Brauche Rat (OpenVPN auf Freetz) - Vorsicht "Anfänger"

[-Ronny-]

Hallo Gemeinde,

Habe meinen W920V gefreetz und versuche nun seit zwei Tagen den OpenVPN Server ans laufen zu bekommen.
Es hapert leider noch an der einen oder anderen Stelle.

Im Endefekt will ich es so haben das sich mehrere Clients per OpenVPN auf den Fritzbox OpenVPN Server verbinden können.
Als Vorlage hat mir diese Anleitung gedient, welche aber nur die Einrichtung des OpenVPN Servers auf der Fritzbox erklärt.

Ich hoffe der Link ist erlaubt:
http://www.zebradem.com/wiki/index.php?title=OpenVPN_und_Freetz,_wie_stricke_ich_mein_eigenes_VPN

Die Zertifikate wurden per Openvpn auf meinem Ubunto Rechner ertsellt und in die entsprechenden Verzeichnisse kopiert.

Die einstellungen im Freetz WebIF sehen so aus:



der Inhalt der openvpn.conf:

# OpenVPN 2.1 Config, Mon Sep 9 20:32:46 CEST 2013
proto udp
dev tap0
ca /tmp/flash/openvpn/ca.crt
cert /tmp/flash/openvpn/box.crt
key /tmp/flash/openvpn/box.key
dh /tmp/flash/openvpn/dh.pem
tls-server
port 1194
ifconfig 192.168.253.253 255.255.255.0
push "route-gateway 192.168.253.253"
push "route 192.168.254.0 255.255.255.0"
max-clients 12
mode server
ifconfig-pool 192.168.253.240 192.168.253.252
push "route 192.168.253.0 255.255.255.0"
client-to-client
push "dhcp-option DNS 192.168.253.253"
tun-mtu 1500
mssfix
verb 3
cipher BF-CBC
comp-lzo
keepalive 10 120
status /var/log/openvpn.log
chroot /tmp/openvpn
user openvpn
group openvpn
persist-tun
persist-key

Der Inhalt der Client Config sieht so aus:

client
dev tun
proto udp
remote xxx.dyndns.tv 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert homekey.crt
key homekey.key
ns-cert-type server
comp-lzo
verb 3

Versuche ich nun darüber auf den OpenVPN Server zu kommen erhalte ich folgende Meldung:

root@ro-LIFEBOOK-E751:/etc/openvpn# sudo openvpn homekey.ovpn
Mon Sep 9 20:33:07 2013 OpenVPN 2.2.1 i686-linux-gnu [SSL] [LZO2] [EPOLL] [PKCS11] [eurephia] [MH] [PF_INET6] [IPv6 payload 20110424-2 (2.2RC2)] built on Feb 27 2013
Mon Sep 9 20:33:07 2013 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Enter Private Key Password:
Mon Sep 9 20:33:13 2013 WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
Mon Sep 9 20:33:14 2013 LZO compression initialized
Mon Sep 9 20:33:14 2013 Control Channel MTU parms [ L:1542 D:138 EF:38 EB:0 ET:0 EL:0 ]
Mon Sep 9 20:33:14 2013 Socket Buffers: R=[163840->131072] S=[163840->131072]
Mon Sep 9 20:33:14 2013 Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:0 EL:0 AF:3/1 ]
Mon Sep 9 20:33:14 2013 Local Options hash (VER=V4): '41690919'
Mon Sep 9 20:33:14 2013 Expected Remote Options hash (VER=V4): '530fdded'
Mon Sep 9 20:33:14 2013 UDPv4 link local: [undef]
Mon Sep 9 20:33:14 2013 UDPv4 link remote: [AF_INET]XX.XX.XX.XX:1194
Mon Sep 9 20:33:14 2013 TLS: Initial packet from [AF_INET]XX.XX.XX.XX:1194, sid=7eaabe50 90aaaf6b
Mon Sep 9 20:33:15 2013 VERIFY OK: depth=1, /C=DE/ST=GER/L=Fo/O=free4all/OU=changeme/CN=changeme/name=changeme/[email protected]
Mon Sep 9 20:33:15 2013 VERIFY OK: nsCertType=SERVER
Mon Sep 9 20:33:15 2013 VERIFY OK: depth=0, /C=DE/ST=GER/L=Fo/O=free4all/OU=changeme/CN=server/name=changeme/[email protected]
Mon Sep 9 20:33:16 2013 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Mon Sep 9 20:33:16 2013 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Mon Sep 9 20:33:16 2013 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Mon Sep 9 20:33:16 2013 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Mon Sep 9 20:33:16 2013 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
Mon Sep 9 20:33:16 2013 [server] Peer Connection Initiated with [AF_INET]XX.XX.XX.XX:1194
Mon Sep 9 20:33:19 2013 SENT CONTROL [server]: 'PUSH_REQUEST' (status=1)
Mon Sep 9 20:33:19 2013 PUSH: Received control message: 'PUSH_REPLY,route-gateway 192.168.253.253,route 192.168.254.0 255.255.255.0,route 192.168.253.0 255.255.255.0,dhcp-option DNS 192.168.253.253,ping 10,ping-restart 120,ifconfig 192.168.253.240 255.255.255.0'
Mon Sep 9 20:33:19 2013 OPTIONS IMPORT: timers and/or timeouts modified
Mon Sep 9 20:33:19 2013 OPTIONS IMPORT: --ifconfig/up options modified
Mon Sep 9 20:33:19 2013 OPTIONS IMPORT: route options modified
Mon Sep 9 20:33:19 2013 OPTIONS IMPORT: route-related options modified
Mon Sep 9 20:33:19 2013 OPTIONS IMPORT: --ip-win32 and/or --dhcp-option options modified
Mon Sep 9 20:33:19 2013 WARNING: Since you are using --dev tun with a point-to-point topology, the second argument to --ifconfig must be an IP address. You are using something (255.255.255.0) that looks more like a netmask. (silence this warning with --ifconfig-nowarn)
Mon Sep 9 20:33:19 2013 ROUTE default_gateway=192.168.19.1
Mon Sep 9 20:33:19 2013 TUN/TAP device tun0 opened
Mon Sep 9 20:33:19 2013 TUN/TAP TX queue length set to 100
Mon Sep 9 20:33:19 2013 do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
Mon Sep 9 20:33:19 2013 /sbin/ifconfig tun0 192.168.253.240 pointopoint 255.255.255.0 mtu 1500
SIOCSIFDSTADDR: Invalid argument
Mon Sep 9 20:33:19 2013 Linux ifconfig failed: external program exited with error status: 1
Mon Sep 9 20:33:19 2013 Exiting

So wie ich es als Laie aus dem Log erkennen kann kommt der Ubuntorechner am Server an und akzeptiert die "Zertifikats-Verbindung" (Ich nennst mal so)

Mon Sep 9 20:33:15 2013 VERIFY OK: depth=1, /C=DE/ST=GER/L=Fo/O=free4all/OU=changeme/CN=changeme/name=changeme/[email protected]
Mon Sep 9 20:33:15 2013 VERIFY OK: nsCertType=SERVER
Mon Sep 9 20:33:15 2013 VERIFY OK: depth=0, /C=DE/ST=GER/L=Fo/O=free4all/OU=changeme/CN=server/name=changeme/[email protected]
Mon Sep 9 20:33:16 2013 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Mon Sep 9 20:33:16 2013 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Mon Sep 9 20:33:16 2013 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Mon Sep 9 20:33:16 2013 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Mon Sep 9 20:33:16 2013 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
Mon Sep 9 20:33:16 2013 [server] Peer Connection Initiated with [AF_INET]XX.XX.XX.XX:1194

Was mich jetzt im "Dunkeln" sitzen lässt bzw. ich nichts damit anzufangen weiss ist der Part hier:
Was passiert den hier bzw. was passiert nicht ! Mir fehlt hier das verständnis !

Mon Sep 9 20:33:19 2013 WARNING: Since you are using --dev tun with a point-to-point topology, the second argument to --ifconfig must be an IP address. You are using something (255.255.255.0) that looks more like a netmask. (silence this warning with --ifconfig-nowarn)
Mon Sep 9 20:33:19 2013 ROUTE default_gateway=192.168.19.1
Mon Sep 9 20:33:19 2013 TUN/TAP device tun0 opened
Mon Sep 9 20:33:19 2013 TUN/TAP TX queue length set to 100
Mon Sep 9 20:33:19 2013 do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
Mon Sep 9 20:33:19 2013 /sbin/ifconfig tun0 192.168.253.240 pointopoint 255.255.255.0 mtu 1500
SIOCSIFDSTADDR: Invalid argument
Mon Sep 9 20:33:19 2013 Linux ifconfig failed: external program exited with error status: 1
Mon Sep 9 20:33:19 2013 Exiting

Firewall & Port Config sehen so aus:



Zur Übersicht nochmal meine IPAdressen der einzelnen Netze:

Fritzbox-Netz: 192.168.254.0/24
Fritzbox-IP: 192.168.254.254/24

VPN-Server IP: 192.168.253.253/24
DHCP-Bereich: 192.168.250.240-252

ClintIP bei Verbindungsverusuch: 192.168.19.X GW:192.168.19.1 (Es Handelt sich hierbei um ein WLAN-Netz das über mein Iphone erzeugt wird um die externe Verbindung zu testen)


So gut es ging habe ich euch nun meine Infos mitgeteilt.
Ich selbst bin mit VPN und Linux nicht besonders gut vertraut.
Seit gnädig.

Gruss aus Franken
Auf ein gutes Gelingen

Gruss Zig

ps. Kann ich hier auch Spoiler setzen ?? Ich finde die Option irgendwie nicht :

 

[RalfFriedl]

Kann ich hier auch Spoiler setzen ?? Ich finde die Option irgendwie nicht

Es wäre schon mal ein Anfang, wenn Du CODE statt QUOTE verwenden würdest, dann könnte man den Teil auch zitieren.

Ich vermute, dass hier das Problem liegt:

Mon Sep 9 20:33:19 2013 WARNING: Since you are using --dev tun with a point-to-point topology, the second argument to --ifconfig must be an IP address. You are using something (255.255.255.0) that looks more like a netmask. (silence this warning with --ifconfig-nowarn)
...
Mon Sep 9 20:33:19 2013 /sbin/ifconfig tun0 192.168.253.240 pointopoint 255.255.255.0 mtu 1500 SIOCSIFDSTADDR: Invalid argument

Ich vermute mal, dass Server und Client die gleiche EInstellung bezüglich dev tap oder dev tun haben sollten.

 

[-Ronny-]

Hallo RalfFriedl,

Ddas mit CODE werde ich ab nun verwenden !

Ich habe jetzt mal DANK deines Tips etwas nachgelsen und die Clientdatei so abgeändert.

client
proto udp
dev tap0
ca ca.crt
cert homekey.crt
key homekey.key
tls-client
ns-cert-type server
remote xxx.dyndns.tv
nobind
ifconfig 192.168.253.250 255.255.255.0
tun-mtu 1500
mssfix
verb 3
cipher BF-CBC
comp-lzo
keepalive 10 120
resolv-retry infinite
status /var/log/openvpn.log
persist-tun
persist-key

Beim starten von OpenVPN krieg ich nun diese Meldung:

root@ronny-LIFEBOOK-E751:/etc/openvpn# sudo openvpn homekey.ovpn
Tue Sep 10 22:14:45 2013 OpenVPN 2.2.1 i686-linux-gnu [SSL] [LZO2] [EPOLL] [PKCS11] [eurephia] [MH] [PF_INET6] [IPv6 payload 20110424-2 (2.2RC2)] built on Feb 27 2013
Tue Sep 10 22:14:45 2013 WARNING: using --pull/--client and --ifconfig together is probably not what you want
Tue Sep 10 22:14:45 2013 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Enter Private Key Password:
Tue Sep 10 22:14:49 2013 WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
Tue Sep 10 22:14:49 2013 LZO compression initialized
Tue Sep 10 22:14:49 2013 Control Channel MTU parms [ L:1574 D:138 EF:38 EB:0 ET:0 EL:0 ]
Tue Sep 10 22:14:49 2013 Socket Buffers: R=[163840->131072] S=[163840->131072]
Tue Sep 10 22:14:49 2013 Data Channel MTU parms [ L:1574 D:1450 EF:42 EB:135 ET:32 EL:0 AF:3/1 ]
Tue Sep 10 22:14:49 2013 Local Options hash (VER=V4): 'd79ca330'
Tue Sep 10 22:14:49 2013 Expected Remote Options hash (VER=V4): 'f7df56b8'
Tue Sep 10 22:14:49 2013 UDPv4 link local: [undef]
Tue Sep 10 22:14:49 2013 UDPv4 link remote: [AF_INETT]X.X.X.X:1194
Tue Sep 10 22:14:49 2013 TLS: Initial packet from [AF_INET]X.X.X.X:1194, sid=b8990451 e4ac6a38
Tue Sep 10 22:14:50 2013 VERIFY OK: depth=1, /C=DE/ST=GER/L=Forchheim/O=free4all/OU=changeme/CN=changeme/name=changeme/[email protected]
Tue Sep 10 22:14:50 2013 VERIFY OK: nsCertType=SERVER
Tue Sep 10 22:14:50 2013 VERIFY OK: depth=0, /C=DE/ST=GER/L=Forchheim/O=free4all/OU=changeme/CN=server/name=changeme/[email protected]
Tue Sep 10 22:14:52 2013 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Tue Sep 10 22:14:52 2013 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Tue Sep 10 22:14:52 2013 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Tue Sep 10 22:14:52 2013 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Tue Sep 10 22:14:52 2013 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
Tue Sep 10 22:14:52 2013 [server] Peer Connection Initiated with [AF_INET]84.147.137.145:1194
Tue Sep 10 22:14:54 2013 SENT CONTROL [server]: 'PUSH_REQUEST' (status=1)
Tue Sep 10 22:14:54 2013 PUSH: Received control message: 'PUSH_REPLY,route-gateway 192.168.253.253,route 192.168.254.0 255.255.255.0,route 192.168.253.0 255.255.255.0,dhcp-option DNS 192.168.253.253,ping 10,ping-restart 120,ifconfig 192.168.253.240 255.255.255.0'
Tue Sep 10 22:14:54 2013 OPTIONS IMPORT: timers and/or timeouts modified
Tue Sep 10 22:14:54 2013 OPTIONS IMPORT: --ifconfig/up options modified
Tue Sep 10 22:14:54 2013 OPTIONS IMPORT: route options modified
Tue Sep 10 22:14:54 2013 OPTIONS IMPORT: route-related options modified
Tue Sep 10 22:14:54 2013 OPTIONS IMPORT: --ip-win32 and/or --dhcp-option options modified
Tue Sep 10 22:14:54 2013 ROUTE default_gateway=192.168.19.1
Tue Sep 10 22:14:54 2013 TUN/TAP device tap0 opened
Tue Sep 10 22:14:54 2013 TUN/TAP TX queue length set to 100
Tue Sep 10 22:14:54 2013 do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
Tue Sep 10 22:14:54 2013 /sbin/ifconfig tap0 192.168.253.240 netmask 255.255.255.0 mtu 1500 broadcast 192.168.253.255
Tue Sep 10 22:14:54 2013 /sbin/route add -net 192.168.254.0 netmask 255.255.255.0 gw 192.168.253.253
Tue Sep 10 22:14:54 2013 /sbin/route add -net 192.168.253.0 netmask 255.255.255.0 gw 192.168.253.253
Tue Sep 10 22:14:54 2013 Initialization Sequence Completed

Nun Steht zumindest der Tunnel schon mal ! DANKE dir

Wo es aber noch hapert:
Ich kann die 192.168.253.253 anpingen - leider aber nich die 192.168.254.254

Waran könnte das den noch liegen ?

ronny@ronny-LIFEBOOK-E751:~$ ping 192.168.253.253
PING 192.168.253.253 (192.168.253.253) 56(84) bytes of data.
64 bytes from 192.168.253.253: icmp_req=1 ttl=64 time=479 ms
64 bytes from 192.168.253.253: icmp_req=2 ttl=64 time=310 ms
64 bytes from 192.168.253.253: icmp_req=3 ttl=64 time=276 ms
64 bytes from 192.168.253.253: icmp_req=4 ttl=64 time=255 ms
^C
--- 192.168.253.253 ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3003ms
rtt min/avg/max/mdev = 255.835/330.539/479.708/88.316 ms
ronny@ronny-LIFEBOOK-E751:~$ ping 192.168.253.254
PING 192.168.253.254 (192.168.253.254) 56(84) bytes of data.
From 192.168.253.253: icmp_seq=1 Redirect Host(New nexthop: 192.168.253.254)
From 192.168.253.240 icmp_seq=2 Destination Host Unreachable
From 192.168.253.240 icmp_seq=3 Destination Host Unreachable
From 192.168.253.240 icmp_seq=4 Destination Host Unreachable
From 192.168.253.253 icmp_seq=1 Destination Host Unreachable
From 192.168.253.240 icmp_seq=5 Destination Host Unreachable
From 192.168.253.240 icmp_seq=9 Destination Host Unreachable

Danke Guss Zig

 

[-Ronny-]

Meine Güte,

Ich sollte schon die richtige IP Adresse Anpingen.
Funktioniert, kann geschlossen werden !

Gruss Zig

 

[RalfFriedl]

Bist Du sicher, dass Du tap verwenden willst und nicht tun?
Ich vermute mal, dass "push route 192.168.253.0 255.255.255.0" und tap im Bereich 192.168.253/24 entweder überflüssig ist oder sich vielleicht auch stört.
Wie man beim Ping oben sieht, geht das Ping erst an 192.168.253.253, weil das die Route so festlegt. Von 192.168.253.253 kommt aber die Mitteilung, dass 192.168.253.254 direkt erreichbar ist (Redirect).
Die andere Frage ist, ob 192.168.253.254 auch tatsächlich erreichbar ist und ob nicht irgendwo ein Firewall im Weg steht.

 

[-Ronny-]

Hallo Nochmal,

Ich meine den Unterschied so Verstanden zu haben:

Tap = hier werden zwei Netze Protokollunabhängig verbunden ( Ähnlich Switch zu Switch per Uplink )
Tun = hier werden nur IP Packete geroutet ( jedes Netz hat eigenes Subnetz + Gateway )

Wo ich aber noch ins grübeln komme: Ich habe ja im Moment auf der anderen Seite schon ein eigenes Subnetz - ich versteh es nicht so ganz richtig.
Von der Logic halber ist mir das mit Tun schon lieber, schon der Fehlersuche wegen.

Kannst du mir ne Hilfestellung oder nen Link zukommen lassen, wie ich das auf Tun Basis realisiere ??
Ich hab halt wenig Erfahrung mit Routen unter Linux anzulegen.
Es muss doch dann Pro IP-Bereich ein Routingeintrag am Server gemacht werden oder ?

Danke nochmals
Gruss Ronny

 

[-Ronny-]

Die andere Frage ist, ob 192.168.253.254 auch tatsächlich erreichbar ist und ob nicht irgendwo ein Firewall im Weg steht.

Hier wurde von mir defenetiv die Falsche IP Angepingt ! Ich wollte die 192.168.254.254 anpingen, die eigentliche IP Adresse der Frtitzbox im internen Netz !

 

[-Ronny-]

Ich vermute mal, dass "push route 192.168.253.0 255.255.255.0" und tap im Bereich 192.168.253/24 entweder überflüssig ist oder sich vielleicht auch stört

Das stimmt, ne Route anlegen für eigene Netz ist Schwachsinn, muss mal nachlesen wie den Part rausnehmen kann