[UNDEF]'  
Mon Jul 24 22:57:26 2017 us=517857   management_port = '[UNDEF]'  
Mon Jul 24 22:57:26 2017 us=517857   management_user_pass = '[UNDEF]'  
Mon Jul 24 22:57:26 2017 us=517857   management_log_history_cache = 250
Mon Jul 24 22:57:26 2017 us=517857   management_echo_buffer_size = 100
Mon Jul 24 22:57:26 2017 us=517857   management_write_peer_info_file = '[UNDEF]'  
Mon Jul 24 22:57:26 2017 us=517857   management_client_user = '[UNDEF]'  
Mon Jul 24 22:57:26 2017 us=517857   management_client_group = '[UNDEF]'  
Mon Jul 24 22:57:26 2017 us=517857   management_flags = 0
Mon Jul 24 22:57:26 2017 us=517857   shared_secret_file = '[UNDEF]'  
Mon Jul 24 22:57:26 2017 us=517857   key_direction = 1
Mon Jul 24 22:57:26 2017 us=517857   ciphername = 'AES-256-CBC'  
Mon Jul 24 22:57:26 2017 us=517857   ncp_enabled = ENABLED
Mon Jul 24 22:57:26 2017 us=517857   ncp_ciphers = 'AES-256-GCM:AES-128-GCM'  
Mon Jul 24 22:57:26 2017 us=517857   authname = 'SHA1'  
Mon Jul 24 22:57:26 2017 us=518857   prng_hash = 'SHA1'  
Mon Jul 24 22:57:26 2017 us=518857   prng_nonce_secret_len = 16
Mon Jul 24 22:57:26 2017 us=518857   keysize = 0
Mon Jul 24 22:57:26 2017 us=518857   engine = DISABLED
Mon Jul 24 22:57:26 2017 us=518857   replay = ENABLED
Mon Jul 24 22:57:26 2017 us=518857   mute_replay_warnings = DISABLED
Mon Jul 24 22:57:26 2017 us=518857   replay_window = 64
Mon Jul 24 22:57:26 2017 us=518857   replay_time = 15
Mon Jul 24 22:57:26 2017 us=518857   packet_id_file = '[UNDEF]'  
Mon Jul 24 22:57:26 2017 us=518857   use_iv = ENABLED
Mon Jul 24 22:57:26 2017 us=518857   test_crypto = DISABLED
Mon Jul 24 22:57:26 2017 us=518857   tls_server = ENABLED
Mon Jul 24 22:57:26 2017 us=518857   tls_client = DISABLED
Mon Jul 24 22:57:26 2017 us=518857   key_method = 2
Mon Jul 24 22:57:26 2017 us=518857   ca_file = 'D:\OpenVPN\server-keys\ca.crt'  
Mon Jul 24 22:57:26 2017 us=518857   ca_path = '[UNDEF]'  
Mon Jul 24 22:57:26 2017 us=518857   dh_file = 'D:\OpenVPN\server-keys\dh4096.pem'  
Mon Jul 24 22:57:26 2017 us=518857   cert_file = 'D:\OpenVPN\server-keys\server.crt'  
Mon Jul 24 22:57:26 2017 us=518857   extra_certs_file = '[UNDEF]'  
Mon Jul 24 22:57:26 2017 us=518857   priv_key_file = 'D:\OpenVPN\server-keys\server.key'  
Mon Jul 24 22:57:26 2017 us=518857   pkcs12_file = '[UNDEF]'  
Mon Jul 24 22:57:26 2017 us=518857   cryptoapi_cert = '[UNDEF]'  
Mon Jul 24 22:57:26 2017 us=518857   cipher_list = '[UNDEF]'  
Mon Jul 24 22:57:26 2017 us=518857   tls_verify = '[UNDEF]'  
Mon Jul 24 22:57:26 2017 us=518857   tls_export_cert = '[UNDEF]'  
Mon Jul 24 22:57:26 2017 us=518857   verify_x509_type = 0
Mon Jul 24 22:57:26 2017 us=518857   verify_x509_name = '[UNDEF]'  
Mon Jul 24 22:57:26 2017 us=518857   crl_file = '[UNDEF]'  
Mon Jul 24 22:57:26 2017 us=518857   ns_cert_type = 0
Mon Jul 24 22:57:26 2017 us=518857   remote_cert_ku[i] = 0
Mon Jul 24 22:57:26 2017 us=518857   remote_cert_ku[i] = 0
Mon Jul 24 22:57:26 2017 us=518857   remote_cert_ku[i] = 0
Mon Jul 24 22:57:26 2017 us=518857   remote_cert_ku[i] = 0
Mon Jul 24 22:57:26 2017 us=518857   remote_cert_ku[i] = 0
Mon Jul 24 22:57:26 2017 us=518857   remote_cert_ku[i] = 0
Mon Jul 24 22:57:26 2017 us=518857   remote_cert_ku[i] = 0
Mon Jul 24 22:57:26 2017 us=518857   remote_cert_ku[i] = 0
Mon Jul 24 22:57:26 2017 us=518857   remote_cert_ku[i] = 0
Mon Jul 24 22:57:26 2017 us=518857   remote_cert_ku[i] = 0
Mon Jul 24 22:57:26 2017 us=518857   remote_cert_ku[i] = 0
Mon Jul 24 22:57:26 2017 us=518857   remote_cert_ku[i] = 0
Mon Jul 24 22:57:26 2017 us=518857   remote_cert_ku[i] = 0
Mon Jul 24 22:57:26 2017 us=518857   remote_cert_ku[i] = 0
Mon Jul 24 22:57:26 2017 us=518857   remote_cert_ku[i] = 0
Mon Jul 24 22:57:26 2017 us=518857   remote_cert_ku[i] = 0
Mon Jul 24 22:57:26 2017 us=518857   remote_cert_eku = '[UNDEF]'  
Mon Jul 24 22:57:26 2017 us=518857   ssl_flags = 0
Mon Jul 24 22:57:26 2017 us=518857   tls_timeout = 2
Mon Jul 24 22:57:26 2017 us=518857   renegotiate_bytes = -1
Mon Jul 24 22:57:26 2017 us=518857   renegotiate_packets = 0
Mon Jul 24 22:57:26 2017 us=518857   renegotiate_seconds = 3600
Mon Jul 24 22:57:26 2017 us=518857   handshake_window = 60
Mon Jul 24 22:57:26 2017 us=518857   transition_window = 3600
Mon Jul 24 22:57:26 2017 us=518857   single_session = DISABLED
Mon Jul 24 22:57:26 2017 us=518857   push_peer_info = DISABLED
Mon Jul 24 22:57:26 2017 us=518857   tls_exit = DISABLED
Mon Jul 24 22:57:26 2017 us=518857   tls_auth_file = 'D:\OpenVPN\server-keys\ta.key'  
Mon Jul 24 22:57:26 2017 us=518857   tls_crypt_file = '[UNDEF]'  
Mon Jul 24 22:57:26 2017 us=518857   pkcs11_protected_authentication = DISABLED
Mon Jul 24 22:57:26 2017 us=518857   pkcs11_protected_authentication = DISABLED
Mon Jul 24 22:57:26 2017 us=518857   pkcs11_protected_authentication = DISABLED
Mon Jul 24 22:57:26 2017 us=518857   pkcs11_protected_authentication = DISABLED
Mon Jul 24 22:57:26 2017 us=518857   pkcs11_protected_authentication = DISABLED
Mon Jul 24 22:57:26 2017 us=518857   pkcs11_protected_authentication = DISABLED
Mon Jul 24 22:57:26 2017 us=518857   pkcs11_protected_authentication = DISABLED
Mon Jul 24 22:57:26 2017 us=518857   pkcs11_protected_authentication = DISABLED
Mon Jul 24 22:57:26 2017 us=518857   pkcs11_protected_authentication = DISABLED
Mon Jul 24 22:57:26 2017 us=518857   pkcs11_protected_authentication = DISABLED
Mon Jul 24 22:57:26 2017 us=518857   pkcs11_protected_authentication = DISABLED
Mon Jul 24 22:57:26 2017 us=518857   pkcs11_protected_authentication = DISABLED
Mon Jul 24 22:57:26 2017 us=518857   pkcs11_protected_authentication = DISABLED
Mon Jul 24 22:57:26 2017 us=518857   pkcs11_protected_authentication = DISABLED
Mon Jul 24 22:57:26 2017 us=518857   pkcs11_protected_authentication = DISABLED
Mon Jul 24 22:57:26 2017 us=518857   pkcs11_protected_authentication = DISABLED
Mon Jul 24 22:57:26 2017 us=518857   pkcs11_private_mode = 00000000
Mon Jul 24 22:57:26 2017 us=518857   pkcs11_private_mode = 00000000
Mon Jul 24 22:57:26 2017 us=518857   pkcs11_private_mode = 00000000
Mon Jul 24 22:57:26 2017 us=518857   pkcs11_private_mode = 00000000
Mon Jul 24 22:57:26 2017 us=518857   pkcs11_private_mode = 00000000
Mon Jul 24 22:57:26 2017 us=518857   pkcs11_private_mode = 00000000
Mon Jul 24 22:57:26 2017 us=518857   pkcs11_private_mode = 00000000
Mon Jul 24 22:57:26 2017 us=518857   pkcs11_private_mode = 00000000
Mon Jul 24 22:57:26 2017 us=518857   pkcs11_private_mode = 00000000
Mon Jul 24 22:57:26 2017 us=518857   pkcs11_private_mode = 00000000
Mon Jul 24 22:57:26 2017 us=518857   pkcs11_private_mode = 00000000
Mon Jul 24 22:57:26 2017 us=518857   pkcs11_private_mode = 00000000
Mon Jul 24 22:57:26 2017 us=518857   pkcs11_private_mode = 00000000
Mon Jul 24 22:57:26 2017 us=518857   pkcs11_private_mode = 00000000
Mon Jul 24 22:57:26 2017 us=518857   pkcs11_private_mode = 00000000
Mon Jul 24 22:57:26 2017 us=518857   pkcs11_private_mode = 00000000
Mon Jul 24 22:57:26 2017 us=519858   pkcs11_cert_private = DISABLED
Mon Jul 24 22:57:26 2017 us=519858   pkcs11_cert_private = DISABLED
Mon Jul 24 22:57:26 2017 us=519858   pkcs11_cert_private = DISABLED
Mon Jul 24 22:57:26 2017 us=519858   pkcs11_cert_private = DISABLED
Mon Jul 24 22:57:26 2017 us=519858   pkcs11_cert_private = DISABLED
Mon Jul 24 22:57:26 2017 us=519858   pkcs11_cert_private = DISABLED
Mon Jul 24 22:57:26 2017 us=519858   pkcs11_cert_private = DISABLED
Mon Jul 24 22:57:26 2017 us=519858   pkcs11_cert_private = DISABLED
Mon Jul 24 22:57:26 2017 us=519858   pkcs11_cert_private = DISABLED
Mon Jul 24 22:57:26 2017 us=519858   pkcs11_cert_private = DISABLED
Mon Jul 24 22:57:26 2017 us=519858   pkcs11_cert_private = DISABLED
Mon Jul 24 22:57:26 2017 us=519858   pkcs11_cert_private = DISABLED
Mon Jul 24 22:57:26 2017 us=519858   pkcs11_cert_private = DISABLED
Mon Jul 24 22:57:26 2017 us=519858   pkcs11_cert_private = DISABLED
Mon Jul 24 22:57:26 2017 us=519858   pkcs11_cert_private = DISABLED
Mon Jul 24 22:57:26 2017 us=519858   pkcs11_cert_private = DISABLED
Mon Jul 24 22:57:26 2017 us=519858   pkcs11_pin_cache_period = -1
Mon Jul 24 22:57:26 2017 us=519858   pkcs11_id = '[UNDEF]'  
Mon Jul 24 22:57:26 2017 us=519858   pkcs11_id_management = DISABLED
Mon Jul 24 22:57:26 2017 us=519858   server_network = 10.0.0.0
Mon Jul 24 22:57:26 2017 us=519858   server_netmask = 255.255.255.0
Mon Jul 24 22:57:26 2017 us=519858   server_network_ipv6 = ::
Mon Jul 24 22:57:26 2017 us=519858   server_netbits_ipv6 = 0
Mon Jul 24 22:57:26 2017 us=519858   server_bridge_ip = 0.0.0.0
Mon Jul 24 22:57:26 2017 us=519858   server_bridge_netmask = 0.0.0.0
Mon Jul 24 22:57:26 2017 us=519858   server_bridge_pool_start = 0.0.0.0
Mon Jul 24 22:57:26 2017 us=519858   server_bridge_pool_end = 0.0.0.0
Mon Jul 24 22:57:26 2017 us=519858   push_entry = 'route 192.168.10.0 255.255.255.0'  
Mon Jul 24 22:57:26 2017 us=519858   push_entry = 'route 10.0.0.0 255.255.255.0'  
Mon Jul 24 22:57:26 2017 us=519858   push_entry = 'topology net30'  
Mon Jul 24 22:57:26 2017 us=519858   push_entry = 'ping 10'  
Mon Jul 24 22:57:26 2017 us=519858   push_entry = 'ping-restart 120'  
Mon Jul 24 22:57:26 2017 us=519858   ifconfig_pool_defined = ENABLED
Mon Jul 24 22:57:26 2017 us=519858   ifconfig_pool_start = 10.0.0.4
Mon Jul 24 22:57:26 2017 us=519858   ifconfig_pool_end = 10.0.0.251
Mon Jul 24 22:57:26 2017 us=519858   ifconfig_pool_netmask = 0.0.0.0
Mon Jul 24 22:57:26 2017 us=519858   ifconfig_pool_persist_filename = 'D:\OpenVPN\ipp.txt'  
Mon Jul 24 22:57:26 2017 us=519858   ifconfig_pool_persist_refresh_freq = 600
Mon Jul 24 22:57:26 2017 us=519858   ifconfig_ipv6_pool_defined = DISABLED
Mon Jul 24 22:57:26 2017 us=519858   ifconfig_ipv6_pool_base = ::
Mon Jul 24 22:57:26 2017 us=519858   ifconfig_ipv6_pool_netbits = 0
Mon Jul 24 22:57:26 2017 us=519858   n_bcast_buf = 256
Mon Jul 24 22:57:26 2017 us=519858   tcp_queue_limit = 64
Mon Jul 24 22:57:26 2017 us=519858   real_hash_size = 256
Mon Jul 24 22:57:26 2017 us=519858   virtual_hash_size = 256
Mon Jul 24 22:57:26 2017 us=519858   client_connect_script = '[UNDEF]'  
Mon Jul 24 22:57:26 2017 us=519858   learn_address_script = '[UNDEF]'  
Mon Jul 24 22:57:26 2017 us=519858   client_disconnect_script = '[UNDEF]'  
Mon Jul 24 22:57:26 2017 us=519858   client_config_dir = '[UNDEF]'  
Mon Jul 24 22:57:26 2017 us=519858   ccd_exclusive = DISABLED
Mon Jul 24 22:57:26 2017 us=519858   tmp_dir = 'C:\Windows\TEMP\'  
Mon Jul 24 22:57:26 2017 us=519858   push_ifconfig_defined = DISABLED
Mon Jul 24 22:57:26 2017 us=519858   push_ifconfig_local = 0.0.0.0
Mon Jul 24 22:57:26 2017 us=519858   push_ifconfig_remote_netmask = 0.0.0.0
Mon Jul 24 22:57:26 2017 us=519858   push_ifconfig_ipv6_defined = DISABLED
Mon Jul 24 22:57:26 2017 us=519858   push_ifconfig_ipv6_local = ::/0
Mon Jul 24 22:57:26 2017 us=519858   push_ifconfig_ipv6_remote = ::
Mon Jul 24 22:57:26 2017 us=519858   enable_c2c = ENABLED
Mon Jul 24 22:57:26 2017 us=519858   duplicate_cn = DISABLED
Mon Jul 24 22:57:26 2017 us=519858   cf_max = 0
Mon Jul 24 22:57:26 2017 us=519858   cf_per = 0
Mon Jul 24 22:57:26 2017 us=519858   max_clients = 10
Mon Jul 24 22:57:26 2017 us=519858   max_routes_per_client = 256
Mon Jul 24 22:57:26 2017 us=519858   auth_user_pass_verify_script = '[UNDEF]'  
Mon Jul 24 22:57:26 2017 us=519858   auth_user_pass_verify_script_via_file = DISABLED
Mon Jul 24 22:57:26 2017 us=519858   auth_token_generate = DISABLED
Mon Jul 24 22:57:26 2017 us=519858   auth_token_lifetime = 0
Mon Jul 24 22:57:26 2017 us=519858   client = DISABLED
Mon Jul 24 22:57:26 2017 us=519858   pull = DISABLED
Mon Jul 24 22:57:26 2017 us=519858   auth_user_pass_file = '[UNDEF]'  
Mon Jul 24 22:57:26 2017 us=519858   show_net_up = DISABLED
Mon Jul 24 22:57:26 2017 us=519858   route_method = 0
Mon Jul 24 22:57:26 2017 us=519858   block_outside_dns = DISABLED
Mon Jul 24 22:57:26 2017 us=519858   ip_win32_defined = DISABLED
Mon Jul 24 22:57:26 2017 us=519858   ip_win32_type = 3
Mon Jul 24 22:57:26 2017 us=519858   dhcp_masq_offset = 0
Mon Jul 24 22:57:26 2017 us=519858   dhcp_lease_time = 31536000
Mon Jul 24 22:57:26 2017 us=519858   tap_sleep = 10
Mon Jul 24 22:57:26 2017 us=519858   dhcp_options = DISABLED
Mon Jul 24 22:57:26 2017 us=519858   dhcp_renew = DISABLED
Mon Jul 24 22:57:26 2017 us=519858   dhcp_pre_release = DISABLED
Mon Jul 24 22:57:26 2017 us=519858   domain = '[UNDEF]'  
Mon Jul 24 22:57:26 2017 us=519858   netbios_scope = '[UNDEF]'  
Mon Jul 24 22:57:26 2017 us=519858   netbios_node_type = 0
Mon Jul 24 22:57:26 2017 us=519858   disable_nbt = DISABLED
Mon Jul 24 22:57:26 2017 us=519858 OpenVPN 2.4.3 x86_64-w64-mingw32 [SSL (OpenSSL)] [LZO] [LZ4] [PKCS11] [AEAD] built on Jun 20 2017
Mon Jul 24 22:57:26 2017 us=519858 Windows version 6.2 (Windows 8 or greater) 64bit
Mon Jul 24 22:57:26 2017 us=519858 library versions: OpenSSL 1.0.2l  25 May 2017, LZO 2.10
Mon Jul 24 22:57:26 2017 us=681003 Diffie-Hellman initialized with 4096 bit key
Mon Jul 24 22:57:26 2017 us=705026 Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication  
Mon Jul 24 22:57:26 2017 us=705026 Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication  
Mon Jul 24 22:57:26 2017 us=705026 TLS-Auth MTU parms [ L:1622 D:1184 EF:66 EB:0 ET:0 EL:3 ]
Mon Jul 24 22:57:26 2017 us=705026 interactive service msg_channel=0
Mon Jul 24 22:57:26 2017 us=707029 ROUTE_GATEWAY 192.168.10.50/255.255.255.0 I=12 HWADDR=d4:3d:7e:31:d1:b4
Mon Jul 24 22:57:26 2017 us=707029 open_tun
Mon Jul 24 22:57:26 2017 us=708029 TAP-WIN32 device [VPN] opened: \\.\Global\{14D34AD6-1004-4ADF-88AF-3AD5B0D1DE48}.tap
Mon Jul 24 22:57:26 2017 us=708029 TAP-Windows Driver Version 9.21 
Mon Jul 24 22:57:26 2017 us=708029 TAP-Windows MTU=1500
Mon Jul 24 22:57:26 2017 us=710031 Notified TAP-Windows driver to set a DHCP IP/netmask of 10.0.0.1/255.255.255.252 on interface {14D34AD6-1004-4ADF-88AF-3AD5B0D1DE48} [DHCP-serv: 10.0.0.2, lease-time: 31536000]
Mon Jul 24 22:57:26 2017 us=710031 Sleeping for 10 seconds...
Mon Jul 24 22:57:36 2017 us=710575 Successful ARP Flush on interface [16] {14D34AD6-1004-4ADF-88AF-3AD5B0D1DE48}
Mon Jul 24 22:57:36 2017 us=711577 do_ifconfig, tt->did_ifconfig_ipv6_setup=0
Mon Jul 24 22:57:36 2017 us=712577 C:\Windows\system32\route.exe ADD 10.0.0.0 MASK 255.255.255.0 10.0.0.2
Mon Jul 24 22:57:36 2017 us=713578 ROUTE: CreateIpForwardEntry succeeded with dwForwardMetric1=20 and dwForwardType=4
Mon Jul 24 22:57:36 2017 us=713578 Route addition via IPAPI succeeded [adaptive]
Mon Jul 24 22:57:36 2017 us=713578 Data Channel MTU parms [ L:1622 D:1450 EF:122 EB:406 ET:0 EL:3 ]
Mon Jul 24 22:57:36 2017 us=713578 Could not determine IPv4/IPv6 protocol. Using AF_INET
Mon Jul 24 22:57:36 2017 us=714579 Socket Buffers: R=[65536->65536] S=[65536->65536]
Mon Jul 24 22:57:36 2017 us=714579 UDPv4 link local (bound): [AF_INET]192.168.10.200:1194
Mon Jul 24 22:57:36 2017 us=714579 UDPv4 link remote: [AF_UNSPEC]
Mon Jul 24 22:57:36 2017 us=714579 MULTI: multi_init called, r=256 v=256
Mon Jul 24 22:57:36 2017 us=714579 IFCONFIG POOL: base=10.0.0.4 size=62, ipv6=0
Mon Jul 24 22:57:36 2017 us=714579 ifconfig_pool_read(), in='MOBiLE,10.0.0.4', TODO: IPv6  
Mon Jul 24 22:57:36 2017 us=714579 succeeded -> ifconfig_pool_set()
Mon Jul 24 22:57:36 2017 us=714579 ifconfig_pool_read(), in='NB-DELL,10.0.0.8', TODO: IPv6  
Mon Jul 24 22:57:36 2017 us=714579 succeeded -> ifconfig_pool_set()
Mon Jul 24 22:57:36 2017 us=715581 ifconfig_pool_read(), in='NB-ASUS,10.0.0.12', TODO: IPv6  
Mon Jul 24 22:57:36 2017 us=715581 succeeded -> ifconfig_pool_set()
Mon Jul 24 22:57:36 2017 us=715581 IFCONFIG POOL LIST
Mon Jul 24 22:57:36 2017 us=715581 MOBiLE,10.0.0.4
Mon Jul 24 22:57:36 2017 us=715581 NB-DELL,10.0.0.8
Mon Jul 24 22:57:36 2017 us=715581 NB-ASUS,10.0.0.12
Mon Jul 24 22:57:36 2017 us=715581 Initialization Sequence Completed
Mon Jul 24 22:58:02 2017 us=526181 MULTI: multi_create_instance called
Mon Jul 24 22:58:02 2017 us=526181 91.89.xxx.xxx:52915 Re-using SSL/TLS context
Mon Jul 24 22:58:02 2017 us=526181 91.89.xxx.xxx:52915 LZO compression initializing
Mon Jul 24 22:58:02 2017 us=526181 91.89.xxx.xxx:52915 Control Channel MTU parms [ L:1622 D:1184 EF:66 EB:0 ET:0 EL:3 ]
Mon Jul 24 22:58:02 2017 us=526181 91.89.xxx.xxx:52915 Data Channel MTU parms [ L:1622 D:1450 EF:122 EB:406 ET:0 EL:3 ]
Mon Jul 24 22:58:02 2017 us=527181 91.89.xxx.xxx:52915 Local Options String (VER=V4): 'V4,dev-type tun,link-mtu 1558,tun-mtu 1500,proto UDPv4,comp-lzo,keydir 0,cipher AES-256-CBC,auth SHA1,keysize 256,tls-auth,key-method 2,tls-server'  
Mon Jul 24 22:58:02 2017 us=527181 91.89.xxx.xxx:52915 Expected Remote Options String (VER=V4): 'V4,dev-type tun,link-mtu 1558,tun-mtu 1500,proto UDPv4,comp-lzo,keydir 1,cipher AES-256-CBC,auth SHA1,keysize 256,tls-auth,key-method 2,tls-client'  
Mon Jul 24 22:58:02 2017 us=527181 91.89.xxx.xxx:52915 TLS: Initial packet from [AF_INET]91.89.xxx.xxx:52915, sid=11e55d96 f7c47513
Mon Jul 24 22:58:02 2017 us=677390 91.89.xxx.xxx:52915 VERIFY OK: depth=1, C=DE, ST=BW, L=ST, O=OpenVPN, OU=IT, CN=SERVER, name=SERVER-OpenVPN, emailAddress=meine-eMail
Mon Jul 24 22:58:02 2017 us=677390 91.89.xxx.xxx:52915 VERIFY OK: depth=0, C=DE, ST=BW, L=ST, O=OpenVPN, OU=IT, CN=NB-DELL, name=SERVER-OpenVPN, emailAddress=meine-eMail
Mon Jul 24 22:58:02 2017 us=680392 91.89.xxx.xxx:52915 peer info: IV_VER=2.4.3
Mon Jul 24 22:58:02 2017 us=680392 91.89.xxx.xxx:52915 peer info: IV_PLAT=win
Mon Jul 24 22:58:02 2017 us=680392 91.89.xxx.xxx:52915 peer info: IV_PROTO=2
Mon Jul 24 22:58:02 2017 us=680392 91.89.xxx.xxx:52915 peer info: IV_NCP=2
Mon Jul 24 22:58:02 2017 us=680392 91.89.xxx.xxx:52915 peer info: IV_LZ4=1
Mon Jul 24 22:58:02 2017 us=680392 91.89.xxx.xxx:52915 peer info: IV_LZ4v2=1
Mon Jul 24 22:58:02 2017 us=680392 91.89.xxx.xxx:52915 peer info: IV_LZO=1
Mon Jul 24 22:58:02 2017 us=680392 91.89.xxx.xxx:52915 peer info: IV_COMP_STUB=1
Mon Jul 24 22:58:02 2017 us=680392 91.89.xxx.xxx:52915 peer info: IV_COMP_STUBv2=1
Mon Jul 24 22:58:02 2017 us=680392 91.89.xxx.xxx:52915 peer info: IV_TCPNL=1
Mon Jul 24 22:58:02 2017 us=680392 91.89.xxx.xxx:52915 peer info: IV_GUI_VER=OpenVPN_GUI_11
Mon Jul 24 22:58:02 2017 us=681407 91.89.xxx.xxx:52915 Control Channel: TLSv1.2, cipher TLSv1/SSLv3 ECDHE-RSA-AES256-GCM-SHA384, 4096 bit RSA
Mon Jul 24 22:58:02 2017 us=681407 91.89.xxx.xxx:52915 [NB-DELL] Peer Connection Initiated with [AF_INET]91.89.xxx.xxx:52915
Mon Jul 24 22:58:02 2017 us=681407 NB-DELL/91.89.xxx.xxx:52915 MULTI_sva: pool returned IPv4=10.0.0.10, IPv6=(Not enabled)
Mon Jul 24 22:58:02 2017 us=682396 NB-DELL/91.89.xxx.xxx:52915 MULTI: Learn: 10.0.0.10 -> NB-DELL/91.89.xxx.xxx:52915
Mon Jul 24 22:58:02 2017 us=682396 NB-DELL/91.89.xxx.xxx:52915 MULTI: primary virtual IP for NB-DELL/91.89.xxx.xxx:52915: 10.0.0.10
Mon Jul 24 22:58:03 2017 us=931712 NB-DELL/91.89.xxx.xxx:52915 PUSH: Received control message: 'PUSH_REQUEST'  
Mon Jul 24 22:58:03 2017 us=931712 NB-DELL/91.89.xxx.xxx:52915 SENT CONTROL [NB-DELL]: 'PUSH_REPLY,route 192.168.10.0 255.255.255.0,route 10.0.0.0 255.255.255.0,topology net30,ping 10,ping-restart 120,ifconfig 10.0.0.10 10.0.0.9,peer-id 0,cipher AES-256-GCM' (status=1)  
Mon Jul 24 22:58:03 2017 us=931712 NB-DELL/91.89.xxx.xxx:52915 Data Channel: using negotiated cipher 'AES-256-GCM'  
Mon Jul 24 22:58:03 2017 us=931712 NB-DELL/91.89.xxx.xxx:52915 Data Channel MTU parms [ L:1550 D:1450 EF:50 EB:406 ET:0 EL:3 ]
Mon Jul 24 22:58:03 2017 us=931712 NB-DELL/91.89.xxx.xxx:52915 Data Channel Encrypt: Cipher 'AES-256-GCM' initialized with 256 bit key  
Mon Jul 24 22:58:03 2017 us=931712 NB-DELL/91.89.xxx.xxx:52915 Data Channel Decrypt: Cipher 'AES-256-GCM' initialized with 256 bit key  
Mon Jul 24 22:58:04 2017 us=171940 NB-DELL/91.89.xxx.xxx:52915 MULTI: bad source address from client [::], packet dropped

Danke schonmal für eure Ratschläge.

Gruß,
Blattlaus

Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben

Content-ID: 344313

Url: https://administrator.de/forum/openvpn-remotedesktop-abbrueche-344313.html

Ausgedruckt am: 08.04.2025 um 00:04 Uhr

9 Kommentare

Neuester Kommentar

Hallo,
-> dumme Fragen:
1. jeder Client hat sein eigenes Zertikat ?
2. jeder Client sitzt in einem anderen Netz ?

 NB-DELL/91.89.xxx.xxx:52915

ist definitiv anders als

 NB-ASUS/91.89.xxx.yyy:52915

Wenn nicht (gleiches Subnet hinter einem NAT-Router) da gibts eine Option (IIRR:Serverseitig)

nobind

Eigentlich ein bekanntes und öfter beschriebenes Problem. (2 und mehr RWs aus einem "fernen" geNATtem Netz)

Ansonsten: üblicherweise braucht es nur auf der Serverseite (Fritzbox) einen Portforward zum openVPN-Server.
Windowsmaschinen mögen manchmal, dass der openVPN-Client nach aussen Pakete schicken darf ("Firewall"eintrag der client-EXE)
Ports freigeben eher nicht (Clientseite) .

Fred

Hallo Fred, danke für deine Antwort.

1. jeder Client hat sein eigenes Zertikat ?

Ja, es es gibt eigentlich nur 3 Clients die nur durch mich betrieben werden.

2. jeder Client sitzt in einem anderen Netz ?

Unterschiedlich, mal wird das Dell-Notebook, Asus-Notebook oder auch das Mobiltelefon im Netzwerk, über einen entfernten DSL-Zugang oder 3G-Netz verwendet.

 NB-DELL/91.89.xxx.xxx:52915

ist definitiv anders als

 NB-ASUS/91.89.xxx.yyy:52915

Die Verbindung des VPN-Tunnels wurde nur zu Log-Vorführzwecke über das Dell-Notebook im eigenen Netzwerk angewendet.

Wenn nicht (gleiches Subnet hinter einem NAT-Router) da gibts eine Option (IIRR:Serverseitig)

nobind

Eigentlich ein bekanntes und öfter beschriebenes Problem. (2 und mehr RWs aus einem "fernen" geNATtem Netz)

Das Subnetz ist immer 255.255.255.0, außer bei der 3G-Verbindung bin ich mir nicht sicher.

Ansonsten: üblicherweise braucht es nur auf der Serverseite (Fritzbox) einen Portforward zum openVPN-Server.
Windowsmaschinen mögen manchmal, dass der openVPN-Client nach aussen Pakete schicken darf ("Firewall"eintrag der client-EXE)
Ports freigeben eher nicht (Clientseite) .

Das ist bekannt und wurde auch freigegeben.
Port 1194/UDP -> 192.168.10.200
Und an den Windows 7 Clients hab ich den "OpenVPN-Client.exe" in der Firewall freigegeben.

Was sagt die letzte Zeile der Log-Datei aus? Im Internet steht etwas von Routingfehler, wäre das denkbar?

NB-DELL/91.89.xxx.xxx:52915 MULTI: bad source address from client [::], packet dropped

Danke ;)

Hallo,

DSL-Zugang oder 3G-Netz verwendet.
3G ist o.k.
Kritisch wirds, wenn 2 Clients aus einen lokalen Netz hinter z.B. einem DSL-Router kommen!
Da muss ein "nobind" ran um

 NB-DELL/91.89.xxx.xxx:52915

 NB-DELL/91..xxx.89:52915

Hätte es vereinfacht ...müsste hier 3G/4G sein bei DSL fehlt noch die loakle IP

Das Subnetz ist immer 255.255.255.0, außer bei der 3G-Verbindung bin ich mir nicht sicher.

Falsch verstanden

gemeint: 2 Clients in 192.168.168.0/24 ..oder so die als 91.x.y.z im Internet auftachen(nach NAT)

Was sagt die letzte Zeile der Log-Datei aus? Im Internet steht etwas von Routingfehler, wäre das denkbar?

NB-DELL/91.89.xxx.xxx:52915 MULTI: bad source address from client [::], packet dropped

Schau mal ins Firewall-Log

Ich kenne solche Einträge (2..3 mal pro Connect) wo das lokale Netz (des Clients) diese Einträge wirft, bis das

push "route 192.168.10.0 255.255.255.0"

bzw. das pull dazu am Client wirkt bzw. openVPN in der Routentabelle des Clients eingetragen worden ist
bei mir stand dort immer noch eine lokale IP zwischen den Klammern

Ansonsten...

ifconfig-pool-persist "D:\\OpenVPN\\ipp.txt"

verwende ich hier nicht !
Ich lasse den automatisch die IPs verteilen (macht * /30) bzw, verwende CCD für "feste IPs" die an die Zertifikate gebunden werden.

Die Variante mit

ifconfig-pool-persist "D:\\OpenVPN\\ipp.txt"

habe ich noch nie verwendet
Ich kenne deine "Abbruchvariante" nur wenn min. 2 Clients mit gleicher (NAT)Quell-IP und gleichem (UDP)Port kommen.

Fred

Da die zwei Notebooks oder das Mobiltelefon einzig durch mich verwendet werden, besteht keine Gefahr, dass sich zwei Geräte auf einmal verbinden.

Wenn ich

ifconfig-pool-persist "D:\\OpenVPN\\ipp.txt"

auskommentiere und stattdessen

client-config-dir "D:\\OpenVPN\\ccd"

verwende, was muss in meinem Fall genau in der Datei "D:/OpenVPN/ccd/NB-DELL" , "D:/OpenVPN/ccd/NB-ASUS"oder "D:/OpenVPN/ccd/MOBiLE"stehen? Mit z.B.

iroute 192.168.10.0 255.255.255.0

ist der SERVER im lokalen Netzwerk nicht mehr erreichbar.
Setze ich

iroute 192.168.10.10 255.255.255.0

oder

iroute 192.168.10.50 255.255.255.0

oder

iroute 192.168.10.200 255.255.255.0

wird ein Routingfehler ausgegeben, aber kann mich mit dem SERVER weiterhin normal per Remotedesktop verbinden.

Zugegeben, das Routing schnall ich noch nicht richtig...

Danke

Hallo,

Da die zwei Notebooks oder das Mobiltelefon einzig durch mich verwendet werden, besteht keine Gefahr, dass sich zwei Geräte auf einmal verbinden.

Ooch... trotzdem

Wenn ich

ifconfig-pool-persist "D:\\OpenVPN\\ipp.txt"

auskommentiere und stattdessen

einfach NIX ! Dann geht er in den Automode und belegt ab x.x.x.05/30 also in 4er Blöcken (openvpn.net-Doku)

client-config-dir "D:\\OpenVPN\\ccd"

verwende, was muss in meinem Fall genau in der Datei "D:/OpenVPN/ccd/NB-DELL" , "D:/OpenVPN/ccd/NB-ASUS"oder "D:/OpenVPN/ccd/MOBiLE"stehen? Mit z.B.
Zugegeben, das Routing schnall ich noch nicht richtig...

Auszug aus meiner Serverseite openvpn.conf (oder wie auch immer die bei dir heisst)

verb 4
#duplicate-cn
client-to-client
#push "redirect-gateway def1" 
status /var/log/openvpn-status.log

log-append /var/log/openvpn.log
comp-lzo
keepalive 10 120
###################neu
auth SHA256
cipher AES-256-CBC
#cipher BF-CBC
#ifconfig-pool-persist /var/ipfire/ovpn/ovpn-leases.db 3600
#client-config-dir /var/ipfire/ovpn/ccd
client-config-dir /etc/openvpn/ccd-dir
ccd-exclusive
tls-server

Verzeichnisse sind ggfs anzupassen

Jetzt das Config-File im Verzeichnis: /etc/openvpn/ccd-dir
es trägt den cn des Zertikates !! cn= common Name
vermutlich: NB-DELL

#OpenVPN client configuration file
ifconfig-push 10.228.87.45 10.228.87.46
iroute 192.168.228.0 255.255.255.0
#

Ich habe hier (mit easy-rsa) *.p12 Zertifikate (eben nur eins )
Adressen für ifconfig-push siehe auch unter
https://openvpn.net/index.php/open-source/documentation/howto.html#confi ...
Ich fange erst bei Ende 30 normalerweise an, so daß 4..5 freie Adressen dynamisch verteilt werden können(x.6; x.10 usw.)

192.168.228.0/24 ist das lokale Netz des openVPN-Servers wohin die Clients "nach Hause" routen sollen.
Der Client selbst hat einer IP aus dem 10.x Netz, was bei (Win-Server)Firewalls ggfs berücksichtigt werden muss (oder NAT machen) oder eben du setzt paar Zusatzrouten (10.x) auf Maschinen, die erreicht werden sollen

Hier tut ein

@reboot root iptables -t nat -A POSTROUTING -s 10.228.87.0/24 -o eth0 -j MASQUERADE

z.B. im Beispiel auf einem Banana-pi unter Bananian.

Fred

Hallo Fred,

Ich habe deine Konfiguration mal zum testen übernommen und erhalte nun folgenden Log-Fehler.
Eine Vpn-Verbindung kommt nicht zustande.

Fri Jul 28 06:50:50 2017 OpenVPN 2.4.3 x86_64-w64-mingw32 [SSL (OpenSSL)] [LZO] [LZ4] [PKCS11] [AEAD] built on Jun 20 2017
Fri Jul 28 06:50:50 2017 Windows version 6.2 (Windows 8 or greater) 64bit
Fri Jul 28 06:50:50 2017 library versions: OpenSSL 1.0.2l  25 May 2017, LZO 2.10
Fri Jul 28 06:50:50 2017 Diffie-Hellman initialized with 4096 bit key
Fri Jul 28 06:50:50 2017 Outgoing Control Channel Authentication: Using 256 bit message hash 'SHA256' for HMAC authentication  
Fri Jul 28 06:50:50 2017 Incoming Control Channel Authentication: Using 256 bit message hash 'SHA256' for HMAC authentication  
Fri Jul 28 06:50:50 2017 interactive service msg_channel=0
Fri Jul 28 06:50:50 2017 ROUTE_GATEWAY 192.168.10.50/255.255.255.0 I=12 HWADDR=d4:3d:7e:31:d1:b4
Fri Jul 28 06:50:50 2017 open_tun
Fri Jul 28 06:50:50 2017 TAP-WIN32 device [VPN] opened: \\.\Global\{14D34AD6-1004-4ADF-88AF-3AD5B0D1DE48}.tap
Fri Jul 28 06:50:50 2017 TAP-Windows Driver Version 9.21 
Fri Jul 28 06:50:50 2017 Notified TAP-Windows driver to set a DHCP IP/netmask of 10.138.211.1/255.255.255.252 on interface {14D34AD6-1004-4ADF-88AF-3AD5B0D1DE48} [DHCP-serv: 10.138.211.2, lease-time: 31536000]
Fri Jul 28 06:50:50 2017 Sleeping for 10 seconds...
Fri Jul 28 06:51:00 2017 Successful ARP Flush on interface [16] {14D34AD6-1004-4ADF-88AF-3AD5B0D1DE48}
Fri Jul 28 06:51:00 2017 do_ifconfig, tt->did_ifconfig_ipv6_setup=0
Fri Jul 28 06:51:00 2017 C:\Windows\system32\route.exe ADD 10.138.211.0 MASK 255.255.255.0 10.138.211.2
Fri Jul 28 06:51:00 2017 ROUTE: CreateIpForwardEntry succeeded with dwForwardMetric1=20 and dwForwardType=4
Fri Jul 28 06:51:00 2017 Route addition via IPAPI succeeded [adaptive]
Fri Jul 28 06:51:00 2017 Could not determine IPv4/IPv6 protocol. Using AF_INET
Fri Jul 28 06:51:00 2017 Socket Buffers: R=[65536->65536] S=[65536->65536]
Fri Jul 28 06:51:00 2017 UDPv4 link local (bound): [AF_INET]192.168.10.200:1194
Fri Jul 28 06:51:00 2017 UDPv4 link remote: [AF_UNSPEC]
Fri Jul 28 06:51:00 2017 MULTI: multi_init called, r=256 v=256
Fri Jul 28 06:51:00 2017 IFCONFIG POOL: base=10.138.211.4 size=62, ipv6=0
Fri Jul 28 06:51:00 2017 Initialization Sequence Completed
Fri Jul 28 06:52:14 2017 TLS Error: cannot locate HMAC in incoming packet from [AF_INET]78.43.xx.xx:63151
Fri Jul 28 06:52:16 2017 TLS Error: cannot locate HMAC in incoming packet from [AF_INET]78.43.xx.xx:63151
Fri Jul 28 06:52:18 2017 TLS Error: cannot locate HMAC in incoming packet from [AF_INET]78.43.xx.xx:63151
Fri Jul 28 06:52:20 2017 TLS Error: cannot locate HMAC in incoming packet from [AF_INET]78.43.xx.xx:63151
Fri Jul 28 06:52:22 2017 TLS Error: cannot locate HMAC in incoming packet from [AF_INET]78.43.xx.xx:63151
Fri Jul 28 06:52:24 2017 TLS Error: cannot locate HMAC in incoming packet from [AF_INET]78.43.xx.xx:63061
Fri Jul 28 06:52:26 2017 TLS Error: cannot locate HMAC in incoming packet from [AF_INET]78.43.xx.xx:63061

Ich hoffe das sich die Konfiguration zwischen Linux und Windows nur im Bezug auf die Verzeichnispfade unterscheiden.

Dein letzter geposteter Quellcode kann ich wohl unter Windows Server 2012 kaum anwenden.

Auf was kann sich das

TLS Error: cannot locate HMAC in incoming packet from [AF_INET]78.43.xx.xx:63061

beziehen?

Danke.

Gruß Blattlaus

Zitat von @115129:
Fri Jul 28 06:52:22 2017 TLS Error: cannot locate HMAC in incoming packet from [AF_INET]78.43.xx.xx:63151
Fri Jul 28 06:52:24 2017 TLS Error: cannot locate HMAC in incoming packet from [AF_INET]78.43.xx.xx:63061

wundert mich - 2 Clients am Werkeln ?

> TLS Error: cannot locate HMAC in incoming packet from [AF_INET]78.43.xx.xx:63061
> 

beziehen?

entweder 2 Clients ... und der Schlüssel passt nicht, woher kommen die 2 verschiedenen Ports ?

andererseits -> manchmal hat es geholfen, einfach den keyKram neu zu erzeugen. Täte ich dann für Clients eh *.p12 machen wollen.

Google liefert auch paar Ergebnisse, die auf die Keys hindeuten (Path ?)
ggfs. testweise auth abschalten

Ansonsten ... meine letzte Zeile war ja nicht openVPN sondern Firewall ! Das überlasse ich den Win-Spezis, sowas dort umzusetzen.
Ja und IP-Angabe 78.x.x.Ziffer ist immer einen Tick hilfreicher...(solange es nicht mit 172. anfängt)

Irgendwo war auch was mit auth ; diesen parameter gibts es IMHO nicht seit Anbeginn

Fred

Fri Jul 28 06:52:22 2017 TLS Error: cannot locate HMAC in incoming packet from [AF_INET]78.43.xx.xx:63151
Fri Jul 28 06:52:24 2017 TLS Error: cannot locate HMAC in incoming packet from [AF_INET]78.43.xx.xx:63061

wundert mich - 2 Clients am Werkeln ?

Nein, definitiv war nur einer am werkeln.
Ich vermute es lag an "nobind" und "explicit-exit-notify 1" serverseitig.

Auf was kann sich das

>> TLS Error: cannot locate HMAC in incoming packet from [AF_INET]78.43.xx.xx:63061
>> 

beziehen?

Habe zwar alle Schlüssel erst kürzlich neu über easy-rsa generiert, könnte aber wie du vorschlägst .p12 Schlüssel generieren, muss ich erst mal reagieren wie das geht.

Google liefert auch paar Ergebnisse, die auf die Keys hindeuten (Path ?)

Die Schlüssel liegen wie im ersten Post beschrieben:
Serverseite: "D:\\OpenVPN\\server-keys\\"
Clientseite: "D:\\OpenVPN\\Keys\\"

ggfs. testweise auth abschalten

Schon getestet, hatte "tls-auth "D:\\OpenVPN\\server-keys\\ta.key" 0" auskomnentiert, Service neu gestartet und getestet.
Ohne eine Änderung...

Ja und IP-Angabe 78.x.x.Ziffer ist immer einen Tick hilfreicher...(solange es nicht mit 172. anfängt)

Alles klar, werde ich zukünftig berücksichtigen. Danke

Zitat von @115129:

wundert mich - 2 Clients am Werkeln ?

Nein, definitiv war nur einer am werkeln.
Ich vermute es lag an "nobind" und "explicit-exit-notify 1" serverseitig.

2 verschiedene (sendende) Ports gleichzeitig ? nobind wählr einen beliebigen freien UDP-Port, mehr nicht.

Habe zwar alle Schlüssel erst kürzlich neu über easy-rsa generiert, könnte aber wie du vorschlägst .p12 Schlüssel generieren, muss ich erst mal reagieren wie das geht.

build-key-pkcs12

einfach ins easy-RSA Verzeichnis schauen nach den Scripten

Google liefert auch paar Ergebnisse, die auf die Keys hindeuten (Path ?)

Die Schlüssel liegen wie im ersten Post beschrieben:
Serverseite: "D:\\OpenVPN\\server-keys\\"
Clientseite: "D:\\OpenVPN\\Keys\\"

hmmm bei mit liegen die bei WinClients im openVPN-Config Verzeichnis mit (ohne Pfadangabe extra) dort wo auch die bal_bla.ovpn steht - spart eigentlich Aufwand - denke ich mir so!

ggfs. testweise auth abschalten

Schon getestet, hatte "tls-auth "D:\\OpenVPN\\server-keys\\ta.key" 0" auskomnentiert, Service neu gestartet und getestet.
Ohne eine Änderung...

meinte