[Gelöst] OpenVPN, 2x Fritzbox - kein Ping

[ma1]

Hallo,

hab folgenden Aufbau:
2x Fritzbox 7270, beide mit aktuellem Freetz-devel und OpenVPN geflasht
Bei beiden ist LAN1 als Internetzugang konfiguriert und über einen Switch verbunden (Später soll das dann über das DSL laufen, aber zum testen erschien mir das einfacher)
An je einem weiterem LAN-Anschluss hängt ein PC (später dann ein kleines Netzwerk mit Drucker, PC usw)
Nun soll die OpenVPN-Verbindung über die beiden Anschlüsse LAN1 aufgebaut werden.
Dies scheint auch zu funktionieren (in der Freetz-Oberfläche wird der Client als verbunden angezeigt), jedoch bekomme ich keinerlei Verbindung zwischen den beiden PC's bzw den Fritzboxen

Server-Fritzbox:

IP 10.0.0.1/255.255.255.0​

LAN1 10.200.0.1/255.255.255.0​

Client-Fritzbox:

IP 10.0.1.1/255.255.255.0​

LAN1 10.200.0.2/255.255.255.0​

Server
openvpn.conf

proto udp
dev tap0
#Helperline for rc.openvpn to add tap0 to lan bridge
ca /tmp/flash/openvpn/ca.crt
cert /tmp/flash/openvpn/box.crt
key /tmp/flash/openvpn/box.key
dh /tmp/flash/openvpn/dh.pem
tls-server
port 1194
ifconfig 192.168.200.1 255.255.255.0
push "route-gateway 192.168.200.1"
push "route 10.0.0.0 255.255.255.0"
route 10.0.1.0 255.255.255.0 192.168.200.2
max-clients 5
mode server
ifconfig-pool 192.168.200.100 192.168.200.150
push "route 192.168.200.0 255.255.255.0"
client-to-client
tun-mtu 1500
mssfix
log /var/tmp/debug_openvpn.out
verb 3
cipher BF-CBC
float
keepalive 10 120
status /var/log/openvpn.log
chroot /tmp/openvpn
user openvpn
group openvpn
persist-tun
persist-key

Client-Box
openvpn.conf

proto udp
dev tap0
#Helperline for rc.openvpn to add tap0 to lan bridge
ca /tmp/flash/openvpn/ca.crt
cert /tmp/flash/openvpn/box.crt
key /tmp/flash/openvpn/box.key
tls-client
ns-cert-type server
remote 10.200.0.1
nobind
route 10.0.0.0 255.255.255.0 192.168.200.1
ifconfig 192.168.200.2 255.255.255.0
tun-mtu 1500
mssfix
log /var/tmp/debug_openvpn.out
verb 3
cipher BF-CBC
float
keepalive 10 120
resolv-retry infinite
status /var/log/openvpn.log
chroot /tmp/openvpn
user openvpn
group openvpn
persist-tun
persist-key

Server-Box ifconfig

lan       Link encap:Ethernet  HWaddr 00:1A:4F:06:71:34  
          inet addr:10.0.0.1  Bcast:10.0.0.255  Mask:255.255.255.0
          inet6 addr: fe80::21a:4fff:fe06:7134/64 Scope:Link
          UP BROADCAST RUNNING ALLMULTI MULTICAST  MTU:1500  Metric:1
          RX packets:292 errors:0 dropped:0 overruns:0 frame:0
          TX packets:2635 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0 
          RX bytes:49949 (48.7 KiB)  TX bytes:523873 (511.5 KiB)

tap0      Link encap:Ethernet  HWaddr EA:D2:B2:85:1B:B0  
          inet addr:192.168.200.1  Bcast:192.168.200.255  Mask:255.255.255.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:109 errors:0 dropped:0 overruns:0 frame:0
          TX packets:132 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100 
          RX bytes:21209 (20.7 KiB)  TX bytes:26951 (26.3 KiB)

Client-Box ifconfig

lan       Link encap:Ethernet  HWaddr 00:24:FE:11:72:72  
          inet addr:10.0.1.1  Bcast:10.0.1.255  Mask:255.255.255.0
          inet6 addr: fe80::224:feff:fe11:7272/64 Scope:Link
          UP BROADCAST RUNNING ALLMULTI MULTICAST  MTU:1500  Metric:1
          RX packets:279 errors:0 dropped:0 overruns:0 frame:0
          TX packets:2578 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0 
          RX bytes:47159 (46.0 KiB)  TX bytes:516990 (504.8 KiB)

tap0      Link encap:Ethernet  HWaddr FA:8D:39:F7:1C:01  
          inet addr:192.168.200.2  Bcast:192.168.200.255  Mask:255.255.255.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:71 errors:0 dropped:0 overruns:0 frame:0
          TX packets:256 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100 
          RX bytes:23612 (23.0 KiB)  TX bytes:53462 (52.2 KiB)

Server-Box route

Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
192.168.180.1   *               255.255.255.255 UH    2      0        0 dsl
192.168.180.2   *               255.255.255.255 UH    2      0        0 dsl
10.0.0.0        *               255.255.255.0   U     0      0        0 lan
10.0.1.0        192.168.200.2   255.255.255.0   UG    0      0        0 tap0
10.200.0.0      *               255.255.255.0   U     2      0        0 dsl
192.168.200.0   *               255.255.255.0   U     0      0        0 tap0
192.168.189.0   *               255.255.255.0   U     0      0        0 guest
169.254.0.0     *               255.255.0.0     U     0      0        0 lan
default         *               0.0.0.0         U     2      0        0 dsl

Client-Box route

Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
192.168.180.1   *               255.255.255.255 UH    2      0        0 dsl
192.168.180.2   *               255.255.255.255 UH    2      0        0 dsl
10.0.0.0        192.168.200.1   255.255.255.0   UG    0      0        0 tap0
10.0.1.0        *               255.255.255.0   U     0      0        0 lan
10.200.0.0      *               255.255.255.0   U     2      0        0 dsl
192.168.200.0   *               255.255.255.0   U     0      0        0 tap0
192.168.189.0   *               255.255.255.0   U     0      0        0 guest
169.254.0.0     *               255.255.0.0     U     0      0        0 lan
default         *               0.0.0.0         U     2      0        0 dsl

Server-Box debug_openvpn.out

Fri Jan 25 09:32:55 2013 OpenVPN 2.3.0 mipsel-unknown-linux-gnu [SSL (OpenSSL)] [LZO] [MH] [IPv6] built on Jan 18 2013
Fri Jan 25 09:32:55 2013 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Fri Jan 25 09:32:55 2013 Diffie-Hellman initialized with 1024 bit key
Fri Jan 25 09:32:55 2013 Socket Buffers: R=[178176->131072] S=[178176->131072]
Fri Jan 25 09:32:55 2013 TUN/TAP device tap0 opened
Fri Jan 25 09:32:55 2013 TUN/TAP TX queue length set to 100
Fri Jan 25 09:32:55 2013 do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
Fri Jan 25 09:32:55 2013 /sbin/ifconfig tap0 192.168.200.1 netmask 255.255.255.0 mtu 1500 broadcast 192.168.200.255
Fri Jan 25 09:32:55 2013 /sbin/route add -net 10.0.1.0 netmask 255.255.255.0 gw 192.168.200.2
Fri Jan 25 09:32:55 2013 chroot to '/tmp/openvpn' and cd to '/' succeeded
Fri Jan 25 09:32:55 2013 GID set to openvpn
Fri Jan 25 09:32:55 2013 UID set to openvpn
Fri Jan 25 09:32:55 2013 UDPv4 link local (bound): [undef]
Fri Jan 25 09:32:55 2013 UDPv4 link remote: [undef]
Fri Jan 25 09:32:55 2013 MULTI: multi_init called, r=256 v=256
Fri Jan 25 09:32:55 2013 IFCONFIG POOL: base=192.168.200.100 size=51, ipv6=0
Fri Jan 25 09:32:55 2013 Initialization Sequence Completed
Fri Jan 25 09:33:44 2013 10.200.0.2:60004 TLS: Initial packet from [AF_INET]10.200.0.2:60004, sid=4c44bd1c 4fb14099
Fri Jan 25 09:33:45 2013 10.200.0.2:60004 VERIFY OK: depth=1, xxx
Fri Jan 25 09:33:45 2013 10.200.0.2:60004 VERIFY OK: depth=0, xxx
Fri Jan 25 09:33:45 2013 10.200.0.2:60004 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Fri Jan 25 09:33:45 2013 10.200.0.2:60004 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Fri Jan 25 09:33:45 2013 10.200.0.2:60004 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Fri Jan 25 09:33:45 2013 10.200.0.2:60004 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Fri Jan 25 09:33:45 2013 10.200.0.2:60004 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
Fri Jan 25 09:33:45 2013 10.200.0.2:60004 [client01] Peer Connection Initiated with [AF_INET]10.200.0.2:60004
Fri Jan 25 09:33:45 2013 client01/10.200.0.2:60004 MULTI_sva: pool returned IPv4=192.168.200.100, IPv6=(Not enabled)
Fri Jan 25 09:33:48 2013 client01/10.200.0.2:60004 MULTI: Learn: 00:24:fe:11:72:72 -> client01/10.200.0.2:60004
Fri Jan 25 09:33:49 2013 client01/10.200.0.2:60004 MULTI: Learn: fa:8d:39:f7:1c:01 -> client01/10.200.0.2:60004
Fri Jan 25 09:34:39 2013 client01/10.200.0.2:60004 MULTI: Learn: 00:1b:24:17:80:15 -> client01/10.200.0.2:60004

Client-Box debug_openvpn.out

Fri Jan 25 09:33:48 2013 OpenVPN 2.3.0 mipsel-unknown-linux-gnu [SSL (OpenSSL)] [LZO] [MH] [IPv6] built on Jan 18 2013
Fri Jan 25 09:33:48 2013 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Fri Jan 25 09:33:48 2013 Socket Buffers: R=[178176->131072] S=[178176->131072]
Fri Jan 25 09:33:48 2013 TUN/TAP device tap0 opened
Fri Jan 25 09:33:48 2013 TUN/TAP TX queue length set to 100
Fri Jan 25 09:33:48 2013 do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
Fri Jan 25 09:33:48 2013 /sbin/ifconfig tap0 192.168.200.2 netmask 255.255.255.0 mtu 1500 broadcast 192.168.200.255
Fri Jan 25 09:33:48 2013 /sbin/route add -net 10.0.0.0 netmask 255.255.255.0 gw 192.168.200.1
Fri Jan 25 09:33:48 2013 chroot to '/tmp/openvpn' and cd to '/' succeeded
Fri Jan 25 09:33:48 2013 GID set to openvpn
Fri Jan 25 09:33:48 2013 UID set to openvpn
Fri Jan 25 09:33:48 2013 UDPv4 link local: [undef]
Fri Jan 25 09:33:48 2013 UDPv4 link remote: [AF_INET]10.200.0.1:1194
Fri Jan 25 09:33:48 2013 TLS: Initial packet from [AF_INET]10.200.0.1:1194, sid=3390f5bf 62497944
Fri Jan 25 09:33:48 2013 VERIFY OK: depth=1, xxx
Fri Jan 25 09:33:48 2013 VERIFY OK: nsCertType=SERVER
Fri Jan 25 09:33:48 2013 VERIFY OK: depth=0, xxx
Fri Jan 25 09:33:49 2013 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Fri Jan 25 09:33:49 2013 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Fri Jan 25 09:33:49 2013 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Fri Jan 25 09:33:49 2013 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Fri Jan 25 09:33:49 2013 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
Fri Jan 25 09:33:49 2013 [server] Peer Connection Initiated with [AF_INET]10.200.0.1:1194
Fri Jan 25 09:33:50 2013 Initialization Sequence Completed

Vielleicht kann mir jemand weiterhelfen.

Besten dank im voraus

 

[MaxMuster]

Was genau hast du denn getestet? Erster Test wäre, ob die "eine VPN-Seite die andere erreicht", also Ping von 192.168.200.1 auf 192.168.200.2.

Ich würde jedoch dringend davon abraten, die Netze per "TAP" miteinander direkt zu verbinden. Die Konfig so wäre prima, wenn du "TUN" nutzt.
Wenn du wirklich unbedingt eine "Brückung" der Netze benötigst, muss auch die Konfig das berücksichtigen (nur ein IP-Kreis auf den beiden
LANs, wer macht DHCP, wo ist das Defaultgateway usw. Du siehst in deinem LOG z.B., dass der Server die LAN(!) MAC-Adresse des Clients über das VPN lernt.)

Ohne "dringenden Bedarf" und entsprechende Konfig (die, ohne dir persönlich zu nahe treten zu wollen, oft einiges an "Wissens-Erweiterung" bedarf)
ist eine "Netzkoppelung" über Tunnel die deutlich bessere Lösung.

 

[ma1]

Ja das war der erste Test. Ich hab von der einen Fritzbox versucht, die andere anzupingen. Also mit ping 192.168.200.1 bzw. umgekehrt.
Aber selbst das geht nicht.

Werde deinen Rat befolgen und das morgen mal mit TUN probieren.

Jedoch würde es mich trotzdem interessieren, warum ich bei TAP keinen Ping zwischen den beiden Fritzboxen zusammen bekomme.

Trotzdem schon mal Danke für die Antwort.

 

[MaxMuster]

Entweder es liegt an dem Haken bei "mit LAN brücken". Sind die Boxen LAN- und WLAN-mäßig komplett getrennt?!?

Oder es liegt am "IP-Pool", denn du hast der Server-Box gesagt, IPs ab 192.168.200.100 zu vergeben, der Client-Box aber "fest" die 192.168.200.2 gegeben.
Eventuell will die Server-Box die Client-Box mit der 192.168.200.100 ereichen?
Du könntest mal schauen, ob die ARP-Auflösung geht: Ping und dann ein "arp -an". Das sollte zur IP der anderen Box die MAC-Adresse des TAP anzeigen.

Ansonsten mach es doch mal so:
Weise beim Server dem Client mit dem Namen "client01" in der "erweiterten Clientconfig" fest eine IP zu und trage dort das LAN beim Client ein.
Beim Client dann IP und Route entfernen und "auch IP vom Server empfangen" anhaken, dann klappt das auch.

Hatte ich erst übersehen: Das mit der "erweiterten Client-Config" ist bei dir sowieso erforderlich, damit dann Geräte aus dem LAN beim Client in das Netz beim Server kommen (Falls du es weiter vertiefen willst: "mode server" benötigt einen "iroute" Eintrag, um ein Netz beim Client zu verwalten)

 

[ma1]

Ja, die Boxen sind komplett getrennt.
Also nur über einen Switch über LAN1 verbunden und je ein PC an LAN4.

Aber mir scheint, das mir da die Konfiguration über LAN1 Probleme macht, denn selbst ein Ping von einer Fritzbox auf die andere Box klappt nicht (egal ob Openvpn läuft oder nicht), obwohl ich mir sicher war, das das am anfang funktioniert hatte.
Versteh jedoch nicht, wie dann die Verbindung erfolgreich aufgebaut werden kann.
Ich werd das ganze wohl doch nochmal über DSL testen und meld mich dann wieder.

Danke für deine Mühe bisher, MaxMuster.
Auch werd ich das doch noch mit dem TAP weiter vertiefen, will ja auch was lernen.

 

[MaxMuster]

... selbst ein Ping von einer Fritzbox auf die andere Box klappt nicht (egal ob Openvpn läuft oder nicht), obwohl ich mir sicher war, das das am anfang funktioniert hatte.

Zumindest bei den neueren FW der 7390 konnte man "seine eigene" externe IP aus dem LAN nicht erreichen, ich meine aber das war "von extern" weiterhin möglich. Kann vielleicht sein, dass das in deiner Firmware von AVM deaktiviert wurde?

 

[ma1]

Ok. Ich hab jetzt alles zurück gesetzt.
Kann jetzt wieder die eine Box von der anderen anpingen (LAN1 10.0.0.1/10.0.1.1).

 

[ma1]

Du könntest mal schauen, ob die ARP-Auflösung geht: Ping und dann ein "arp -an". Das sollte zur IP der anderen Box die MAC-Adresse des TAP anzeigen.

Den arp-Befehl hab ich auf der Fritzbox nicht

 

[ma1]

Ansonsten mach es doch mal so:
Weise beim Server dem Client mit dem Namen "client01" in der "erweiterten Clientconfig" fest eine IP zu und trage dort das LAN beim Client ein.
Beim Client dann IP und Route entfernen und "auch IP vom Server empfangen" anhaken, dann klappt das auch.

Hatte ich erst übersehen: Das mit der "erweiterten Client-Config" ist bei dir sowieso erforderlich, damit dann Geräte aus dem LAN beim Client in das Netz beim Server kommen (Falls du es weiter vertiefen willst: "mode server" benötigt einen "iroute" Eintrag, um ein Netz beim Client zu verwalten)

Hab ich jetzt so gemacht. Der Client bekommt auch die Adresse 192.168.200.100 aber ein Ping auf 192.168.200.100 klappt trotzdem nicht von der Server-Fritzbox.
Außerdem bekomme ich jetzt im debug-Log des Servers den Hinweis: "MULTI --iroute options rejected for client01/10.200.200.1:49337 -- iroute only works with tun-style tunnels".

 

[cloudmember]

Den arp-Befehl hab ich auf der Fritzbox nicht

Die Infos kannst du auch dem Proc-Filesystem entnehmen:

cat /proc/net/arp

 

[ma1]

Danke cloudmember.

mit ping auf 10.0.1.1 von der Serverbox bzw. umgekehrt steht dann folgendes in /proc/net/arp

Serverbox:

IP address       HW type     Flags       HW address            Mask     Device
10.0.0.20        0x1         0x2         00:40:d0:5f:2b:d5     *        lan
192.168.200.100  0x1         0x0         00:00:00:00:00:00     *        tap0

Clientbox:

IP address       HW type     Flags       HW address            Mask     Device
10.0.1.21        0x1         0x2         00:1b:24:17:80:15     *        lan
192.168.200.1    0x1         0x0         00:00:00:00:00:00     *        tap0

 

[MaxMuster]

Ich meinte erstmal einen Ping auf die "VPN-IP" der Gegenseite, also die 192.168.200.1 bzw .192.168.200.100 und dann den "arp". Hast du den Haken bei "mit LAN brücken" rausgenommen?!?

 

[ma1]

Super, an dem Haken bei "LAN brücken" lags.
Ping klappt jetzt.


Was bedeutet jetzt die Meldung im Serverlog ?
MULTI: --iroute options rejected for client01/10.200.0.2:60121 -- iroute only works with tun-style tunnels

 

[MaxMuster]

Wenn du noch mit "TAP" arbeitest, kannst/brauchst du die Netze nicht dem Client zuordnen.

Bei "TUN" kennt die FB selbst nur eine Route zum VPN-Prozess. Das VPN selbst kann aber mit dem üblichen Befehl "rote <irgendein Netz> <Netzmaske>" noch nicht auskommen.
Es muss noch eingetragen werden, zu welchem Client das Netz muss, und das passiert mit dem "iroute", das die "erweiterte Config" anlegt (das müsste ich für TAP mal rausnehmen, denn das ist so scheinbar ein Fehler in der Auswertung der GUI).
Bei "TAP" ist das VPN-Netz ja quasi für die FB selbst bekannt, der Routingprozess kann jeden Client "selbst adressieren", so dass eine Route der Art "route <irgendein Netz> <Netzmaske> <TAP-IP des entsprechenden Clients>"

"Workaround": Nimm das "Netz beim Client" aus der Tabelle raus und trage das Netz doch wieder bei "enferntes Netz" ein:
10.0.1.0 255.255.255.0 192.168.200.100

EDIT:
Versuch sonst doch mal diesen Workaround. Mache im freetz Ordner:

sed -i '/iroute/ s#echo# [ "$TYPE" = "tun" ] \&\& echo#'  make/openvpn/files/root/etc/default.openvpn/openvpn_conf

Und baue ein neues Image.

 

[ma1]

EDIT:
Versuch sonst doch mal diesen Workaround. Mache im freetz Ordner:

sed -i '/iroute/ s#echo# [ "$TYPE" = "tun" ] \&\& echo#'  make/openvpn/files/root/etc/default.openvpn/openvpn_conf

Und baue ein neues Image.

Hab ich getestet und die Meldung ist weg. Danke schön.

 

[MaxMuster]

Danke für die Rückmeldung, Fix ist seit REV 9990 auch im Trunk