der_angler
25.01.07, 09:02
Nabend alle miteinander.
Also ich hätte da mal ein kleines Problem mit einem VPN-Netzwerk, gleich vorweg das Netzwerk läuft und zeigt auch keine Fehler an, es ist nur so langsam, man meint man würde ein altes Modem benutzen, einfach unbrauchbar langsam. Folgendes ist die Ausgangssituation:
Ich habe in der Firma einen Linux Rechner (Fedora Core 5) stehen der als Fileserver, Router & openVPN Server dient und die IP 192.168.32.1 hat.Das ganze ist ein FC5-Standart Kernel, Verbindung ins Internet hat der Server über eine DSL-6000 Verbindung. Er ist per Netzwerkkarte (100MBit) mit einem externen Modem verbunden.
Als Client benutze ich einen Windows 2k Client.
Folgendes Problem taucht jetzt auf. Wenn ich mich mit meinem Client auf den openVPN Server einlogge, so klappt das prima. Es werden in keinem LOG Fehler angezeigt und ich kann auch auf den Fileserver zugreifen.
NUR, versuche ich jetzt ein Programm übers Netzwerk zu starten, dann dauert es eine kleine Ewigkeit bis es endlich startet und in meinem Serverlog taucht folgender Fehler auf:
Jan 25 02:51:03 kraus-automaten openvpn[25636]: client-kraft/84.174.119.247:62956 write UDPv4 []: No buffer space available (code=105)
Jetzt bin ich ja nicht ganz doof und habe nach diesem Fehler gesucht, hier und in Google. Leider Gottes gibt es viele Fragen zum Thema, aber kaum antworten (auch hier mehrere offene Threads dazu). Naja, ein paar gab es und ich habe folgendes bisher versucht:
1.
In der openVPN FAQ steht man solle den min_mem erhöhen, also schnell ein "echo "16384" > /proc/sys/vm/min_free_kbytes" gemacht.
KEIN Erfolg
2.
Ich habe aus der Server-Config die Zeile "push „route 192.168.32.0 255.255.255.0“" auskommentiert (weil brauche ja nur den Server, nicht das Netzwerk dahinter).
KEIN Erfolg
3.
diverse Config's versucht.
KEIN Erfolg
Tja, und jetzt bin ich am Ende. VPN geht im Prinzip, ist aber so langsam das es unbrauchbar ist. Bitte weiß jemand Rat???
So, und damit ihr auch wirklich ALLE Infos habt, kommen jetzt mal alle LOG's und config's.
/etc/openvpn/openvpn_ssl.conf (Server)
dev tun
proto udp
port 1194
server 10.0.0.0 255.255.255.0
mode server
#ifconfig 10.0.0.1 255.255.255.0
#ifconfig-pool 10.0.0.2 10.0.0.254
ifconfig-pool-persist /etc/openvpn/ipp.txt
tls-server
dh /etc/openvpn/zertifikate/dh1024.pem
ca /etc/openvpn/zertifikate/ca.crt
cert /etc/openvpn/zertifikate/server.crt
key /etc/openvpn/zertifikate/server.key
push „route 192.168.32.0 255.255.255.0“
cipher AES-256-CBC
#user nobody # Nur Linux
#group user # Nur Linux
status /etc/openvpn/openvpn-status.log
comp-lzo
verb 3
keepalive 10 60
openvpn_ssl.ovpn (Client)
client
dev tun
dev-node VPN
proto udp
remote name.dyn-dns.de 1194
resolv-retry infinite
nobind
;user nobody
;group nobody
persist-key
persist-tun
ca ca.crt
cert client1.crt
key client1.key
comp-lzo
verb 3
cipher AES-256-CBC
/etc/openvpn/openvpn-status.log
OpenVPN CLIENT LIST
Updated,Thu Jan 25 09:34:47 2007
Common Name,Real Address,Bytes Received,Bytes Sent,Connected Since
ROUTING TABLE
Virtual Address,Common Name,Real Address,Last Ref
GLOBAL STATS
Max bcast/mcast queue length,0
END
/var/log/message (Start von openVPN)
Jan 25 09:38:03 kraus-automaten openvpn[25636]: event_wait : Interrupted system call (code=4)
Jan 25 09:38:03 kraus-automaten openvpn[25636]: TCP/UDP: Closing socket
Jan 25 09:38:03 kraus-automaten openvpn[25636]: /sbin/ip route del 10.0.0.0/24
Jan 25 09:38:03 kraus-automaten openvpn[25636]: Closing TUN/TAP interface
Jan 25 09:38:03 kraus-automaten openvpn[25636]: SIGTERM[hard,] received, process exiting
Jan 25 09:41:48 kraus-automaten openvpn[28293]: OpenVPN 2.1_beta14 i386-redhat-linux-gnu [SSL] [LZO1] [EPOLL] built on Apr 14 2006
Jan 25 09:41:48 kraus-automaten openvpn[28293]: Diffie-Hellman initialized with 1024 bit key
Jan 25 09:41:48 kraus-automaten openvpn[28293]: TLS-Auth MTU parms [ L:1558 D:138 EF:38 EB:0 ET:0 EL:0 ]
Jan 25 09:41:48 kraus-automaten openvpn[28293]: TUN/TAP device tun0 opened
Jan 25 09:41:48 kraus-automaten openvpn[28293]: TUN/TAP TX queue length set to 100
Jan 25 09:41:48 kraus-automaten openvpn[28293]: /sbin/ip link set dev tun0 up mtu 1500
Jan 25 09:41:48 kraus-automaten openvpn[28293]: /sbin/ip addr add dev tun0 local 10.0.0.1 peer 10.0.0.2
Jan 25 09:41:48 kraus-automaten openvpn[28293]: /sbin/ip route add 10.0.0.0/24 via 10.0.0.2
Jan 25 09:41:48 kraus-automaten openvpn[28293]: Data Channel MTU parms [ L:1558 D:1450 EF:58 EB:135 ET:0 EL:0 AF:3/1 ]
Jan 25 09:41:48 kraus-automaten openvpn[28299]: Socket Buffers: R=[109568->131072] S=[109568->131072]
Jan 25 09:41:48 kraus-automaten openvpn[28299]: UDPv4 link local (bound): [undef]:1194
Jan 25 09:41:48 kraus-automaten openvpn[28299]: UDPv4 link remote: [undef]
Jan 25 09:41:48 kraus-automaten openvpn[28299]: MULTI: multi_init called, r=256 v=256
Jan 25 09:41:48 kraus-automaten openvpn[28299]: IFCONFIG POOL: base=10.0.0.4 size=62
Jan 25 09:41:48 kraus-automaten openvpn[28299]: IFCONFIG POOL LIST
Jan 25 09:41:48 kraus-automaten openvpn[28299]: client-boehm,10.0.0.4
Jan 25 09:41:48 kraus-automaten openvpn[28299]: client-kraft,10.0.0.8
Jan 25 09:41:48 kraus-automaten openvpn[28299]: Initialization Sequence Completed
/var/log/message (connect eines client)
Jan 25 09:45:12 kraus-automaten openvpn[28299]: MULTI: multi_create_instance called
Jan 25 09:45:12 kraus-automaten openvpn[28299]: 84.174.104.244:63036 Re-using SSL/TLS context
Jan 25 09:45:12 kraus-automaten openvpn[28299]: 84.174.104.244:63036 LZO compression initialized
Jan 25 09:45:12 kraus-automaten openvpn[28299]: 84.174.104.244:63036 Control Channel MTU parms [ L:1558 D:138 EF:38 EB:0 ET:0 EL:0 ]
Jan 25 09:45:12 kraus-automaten openvpn[28299]: 84.174.104.244:63036 Data Channel MTU parms [ L:1558 D:1450 EF:58 EB:135 ET:0 EL:0 AF:3/1 ]
Jan 25 09:45:12 kraus-automaten openvpn[28299]: 84.174.104.244:63036 Local Options hash (VER=V4): 'a8f55717'
Jan 25 09:45:12 kraus-automaten openvpn[28299]: 84.174.104.244:63036 Expected Remote Options hash (VER=V4): '22188c5b'
Jan 25 09:45:12 kraus-automaten openvpn[28299]: 84.174.104.244:63036 TLS: Initial packet from 84.174.104.244:63036, sid=7fe341d9 cc56cc0b
Jan 25 09:45:13 kraus-automaten openvpn[28299]: 84.174.104.244:63036 VERIFY OK: depth=1, /C=DE/ST=Hessen/L=Wetzlar/O=Kraus-Automaten/CN=Kraus-Automaten_CA/emailAddress=boehm@kraus-automaten.de
Jan 25 09:45:13 kraus-automaten openvpn[28299]: 84.174.104.244:63036 VERIFY OK: depth=0, /C=DE/ST=Hessen/L=Wetzlar/O=Kraus-Automaten/CN=client-kraft/emailAddress=boehm@kraus-automaten.de
Jan 25 09:45:13 kraus-automaten openvpn[28299]: 84.174.104.244:63036 Data Channel Encrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
Jan 25 09:45:13 kraus-automaten openvpn[28299]: 84.174.104.244:63036 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Jan 25 09:45:13 kraus-automaten openvpn[28299]: 84.174.104.244:63036 Data Channel Decrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
Jan 25 09:45:13 kraus-automaten openvpn[28299]: 84.174.104.244:63036 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Jan 25 09:45:13 kraus-automaten openvpn[28299]: 84.174.104.244:63036 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
Jan 25 09:45:13 kraus-automaten openvpn[28299]: 84.174.104.244:63036 [client-kraft] Peer Connection Initiated with 84.174.104.244:63036
Jan 25 09:45:13 kraus-automaten openvpn[28299]: client-kraft/84.174.104.244:63036 MULTI: Learn: 10.0.0.10 -> client-kraft/84.174.104.244:63036
Jan 25 09:45:13 kraus-automaten openvpn[28299]: client-kraft/84.174.104.244:63036 MULTI: primary virtual IP for client-kraft/84.174.104.244:63036: 10.0.0.10
Jan 25 09:45:14 kraus-automaten openvpn[28299]: client-kraft/84.174.104.244:63036 PUSH: Received control message: 'PUSH_REQUEST'
Jan 25 09:45:14 kraus-automaten openvpn[28299]: client-kraft/84.174.104.244:63036 SENT CONTROL [client-kraft]: 'PUSH_REPLY,„route 192.168.32.0 255.255.255.0“,route 10.0.0.1,topology net30,ping 10,ping-restart 60,ifconfig 10.0.0.10 10.0.0.9' (status=1)
/var/log/message (Fehlermeldung)
Jan 25 02:20:19 kraus-automaten openvpn[1720]: client-kraft/84.174.119.247:62790 write UDPv4 []: No buffer space available (code=105)
Jan 25 02:20:50 kraus-automaten last message repeated 10 times
Jan 25 02:21:02 kraus-automaten last message repeated 4 times
Ausgabe -> "ifconfig"
[root@kraus-automaten ~]# ifconfig
eth0 Link encap:Ethernet Hardware Adresse 00:50:BA:12:22:02
inet Adresse:192.168.32.1 Bcast:192.168.32.255 Maske:255.255.255.0
inet6 Adresse: fe80::250:baff:fe12:2202/64 Gültigkeitsbereich:Verbindung
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:77609042 errors:0 dropped:1 overruns:0 frame:0
TX packets:147711906 errors:1 dropped:0 overruns:1 carrier:0
Kollisionen:0 Sendewarteschlangenlänge:1000
RX bytes:3911922333 (3.6 GiB) TX bytes:2350218080 (2.1 GiB)
Interrupt:177 Basisadresse:0xcf00
eth1 Link encap:Ethernet Hardware Adresse 00:0B:6A:81:2B:49
inet6 Adresse: fe80::20b:6aff:fe81:2b49/64 Gültigkeitsbereich:Verbindung
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:3229815 errors:0 dropped:0 overruns:0 frame:0
TX packets:2338496 errors:0 dropped:0 overruns:0 carrier:0
Kollisionen:0 Sendewarteschlangenlänge:1000
RX bytes:2819642369 (2.6 GiB) TX bytes:494160893 (471.2 MiB)
Interrupt:185 Basisadresse:0xad00
lo Link encap:Lokale Schleife
inet Adresse:127.0.0.1 Maske:255.0.0.0
inet6 Adresse: ::1/128 Gültigkeitsbereich:Maschine
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:60751 errors:0 dropped:0 overruns:0 frame:0
TX packets:60751 errors:0 dropped:0 overruns:0 carrier:0
Kollisionen:0 Sendewarteschlangenlänge:0
RX bytes:3041484 (2.9 MiB) TX bytes:3041484 (2.9 MiB)
ppp0 Link encap:Punkt-zu-Punkt Verbindung
inet Adresse:87.169.102.96 P-z-P:217.0.116.249 Maske:255.255.255.255
UP PUNKTZUPUNKT RUNNING NOARP MULTICAST MTU:1492 Metric:1
RX packets:8315 errors:0 dropped:0 overruns:0 frame:0
TX packets:6429 errors:0 dropped:0 overruns:0 carrier:0
Kollisionen:0 Sendewarteschlangenlänge:3
RX bytes:6132602 (5.8 MiB) TX bytes:1703181 (1.6 MiB)
tun0 Link encap:UNSPEC Hardware Adresse 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
inet Adresse:10.0.0.1 P-z-P:10.0.0.2 Maske:255.255.255.255
UP PUNKTZUPUNKT RUNNING NOARP MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
Kollisionen:0 Sendewarteschlangenlänge:100
RX bytes:0 (0.0 b) TX bytes:0 (0.0 b)
meine Firewall
#!/bin/bash
echo "Starte IP-Paketfilter"
# iptables-Modul
modprobe ip_tables
# Connection-Tracking-Module
modprobe ip_conntrack
# Das Modul ip_conntrack_irc ist erst bei Kerneln >= 2.4.19 verfuegbar
modprobe ip_conntrack_irc
modprobe ip_conntrack_ftp
# Tabelle flushen
iptables -F
iptables -t nat -F
iptables -t mangle -F
iptables -X
iptables -t nat -X
iptables -t mangle -X
# Default-Policies setzen
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
# MY_REJECT-Chain
iptables -N MY_REJECT
# MY_REJECT fuellen
iptables -A MY_REJECT -p tcp -m limit --limit 7200/h -j LOG --log-prefix "REJECT TCP "
iptables -A MY_REJECT -p tcp -j REJECT --reject-with tcp-reset
iptables -A MY_REJECT -p udp -m limit --limit 7200/h -j LOG --log-prefix "REJECT UDP "
iptables -A MY_REJECT -p udp -j REJECT --reject-with icmp-port-unreachable
iptables -A MY_REJECT -p icmp -m limit --limit 7200/h -j LOG --log-prefix "DROP ICMP "
iptables -A MY_REJECT -p icmp -j DROP
iptables -A MY_REJECT -m limit --limit 7200/h -j LOG --log-prefix "REJECT OTHER "
iptables -A MY_REJECT -j REJECT --reject-with icmp-proto-unreachable
# MY_DROP-Chain
iptables -N MY_DROP
iptables -A MY_DROP -m limit --limit 7200/h -j LOG --log-prefix "PORTSCAN DROP "
iptables -A MY_DROP -j DROP
# Alle verworfenen Pakete protokollieren
iptables -A INPUT -m state --state INVALID -m limit --limit 7200/h -j LOG --log-prefix "INPUT INVALID "
iptables -A OUTPUT -m state --state INVALID -m limit --limit 7200/h -j LOG --log-prefix "OUTPUT INVALID "
iptables -A FORWARD -m state --state INVALID -m limit --limit 7200/h -j LOG --log-prefix "FORWARD INVALID "
# Korrupte Pakete zurueckweisen
iptables -A INPUT -m state --state INVALID -j DROP
iptables -A OUTPUT -m state --state INVALID -j DROP
iptables -A FORWARD -m state --state INVALID -j DROP
# Stealth Scans etc. DROPpen
# Keine Flags gesetzt
iptables -A INPUT -p tcp --tcp-flags ALL NONE -j MY_DROP
iptables -A FORWARD -p tcp --tcp-flags ALL NONE -j MY_DROP
# SYN und FIN gesetzt
iptables -A INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -j MY_DROP
iptables -A FORWARD -p tcp --tcp-flags SYN,FIN SYN,FIN -j MY_DROP
# SYN und RST gleichzeitig gesetzt
iptables -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -j MY_DROP
iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN,RST -j MY_DROP
# FIN und RST gleichzeitig gesetzt
iptables -A INPUT -p tcp --tcp-flags FIN,RST FIN,RST -j MY_DROP
iptables -A FORWARD -p tcp --tcp-flags FIN,RST FIN,RST -j MY_DROP
# FIN ohne ACK
iptables -A INPUT -p tcp --tcp-flags ACK,FIN FIN -j MY_DROP
iptables -A FORWARD -p tcp --tcp-flags ACK,FIN FIN -j MY_DROP
# PSH ohne ACK
iptables -A INPUT -p tcp --tcp-flags ACK,PSH PSH -j MY_DROP
iptables -A FORWARD -p tcp --tcp-flags ACK,PSH PSH -j MY_DROP
# URG ohne ACK
iptables -A INPUT -p tcp --tcp-flags ACK,URG URG -j MY_DROP
iptables -A FORWARD -p tcp --tcp-flags ACK,URG URG -j MY_DROP
# Loopback-Netzwerk-Kommunikation zulassen
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
# Maximum Segment Size (MSS) für das Forwarding an PMTU anpassen
iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
# Connection-Tracking aktivieren
iptables -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i ! ppp0 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# VPN
iptables -A INPUT -i ppp0 -m state --state NEW -p udp --dport 1194 -j ACCEPT
iptables -A FORWARD -i tun+ -j ACCEPT
iptables -A INPUT -i tun+ -j ACCEPT
iptables -A FORWARD -i tun+ -j ACCEPT
iptables -A INPUT -i tap+ -j ACCEPT
iptables -A FORWARD -i tap+ -j ACCEPT
# SSH
iptables -A INPUT -i ppp0 -m state --state NEW -p tcp --dport 22 -j ACCEPT
# LAN-Zugriff auf eth0
iptables -A INPUT -m state --state NEW -i eth0 -j ACCEPT
# LAN-Zugriff auf eth1
iptables -A INPUT -m state --state NEW -i eth1 -j ACCEPT
# Default-Policies mit REJECT
iptables -A INPUT -j MY_REJECT
iptables -A OUTPUT -j MY_REJECT
iptables -A FORWARD -j MY_REJECT
# Routing
echo 1 > /proc/sys/net/ipv4/ip_forward 2> /dev/null
# Masquerading
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
# SYN-Cookies
echo 1 > /proc/sys/net/ipv4/tcp_syncookies 2> /dev/null
# Stop Source-Routing
for i in /proc/sys/net/ipv4/conf/*; do echo 0 > $i/accept_source_route 2> /dev/null; done
# Stop Redirecting
for i in /proc/sys/net/ipv4/conf/*; do echo 0 > $i/accept_redirects 2> /dev/null; done
# Reverse-Path-Filter
for i in /proc/sys/net/ipv4/conf/*; do echo 2 > $i/rp_filter 2> /dev/null; done
# Log Martians
for i in /proc/sys/net/ipv4/conf/*; do echo 1 > $i/log_martians 2> /dev/null; done
# BOOTP-Relaying ausschalten
for i in /proc/sys/net/ipv4/conf/*; do echo 0 > $i/bootp_relay 2> /dev/null; done
# Proxy-ARP ausschalten
for i in /proc/sys/net/ipv4/conf/*; do echo 0 > $i/proxy_arp 2> /dev/null; done
# Ungültige ICMP-Antworten ignorieren
echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses 2> /dev/null
# ICMP Echo-Broadcasts ignorieren
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts 2> /dev/null
# Max. 500/Sekunde (5/Jiffie) senden
echo 5 > /proc/sys/net/ipv4/icmp_ratelimit
# Speicherallozierung und -timing für IP-De/-Fragmentierung
echo 262144 > /proc/sys/net/ipv4/ipfrag_high_thresh
echo 196608 > /proc/sys/net/ipv4/ipfrag_low_thresh
echo 30 > /proc/sys/net/ipv4/ipfrag_time
# TCP-FIN-Timeout zum Schutz vor DoS-Attacken setzen
echo 30 > /proc/sys/net/ipv4/tcp_fin_timeout
# Maximal 3 Antworten auf ein TCP-SYN
echo 3 > /proc/sys/net/ipv4/tcp_retries1
# TCP-Pakete maximal 15x wiederholen
echo 15 > /proc/sys/net/ipv4/tcp_retries2
Ausgabe von "top"
top - 09:50:55 up 23 days, 50 min, 1 user, load average: 0.06, 0.01, 0.00
Tasks: 70 total, 2 running, 68 sleeping, 0 stopped, 0 zombie
Cpu(s): 0.3% us, 0.3% sy, 0.0% ni, 99.3% id, 0.0% wa, 0.0% hi, 0.0% si, 0.0% st
Mem: 255780k total, 232732k used, 23048k free, 45132k buffers
Swap: 524280k total, 11700k used, 512580k free, 85220k cached
und "free"
total used free shared buffers cached
Mem: 255780 232732 23048 0 45172 85232
-/+ buffers/cache: 102328 153452
Swap: 524280 11700 512580
PS : Ich habe mal mit iptraf geschaut ob vielleicht das Netzwerk überlastet ist, aber nix, das Netzwerk ist frei!
Also ich hätte da mal ein kleines Problem mit einem VPN-Netzwerk, gleich vorweg das Netzwerk läuft und zeigt auch keine Fehler an, es ist nur so langsam, man meint man würde ein altes Modem benutzen, einfach unbrauchbar langsam. Folgendes ist die Ausgangssituation:
Ich habe in der Firma einen Linux Rechner (Fedora Core 5) stehen der als Fileserver, Router & openVPN Server dient und die IP 192.168.32.1 hat.Das ganze ist ein FC5-Standart Kernel, Verbindung ins Internet hat der Server über eine DSL-6000 Verbindung. Er ist per Netzwerkkarte (100MBit) mit einem externen Modem verbunden.
Als Client benutze ich einen Windows 2k Client.
Folgendes Problem taucht jetzt auf. Wenn ich mich mit meinem Client auf den openVPN Server einlogge, so klappt das prima. Es werden in keinem LOG Fehler angezeigt und ich kann auch auf den Fileserver zugreifen.
NUR, versuche ich jetzt ein Programm übers Netzwerk zu starten, dann dauert es eine kleine Ewigkeit bis es endlich startet und in meinem Serverlog taucht folgender Fehler auf:
Jan 25 02:51:03 kraus-automaten openvpn[25636]: client-kraft/84.174.119.247:62956 write UDPv4 []: No buffer space available (code=105)
Jetzt bin ich ja nicht ganz doof und habe nach diesem Fehler gesucht, hier und in Google. Leider Gottes gibt es viele Fragen zum Thema, aber kaum antworten (auch hier mehrere offene Threads dazu). Naja, ein paar gab es und ich habe folgendes bisher versucht:
1.
In der openVPN FAQ steht man solle den min_mem erhöhen, also schnell ein "echo "16384" > /proc/sys/vm/min_free_kbytes" gemacht.
KEIN Erfolg
2.
Ich habe aus der Server-Config die Zeile "push „route 192.168.32.0 255.255.255.0“" auskommentiert (weil brauche ja nur den Server, nicht das Netzwerk dahinter).
KEIN Erfolg
3.
diverse Config's versucht.
KEIN Erfolg
Tja, und jetzt bin ich am Ende. VPN geht im Prinzip, ist aber so langsam das es unbrauchbar ist. Bitte weiß jemand Rat???
So, und damit ihr auch wirklich ALLE Infos habt, kommen jetzt mal alle LOG's und config's.
/etc/openvpn/openvpn_ssl.conf (Server)
dev tun
proto udp
port 1194
server 10.0.0.0 255.255.255.0
mode server
#ifconfig 10.0.0.1 255.255.255.0
#ifconfig-pool 10.0.0.2 10.0.0.254
ifconfig-pool-persist /etc/openvpn/ipp.txt
tls-server
dh /etc/openvpn/zertifikate/dh1024.pem
ca /etc/openvpn/zertifikate/ca.crt
cert /etc/openvpn/zertifikate/server.crt
key /etc/openvpn/zertifikate/server.key
push „route 192.168.32.0 255.255.255.0“
cipher AES-256-CBC
#user nobody # Nur Linux
#group user # Nur Linux
status /etc/openvpn/openvpn-status.log
comp-lzo
verb 3
keepalive 10 60
openvpn_ssl.ovpn (Client)
client
dev tun
dev-node VPN
proto udp
remote name.dyn-dns.de 1194
resolv-retry infinite
nobind
;user nobody
;group nobody
persist-key
persist-tun
ca ca.crt
cert client1.crt
key client1.key
comp-lzo
verb 3
cipher AES-256-CBC
/etc/openvpn/openvpn-status.log
OpenVPN CLIENT LIST
Updated,Thu Jan 25 09:34:47 2007
Common Name,Real Address,Bytes Received,Bytes Sent,Connected Since
ROUTING TABLE
Virtual Address,Common Name,Real Address,Last Ref
GLOBAL STATS
Max bcast/mcast queue length,0
END
/var/log/message (Start von openVPN)
Jan 25 09:38:03 kraus-automaten openvpn[25636]: event_wait : Interrupted system call (code=4)
Jan 25 09:38:03 kraus-automaten openvpn[25636]: TCP/UDP: Closing socket
Jan 25 09:38:03 kraus-automaten openvpn[25636]: /sbin/ip route del 10.0.0.0/24
Jan 25 09:38:03 kraus-automaten openvpn[25636]: Closing TUN/TAP interface
Jan 25 09:38:03 kraus-automaten openvpn[25636]: SIGTERM[hard,] received, process exiting
Jan 25 09:41:48 kraus-automaten openvpn[28293]: OpenVPN 2.1_beta14 i386-redhat-linux-gnu [SSL] [LZO1] [EPOLL] built on Apr 14 2006
Jan 25 09:41:48 kraus-automaten openvpn[28293]: Diffie-Hellman initialized with 1024 bit key
Jan 25 09:41:48 kraus-automaten openvpn[28293]: TLS-Auth MTU parms [ L:1558 D:138 EF:38 EB:0 ET:0 EL:0 ]
Jan 25 09:41:48 kraus-automaten openvpn[28293]: TUN/TAP device tun0 opened
Jan 25 09:41:48 kraus-automaten openvpn[28293]: TUN/TAP TX queue length set to 100
Jan 25 09:41:48 kraus-automaten openvpn[28293]: /sbin/ip link set dev tun0 up mtu 1500
Jan 25 09:41:48 kraus-automaten openvpn[28293]: /sbin/ip addr add dev tun0 local 10.0.0.1 peer 10.0.0.2
Jan 25 09:41:48 kraus-automaten openvpn[28293]: /sbin/ip route add 10.0.0.0/24 via 10.0.0.2
Jan 25 09:41:48 kraus-automaten openvpn[28293]: Data Channel MTU parms [ L:1558 D:1450 EF:58 EB:135 ET:0 EL:0 AF:3/1 ]
Jan 25 09:41:48 kraus-automaten openvpn[28299]: Socket Buffers: R=[109568->131072] S=[109568->131072]
Jan 25 09:41:48 kraus-automaten openvpn[28299]: UDPv4 link local (bound): [undef]:1194
Jan 25 09:41:48 kraus-automaten openvpn[28299]: UDPv4 link remote: [undef]
Jan 25 09:41:48 kraus-automaten openvpn[28299]: MULTI: multi_init called, r=256 v=256
Jan 25 09:41:48 kraus-automaten openvpn[28299]: IFCONFIG POOL: base=10.0.0.4 size=62
Jan 25 09:41:48 kraus-automaten openvpn[28299]: IFCONFIG POOL LIST
Jan 25 09:41:48 kraus-automaten openvpn[28299]: client-boehm,10.0.0.4
Jan 25 09:41:48 kraus-automaten openvpn[28299]: client-kraft,10.0.0.8
Jan 25 09:41:48 kraus-automaten openvpn[28299]: Initialization Sequence Completed
/var/log/message (connect eines client)
Jan 25 09:45:12 kraus-automaten openvpn[28299]: MULTI: multi_create_instance called
Jan 25 09:45:12 kraus-automaten openvpn[28299]: 84.174.104.244:63036 Re-using SSL/TLS context
Jan 25 09:45:12 kraus-automaten openvpn[28299]: 84.174.104.244:63036 LZO compression initialized
Jan 25 09:45:12 kraus-automaten openvpn[28299]: 84.174.104.244:63036 Control Channel MTU parms [ L:1558 D:138 EF:38 EB:0 ET:0 EL:0 ]
Jan 25 09:45:12 kraus-automaten openvpn[28299]: 84.174.104.244:63036 Data Channel MTU parms [ L:1558 D:1450 EF:58 EB:135 ET:0 EL:0 AF:3/1 ]
Jan 25 09:45:12 kraus-automaten openvpn[28299]: 84.174.104.244:63036 Local Options hash (VER=V4): 'a8f55717'
Jan 25 09:45:12 kraus-automaten openvpn[28299]: 84.174.104.244:63036 Expected Remote Options hash (VER=V4): '22188c5b'
Jan 25 09:45:12 kraus-automaten openvpn[28299]: 84.174.104.244:63036 TLS: Initial packet from 84.174.104.244:63036, sid=7fe341d9 cc56cc0b
Jan 25 09:45:13 kraus-automaten openvpn[28299]: 84.174.104.244:63036 VERIFY OK: depth=1, /C=DE/ST=Hessen/L=Wetzlar/O=Kraus-Automaten/CN=Kraus-Automaten_CA/emailAddress=boehm@kraus-automaten.de
Jan 25 09:45:13 kraus-automaten openvpn[28299]: 84.174.104.244:63036 VERIFY OK: depth=0, /C=DE/ST=Hessen/L=Wetzlar/O=Kraus-Automaten/CN=client-kraft/emailAddress=boehm@kraus-automaten.de
Jan 25 09:45:13 kraus-automaten openvpn[28299]: 84.174.104.244:63036 Data Channel Encrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
Jan 25 09:45:13 kraus-automaten openvpn[28299]: 84.174.104.244:63036 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Jan 25 09:45:13 kraus-automaten openvpn[28299]: 84.174.104.244:63036 Data Channel Decrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
Jan 25 09:45:13 kraus-automaten openvpn[28299]: 84.174.104.244:63036 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Jan 25 09:45:13 kraus-automaten openvpn[28299]: 84.174.104.244:63036 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
Jan 25 09:45:13 kraus-automaten openvpn[28299]: 84.174.104.244:63036 [client-kraft] Peer Connection Initiated with 84.174.104.244:63036
Jan 25 09:45:13 kraus-automaten openvpn[28299]: client-kraft/84.174.104.244:63036 MULTI: Learn: 10.0.0.10 -> client-kraft/84.174.104.244:63036
Jan 25 09:45:13 kraus-automaten openvpn[28299]: client-kraft/84.174.104.244:63036 MULTI: primary virtual IP for client-kraft/84.174.104.244:63036: 10.0.0.10
Jan 25 09:45:14 kraus-automaten openvpn[28299]: client-kraft/84.174.104.244:63036 PUSH: Received control message: 'PUSH_REQUEST'
Jan 25 09:45:14 kraus-automaten openvpn[28299]: client-kraft/84.174.104.244:63036 SENT CONTROL [client-kraft]: 'PUSH_REPLY,„route 192.168.32.0 255.255.255.0“,route 10.0.0.1,topology net30,ping 10,ping-restart 60,ifconfig 10.0.0.10 10.0.0.9' (status=1)
/var/log/message (Fehlermeldung)
Jan 25 02:20:19 kraus-automaten openvpn[1720]: client-kraft/84.174.119.247:62790 write UDPv4 []: No buffer space available (code=105)
Jan 25 02:20:50 kraus-automaten last message repeated 10 times
Jan 25 02:21:02 kraus-automaten last message repeated 4 times
Ausgabe -> "ifconfig"
[root@kraus-automaten ~]# ifconfig
eth0 Link encap:Ethernet Hardware Adresse 00:50:BA:12:22:02
inet Adresse:192.168.32.1 Bcast:192.168.32.255 Maske:255.255.255.0
inet6 Adresse: fe80::250:baff:fe12:2202/64 Gültigkeitsbereich:Verbindung
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:77609042 errors:0 dropped:1 overruns:0 frame:0
TX packets:147711906 errors:1 dropped:0 overruns:1 carrier:0
Kollisionen:0 Sendewarteschlangenlänge:1000
RX bytes:3911922333 (3.6 GiB) TX bytes:2350218080 (2.1 GiB)
Interrupt:177 Basisadresse:0xcf00
eth1 Link encap:Ethernet Hardware Adresse 00:0B:6A:81:2B:49
inet6 Adresse: fe80::20b:6aff:fe81:2b49/64 Gültigkeitsbereich:Verbindung
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:3229815 errors:0 dropped:0 overruns:0 frame:0
TX packets:2338496 errors:0 dropped:0 overruns:0 carrier:0
Kollisionen:0 Sendewarteschlangenlänge:1000
RX bytes:2819642369 (2.6 GiB) TX bytes:494160893 (471.2 MiB)
Interrupt:185 Basisadresse:0xad00
lo Link encap:Lokale Schleife
inet Adresse:127.0.0.1 Maske:255.0.0.0
inet6 Adresse: ::1/128 Gültigkeitsbereich:Maschine
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:60751 errors:0 dropped:0 overruns:0 frame:0
TX packets:60751 errors:0 dropped:0 overruns:0 carrier:0
Kollisionen:0 Sendewarteschlangenlänge:0
RX bytes:3041484 (2.9 MiB) TX bytes:3041484 (2.9 MiB)
ppp0 Link encap:Punkt-zu-Punkt Verbindung
inet Adresse:87.169.102.96 P-z-P:217.0.116.249 Maske:255.255.255.255
UP PUNKTZUPUNKT RUNNING NOARP MULTICAST MTU:1492 Metric:1
RX packets:8315 errors:0 dropped:0 overruns:0 frame:0
TX packets:6429 errors:0 dropped:0 overruns:0 carrier:0
Kollisionen:0 Sendewarteschlangenlänge:3
RX bytes:6132602 (5.8 MiB) TX bytes:1703181 (1.6 MiB)
tun0 Link encap:UNSPEC Hardware Adresse 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
inet Adresse:10.0.0.1 P-z-P:10.0.0.2 Maske:255.255.255.255
UP PUNKTZUPUNKT RUNNING NOARP MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
Kollisionen:0 Sendewarteschlangenlänge:100
RX bytes:0 (0.0 b) TX bytes:0 (0.0 b)
meine Firewall
#!/bin/bash
echo "Starte IP-Paketfilter"
# iptables-Modul
modprobe ip_tables
# Connection-Tracking-Module
modprobe ip_conntrack
# Das Modul ip_conntrack_irc ist erst bei Kerneln >= 2.4.19 verfuegbar
modprobe ip_conntrack_irc
modprobe ip_conntrack_ftp
# Tabelle flushen
iptables -F
iptables -t nat -F
iptables -t mangle -F
iptables -X
iptables -t nat -X
iptables -t mangle -X
# Default-Policies setzen
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
# MY_REJECT-Chain
iptables -N MY_REJECT
# MY_REJECT fuellen
iptables -A MY_REJECT -p tcp -m limit --limit 7200/h -j LOG --log-prefix "REJECT TCP "
iptables -A MY_REJECT -p tcp -j REJECT --reject-with tcp-reset
iptables -A MY_REJECT -p udp -m limit --limit 7200/h -j LOG --log-prefix "REJECT UDP "
iptables -A MY_REJECT -p udp -j REJECT --reject-with icmp-port-unreachable
iptables -A MY_REJECT -p icmp -m limit --limit 7200/h -j LOG --log-prefix "DROP ICMP "
iptables -A MY_REJECT -p icmp -j DROP
iptables -A MY_REJECT -m limit --limit 7200/h -j LOG --log-prefix "REJECT OTHER "
iptables -A MY_REJECT -j REJECT --reject-with icmp-proto-unreachable
# MY_DROP-Chain
iptables -N MY_DROP
iptables -A MY_DROP -m limit --limit 7200/h -j LOG --log-prefix "PORTSCAN DROP "
iptables -A MY_DROP -j DROP
# Alle verworfenen Pakete protokollieren
iptables -A INPUT -m state --state INVALID -m limit --limit 7200/h -j LOG --log-prefix "INPUT INVALID "
iptables -A OUTPUT -m state --state INVALID -m limit --limit 7200/h -j LOG --log-prefix "OUTPUT INVALID "
iptables -A FORWARD -m state --state INVALID -m limit --limit 7200/h -j LOG --log-prefix "FORWARD INVALID "
# Korrupte Pakete zurueckweisen
iptables -A INPUT -m state --state INVALID -j DROP
iptables -A OUTPUT -m state --state INVALID -j DROP
iptables -A FORWARD -m state --state INVALID -j DROP
# Stealth Scans etc. DROPpen
# Keine Flags gesetzt
iptables -A INPUT -p tcp --tcp-flags ALL NONE -j MY_DROP
iptables -A FORWARD -p tcp --tcp-flags ALL NONE -j MY_DROP
# SYN und FIN gesetzt
iptables -A INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -j MY_DROP
iptables -A FORWARD -p tcp --tcp-flags SYN,FIN SYN,FIN -j MY_DROP
# SYN und RST gleichzeitig gesetzt
iptables -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -j MY_DROP
iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN,RST -j MY_DROP
# FIN und RST gleichzeitig gesetzt
iptables -A INPUT -p tcp --tcp-flags FIN,RST FIN,RST -j MY_DROP
iptables -A FORWARD -p tcp --tcp-flags FIN,RST FIN,RST -j MY_DROP
# FIN ohne ACK
iptables -A INPUT -p tcp --tcp-flags ACK,FIN FIN -j MY_DROP
iptables -A FORWARD -p tcp --tcp-flags ACK,FIN FIN -j MY_DROP
# PSH ohne ACK
iptables -A INPUT -p tcp --tcp-flags ACK,PSH PSH -j MY_DROP
iptables -A FORWARD -p tcp --tcp-flags ACK,PSH PSH -j MY_DROP
# URG ohne ACK
iptables -A INPUT -p tcp --tcp-flags ACK,URG URG -j MY_DROP
iptables -A FORWARD -p tcp --tcp-flags ACK,URG URG -j MY_DROP
# Loopback-Netzwerk-Kommunikation zulassen
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
# Maximum Segment Size (MSS) für das Forwarding an PMTU anpassen
iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
# Connection-Tracking aktivieren
iptables -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i ! ppp0 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# VPN
iptables -A INPUT -i ppp0 -m state --state NEW -p udp --dport 1194 -j ACCEPT
iptables -A FORWARD -i tun+ -j ACCEPT
iptables -A INPUT -i tun+ -j ACCEPT
iptables -A FORWARD -i tun+ -j ACCEPT
iptables -A INPUT -i tap+ -j ACCEPT
iptables -A FORWARD -i tap+ -j ACCEPT
# SSH
iptables -A INPUT -i ppp0 -m state --state NEW -p tcp --dport 22 -j ACCEPT
# LAN-Zugriff auf eth0
iptables -A INPUT -m state --state NEW -i eth0 -j ACCEPT
# LAN-Zugriff auf eth1
iptables -A INPUT -m state --state NEW -i eth1 -j ACCEPT
# Default-Policies mit REJECT
iptables -A INPUT -j MY_REJECT
iptables -A OUTPUT -j MY_REJECT
iptables -A FORWARD -j MY_REJECT
# Routing
echo 1 > /proc/sys/net/ipv4/ip_forward 2> /dev/null
# Masquerading
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
# SYN-Cookies
echo 1 > /proc/sys/net/ipv4/tcp_syncookies 2> /dev/null
# Stop Source-Routing
for i in /proc/sys/net/ipv4/conf/*; do echo 0 > $i/accept_source_route 2> /dev/null; done
# Stop Redirecting
for i in /proc/sys/net/ipv4/conf/*; do echo 0 > $i/accept_redirects 2> /dev/null; done
# Reverse-Path-Filter
for i in /proc/sys/net/ipv4/conf/*; do echo 2 > $i/rp_filter 2> /dev/null; done
# Log Martians
for i in /proc/sys/net/ipv4/conf/*; do echo 1 > $i/log_martians 2> /dev/null; done
# BOOTP-Relaying ausschalten
for i in /proc/sys/net/ipv4/conf/*; do echo 0 > $i/bootp_relay 2> /dev/null; done
# Proxy-ARP ausschalten
for i in /proc/sys/net/ipv4/conf/*; do echo 0 > $i/proxy_arp 2> /dev/null; done
# Ungültige ICMP-Antworten ignorieren
echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses 2> /dev/null
# ICMP Echo-Broadcasts ignorieren
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts 2> /dev/null
# Max. 500/Sekunde (5/Jiffie) senden
echo 5 > /proc/sys/net/ipv4/icmp_ratelimit
# Speicherallozierung und -timing für IP-De/-Fragmentierung
echo 262144 > /proc/sys/net/ipv4/ipfrag_high_thresh
echo 196608 > /proc/sys/net/ipv4/ipfrag_low_thresh
echo 30 > /proc/sys/net/ipv4/ipfrag_time
# TCP-FIN-Timeout zum Schutz vor DoS-Attacken setzen
echo 30 > /proc/sys/net/ipv4/tcp_fin_timeout
# Maximal 3 Antworten auf ein TCP-SYN
echo 3 > /proc/sys/net/ipv4/tcp_retries1
# TCP-Pakete maximal 15x wiederholen
echo 15 > /proc/sys/net/ipv4/tcp_retries2
Ausgabe von "top"
top - 09:50:55 up 23 days, 50 min, 1 user, load average: 0.06, 0.01, 0.00
Tasks: 70 total, 2 running, 68 sleeping, 0 stopped, 0 zombie
Cpu(s): 0.3% us, 0.3% sy, 0.0% ni, 99.3% id, 0.0% wa, 0.0% hi, 0.0% si, 0.0% st
Mem: 255780k total, 232732k used, 23048k free, 45132k buffers
Swap: 524280k total, 11700k used, 512580k free, 85220k cached
und "free"
total used free shared buffers cached
Mem: 255780 232732 23048 0 45172 85232
-/+ buffers/cache: 102328 153452
Swap: 524280 11700 512580
PS : Ich habe mal mit iptraf geschaut ob vielleicht das Netzwerk überlastet ist, aber nix, das Netzwerk ist frei!