OpenVPN geht auf einmal nicht mehr

[rag3]

Hallo zusammen,
ich bin recht neu in der Android-Welt und habe mich vorgestern riesig gefreut, dass ich ohne große Probleme OpenVPN ans laufen bekommen hab. Ich konnte ohne Probleme mit meinem Server verbinden und sicher surfen. Seit heute verbindet er zwar mit dem Server, bekommt dann aber nach ein paar Sekunden einen connection Reset und verbindet neu. Hat jemand von euch eine Idee, voran das liegen kann? Hier mal ein Auszug aus der Server-Log:

%CLIENTIP% TLS: Initial packet from [AF_INET]%CLIENTIP%, sid=9bd60324 4e573b48
%CLIENTIP% VERIFY OK: depth=1, %BLABLA%
%CLIENTIP% VERIFY OK: depth=0, %BLABLA%
%CLIENTIP% Data Channel Encrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
%CLIENTIP% Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
%CLIENTIP% Data Channel Decrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
%CLIENTIP% Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
%CLIENTIP% Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
%CLIENTIP% [client01] Peer Connection Initiated with [AF_INET]%CLIENTIP%
client01/%CLIENTIP% TCP/UDP: Closing socket

Ich freue mich über jeden Hinweis, danke schonmal

Gruß Rag3

PS: Von meinem laptop komme ich mit der gleichen config und den gleichen Certs wunder bar ins netz...

 

[rag3]

Hmm, nach nem reboot geht nun immerhin die Verbindung zum Server wieder... Aber jetzt routet der den Traffic plötzlich nicht mehr über die gesicherte Verbindung -.- any ideas?

 

[joersch]

Hallo Rag3,
ich habe leider keine Lösung für Dein Problem. Ich versuche selbst OpenVPN zum laufen zu bekommen. Wie es scheint hast Du zumindest schonmal eine Verbindung aufbauen können. Kannst du durch den Tunnel deine Server anpingen? Das bekomme ich nicht hin, Verbindung steht bei mir.
Darf ich fragen was Du installiert hast? Welchen Kernel benutzt Du?

 

[rag3]

Hi,
ich habe gute Nachrichten, ich kann mir zwar nicht erklären, warum OpenVPN nicht mehr ging, aber ich habe es wieder zum laufen bekommen. Ich hab aktuell das offizielle JPO drauf, mit lagfix, gerootet und die busybox ist auch druff. Dann bin ich nach der hier hinterlegten Anleitung vorgegangen: OpenVPN / tun.ko / Binary Galaxy Tab - xda-developers

Wichtig hierbei ist, dass du wirklich nur die Openvpn und tun.ko files nimmst, die dort verlinkt sind.

Mal kurz zusammengefasst:
1. handy rooten und busybox drauf
2. Openvpn installer und openvpn settings installieren und installer ausführen
3. die installierte openvpn-binary durch die verlinkte openvpn-binary austauschen
4. Die beschriebenen Sym-Links für ifconfig und route hinzufügen
5. die openvpn config draufspielen und den pfad zur tun.ko im openvpn-settings auswählen
6. Spaß haben

Hoffe das hilft dem ein oder anderen.

Gruß
Rag3

 

[joersch]

ich hoffe inständig das das geht. Brauche dringend das VPN.
Werde ich morgen gleich mal probieren.
Eine Frage noch: Beim OpenVPN Installer muss man zwei Pfade angeben. Welche hast Du angegeben? Ich würde es dann exakt auch so machen.

 

[rag3]

Hab ich grad nicht im Kopf... aber die Pfadangaben erklären sich eigentlich von slebst

 

[pred]

Ich brauche auch mal hilfe.

Gestern hab ich mein SGS (JPY) mit CF-Root v1.3 gerootet und wollte dann mal openvpn probieren.

Folgend schritte hab ich gemacht:
1. Apps OpenVPN Installer und OpenVPN Settings von Friedrich Schäuffelhut installiert
2. OpenVPN Installer ausgeführt und bei den Pfad abfragen /system/xbin ausgewählt (bei mir gerade nicht sicher obs bei allen das gleich war. Was ist der unterschied zwischen /system/xbin und /system/bin) + root zugelassen
3. .ovpn konfig + key/certs/.. sowie die tun.ko (von hier) .... auf cd unter /sdcard/openvpn kopiert

Bei OpenVPN Settings kann ich jetzt OpenVPN einschalten, meine .ovpn-Datei wird angezeigt und ist auswählbar, der hacken bleibt aber nicht drin.

Wie soll ich diese Schritte machen:

3. die installierte openvpn-binary durch die verlinkte openvpn-binary austauschen
4. Die beschriebenen Sym-Links für ifconfig und route hinzufügen
5. die openvpn config draufspielen und den pfad zur tun.ko im openvpn-settings auswählen

Der CF-Root soll ja busybox beinhalten, nur wie rufe ich sie auf, um die befehle auszuführen (wie auch immer sie genau lauten. Stehen aber glaub ich im xda-developers Thread).

Was muss ich bei OpenVPN-Settings unter 'TUN module Settings' bei 'Load module using' auswählen (modprobe oder insmod).
Trag ich bei 'Path to tun module' dann /scard/openvpn/tun.ko ein?

 

[joersch]

Hi pred,
les mal den thread durch:
https://www.android-hilfe.de/forum/samsung-galaxy-tab.143/openvpn-tun-ko-und-unionfs-ko.51007.html
damit hab ich es hinbekommen

 

[pred]

Danke,

Da stellt sich mir jetzt erstmal die Frage ob das die SGS ROM JPY überhaupt TUN Support hat und ob man das mit der tun.ko nachrüsten kann.

Ok, jetzt hab ich verstanden wie ich befehle ausführen kann. (App 'Busybox' local verbinden lassen)

Meine Busybox ist unter /sbin/busybox (sagt "which busybox"). Muss ich also einfach in den Befehlen

ln -s /system/bin/busybox /system/xbin/bb/route
ln -s /system/bin/busybox /system/xbin/bb/ifconfig

/system/bin/busybox in /sbin/busybox abändern?
Ich hab gerade Probleme bei mkdir /system/xbin/bb/ (Read-Only filesystem, HILFE!)

Jetzt fällts mir auch wieder ein: Beim OpenVPN Installer kam ja auch die Abfrage nach route und ipconfig. Das hab ich glaub ich beim standard gelassen.
Kann ich den OpenVPN installer einfach nochmal ausführen lassen?

Muss die tun.ko nach /system/xbin kopiert werden oder reicht es den Pfad in den OpenVPN Settings einzustellen?

 

[joersch]

ich habs nach /system/xbin kopiert.

Noch ein Tip, ich hab mit einigen Romversionen herum experimentiert, einzig mit DocRom hab ich es zum fliegen gebracht (Welcome to Doc & Stefunel RomKitchen)
Insbesondere dort drin den Hardcore-kernel, der Tun-Support unterstützt. Über Clockworkmod einzuschalten!

Vielleicht gehts ja auch mit anderen, ich habs jedenfalls nur so zum laufen gebracht, und das DocRom ist sehr gut.

 

[pred]

Es läuft!
Jetzt nochmal zusammengefasst:

Voraussetzungen:

• Galaxy S (JPY 2.2.1) mit CF-Root v1.3 gerootet (App SuperUser und busybox sind dabei)
• Apps: OpenVPN Installer und OpenVPN Settings von Friedrich Schäuffelhut
• Funktionierende .ovpn konfig-Dateien (.key/.crt)
• tun.ko (von hier)
• adb (aus Android SDK oder als Portable) oder die App ConnectBot

Einrichtung:

1. Phone per USB an PC, USB-Speicher einbinden, die .opvn Konfigdateien und die tun.ko auf interne sdcard nach x:\openvpn\ kopieren
2. cmd aufrufen, cd nach C:\Program Files (x86)\Android\android-sdk\platform-tools (oder ähnlich) und eingeben adb shell (einfache eingabe) ODER ConnectBot local verbinden (eingabe am phone)
3. Dort nun folgendes eingeben (der Pfad zur busybox kann variieren):

   su
   mount -o remount,rw /dev/block/stl9 /system
   mkdir /system/xbin/bb/
   ln -s /sbin/busybox /system/xbin/bb/route
   ln -s /sbin/busybox /system/xbin/bb/ifconfig
   mount -o remount,ro /dev/block/stl9 /system

4. OpenVPN Installer starten, Install drücken, /system/xbin/ als ersten und /system/xbin/bb als zweites auswählen (Superuser nachfragen gewähren)
5. OpenVPN Settings öffnen, in Advaced gehen, unter 'TUN module settings' bei 'Load module using': insmod und 'Path to tun module' /sdcard/openvpn/tun.ko einstellen.
6. Load tun kernel module aktivieren, 'Path to config' sollte /sdcard/openvpn sein, 'Path to openvpn binary' sollte /system/xbin/openvpn sein.
7. Dann OpenVPN anmachen und konfig auswählen
8. VPN wird verbunden

Meine OpenVPN-Konfig auf dem Androiden is übrigens:

client
proto tcp
dev tun
remote mein.meinserver.net 443
resolv-retry infinite

route 10.8.0.0 255.255.255.0

ns-cert-type server

ca homevpn/myca.crt
cert homevpn/client01.crt
key homevpn/client01.key

tls-auth homevpn/static.key 1

ping 10
ping-restart 60
ping-timer-rem

comp-lzo yes

verb 2

route und kompression gehen also auch.
Nur das durchleiten des kompletten internet verkehr mit redirect-gateway def1 geht nicht.

 

[pred]

meh jetzt geht openvpn auf einmal auch nicht mehr bei mir.
Beim connecten meldet es:

FATAL: Cannot allocate TUN/TAP dev dynamically

Was kann ich tun?