[Fli4l_dev] Update von "fli4l-4.0.0-r56979-testing" auf "4.1.0--2025-12-13" OpenVPN funktioniert nicht

Martin Faderbauer martin at fmit.at
So Dez 28 16:58:04 CET 2025 

Am 22.12.2025 um 15:52 schrieb Martin Faderbauer:
> Am 19.12.2025 um 18:05 schrieb Harvey:
>> Martin,
>>
>>>> Du kannst mal deine openvpn.txt zeigen, wenn Du willst, natürlich 
>>>> anonymisiert. Zusätzlich auch, was Du in den Paketfilter-Regeln in 
>>>> der base.txt hast.
>>
>> <snip>
>>
>> Yikes, das ist ja eine Menge openvpn...
>>
>> Ich würde mit einer kleinen Konfiguration mit einem Tunnel anfangen zu 
>> testen.
>>
>> Ich kopiere hier mal meine (laufende) openvpn.txt hier hinein, dann 
>> kannst Du ja mal die Unterschiede abarbeiten.
>>
>> OPT_OPENVPN='yes'         # 'yes' or 'no' it's your choice
>> OPENVPN_EXPERT='no'       # provide openvpn config file, certificates 
>> and keys
>>                            # in config/etc/openvpn folder
>> OPENVPN_WEBGUI='yes'      # install a web gui to start/stop/control 
>> openvpn
>>
>> OPENVPN_DEFAULT_CIPHER='AES-128-CBC'
>> OPENVPN_DEFAULT_DIGEST='SHA256'
>> OPENVPN_DEFAULT_COMPRESS='yes'
>>
>> OPENVPN_N='2'                            # Anzahl der Clients
>>
>> # Konfiguration der Clients
>>
>> OPENVPN_1_NAME='firstnet'              # Name des Clients
>> OPENVPN_1_REMOTE_HOST='my1st.net.de'
>> OPENVPN_1_REMOTE_PORT='10027'
>> OPENVPN_1_LOCAL_PORT='10028'             # Eingehender Port fuer die 
>> Verbindung
>> OPENVPN_1_SECRET='my.key'            # Key-Datei des Clients
>> OPENVPN_1_TYPE='tunnel'
>> OPENVPN_1_REMOTE_VPN_IP='10.0.0.2'       # Client-IP-Adresse
>> OPENVPN_1_LOCAL_VPN_IP='10.0.0.1'        # Server-IP-Adresse
>> OPENVPN_1_ROUTE_N='2'
>> OPENVPN_1_ROUTE_1='192.168.2.0/24'       # first lan
>> OPENVPN_1_ROUTE_1_DOMAIN='first.lan'
>> OPENVPN_1_ROUTE_1_DNSIP='192.168.2.254'
>> OPENVPN_1_ROUTE_2='192.168.178.0/24'     # Fritzbox-Netzwerk
>> OPENVPN_1_PF_INPUT_N='1'
>> OPENVPN_1_PF_INPUT_1='if:VPNDEV:any ACCEPT'
>> OPENVPN_1_PF_FORWARD_N='1'
>> OPENVPN_1_PF_FORWARD_1='ACCEPT BIDIRECTIONAL'
>> OPENVPN_1_PF_POSTROUTING_N='2'
>> OPENVPN_1_PF_POSTROUTING_1='REMOTE-NET IP_NET_1 ACCEPT BIDIRECTIONAL'
>> OPENVPN_1_PF_POSTROUTING_2='REMOTE-NET 192.168.180.0/24 MASQUERADE'
>>
>> OPENVPN_2_NAME='secondnet'                # Name des Clients
>> OPENVPN_2_REMOTE_HOST='my2nd.net.de'
>> OPENVPN_2_REMOTE_PORT='10022'
>> OPENVPN_2_LOCAL_PORT='10020'             # Eingehender Port fuer die 
>> Verbindung
>> OPENVPN_2_SECRET='my.key'            # Key-Datei des Clients
>> OPENVPN_2_TYPE='tunnel'
>> OPENVPN_2_REMOTE_VPN_IP='10.0.0.5'       # Client-IP-Adresse
>> OPENVPN_2_LOCAL_VPN_IP='10.0.0.1'        # Server-IP-Adresse
>> OPENVPN_2_ROUTE_N='2'
>> OPENVPN_2_ROUTE_1='192.168.1.0/24'       # second lan
>> OPENVPN_2_ROUTE_1_DOMAIN='second.lan'
>> OPENVPN_2_ROUTE_1_DNSIP='192.168.1.254'
>> OPENVPN_2_ROUTE_2='192.168.179.0/24'     # Fritzbox-Netzwerk GAP
>> OPENVPN_2_PF_INPUT_N='1'
>> OPENVPN_2_PF_INPUT_1='if:VPNDEV:any ACCEPT'
>> OPENVPN_2_PF_FORWARD_N='1'
>> OPENVPN_2_PF_FORWARD_1='ACCEPT BIDIRECTIONAL'
>> OPENVPN_2_PF_POSTROUTING_N='2'
>> OPENVPN_2_PF_POSTROUTING_1='REMOTE-NET IP_NET_1 ACCEPT BIDIRECTIONAL'
>> OPENVPN_2_PF_POSTROUTING_2='REMOTE-NET 192.168.180.0/24 MASQUERADE'
>>
>> Die Paketfilter-Regeln können wir zu einem späteren Zeitpunkt 
>> vergleichen, wenn die Verbindung aufgebaut wird. Ich vermute mal, die 
>> ciphers und/oder digests könnten sich geändert haben und deine werden 
>> von dem von uns benutzten openvpn 2.6.16 nicht mehr unterstützt. Ich 
>> habe allerdings keine Ahnung welche openvpn Version der 'alte' fli4l 
>> benutzt hat...
>>
>> Gruß
>> Harvey
>>
>>
> hallo Harvey,
> ich werde das über die Feiertage testen da störe ich keine Kolegen.
> danke für deinen Vorschlag und Schöne Feiertage.
> lG Martin
Hallo Harvey,
es sind auf jeden Fall
die beiden Settings:
OPENVPN_DEFAULT_CIPHER='AES-128-CBC'
OPENVPN_DEFAULT_DIGEST='SHA256'

mit diesen werden die TunX Netzwerke gestartet.
Nur leider bekomme ich jetzt einen "Authenticate/Decrypt packet error:"

wie kann ich den einfach beheben? muss ich dass Keyfile neu generieren?


28.12.2025	16:40:37	SIGUSR1[hard,] received, process restarting
28.12.2025	16:40:38	NOTE: the current --script-security setting may 
allow this configuration to call user-defined scripts
28.12.2025	16:40:38	Re-using pre-shared static key
28.12.2025	16:40:38	WARNING: if you use --mssfix and --fragment, you 
should set --fragment (1300) larger or equal than --mssfix (1450)
28.12.2025	16:40:38	Preserving previous TUN/TAP instance: tun1
28.12.2025	16:40:38	UDPv4 link local (bound): [AF_INET]169.254.23.42:19999
28.12.2025	16:40:38	UDPv4 link remote: [AF_UNSPEC]
28.12.2025	16:41:37	Authenticate/Decrypt packet error: packet HMAC 
authentication failed
28.12.2025	16:41:37	Authenticate/Decrypt packet error: packet HMAC 
authentication failed

Danke für deine Hilfe

Mehr Informationen über die Mailingliste Fli4l_dev