FritzBox 7270 (Freetz) OpenVPN

Sidebar Sidebar
Upgrade 3CX to v18 and get it hosted free!
Hallo Joe,

ja ich weiß, war nur ein Ausschnitt meine Forwardrules. Trotzdem Danke.

Ich glaube es liegt an meinem Client Zugang über UMTS. Lokal (zweite Box mit routing an LAN1 zu Box eins) geht das ganze sehr gut.
Ich denke der Router beim UMTS-Provider hat Probleme mit den IPSec-Paketen.:mad:

Werde das morgen mal mit einem zweiten DSL-Anschluß testen...
Bericht folgt ;)

Kai
 
Hallo

da hatte ich mich woll zu früh gefreut. Auch von einem zweiten DSL Anschulß das gleiche
Code: 
Sun May  9 08:29:17 2010 xxx.xxx.xxx.xxx:2052 Control Channel MTU parms [ L:1590 D:166 EF:66 EB:0 ET:0 EL:0 ]
Sun May  9 08:29:17 2010 xxx.xxx.xxx.xxx:2052 Data Channel MTU parms [ L:1590 D:1450 EF:58 EB:135 ET:32 EL:0 AF:3/1 ]
Sun May  9 08:29:17 2010 xxx.xxx.xxx.xxx:2052 TLS: Initial packet from [AF_INET]77.235.170.70:2052, sid=1eb12062 f52614e4
Sun May  9 08:29:17 2010 read UDPv4 [ECONNREFUSED]: Connection refused (code=146)
Sun May  9 08:29:19 2010 read UDPv4 [ECONNREFUSED]: Connection refused (code=146)
Sun May  9 08:29:19 2010 read UDPv4 [ECONNREFUSED]: Connection refused (code=146)
Sun May  9 08:29:21 2010 read UDPv4 [ECONNREFUSED]: Connection refused (code=146)
Sun May  9 08:29:21 2010 read UDPv4 [ECONNREFUSED]: Connection refused (code=146)
Sun May  9 08:29:24 2010 read UDPv4 [ECONNREFUSED]: Connection refused (code=146)
Sun May  9 08:29:25 2010 read UDPv4 [ECONNREFUSED]: Connection refused (code=146)
Sun May  9 08:29:25 2010 read UDPv4 [ECONNREFUSED]: Connection refused (code=146)
Sun May  9 08:29:27 2010 read UDPv4 [ECONNREFUSED]: Connection refused (code=146)
Sun May  9 08:29:27 2010 read UDPv4 [ECONNREFUSED]: Connection refused (code=146)
Sun May  9 08:29:29 2010 read UDPv4 [ECONNREFUSED]: Connection refused (code=146)
Sun May  9 08:29:31 2010 read UDPv4 [ECONNREFUSED]: Connection refused (code=146)
Sun May  9 08:29:33 2010 read UDPv4 [ECONNREFUSED]: Connection refused (code=146)
Sun May  9 08:29:35 2010 read UDPv4 [ECONNREFUSED]: Connection refused (code=146)
Sun May  9 08:29:38 2010 read UDPv4 [ECONNREFUSED]: Connection refused (code=146)
Sun May  9 08:29:39 2010 read UDPv4 [ECONNREFUSED]: Connection refused (code=146)
Sun May  9 08:29:40 2010 read UDPv4 [ECONNREFUSED]: Connection refused (code=146)
Sun May  9 08:29:41 2010 read UDPv4 [ECONNREFUSED]: Connection refused (code=146)
Sun May  9 08:29:42 2010 read UDPv4 [ECONNREFUSED]: Connection refused (code=146)
Sun May  9 08:29:44 2010 read UDPv4 [ECONNREFUSED]: Connection refused (code=146)
Sun May  9 08:29:46 2010 read UDPv4 [ECONNREFUSED]: Connection refused (code=146)
Sun May  9 08:29:46 2010 read UDPv4 [ECONNREFUSED]: Connection refused (code=146)
Sun May  9 08:29:48 2010 read UDPv4 [ECONNREFUSED]: Connection refused (code=146)
Sun May  9 08:29:49 2010 read UDPv4 [ECONNREFUSED]: Connection refused (code=146)
Sun May  9 08:29:50 2010 read UDPv4 [ECONNREFUSED]: Connection refused (code=146)
Sun May  9 08:29:50 2010 read UDPv4 [ECONNREFUSED]: Connection refused (code=146)
Sun May  9 08:29:52 2010 read UDPv4 [ECONNREFUSED]: Connection refused (code=146)
Sun May  9 08:29:52 2010 read UDPv4 [ECONNREFUSED]: Connection refused (code=146)
Sun May  9 08:29:54 2010 read UDPv4 [ECONNREFUSED]: Connection refused (code=146)
Sun May  9 08:29:54 2010 read UDPv4 [ECONNREFUSED]: Connection refused (code=146)
Sun May  9 08:29:56 2010 read UDPv4 [ECONNREFUSED]: Connection refused (code=146)
Sun May  9 08:29:56 2010 read UDPv4 [ECONNREFUSED]: Connection refused (code=146)
Sun May  9 08:29:58 2010 read UDPv4 [ECONNREFUSED]: Connection refused (code=146)
Sun May  9 08:29:58 2010 read UDPv4 [ECONNREFUSED]: Connection refused (code=146)
Sun May  9 08:30:00 2010 read UDPv4 [ECONNREFUSED]: Connection refused (code=146)
Sun May  9 08:30:00 2010 read UDPv4 [ECONNREFUSED]: Connection refused (code=146)
Sun May  9 08:30:02 2010 read UDPv4 [ECONNREFUSED]: Connection refused (code=146)
Sun May  9 08:30:02 2010 read UDPv4 [ECONNREFUSED]: Connection refused (code=146)
Sun May  9 08:30:04 2010 read UDPv4 [ECONNREFUSED]: Connection refused (code=146)
Sun May  9 08:30:05 2010 read UDPv4 [ECONNREFUSED]: Connection refused (code=146)
Sun May  9 08:30:06 2010 read UDPv4 [ECONNREFUSED]: Connection refused (code=146)
Sun May  9 08:30:06 2010 read UDPv4 [ECONNREFUSED]: Connection refused (code=146)
Sun May  9 08:30:08 2010 read UDPv4 [ECONNREFUSED]: Connection refused (code=146)
Sun May  9 08:30:08 2010 read UDPv4 [ECONNREFUSED]: Connection refused (code=146)
Sun May  9 08:30:10 2010 read UDPv4 [ECONNREFUSED]: Connection refused (code=146)
Sun May  9 08:30:12 2010 read UDPv4 [ECONNREFUSED]: Connection refused (code=146)
Sun May  9 08:30:14 2010 read UDPv4 [ECONNREFUSED]: Connection refused (code=146)
Sun May  9 08:30:15 2010 read UDPv4 [ECONNREFUSED]: Connection refused (code=146)
Sun May  9 08:30:16 2010 read UDPv4 [ECONNREFUSED]: Connection refused (code=146)
Sun May  9 08:30:17 2010 xxx.xxx.xxx.xxx:2052 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your netwo
Sun May  9 08:30:17 2010 xxx.xxx.xxx.xxx:2052 TLS Error: TLS handshake failed
Sun May  9 08:30:17 2010 xxx.xxx.xxx.xxx:2052 SIGUSR1[soft,tls-error] received, client-instance restarting

Auch mit TUN habe ich keien Erfolg. Ich bin langsam am Verzweifeln.
 
Diese Meldung kommt normalerweise, wenn der Server nicht mitbekommt, dass der Client die Verbindung beendet hat.

Also, was ich mir momentan noch vorstellen kann:
- Fehler beim "tls-auth", was nicht auf beiden Seiten drin ist
- Überschneidung der IP Bereiche zwischen den Boxen und/oder dem UMTS

Jörg
 
Hallo,

nach vielen, vielen Versuchen habe ich dann noch einmal eine freetz-1.1-stable-4860 mit statischen linked libraries erstellt.

Erster Versuch mit tap --> 7270 Kernel Bug

Umgestellt auf tun --> Serverlog
Code: 
Tue May 11 22:10:55 2010 OpenVPN 2.1.1 mipsel-linux [SSL] [LZO2] [EPOLL] [MH] built on May  7 2010
Tue May 11 22:10:55 2010 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Tue May 11 22:10:56 2010 Diffie-Hellman initialized with 2048 bit key
Tue May 11 22:10:56 2010 WARNING: file '/tmp/flash/box.key' is group or others accessible
Tue May 11 22:10:56 2010 Control Channel Authentication: using '/tmp/flash/static.key' as a OpenVPN static key file
Tue May 11 22:10:56 2010 Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Tue May 11 22:10:56 2010 Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Tue May 11 22:10:56 2010 TLS-Auth MTU parms [ L:1558 D:166 EF:66 EB:0 ET:0 EL:0 ]
Tue May 11 22:10:56 2010 TUN/TAP device tun0 opened
Tue May 11 22:10:56 2010 TUN/TAP TX queue length set to 100
Tue May 11 22:10:56 2010 /sbin/[COLOR="Red"]ifconfig tun0 10.0.0.1 pointopoint 10.0.0.2 mtu 1500[/COLOR]
Tue May 11 22:10:56 2010 /sbin/[COLOR="Red"]route add -net 192.168.2.0 netmask 255.255.255.0 gw 10.0.0.2[/COLOR]
Tue May 11 22:10:56 2010 Data Channel MTU parms [ L:1558 D:1450 EF:58 EB:135 ET:0 EL:0 AF:3/1 ]
Tue May 11 22:10:56 2010 Socket Buffers: R=[108544->131072] S=[108544->131072]
Tue May 11 22:10:56 2010 UDPv4 link local (bound): [undef]
Tue May 11 22:10:56 2010 UDPv4 link remote: [undef]
Tue May 11 22:10:56 2010 MULTI: multi_init called, r=256 v=256
Tue May 11 22:10:56 2010 IFCONFIG POOL: base=10.0.0.0 size=3
Tue May 11 22:10:56 2010 Initialization Sequence Completed
Tue May 11 22:12:59 2010 MULTI: multi_create_instance called
Tue May 11 22:12:59 2010 xx.xxx.xxx.xxx:2063 Re-using SSL/TLS context
Tue May 11 22:12:59 2010 xx.xxx.xxx.xxx:2063 LZO compression initialized
Tue May 11 22:12:59 2010 xx.xxx.xxx.xxx:2063 Control Channel MTU parms [ L:1558 D:166 EF:66 EB:0 ET:0 EL:0 ]
Tue May 11 22:12:59 2010 xx.xxx.xxx.xxx:2063 Data Channel MTU parms [ L:1558 D:1450 EF:58 EB:135 ET:0 EL:0 AF:3/1 ]
Tue May 11 22:12:59 2010 xx.xxx.xxx.xxx:2063 TLS: Initial packet from [AF_INET]xx.xxx.xxx.xxx:2063, sid=ecdcbabc 8302186b
Tue May 11 22:13:09 2010 xx.xxx.xxx.xxx:2063 VERIFY OK: depth=1, /C=DE/ST=xxxxxx/L=.../O=xxxxxxxxxx.dyndns.org/CN=ca/[email protected]
Tue May 11 22:13:09 2010 xx.xxx.xxx.xxx:2063 VERIFY OK: depth=0, /C=DE/ST=xxxxxx/O=xxxxxxxx.dyndns.org/CN=client01/[email protected]
Tue May 11 22:13:12 2010 xx.xxx.xxx.xxx:2063 Data Channel Encrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
Tue May 11 22:13:12 2010 xx.xxx.xxx.xxx:2063 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Tue May 11 22:13:12 2010 xx.xxx.xxx.xxx:2063 Data Channel Decrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
Tue May 11 22:13:12 2010 xx.xxx.xxx.xxx:2063 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Tue May 11 22:13:13 2010 xx.xxx.xxx.xxx:2063 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
Tue May 11 22:13:13 2010 xx.xxx.xxx.xxx:2063 [client01] Peer Connection Initiated with [AF_INET]xx.xxx.xxx.xxx:2063
Tue May 11 22:13:13 2010 client01/xx.xxx.xxx.xxx:2063 MULTI: Learn: 10.0.0.2 -> client01/xx.xxx.xxx.xxx:2063
Tue May 11 22:13:13 2010 client01/xx.xxx.xxx.xxx:2063 MULTI: primary virtual IP for client01/xx.xxx.xxx.xxx:2063: 10.0.0.2
Tue May 11 22:13:15 2010 client01/xx.xxx.xxx.xxx:2063 PUSH: Received control message: 'PUSH_REQUEST'
Tue May 11 22:13:15 2010 client01/xx.xxx.xxx.xxx:2063 SENT CONTROL [client01]: 'PUSH_REPLY,route 10.0.0.0 255.255.255.0,route 192.168.1.0 255.255.255.0,ping 10,ping-restart 120,ifconfig 10.0.0.2 10.0.0.1' (status=1)

fein fein...
Ping Versuch:

Ping von Server-VPN-IP (10.0.0.1) zum Client-VPN_IP (10.0.0.2) --> Okay
Ping von Serverbox zum Clientbox-Lan-IP (192.168.2.1) --> FAIL
Ping von Serverbox zum Clients im Lan (192.168.2.xxx) --> FAIL

Ping von Client-VPN-IP (10.0.0.2) zum Server-VPN-IP (10.0.0.1) --> Okay
Ping von Clientbox zum Serverbox-Lan-IP (192.168.1.1) --> Okay
Ping von Clientbox zum Clients im LAN (192.168.1.xxx) --> FAIL

route vom server:
Code: 
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
192.168.180.1   *               255.255.255.255 UH    2      0        0 dsl
10.0.0.2        *               255.255.255.255 UH    0      0        0 tun0
192.168.180.2   *               255.255.255.255 UH    2      0        0 dsl
192.168.2.0     10.0.0.2        255.255.255.0   UG    0      0        0 tun0
192.168.1.0     *               255.255.255.0   U     0      0        0 lan
192.168.1.0     *               255.255.255.0   U     0      0        0 eth0
83.221.78.0     *               255.255.254.0   U     2      0        0 dsl
169.254.0.0     *               255.255.0.0     U     0      0        0 lan
default         *               0.0.0.0         U     2      0        0 dsl

route vom client:
Code: 
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
10.0.0.1        *               255.255.255.255 UH    0      0        0 tun0
192.168.180.1   *               255.255.255.255 UH    2      0        0 dsl
192.168.180.2   *               255.255.255.255 UH    2      0        0 dsl
10.0.0.0        10.0.0.1        255.255.255.0   UG    0      0        0 tun0
192.168.3.0     *               255.255.255.0   U     2      0        0 dsl
192.168.2.0     *               255.255.255.0   U     0      0        0 lan
192.168.1.0     10.0.0.1        255.255.255.0   UG    0      0        0 tun0
169.254.0.0     *               255.255.0.0     U     0      0        0 lan
default         *               0.0.0.0         U     2      0        0 dsl

Clientlog:
Code: 
Tue May 11 22:12:57 2010 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Tue May 11 22:12:57 2010 WARNING: file '/tmp/flash/box.key' is group or others accessible
Tue May 11 22:12:57 2010 WARNING: file '/tmp/flash/static.key' is group or others accessible
Tue May 11 22:12:57 2010 Control Channel Authentication: using '/tmp/flash/static.key' as a OpenVPN static key file
Tue May 11 22:12:57 2010 Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Tue May 11 22:12:57 2010 Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Tue May 11 22:12:57 2010 LZO compression initialized
Tue May 11 22:12:57 2010 Control Channel MTU parms [ L:1558 D:166 EF:66 EB:0 ET:0 EL:0 ]
Tue May 11 22:12:59 2010 Data Channel MTU parms [ L:1558 D:1450 EF:58 EB:135 ET:0 EL:0 AF:3/1 ]
Tue May 11 22:12:59 2010 Socket Buffers: R=[110592->131072] S=[110592->131072]
Tue May 11 22:12:59 2010 UDPv4 link local: [undef]
Tue May 11 22:12:59 2010 UDPv4 link remote: [AF_INET]xx.xxx.xxx.xxx:1194
Tue May 11 22:12:59 2010 TLS: Initial packet from [AF_INET]xx.xxx.xxx.xxx:1194, sid=31e8abaa 1d74b004
Tue May 11 22:13:03 2010 VERIFY OK: depth=1, /C=DE/ST=xxxxxx/L=.../O=xxxxxxxx.dyndns.org/CN=ca/[email protected]
Tue May 11 22:13:03 2010 VERIFY OK: nsCertType=SERVER
Tue May 11 22:13:03 2010 VERIFY OK: depth=0, /C=DE/ST=xxxxxx/O=xxxxxxx.dyndns.org/CN=fritzbox/[email protected]
Tue May 11 22:13:12 2010 Data Channel Encrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
Tue May 11 22:13:12 2010 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Tue May 11 22:13:12 2010 Data Channel Decrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
Tue May 11 22:13:12 2010 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Tue May 11 22:13:12 2010 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
Tue May 11 22:13:12 2010 [fritzbox] Peer Connection Initiated with [AF_INET]xx.xxx.xxx.xxx:1194
Tue May 11 22:13:15 2010 SENT CONTROL [fritzbox]: 'PUSH_REQUEST' (status=1)
Tue May 11 22:13:15 2010 PUSH: Received control message: 'PUSH_REPLY,route 10.0.0.0 255.255.255.0,route 192.168.1.0 255.255.255.0,ping                10,ping-restart 120,ifconfig 10.0.0.2 10.0.0.1'
Tue May 11 22:13:15 2010 OPTIONS IMPORT: timers and/or timeouts modified
Tue May 11 22:13:15 2010 OPTIONS IMPORT: --ifconfig/up options modified
Tue May 11 22:13:15 2010 OPTIONS IMPORT: route options modified
Tue May 11 22:13:15 2010 TUN/TAP device tun0 opened
Tue May 11 22:13:15 2010 TUN/TAP TX queue length set to 100
Tue May 11 22:13:15 2010 /sbin/[COLOR="Red"]ifconfig tun0 10.0.0.2 pointopoint 10.0.0.1 mtu 1500[/COLOR]
Tue May 11 22:13:15 2010 /sbin/[COLOR="Red"]route add -net 10.0.0.0 netmask 255.255.255.0 gw 10.0.0.1[/COLOR]
Tue May 11 22:13:15 2010 /sbin/[COLOR="Red"]route add -net 192.168.1.0 netmask 255.255.255.0 gw 10.0.0.1[/COLOR]
Tue May 11 22:13:15 2010 Initialization Sequence Completed

habe auch schon beim server:
Code: 
route add -net 10.0.0.0 netmask 255.255.255.0 gw 10.0.0.2 tun0
versucht.
Kann aber nicht ins das andere Netz pingen.

Brauche ich jetzt noch die iptabels oder wo ist mein Fehler?

Danke Kai.

EDIT: cat /proc/sys/net/ipv4/ip_forward bringt auf beiten Boxen 1 --> ist es also auch nicht.
 
Zuletzt bearbeitet:
Hast du die erlaubte Anzahl der Clients auf > 1 stehen? Dann erwartet der Server, dass die beim Client vorhandenen Netze explizit mit einem "iroute" Eintrag bekannt gemacht werden (ansonsten gibt es im Log "MULTI: bad source address from client x.x.x.x").

Wenn das dein Problem ist hast du zwei Möglichkeiten: "Max Clients" auf 1 setzen oder die erweiterte Client-Konfig wählen und für den Client "clinet01" in der Tabelle neben der VPN-IP (10.0.0.2) das "Netz beim Client" (192.168.2.0 255.255.255.0) eintragen, dann erzeugt das Startskript den nötigen iroute-Eintrag für den Client.

Jörg
 
Zuletzt bearbeitet:
Hallo Jörg,

Danke für die Info.

Die Anzahl der Clients stand auf 1, ging aber nicht. Da habe ich es mal auf 3 gesetzt und die erweiterte Client-Konfig wählen und den Client eintragen.

Das sieht schon etwas besser aus. Jetzt können sich die Boxen gegenseitig pingen, aber ich kommen noch nicht in die localen Netze.

Code: 
Ping von Server-VPN-IP (10.0.0.1) zum Client-VPN_IP (10.0.0.2) --> Okay
Ping von Serverbox zum Clientbox-Lan-IP (192.168.2.1) --> Okay
Ping von Clients im Lan (192.168.1.xxx) des Serverbox-Netz zur Server-VPN-IP (10.0.0.1) --> Okay
Ping von Clients im Lan (192.168.1.xxx) des Serverbox-Netz zur Client-VPN-IP (10.0.0.2) --> Okay
Ping von Clients im Lan (192.168.1.xxx) des Serverbox-Netz zur Clientbox-Lan-IP (192.168.2.1) --> [COLOR="Red"]FAIL[/COLOR]
Ping von Serverbox zur Clients-Lan (192.168.2.xxx) --> [COLOR="Red"]FAIL[/COLOR]


Ping von Client-VPN-IP (10.0.0.2) zum Server-VPN-IP (10.0.0.1) --> Okay
Ping von Clientbox zum Serverbox-Lan-IP (192.168.1.1) --> Okay
Ping von Clients im Lan (192.168.2.xxx) des Clientbox-Netz zur Client-VPN-IP (10.0.0.2) --> Okay
Ping von Clients im Lan (192.168.2.xxx) des Clientbox-Netz zur Server-VPN-IP (10.0.0.1) --> Okay
Ping von Clients im Lan (192.168.2.xxx) des Clientbox-Netz zur Serverbox-Lan-IP (192.168.1.1) --> Okay
Ping von Clientsbox zur Server-Lan (192.168.1.xxx) --> [COLOR="Red"]FAIL[/COLOR]

Das Serverlog sieht meiner Meinung nach gut aus.
Code: 
Wed May 12 20:43:34 2010 OpenVPN 2.1.1 mipsel-linux [SSL] [LZO2] [EPOLL] [MH] built on May  7 2010
Wed May 12 20:43:34 2010 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Wed May 12 20:43:35 2010 Diffie-Hellman initialized with 2048 bit key
Wed May 12 20:43:35 2010 WARNING: file '/tmp/flash/box.key' is group or others accessible
Wed May 12 20:43:35 2010 Control Channel Authentication: using '/tmp/flash/static.key' as a OpenVPN static key file
Wed May 12 20:43:35 2010 Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed May 12 20:43:35 2010 Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed May 12 20:43:35 2010 TLS-Auth MTU parms [ L:1558 D:166 EF:66 EB:0 ET:0 EL:0 ]
Wed May 12 20:43:35 2010 TUN/TAP device tun0 opened
Wed May 12 20:43:35 2010 TUN/TAP TX queue length set to 100
Wed May 12 20:43:35 2010 /sbin/ifconfig tun0 10.0.0.1 netmask 255.255.255.0 mtu 1500 broadcast 10.0.0.255
Wed May 12 20:43:35 2010 /sbin/route add -net 192.168.2.0 netmask 255.255.255.0 gw 10.0.0.2
Wed May 12 20:43:35 2010 Data Channel MTU parms [ L:1558 D:1450 EF:58 EB:135 ET:0 EL:0 AF:3/1 ]
Wed May 12 20:43:35 2010 Socket Buffers: R=[108544->131072] S=[108544->131072]
Wed May 12 20:43:35 2010 UDPv4 link local (bound): [undef]
Wed May 12 20:43:35 2010 UDPv4 link remote: [undef]
Wed May 12 20:43:35 2010 MULTI: multi_init called, r=256 v=256
Wed May 12 20:43:35 2010 IFCONFIG POOL: base=10.0.0.2 size=9
Wed May 12 20:43:35 2010 Initialization Sequence Completed
Wed May 12 20:43:49 2010 MULTI: multi_create_instance called
Wed May 12 20:43:49 2010 xx.xxx.xxx.xxx:2068 Re-using SSL/TLS context
Wed May 12 20:43:49 2010 xx.xxx.xxx.xxx:2068 LZO compression initialized
Wed May 12 20:43:49 2010 xx.xxx.xxx.xxx:2068 Control Channel MTU parms [ L:1558 D:166 EF:66 EB:0 ET:0 EL:0 ]
Wed May 12 20:43:49 2010 xx.xxx.xxx.xxx:2068 Data Channel MTU parms [ L:1558 D:1450 EF:58 EB:135 ET:0 EL:0 AF:3/1 ]
Wed May 12 20:43:49 2010 xx.xxx.xxx.xxx:2068 TLS: Initial packet from [AF_INET]xx.xxx.xxx.xxx:2068, sid=5433e9b2 8d617672
Wed May 12 20:43:58 2010 xx.xxx.xxx.xxx:2068 VERIFY OK: depth=1, /C=DE/ST=xxxxxxxx/L=.../O=xxxxxxxx.dyndns.org/CN=ca/[email protected]
Wed May 12 20:43:58 2010 xx.xxx.xxx.xxx:2068 VERIFY OK: depth=0, /C=DE/ST=xxxxxxxx/O=xxxxxxxx.dyndns.org/CN=client01/[email protected]
Wed May 12 20:44:00 2010 xx.xxx.xxx.xxx:2068 Data Channel Encrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
Wed May 12 20:44:00 2010 xx.xxx.xxx.xxx:2068 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed May 12 20:44:00 2010 xx.xxx.xxx.xxx:2068 Data Channel Decrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
Wed May 12 20:44:00 2010 xx.xxx.xxx.xxx:2068 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed May 12 20:44:01 2010 xx.xxx.xxx.xxx:2068 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
Wed May 12 20:44:01 2010 xx.xxx.xxx.xxx:2068 [client01] Peer Connection Initiated with [AF_INET]xx.xxx.xxx.xxx:2068
Wed May 12 20:44:01 2010 client01/xx.xxx.xxx.xxx:2068 OPTIONS IMPORT: reading client specific options from: /var/tmp/clients_openvpn/client01
Wed May 12 20:44:01 2010 client01/xx.xxx.xxx.xxx:2068 MULTI: Learn: 10.0.0.2 -> client01/xx.xxx.xxx.xxx:2068
Wed May 12 20:44:01 2010 client01/xx.xxx.xxx.xxx:2068 MULTI: primary virtual IP for client01/xx.xxx.xxx.xxx:2068: 10.0.0.2
Wed May 12 20:44:01 2010 client01/xx.xxx.xxx.xxx:2068 MULTI: internal route 192.168.2.0/24 -> client01/xx.xxx.xxx.xxx:2068
Wed May 12 20:44:01 2010 client01/xx.xxx.xxx.xxx:2068 MULTI: Learn: 192.168.2.0/24 -> client01/xx.xxx.xxx.xxx:2068
Wed May 12 20:44:03 2010 client01/xx.xxx.xxx.xxx:2068 PUSH: Received control message: 'PUSH_REQUEST'
Wed May 12 20:44:03 2010 client01/xx.xxx.xxx.xxx:2068 SENT CONTROL [client01]: 'PUSH_REPLY,route 10.0.0.1 ,route 192.168.1.0 255.255.255.0 10.0.0.1,ping 10,ping-restart 120,topology subnet,ifconfig 10.0.0.2 255.255.255.0' (status=1)
Wed May 12 20:44:38 2010 MULTI: Learn: 192.168.2.1 -> client01/xx.xxx.xxx.xxx:2068
Wed May 12 20:44:41 2010 MULTI: Learn: 192.168.2.30 -> client01/xx.xxx.xxx.xxx:2068

Beim Clientlog bin ich mir nicht so sicher:
Code: 
Wed May 12 20:43:48 2010 OpenVPN 2.1.1 mipsel-linux [SSL] [LZO2] [EPOLL] [MH] built on May  7 2010
Wed May 12 20:43:48 2010 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Wed May 12 20:43:48 2010 WARNING: file '/tmp/flash/box.key' is group or others accessible
Wed May 12 20:43:48 2010 WARNING: file '/tmp/flash/static.key' is group or others accessible
Wed May 12 20:43:48 2010 Control Channel Authentication: using '/tmp/flash/static.key' as a OpenVPN static key file
Wed May 12 20:43:48 2010 Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed May 12 20:43:48 2010 Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed May 12 20:43:48 2010 LZO compression initialized
Wed May 12 20:43:48 2010 Control Channel MTU parms [ L:1558 D:166 EF:66 EB:0 ET:0 EL:0 ]
Wed May 12 20:43:49 2010 Data Channel MTU parms [ L:1558 D:1450 EF:58 EB:135 ET:0 EL:0 AF:3/1 ]
Wed May 12 20:43:49 2010 Socket Buffers: R=[110592->131072] S=[110592->131072]
Wed May 12 20:43:49 2010 UDPv4 link local: [undef]
Wed May 12 20:43:49 2010 UDPv4 link remote: [AF_INET]xx.xxx.xxx.xxx:1194
Wed May 12 20:43:49 2010 TLS: Initial packet from [AF_INET]xx.xxx.xxx.xxx:1194, sid=0dba9286 f2059d44
Wed May 12 20:43:52 2010 VERIFY OK: depth=1, /C=DE/ST=xxxxxxxx/L=.../O=xxxxxxxx.dyndns.org/CN=ca/[email protected]
Wed May 12 20:43:52 2010 VERIFY OK: nsCertType=SERVER
Wed May 12 20:43:52 2010 VERIFY OK: depth=0, /C=DE/ST=xxxxxxxx/O=xxxxxxxx.dyndns.org/CN=fritzbox/[email protected]
Wed May 12 20:44:00 2010 Data Channel Encrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
Wed May 12 20:44:00 2010 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed May 12 20:44:00 2010 Data Channel Decrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
Wed May 12 20:44:00 2010 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed May 12 20:44:00 2010 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
Wed May 12 20:44:01 2010 [fritzbox] Peer Connection Initiated with [AF_INET]xx.xxx.xxx.xxx:1194
Wed May 12 20:44:03 2010 SENT CONTROL [fritzbox]: 'PUSH_REQUEST' (status=1)
Wed May 12 20:44:03 2010 PUSH: Received control message: 'PUSH_REPLY,route 10.0.0.1 ,route 192.168.1.0 255.255.255.0 10.0.0.1,ping 10,ping-restart 120,topology subnet,ifconfig 10.0.0.2 255.255.255.0'
Wed May 12 20:44:03 2010 OPTIONS IMPORT: timers and/or timeouts modified
Wed May 12 20:44:03 2010 OPTIONS IMPORT: --ifconfig/up options modified
Wed May 12 20:44:03 2010 OPTIONS IMPORT: route options modified
[COLOR="Red"]Wed May 12 20:44:03 2010 OpenVPN ROUTE: OpenVPN needs a gateway parameter for a --route option and no default was specified by either --route-gateway or --ifconfig options
Wed May 12 20:44:03 2010 OpenVPN ROUTE: failed to parse/resolve route for host/network: 10.0.0.1[/COLOR]
Wed May 12 20:44:03 2010 TUN/TAP device tun0 opened
Wed May 12 20:44:03 2010 TUN/TAP TX queue length set to 100
Wed May 12 20:44:03 2010 /sbin/ifconfig tun0 10.0.0.2 netmask 255.255.255.0 mtu 1500 broadcast 10.0.0.255
Wed May 12 20:44:03 2010 /sbin/route add -net 192.168.1.0 netmask 255.255.255.0 gw 10.0.0.1
Wed May 12 20:44:04 2010 Initialization Sequence Completed

Was meint: "OpenVPN ROUTE: OpenVPN needs a gateway parameter for a --route option and no default was specified by either --route-gateway or --ifconfig options"

Danke für die Hilfe.

Gruß Kai.
 
kaiwerner schrieb:
Was meint: "OpenVPN ROUTE: OpenVPN needs a gateway parameter for a --route option and no default was specified by either --route-gateway or --ifconfig options"
Zum Vergrößern anklicken....
Da ist irgendwas noch "unrund" in der Config, der erste Part in der "Push-Antwort" ist ungültig, solange kein "route-gateway" angegeben ist: "'PUSH_REPLY,route 10.0.0.1 ,..."

Das sollte aber nichts weiter ausmachen.

Wenn die Geräte in den Netzen untereinander nicht ansprechbar sind, tippe ich erstmal auf Firewalls auf den Geräten. Der Fall, dass du aus dem "LAN beim Client" die LAN-IP des Server nicht erreichts ist aber merkwürdig. Die Boxen sind aber jeweils das "Tor zum Internet", also "Standardgateway" im Netz??

Könntest du dazu mal einen "trace" machen? Also z.B. vom "Client-LAN" zum Server-LAN-Interface bei Windows:

tracert -d 192.168.2.1

Jörg
 
Zuletzt bearbeitet:
Friewalls auf den Clients sind aus. Das ist es leider nicht. Kann auch den Drucker nicht pingen.

Trace von einem Windows-PC (192.168.2.30) aus dem Clientnetz.
Gateway ist dei Box (192.168.2.1)

Code: 
tracert -d 10.0.0.2
Routenverfolgung zu 10.0.0.2 über maximal 30 Abschnitte

  1       1 ms       <1 ms     <1 ms  10.0.0.2

Ablaufverfolgung beendet.

Code: 
tracert -d 10.0.0.1
Routenverfolgung zu 10.0.0.1 über maximal 30 Abschnitte

  1       1 ms         1 ms       1 ms  192.168.2.1
  2    197 ms     201 ms    178 ms  10.0.0.1

Ablaufverfolgung beendet.

Code: 
tracert -d 192.168.1.1
Routenverfolgung zu 192.168.1.1 über maximal 30 Abschnitte

  1       1 ms       <1 ms      <1 ms  192.168.2.1
  2    307 ms     299 ms    299 ms  192.168.1.1

Ablaufverfolgung beendet.

Code: 
tracert -d 192.168.1.2
Routenverfolgung zu 192.168.1.2 über maximal 30 Abschnitte

  1       1 ms       <1 ms      <1 ms  192.168.2.1
  2    287 ms     299 ms    278 ms  10.0.0.1
  3     *        *        *     Zeitüberschreitung der Anforderung.
  4     *        *        *     Zeitüberschreitung der Anforderung.
  5     *        *        *     Zeitüberschreitung der Anforderung.
  6     *        *        *     Zeitüberschreitung der Anforderung.
 
Das ist am Anfang eigentlich genauso, wie es sein sollte...
Erst die "lokale" Box, dann der VPN-Server (10.0.0.1). Ist denn in dem Gerät mit 192.168.1.2 auch sicher 192.168.1.1 als Standardgateway drin? Wie sieht da der "Rückweg" aus, also ein Trace von 192.168.1.2 zu 192.168.2.30??

Jörg
 
Aus dem Servernetz von einem PC mit:
Code: 
Ethernetadapter LAN-Verbindung:

        Verbindungsspezifisches DNS-Suffix:
        Beschreibung. . . . . . . . . . . : Marvell Yukon 88E8053 PCI-E Gigabit Ethernet Controller
        Physikalische Adresse . . . . . . : xx-xx-xx-xx-78-45
        DHCP aktiviert. . . . . . . . . . : Nein
        IP-Adresse. . . . . . . . . . . . : 192.168.1.20
        Subnetzmaske. . . . . . . . . . . : 255.255.255.0
        Standardgateway . . . . . . . . . : 192.168.1.1
        DNS-Server. . . . . . . . . . . . : 192.168.1.1
        Primärer WINS-Server. . . . . . . : 192.168.1.1


192.168.1.1 ist Fritz!Box (VPN-Server-Netz 10.0.0.1):

Vom Windowsclient aus (192.168.1.20)
Code: 
tracert -d 10.0.0.1

Routenverfolgung zu 10.0.0.1 über maximal 30 Abschnitte

  1     *        *        *     Zeitüberschreitung der Anforderung.
  2     *        *        *     Zeitüberschreitung der Anforderung.
  3     *        *        *     Zeitüberschreitung der Anforderung.
  4     *        *        *     Zeitüberschreitung der Anforderung.
  5     *        *        *     Zeitüberschreitung der Anforderung.
  6     *        *        *     Zeitüberschreitung der Anforderung.
  7     *        *

Von der Serverbox aus:
Code: 
/var/mod/root # traceroute -n 192.168.2.80
traceroute to 192.168.2.80 (192.168.2.80), 30 hops max, 38 byte packets
 1  10.0.0.2  304.599 ms  274.806 ms  278.808 ms
 2  192.168.2.80  280.045 ms  279.179 ms  282.934 ms

Routen von Serverbox:
Code: 
/var/mod/root # route
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
192.168.180.1   *               255.255.255.255 UH    2      0        0 dsl
192.168.180.2   *               255.255.255.255 UH    2      0        0 dsl
10.0.0.0        *               255.255.255.0   U     0      0        0 tun0
192.168.2.0     10.0.0.2        255.255.255.0   UG    0      0        0 tun0
192.168.1.0     *               255.255.255.0   U     0      0        0 lan
192.168.1.0     *               255.255.255.0   U     0      0        0 eth0
xx.xxx.xxx.x     *               255.255.254.0   U     2      0        0 dsl
169.254.0.0     *               255.255.0.0     U     0      0        0 lan
default         *               0.0.0.0         U     2      0        0 dsl

ipconfig ergibt:
Code: 
lan       Link encap:Ethernet  HWaddr xx:xx:xx:xxD:68:83
          inet addr:192.168.1.1  Bcast:192.168.1.255  Mask:255.255.255.0
          UP BROADCAST RUNNING ALLMULTI MULTICAST  MTU:1500  Metric:1
          RX packets:246730 errors:0 dropped:0 overruns:0 frame:0
          TX packets:384352 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:43622803 (41.6 MiB)  TX bytes:79937615 (76.2 MiB)

lan:0     Link encap:Ethernet  HWaddr xx:xx:xx:xx:68:83
          inet addr:169.254.1.1  Bcast:169.254.255.255  Mask:255.255.0.0
          UP BROADCAST RUNNING ALLMULTI MULTICAST  MTU:1500  Metric:1

lo        Link encap:Local Loopback
          inet addr:127.0.0.1  Mask:255.0.0.0
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:16245 errors:0 dropped:0 overruns:0 frame:0
          TX packets:16245 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:2899230 (2.7 MiB)  TX bytes:2899230 (2.7 MiB)

tun0      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
          inet addr:10.0.0.1  P-t-P:10.0.0.1  Mask:255.255.255.0
          UP POINTOPOINT RUNNING NOARP ALLMULTI MULTICAST  MTU:1500  Metric:1
          RX packets:1114 errors:0 dropped:0 overruns:0 frame:0
          TX packets:954 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100
          RX bytes:93410 (91.2 KiB)  TX bytes:103658 (101.2 KiB)
 
Hmm, der trace sieht aber garnicht gut aus...
Kannst du denn von dem PC die VPN-IP der "lokalen" Box (10.0.0.1) erreichen? Sieht ein Trace z.B. zu 192.168.2.80 genauso aus?
Wie sieht die Routingtabelle auf dem PC aus ("route print")?

Jörg
 
Um antworten zu können musst du eingeloggt sein.

Zurzeit aktive Besucher

Gesamt: 730 (Mitglieder: 35, Gäste: 695)

Neueste Beiträge

Statistik des Forums

Themen
246,304
Beiträge
2,249,773
Mitglieder
373,912
Neuestes Mitglied
MarXSch
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
Ihr E-Mail-Adresse verifizieren

Ihr E-Mail-Adresse verifizieren

Wir haben Ihnen eine E-Mail geschickt. Klicken Sie auf die Schaltfläche im E-Mail-Text, um Ihre E-Mail-Adresse zu verifizieren – (Können Sie diese nicht finden können, dann überprüfen Sie Ihren Spam-Ordner).

IPPF im Überblick

Neueste Beiträge

Direktlinks Telefonanlage

Website-Sponsoren

3CX sponsor
KONTAKTIEREN SIE UNS BEI INTERESSE
| Style by ThemeHouse
XenPorta 2 PRO © Jason Axelrod of 8WAYRUN
Oben Unten
Zurück