1. Diese Seite verwendet Cookies. Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies. Weitere Informationen

Oscam disconnectet Clients stündlich! oVPN Problem?

Dieses Thema im Forum "Root / Vserver Server Sicherheit" wurde erstellt von daddycool007, 5. März 2012.

  1. daddycool007
    Offline

    daddycool007 Spezialist

    Registriert:
    13. August 2009
    Beiträge:
    546
    Zustimmungen:
    66
    Punkte für Erfolge:
    0
    Ort:
    NRW
    Hallo,
    ich habe ein großes PRoblem.
    Habe festgestellt das meine Clients stündlich disconnecten!
    Im Webinterface wird bei verbundenden clients jede stunde die Loginzeit resettet.
    Komischerweise tritt das erst auf, seit ich einen vpn benutze.
    benutze das openvpn plugin aus dem newnigma repo.
    dieser erneuert sich stündlich anscheinend die zertifikate, jedoch darf es dabei doch nicht zu einer zwangstrennung seitens der clients kommen?!
    Wenn ich den VPN am PC benutze habe ich keine stündlichen Verbindungsabbrüche.
    Hat jemand fahrung und setzt auch einen VPN auf der Dreambox sein?
    Auffällig ist noch, dass sich eine geringe Zahl der Clienten, meistens so 3-4 nicht neuverbinden, zumindest ist im webinterface davon nix zu sehen.

    Hardware: DM800 HD se mit Newnigma 3.3
    3x Easymouse @8Mhz
    Oscam 6180

    Im Openvpnlog erscheint stündlich das hier:
    Mon Mar 5 19:10:15 2012 us=2565 TLS: tls_process: killed expiring key
    Mon Mar 5 19:10:30 2012 us=98375 VERIFY OK: depth=1, /C=A0/ST=Earth/L=AnonymousEverywhere/O=oVPN.to/CN=oVPN.to_CA/emailAddress=support@ovpn.to
    Mon Mar 5 19:10:30 2012 us=122851 VERIFY OK: nsCertType=SERVER
    Mon Mar 5 19:10:30 2012 us=123220 Validating certificate key usage
    Mon Mar 5 19:10:30 2012 us=123364 ++ Certificate has key usage 00a0, expects 00a0
    Mon Mar 5 19:10:30 2012 us=123527 VERIFY KU OK
    Mon Mar 5 19:10:30 2012 us=123713 Validating certificate extended key usage
    Mon Mar 5 19:10:30 2012 us=123891 ++ Certificate has EKU (str) TLS Web Server Authentication, expects TLS Web Server Authentication
    Mon Mar 5 19:10:30 2012 us=124032 VERIFY EKU OK
    Mon Mar 5 19:10:30 2012 us=124167 VERIFY OK: depth=0, /C=A0/ST=Earth/L=AnonymousEverywhere/O=oVPN.to/CN=md1.ovpn.to/emailAddress=support@ovpn.to
    Mon Mar 5 19:10:42 2012 us=655730 Data Channel Encrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
    Mon Mar 5 19:10:42 2012 us=655967 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
    Mon Mar 5 19:10:42 2012 us=656112 Data Channel Decrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
    Mon Mar 5 19:10:42 2012 us=656249 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
    Mon Mar 5 19:10:42 2012 us=656582 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 4096 bit RSA

    Meine ovpn config sieht so aus:
    client
    reneg-sec 7200
    log /tmp/openvpn.log
    proto udp
    auth SHA1
    dev tap
    remote IPADRESSEZENSIERT
    remote-cert-tls server
    ns-cert-type server
    resolv-retry infinite
    nobind
    ping restart 30
    comp-lzo
    cipher AES-256-CBC
    persist-key
    persist-tun
    mssfix 1400
    verb 4
    script-security 2
    ca "/etc/openvpn/md1.ovpn.to/ca.crt"
    cert "/etc/openvpn/md1.ovpn.to/client18052.crt"
    key "/etc/openvpn/md1.ovpn.to/client18052.key"
    tls-auth "/etc/openvpn/md1.ovpn.to/static.key" 1
     
    Zuletzt bearbeitet: 5. März 2012
    #1
  2. phantom

    Nervigen User Advertisement

  3. T1x
    Offline

    T1x VIP

    Registriert:
    11. Juni 2010
    Beiträge:
    3.859
    Zustimmungen:
    2.719
    Punkte für Erfolge:
    113
    Ich sehe hier kein OScam Problem.
    Daher verschiebe ich dich mal in den richtigen Bereich.
     
    #2
  4. lenny
    Offline

    lenny Freak

    Registriert:
    7. Februar 2011
    Beiträge:
    234
    Zustimmungen:
    266
    Punkte für Erfolge:
    63
    Die Session Keys für die symmetrische Verschlüsselung des Tunnels werden standarmäßig alle 3600 Sekunden ausgetauscht.
    Das kann man in der Konfig einstellen mit der Option reneg-sec 3600. Werden die Sessionkeys zu oft ausgetauscht führt das zu Verbindungsabbrüchen.
    Um das zu umgehen kann man die Option reng-sec von 3600 auf 36000 ändern. Dann wird nur alle 10 h ausgetauscht und es gibt keine Verbindungsabbrüche.
    Allerdings muss die Option Server und Clientseitig eingetragen werden.
    Also wende dich mal an Mr. Nice damit er die Configs auf dem Server / den Server updatet ;=)
     
    #3
    daddycool007 gefällt das.
  5. daddycool007
    Offline

    daddycool007 Spezialist

    Registriert:
    13. August 2009
    Beiträge:
    546
    Zustimmungen:
    66
    Punkte für Erfolge:
    0
    Ort:
    NRW
    okay alles klar, dann öffne ich da mal ein ticket :)

    Na super, ovpn ist unfähig und will das nicht machen -.-.
    also, wenn jemand openvpn auf der dreambox als client nutzen will, nicht bei ovpn.to kaufen, funktioniert nicht!
     
    Zuletzt von einem Moderator bearbeitet: 24. September 2012
    #4
  6. oVPN
    Offline

    oVPN Newbie

    Registriert:
    6. März 2012
    Beiträge:
    3
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Unfähig sind wir also, weil dein Client mit der stündlichen Neu-Aushandlung der Verschlüsselung ein Problem hat.

    Wir sind also unfähig, dann brauch ich mir da auch nicht weiter Gedanken drum machen. TV schau ich sowieso nicht :)
    Ich google sogar für dich um eventuell eine Lösung zu finden und .. ach was red ich denn... treibt ja sowieso nur illegales hier. punkt.
     
    #5
  7. daddycool007
    Offline

    daddycool007 Spezialist

    Registriert:
    13. August 2009
    Beiträge:
    546
    Zustimmungen:
    66
    Punkte für Erfolge:
    0
    Ort:
    NRW
    JA sry bin grad was gefrustet.
    Bisher ging auf Dreamboxen alles, undzwar ohne Probleme. in anderen foren wird ebenso empfohlen die zeit hochzudrehen, da die abfolge standartmäßig zu niedrig ist (s.o.)
    bin ja mit ovpn total zu frieden, zügige server, niedriger ping etc, bin ja net umsonst bei euch, nur dass die regnec zeit nicht höher geht ist halt ein k.o. kriterium für meine zwecke


    Edit:
    Ich wollte nur an dieser Stelle darauf hinweisen, dass wenn Leute mit ihren Receivern einen VPN nutzen wollen und keine freezes dadurch verursachen wollen, eben nicht ovpn.to nutzen sollten, da man eben die reng-sec nicht von 3600 ändern kann und somit stündlich disconnects auftreten. Das ist Fakt. Möchte ja nicht dass jemand anders den gleichen Fehler macht wie ich^^
     
    Zuletzt bearbeitet: 6. März 2012
    #6
  8. oVPN
    Offline

    oVPN Newbie

    Registriert:
    6. März 2012
    Beiträge:
    3
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Ich hab leider noch keine dreambox von innen gesehen, weiß nicht was da für ein Linux drauf läuft, ob man kompilieren kann etc pp aber versuchs mal mit den entropy-daemons, wenn du mic-eingang hast und es eine alsalib gibt, empfehl ich den letzten "aed"
     
    #7
  9. daddycool007
    Offline

    daddycool007 Spezialist

    Registriert:
    13. August 2009
    Beiträge:
    546
    Zustimmungen:
    66
    Punkte für Erfolge:
    0
    Ort:
    NRW
    enigma 2 läuft drauf :) zum komplieren ist die cpu wohl zu lahm^^
    Mic Eingang? Es handelt sich um einen linuxbasierenden satreceiver^^
    Und Danke trotzdem für deine Mühen.
     
    #8
  10. oVPN
    Offline

    oVPN Newbie

    Registriert:
    6. März 2012
    Beiträge:
    3
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Ein satreceiver taugt leider nicht als VPN, jedenfalls nicht mit unseren 4096 Bit Certs.
    Lies dich mal rein ins Thema Zufallszahlen, Entropy und VPN...
    Ich würde vermuten, dass das Problem auch bei PP oder anderen Anbietern auftritt.

    Wie gesagt wird serverseitig bei uns da nichts geändert weil es ein spezifisches Clientproblem ist.

    Wenn die Entropy-Daemons nicht funktionieren wäre die einzige Möglichkeit die mir einfallen mag, ein zweiter kleiner pc der als gateway benutzt wird für die DB und rein für die VPN zuständig ist.


    //edit
    Ich werde zum Testen mal ein VPN mit 1024er Certs aufsetzen und einem hohen regen-sec wert...
     
    Zuletzt bearbeitet: 6. März 2012
    #9
  11. daddycool007
    Offline

    daddycool007 Spezialist

    Registriert:
    13. August 2009
    Beiträge:
    546
    Zustimmungen:
    66
    Punkte für Erfolge:
    0
    Ort:
    NRW
    Dank dir, werde gerne testen und dir berichten, wäre bestimmt für einige hier von Relevanz :)
     
    #10
  12. daddycool007
    Offline

    daddycool007 Spezialist

    Registriert:
    13. August 2009
    Beiträge:
    546
    Zustimmungen:
    66
    Punkte für Erfolge:
    0
    Ort:
    NRW
    sag bescheid wenn du was aufgesetzt hast :)
     
    #11
  13. daddycool007
    Offline

    daddycool007 Spezialist

    Registriert:
    13. August 2009
    Beiträge:
    546
    Zustimmungen:
    66
    Punkte für Erfolge:
    0
    Ort:
    NRW
    Klasse Support :)
    Extra für mein Einsatzgebiet wurde ein Server aufgesetzt, wo in der config auch "reneg-sec 43200" möglich ist, damit es auf den Receivern nicht zu stündlichen kurzzeitigen Unterbrechungen aufgrund von fehlerhaften Zertifikatupdates kommt :)
    Wenn jemand von einer Dreambox auf einen VPN connecten will (mit openVPN Plugin) , kann ich ovpn.to nur empfehlen ;)
     
    #12
  14. Leandro
    Offline

    Leandro Ist gelegentlich hier

    Registriert:
    25. Mai 2009
    Beiträge:
    84
    Zustimmungen:
    8
    Punkte für Erfolge:
    8
    AW: Oscam disconnectet Clients stündlich! oVPN Problem?

    Kannst du mir das näher erklären wie du es mit der Dreambox und ovpn.to hin bekommen hast?
     
    #13

Diese Seite empfehlen