Buonasera a tutti sto provando a creare una vpn con il router vigor3910 seguendo questa guida.
Da Android sembrerebbe andare a buon fine anche se non riesco ad accedere né al mio router né al server pi-hole, invece da windows e mac con il software openvpn connect ricevo questo errore:


Anche mettendo un password errata dà sempre lo stesso errore come se nemmeno tentasse di connettersi.
Ho già rigenerato i certificati ma niente.
Se può esservi di aiuto ho due fritzbox collegati al vigor in load balance.
Qualcuno può aiutarmi? dove sto sbagliando?
Grazie

  • nushuth ha risposto a questo messaggio

    dicaml

    la finestra di errore non fornisce quasi mai informazioni sufficienti per capire cosa succede, da queste poche informazioni sembra che tu abbia nel file di configurazione sul client delle option non permesse. "option allowed only to be pushed by the server" dice espressamente che una qualche opzione non può essere impostata sul client ma te la può imporre solo il server.

    Per una analisi piu approfondita dobbiamo andare a leggere il log del client. se intendi pubblicarlo qui provo ad aiutarti ma ATTENZIONE, il log contiene dati sensibili quindi prima di condividere il log assicurati di cancellare questi dati, come ad esempio indirizzo IP, username o altro.

    il file di LOG si trova qui
    OpenVPN Connect v3
    Windows: <User Folder>\AppData\Roaming\OpenVPN Connect\log\
    macOS: ~/Library/Application Support/OpenVPN Connect/log/

    OpenVPN Connect v2
    Windows: C:\Program Files (x86)\OpenVPN Technologies\OpenVPN Client\etc\log\
    macOS: /Library/Application Support/OpenVPN/log/

    potresti trovare diversi file, quello che ti serve si chiama "openvpn.log" oppure "ovpn.log" o alternativamente vpn_nomeserver_qualchecosa.log.

    si apre con un editor di testi tipo notepad.

    • dicaml ha risposto a questo messaggio
    • walt ha messo mi piace.

        nushuth

        [Aug 21, 2023, 11:52:06] OpenVPN core 3.8.2connect1 win x86_64 64-bit OVPN-DCO built on Aug 10 2023 22:31:35
        ⏎[Aug 21, 2023, 11:52:06] Frame=512/2112/512 mssfix-ctrl=1250
        ⏎[Aug 21, 2023, 11:52:06] NOTE: This configuration contains options that were not used:
        ⏎[Aug 21, 2023, 11:52:06] Option allowed only to be pushed by the server
        ⏎[Aug 21, 2023, 11:52:06] 13 [ping-exit] [60]
        ⏎[Aug 21, 2023, 11:53:15] OpenVPN core 3.8.2connect1 win x86_64 64-bit OVPN-DCO built on Aug 10 2023 22:31:35
        ⏎[Aug 21, 2023, 11:53:15] Frame=512/2112/512 mssfix-ctrl=1250
        ⏎[Aug 21, 2023, 11:53:15] NOTE: This configuration contains options that were not used:
        ⏎[Aug 21, 2023, 11:53:15] Option allowed only to be pushed by the server
        ⏎[Aug 21, 2023, 11:53:15] 13 [ping-exit] [60]
        ⏎[Aug 21, 2023, 11:53:21] OpenVPN core 3.8.2connect1 win x86_64 64-bit OVPN-DCO built on Aug 10 2023 22:31:35
        ⏎[Aug 21, 2023, 11:53:21] Frame=512/2112/512 mssfix-ctrl=1250
        ⏎[Aug 21, 2023, 11:53:21] NOTE: This configuration contains options that were not used:
        ⏎[Aug 21, 2023, 11:53:21] Option allowed only to be pushed by the server
        ⏎[Aug 21, 2023, 11:53:21] 13 [ping-exit] [60]
        Non sembra esserci dati sensibili qui.
        Comunque ricontrollando la guida mi fanno usare questo programma
        Ho provato e allego i log

        2023-08-20 23:36:18 DEPRECATED OPTION: --cipher set to 'aes-256-cbc' but missing in --data-ciphers (AES-256-GCM:AES-128-GCM). OpenVPN ignores --cipher for cipher negotiations.
        2023-08-20 23:36:18 OpenVPN 2.6.6 [git:v2.6.6/c9540130121bfc21] Windows-MSVC [SSL (OpenSSL)] [LZO] [LZ4] [PKCS11] [AEAD] [DCO] built on Aug 15 2023
        2023-08-20 23:36:18 Windows version 10.0 (Windows 10 or greater), amd64 executable
        2023-08-20 23:36:18 library versions: OpenSSL 3.1.2 1 Aug 2023, LZO 2.10
        2023-08-20 23:36:18 DCO version: v0
        2023-08-20 23:36:22 WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
        2023-08-20 23:36:22 TCP/UDP: Preserving recently used remote address: [AF_INET]MYIP PORT
        2023-08-20 23:36:22 ovpn-dco device [OpenVPN Data Channel Offload] opened
        2023-08-20 23:36:22 UDP link local: (not bound)
        2023-08-20 23:36:22 UDP link remote: [AF_INET] MYIP PORT
        2023-08-20 23:36:23 OpenSSL: error:0A000152:SSL routines::unsafe legacy renegotiation disabled:
        2023-08-20 23:36:23 TLS_ERROR: BIO read tls_read_plaintext error
        2023-08-20 23:36:23 TLS Error: TLS object -> incoming plaintext read error
        2023-08-20 23:36:23 TLS Error: TLS handshake failed
        2023-08-20 23:36:23 SIGUSR1[soft,tls-error] received, process restarting
        2023-08-20 23:36:28 ERROR: could not read Auth username/password/ok/string from management interface
        2023-08-20 23:36:28 Exiting due to fatal error

          Sarebbe utile se postassi tutta la configurazione omettendo l'indirizzo ip o dominio e certificati, chiavi se presenti nel file.

          client
          dev tun
          proto udp
          remote (il mio indirizzo ip con il ddns di noip)
          auth sha256
          cipher aes-256-cbc
          resolv-retry infinite
          nobind

          auth-user-pass

          persist-key
          persist-tun
          reneg-sec 3600
          ping 10
          ping-exit 60
          auth-nocache
          #verb 5

          <ca>
          -----BEGIN CERTIFICATE-----

          -----END CERTIFICATE-----
          </ca>
          <cert>
          -----BEGIN CERTIFICATE-----

          -----END CERTIFICATE-----
          </cert>
          <key>
          -----BEGIN RSA PRIVATE KEY-----

          -----END RSA PRIVATE KEY-----
          </key>

          Questo è il lato client per generare il file. Ho messo sia come scritto sulla guida che domain col mio indirizzo noip
          Naturalmente sul fritz ho aperto le porte udp e tcp

          Cosa significa questa dicitura? devo configurare qualcosa su lato client?

          • nushuth ha risposto a questo messaggio

            dicaml ping-exit 60

            questa option, prova a cancellarla dalla configurazione del client.
            ma da quello che vedo, mi sembra che fallisca l'handshake TLS...

            EDIT: ho visto ora, ma tu stai usando il client OpenVPN "ufficiale". prova invece a scaricare quello della draytek, specifico per i suoi router, dovrebbe essere questo:
            https://www.draytek.com/products/smart-vpn-client/

            dicaml Cosa significa questa dicitura? devo configurare qualcosa su lato client?

            no, non devi toccare nulla anche perche vedo che il file di configurazione te lo ha generato direttamente il router. ti sta dicendo che il server openVPN implementato supporta solo interfacce di tipo TUN e non di tipo TAP (che invece openVPN "completo", per cosi dire, dovrebbe supportare.

            • dicaml ha risposto a questo messaggio

                  nushuth Ti ringrazio ma vorrei evitare il loro software oltre ad essere penoso mi ha creato molti problemi in passato.
                  A questo ho provato ad installare "openvpn as" su ubuntu
                  Non vorrei andare OF nel caso chiedo scusa in anticipo, comunque una volta installato e provato a configurare, sembra tutto funzionare tranne la cosa che serve a me ovvero accedere da remoto alla mia rete lan sia su pc che nas in smb.
                  Non riesco nemmeno a pingarli e neanche accedere al router da 192.168.1.1 nonostante sia tutto connesso e l'ip sembra proprio quello del modem, allego qualche foto della congiurazione se riesci a darmi una mano te ne sarei grato, sono due giorni che ci provo:

                  Ho impostato il router in modo che gli indirizzi ip 192.168.1.x devono essere impostati in modo statico mentre 192.168.2.1 sono in dhcp
                  Principalmente mi interessa collegarmi da remoto sui primi e possibilmente anche sugli altri. Uno dei fritzbox a monte ha le porte aperte ed anche sul vigor sembra tutto funzionare tranne questo, su internet ho netto che può essere dovuto al routing ma non riesco a sistemarlo.

                  • nushuth ha risposto a questo messaggio

                      dicaml i ringrazio ma vorrei evitare il loro software oltre ad essere penoso mi ha creato molti problemi in passato.

                      però un tentativo con il loro software per vedere se con quello funziona, va fatto. perche il router ti genere un file di configurazione specifico per il suo client.

                      veniamo a openvpn-as: sempre come prova, imposta il routing su "NAT" invece che "routing".

                      ho anche visto che la LAN sul modem è atipica, hai come netmask una /22 invece che una /24.
                      la LAN di openvpn-as (o meglio, ubuntu) è impostata nello stesso modo?

                      gli indirizzi IP assegnati ai client VPN non devono rientrare nel range IP della tua rete LAN. siccome il tuo LAN segment è 192.168.0.0/22, sicuramente non puoi usare 192.168.3.0 per i client VPN perche non verrebbero mai instradati.
                      prova a usare, per i client VPN, una rete completamente diversa. per esempio, 172.16.0.0/16. assegnali solo dinamicamente, niente assegnazione statica per i client.

                      • dicaml ha risposto a questo messaggio

                          nushuth però un tentativo con il loro software per vedere se con quello funziona, va fatto. perche il router ti genere un file di configurazione specifico per il suo client.

                          In questi giorni farò un tentativo

                          Allora ho provato in questo modo:

                          Adesso sembra funzionare ma solo sullo smartphone su pc windows non è cambiato nulla.

                          nushuth ho anche visto che la LAN sul modem è atipica, hai come netmask una /22 invece che una /24

                          Si perché uso 192.168.1.x per tutti i dispositivi con indirizzi ip statici mentre 192.168.2.0 per i dhcp (in pratica sono tutti i dispositivi che si collegano in wi-fi) e infatti l'ho lasciato così di proposito

                          Solo non capisco perché su Android riesco a collegarmi a tutto e su pc no. Devo usare programmi come filezilla?

                          Ok ho risolto è bastato cancellare il profilo utente che ho creato sul client e rimetterlo.
                          Ti ringrazio tantissimo per l'aiuto poi magari in questi giorni proverò sul router.
                          Un' ultimissima domanda ho installato openvpn as seguendo la guida sul sito ufficiale, e ho fatto la semplice configurazione tramite il web server, ti volevo chiedere in termini di sicurezza è già abbastanza così? Perché su openvpn client basta solo l'ip, user e password per accedere mentre col router dovevo creare il file di configurazione con tanto di certificato ed importarlo. C'è qualcosa che posso fare per renderlo più sicuro? le porte per il momento sono quelle di default ma le cambierò. Altro cosa posso fare?

                          • nushuth ha risposto a questo messaggio

                                dicaml 'è qualcosa che posso fare per renderlo più sicuro?

                                Si, puoi abilitare (e ti consiglio di farlo) 2FA (two-factor authentication). openvpn access server è compatibile con gli strumenti 2FA di google (ma ormai è uno standard aperto, quindi di fatto come autenticator puoi usare quello che preferisci)

                                • dicaml ha risposto a questo messaggio

                                    nushuth perfetto proverò. Invece l’autentica ione con un token usb che ne pensi? Ha lo stesso grado di sicurezza?

                                    • nushuth ha risposto a questo messaggio

                                        dicaml perfetto proverò. Invece l’autentica ione con un token usb che ne pensi? Ha lo stesso grado di sicurezza?

                                        "token USB" per l'autenticazione viene usato in diversi modi, non sapendo esattamente a quale tecnologia specifica ti riferisci è difficile dare una risposta. Tuttavia tutte le grandi company, le banche, i circuiti di carta di credito, si affidano ormai a sistemi a doppia autenticazione con codice MFA inviato tramite APP (e non tramite SMS, che sono soggetti ad attacco di tipo SIM-SWAP) perche ritenuti piu sicuri.

                                        • dicaml ha risposto a questo messaggio

                                            nushuth per token usb intendevo quello scritto qui
                                            Comunque era solo per una prova
                                            Nel frattempo ti ringrazio di nuovo funziona tutto ora. Grazie

                                            • nushuth ha risposto a questo messaggio

                                                dicaml per token usb intendevo quello scritto qui

                                                Aaaaahhhhhhh!! QUEL token! scusami, non avevo capito! 🙂
                                                è sicuramente uno strumento sicuro, ma non universale.. richiede driver, che potrebbero in futuro non essere piu disponibili per nuove piattaforme, e richiede un investimento in denaro.

                                                considerato tutto, credo che multi factor authentication sia ancora la soluzione migliore, meno costosa, di piu facile implementazione, compatibile con tutto, e con un grado di sicurezza elevato.

                                                  Informativa privacy - Informativa cookie - Termini e condizioni - Regolamento - Disclaimer - 🏳️‍🌈
                                                  P.I. IT16712091004 - info@fibraclick.it

                                                  ♻️ Il server di questo sito è alimentato al 100% con energia rinnovabile