Aktuelles
Von:
Digital Eliteboard - Das Digitale Technik Forum

Registriere dich noch heute kostenlos, um Mitglied zu werden! Sobald du angemeldet bist, kannst du auf unserer Seite aktiv teilnehmen, indem du deine eigenen Themen und Beiträge erstellst und dich über deinen eigenen Posteingang mit anderen Mitgliedern unterhalten kannst! Zudem bekommst du Zutritt zu Bereichen, welche für Gäste verwehrt bleiben

Registriere dich noch heute kostenlos, um Mitglied zu werden! Sobald du angemeldet bist, kannst du auf unserer Seite aktiv teilnehmen, indem du deine eigenen Themen und Beiträge erstellst und dich über deinen eigenen Posteingang mit anderen Mitgliedern unterhalten kannst! Zudem bekommst du Zutritt zu Bereichen, welche für Gäste verwehrt bleiben

Oscam disconnectet Clients stündlich! oVPN Problem?

    Nobody is reading this thread right now.
D

daddycool007

Spezialist
Registriert
13. August 2009
Beiträge
543
Reaktionspunkte
66
Punkte
28
Ort
NRW
Hallo,
ich habe ein großes PRoblem.
Habe festgestellt das meine Clients stündlich disconnecten!
Im Webinterface wird bei verbundenden clients jede stunde die Loginzeit resettet.
Komischerweise tritt das erst auf, seit ich einen vpn benutze.
benutze das openvpn plugin aus dem newnigma repo.
dieser erneuert sich stündlich anscheinend die zertifikate, jedoch darf es dabei doch nicht zu einer zwangstrennung seitens der clients kommen?!
Wenn ich den VPN am PC benutze habe ich keine stündlichen Verbindungsabbrüche.
Hat jemand fahrung und setzt auch einen VPN auf der Dreambox sein?
Auffällig ist noch, dass sich eine geringe Zahl der Clienten, meistens so 3-4 nicht neuverbinden, zumindest ist im webinterface davon nix zu sehen.

Hardware: DM800 HD se mit Newnigma 3.3
3x Easymouse @8Mhz
Oscam 6180

Im Openvpnlog erscheint stündlich das hier:
Mon Mar 5 19:10:15 2012 us=2565 TLS: tls_process: killed expiring key
Mon Mar 5 19:10:30 2012 us=98375 VERIFY OK: depth=1, /C=A0/ST=Earth/L=AnonymousEverywhere/O=oVPN.to/CN=oVPN.to_CA/emailAddress=support@ovpn.to
Mon Mar 5 19:10:30 2012 us=122851 VERIFY OK: nsCertType=SERVER
Mon Mar 5 19:10:30 2012 us=123220 Validating certificate key usage
Mon Mar 5 19:10:30 2012 us=123364 ++ Certificate has key usage 00a0, expects 00a0
Mon Mar 5 19:10:30 2012 us=123527 VERIFY KU OK
Mon Mar 5 19:10:30 2012 us=123713 Validating certificate extended key usage
Mon Mar 5 19:10:30 2012 us=123891 ++ Certificate has EKU (str) TLS Web Server Authentication, expects TLS Web Server Authentication
Mon Mar 5 19:10:30 2012 us=124032 VERIFY EKU OK
Mon Mar 5 19:10:30 2012 us=124167 VERIFY OK: depth=0, /C=A0/ST=Earth/L=AnonymousEverywhere/O=oVPN.to/CN=md1.ovpn.to/emailAddress=support@ovpn.to
Mon Mar 5 19:10:42 2012 us=655730 Data Channel Encrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
Mon Mar 5 19:10:42 2012 us=655967 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Mon Mar 5 19:10:42 2012 us=656112 Data Channel Decrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
Mon Mar 5 19:10:42 2012 us=656249 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Mon Mar 5 19:10:42 2012 us=656582 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 4096 bit RSA

Meine ovpn config sieht so aus:
client
reneg-sec 7200
log /tmp/openvpn.log
proto udp
auth SHA1
dev tap
remote IPADRESSEZENSIERT
remote-cert-tls server
ns-cert-type server
resolv-retry infinite
nobind
ping restart 30
comp-lzo
cipher AES-256-CBC
persist-key
persist-tun
mssfix 1400
verb 4
script-security 2
ca "/etc/openvpn/md1.ovpn.to/ca.crt"
cert "/etc/openvpn/md1.ovpn.to/client18052.crt"
key "/etc/openvpn/md1.ovpn.to/client18052.key"
tls-auth "/etc/openvpn/md1.ovpn.to/static.key" 1
 
Zuletzt bearbeitet:
Die Session Keys für die symmetrische Verschlüsselung des Tunnels werden standarmäßig alle 3600 Sekunden ausgetauscht.
Das kann man in der Konfig einstellen mit der Option reneg-sec 3600. Werden die Sessionkeys zu oft ausgetauscht führt das zu Verbindungsabbrüchen.
Um das zu umgehen kann man die Option reng-sec von 3600 auf 36000 ändern. Dann wird nur alle 10 h ausgetauscht und es gibt keine Verbindungsabbrüche.
Allerdings muss die Option Server und Clientseitig eingetragen werden.
Also wende dich mal an Mr. Nice damit er die Configs auf dem Server / den Server updatet ;=)
 
okay alles klar, dann öffne ich da mal ein ticket :-)

Na super, ovpn ist unfähig und will das nicht machen -.-.
also, wenn jemand openvpn auf der dreambox als client nutzen will, nicht bei ovpn.to kaufen, funktioniert nicht!
 
Zuletzt bearbeitet von einem Moderator:
daddycool007 schrieb:
Na super, ovpn ist unfähig und will das nicht machen -.-.
also, wenn jemand openvpn auf der dreambox als client nutzen will, nicht bei ovpn.to kaufen, funktioniert nicht!
Zum Vergrößern anklicken....

Unfähig sind wir also, weil dein Client mit der stündlichen Neu-Aushandlung der Verschlüsselung ein Problem hat.

Ein Umstellen der Option ist nicht möglich da es der Sicherheit schadet. So wird jede Stunde die Verschlüsselung geändert, das ist wichtig wenn "die" den Traffic mitschneiden, und in 10 jahren ist der Kram vielleicht knackbar. Dann aber nur die jeweilige Session mit maximal 3600sec ;)
Warum dein Client da Aussetzer hat, würde ich auf fehlende entropy schieben, dein ALIX hat kein AES/RNG chip drin (denk ich).
Ich würde dir raten die Hardware auf eine VIA CPU mit "Padlock" Engine umzubauen, dann sollte das Problem gelöst sein ;) Dein Client hat Probleme beim stündlichen neuaushandeln der Verschlüsselung, sehr warscheinlich weil er absolut keine entropy zur Verfügung hat, oder zu wenig.
Zum Vergrößern anklicken....

Das Problem ist dann die Dreambox, schau mal ob du "prngd" oder "egd" ans Laufen bekommst und ob sich das Problem dann damit beseitigt wenn einer der Prozesse läuft.
Der mehrmalige Aufruf&Output von diesem wäre Interessant zu wissen:
cat /proc/sys/kernel/random/entropy_avail
Den kannst du auch mal versuchen:
Sie müssen registriert sein, um Links zu sehen.
Zum Vergrößern anklicken....
Wir sind also unfähig, dann brauch ich mir da auch nicht weiter Gedanken drum machen. TV schau ich sowieso nicht :)
Ich google sogar für dich um eventuell eine Lösung zu finden und .. ach was red ich denn... treibt ja sowieso nur illegales hier. punkt.
 
JA sry bin grad was gefrustet.
Bisher ging auf Dreamboxen alles, undzwar ohne Probleme. in anderen foren wird ebenso empfohlen die zeit hochzudrehen, da die abfolge standartmäßig zu niedrig ist (s.o.)
bin ja mit ovpn total zu frieden, zügige server, niedriger ping etc, bin ja net umsonst bei euch, nur dass die regnec zeit nicht höher geht ist halt ein k.o. kriterium für meine zwecke


Edit:
Ich wollte nur an dieser Stelle darauf hinweisen, dass wenn Leute mit ihren Receivern einen VPN nutzen wollen und keine freezes dadurch verursachen wollen, eben nicht ovpn.to nutzen sollten, da man eben die reng-sec nicht von 3600 ändern kann und somit stündlich disconnects auftreten. Das ist Fakt. Möchte ja nicht dass jemand anders den gleichen Fehler macht wie ich^^
 
Zuletzt bearbeitet:
Ich hab leider noch keine dreambox von innen gesehen, weiß nicht was da für ein Linux drauf läuft, ob man kompilieren kann etc pp aber versuchs mal mit den entropy-daemons, wenn du mic-eingang hast und es eine alsalib gibt, empfehl ich den letzten "aed"
 
enigma 2 läuft drauf :-) zum komplieren ist die cpu wohl zu lahm^^
Mic Eingang? Es handelt sich um einen linuxbasierenden satreceiver^^
Und Danke trotzdem für deine Mühen.
 
Ein satreceiver taugt leider nicht als VPN, jedenfalls nicht mit unseren 4096 Bit Certs.
Lies dich mal rein ins Thema Zufallszahlen, Entropy und VPN...
Ich würde vermuten, dass das Problem auch bei PP oder anderen Anbietern auftritt.

Wie gesagt wird serverseitig bei uns da nichts geändert weil es ein spezifisches Clientproblem ist.

Wenn die Entropy-Daemons nicht funktionieren wäre die einzige Möglichkeit die mir einfallen mag, ein zweiter kleiner pc der als gateway benutzt wird für die DB und rein für die VPN zuständig ist.


//edit
Ich werde zum Testen mal ein VPN mit 1024er Certs aufsetzen und einem hohen regen-sec wert...
 
Zuletzt bearbeitet:
Klasse Support :-)
Extra für mein Einsatzgebiet wurde ein Server aufgesetzt, wo in der config auch "reneg-sec 43200" möglich ist, damit es auf den Receivern nicht zu stündlichen kurzzeitigen Unterbrechungen aufgrund von fehlerhaften Zertifikatupdates kommt :)
Wenn jemand von einer Dreambox auf einen VPN connecten will (mit openVPN Plugin) , kann ich ovpn.to nur empfehlen ;)
 
AW: Oscam disconnectet Clients stündlich! oVPN Problem?

daddycool007 schrieb:
Klasse Support :-)
Extra für mein Einsatzgebiet wurde ein Server aufgesetzt, wo in der config auch "reneg-sec 43200" möglich ist, damit es auf den Receivern nicht zu stündlichen kurzzeitigen Unterbrechungen aufgrund von fehlerhaften Zertifikatupdates kommt :)
Wenn jemand von einer Dreambox auf einen VPN connecten will (mit openVPN Plugin) , kann ich ovpn.to nur empfehlen ;)
Zum Vergrößern anklicken....

Kannst du mir das näher erklären wie du es mit der Dreambox und ovpn.to hin bekommen hast?
 
Zurück
Oben