Openvpn box2 client

Sidebar Sidebar
Upgrade 3CX to v18 and get it hosted free!
So sieht es schon sehr gut aus, mit der Routingtabelle sollte es klappen, dass du die 10.0.8.1 erreichen kannst. Wenn es noch nicht geht, solltest du mal deine "Gesprächigkeit" hochsetzen um zu sehen, ob da noch andere Fehler auftreten; zunächst beim Client mit dem Befehl "verb 6". Ich würde ansonsten auch noch versuchen, mal einen etwas neueren Client, passend zum Server, zu nehmen (zum Beispiel diesen hier).

Übrigens ist das "route 192.168.2.0 255.255.255.0 10.0.8.1" überfüssig, sofern du mittels "redirect-gateway" sowieso alles zum Server schickst ;-)...

Mach doch bitte auch noch mal ein "arp -a" auf dem PC, nachdem du ein "ping 10.0.8.1" gemacht hast.


Jörg
 
Code: 
Microsoft Windows XP [Version 5.1.2600]
(C) Copyright 1985-2001 Microsoft Corp.

C:\Dokumente und Einstellungen\pc>ping 10.0.8.1

Ping wird ausgeführt für 10.0.8.1 mit 32 Bytes Daten:

Zeitüberschreitung der Anforderung.
Zeitüberschreitung der Anforderung.
Zeitüberschreitung der Anforderung.
Zeitüberschreitung der Anforderung.

Ping-Statistik für 10.0.8.1:
    Pakete: Gesendet = 4, Empfangen = 0, Verloren = 4 (100% Verlust),

C:\Dokumente und Einstellungen\pc>arp -a

Schnittstelle: 192.168.178.20 --- 0x2
  Internetadresse       Physikal. Adresse     Typ
  192.168.178.1         00-15-0c-ef-3f-b2     dynamisch

Schnittstelle: 10.0.8.2 --- 0x20003
  Internetadresse       Physikal. Adresse     Typ
  10.0.8.1              00-ff-ce-c8-7f-d9     dynamisch

C:\Dokumente und Einstellungen\pc>
 
sieht eigentlich gut aus, denn der Client findet die "MAC-Adresse" der Server-Box.

Auf den Screenshots ist das nie zu sehen: Hast du beim Server auch "LZO" angehakt?

Jörg
 
ja ist an

hab mich mal aufm server eingeloggt, und da mal ping 10.0.8.2 geacht
ging auch nicht
 
Mach doch auf der Server-Box bitte mal ein "ifconfig" und ein "route".

Ansonsten sollten wir dann auf dem Server weiter sehen, indem das OpenVPN direkt gestartet wird:
Code: 
killall openvpn
cat /mod/etc/openvpn*.conf | grep -v daemon > /var/tmp/ovpn.conf
openvpn /var/tmp/ovpn.conf
Dann solltest du in dem Fenster alle Logs sehen, speziell, was beim Verbindungsversuch des Clients passiert...

Jörg
 
re

Code: 
/var/mod/root $ ifconfig
cpmac0    Link encap:Ethernet  HWaddr 00:15:0C:D1:1C:7C
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:1206778 errors:124 dropped:91 overruns:0 frame:0
          TX packets:1094274 errors:33 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:256
          RX bytes:125416810 (119.6 MiB)  TX bytes:879915742 (839.1 MiB)

dsl       Link encap:Point-to-Point Protocol
          inet addr:169.254.2.1  P-t-P:169.254.2.1  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP ALLMULTI MULTICAST  MTU:1500  Metric:1
          RX packets:114852 errors:0 dropped:0 overruns:0 frame:0
          TX packets:790535 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100
          RX bytes:18489255 (17.6 MiB)  TX bytes:65454227 (62.4 MiB)

eth0      Link encap:Ethernet  HWaddr 00:15:0C:D1:1C:7C
          UP BROADCAST RUNNING ALLMULTI MULTICAST  MTU:1500  Metric:1
          RX packets:1206606 errors:0 dropped:0 overruns:0 frame:0
          TX packets:189786 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:125397984 (119.5 MiB)  TX bytes:27793804 (26.5 MiB)

eth0:1    Link encap:Ethernet  HWaddr 00:15:0C:D1:1C:7C
          inet addr:192.168.2.253  Bcast:192.168.2.255  Mask:255.255.255.0
          UP BROADCAST RUNNING ALLMULTI MULTICAST  MTU:1500  Metric:1

lan       Link encap:Ethernet  HWaddr 00:15:0C:D1:1C:7C
          inet addr:192.168.2.1  Bcast:192.168.2.255  Mask:255.255.255.0
          UP BROADCAST RUNNING ALLMULTI MULTICAST  MTU:1500  Metric:1
          RX packets:1206603 errors:0 dropped:0 overruns:0 frame:0
          TX packets:189787 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:103678896 (98.8 MiB)  TX bytes:27034702 (25.7 MiB)

lan:0     Link encap:Ethernet  HWaddr 00:15:0C:D1:1C:7C
          inet addr:169.254.1.1  Bcast:169.254.255.255  Mask:255.255.0.0
          UP BROADCAST RUNNING ALLMULTI MULTICAST  MTU:1500  Metric:1

lo        Link encap:Local Loopback
          inet addr:127.0.0.1  Mask:255.0.0.0
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:8807 errors:0 dropped:0 overruns:0 frame:0
          TX packets:8807 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:858509 (838.3 KiB)  TX bytes:858509 (838.3 KiB)

tun0      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
          inet addr:10.0.8.1  P-t-P:10.0.8.2  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP ALLMULTI MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:2940 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100
          RX bytes:0 (0.0 B)  TX bytes:240924 (235.2 KiB)

Code: 
/var/mod/root $ route
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
192.168.180.1   *               255.255.255.255 UH    2      0        0 dsl
10.0.8.2        *               255.255.255.255 UH    0      0        0 tun0
192.168.180.2   *               255.255.255.255 UH    2      0        0 dsl
192.168.178.0   10.0.8.2        255.255.255.0   UG    0      0        0 tun0
192.168.2.0     *               255.255.255.0   U     0      0        0 lan
192.168.2.0     *               255.255.255.0   U     0      0        0 eth0
10.0.8.0        10.0.8.2        255.255.255.0   UG    0      0        0 tun0
169.254.0.0     *               255.255.0.0     U     0      0        0 lan
default         *               0.0.0.0         U     2      0        0 dsl
/var/mod/root $
 
so wenn ich die openvpn server starte kommt dies:

Code: 
Options error: You must define TUN/TAP device (--dev)
Use --help for more information.
 
Kannst du mal die entstandene Config posten (also "cat /var/tmp/ovpn.conf") ?
Und mal vorsorglich das Ergebnis von "find /dev -name tun " ?

Jörg
 
so hier mal was wenn sich der client verbindet

Code: 
/var/mod/root $ openvpn /var/tmp/ovpn.conf
Sun Dec 16 18:05:38 2007 OpenVPN 2.1_rc4 mipsel-linux [SSL] [LZO2] [EPOLL] built on Oct 21 2007
Sun Dec 16 18:05:38 2007 Diffie-Hellman initialized with 1024 bit key
Sun Dec 16 18:05:38 2007 WARNING: file '/tmp/flash/box.key' is group or others accessible
Sun Dec 16 18:05:38 2007 TLS-Auth MTU parms [ L:1558 D:138 EF:38 EB:0 ET:0 EL:0 ]
Sun Dec 16 18:05:39 2007 TUN/TAP device tun0 opened
Sun Dec 16 18:05:39 2007 TUN/TAP TX queue length set to 100
Sun Dec 16 18:05:39 2007 /sbin/ifconfig tun0 10.0.8.1 pointopoint 10.0.8.2 mtu 1500
Sun Dec 16 18:05:39 2007 /sbin/route add -net 10.0.8.0 netmask 255.255.255.0 gw 10.0.8.2
Sun Dec 16 18:05:39 2007 /sbin/route add -net 192.168.178.0 netmask 255.255.255.0 gw 10.0.8.2
Sun Dec 16 18:05:39 2007 Data Channel MTU parms [ L:1558 D:1450 EF:58 EB:135 ET:0 EL:0 AF:3/1 ]
Sun Dec 16 18:05:39 2007 Socket Buffers: R=[110592->131072] S=[110592->131072]
Sun Dec 16 18:05:39 2007 UDPv4 link local (bound): [undef]:1194
Sun Dec 16 18:05:39 2007 UDPv4 link remote: [undef]
Sun Dec 16 18:05:39 2007 MULTI: multi_init called, r=256 v=256
Sun Dec 16 18:05:39 2007 Initialization Sequence Completed
Sun Dec 16 18:06:12 2007 MULTI: multi_create_instance called
Sun Dec 16 18:06:12 2007 89.62.32.222:1194 Re-using SSL/TLS context
Sun Dec 16 18:06:12 2007 89.62.32.222:1194 LZO compression initialized
Sun Dec 16 18:06:12 2007 89.62.32.222:1194 Control Channel MTU parms [ L:1558 D:138 EF:38 EB:0 ET:0 EL:0 ]
Sun Dec 16 18:06:12 2007 89.62.32.222:1194 Data Channel MTU parms [ L:1558 D:1450 EF:58 EB:135 ET:0 EL:0 AF:3/1 ]
Sun Dec 16 18:06:12 2007 89.62.32.222:1194 TLS: Initial packet from 89.62.32.222:1194, sid=1a032daa bd085779
Sun Dec 16 18:06:14 2007 89.62.32.222:1194 VERIFY OK: depth=1, /C=US/ST=CA/L=SanFrancisco/O=FortFunston/CN=ca/[email protected]
Sun Dec 16 18:06:14 2007 89.62.32.222:1194 VERIFY OK: depth=0, /C=US/ST=CA/O=FortFunston/CN=client/[email protected]
Sun Dec 16 18:06:15 2007 89.62.32.222:1194 Data Channel Encrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
Sun Dec 16 18:06:15 2007 89.62.32.222:1194 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Sun Dec 16 18:06:15 2007 89.62.32.222:1194 Data Channel Decrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
Sun Dec 16 18:06:15 2007 89.62.32.222:1194 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Sun Dec 16 18:06:15 2007 89.62.32.222:1194 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
Sun Dec 16 18:06:15 2007 89.62.32.222:1194 [client] Peer Connection Initiated with 89.62.32.222:1194
Sun Dec 16 18:06:15 2007 client/89.62.32.222:1194 MULTI: no dynamic or static remote --ifconfig address is available for client/89.62.32.222:1194
Sun Dec 16 18:06:26 2007 client/89.62.32.222:1194 MULTI: bad source address from client [10.0.8.2], packet dropped
Sun Dec 16 18:06:29 2007 client/89.62.32.222:1194 MULTI: bad source address from client [10.0.8.2], packet dropped
Sun Dec 16 18:06:30 2007 client/89.62.32.222:1194 MULTI: bad source address from client [10.0.8.2], packet dropped
Sun Dec 16 18:06:35 2007 client/89.62.32.222:1194 MULTI: bad source address from client [10.0.8.2], packet dropped
Sun Dec 16 18:06:42 2007 client/89.62.32.222:1194 MULTI: bad source address from client [192.168.178.20], packet dropped
Sun Dec 16 18:06:43 2007 client/89.62.32.222:1194 MULTI: bad source address from client [192.168.178.20], packet dropped
Sun Dec 16 18:06:45 2007 client/89.62.32.222:1194 MULTI: bad source address from client [192.168.178.20], packet dropped
Sun Dec 16 18:06:47 2007 client/89.62.32.222:1194 MULTI: bad source address from client [10.0.8.2], packet dropped
Sun Dec 16 18:06:48 2007 client/89.62.32.222:1194 MULTI: bad source address from client [192.168.178.20], packet dropped
Sun Dec 16 18:06:49 2007 client/89.62.32.222:1194 MULTI: bad source address from client [10.0.8.2], packet dropped
Sun Dec 16 18:06:49 2007 client/89.62.32.222:1194 MULTI: bad source address from client [10.0.8.2], packet dropped
Sun Dec 16 18:06:52 2007 client/89.62.32.222:1194 MULTI: bad source address from client [10.0.8.2], packet dropped
Sun Dec 16 18:06:53 2007 client/89.62.32.222:1194 MULTI: bad source address from client [10.0.8.2], packet dropped
Sun Dec 16 18:06:54 2007 client/89.62.32.222:1194 MULTI: bad source address from client [192.168.178.20], packet dropped
Sun Dec 16 18:06:57 2007 client/89.62.32.222:1194 MULTI: bad source address from client [10.0.8.2], packet dropped
Sun Dec 16 18:06:58 2007 client/89.62.32.222:1194 MULTI: bad source address from client [10.0.8.2], packet dropped
Sun Dec 16 18:06:59 2007 client/89.62.32.222:1194 MULTI: bad source address from client [10.0.8.2], packet dropped


also die ip hier ist meine vom client
 
Code: 
# OpenVPN 2.1 Config
proto udp
port 1194
dev tun
ca /tmp/flash/ca.crt
cert /tmp/flash/box.crt
key /tmp/flash/box.key
mode server
tls-server
dh /tmp/flash/dh.pem
ifconfig 10.0.8.1 10.0.8.2 
route 10.0.8.0 255.255.255.0
push "route 10.0.8.1"
push "route 192.168.2.0 255.255.255.0"
max-clients 3
tun-mtu 1500
mssfix

verb 3

cipher AES-256-CBC
route 192.168.178.0 255.255.255.0
comp-lzo
keepalive 10 120


und das bei dem anderen von dir

Code: 
/dev/net/tun
 
O.k., da sehen wir ja schon das Problem...

Die Fehlermeldung "MULTI: bad source address from client" besagt, dass der Server die Pakete verwirft, weil er nicht weiß, dass dieses Netz und diese IPs von diesem Client kommen können.

Da ich schon seit längerem mit der neueren "Beta-GUI" arbeite, bin ich hier etwas am Schwimmen ;-)

Ich denke, dass du das "wegbekommst", indem du den Server die IP vergeben lässt und/oder mit einem "max-clients 1".

Die Config könntest du auch wie folgt verändern: du löscht von Hand den Eintrag "mode server".

Versuche doch bitte zuerst mal, dich mit dem neueren Client zu verbinden.

Jörg
 
re
Code: 
mode server

habe ich jetzt gelöscht und ich kann anpingen und zugreifen auf das server netz.

supppppppppppppppppppppppppppiiiii

nur noch eine Frage, ist es dennoch möglich trotz VPNTunnel wenn er aktiv ist,
das internet vom clienten zu nutzen oder geht das garnicht?

gruß baby
 
Wenn du meinst, ob du nicht über den VPN-Server "surfen" musst, sondern weiterhin den "lokalen" Internetzugang nutzen kannst: Klar.
Dann musst du in der Client-Config den "redirect-gateway" Eintrag rausnehmen und nur den "route 192.168.2.0 255.255.255.0 10.0.8.1" drin lassen, um auf das Server-Netz zu kommen...

Jörg
 
so das klappt jetzt

nur wenn ich die Fritzbox reboote und openvpn dann wieder automatisch startet,
klappt es wieder nicht, wenn ich nachschaue ist unter /mod/etc/openvpn*.conf
mit einem editor ist wieder mode server drin.

Kann ich den befehl irgenwo komplett löschen, damit er bei einem reboot nicht mehr kommt?
 
Ich hab es ja geahnt, dass die Frage kommt ;-)

Ist nicht ganz sooo einfach.

Ich versuche es mal:

Kopiere auf der Box "/etc/default.openvpn-lzo/openvpn-lzo_conf" nach "/var/tmp/flash/openvpn-lzo_conf" und "editiere diesen Eintrag raus":

Code: 
...
if [ "$OPENVPN_LZO_AUTH_TYPE" == "certs" ]; then

	cat <<EOF
ca /tmp/flash/ca.crt
cert /tmp/flash/box.crt
key /tmp/flash/box.key
EOF

	if [ "$OPENVPN_LZO_MODE" == "server" ]; then
#--> diese Zeile Löschen		echo "mode server"
		echo "tls-server"
		echo "dh /tmp/flash/dh.pem"
		if [ -r "/tmp/flash/crl.pem" ]; then
			echo "crl-verify /tmp/flash/crl.pem"
		fi
...

Code: 
cp /etc/default.openvpn-lzo/openvpn-lzo_conf /var/tmp/flash/openvpn-lzo_conf
vi /var/tmp/flash/openvpn-lzo_conf
# jetzt auf die oben genannte Zeile mit [I]echo "mode server"[/I] 
# und "dd" drücken (2-mal d)
# und dann ":wq" zum Sichern der geänderten Datei 

# Zur Sichernheit nochmal Ausführbar machen und dann abspeichern:
chmod +x /var/tmp/flash/openvpn-lzo_conf
modsave

Damit sollte die neu erzeugte Konfig den Befehl nicht mehr drin haben...

Jörg
 
jo geändert und klappt :groesste:

nur wie so geht es bei anderen mit
Code: 
mode server
und bei mir nicht mhhhhh
 
Das Problem ist "prinzipiell" bekannt, ich kenne es aber eigentlich nur, wenn man mehrere Clients hat oder wenn der Client selbst ein Router ist und dann das auftritt mit den IPs "hinter" dem VPN-Client. Wo es genau hakt, weiß ich nicht, ich vermute, dass die anderen meist die VPN-IP vom Server haben vergeben lassen, so dass der sie dann "kennt".
Wie gesagt, im kommenden ds-mos openvpn gibt es eine erweiterte GUI, damit wäre das dann auch vom Tisch, weil man den Clients direkt IPs zuordnen kann. Deshalb würde ich da auch nicht zu viel Zeit in eine "Analyse" stecken wollen.

Jetzt erstmal viel Spaß und Erfolg damit!

Jörg
 
Um antworten zu können musst du eingeloggt sein.

Zurzeit aktive Besucher

Gesamt: 894 (Mitglieder: 43, Gäste: 851)

Neueste Beiträge

Statistik des Forums

Themen
246,191
Beiträge
2,247,765
Mitglieder
373,747
Neuestes Mitglied
willilotz
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
Ihr E-Mail-Adresse verifizieren

Ihr E-Mail-Adresse verifizieren

Wir haben Ihnen eine E-Mail geschickt. Klicken Sie auf die Schaltfläche im E-Mail-Text, um Ihre E-Mail-Adresse zu verifizieren – (Können Sie diese nicht finden können, dann überprüfen Sie Ihren Spam-Ordner).

IPPF im Überblick

Neueste Beiträge

Direktlinks Telefonanlage

Website-Sponsoren

3CX sponsor
KONTAKTIEREN SIE UNS BEI INTERESSE
| Style by ThemeHouse
XenPorta 2 PRO © Jason Axelrod of 8WAYRUN
Oben Unten
Zurück