[Raspbian/Debian] OpenVPN keine Verbindung (Bad encapsulated packet length from peer)

[eXTA]

Moin,
ich versuche auf meinem PI 3 zuhause einen VPN Server einzurichten, bekomme aber nur besagten Fehler. Zu dem Fehler habe ich schon gelesen, dass er irreführend ist und oftmals falsche DNS Einstellungen die Ursache sind.
So wirklich weiß ich aber vorerst nicht weiter.

PI --> Switch --> Router --> KD Modem (bridged)

Port ist auf dem Router weitergeleitet. tcpdump aufm PI zeigt auch Regungen beim Verbinden.
Client:

dev tun
client
proto tcp
remote MEINE_IP 443
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert piClient.crt
key piClient.key
comp-lzo
verb 3

Serverconf

dev tun
proto tcp
port 443
ca /etc/openvpn/easy-rsa/keys/ca.crt
cert /etc/openvpn/easy-rsa/keys/PI_SERVER.crt
key /etc/openvpn/easy-rsa/keys/piClient.key
dh /etc/openvpn/easy-rsa/keys/dh1024.pem
user nobody
group nogroup
server 10.8.0.0 255.255.255.0
persist-key
persist-tun
status /var/log/openvpn-status.log
verb 3
client-to-client
push "redirect-gateway def1 bypass-dhcp"
#set the dns servers
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 8.8.4.4"
log-append /var/log/openvpn
comp-lzo
duplicate-cn
keepalive 10 120

Fehlerlog:

Fri May 13 09:08:24 2016 OpenVPN 2.3.6 x86_64-w64-mingw32 [SSL (OpenSSL)] [LZO] [PKCS11] [IPv6] built on Mar 19 2015
Fri May 13 09:08:24 2016 library versions: OpenSSL 1.0.1m 19 Mar 2015, LZO 2.08
Enter Management Password:
Fri May 13 09:08:24 2016 MANAGEMENT: TCP Socket listening on [AF_INET]127.0.0.1:25340
Fri May 13 09:08:24 2016 Need hold release from management interface, waiting...
Fri May 13 09:08:25 2016 MANAGEMENT: Client connected from [AF_INET]127.0.0.1:25340
Fri May 13 09:08:25 2016 MANAGEMENT: CMD 'state on'
Fri May 13 09:08:25 2016 MANAGEMENT: CMD 'log all on'
Fri May 13 09:08:25 2016 MANAGEMENT: CMD 'hold off'
Fri May 13 09:08:25 2016 MANAGEMENT: CMD 'hold release'
Fri May 13 09:08:25 2016 WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
Fri May 13 09:08:25 2016 Socket Buffers: R=[8192->8192] S=[64512->64512]
Fri May 13 09:08:25 2016 MANAGEMENT: >STATE:1463123305,RESOLVE,,,
Fri May 13 09:08:25 2016 Attempting to establish TCP connection with [AF_INET]MEINE_IP:443 [nonblock]
Fri May 13 09:08:25 2016 MANAGEMENT: >STATE:1463123305,TCP_CONNECT,,,
Fri May 13 09:08:26 2016 TCP connection established with [AF_INET]MEINE_IP:443
Fri May 13 09:08:26 2016 TCPv4_CLIENT link local: [undef]
Fri May 13 09:08:26 2016 TCPv4_CLIENT link remote: [AF_INET]MEINE_IP:443
Fri May 13 09:08:26 2016 MANAGEMENT: >STATE:1463123306,WAIT,,,
Fri May 13 09:08:26 2016 WARNING: Bad encapsulated packet length from peer (18516), which must be > 0 and <= 1544 -- please ensure that --tun-mtu or --link-mtu is equal on both peers -- this condition could also indicate a possible active attack on the TCP link -- [Attempting restart...]
Fri May 13 09:08:26 2016 Connection reset, restarting [0]
Fri May 13 09:08:26 2016 SIGUSR1[soft,connection-reset] received, process restarting
Fri May 13 09:08:26 2016 MANAGEMENT: >STATE:1463123306,RECONNECTING,connection-reset,,
Fri May 13 09:08:26 2016 Restart pause, 5 second(s)

tcpdump:

listening on eth0, link-type EN10MB (Ethernet), capture size 262144 bytes
09:05:39.495918 IP ip1f11eb88.dynamic.kabel-deutschland.de.49825 > pi.https: Flags [S], seq 4044941784, win 14600, options [mss 1400,sackOK,TS val 198550204 ecr 0,nop,wscale 2], length 0
09:05:39.496091 IP pi.https > ip1f11eb88.dynamic.kabel-deutschland.de.49825: Flags [R.], seq 0, ack 4044941785, win 0, length 0
09:05:45.611796 IP ip1f11eb88.dynamic.kabel-deutschland.de.49829 > pi.https: Flags [S], seq 3919901724, win 14600, options [mss 1400,sackOK,TS val 198550815 ecr 0,nop,wscale 2], length 0
09:05:45.611967 IP pi.https > ip1f11eb88.dynamic.kabel-deutschland.de.49829: Flags [R.], seq 0, ack 3919901725, win 0, length 0
09:05:51.725687 IP ip1f11eb88.dynamic.kabel-deutschland.de.49830 > pi.https: Flags [S], seq 1150343412, win 14600, options [mss 1400,sackOK,TS val 198551427 ecr 0,nop,wscale 2], length 0
09:05:51.725869 IP pi.https > ip1f11eb88.dynamic.kabel-deutschland.de.49830: Flags [R.], seq 0, ack 1150343413, win 0, length 0
09:05:57.840871 IP ip1f11eb88.dynamic.kabel-deutschland.de.49831 > pi.https: Flags [S], seq 125199277, win 14600, options [mss 1400,sackOK,TS val 198552038 ecr 0,nop,wscale 2], length 0
09:05:57.841055 IP pi.https > ip1f11eb88.dynamic.kabel-deutschland.de.49831: Flags [R.], seq 0, ack 125199278, win 0, length 0
09:06:03.956333 IP ip1f11eb88.dynamic.kabel-deutschland.de.49837 > pi.https: Flags [S], seq 1710873006, win 14600, options [mss 1400,sackOK,TS val 198552650 ecr 0,nop,wscale 2], length 0
09:06:03.956506 IP pi.https > ip1f11eb88.dynamic.kabel-deutschland.de.49837: Flags [R.], seq 0, ack 1710873007, win 0, length 0
09:06:09.058757 IP ip1f11eb88.dynamic.kabel-deutschland.de.49838 > pi.https: Flags [S], seq 4020881644, win 14600, options [mss 1400,sackOK,TS val 198553160 ecr 0,nop,wscale 2], length 0
09:06:09.058940 IP pi.https > ip1f11eb88.dynamic.kabel-deutschland.de.49838: Flags [R.], seq 0, ack 4020881645, win 0, length 0

 

[ara1]

paar Sachen die mir ein-/auffallen:

- schonmal lokal im LAN getestet?
- in der Client Konfiguration vollständige Pfade zu ca, crt und key
- der verwendete Key in der Server Config sieht komisch aus. Da muss natürlich der Key rein der zu PI_SERVER.crt passt

 

[eXTA]

omg, du hast recht. der server key war nicht richtig.
läuft jetzt...
hatte es heute auch alles nochmal neu konfiguriert/schlüssel erzeugt und wohl was übersehen.

gestern hab ich den halben tag dran gesessen und ich könnt schwören dass da alles richtig eingetragen war. aber so ist das, man verliert den überblick, wenn man an allen stellen etwas ändert und am ende liegt es an sowas trivialem.

 

[ara1]

freut mich dass ich helfen konnte

 

[UweObst]

Hat sich zwar schon erledigt, aber für den Fall der Fälle kann ich das hier empfehlen. Leichter geht es nicht.