Freetz OpenVPN - Probleme nach Verbindung

[m4xL]

Hallo zusammen,
probier schon seit einiger Zeit eine OpenVPN Verbindung aufzubauen.

Der OpenVPN Server ist Konfiguriert und läuft Fehlerfrei so wie ich das sehe.
Der Client kann sich nach einer gewissen Zeit auch Verbinden und bekommt eine IP aus dem hinterlegten Bereich im Freetz Webinterface zugewiesen. Die Verbindung bleibt aufrecht, nur sind leider keine Verbindungen in das Netzt hinter den/die Server/Box möglich. Ping versuche vom Remote Client auf den Server oder Clients hinter dem Server bleiben erfolglos ebenso wie ein Ping vom Client oder dem Server selbst auf die IP-Adresse des Remote Clients. Verwendet wird das Bridign. In der ar7.cfg hab ich den Port an der Fritzbox freigegeben: also udp 0.0.0.0:1194 0.0.0.0:1194 0 #OpenVPN.... Auch hab ich schon alle Ports an der Fritzbox freigegeben also "ip 0.0.0.0 0.0.0.0 0 # All". Auch wurde bei den brinterface der "tap0" hinzugefügt. Neustart der Box auch eingeleitet weil ja sonst auch keine Verbindung möglich wäre ; ). Das Problem Tritt intern wie Extern auf. Hab das ganze Intern auch getestet über einen weiteren Router.

Eine Frage zu der ar7.cfg hätte ich auch noch. Sobald ich im Webinterface der Box eine Portfreigabe lösche oder ändere, werden die Freigaben auf die Box selber immer wieder gelöscht und müssen per Hand wieder eingeschrieben werden.

Meine Server.conf bzw. openvpn.conf

/var/mod/root # cat /var/mod/etc/openvpn.conf
#  OpenVPN 2.1 Config, Thu Mar 11 13:27:44 CET 2010
proto udp
dev tap0
ca /tmp/flash/ca.crt
cert /tmp/flash/box.crt
key /tmp/flash/box.key
dh /tmp/flash/dh.pem
tls-server
tls-auth /tmp/flash/static.key 0
port 1194
push "dhcp-option DNS 192.168.210.1"
push "dhcp-option DNS 192.168.210.1"
mode server
ifconfig-pool 192.168.210.30 192.168.210.35
push "route 192.168.210.10 "
ifconfig 192.168.210.10 255.255.255.0
push "route-gateway 192.168.210.10"
push "route 192.168.210.0 255.255.255.0"
max-clients 5
tun-mtu 1500
mssfix
verb 3
daemon
cipher AES-256-CBC
comp-lzo
keepalive 10 120
/var/mod/root #

die Client Config:

client
dev tap
#udp/tcp je nachdem, was ausgewählt wurde
proto udp
#Port entsprechend der Konfiguration
remote home-network.go.dyndns.org
nobind
persist-key
persist-tun
#hier die Zertifikate/Schlüssel, wie beim Erstellen benannt
ca ca.crt
cert client.crt
key client.key
# für TLS-Remote "ServerBox1" wie beim Erstellen benannt
#tls-remote ServerBox1
tls-auth static.key 1
auth SHA1
cipher AES-256-CBC
comp-lzo
verb 3

Das Log der Verbindung:

Thu Mar 11 13:27:26 2010 OpenVPN 2.0.9 Win32-MinGW [SSL] [LZO] built on Oct  1 2006
Thu Mar 11 13:27:26 2010 IMPORTANT: OpenVPN's default port number is now 1194, based on an official port number assignment by IANA.  OpenVPN 2.0-beta16 and earlier used 5000 as the default port.
Thu Mar 11 13:27:26 2010 WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
Thu Mar 11 13:27:26 2010 Control Channel Authentication: using 'static.key' as a OpenVPN static key file
Thu Mar 11 13:27:26 2010 Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Thu Mar 11 13:27:26 2010 Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Thu Mar 11 13:27:26 2010 LZO compression initialized
Thu Mar 11 13:27:26 2010 Control Channel MTU parms [ L:1590 D:166 EF:66 EB:0 ET:0 EL:0 ]
Thu Mar 11 13:27:26 2010 Data Channel MTU parms [ L:1590 D:1450 EF:58 EB:135 ET:32 EL:0 AF:3/1 ]
Thu Mar 11 13:27:26 2010 Local Options hash (VER=V4): '48527533'
Thu Mar 11 13:27:26 2010 Expected Remote Options hash (VER=V4): '44bd8b5e'
Thu Mar 11 13:27:26 2010 UDPv4 link local: [undef]
Thu Mar 11 13:27:26 2010 UDPv4 link remote: xxx.xxx.xxx.xxx:1194
Thu Mar 11 13:27:26 2010 TLS: Initial packet from xxx.xxx.xxx.xxx:1194, sid=cfff3d9d a9568a21
Thu Mar 11 13:27:26 2010 VERIFY OK: depth=1, /C=DE/ST=Bayern/L=City/O=home.net.local/CN=m4xL/emailAddress=m4xL@local
Thu Mar 11 13:27:26 2010 VERIFY OK: depth=0, /C=DE/ST=Bayern/O=home.net.local/CN=m4xL/emailAddress=m4xL@local
Thu Mar 11 13:27:27 2010 Data Channel Encrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
Thu Mar 11 13:27:27 2010 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Thu Mar 11 13:27:27 2010 Data Channel Decrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
Thu Mar 11 13:27:27 2010 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Thu Mar 11 13:27:27 2010 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
Thu Mar 11 13:27:27 2010 [m4xL] Peer Connection Initiated with 79.208.138.162:1194
Thu Mar 11 13:27:28 2010 SENT CONTROL [m4xL]: 'PUSH_REQUEST' (status=1)
Thu Mar 11 13:27:28 2010 PUSH: Received control message: 'PUSH_REPLY,dhcp-option DNS 192.168.210.1,dhcp-option DNS 192.168.210.1,redirect-gateway,route 192.168.210.10 ,route-gateway 192.168.210.10,route 192.168.210.0 255.255.255.0,ping 10,ping-restart 120,ifconfig 192.168.210.30 255.255.255.0'
Thu Mar 11 13:27:28 2010 OPTIONS IMPORT: timers and/or timeouts modified
Thu Mar 11 13:27:28 2010 OPTIONS IMPORT: --ifconfig/up options modified
Thu Mar 11 13:27:28 2010 OPTIONS IMPORT: route options modified
Thu Mar 11 13:27:28 2010 OPTIONS IMPORT: --ip-win32 and/or --dhcp-option options modified
Thu Mar 11 13:27:28 2010 TAP-WIN32 device [LAN-Verbindung] opened: \\.\Global\{64F59C54-5B1E-483A-B6C4-8188051E4A1A}.tap
Thu Mar 11 13:27:28 2010 TAP-Win32 Driver Version 8.4
Thu Mar 11 13:27:28 2010 TAP-Win32 MTU=1500
Thu Mar 11 13:27:28 2010 Notified TAP-Win32 driver to set a DHCP IP/netmask of 192.168.210.30/255.255.255.0 on interface {64F59C54-5B1E-483A-B6C4-8188051E4A1A} [DHCP-serv: 192.168.210.0, lease-time: 31536000]
Thu Mar 11 13:27:28 2010 Successful ARP Flush on interface [65540] {64F59C54-5B1E-483A-B6C4-8188051E4A1A}
Thu Mar 11 13:27:28 2010 TEST ROUTES: 0/0 succeeded len=2 ret=0 a=0 u/d=down
Thu Mar 11 13:27:28 2010 Route: Waiting for TUN/TAP interface to come up...
Thu Mar 11 13:27:29 2010 TEST ROUTES: 0/0 succeeded len=2 ret=0 a=0 u/d=down
Thu Mar 11 13:27:29 2010 Route: Waiting for TUN/TAP interface to come up...
Thu Mar 11 13:27:30 2010 TEST ROUTES: 0/0 succeeded len=2 ret=0 a=0 u/d=down
Thu Mar 11 13:27:30 2010 Route: Waiting for TUN/TAP interface to come up...
Thu Mar 11 13:27:31 2010 TEST ROUTES: 0/0 succeeded len=2 ret=0 a=0 u/d=down
Thu Mar 11 13:27:31 2010 Route: Waiting for TUN/TAP interface to come up...
Thu Mar 11 13:27:32 2010 TEST ROUTES: 0/0 succeeded len=2 ret=0 a=0 u/d=down
Thu Mar 11 13:27:32 2010 Route: Waiting for TUN/TAP interface to come up...
Thu Mar 11 13:27:33 2010 TEST ROUTES: 0/0 succeeded len=2 ret=0 a=0 u/d=down
Thu Mar 11 13:27:33 2010 Route: Waiting for TUN/TAP interface to come up...
Thu Mar 11 13:27:35 2010 TEST ROUTES: 0/0 succeeded len=2 ret=0 a=0 u/d=down
Thu Mar 11 13:27:35 2010 Route: Waiting for TUN/TAP interface to come up...
Thu Mar 11 13:27:36 2010 TEST ROUTES: 0/0 succeeded len=2 ret=0 a=0 u/d=down
Thu Mar 11 13:27:36 2010 Route: Waiting for TUN/TAP interface to come up...
Thu Mar 11 13:27:37 2010 TEST ROUTES: 0/0 succeeded len=2 ret=0 a=0 u/d=down
Thu Mar 11 13:27:37 2010 Route: Waiting for TUN/TAP interface to come up...
Thu Mar 11 13:27:37 2010 TEST ROUTES: 0/0 succeeded len=2 ret=0 a=0 u/d=down
Thu Mar 11 13:27:37 2010 Route: Waiting for TUN/TAP interface to come up...
Thu Mar 11 13:27:38 2010 TEST ROUTES: 0/0 succeeded len=2 ret=0 a=0 u/d=down
Thu Mar 11 13:27:38 2010 Route: Waiting for TUN/TAP interface to come up...
Thu Mar 11 13:27:39 2010 TEST ROUTES: 0/0 succeeded len=2 ret=0 a=0 u/d=down
Thu Mar 11 13:27:39 2010 Route: Waiting for TUN/TAP interface to come up...
Thu Mar 11 13:27:40 2010 TEST ROUTES: 0/0 succeeded len=2 ret=0 a=0 u/d=down
Thu Mar 11 13:27:40 2010 Route: Waiting for TUN/TAP interface to come up...
Thu Mar 11 13:27:42 2010 TEST ROUTES: 0/0 succeeded len=2 ret=0 a=0 u/d=down
Thu Mar 11 13:27:42 2010 Route: Waiting for TUN/TAP interface to come up...
Thu Mar 11 13:27:43 2010 TEST ROUTES: 0/0 succeeded len=2 ret=0 a=0 u/d=down
Thu Mar 11 13:27:43 2010 Route: Waiting for TUN/TAP interface to come up...
Thu Mar 11 13:27:44 2010 TEST ROUTES: 0/0 succeeded len=2 ret=0 a=0 u/d=down
Thu Mar 11 13:27:44 2010 Route: Waiting for TUN/TAP interface to come up...
Thu Mar 11 13:27:45 2010 TEST ROUTES: 0/0 succeeded len=2 ret=0 a=0 u/d=down
Thu Mar 11 13:27:45 2010 Route: Waiting for TUN/TAP interface to come up...
Thu Mar 11 13:27:46 2010 TEST ROUTES: 0/0 succeeded len=2 ret=0 a=0 u/d=down
Thu Mar 11 13:27:46 2010 Route: Waiting for TUN/TAP interface to come up...
Thu Mar 11 13:27:47 2010 TEST ROUTES: 0/0 succeeded len=2 ret=0 a=0 u/d=down
Thu Mar 11 13:27:47 2010 Route: Waiting for TUN/TAP interface to come up...
Thu Mar 11 13:27:48 2010 TEST ROUTES: 0/0 succeeded len=2 ret=0 a=0 u/d=down
Thu Mar 11 13:27:48 2010 Route: Waiting for TUN/TAP interface to come up...
Thu Mar 11 13:27:49 2010 TEST ROUTES: 0/0 succeeded len=2 ret=0 a=0 u/d=down
Thu Mar 11 13:27:49 2010 Route: Waiting for TUN/TAP interface to come up...
Thu Mar 11 13:27:50 2010 TEST ROUTES: 0/0 succeeded len=2 ret=0 a=0 u/d=down
Thu Mar 11 13:27:50 2010 Route: Waiting for TUN/TAP interface to come up...
Thu Mar 11 13:27:51 2010 TEST ROUTES: 0/0 succeeded len=2 ret=0 a=0 u/d=down
Thu Mar 11 13:27:51 2010 Route: Waiting for TUN/TAP interface to come up...
Thu Mar 11 13:27:52 2010 TEST ROUTES: 0/0 succeeded len=2 ret=0 a=0 u/d=down
Thu Mar 11 13:27:52 2010 Route: Waiting for TUN/TAP interface to come up...
Thu Mar 11 13:27:53 2010 TEST ROUTES: 0/0 succeeded len=2 ret=0 a=0 u/d=down
Thu Mar 11 13:27:53 2010 Route: Waiting for TUN/TAP interface to come up...
Thu Mar 11 13:27:54 2010 TEST ROUTES: 0/0 succeeded len=2 ret=0 a=0 u/d=down
Thu Mar 11 13:27:54 2010 Route: Waiting for TUN/TAP interface to come up...
Thu Mar 11 13:27:56 2010 TEST ROUTES: 0/0 succeeded len=2 ret=0 a=0 u/d=down
Thu Mar 11 13:27:56 2010 Route: Waiting for TUN/TAP interface to come up...
Thu Mar 11 13:27:57 2010 TEST ROUTES: 0/0 succeeded len=2 ret=0 a=0 u/d=down
Thu Mar 11 13:27:57 2010 Route: Waiting for TUN/TAP interface to come up...
Thu Mar 11 13:27:57 2010 TEST ROUTES: 0/0 succeeded len=2 ret=0 a=0 u/d=down
Thu Mar 11 13:27:57 2010 route ADD 79.208.138.162 MASK 255.255.255.255 192.168.0.1
Thu Mar 11 13:27:57 2010 Route addition via IPAPI succeeded
Thu Mar 11 13:27:57 2010 route DELETE 0.0.0.0 MASK 0.0.0.0 192.168.0.1
Thu Mar 11 13:27:57 2010 Route deletion via IPAPI succeeded
Thu Mar 11 13:27:57 2010 route ADD 0.0.0.0 MASK 0.0.0.0 192.168.210.10
Thu Mar 11 13:27:57 2010 Warning: route gateway is not reachable on any active network adapters: 192.168.210.10
Thu Mar 11 13:27:57 2010 Route addition via IPAPI failed
Thu Mar 11 13:27:57 2010 OpenVPN ROUTE: omitted no-op route: 192.168.210.10/255.255.255.255 -> 192.168.210.10
Thu Mar 11 13:27:57 2010 route ADD 192.168.210.0 MASK 255.255.255.0 192.168.210.10
Thu Mar 11 13:27:57 2010 Warning: route gateway is not reachable on any active network adapters: 192.168.210.10
Thu Mar 11 13:27:57 2010 Route addition via IPAPI failed
Thu Mar 11 13:27:57 2010 Initialization Sequence Completed With Errors ( see http://openvpn.net/faq.html#dhcpclientserv )

Wie zu Lesen ist meckert er wegen eins DHCP Servers bzw. Client. Ein DHCP Server läuft nicht auf der Fritzbox auch keine anderer im Internet Netz. Die einzige Zuweisung von IP-Adressen ist im Freettz Webinterface eingestellt. Der Client Selber hat auf der Tap Schnittstelle auch keine IP-Adresse zugewiesen bekommen von mir. Die Tap Verbindung versucht auch weiter nach erfolgreicher Verbindung des OpenVPN GUI eine IP-Adresse zu erhalten, obwohl die OpenVPN GUI bereits eine Adresse zugewiesen bekommen hat.

Auch hab ich in der Client Konfiguration die Zeile „tls-remote ServerBox1“ auskommentiert, da ich den Wert „ServerBox1“ nicht verstehe. Ist das der Server Name oder Zertifikate Name.... !!???!

Aktuelle läuft der Client auf einem Windows Rechner. Die Clientaufgabe soll aber dann wenn alles Funktioniert eine weitere FritzBox übernehmen.

Gruß m4xL

 

[MaxMuster]

Moin,

was für ein Windows nutzt du denn?
Versuche mal eine neuere Version des WIN-Clients.
Es scheint, dass der Tunnel-Adapter noch nicht aktiv ist, aber Windows wartet nicht länger, sondern versucht trotzdem, die Route zu setzen, daher gibt es eine Fehlermeldung.

Thu Mar 11 13:27:57 2010 TEST ROUTES: [b]0/0 succeeded[/b] len=2 ret=0 a=0 u/d=[b]down[/b]
[...]
Thu Mar 11 13:27:57 2010 route ADD 0.0.0.0 MASK 0.0.0.0 192.168.210.10
Thu Mar 11 13:27:57 2010 Warning: route gateway is not reachable on any active network adapters: 192.168.210.10
Thu Mar 11 13:27:57 2010 Route addition via IPAPI failed
[...]

Du könntest auch mal "route-delay 5" oder "route-delay 5 20" beim Client versuchen.

Jörg

EDIT "tls-remote <Name>" gibt an, welcher CN im Zertifikat der Gegenseite (bei dir: des Servers "m4xL") steht. Auf openvpn.net ist alles sehr ausführlich erklärt ;-).

 

[m4xL]

Moin moin,
Windows XP Prof 32 Bit. Der Client war wirklich noch veraltet ; ) war der von openvpn.se in Version 2.0.9.
Die OpenVPN GUI bekommte die IP-Adresse zugewiesen. Der TAP-Win32 Adapter V9 bekommt keine IP zugwiesen und versucht es aber vortan ohne erfolg. Aja "route-delay 5" oder "route delay 5 20" hab ich beides ohne erfolg probiert.

Mit route print is mir aufgefallen das eine neue route hinterlegt wurde dies aber jedoch mit einer falschen subnetmaske belegt wurde?!

Active Routes:
Network Destination        Netmask          Gateway       Interface  Metric
   79.208.160.162  255.255.255.255      192.168.0.1     192.168.0.2       1
        127.0.0.0        255.0.0.0        127.0.0.1       127.0.0.1       1
[...]

Wenn ich am Server die Option "Clientverkehr umleiten" aktiviere
kommt beim Ping "Ziehlhost nicht erreichbar" und Internet geht nicht mehr :-/
Ohne diese Option: "Zeitüberschreitung der Anforderung"

Das ist das neue Log vom Client:

Fri Mar 12 09:36:36 2010 OpenVPN 2.1.1 i686-pc-mingw32 [SSL] [LZO2] [PKCS11] built on Dec 11 2009
Fri Mar 12 09:36:36 2010 WARNING: Make sure you understand the semantics of --tls-remote before using it (see the man page).
Fri Mar 12 09:36:36 2010 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Fri Mar 12 09:36:37 2010 Control Channel Authentication: using 'static.key' as a OpenVPN static key file
Fri Mar 12 09:36:37 2010 Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Fri Mar 12 09:36:37 2010 Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Fri Mar 12 09:36:37 2010 LZO compression initialized
Fri Mar 12 09:36:37 2010 Control Channel MTU parms [ L:1590 D:166 EF:66 EB:0 ET:0 EL:0 ]
Fri Mar 12 09:36:37 2010 Data Channel MTU parms [ L:1590 D:1450 EF:58 EB:135 ET:32 EL:0 AF:3/1 ]
Fri Mar 12 09:36:37 2010 Local Options hash (VER=V4): '48527533'
Fri Mar 12 09:36:37 2010 Expected Remote Options hash (VER=V4): '44bd8b5e'
Fri Mar 12 09:36:37 2010 Socket Buffers: R=[8192->8192] S=[64512->64512]
Fri Mar 12 09:36:37 2010 UDPv4 link local: [undef]
Fri Mar 12 09:36:37 2010 UDPv4 link remote: 79.208.160.162:1194
Fri Mar 12 09:36:37 2010 TLS: Initial packet from 79.208.160.162:1194, sid=cec743c6 7afa0573
Fri Mar 12 09:36:37 2010 VERIFY OK: depth=1, /C=DE/ST=Bayern/L=City/O=home.net.local/CN=m4xL/emailAddress=m4xL@local
Fri Mar 12 09:36:37 2010 VERIFY X509NAME OK: /C=DE/ST=Bayern/O=home.net.local/CN=m4xL/emailAddress=m4xL@local
Fri Mar 12 09:36:37 2010 VERIFY OK: depth=0, /C=DE/ST=Bayern/O=home.net.local/CN=m4xL/emailAddress=m4xL@local
Fri Mar 12 09:36:38 2010 Data Channel Encrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
Fri Mar 12 09:36:38 2010 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Fri Mar 12 09:36:38 2010 Data Channel Decrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
Fri Mar 12 09:36:38 2010 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Fri Mar 12 09:36:38 2010 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
Fri Mar 12 09:36:38 2010 [fuchs] Peer Connection Initiated with 79.208.160.162:1194
Fri Mar 12 09:36:40 2010 SENT CONTROL [m4xL]: 'PUSH_REQUEST' (status=1)
Fri Mar 12 09:36:40 2010 PUSH: Received control message: 'PUSH_REPLY,dhcp-option DNS 192.168.210.1,dhcp-option DNS 192.168.210.1,route 192.168.210.10 ,route-gateway 192.168.210.10,route 192.168.210.0 255.255.255.0,ping 10,ping-restart 120,ifconfig 192.168.210.30 255.255.255.0'
Fri Mar 12 09:36:40 2010 OPTIONS IMPORT: timers and/or timeouts modified
Fri Mar 12 09:36:40 2010 OPTIONS IMPORT: --ifconfig/up options modified
Fri Mar 12 09:36:40 2010 OPTIONS IMPORT: route options modified
Fri Mar 12 09:36:40 2010 OPTIONS IMPORT: route-related options modified
Fri Mar 12 09:36:40 2010 OPTIONS IMPORT: --ip-win32 and/or --dhcp-option options modified
Fri Mar 12 09:36:40 2010 ROUTE default_gateway=192.168.0.1
Fri Mar 12 09:36:40 2010 TAP-WIN32 device [LAN-Verbindung 2] opened: \\.\Global\{41993346-44DA-4758-84D0-6F5B62FBEC62}.tap
Fri Mar 12 09:36:40 2010 TAP-Win32 Driver Version 9.6
Fri Mar 12 09:36:40 2010 TAP-Win32 MTU=1500
Fri Mar 12 09:36:40 2010 Notified TAP-Win32 driver to set a DHCP IP/netmask of 192.168.210.30/255.255.255.0 on interface {41993346-44DA-4758-84D0-6F5B62FBEC62} [DHCP-serv: 192.168.210.0, lease-time: 31536000]
Fri Mar 12 09:36:40 2010 Successful ARP Flush on interface [131076] {41993346-44DA-4758-84D0-6F5B62FBEC62}
Fri Mar 12 09:36:45 2010 TEST ROUTES: 0/0 succeeded len=2 ret=0 a=0 u/d=down
Fri Mar 12 09:36:45 2010 Route: Waiting for TUN/TAP interface to come up...
Fri Mar 12 09:36:50 2010 TEST ROUTES: 0/0 succeeded len=2 ret=0 a=0 u/d=down
Fri Mar 12 09:36:50 2010 Route: Waiting for TUN/TAP interface to come up...
Fri Mar 12 09:36:51 2010 TEST ROUTES: 0/0 succeeded len=2 ret=0 a=0 u/d=down
Fri Mar 12 09:36:51 2010 Route: Waiting for TUN/TAP interface to come up...
Fri Mar 12 09:36:52 2010 TEST ROUTES: 0/0 succeeded len=2 ret=0 a=0 u/d=down
Fri Mar 12 09:36:52 2010 Route: Waiting for TUN/TAP interface to come up...
Fri Mar 12 09:36:54 2010 TEST ROUTES: 0/0 succeeded len=2 ret=0 a=0 u/d=down
Fri Mar 12 09:36:54 2010 Route: Waiting for TUN/TAP interface to come up...
Fri Mar 12 09:36:55 2010 TEST ROUTES: 0/0 succeeded len=2 ret=0 a=0 u/d=down
Fri Mar 12 09:36:55 2010 Route: Waiting for TUN/TAP interface to come up...
Fri Mar 12 09:36:56 2010 TEST ROUTES: 0/0 succeeded len=2 ret=0 a=0 u/d=down
Fri Mar 12 09:36:56 2010 Route: Waiting for TUN/TAP interface to come up...
Fri Mar 12 09:36:57 2010 TEST ROUTES: 0/0 succeeded len=2 ret=0 a=0 u/d=down
Fri Mar 12 09:36:57 2010 Route: Waiting for TUN/TAP interface to come up...
Fri Mar 12 09:36:59 2010 TEST ROUTES: 0/0 succeeded len=2 ret=0 a=0 u/d=down
Fri Mar 12 09:36:59 2010 Route: Waiting for TUN/TAP interface to come up...
Fri Mar 12 09:37:00 2010 TEST ROUTES: 0/0 succeeded len=2 ret=0 a=0 u/d=down
Fri Mar 12 09:37:00 2010 Route: Waiting for TUN/TAP interface to come up...
Fri Mar 12 09:37:01 2010 TEST ROUTES: 0/0 succeeded len=2 ret=0 a=0 u/d=down
Fri Mar 12 09:37:01 2010 Route: Waiting for TUN/TAP interface to come up...
Fri Mar 12 09:37:02 2010 TEST ROUTES: 0/0 succeeded len=2 ret=0 a=0 u/d=down
Fri Mar 12 09:37:02 2010 Route: Waiting for TUN/TAP interface to come up...
Fri Mar 12 09:37:03 2010 TEST ROUTES: 0/0 succeeded len=2 ret=0 a=0 u/d=down
Fri Mar 12 09:37:03 2010 Route: Waiting for TUN/TAP interface to come up...
Fri Mar 12 09:37:04 2010 TEST ROUTES: 0/0 succeeded len=2 ret=0 a=0 u/d=down
Fri Mar 12 09:37:04 2010 Route: Waiting for TUN/TAP interface to come up...
Fri Mar 12 09:37:05 2010 TEST ROUTES: 0/0 succeeded len=2 ret=0 a=0 u/d=down
Fri Mar 12 09:37:05 2010 OpenVPN ROUTE: omitted no-op route: 192.168.210.10/255.255.255.255 -> 192.168.210.10
Fri Mar 12 09:37:05 2010 C:\WINDOWS\system32\route.exe ADD 192.168.210.0 MASK 255.255.255.0 192.168.210.10
Fri Mar 12 09:37:05 2010 Warning: route gateway is not reachable on any active network adapters: 192.168.210.10
Fri Mar 12 09:37:05 2010 Route addition via IPAPI failed [adaptive]
Fri Mar 12 09:37:05 2010 Route addition fallback to route.exe
SYSTEM ROUTING TABLE
0.0.0.0 0.0.0.0 192.168.0.1 p=0 i=65539 t=4 pr=3 a=119 h=0 m=1/-1/-1/-1/-1
127.0.0.0 255.0.0.0 127.0.0.1 p=0 i=1 t=3 pr=2 a=2345 h=0 m=1/-1/-1/-1/-1
192.168.0.0 255.255.255.0 192.168.0.2 p=0 i=65539 t=3 pr=2 a=2345 h=0 m=20/-1/-1/-1/-1
192.168.0.2 255.255.255.255 127.0.0.1 p=0 i=1 t=3 pr=2 a=2345 h=0 m=20/-1/-1/-1/-1
192.168.0.255 255.255.255.255 192.168.0.2 p=0 i=65539 t=3 pr=2 a=2345 h=0 m=20/-1/-1/-1/-1
224.0.0.0 240.0.0.0 192.168.0.2 p=0 i=65539 t=3 pr=2 a=2345 h=0 m=20/-1/-1/-1/-1
255.255.255.255 255.255.255.255 192.168.0.2 p=0 i=131076 t=3 pr=2 a=415 h=0 m=1/-1/-1/-1/-1
255.255.255.255 255.255.255.255 192.168.0.2 p=0 i=65539 t=3 pr=2 a=2345 h=0 m=1/-1/-1/-1/-1
SYSTEM ADAPTER LIST
TAP-Win32 Adapter V9 - Packet Scheduler Miniport
  Index = 131076
  GUID = {41993346-44DA-4758-84D0-6F5B62FBEC62}
  IP = 0.0.0.0/0.0.0.0
  MAC = 00:ff:41:99:33:46
  GATEWAY = 
  DHCP SERV = 
  DHCP LEASE OBTAINED = Thu Jan 01 01:00:02 1970
  DHCP LEASE EXPIRES  = Thu Jan 01 01:00:02 1970
  DNS SERV = 
National Semiconductor DP83815-Based PCI Fast Ethernet Adapter
  Index = 65539
  GUID = {3602A6C6-4814-4C8A-85C7-E72FABBFAD1D}
  IP = 192.168.0.2/255.255.255.0
  MAC = 00:0f:20:24:aa:8b
  GATEWAY = 192.168.0.1/0.0.0.0
  DNS SERV = xxx.xxx.xxx.xxx xxx.xxx.xxx.xxx
Fri Mar 12 09:37:05 2010 Initialization Sequence Completed With Errors ( see http://openvpn.net/faq.html#dhcpclientserv )

Gruß m4xL

 

[MaxMuster]

Hilft es denn, wenn du den route-delay Befehl nutzt?
Ansonsten versuche es erstmal ohne "Clientverkehr umleiten".
In der "Eingabeaufforderung" sollte bei einem "ipconfig" dann (irgendwann mal ;-)) eine IP für das Tunnel-Interface zu sehen sein und die Tunnel-Gegenstelle (der Server unter 192.168.210.10) erreichbar sein....
Erst wenn das geht, dann kann das Routing weiter angesehen werden.


Jörg

EDIT: Vielleicht versuchst du mal, den Adapter zu löschen und dann neu zu installieren?!? Oder einfach mal ein "ipconfig /renew <TAP Interfacename>" versuchen, kriegt das IF dann eine IP?

 

[Darksun777]

Was mir auffällt:

Client-Config:

"client" --> sollte das nicht "proto tcp-client" heissen?

Server-Config:

Für was ist dieser Eintrag: push "route 192.168.200.10" ?

Den Route-Eintrag für den Client habe ich auch immer über die Client-Config gemacht (route x.x.x.x x.x.x.x x.x.x.x), nicht am Server.

Vielleicht hilfts ja..

 

[m4xL]

porto tcp-client funktioniert ja nicht, da ja der Server auf UDP läuft. udp-client gibts nicht. Werde aber den Server ggf. mal auf TCP umstellsten und nochmal mit tcp-client testen. Der befehl "push-route" fügt eine Route am Client hinzu, wenn ich das richtig verstanden habe.

Der Befehl "route-delay" zeigt keine wirkung : (. Ein ipconfig /renew LAN-Verbindung* bringt nur

Windows IP Configuration

An error occurred while renewing interface LAN-Verbindung 4 : The RPC server is
unavailable.

Schalte ich im Freetz die IP-Adresszuweisung aus und gibt dem Interface am Client eine IP bleib das ganze aber auch erfolglos : (

Hab das Interface deinstalliert und neu installiert. Ebenso die OpenVPN Client Software komplett getötet und nochmal neu aufgespielt.

 

[MaxMuster]

... hast du vielleicht irgendeine Firewall/Security-Suite... die da eingreift?

Wenn du den ganzen Routingkram und die Meldungen erstmal vergisst: Hast du irgendwann beim "ipconfig" eine IP auf dem Interface? Auf was steht denn der Adapter unter den Netzwerkadaptern" für IP? Auf "automatische beziehen"? Und wenn du da eventuell mal die geplante IP bei der "Alternativen Konfiguration" einträgst?
Nur zur Sicherheit: Hast du zum Entfernen der Netzwerkadapter unter "Utilities" den Punkt "Delete ALL TAP virtual ethernet adapters" gewählt?

Jörg

 

[m4xL]

Firewall auf Clientseite ist alles aus.
Ne das Interface bekommt keine IP-Adresse zugewiesen auch nach längerem warten. Die OpenVPN GUI meldet nach kurzer Zeit, das sie die Ip-Adresse 192.168.210.30 erhalten hat. Das Interface sucht weiterhin nach einer Adresse :- /. Bei direkter eingabe der Ip-Adresse Mask und Gateway passiert aber auch nicht wirklich viel mehr. Ein Ping ist noch immer nicht möglich. Nein, das interface hab ich nicht über "Delete ALL TAP virtual ethernet adapters" gelöscht.

 

[Darksun777]

Nochmal bezüglich der Routen:

ich würde das hier...

push "route 192.168.210.10 "
push "route-gateway 192.168.210.10"
push "route 192.168.210.0 255.255.255.0"

...zusammenfassen und mal ändern in:

push "route 192.168.210.0 255.255.255.0 192.168.210.10"

 

[MaxMuster]

... eigentlich reicht sogar der (optionale) Eintrag:
push "route-gateway 192.168.210.10"

Denn das Netz 192.168.210.0/24 ist ja direkt angeschlossen, dafür braucht man keine Route.
Falls man aber Routen ohne explizites Gateway nutzen will, bietet sich der route-gateway Befehl an.

Jörg

 

[m4xL]

hmm
hab jetzt das Interface nochmal über die Utilities gelöscht und nochmal hinzugefügt.
Auch der einzeiler bringt weder beim Client noch beim Server oder beiden... eine Besserung...

Meine Freetz einstellungen im webinterface:
[Edit frank_m24: Eingebettetes Bild entfernt. Ist doch schon im Anhang]

ich hab die Verbindungen mit Brücke und ohne Brücke versucht beides ergab das gleiche...

 

[MaxMuster]

Das sieht eigentlich gut aus. Dein Problem liegt aber wie ich das sehe auch ganz klar auf der Client-Seite, denn dort scheint das Interface nicht richtig initialisert werden zu können...
Sich um das Routing zu kümmern lohnt erst, wenn die Verbindung prinzipiell funktioniert. Hast du eventuell die Möglichkeit, von einem anderen PC zu testen, oder sogar schon mit der zweiten Fritzbox als Client??

Oder starte den Client doch mal mit "verb 6", ob da noch mehr Infos kommen.

Jörg

 

[m4xL]

soo ich habs jetzt nochmal ausprobiert von nem anderen client aus windows 7 32 Bit mit dem alten CLient zwar noch aber es Funktioniert die Schnittstelle bekommt die IP zugewiesen. NUn schaut das ganze noch nach einem Routing Problem aus. Meine ROuting Tabelle:

IPv4-Routentabelle
===========================================================================
Aktive Routen:
     Netzwerkziel    Netzwerkmaske          Gateway    Schnittstelle Metrik
        127.0.0.0        255.0.0.0   Auf Verbindung         127.0.0.1    306
        127.0.0.1  255.255.255.255   Auf Verbindung         127.0.0.1    306
  127.255.255.255  255.255.255.255   Auf Verbindung         127.0.0.1    306
     192.168.56.0    255.255.255.0   Auf Verbindung      192.168.56.1    276
     192.168.56.1  255.255.255.255   Auf Verbindung      192.168.56.1    276
   192.168.56.255  255.255.255.255   Auf Verbindung      192.168.56.1    276
    192.168.178.0    255.255.255.0   Auf Verbindung     192.168.178.2    276
    192.168.178.2  255.255.255.255   Auf Verbindung     192.168.178.2    276
   192.168.178.50  255.255.255.255   Auf Verbindung     192.168.178.2    276
  192.168.178.255  255.255.255.255   Auf Verbindung     192.168.178.2    276
    192.168.210.0    255.255.255.0   Auf Verbindung    192.168.210.30    286
   192.168.210.30  255.255.255.255   Auf Verbindung    192.168.210.30    286
  192.168.210.255  255.255.255.255   Auf Verbindung    192.168.210.30    286
        224.0.0.0        240.0.0.0   Auf Verbindung         127.0.0.1    306
        224.0.0.0        240.0.0.0   Auf Verbindung      192.168.56.1    276
        224.0.0.0        240.0.0.0   Auf Verbindung     192.168.178.2    276
        224.0.0.0        240.0.0.0   Auf Verbindung    192.168.210.30    286
  255.255.255.255  255.255.255.255   Auf Verbindung         127.0.0.1    306
  255.255.255.255  255.255.255.255   Auf Verbindung      192.168.56.1    276
  255.255.255.255  255.255.255.255   Auf Verbindung     192.168.178.2    276
  255.255.255.255  255.255.255.255   Auf Verbindung    192.168.210.30    286
===========================================================================
Ständige Routen:
  Netzwerkadresse          Netzmaske  Gatewayadresse  Metrik
          0.0.0.0          0.0.0.0    192.168.178.1  Standard
===========================================================================

nur find ich das es eig. ziemlich richtig aussieht.

 

[MaxMuster]

Ja, so sieht es schonmal besser aus. Jetzt solltest du die Box per 192.168.210.10 erreichen können, denke ich?!?

Wo liegt jetzt das Problem bzw was willst du erreichen, was nicht geht?
Wenn die "Serverbox" im LAN auch das Netz 192.168.210.x nutzt, musst du das VPN-Interface mit dem LAN "brücken". Dann solltest du von dem Client aus alle Geräte in dem 192.168.210.-er Netz direkt erreichen können.

Jörg

 

[m4xL]

nö Ping geht leider nicht durch :-/ liegt evtl. daran das ich im loakeln netz bin


also Client <-> Fritz!Box 7050 <-> Fritz!Box 7270 (OpenVPN - Server) <-> Internet

Auch hätte ich gleich im Anhang noch eine Frage zur OpenVPN auf der 7050.
1. Wo bekomme ich OpenVPN fuer die 7050 her. Hab aus diesem Post was entnommen http://www.ip-phone-forum.de/showthread.php?t=207793&highlight=openvpn+7050 leider bezieht sich der build auf eine ältere freetz version und die OpenVPN Binaries aus Post #8 Funktionieren bei mir nicht : (

./openvpn: ./openvpn: 1: Syntax error: "(" unexpected

Die Binaries von Tecchanel funktionieren auch nicht mehr :-/
und von http://www.tecchannel.de/download/435560/openvpn kommt

./openvpn.bak: can't resolve symbol '__uClibc_start_main'

Gruß m4xL

 

[MaxMuster]

Das mit dem lokalen Netz kann sein, der Ping hängt aber auch von der Frage der IP's ab (wie geschrieben: wenn 192.168.210.x dein LAN ist, dann musst du das ans TAP brücken)

Zur 7050:
Welche Freetz Version hast du denn gebaut?
Und: Was muss die 7050 noch können ;-)?
Mit dem Freetz-Trunk war es zumindest möglich, auch für die 7050 ein Image mit OpenVPN zu bauen. Wenn du auf Dinge verzichten kannst (Telefonie, DSL, ...) wird es einfacher und geht vielleicht auch mit der stable Version.

Jörg

 

[m4xL]

Das lokale Netz der 7050 ist 192.168.178.0/24 und das "externe" also dann 192.168.210.0/24
hmm ich habs mit der Version 1.1.2 und 1.1 von Freetz versucht was aber in dem bekannten "image to big" endet... Die 7050 muss eig. nur den OpenVPN Client zu verfügung stellen, damit ich nicht jeden Client einzeln konfigurieren muss im zweiten Netzwerk.

 

[MaxMuster]

Also keine Telefonie erforderlich?
Das alleine (Patches -> "Remove VoIP & ISDN files") könnte schon reichen für die Box, damit OpenVPN reinpasst.

Ansonsten USB-Netz weg ("Remove avalanche_usb.ko"), Help und Assistent hattest du ja vermutlich schon entfernt??
Dann wäre noch möglich noch httpd statt AVM-Webserver, Kindersicherung weg ("Remove usermand and userman.ko")...

Jörg

EDIT Für den Trunk hab ich mal ein .config angehängt:

installing packages
  avm-firewall-2.0.4_rc3
  openvpn-2.1.1
  authorized-keys-0.1
  bridge-utils-1.2
  haserl-0.9.26
  modcgi-0.2
invoking custom script
shrink shared libs
Starter script rc.ftpd for AVM-FTPD was not integrated into image
libmodmount.sh was not integrated into image
BOX-Info cgi is integrated into image
FREETZ-Info cgis are integrated into image
integrating stripped .config file into image
stripping leftover unstripped binaries
done.

STEP 3: PACK
  Checking for left over Subversion directories
squashfs blocksize
  root filesystem: 131072
integrate freetz info file into image
packing var.tar
creating filesystem image
merging kernel image
  kernel image size: 3858432 (max: 3866624, free: 8192)
packing 7050_04.33freetz-devel-4412.de_20100312-184122.image
Image files can be found in the ./images/ subfolder
done.

FINISHED

 

[m4xL]

danke dir dafür!!!
Werd´s noch hoffentlich diese Wochende noch ausprobieren können. Melde mich nochmal, wenn was nicht klappt.


Gruß m4xL

 

[m4xL]

Hallo zusammen,
leider FUnktionierts immer noch nicht soo richtig : (

Aktuelle Konfigruation schaut soo aus:

Netzwerk mit dem OpenVPN Server ist 192.168.210.0
IP des OpenVPN Servers ist 192.168.210.10

Das Netz des OpenVPN Client ist ebenfalls 192.168.210.0
IP Des Clients ist aber 192.168.210.11

Wenn ich den Verbindunsaufbau über die OpenVPN GUI aufbaue, baut sich der Tunnel auf und bleibt bestehen das TAP Interface bekommt immer noch die 192.168.210.30. Also aus dem Hinterlegt Adresspool von 210.30 bis 210.35.

Nun ist aber aufgefallen, dass das TAP Interface zwar IP-Adresse DNS usw. zugewiesen bekommt aber jedoch keinen Gateway im Anhang nochmal meine Freetz OpenVPN Konfiguration(Webinterface).

Ein weiteres Problem hab ich damit, wenn ich die openvpn.conf unter /var/mod/etc/ editieren werden die einstellungen beim nächsten neustart des OpenVPN Servers wieder gelöscht??

Gruß m4xL