Hallo zusammen,

ich habe einen IPFire PC hinter einer Fritzbox, auf dem OpenVPN laufen soll. Die Root und Host Zertifikate etc. und auch den ersten Clienten habe ich erstellt. Den Port 1194 von der Fritzbox habe ich geforwarded. Früher bei meinem Kabelanbieter mit dem Kabelmodem konnte ich alles einfach einrichten. Da wo ich jetzt wohne gibt es nur Telekom. Ich habe mich für die Fritzbox 7490 entschieden. Ich möchte mich mit meine Galaxy S4 von unterwegs nach Hause verbinden können. Wenn ich nun in den logs des IPFire schaue, klappt es soweit bis zu folgender Fehlermeldung:
{{{

Sep 9 18:58:25 ipfire openvpnserver[1931]: TLS Error: cannot locate HMAC in incoming packet from [AF_INET]89.204.135.196:57082
Sep 9 18:58:32 ipfire kernel: DROP_NEWNOTSYN IN=green0 OUT=red0 MAC=00:e8:4c:68:11:d4:64:70:02:11:ca:c0:08:00 SRC=192.168.0.62 DST=172.217.22.10 LEN=52 TOS=0x00 PREC=0x00 TTL=63 ID=27581 DF PROTO=TCP SPT=36490 DPT=443 WINDOW=291 RES=0x00 ACK URGP=0
Sep 9 18:58:33 ipfire kernel: DROP_NEWNOTSYN IN=green0 OUT=red0 MAC=00:e8:4c:68:11:d4:64:70:02:11:ca:c0:08:00 SRC=192.168.0.62 DST=216.58.205.227 LEN=52 TOS=0x00 PREC=0x00 TTL=63 ID=51950 DF PROTO=TCP SPT=53960 DPT=443 WINDOW=1217 RES=0x00 ACK URGP=0
Sep 9 18:58:40 ipfire openvpnserver[1931]: TLS Error: cannot locate HMAC in incoming packet from [AF_INET]89.204.135.196:57082


}}}

Kann mir da bitte jemand weiterhelfen ??

wenn ich die Fehlermeldung
TLS Error: cannot locate HMAC in incoming packet google finde ich so einiges. Was davon auf Dich ggf. zutrifft dürfte von Deiner aktuellen Konfiguration abhängen.

Ich habe mich auch schon zu Tode gegoogelt. Find auch nichts passendes. Habe auch schon mehrmals das Rootzertifikat, die Clienten usw gelöscht und wieder neu erstellt. Hat alles nix geholfen.

Wenn ich die /var/log/messages auf dem IPFire PC weiter interpretiere finde ich folgende Meldung:

{{{

Sep 9 19:42:02 ipfire last message repeated 3 times
Sep 9 19:42:05 ipfire kernel: DROP_INPUT IN=red0 OUT= MAC=ff:ff:ff:ff:ff:ff:00:11:32:58:3b:59:08:00 SRC=192.168.0.3 DST=192.168.0.255 LEN=78 TOS=0x00 PREC=0x00 TTL=64 ID=26747 DF PROTO=UDP SPT=137 DPT=137 LEN=58
Sep 9 19:42:06 ipfire kernel: DROP_INPUT IN=red0 OUT= MAC=00:e8:4c:68:11:d5:38:10:d5:cd:0d:66:08:00 SRC=192.168.1.1 DST=192.168.1.2 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=18806 DF PROTO=TCP SPT=58151 DPT=80 WINDOW=14600 RES=0x00 SYN URGP=0
Sep 9 19:42:07 ipfire kernel: DROP_INPUT IN=red0 OUT= MAC=ff:ff:ff:ff:ff:ff:00:11:32:58:3b:59:08:00 SRC=192.168.0.3 DST=192.168.0.255 LEN=78 TOS=0x00 PREC=0x00 TTL=64 ID=26872 DF PROTO=UDP SPT=137 DPT=137 LEN=58
Sep 9 19:42:07 ipfire kernel: DROP_INPUT IN=red0 OUT= MAC=ff:ff:ff:ff:ff:ff:00:11:32:58:3b:59:08:00 SRC=192.168.0.3 DST=192.168.0.255 LEN=78 TOS=0x00 PREC=0x00 TTL=64 ID=26873 DF PROTO=UDP SPT=137 DPT=137 LEN=58
Sep 9 19:42:07 ipfire kernel: DROP_INPUT IN=red0 OUT= MAC=00:e8:4c:68:11:d5:38:10:d5:cd:0d:66:08:00 SRC=192.168.1.1 DST=192.168.1.2 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=18807 DF PROTO=TCP SPT=58151 DPT=80 WINDOW=14600 RES=0x00 SYN URGP=0
Sep 9 19:42:13 ipfire kernel: DROP_INPUT IN=red0 OUT= MAC=00:e8:4c:68:11:d5:38:10:d5:cd:0d:66:08:00 SRC=192.168.1.1 DST=192.168.1.2 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=18809 DF PROTO=TCP SPT=58151 DPT=80 WINDOW=14600 RES=0x00 SYN URGP=0

}}}

red0 192.168.1.1 ist ja meine FritzBox, das passt ja. Aber was ist 192.168.0.3, das ist meine Synology ! Das 192.168.1.2 ist die rote Schnittstelle von IPFire.. Grün hat dann 192.168.0.0/24 und OpenVPN Netz ist 10.44.118.0/24.

Meine Fehlermeldung hat sich nun dahingehend geändert, dass jetzt folgendes erscheint: tls error client- client or server- server connection attempted from. Diese Meldung kommt nur auf dem Clienten, also dem Galaxy S4. In derLogdatei des IPFire steht immer noch das mit dem HMAC drin........

Ich habe jetzt mit VPNCilla eine Verbindung zu meiner Fritzbox hinbekommen. Da aber der IPFire hinter der Fritzbox steht, komme ich logischerweise nicht in mein LAN. Wie kann ich das am IPFire einstellen, dass es doch geht.

Welche Vorteile erwartest du dadurch ein OpenVPN zu benutzen, wenn die Fritzbox ein VPN Onboard hat?

Wie bereits erwähnt, mein IPFire PC steht hinter der Fritzbox. Komme daher nicht in mein LAN, sondern nur auf meine Fritzbox.

das lässt sich doch konfigurieren....

und wie ? Aber wieso leitet die Fritzbox weder die IPSec freigaben, noch die OpenVPN Freigaben an den Server dahinter weiter ? Ich habe beide Varianten ausprobiert, wobei mir OpenVpn lieber wäre. Liegt es evtl. an Android 5.0.1 ??

wenn du der fritzbox sagst, leite die anfragen an die openvpn ports rein und raus weiter an die ipfire - sollte es funktionieren...
natürlich muss ipfire offen sein für die openvpn anfragen...

du hast halt 2 firewalls hintereinander, das macht das ganze nicht einfacher ;-)

der openvpn Dienst läuft auf der roten Schnittstelle. Sollte also offen sein ???? Oder muß ich da noch was ändern ???
Es kommt nachwievor noch die Fehlermeldung: TLSError: TLS handshake failed

So, ich bin ein großer Schritt weiter. Es liegt definitv an Android 5.0.1. War heute mittag bei meinen Eltern und habe es von deren Internetanschluß versucht, mit den gleichen Konifgdateien, welche ich aufm Stick mitgenommen habe und siehe da, es ging auf anhieb. Also OpenVPN. Die FritzBox lässt den freigegeben Port sauber durch. Was gibt es nun für alternativen mit dem Handy ? Andere Apps so wie das cvpncilla für openvpn ?

Ich vermute mal eher "ein aktuelleres Android" - klingt ein wenig danach, als ob das von Dir verwendete 5.0.1 die von Dir konfigurierten Ciphers nicht unterstützen würde...

Mit zunehmender Android Version wird das OpenVPN Thema schwieriger. Ich verstehe auch nicht so ganz warum man eine Firewall hinter einer Firewall betreiben muss. Hab auch so nen Kollegen der mit IPCop rumbastelt und von einem Problem ins Nächste fällt.
Aber wenn das bei den Eltern klappt, muss man sich wie TE schon macht nach alternativen Apps umsehen.