martinek
Goto Top

Vigor3910 Series OpenVpn Server

Hallo Gemeinde,

Umstieg von Vigor 2960 auf Vigor3910 Series bereitet mir Schwierigkeiten.
Alles außer OpenVpn Server ist eingerichtet und funktioniert, Die LAN to LAN (VPN) Verbindungen zwischen Filialen und dem Vigor3910 sind alle online und grün.

Unter ->VPN and Remote Access->OpenVPN ist alles aktiviert und UDP Enable
UDP Port 1194 ausgewählt,
Certificates Setup - > Router generated certificates

Client Config hat die richtige WAN Schnittstelle und feste IP.

Es lässt sich eine ClientConfig erstellen.
Leider kommt keine Verbindung zustande...

was übersehe ich????

HELP!

Content-ID: 671083

Url: https://administrator.de/forum/vigor3910-series-openvpn-server-671083.html

Printed on: February 9, 2025 at 08:02 o'clock

aqui
aqui Feb 01, 2025 updated at 15:56:15 (UTC)
Goto Top
  • Das OpenVPN Tutorial hast du sorgfältig gelesen und alle Schritte korrekt umgesetzt?
  • WAS sagt das Verbindungslog auf der Serverseite (Router) und auch auf den Client Seite?
Ohne weitere Log Auszüge oder ein Auszug der Konfig von Server und Client ist eine zielgerichtete Hilfe mit den wenigen Angaben oben schwer bis gar nicht möglich.
Draytek hat unter anderem ein hilfreiches Syslog Utility mit dem man das Logging beider Seiten bequem anzeigen kann ohne direkt auf den Router zu müssen.
https://www.draytek.co.uk/support/guides/kb-vigor-syslog
martinek
martinek Feb 01, 2025 at 18:38:47 (UTC)
Goto Top
habe das Gefühl, dass Vigor die Ports nicht geöffnet hat....
CMD ->
Telnet Router-Feste-IP 1194

Liefert;
Verbindungsaufbau zu 2XX.XXX.XXX.XXX.... Es konnte keine Verbindung mit dem Host hergestellt werden, auf Port 1194: Verbindungsfehler
martinek
martinek Feb 01, 2025 at 18:45:25 (UTC)
Goto Top
Dachte beim Einrichten und der Aktivierung einer bestimmten VPN - Form werden die benötigten Posts automatisch freigeschaltet ???
Bei dem Vigor 2960 war es doch so
Vision2015
Vision2015 Feb 01, 2025 at 19:47:47 (UTC)
Goto Top
Moin...

hast du die aktuelle Firmware drauf?
wiso OpenVPN? wiso nicht IPSEC oder Wireguard?
wenn nix geht, mach nen Factory Reset- wirkt wunder face-smile

Frank
DivideByZero
DivideByZero Feb 01, 2025 at 19:55:00 (UTC)
Goto Top
Möglicherweise ist Dein Setup nicht vollständig?

Draytek hat da eine gute Anleitung.
martinek
martinek Feb 01, 2025 at 21:53:18 (UTC)
Goto Top
FW /Loader Version - 4.4.3.2/v28 also ja.
Nachdem ich 17 Filialen als LAN-to-LAN VPN und alles andere eigerichtet habe....
Das war viel Arbeit
Vision2015
Vision2015 Feb 01, 2025 at 21:59:13 (UTC)
Goto Top
Moin..
Zitat von @martinek:

FW /Loader Version - 4.4.3.2/v28 also ja.
ok...
Nachdem ich 17 Filialen als LAN-to-LAN VPN und alles andere eigerichtet habe....
Das war viel Arbeit
was soll uns das sagen?

Frank
DivideByZero
DivideByZero Feb 02, 2025 at 01:12:08 (UTC)
Goto Top
Von den Filialen abgesehen, was sagen die Configs und vor allem die Logos auf beiden Seiten (von Client, kein telnet)?
martinek
martinek Feb 03, 2025 at 11:42:16 (UTC)
Goto Top
Danke für Eure Aufmerksamkeit.
Dies ist die Log des Clients:

[Feb 03, 2025, 12:33:55] EVENT: CONNECTING

[Feb 03, 2025, 12:33:55] Tunnel Options:V4,dev-type tun,link-mtu 1541,tun-mtu 1500,proto UDPv4,cipher BF-CBC,auth SHA1,keysize 128,key-method 2,tls-client

[Feb 03, 2025, 12:33:55] Creds: Username/Password

[Feb 03, 2025, 12:33:55] Sending Peer Info:
IV_VER=3.10.5
IV_PLAT=ios
IV_NCP=2
IV_TCPNL=1
IV_PROTO=2974
IV_MTU=1600
IV_CIPHERS=AES-128-CBC:AES-192-CBC:AES-256-CBC:AES-128-GCM:AES-192-GCM:AES-256-GCM:CHACHA20-POLY1305
IV_GUI_VER=net.openvpn.connect.ios_3.5.1-6211
IV_SSO=webauth,crtext
IV_BS64DL=1


[Feb 03, 2025, 12:33:55] VERIFY OK: depth=1, /C=TW/ST=HsinChu/L=HuKou/O=DrayTek Corp./OU=DrayTek Support/CN=Vigor Router, signature: RSA-SHA256

[Feb 03, 2025, 12:33:55] VERIFY OK: depth=0, /C=TW/ST=HsinChu/L=HuKou/O=DrayTek Corp./OU=DrayTek Support/CN=Vigor openvpn server, signature: RSA-SHA256

[Feb 03, 2025, 12:34:36] Session invalidated: KEEPALIVE_TIMEOUT

[Feb 03, 2025, 12:34:36] Client terminated, restarting in 2000 ms...

[Feb 03, 2025, 12:34:38] EVENT: RECONNECTING

[Feb 03, 2025, 12:34:38] EVENT: RESOLVE

[Feb 03, 2025, 12:34:38] Contacting [XXX.XXX.XXX.XX]:1194 via UDP

[Feb 03, 2025, 12:34:38] EVENT: WAIT

[Feb 03, 2025, 12:34:38] Connecting to [XXX.XXX.XXX.XX]:1194 (XXX.XXX.XXX.XX) via UDP

[Feb 03, 2025, 12:34:38] EVENT: CONNECTING

[Feb 03, 2025, 12:34:38] Tunnel Options:V4,dev-type tun,link-mtu 1541,tun-mtu 1500,proto UDPv4,cipher BF-CBC,auth SHA1,keysize 128,key-method 2,tls-client

[Feb 03, 2025, 12:34:38] Creds: Username/Password

[Feb 03, 2025, 12:34:38] Sending Peer Info:
IV_VER=3.10.5
IV_PLAT=ios
IV_NCP=2
IV_TCPNL=1
IV_PROTO=2974
IV_MTU=1600
IV_CIPHERS=AES-128-CBC:AES-192-CBC:AES-256-CBC:AES-128-GCM:AES-192-GCM:AES-256-GCM:CHACHA20-POLY1305
IV_GUI_VER=net.openvpn.connect.ios_3.5.1-6211
IV_SSO=webauth,crtext
IV_BS64DL=1


[Feb 03, 2025, 12:34:38] VERIFY OK: depth=1, /C=TW/ST=HsinChu/L=HuKou/O=DrayTek Corp./OU=DrayTek Support/CN=Vigor Router, signature: RSA-SHA256

[Feb 03, 2025, 12:34:38] VERIFY OK: depth=0, /C=TW/ST=HsinChu/L=HuKou/O=DrayTek Corp./OU=DrayTek Support/CN=Vigor openvpn server, signature: RSA-SHA256

[Feb 03, 2025, 12:34:55] EVENT: CONNECTION_TIMEOUT [ERR]

[Feb 03, 2025, 12:34:55] EVENT: DISCONNECTED

[Feb 03, 2025, 12:34:55] EVENT: CORE_THREAD_DONE

[Feb 03, 2025, 12:34:55] EVENT: DISCONNECT_PENDING

[Feb 03, 2025, 12:34:55] Raw stats on disconnect:
BYTES_IN : 8110
BYTES_OUT : 6582
PACKETS_IN : 14
PACKETS_OUT : 18
KEEPALIVE_TIMEOUT : 1
CONNECTION_TIMEOUT : 1
N_RECONNECT : 1


[Feb 03, 2025, 12:34:55] Performance stats on disconnect:
CPU usage (microseconds): 128879
Network bytes per CPU second: 113998
Tunnel bytes per CPU second: 0
martinek
martinek Feb 03, 2025 at 11:47:01 (UTC)
Goto Top
Die Log auf Vigor-Seite:

<181>Feb  3 12:13:11 DrayTek: Admin Mode save [System Maintenance >>> Activation]
<181>Feb  3 12:13:11 DrayTek: SaveConfiguration
<181>Feb  3 12:27:25 DrayTek: Admin Mode save [System Maintenance >>> SysLog / Mail Alert Setup]
<181>Feb  3 12:27:25 DrayTek: SaveConfiguration
<181>Feb  3 12:27:27 DrayTek: Admin Mode save [System Maintenance >>> SysLog / Mail Alert Setup]
<181>Feb  3 12:27:27 DrayTek: SaveConfiguration
<141>Feb  3 12:31:24 DrayTek: L2TP client from [US🇺🇸]: XXX.XXX.XXX.XXX:55073 ...
<141>Feb  3 12:31:25 DrayTek: OpenVPN (VPN-1, XXX.XXX.XXX.XXX) HARD RESET V2, start negotiation
<141>Feb  3 12:31:25 DrayTek: OpenVPN (VPN-1, XXX.XXX.XXX.XXX) Remote option is not matched
<141>Feb  3 12:31:25 DrayTek: OpenVPN (VPN-1, XXX.XXX.XXX.XXX) Remote cipher or auth not matched so fail
<141>Feb  3 12:31:25 DrayTek: OpenVPN (VPN-1, XXX.XXX.XXX.XXX) AUTH_FAILED,cipher not matched.
<141>Feb  3 12:31:39 DrayTek: [L2TP][Radius/LDAP][0:][@XXX.XXX.XXX.XXX] L2TP control_xmit retry failed 
<141>Feb  3 12:31:39 DrayTek: [L2TP][@XXX.XXX.XXX.XXX] pppShutdown 
<141>Feb  3 12:32:08 DrayTek: OpenVPN (VPN-0, XXX.XXX.XXX.XXX) HARD RESET V2, start negotiation
<141>Feb  3 12:32:08 DrayTek: OpenVPN (VPN-0, XXX.XXX.XXX.XXX) Remote option is not matched
<141>Feb  3 12:32:08 DrayTek: OpenVPN (VPN-0, XXX.XXX.XXX.XXX) Remote cipher or auth not matched so fail
<141>Feb  3 12:32:08 DrayTek: OpenVPN (VPN-0, XXX.XXX.XXX.XXX) AUTH_FAILED,cipher not matched.
<141>Feb  3 12:33:53 DrayTek: OpenVPN (VPN-0, XXX.XXX.XXX.XXX) HARD RESET V2, start negotiation
<141>Feb  3 12:33:54 DrayTek: OpenVPN (VPN-0, XXX.XXX.XXX.XXX) Remote option is not matched
<141>Feb  3 12:33:54 DrayTek: OpenVPN (VPN-0, XXX.XXX.XXX.XXX) Remote cipher or auth not matched so fail
<141>Feb  3 12:33:54 DrayTek: OpenVPN (VPN-0, XXX.XXX.XXX.XXX) AUTH_FAILED,cipher not matched.
<141>Feb  3 12:34:36 DrayTek: OpenVPN (VPN-0, XXX.XXX.XXX.XXX) HARD RESET V2, start negotiation
aqui
aqui Feb 03, 2025 updated at 15:48:01 (UTC)
Goto Top
Steht doch schwarz auf weiss was der Fehler ist: AUTH_FAILED,cipher not matched.
Sprich die Verschlüsselungsalgorithmen zwischen Server und Client stimmen nicht.
Das erschliesst sich eigentlich auch einem Laien wenn die eine Seite die "Geheimschrift" der anderen Seite nicht versteht. 🙄 OVPN Handbuch lesen hilft...
https://openvpn.net/community-resources/reference-manual-for-openvpn-2-5 ...

Mit welchen Algorithmen lässt du denn deinen Client auf deinen Server los??
Das ist das was in der Client Datei hinter dem Kommando cipher xyz und unter auth xyz steht. Das sollte logischerweise mit dem übereinstimmen was der Server erfordert.
Fatal, wenn nicht grob fahrlässig aus Sicherheitssicht ist auch das du scheinbar mit dem Default Draytek Schlüssel arbeitest statt mit eigenen. Ein NoGo und solltest du dringenst durch eigene Schlüssel ersetzen. Wie das einfach und schnell geht steht im o.a. OpenVPN Tutorial! Dort sind auch die Schlüsselalgorithmen erklärt. Wenn man es denn überhaupt einmal liest...
151434
151434 Feb 03, 2025 updated at 14:50:50 (UTC)
Goto Top
cipher xyz
Wobei "cipher" schon länger "deprecated" ist und durch data-ciphers bzw. data-ciphers-fallback ersetzt wurde.
https://openvpn.net/community-resources/reference-manual-for-openvpn-2-6 ...
martinek
martinek Feb 03, 2025 at 17:44:38 (UTC)
Goto Top
Der Router wurde Resetet und für die Testzwecke eingerichtet. Verschlüsselungsalgorithmen zwischen Server und Client stimmen nicht Obwohl die Config für den Client vom Router erstellt wurde. Die Frage ist weshalb ist das so?
Vision2015
Vision2015 Feb 03, 2025 at 17:56:50 (UTC)
Goto Top
Moin...
Zitat von @martinek:

Der Router wurde Resetet und für die Testzwecke eingerichtet. Verschlüsselungsalgorithmen zwischen Server und Client stimmen nicht Obwohl die Config für den Client vom Router erstellt wurde. Die Frage ist weshalb ist das so?
weil du dich als Administrator nicht auf ein Standart Setup, was vom Hersteller vorgegeben ist, verlassen sollst-
sondern alles genau Kontrollieren und Hinterfragen!
als du die Logs hier im Forum gepostet hast, hätte dir schon vorher dein Fehler aufallen müssen- noch schlimmer, du hast nicht mal gelesen, was du uns gepostet hast!
dein Fehler war es, die config nicht zu überprüfen!
im bereich Sicherheit und Standortvernetzung / VPN ist sowas natürlich ein No-Go!

Frank
aqui
aqui Feb 03, 2025 updated at 18:15:29 (UTC)
Goto Top
Die Frage ist weshalb ist das so?
Das passiert wenn man Herstellern und ihrer oft veralteten Firmware blind vertraut. Ganz besonders bei Billigheimern sollte man da Vorsicht walten lassen wenn es um VPN und Verschlüsselung geht. Das du oben fahrlässig ohne eigenen Schlüssel im VPN arbeitest spricht ja schon für sich. Kollege @vison2015 hat schon alles dazu gesagt.
Vielleicht solltest du auch grundsätzlich einmal überdenken das bekanntlich mies performende und in die Jahre gekommene OVPN gegen modernere VPNs wie IKEv2 oder Wireguard zu wechseln.
Zumindestens aber prüfen ob du auf deinem Router die aktuellste Firmware geflasht hast!