Openvpn brauch Hilfe

[noleck123]

Hallo ich möchte gern eine Fritzbox mit OPENVPN Server mit einen Linksys WRT54g3g verbinden...

Es soll zugriff von beiden Boxen auf die anderen Netzwerke haben

Fritzbox hat die IP 192.168.1.1
WRT54g3g hat die IP 192.168.3.1


mit meinen configs bekomme ich eine Verbindung kann aber keine der Boxen anpingen bzw. habe kein Zugriff auf die Weboberflächen der Boxen oder der daran
angeschlossenen Geräte.






server.conf:


port 1194
dev tap
proto tcp-server
ifconfig 10.0.0.1 255.255.255.0
ifconfig-pool 10.0.0.2 10.0.0.251
push route-gateway 10.0.0.1
push route 192.168.1.0 255.255.255.0 10.0.0.2
route 192.168.3.0 255.255.255.0
mode server
tls-server
client-to-client
ca /var/tmp/vpn/ca.crt
cert /var/tmp/vpn/fritzbox.crt
key /var/tmp/vpn/fritzbox.key
dh /var/tmp/vpn/dh1024.pem
auth SHA1
cipher AES-256-CBC

ping 10
push ping 10
ping-restart 60
push ping-restart 60









client.conf:

remot xxx
port 1194
proto tcp-client
dev tap
tls-client
ns-cert-type server
ca /etc/openvpn/ca.crt
cert /etc/openvpn/linksys.crt
key /etc/openvpn/linksys.key
persist-key
comp-lzo
pull
auth SHA1
cipher AES-256-CBC
pull

 

[MaxMuster]

"comp-lzo" auf beiden oder keiner Seite wirkt meist Wunder ;-)

 

[noleck123]

Hy ich habe jetzt comp-lzo auf beiden Seiten eingetragen aber denoch bekomme ich keinen zugriff auf die Boxen...

 

[MaxMuster]

Was genau hast du denn gemacht und getestet? Wie ist auf der Serverbox die Portweiterleitung gemacht? Steht im Log was auffälliges?

Dann versuche alles der Reihe nach, nicht gleich den Zugriff "von hinter der einen auf hinter der anderen":
- Kannst du vom VPN-Client die Serverbox mit der VPN-IP (10.0.0.1) erreichen?
- Welche IP hat der Client bekommen? Ist diese vom Server her zu erreichen?
- Wenn das soweit klappt, teste die Erreichbarkeit der jeweils anderen Box mit der LAN IP.
- Wenn das geht, versuche aus dem Netz dahinter die Box auf der anderen Seite zu erreichet.
- Erst wenn das geht, versuche vom einen in das andere LAN zu kommen und denk auf jeden Fall daran, auf den Endgeräten das andere Netz in der Firewall zuzulassen!

Ansonsten gilt: Immer so viel Info wie möglich geben (z.B. Log-Files und Routingtabellen), ein "geht nicht" reicht fast nie (wie du schon gemerkt hast).

 

[noleck123]

Hy also der Server hat die IP 10.0.0.1 bekommen und der client 10.0.0.2

Ping vom server zum client funktioniert
Ping vom client funktioniert ebenfalls

das ist die routing tabelle vom client:
root@OpenWrt:/etc/openvpn# route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
192.168.1.1 0.0.0.0 255.255.255.255 UH 0 0 0 tun0
10.64.64.64 0.0.0.0 255.255.255.255 UH 0 0 0 ppp0
10.0.0.0 0.0.0.0 255.255.255.0 U 0 0 0 tap0
192.168.3.0 0.0.0.0 255.255.255.0 U 0 0 0 br-lan
192.168.1.0 192.168.1.1 255.255.255.0 UG 0 0 0 tun0
0.0.0.0 10.64.64.64 0.0.0.0 UG 0 0 0 ppp0


und das vom server:

Destination Gateway Genmask Flags Metric Ref Use Iface
93.193.211.82 0.0.0.0 255.255.255.255 UH 2 0 0 dsl
192.168.180.1 0.0.0.0 255.255.255.255 UH 2 0 0 dsl
192.168.180.2 0.0.0.0 255.255.255.255 UH 2 0 0 dsl
192.168.1.45 0.0.0.0 255.255.255.255 UH 2 0 0 dsl
10.0.0.0 0.0.0.0 255.255.255.0 U 0 0 0 tap0
192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 lan
169.254.0.0 0.0.0.0 255.255.0.0 U 0 0 0 lan
0.0.0.0 0.0.0.0 0.0.0.0 U 2 0 0 dsl



ping auf die Boxen funktioniert nicht...

 

[MaxMuster]

Der Client hat aber nicht nur ein tap0 (was wohl zur FB geht) sondern noch ein "tun0", was eine IP aus dem Netz der FB hat und darüber wird auch das Netz der FB geroutet. Das kann nicht gutgehen... Läuft da ein zweites VPN??

Die FB hat zudem keine Route für das Client-Netz. Bei gebrücktem Netz ist die "Gegenseite" nicht eindeutig, versuche mal "route 192.168.3.0 255.255.255.0 10.0.0.2".
Und dann noch die Route für das Netz der FB auf die VPN-IP der FB schicken, nicht zum CLient selbst:
"push route 192.168.1.0 255.255.255.0 10.0.0.1"

 

[noleck123]

Hy danke erstmal für deine Hilfe, konnte in der lezten Zeit kaum probieren.. Aber ich bin ein wenig weiter gekommen.. Habe mein Android Handy mit der Fritzbox per VPN verbunden..

Fritzbox und Linksys verbinden sich..

Fritzbox 10.0.0.1
Linksys 10.0.0.2
Android 10.0.0.3

Ping funktioniert bei der Boxen "nur" unter telnet. (also direkt auf der Box)
Vom Android Handy komme ich auf die Fritzbox und auf den Linksysrouter...

das sind meine config´s


Serrver (fritzbox):

port 1194
dev tap
proto udp
# bridge setup
ifconfig 10.0.0.1 255.255.255.0
ifconfig-pool 10.0.0.2 10.0.0.251
push route-gateway 10.0.0.1
route 192.168.3.0 255.255.255.0 10.0.0.2
push route 192.168.1.0 255.255.255.0
# Server-Einstellungen
mode server
tls-server
client-to-client
# Authentifizierung und Verschluesselung
ca /var/tmp/vpn/ca.crt
cert /var/tmp/vpn/fritzbox.crt
key /var/tmp/vpn/fritzbox.key
dh /var/tmp/vpn/dh1024.pem
auth SHA1
cipher AES-256-CBC
comp-lzo
# Sonstiges
ping 10
push ping 10
ping-restart 60
push ping-restart 60

Client (Linksys)

remote xxx.dyndns.org
port 1194
proto udp
dev tap
tls-client
ns-cert-type server
ca /etc/openvpn/ca.crt
cert /etc/openvpn/linksys.crt
key /etc/openvpn/linksys.key
tun-mtu 1500
mssfix
nobind
auth SHA1
cipher AES-256-CBC
comp-lzo
pull
verb 3


Android (Handy)


remote xxx.dyndns.org
port 1194
proto tcp-client
dev tap
tls-client
ns-cert-type server
ca /sdcard/openvpn/ca.crt
cert /sdcard/openvpn/android.crt
key /sdcard/openvpn/android.key
persist-key
comp-lzo
pull
auth SHA1
cipher AES-256-CBC
pull

Wäre nett wenn ihr mir helfen würdet, ich möchte gern von dem Handy bzw der Fritzbox auf meinen Linksys und das daran angeschlossene Netzwerk (Netzwerkkamera, Homematic) zugreifen..