Beiträge von Grenzwert

Über die WEB-Konsole sah ich in die Config files von Snort.

Danke für deine Richtungsgebung.

Aber was da heutzutage steht ist ziemlich anders als damals mit der Zweierversion.

Da erkenne ich keine Parallelen, also bin ich in einer Sackgasse.

Bei meiner Haupt Endian werden die 4 Kerne ausgenutzt, aber immer ein anderer.

Kann natürlich auch gut sein das die Hardwareinformation der Endian auf der Systemseite dazu ungeeignet ist.

Was aber bei meiner zu langsamen Reserve Endian auffiel:

Anschluß WAN 400Mbit- Durchlaß Endian mit Snort gebremst 120Mbit. CPU-100%.

Zweiter Wan Port nochmal 100Mbit dazugenommen - ergab Gesamtdurchsatz 220Mbit.

Daher glaube ich das Snort bei 2 WAN-Zugängen in einem zweiten Task läuft und einen anderen CPU Kern benutzt.

Ok - tolle Erkenntnis - das Snort durch die Software ausgebremst wird ist klar.

Warum aber der Durchsatz nicht vorhersehbar ist bevor die Harware gebaut ist, und was erst mal passiert wenn die mir 1GBit WAN anbieten. Ich trau mich das gar nicht zu nehmen weil die Endian sowieso nicht hinterherkommt.

Ich habe nur leider keine Ahnung wie ich überhaupt in das Snort Verzeichnis kommen kann.

Bei der Zweier funktionierte noch: cd var/efw/snort

Aber das klappt jetzt bei der dreier Version nicht mehr.

Im TOP siehts bei mir auch nicht anders aus. Snort ist nur einmal erwähnt - natürlich als CPU-hungrigster Task und damit an erster Stelle.

Bei den Zweier-Versionen von Endian konnte man für "Snort" mehr Arbeitsspeicher freigeben und dieses beschleunigte den Durchsatz erheblich.

Das wäre doch auch etwas für die Dreierversionen. Wer weiß da Bescheid?

Das war in der Datei: snort.conf.tmpl

Diese wurde so geändert: config detection :search-method lowmem - lowmen ändern in ac

Wie genau schaue ich denn mit "TOP" nach den Prozessen ?

Dann bringt ein Upgrade auf 4-Kerner nichts. Eher im Gegenteil, dann kommt es nur auf einen hohen Takt an welches mit weniger Kernen leichter funktioniert. Das klingt mir zu rückständig. Da gibt es bestimmt etwas in der Endian das man umstellen muß damit der Durchsatz erhöht wird, beim 4-kernener. Und richtig, es geht nur um die Snort/IDS-Bremse. Ohne diese bestimmt die Lan-Karte den Durchsatz (10Gig mal ausgenommen).

Ok, das mit Putty ist geklärt. Habe Putty Version 0.62 auf Version 0.7 upgedated, jetzt funzt es wieder.

Habe ich gemacht, Linux erkennt die 4 cpu cores. Im GUI der Endian werden die 4 Kerne ja auch angezeigt. Nur das 3 davon halt kaum eine Auslastung zeigen. Wobei ich ja ncihts viel auf diese Anzeige gebe. Allerdings null Geschwindigkeitszuwachs durch das CPU Upgrade und damit eine "Datenbremse" ist ja auch nichts.

P.S: Kann es sein das die Endian durch das Onlineupdate auf V3.3 den SSH Zugang verändert hat? Ich komme nicht mehr wie davor immer mit Putty in die Endian. SSH Port22 Fehlermeldung von Putty: Server unexpectedly closed network connection.

Ich habe eine Haupt-Endian und eine Reserveendian, die über die Backupfunktion identisch konfiguriert ist.

Die Hauptendian hat einen 4 Kernprozessor, benutzt alle 4 Kerne und rennt echt schnell. >500Mbyte/s

Die Reserveendian bekam ein Prozessorupdate von einem 2 Kerner auf einen 4 Kerner.

Allerdings wird softwareseitig nur ein Kern benutzt und ist deswegen grottenlangsam. <120Mbyte/s

Ich dachte echt das Linux beim Neustart einen 4 Kerner (Intel 775) automatisch erkennt und sich Endian entsprechend darauf einstellt.

Auch wenn die Anfangsinstallation auf einem anderen Prozessor durchgeführt wurde.

Gibt es da irgendeinen Hebel um die Endian (V3.3) auf 4 Kernbetrieb zu überreden ?

Kernel vorher: 4.1.35.e12

Nach heutigem Update:
Kernelversion: 4.1.35.e13.1

Braucht die App zwingend ein korrektes Zertifikat obwohl nur User/Password ausgewählt ist ?

Im Moment würde ich sagen das zwar ein Tunnel mit der App aufgebaut wird, aber es gehen keine Daten durch. Die lokale IP wird allerdings korrekt von der Endian ans Handy eingestellt.
Hast du das denn mit Zertifikat an der App laufen oder ging es ohne?

2017-08-01 02:08:17 MANAGEMENT: >STATE:1501546097,WAIT,,,,,,
2017-08-01 02:08:17 New OpenVPN Status (WAIT->LEVEL_CONNECTING_NO_SERVER_REPLY_YET): ,,,,,
2017-08-01 02:08:17 New OpenVPN Status (WAIT->LEVEL_CONNECTING_NO_SERVER_REPLY_YET): ,,,,,
2017-08-01 02:08:20 TLS Error: Unroutable control packet received from [AF_INET]188.144.135.6:1194 (si=3 op=P_ACK_V1)
2017-08-01 02:08:50 MANAGEMENT: >STATE:1501546130,AUTH,,,,,,
2017-08-01 02:08:50 New OpenVPN Status (AUTH->LEVEL_CONNECTING_SERVER_REPLIED): ,,,,,
2017-08-01 02:08:50 New OpenVPN Status (AUTH->LEVEL_CONNECTING_SERVER_REPLIED): ,,,,,
2017-08-01 02:08:50 TLS: Initial packet from [AF_INET]188.144.135.6:1194, sid=b0ad5312 df599081
2017-08-01 02:08:50 WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
2017-08-01 02:08:53 VERIFY OK: depth=1, C=IT, O=efw, CN=efw CA
2017-08-01 02:08:53 VERIFY X509NAME ERROR: C=DE, CN=vpntest, must be grenzwert.selfhost.eu
2017-08-01 02:08:53 OpenSSL: error:1416F086:SSL routines:tls_process_server_certificate:certificate verify failed
2017-08-01 02:08:53 TLS_ERROR: BIO read tls_read_plaintext error
2017-08-01 02:08:53 TLS Error: TLS object -> incoming plaintext read error
2017-08-01 02:08:53 TLS Error: TLS handshake failed
2017-08-01 02:08:53 New OpenVPN Status (RECONNECTING->LEVEL_CONNECTING_NO_SERVER_REPLY_YET): tls-error,,,,,
2017-08-01 02:08:53 New OpenVPN Status (RECONNECTING->LEVEL_CONNECTING_NO_SERVER_REPLY_YET): tls-error,,,,,
2017-08-01 02:08:53 TCP/UDP: Closing socket
2017-08-01 02:08:53 SIGUSR1[soft,tls-error] received, process restarting
2017-08-01 02:08:53 MANAGEMENT: >STATE:1501546133,RECONNECTING,tls-error,,,,,
2017-08-01 02:08:53 New OpenVPN Status (CONNECTRETRY->LEVEL_CONNECTING_NO_SERVER_REPLY_YET): 2
2017-08-01 02:08:53 New OpenVPN Status (CONNECTRETRY->LEVEL_CONNECTING_NO_SERVER_REPLY_YET): 2
2017-08-01 02:08:53 Warte 2s Sekunden zwischen zwei Verbindungsversuchen
2017-08-01 02:08:55 MANAGEMENT: CMD 'hold release'
2017-08-01 02:08:55 MANAGEMENT: CMD 'proxy NONE'
2017-08-01 02:08:55 MANAGEMENT: CMD 'bytecount 2'
2017-08-01 02:08:55 MANAGEMENT: CMD 'state on'
2017-08-01 02:08:56 LZO compression initializing
2017-08-01 02:08:56 New OpenVPN Status (RESOLVE->LEVEL_CONNECTING_NO_SERVER_REPLY_YET): ,,,,,
2017-08-01 02:08:56 New OpenVPN Status (RESOLVE->LEVEL_CONNECTING_NO_SERVER_REPLY_YET): ,,,,,
2017-08-01 02:08:56 Control Channel MTU parms [ L:1622 D:1212 EF:38 EB:0 ET:0 EL:3 ]
2017-08-01 02:08:56 MANAGEMENT: >STATE:1501546136,RESOLVE,,,,,,
2017-08-01 02:08:56 Data Channel MTU parms [ L:1622 D:1450 EF:122 EB:406 ET:0 EL:3 ]
2017-08-01
02:08:56 Local Options String (VER=V4): 'V4,dev-type tun,link-mtu
1542,tun-mtu 1500,proto UDPv4,comp-lzo,cipher BF-CBC,auth SHA1,keysize
128,key-method 2,tls-client'
2017-08-01 02:08:56 Expected Remote
Options String (VER=V4): 'V4,dev-type tun,link-mtu 1542,tun-mtu
1500,proto UDPv4,comp-lzo,cipher BF-CBC,auth SHA1,keysize 128,key-method
2,tls-server'
2017-08-01 02:08:56 TCP/UDP: Preserving recently used remote address: [AF_INET]188.144.135.6:1194
2017-08-01 02:08:56 Socket Buffers: R=[163840->163840] S=[163840->163840]
2017-08-01 02:08:56 MANAGEMENT: CMD 'needok 'PROTECTFD' ok'
2017-08-01 02:08:56 UDP link local (bound): [AF_INET][undef]:1194
2017-08-01 02:08:56 UDP link remote: [AF_INET]188.144.135.6:1194
2017-08-01 02:08:56 MANAGEMENT: >STATE:1501546136,WAIT,,,,,,
2017-08-01 02:08:56 New OpenVPN Status (WAIT->LEVEL_CONNECTING_NO_SERVER_REPLY_YET): ,,,,,
2017-08-01 02:08:56 New OpenVPN Status (WAIT->LEVEL_CONNECTING_NO_SERVER_REPLY_YET): ,,,,,
2017-08-01 02:08:56 MANAGEMENT: >STATE:1501546136,AUTH,,,,,,
2017-08-01 02:08:56 TLS: Initial packet from [AF_INET]188.144.135.6:1194, sid=b6f99a5f 41fd2167
2017-08-01 02:08:56 New OpenVPN Status (AUTH->LEVEL_CONNECTING_SERVER_REPLIED): ,,,,,
2017-08-01 02:08:56 New OpenVPN Status (AUTH->LEVEL_CONNECTING_SERVER_REPLIED): ,,,,,
2017-08-01 02:08:56 VERIFY OK: depth=1, C=IT, O=efw, CN=efw CA
2017-08-01 02:08:56 VERIFY X509NAME ERROR: C=DE, CN=vpntest, must be grenzwert.selfhost.eu
2017-08-01 02:08:56 New OpenVPN Status (RECONNECTING->LEVEL_CONNECTING_NO_SERVER_REPLY_YET): tls-error,,,,,
2017-08-01 02:08:56 New OpenVPN Status (RECONNECTING->LEVEL_CONNECTING_NO_SERVER_REPLY_YET): tls-error,,,,,
2017-08-01 02:08:56 OpenSSL: error:1416F086:SSL routines:tls_process_server_certificate:certificate verify failed
2017-08-01 02:08:56 TLS_ERROR: BIO read tls_read_plaintext error
2017-08-01 02:08:56 TLS Error: TLS object -> incoming plaintext read error
2017-08-01 02:08:56 TLS Error: TLS handshake failed
2017-08-01 02:08:56 TCP/UDP: Closing socket
2017-08-01 02:08:56 SIGUSR1[soft,tls-error] received, process restarting
2017-08-01 02:08:56 MANAGEMENT: >STATE:1501546136,RECONNECTING,tls-error,,,,,
2017-08-01 02:08:56 New OpenVPN Status (CONNECTRETRY->LEVEL_CONNECTING_NO_SERVER_REPLY_YET): 2
2017-08-01 02:08:56 New OpenVPN Status (CONNECTRETRY->LEVEL_CONNECTING_NO_SERVER_REPLY_YET): 2
2017-08-01 02:08:56 Warte 2s Sekunden zwischen zwei Verbindungsversuchen
2017-08-01 02:09:01 MANAGEMENT: CMD 'hold release'
2017-08-01 02:09:01 MANAGEMENT: CMD 'proxy NONE'
2017-08-01 02:09:01 MANAGEMENT: CMD 'bytecount 2'
2017-08-01 02:09:01 MANAGEMENT: CMD 'state on'
2017-08-01 02:09:02 LZO compression initializing
2017-08-01 02:09:02 New OpenVPN Status (RESOLVE->LEVEL_CONNECTING_NO_SERVER_REPLY_YET): ,,,,,
2017-08-01 02:09:02 New OpenVPN Status (RESOLVE->LEVEL_CONNECTING_NO_SERVER_REPLY_YET): ,,,,,
2017-08-01 02:09:02 Control Channel MTU parms [ L:1622 D:1212 EF:38 EB:0 ET:0 EL:3 ]
2017-08-01 02:09:02 MANAGEMENT: >STATE:1501546142,RESOLVE,,,,,,
2017-08-01 02:09:02 Data Channel MTU parms [ L:1622 D:1450 EF:122 EB:406 ET:0 EL:3 ]
2017-08-01
02:09:02 Local Options String (VER=V4): 'V4,dev-type tun,link-mtu
1542,tun-mtu 1500,proto UDPv4,comp-lzo,cipher BF-CBC,auth SHA1,keysize
128,key-method 2,tls-client'
2017-08-01 02:09:02 Expected Remote
Options String (VER=V4): 'V4,dev-type tun,link-mtu 1542,tun-mtu
1500,proto UDPv4,comp-lzo,cipher BF-CBC,auth SHA1,keysize 128,key-method
2,tls-server'
2017-08-01 02:09:02 TCP/UDP: Preserving recently used remote address: [AF_INET]188.144.135.6:1194
2017-08-01 02:09:02 Socket Buffers: R=[163840->163840] S=[163840->163840]
2017-08-01 02:09:02 MANAGEMENT: CMD 'needok 'PROTECTFD' ok'
2017-08-01 02:09:02 UDP link local (bound): [AF_INET][undef]:1194
2017-08-01 02:09:02 UDP link remote: [AF_INET]188.144.135.6:1194
2017-08-01 02:09:02 MANAGEMENT: >STATE:1501546142,WAIT,,,,,,
2017-08-01 02:09:02 New OpenVPN Status (WAIT->LEVEL_CONNECTING_NO_SERVER_REPLY_YET): ,,,,,
2017-08-01 02:09:02 New OpenVPN Status (WAIT->LEVEL_CONNECTING_NO_SERVER_REPLY_YET): ,,,,,
2017-08-01 02:09:02 TLS Error: Unroutable control packet received from [AF_INET]188.104.135.6:1194 (si=3 op=P_CONTROL_V1)
2017-08-01 02:09:04 TLS Error: Unroutable control packet received from [AF_INET]188.104.135.6:1194 (si=3 op=P_ACK_V1)
2017-08-01 02:09:05 TLS Error: Unroutable control packet received from [AF_INET]188.104.135.6:1194 (si=3 op=P_CONTROL_V1)
2017-08-01 02:09:08 TLS Error: Unroutable control packet received from [AF_INET]188.104.135.6:1194 (si=3 op=P_ACK_V1)
2017-08-01 02:09:11 TLS Error: Unroutable control packet received from [AF_INET]188.104.135.6:1194 (si=3 op=P_CONTROL_V1)
2017-08-01 02:09:17 TLS Error: Unroutable control packet received from [AF_INET]188.104.135.6:1194 (si=3 op=P_ACK_V1)

------------------ Kannst du rauslesen was der wichtigste Fehlergrund ist ?

2017-08-01 02:08:16 tls_server = DISABLED
2017-08-01 02:08:16 tls_client = ENABLED
2017-08-01 02:08:16 key_method = 2
2017-08-01 02:08:16 ca_file = '[[INLINE]]'
2017-08-01 02:08:16 ca_path = '[UNDEF]'
2017-08-01 02:08:16 dh_file = '[UNDEF]'
2017-08-01 02:08:16 cert_file = '[UNDEF]'
2017-08-01 02:08:16 extra_certs_file = '[UNDEF]'
2017-08-01 02:08:16 priv_key_file = '[UNDEF]'
2017-08-01 02:08:16 pkcs12_file = '[UNDEF]'
2017-08-01 02:08:16 cipher_list = '[UNDEF]'
2017-08-01 02:08:16 tls_verify = '[UNDEF]'
2017-08-01 02:08:16 tls_export_cert = '[UNDEF]'
2017-08-01 02:08:16 verify_x509_type = 2
2017-08-01 02:08:16 verify_x509_name = 'grenzwert.selfhost.eu'
2017-08-01 02:08:16 crl_file = '[UNDEF]'
2017-08-01 02:08:16 ns_cert_type = 0
2017-08-01 02:08:16 remote_cert_ku[i] = 0
2017-08-01 02:08:16 remote_cert_ku[i] = 0
2017-08-01 02:08:16 remote_cert_ku[i] = 0
2017-08-01 02:08:16 remote_cert_ku[i] = 0
2017-08-01 02:08:16 remote_cert_ku[i] = 0
2017-08-01 02:08:16 remote_cert_ku[i] = 0
2017-08-01 02:08:16 remote_cert_ku[i] = 0
2017-08-01 02:08:16 remote_cert_ku[i] = 0
2017-08-01 02:08:16 remote_cert_ku[i] = 0
2017-08-01 02:08:16 remote_cert_ku[i] = 0
2017-08-01 02:08:16 remote_cert_ku[i] = 0
2017-08-01 02:08:16 remote_cert_ku[i] = 0
2017-08-01 02:08:16 remote_cert_ku[i] = 0
2017-08-01 02:08:16 remote_cert_ku[i] = 0
2017-08-01 02:08:16 remote_cert_ku[i] = 0
2017-08-01 02:08:16 remote_cert_ku[i] = 0
2017-08-01 02:08:16 remote_cert_eku = '[UNDEF]'
2017-08-01 02:08:16 ssl_flags = 0
2017-08-01 02:08:16 tls_timeout = 2
2017-08-01 02:08:16 renegotiate_bytes = -1
2017-08-01 02:08:16 renegotiate_packets = 0
2017-08-01 02:08:16 renegotiate_seconds = 3600
2017-08-01 02:08:16 handshake_window = 60
2017-08-01 02:08:16 transition_window = 3600
2017-08-01 02:08:16 single_session = DISABLED
2017-08-01 02:08:16 push_peer_info = DISABLED
2017-08-01 02:08:16 tls_exit = DISABLED
2017-08-01 02:08:16 tls_auth_file = '[UNDEF]'
2017-08-01 02:08:16 tls_crypt_file = '[UNDEF]'
2017-08-01 02:08:16 client = ENABLED
2017-08-01 02:08:16 pull = ENABLED
2017-08-01 02:08:16 auth_user_pass_file = 'stdin'
2017-08-01
02:08:16 OpenVPN 2.5-icsopenvpn [git:icsopenvpn-d51333c645c12713+]
android-14-armeabi-v7a [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [MH/PKTINFO]
[AEAD] built on Jun 26 2017
2017-08-01 02:08:16 library versions: OpenSSL 1.1.0f 25 May 2017, LZO 2.10
2017-08-01 02:08:16 MANAGEMENT: Connected to management server at /data/data/de.blinkt.openvpn/cache/mgmtsocket
2017-08-01 02:08:16 MANAGEMENT: CMD 'hold release'
2017-08-01 02:08:16 MANAGEMENT: CMD 'username 'Auth' grenzwert'
2017-08-01 02:08:16 MANAGEMENT: CMD 'bytecount 2'
2017-08-01 02:08:16 MANAGEMENT: CMD 'password [...]'
2017-08-01 02:08:16 MANAGEMENT: CMD 'state on'
2017-08-01 02:08:16 MANAGEMENT: CMD 'proxy NONE'
2017-08-01 02:08:17 LZO compression initializing
2017-08-01 02:08:17 Control Channel MTU parms [ L:1622 D:1212 EF:38 EB:0 ET:0 EL:3 ]
2017-08-01 02:08:17 MANAGEMENT: >STATE:1501546097,RESOLVE,,,,,,
2017-08-01 02:08:17 New OpenVPN Status (RESOLVE->LEVEL_CONNECTING_NO_SERVER_REPLY_YET): ,,,,,
2017-08-01 02:08:17 New OpenVPN Status (RESOLVE->LEVEL_CONNECTING_NO_SERVER_REPLY_YET): ,,,,,
2017-08-01 02:08:17 Data Channel MTU parms [ L:1622 D:1450 EF:122 EB:406 ET:0 EL:3 ]
2017-08-01
02:08:17 Local Options String (VER=V4): 'V4,dev-type tun,link-mtu
1542,tun-mtu 1500,proto UDPv4,comp-lzo,cipher BF-CBC,auth SHA1,keysize
128,key-method 2,tls-client'
2017-08-01 02:08:17 Expected Remote
Options String (VER=V4): 'V4,dev-type tun,link-mtu 1542,tun-mtu
1500,proto UDPv4,comp-lzo,cipher BF-CBC,auth SHA1,keysize 128,key-method
2,tls-server'
2017-08-01 02:08:17 TCP/UDP: Preserving recently used remote address: [AF_INET]188.144.135.6:1194
2017-08-01 02:08:17 Socket Buffers: R=[163840->163840] S=[163840->163840]
2017-08-01 02:08:17 MANAGEMENT: CMD 'needok 'PROTECTFD' ok'
2017-08-01 02:08:17 UDP link local (bound): [AF_INET][undef]:1194
2017-08-01 02:08:17 UDP link remote: [AF_INET]188.144.135.6:1194

Hallo,

ich probierte mal kurz den kostenpflichtigen OpenVPNClient aus. Der kann gar nicht ohne Zertifikat arbeiten. Habe ihn also wieder zurückgegeben.

Dann deinen VPN-Client ausprobiert. Der ist schön eingedeutscht und macht ja einen richtig guten Eindruck.
Und offenbar wäre das auch die Lösung für meine Aufgabe. Nachdem ich ja den VPN-Server am laufen habe und Dyndns seit heute auch funktioniert. (Allerdings über die vorgeschaltete Fritzbox)

Jetzt erstellte ich ein neues Profil in der App mit den bekannten Werten.

Also erst bleib die App bald nach dem Start stehen von wegen ca täte fehlen.
Habe dann das Zertifikat (das ich ja gar nicht will) aus der Endian umbenannt und der APP untergeschoben.
Jetzt macht sie wenigstens weiter , meckert wegen dem Zertifikat - ist ja kar- und dann weiß ich nicht weiter woran es liegt das es nicht geht.

Habe aber jetzt sogar das Fehlerlogfile greifbar. :-). Man lernt ja dazu.

2017-08-01 02:08:16 offizielle Version 0.6.73 läuft auf samsung GT-I9505
(MSM8960), Android 5.0.1 (LRX22C) API 21, ABI armeabi-v7a,
(samsung/jfltexx/jflte:5.0.1/LRX22C/I9505XXUHPK2:user/release-keys)
2017-08-01 02:08:16 Generiere OpenVPN-Konfiguration…
2017-08-01 02:08:16 New OpenVPN Status (VPN_GENERATE_CONFIG->LEVEL_START):
2017-08-01 02:08:16 New OpenVPN Status (VPN_GENERATE_CONFIG->LEVEL_START):
2017-08-01 02:08:16 started Socket Thread
2017-08-01 02:08:16 Netzwerkstatus: CONNECTED HSPA+ to MOBILE internet
2017-08-01
02:08:16 Debug state info: CONNECTED HSPA+ to MOBILE internet, pause:
userPause, shouldbeconnected: true, network: SHOULDBECONNECTED
2017-08-01
02:08:16 Debug state info: CONNECTED HSPA+ to MOBILE internet, pause:
userPause, shouldbeconnected: true, network: SHOULDBECONNECTED
2017-08-01 02:08:16 P:Initializing Google Breakpad!
2017-08-01 02:08:16 Current Parameter Settings:
2017-08-01 02:08:16 config = '/data/data/de.blinkt.openvpn/cache/android.conf'
2017-08-01 02:08:16 mode = 0
2017-08-01 02:08:16 show_ciphers = DISABLED
2017-08-01 02:08:16 show_digests = DISABLED
2017-08-01 02:08:16 show_engines = DISABLED
2017-08-01 02:08:16 genkey = DISABLED
2017-08-01 02:08:16 key_pass_file = '[UNDEF]'
2017-08-01 02:08:16 show_tls_ciphers = DISABLED
2017-08-01 02:08:16 Warte 0s Sekunden zwischen zwei Verbindungsversuchen
2017-08-01 02:08:16 connect_retry_max = 0
2017-08-01 02:08:16 Connection profiles [0]:
2017-08-01 02:08:16 proto = udp
2017-08-01 02:08:16 local = '[UNDEF]'
2017-08-01 02:08:16 local_port = '1194'
2017-08-01 02:08:16 remote = 'grenzwert.selfhost.eu'
2017-08-01 02:08:16 remote_port = '1194'
2017-08-01 02:08:16 remote_float = DISABLED
2017-08-01 02:08:16 bind_defined = DISABLED
2017-08-01 02:08:16 bind_local = ENABLED
2017-08-01 02:08:16 bind_ipv6_only = DISABLED
2017-08-01 02:08:16 connect_retry_seconds = 2
2017-08-01 02:08:16 connect_timeout = 120
2017-08-01 02:08:16 socks_proxy_server = '[UNDEF]'
2017-08-01 02:08:16 socks_proxy_port = '[UNDEF]'
2017-08-01 02:08:16 tun_mtu = 1500
2017-08-01 02:08:16 tun_mtu_defined = ENABLED
2017-08-01 02:08:16 link_mtu = 1500
2017-08-01 02:08:16 link_mtu_defined = DISABLED
2017-08-01 02:08:16 tun_mtu_extra = 0
2017-08-01 02:08:16 tun_mtu_extra_defined = DISABLED
2017-08-01 02:08:16 mtu_discover_type = -1
2017-08-01 02:08:16 fragment = 0
2017-08-01 02:08:16 mssfix = 1450
2017-08-01 02:08:16 explicit_exit_notification = 0
2017-08-01 02:08:16 Connection profiles END
2017-08-01 02:08:16 remote_random = DISABLED
2017-08-01 02:08:16 ipchange = '[UNDEF]'
2017-08-01 02:08:16 dev = 'tun'
2017-08-01 02:08:16 dev_type = '[UNDEF]'
2017-08-01 02:08:16 dev_node = '[UNDEF]'
2017-08-01 02:08:16 lladdr = '[UNDEF]'
2017-08-01 02:08:16 topology = 1
2017-08-01 02:08:16 ifconfig_local = '[UNDEF]'
2017-08-01 02:08:16 ifconfig_remote_netmask = '[UNDEF]'
2017-08-01 02:08:16 ifconfig_noexec = DISABLED
2017-08-01 02:08:16 ifconfig_nowarn = ENABLED
2017-08-01 02:08:16 ifconfig_ipv6_local = '[UNDEF]'
2017-08-01 02:08:16 ifconfig_ipv6_netbits = 0
2017-08-01 02:08:16 ifconfig_ipv6_remote = '[UNDEF]'
2017-08-01 02:08:16 shaper = 0
2017-08-01 02:08:16 mtu_test = 0
2017-08-01 02:08:16 mlock = DISABLED
2017-08-01 02:08:16 keepalive_ping = 0
2017-08-01 02:08:16 keepalive_timeout = 0
2017-08-01 02:08:16 inactivity_timeout = 0
2017-08-01 02:08:16 ping_send_timeout = 0
2017-08-01 02:08:16 ping_rec_timeout = 0
2017-08-01 02:08:16 ping_rec_timeout_action = 0
2017-08-01 02:08:16 ping_timer_remote = DISABLED
2017-08-01 02:08:16 remap_sigusr1 = 0
2017-08-01 02:08:16 persist_tun = DISABLED
2017-08-01 02:08:16 persist_local_ip = DISABLED
2017-08-01 02:08:16 persist_remote_ip = DISABLED
2017-08-01 02:08:16 persist_key = DISABLED
2017-08-01 02:08:16 passtos = DISABLED
2017-08-01 02:08:16 resolve_retry_seconds = 60
2017-08-01 02:08:16 resolve_in_advance = DISABLED
2017-08-01 02:08:16 username = '[UNDEF]'
2017-08-01 02:08:16 groupname = '[UNDEF]'
2017-08-01 02:08:16 chroot_dir = '[UNDEF]'
2017-08-01 02:08:16 cd_dir = '[UNDEF]'
2017-08-01 02:08:16 writepid = '[UNDEF]'
2017-08-01 02:08:16 up_script = '[UNDEF]'
2017-08-01 02:08:16 down_script = '[UNDEF]'
2017-08-01 02:08:16 down_pre = DISABLED
2017-08-01 02:08:16 up_restart = DISABLED
2017-08-01 02:08:16 up_delay = DISABLED
2017-08-01 02:08:16 daemon = DISABLED
2017-08-01 02:08:16 inetd = 0
2017-08-01 02:08:16 log = DISABLED
2017-08-01 02:08:16 suppress_timestamps = DISABLED
2017-08-01 02:08:16 machine_readable_output = ENABLED
2017-08-01 02:08:16 nice = 0
2017-08-01 02:08:16 verbosity = 4
2017-08-01 02:08:16 mute = 0
2017-08-01 02:08:16 gremlin = 0
2017-08-01 02:08:16 status_file = '[UNDEF]'
2017-08-01 02:08:16 status_file_version = 1
2017-08-01 02:08:16 status_file_update_freq = 60
2017-08-01 02:08:16 occ = ENABLED
2017-08-01 02:08:16 rcvbuf = 0
2017-08-01 02:08:16 sndbuf = 0
2017-08-01 02:08:16 sockflags = 0
2017-08-01 02:08:16 fast_io = DISABLED
2017-08-01 02:08:16 comp.alg = 2
2017-08-01 02:08:16 comp.flags = 1
2017-08-01 02:08:16 route_script = '[UNDEF]'
2017-08-01 02:08:16 route_default_gateway = '[UNDEF]'
2017-08-01 02:08:16 route_default_metric = 0
2017-08-01 02:08:16 route_noexec = DISABLED
2017-08-01 02:08:16 route_delay = 0
2017-08-01 02:08:16 route_delay_window = 30
2017-08-01 02:08:16 route_delay_defined = DISABLED
2017-08-01 02:08:16 route_nopull = DISABLED
2017-08-01 02:08:16 route_gateway_via_dhcp = DISABLED
2017-08-01 02:08:16 allow_pull_fqdn = DISABLED
2017-08-01 02:08:16 route 0.0.0.0/0.0.0.0/vpn_gateway/default (not set)
2017-08-01 02:08:16 management_addr = '/data/data/de.blinkt.openvpn/cache/mgmtsocket'
2017-08-01 02:08:16 management_port = 'unix'
2017-08-01 02:08:16 management_user_pass = '[UNDEF]'
2017-08-01 02:08:16 management_log_history_cache = 250
2017-08-01 02:08:16 management_echo_buffer_size = 100
2017-08-01 02:08:16 management_write_peer_info_file = '[UNDEF]'
2017-08-01 02:08:16 management_client_user = '[UNDEF]'
2017-08-01 02:08:16 management_client_group = '[UNDEF]'
2017-08-01 02:08:16 management_flags = 4390
2017-08-01 02:08:16 shared_secret_file = '[UNDEF]'
2017-08-01 02:08:16 key_direction = (null)
2017-08-01 02:08:16 ciphername = 'BF-CBC'
2017-08-01 02:08:16 ncp_enabled = ENABLED
2017-08-01 02:08:16 ncp_ciphers = 'AES-256-GCM:AES-128-GCM'
2017-08-01 02:08:16 authname = 'SHA1'
2017-08-01 02:08:16 prng_hash = 'SHA1'
2017-08-01 02:08:16 prng_nonce_secret_len = 16
2017-08-01 02:08:16 keysize = 0
2017-08-01 02:08:16 engine = DISABLED
2017-08-01 02:08:16 replay = ENABLED
2017-08-01 02:08:16 mute_replay_warnings = DISABLED
2017-08-01 02:08:16 replay_window = 64
2017-08-01 02:08:16 replay_time = 15
2017-08-01 02:08:16 packet_id_file = '[UNDEF]'
2017-08-01 02:08:16 test_crypto = DISABLED
Fortsetzung folgt:

So ist es. das Handy soll sich von unterwegs genau so verhalten als wäre es zu Hause im eigenem Lan eingeloggt.
So das ich von unterwegs die Geräte im Lan bedienen kann die aus Sicherheitsgründen keinen eigenen Zugang zum Internet haben.
Das fängt bei Alarmanlage/Rauchmeldern an - geht über Sicherheitskameras und hört irgendwo beim VoIP Telefon und Satreceivern auf.

Daher braucht das Handy eine IP aus dem heimischen LAN.

Unter Windows klappt das ja auch schon genau so mit der Endian.

Es soll eine APP geben die TAP gebrückt kann.
Hast du damit schon Erfahrung?
[Blockierte Grafik: http://666kb.com/i/dlet6iwuy3cjoimkq.jpg]

Bei mir lief es heute einwandfrei durch.

[Blockierte Grafik: http://666kb.com/i/dlcqccjy6r8dkupxm.jpg]

Danke für den wichtigen Hinweis.
Das war auch das Problem. Ich dachte wirklich ein modernes Windows10 könnte mit OpenVPN umgehen. Kann es aber alleine gar nicht.

Mit OpenVPN Client für Windows und deiner oben stehenden .ovpn Client Datei klappt die Verbindung von Windows Rechnern zur Endian OpenVPN gut.
Allerdings, so wie ich das möchte, nur mit TAP und bridged.
Und genau daran hapert es jetzt am Android Client von OpenVPN. Damit funktioniert es nämlich nicht. Der kann kein TAP.

Jetzt weiß ich auch nicht.

Ich probierte es jetzt mit der Endian Open VPN.

Kein Zugriff möglich. Das Endian Livelog reagierte nicht auf den Anwahlversuch des W10 Client.
Als wäre der OpenVPN Server nicht am Netz. Bei der Schnittstelle zu OpenVPN kann ich rot nicht eintragen - es wird wenn dann eine IP benötigt. Aber Hilfefenster schreibt das ohne Eintrag alle Schnittstellen aktiv sind.

Konfiguration:
[Blockierte Grafik: http://666kb.com/i/dla0a2zzftjzt8bt6.jpg]

Lifelog:
[Blockierte Grafik: http://666kb.com/i/dla07ra5n24f1fi6i.jpg]

Ich weiß nicht warum der andauernd wegen dem Zertifikat rummosert - ich benötige doch gar keines.

Screenshoot vom W10 Client:

[Blockierte Grafik: http://666kb.com/i/dla08uxtoy4w2rf0q.jpg]

Danke erst mal für deine Hilfe.
Das werde ich mit der Endian noch genau so ausprobieren.

Heute brachte ich den W10 VPN-Server zum laufen. Rausgetunnelt durch den Kabelrouter und zurück durch die DSL Fritzbox und durch die Endian zum W10 VPN-Server.
Hatte endlich mal teilweise Zugang zum heimischen LAN. Direkt angesprochen waren die Lan-Geräte da - aber mit Windows Netzwerksuche kam gar nichts. Auch kein LAN-Drucker.
Bisherige Netzwerkpfade auf NAS funktionierten nicht. Weiß ich nicht ob das normal ist. Kann ich aber mit leben.

Jetzt weiß ich wenigstens schon mal das mein VPN-Client mit W10 funktioniert. (Muß ich via W-lan über 3 Stockwerke durch 3 Stahlbetondecken direkt in den Keller funken wo der Kabelrouter steht.) Aber geht.

Hi,
ja wenn ich nur schon so weit wäre.
Ich muß ja erst ganz vorne anfangen.

Was nehme ich denn ? Aktiviere OpenVPN Server - den hier? Kann IPsecure aus bleiben ?

Muß man innerhalb der Endian am Proxy usw. den Port 1194 öffnen ?
Lauscht der Endian OpenVPN immer auf grün und benötigt daher freies Geleit bis dorthin?
Funktioniert der OpenVPN immer nur mit dem gerade im Proxy aktiven roten Internetzugang?
Muß dazu noch irgendwas im Proxy eingestellt werden ?
Welches Zertifikat ist richtig? X.509? Oder PSK?
[Blockierte Grafik: http://666kb.com/i/dl7r5202ptq3d73ka.jpg]

Hi, ich war zwischendurch im Urlaub - ohne VPN-Zugang nach Hause.

Nichts funktionierte.
Ich kenne mich ja mit der Materie echt nicht aus - weiß nicht mal wo ich die Logdateien herbekomme. Echtzeitlog - das kann ich aktivieren.

Vor Verzweifelung versuchte ich einen anderen Weg: Ich stellte einen Windows10 PC ins Netz und Konfigurierte diesen als VPN-Server.
Ergebins: Keine VPN Verbindung. Warum ? Weiß ich nicht.

Nächste Verzweifelungstat: Da AVM ihr Fritzbox VPN so gut beschreibt ist es einfach das nachzumachen.
Ergebnis: Funktioniert - habs per serienmäßigen Android Client übers Handynetz probiert. Surfe dann über die heimische Fritzbox.
Nur das bringt mir eigentlich nichts.Ich möcht ins heimische LAN. Und die Fritzbox hängt als rot vor der Endian. Bin also im falschen Netz vor der Endian und nicht dahinter. War zwar schon vorher klar, aber selbst ein zwischengeschalteter PC mit Netzwerkbrücke half nicht.

Das einzig wahre ist wenn die VPN direkt in der Endian das heimische LAN weiterreicht. Und das an Android- und Windowsclient.

Somit stehe ich wieder ganz am Anfang - drehe mich im Kreis - nichts geht.

Wenn ich VPN-Bücher lese ist mir das viel zu umfangreich - zu viele Grundlagen, dutzende verschieden Verfahren und Verweise auf früher. Das verwirrt mich.

Ich suche eine Schritt für Schritt Anleitung zum Nachmachen.

Es fängt ja schon ganz vorne an das ich nicht weiß welcher VPN-Server in der Endian zu aktivieren ist.
Sicherheit ist mir unwichtig. name Paßwort Zugang reicht mir. Welcher ist das?
Ist OpenVPN richtig und oder mit oder ohne ipsec?
Welches Protokoll ?
1000 Fragen - kein Plan was das alles ist.

Dann keine Ahnung ob noch irgendwelche Ports im Proxy oder Firewall oder Weiterleitungen geöffnet werden müssen ?

Das muß es doch irgendwo geben wo das zum Nachmachen steht. Muß doch nicht jeder jedesmal das Rad neu erfinden.

Obwohl ich schon sakrisch viele Stunden mit dem Endian VPN verbraten haben will ichs doch am Laufen haben.

Zur heimischen Konfiguration: Zwei Internetzugänge (2 mal rot mit Fallover) - jeweils mit einem eigenen Router. Einmal die Fritzbox und einmal Providerrouter.
Das die Router die (ich weiß nicht welche alle Ports) durchlassen müssen ist klar. Die Fritzbox kann ich wenn nötig auf Durchzug schalten (demilitarisierte Zone) und beim anderen Router geht auch was mit Portdurchleitungen.
Ansonsten nur einmal grün mit etlichen IOT`s im Netz die ich von der Ferne lokal ansprechen möchte.