OpenVPN-Paket

[knox]

Die entscheidenden Stellen sind wahrscheinlich:

Sat Jul 28 21:27:31 2007 us=390000 PUSH: [b]Received control message[/b]: 'PUSH_REPLY,[b]route-gateway 192.168.200.1,route 192.168.178.0 255.255.255.0[/b],ping 10,ping-restart 120,ifconfig 192.168.200.10 255.255.255.0'
Sat Jul 28 21:27:31 2007 us=390000 OPTIONS IMPORT: timers and/or timeouts modified
Sat Jul 28 21:27:31 2007 us=390000 OPTIONS IMPORT: --ifconfig/up options modified
Sat Jul 28 21:27:31 2007 us=390000 OPTIONS IMPORT: [b]route options modified[/b]
Sat Jul 28 21:27:31 2007 us=390000 OPTIONS IMPORT: [b]route-related options modified[/b]
[...]
Sat Jul 28 21:27:36 2007 us=109000 route ADD 192.168.178.0 MASK 255.255.255.0 192.168.200.1
[...]

Sorry, keine Ahnung, was da passiert. Aber das scheint ein Client-Problem zu sein und nicht unbedingt ds-mod spezifisch?

 

[MaxMuster]

Hmmm. Ich hab die verschiedensten Einstellungen ausprobiert. Für den Netzwerkadapter wird jeweils immer nur IP-Adresse (natürlich mit Subnet Mask) zugewiesen. Gateway wird nicht gesetzt außer ich aktiviere die Funktion Client Traffic umleiten.

Also, entweder bin ich zu dumm, oder alles ist richtig:
Natürlich solltest du sinnvoller Weise nur ein Standardgateway haben, nämlich über das Netz zum Internet hin. Und ansonsten scheint doch der Eintrag der Route da zu sein, oder?
192.168.178.0 255.255.255.0 192.168.200.1 192.168.200.10 30

Schick doch ansonsten mal bitte die Routingtabelle ohne das "redirect" und evtl mal dann auch die Ausgabe von
tracert -d 192.168.178.1

Jörg

 

[tanduay]

Ja, das hat mich ebenfalls verwundert. Die Route nach 192.168.178.0 wird ja gesetzt aber ohne eingetragenen Gateway kann das nicht funktionieren. Das ist ja das Problem und das ist auch das was ich nicht verstehe.

Siehe hier:

Route print vor dem aufbauen des VPN Tunnels:

C:\Users\Leonid>route print
===========================================================================
Schnittstellenliste
 19 ...00 ff 95 5e 05 f4 ...... TAP-Win32 Adapter V9
 12 ...00 10 c6 e6 d8 d9 ...... Bluetooth-Gerõt (PAN)
  9 ...00 15 00 38 cc a4 ...... Intel(R) PRO/Wireless 2200BG-Netzwerkverbindung
  8 ...00 14 c2 d9 e5 ad ...... Broadcom NetXtreme-Gigabit-Ethernet
 15 ...00 50 56 c0 00 01 ...... VMware Virtual Ethernet Adapter for VMnet1
 17 ...00 50 56 c0 00 08 ...... VMware Virtual Ethernet Adapter for VMnet8
  1 ........................... Software Loopback Interface 1
 13 ...02 00 54 55 4e 01 ...... Teredo Tunneling Pseudo-Interface
 20 ...00 00 00 00 00 00 00 e0  isatap.{955E05F4-BB2B-491F-9538-FDC0DB269E03}
 21 ...00 00 00 00 00 00 00 e0  isatap.{D7A9AA23-E892-4B52-8F88-8351E0B539C0}
 14 ...00 00 00 00 00 00 00 e0  isatap.{31B87E85-3A61-49F7-99F3-B514B49435EB}
 16 ...00 00 00 00 00 00 00 e0  isatap.{53CD10C3-9B70-4D9B-980F-F19A16E360F9}
 18 ...00 00 00 00 00 00 00 e0  isatap.{EF745954-A55F-4FE5-BB4E-30721864A37A}
 27 ...00 00 00 00 00 00 00 e0  Microsoft-ISATAP-Adapter #6
===========================================================================

IPv4-Routentabelle
===========================================================================
Aktive Routen:
     Netzwerkziel    Netzwerkmaske          Gateway    Schnittstelle Metrik
          0.0.0.0          0.0.0.0    192.168.179.1   192.168.179.21     25
        127.0.0.0        255.0.0.0   Auf Verbindung         127.0.0.1    306
        127.0.0.1  255.255.255.255   Auf Verbindung         127.0.0.1    306
  127.255.255.255  255.255.255.255   Auf Verbindung         127.0.0.1    306
      169.254.0.0      255.255.0.0   Auf Verbindung     192.168.101.1     30
  169.254.255.255  255.255.255.255   Auf Verbindung     192.168.101.1    276
    192.168.101.0    255.255.255.0   Auf Verbindung     192.168.101.1    276
    192.168.101.1  255.255.255.255   Auf Verbindung     192.168.101.1    276
  192.168.101.255  255.255.255.255   Auf Verbindung     192.168.101.1    276
    192.168.179.0    255.255.255.0   Auf Verbindung    192.168.179.21    281
   192.168.179.21  255.255.255.255   Auf Verbindung    192.168.179.21    281
  192.168.179.255  255.255.255.255   Auf Verbindung    192.168.179.21    281
    192.168.213.0    255.255.255.0   Auf Verbindung     192.168.213.1    276
    192.168.213.1  255.255.255.255   Auf Verbindung     192.168.213.1    276
  192.168.213.255  255.255.255.255   Auf Verbindung     192.168.213.1    276
        224.0.0.0        240.0.0.0   Auf Verbindung         127.0.0.1    306
        224.0.0.0        240.0.0.0   Auf Verbindung     192.168.213.1    276
        224.0.0.0        240.0.0.0   Auf Verbindung     192.168.101.1    276
        224.0.0.0        240.0.0.0   Auf Verbindung    192.168.179.21    281
  255.255.255.255  255.255.255.255   Auf Verbindung         127.0.0.1    306
  255.255.255.255  255.255.255.255   Auf Verbindung     192.168.213.1    276
  255.255.255.255  255.255.255.255   Auf Verbindung     192.168.101.1    276
  255.255.255.255  255.255.255.255   Auf Verbindung    192.168.179.21    281
===========================================================================
Ständige Routen:
  Keine

IPv6-Routentabelle
===========================================================================
Aktive Routen:
 If Metrik Netzwerkziel             Gateway
 13     18 ::/0                     Auf Verbindung
  1    306 ::1/128                  Auf Verbindung
 13     18 2001::/32                Auf Verbindung
 13    266 2001:0:4136:e38a:1cd5:37d5:3f57:4cea/128
                                    Auf Verbindung
 17    276 fe80::/64                Auf Verbindung
 15    276 fe80::/64                Auf Verbindung
  9    281 fe80::/64                Auf Verbindung
 13    266 fe80::/64                Auf Verbindung
 16    281 fe80::5efe:192.168.101.1/128
                                    Auf Verbindung
 14    286 fe80::5efe:192.168.179.21/128
                                    Auf Verbindung
 18    281 fe80::5efe:192.168.213.1/128
                                    Auf Verbindung
 15    276 fe80::e4:f94f:29b8:4d5b/128
                                    Auf Verbindung
 13    266 fe80::1cd5:37d5:3f57:4cea/128
                                    Auf Verbindung
  9    281 fe80::88cc:a74c:5bce:5790/128
                                    Auf Verbindung
 17    276 fe80::d506:efca:4b01:e148/128
                                    Auf Verbindung
  1    306 ff00::/8                 Auf Verbindung
 17    276 ff00::/8                 Auf Verbindung
 15    276 ff00::/8                 Auf Verbindung
 13    266 ff00::/8                 Auf Verbindung
  9    281 ff00::/8                 Auf Verbindung
===========================================================================
Ständige Routen:
  Keine

Route print nach dem Aufbau des VPN Tunnels:

C:\Users\Leonid>route print
===========================================================================
Schnittstellenliste
 19 ...00 ff 95 5e 05 f4 ...... TAP-Win32 Adapter V9
 12 ...00 10 c6 e6 d8 d9 ...... Bluetooth-Gerõt (PAN)
  9 ...00 15 00 38 cc a4 ...... Intel(R) PRO/Wireless 2200BG-Netzwerkverbindung
  8 ...00 14 c2 d9 e5 ad ...... Broadcom NetXtreme-Gigabit-Ethernet
 15 ...00 50 56 c0 00 01 ...... VMware Virtual Ethernet Adapter for VMnet1
 17 ...00 50 56 c0 00 08 ...... VMware Virtual Ethernet Adapter for VMnet8
  1 ........................... Software Loopback Interface 1
 13 ...02 00 54 55 4e 01 ...... Teredo Tunneling Pseudo-Interface
 20 ...00 00 00 00 00 00 00 e0  isatap.{955E05F4-BB2B-491F-9538-FDC0DB269E03}
 21 ...00 00 00 00 00 00 00 e0  isatap.{D7A9AA23-E892-4B52-8F88-8351E0B539C0}
 14 ...00 00 00 00 00 00 00 e0  isatap.{31B87E85-3A61-49F7-99F3-B514B49435EB}
 16 ...00 00 00 00 00 00 00 e0  isatap.{53CD10C3-9B70-4D9B-980F-F19A16E360F9}
 18 ...00 00 00 00 00 00 00 e0  isatap.{EF745954-A55F-4FE5-BB4E-30721864A37A}
 27 ...00 00 00 00 00 00 00 e0  Microsoft-ISATAP-Adapter #6
===========================================================================

IPv4-Routentabelle
===========================================================================
Aktive Routen:
     Netzwerkziel    Netzwerkmaske          Gateway    Schnittstelle Metrik
          0.0.0.0          0.0.0.0    192.168.179.1   192.168.179.21     25
        127.0.0.0        255.0.0.0   Auf Verbindung         127.0.0.1    306
        127.0.0.1  255.255.255.255   Auf Verbindung         127.0.0.1    306
  127.255.255.255  255.255.255.255   Auf Verbindung         127.0.0.1    306
      169.254.0.0      255.255.0.0   Auf Verbindung     192.168.101.1     30
  169.254.255.255  255.255.255.255   Auf Verbindung     192.168.101.1    276
    192.168.101.0    255.255.255.0   Auf Verbindung     192.168.101.1    276
    192.168.101.1  255.255.255.255   Auf Verbindung     192.168.101.1    276
  192.168.101.255  255.255.255.255   Auf Verbindung     192.168.101.1    276
    192.168.178.0    255.255.255.0    192.168.200.1   192.168.200.10     30
    192.168.179.0    255.255.255.0   Auf Verbindung    192.168.179.21    281
   192.168.179.21  255.255.255.255   Auf Verbindung    192.168.179.21    281
  192.168.179.255  255.255.255.255   Auf Verbindung    192.168.179.21    281
    192.168.200.0    255.255.255.0   Auf Verbindung    192.168.200.10    286
   192.168.200.10  255.255.255.255   Auf Verbindung    192.168.200.10    286
  192.168.200.255  255.255.255.255   Auf Verbindung    192.168.200.10    286
    192.168.213.0    255.255.255.0   Auf Verbindung     192.168.213.1    276
    192.168.213.1  255.255.255.255   Auf Verbindung     192.168.213.1    276
  192.168.213.255  255.255.255.255   Auf Verbindung     192.168.213.1    276
        224.0.0.0        240.0.0.0   Auf Verbindung         127.0.0.1    306
        224.0.0.0        240.0.0.0   Auf Verbindung     192.168.213.1    276
        224.0.0.0        240.0.0.0   Auf Verbindung     192.168.101.1    276
        224.0.0.0        240.0.0.0   Auf Verbindung    192.168.200.10    286
        224.0.0.0        240.0.0.0   Auf Verbindung    192.168.179.21    281
  255.255.255.255  255.255.255.255   Auf Verbindung         127.0.0.1    306
  255.255.255.255  255.255.255.255   Auf Verbindung     192.168.213.1    276
  255.255.255.255  255.255.255.255   Auf Verbindung     192.168.101.1    276
  255.255.255.255  255.255.255.255   Auf Verbindung    192.168.200.10    286
  255.255.255.255  255.255.255.255   Auf Verbindung    192.168.179.21    281
===========================================================================
Ständige Routen:
  Keine

IPv6-Routentabelle
===========================================================================
Aktive Routen:
 If Metrik Netzwerkziel             Gateway
 13     18 ::/0                     Auf Verbindung
  1    306 ::1/128                  Auf Verbindung
 13     18 2001::/32                Auf Verbindung
 13    266 2001:0:4136:e38a:c50:1b2b:3f57:4cea/128
                                    Auf Verbindung
 17    276 fe80::/64                Auf Verbindung
 15    276 fe80::/64                Auf Verbindung
 19    286 fe80::/64                Auf Verbindung
  9    281 fe80::/64                Auf Verbindung
 13    266 fe80::/64                Auf Verbindung
 16    281 fe80::5efe:192.168.101.1/128
                                    Auf Verbindung
 14    286 fe80::5efe:192.168.179.21/128
                                    Auf Verbindung
 20    296 fe80::5efe:192.168.200.10/128
                                    Auf Verbindung
 18    281 fe80::5efe:192.168.213.1/128
                                    Auf Verbindung
 15    276 fe80::e4:f94f:29b8:4d5b/128
                                    Auf Verbindung
 13    266 fe80::c50:1b2b:3f57:4cea/128
                                    Auf Verbindung
  9    281 fe80::88cc:a74c:5bce:5790/128
                                    Auf Verbindung
 19    286 fe80::a1e1:33b8:bb2d:14e6/128
                                    Auf Verbindung
 17    276 fe80::d506:efca:4b01:e148/128
                                    Auf Verbindung
  1    306 ff00::/8                 Auf Verbindung
 17    276 ff00::/8                 Auf Verbindung
 15    276 ff00::/8                 Auf Verbindung
 13    266 ff00::/8                 Auf Verbindung
 19    286 ff00::/8                 Auf Verbindung
  9    281 ff00::/8                 Auf Verbindung
===========================================================================
Ständige Routen:
  Keine

Ethernet-Adapter OpenVPN Connector:

   Verbindungsspezifisches DNS-Suffix:
   Beschreibung. . . . . . . . . . . : TAP-Win32 Adapter V9
   Physikalische Adresse . . . . . . : 00-FF-95-5E-05-F4
   DHCP aktiviert. . . . . . . . . . : Ja
   Autokonfiguration aktiviert . . . : Ja
   Verbindungslokale IPv6-Adresse  . : fe80::a1e1:33b8:bb2d:14e6%19(Bevorzugt)
   IPv4-Adresse  . . . . . . . . . . : 192.168.200.10(Bevorzugt)
   Subnetzmaske  . . . . . . . . . . : 255.255.255.0
   Lease erhalten. . . . . . . . . . : Sonntag, 29. Juli 2007 01:24:47
   Lease läuft ab. . . . . . . . . . : Montag, 28. Juli 2008 01:24:46
   Standardgateway . . . . . . . . . :
   DHCP-Server . . . . . . . . . . . : 192.168.200.0
   DHCPv6-IAID . . . . . . . . . . . : 402718613
   DNS-Server  . . . . . . . . . . . : fec0:0:0:ffff::1%1
                                       fec0:0:0:ffff::2%1
                                       fec0:0:0:ffff::3%1
   NetBIOS über TCP/IP . . . . . . . : Aktiviert

Wie Ihr seht ist die Route 192.168.178.0 255.255.255.0 192.168.200.1 192.168.200.10 30 gesetzt.

Also alles OK gesetzt, aber kein Gateway :noidea:

 

[MaxMuster]

Ich raffe es immer noch nicht: Was meinst du denn mit "kein Gateway" ? Bei deiner Route für 192.168.178.0 steht doch die 192.168.200.1 als Gateway, und das ist korrekt. Wie ich schon vorher sagte: Dass da kein Standardgateway bei dem virtuellen Adapter steht ist vollkommen korrekt, denn schließlich willst du ja auch nicht, dass der VPN-Adapter als Standardgateway benutzt wird, sondern es soll weiterhin die "normale" Verbindung ins Internet als Standard genutzt werden.

Geht es denn jetzt in der Config nicht, die 192.168.178.1 zu erreichen? Wie sieht der trace auf diese Adresse aus (siehe oben)?

Aber auch ich bin mittlerweile relativ sicher, dass das eher eine "normale OpenVPN-Config-Frage" ist, als ein OpenVPN ds-mod Problem.

Jört

 

[tanduay]

Jetzt geht er...

Hallo,
jetzt funktioniert's auf einmal. Hab mich heute morgen hingesetzt und die Fritzbox neu aufgesetzt. RecoverImage drauf und dsmod15.1 mit .37er Firmware aufgespielt, konfiguriert mit derselben Konfig wie vorher. Auf einmal geht's :noidea:

@Jört:
Vielen Dank für deinen Beitrag. Du hast Recht gehabt, ich war im Irrtum. Man benötigt ja echt kein Standard-GW auf dem Adapter. Die Route reicht. Den Gateway findet er aufgrund dessen, das der Adapter im 192.168.200er Netz ist die Gateway Adresse.

Woran's jetzt aber tatsächlich gelegen hat weiß ich nicht.

Auf jeden Fall vielen Dank für eure Beiträge.

Gruß
Leo

 

[wengi]

Zwei Netze über tun verbinden

Hallo allerseits,

zunächst einmal möchte ich mich für Eure Mühe bedanken. Ich weis, dass das nicht selbstverständlich ist!

Ich möchte zunächst zwei Netze mit tun verbinden. In beiden Netzen arbeitet eine FBF 7170 mit 29.04.33ds26-15. Die Zertifikate und Parameter sind erstellt, der Eintrag in der ar7 des Servers gemacht und der Tunnel wird aufgebaut. (So weit wäre ich ohne diesen Thread nie gekommen )

Von der Clientbox aus kann ich sämtliche IPs der Serverseite pingen (also die Serverbox mit beiden IPs und alle PCs im LAN.
Jetzt habe ich allerdings ein (ich vermute) Routing-Problem:
von der Serverbox aus kann ich lediglich die VPN IP der Clientbox pingen. Ich komme nicht ins Client-LAN.

Mein Aufbau:
Servernetz: 192.168.201.0/24 , Serverbox: 192.168.201.1
Clientnetz: 192.168.203.0/24 , Serverbox: 192.168.203.1
In beiden Netzen diverse Clients.
VPN Netz: 10.0.0.0/24, Server 10.0.0.1

Server config:

/var/log $ cat /mod/etc/openvpn-lzo.conf
# OpenVPN 2.1 Config
proto udp
port 1194
dev tun
ca /tmp/flash/ca.crt
cert /tmp/flash/box.crt
key /tmp/flash/box.key
mode server
tls-server
dh /tmp/flash/dh.pem
ifconfig-pool 10.0.0.2 10.0.0.10
ifconfig 10.0.0.1 10.0.0.2
route 10.0.0.0 255.255.255.0
push "route 10.0.0.0 255.255.255.0"
push "route 192.168.201.0 255.255.255.0"
push "dhcp-option DNS 10.0.0.1"
max-clients 5
tun-mtu 1500
mssfix

daemon
verb 3

cipher AES-128-CBC
route 192.168.203.0 255.255.255.0
comp-lzo
keepalive 10 120
status /var/log/openvpn.log
/var/log $

Server route:

/var/log $ route
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
192.168.180.1   *               255.255.255.255 UH    2      0        0 dsl
10.0.0.2        *               255.255.255.255 UH    0      0        0 tun0
192.168.180.2   *               255.255.255.255 UH    2      0        0 dsl
10.0.0.0        10.0.0.2        255.255.255.0   UG    0      0        0 tun0
192.168.201.0   *               255.255.255.0   U     0      0        0 lan
192.168.203.0   10.0.0.2        255.255.255.0   UG    0      0        0 tun0
169.254.0.0     *               255.255.0.0     U     0      0        0 lan
default         *               0.0.0.0         U     2      0        0 dsl
/var/log $

Client config:

/var/log $ cat /mod/etc/openvpn-lzo.conf
# OpenVPN 2.1 Config
proto udp
port 1194
dev tun
ca /tmp/flash/ca.crt
cert /tmp/flash/box.crt
key /tmp/flash/box.key
tls-client
ns-cert-type server
pull
remote mdesaster.dyndns.org
nobind
ifconfig 10.0.0.2 10.0.0.1
tun-mtu 1500
mssfix

daemon
verb 3

cipher AES-128-CBC
route 192.168.201.0 255.255.255.0
comp-lzo
keepalive 10 120
resolv-retry infinite
status /var/log/openvpn.log
/var/log $

Client route:

/var/log $ route
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
10.0.0.1        *               255.255.255.255 UH    0      0        0 tun0
192.168.180.1   *               255.255.255.255 UH    2      0        0 dsl
192.168.180.2   *               255.255.255.255 UH    2      0        0 dsl
10.0.0.0        10.0.0.1        255.255.255.0   UG    0      0        0 tun0
192.168.201.0   10.0.0.1        255.255.255.0   UG    0      0        0 tun0
192.168.203.0   *               255.255.255.0   U     0      0        0 lan
169.254.0.0     *               255.255.0.0     U     0      0        0 lan
default         *               0.0.0.0         U     2      0        0 dsl
/var/log $

Da für mich alles gut aussieht (ich starre inzwischen allerdings schon etwas zu lange drauf) wollte ich mal nach dem 4-Augen Prinzip vorgehen.

Also:
Hab ich mich vertippt, was falsch verstanden, oder bin ich einfach zu dämlich?

Eine weitere Frage wäre, was ich ändern muss, um noch ein zweites Client-Netz (192.168.202.0/24) einzubinden.

jede Hilfe willkommen.
Danke
wengi

EDIT:
Wenn ich meine Server conf mit anderen vergleiche fällt mir auf, dass der Eintrag ifconfig bei mit zwei IPs beinhaltet, bei anderen aber eine subnetmask hat. Ist das der WebIF Eintrag "Entfernter Endpunkt (nur für TUN)"?

 

[MaxMuster]

Zunächst mal sähe das auch für mich gut aus.
Daher noch ein paar Nachfragen:
Kannst du von der Server-Box aus keine IP im anderen Netz erreichen, auch die der Client-FBF in dem Netz nicht? Falls doch, mach doch mal einen trace auf eine der anderen IPs, die sollte zumindest den "ersten Hop" auf die Client-Seite nehmen...

Jörg

 

[wengi]

server:

/var/mod/root $ ifconfig | grep 10.0.0
          inet addr:10.0.0.1  P-t-P:10.0.0.2  Mask:255.255.255.255

/var/mod/root $ ping -c 2 10.0.0.2 ### VPN IP der Client Box
PING 10.0.0.2 (10.0.0.2): 56 data bytes
64 bytes from 10.0.0.2: seq=0 ttl=64 time=257.1 ms
64 bytes from 10.0.0.2: seq=1 ttl=64 time=129.5 ms

--- 10.0.0.2 ping statistics ---
2 packets transmitted, 2 packets received, 0% packet loss
round-trip min/avg/max = 129.5/193.3/257.1 ms

/var/mod/root $ ping -c 2 192.168.203.1 ### LAN IP der Client Box
PING 192.168.203.1 (192.168.203.1): 56 data bytes

--- 192.168.203.1 ping statistics ---
2 packets transmitted, 0 packets received, 100% packet loss

/var/mod/root $ ping -c 2 192.168.203.2 ### Server im Client-LAN
PING 192.168.203.2 (192.168.203.2): 56 data bytes

--- 192.168.203.2 ping statistics ---
2 packets transmitted, 0 packets received, 100% packet loss

/var/mod/root $ route
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
192.168.180.1   *               255.255.255.255 UH    2      0        0 dsl
10.0.0.2        *               255.255.255.255 UH    0      0        0 tun0
192.168.180.2   *               255.255.255.255 UH    2      0        0 dsl
10.0.0.0        10.0.0.2        255.255.255.0   UG    0      0        0 tun0
192.168.201.0   *               255.255.255.0   U     0      0        0 lan
192.168.203.0   10.0.0.2        255.255.255.0   UG    0      0        0 tun0
169.254.0.0     *               255.255.0.0     U     0      0        0 lan
default         *               0.0.0.0         U     2      0        0 dsl

/var/mod/root $ traceroute 192.168.203.1
traceroute to 192.168.203.1 (192.168.203.1), 30 hops max, 38 byte packets
 1  * * *
 2  * * *
 3  * * *
 4  * * *
### Bemerkung: hier hab ich abgebrochen.
### Traceroute auf die .2 sieht genau so aus.

Ich habe OpenVpn auf beiden Boxen und auch die Boxen selbst bereits neu gestartet. Keine Besserung.

Was ist mit der fehlenden subnetmask bei ifconfig? Ich kann mir das nicht erklären.

Ich hatte zunächst den Verdacht, es könnte mit ds26-15 (nicht 15.1) zusammenhängen, da es ja ein SSL Problem gab. Allerdings habe ich einen Patch aus dem entsprechenden Thread beim make benutzt. Wenn das der Fehler wäre würde der Tunnel wohl gar nicht funktionieren...

wengi

 

[MaxMuster]

Das mit dem ifconfig ist schon o.k., der Befehl ist Unterschiedlich abhängig von deinem virtuellen Interface:
Der Tunnel ist ein Punkt-zu-Punkt IF, da hat jede Seite genau eine IP (daher deine IP + IP der Gegenstelle); die Brücke simuliert eine Teinahme in einem "größeren Netz", da hat dein IF eine IP, es werden aber viele darüber erreicht, daher deine IP + Netzmaske für "alle anderen".

Könntest du mal in der Server Config "mode server" weglassen? Ich hatte damit mal Probleme (es gab damit Fehler: MULTI: bad source address from client [a.b.c.d], packet dropped..).
Ansonsten versuche doch mal bitte, die Configs "von Hand" zu starten, jeweils ohne daemon und evtl mit verb 6, vielleicht siehst du dann ja etwas im Log auf den Kisten. Also Config nach /var/tmp kopieren, editieren openvpn stoppen und dann starten mit openvpn --config /var/tmp/<die-neue-config>..

Jörg

 

[wengi]

mode server und deamon entfernt
die neue config in /var/tmp:

/var/tmp $ cat openvpn-lzo.conf
# OpenVPN 2.1 Config
proto udp
port 1194
dev tun
ca /tmp/flash/ca.crt
cert /tmp/flash/box.crt
key /tmp/flash/box.key
tls-server
dh /tmp/flash/dh.pem
ifconfig-pool 10.0.0.2 10.0.0.10
ifconfig 10.0.0.1 10.0.0.2
route 10.0.0.0 255.255.255.0
push "route 10.0.0.0 255.255.255.0"
push "route 192.168.201.0 255.255.255.0"
push "dhcp-option DNS 10.0.0.1"
max-clients 5
tun-mtu 1500
mssfix

verb 6

cipher AES-128-CBC
route 192.168.203.0 255.255.255.0
comp-lzo
keepalive 10 120
status /var/log/openvpn.log
/var/tmp $

und dann per hand starten:

/var/tmp $ openvpn --config /var/tmp/openvpn-lzo.conf --writepid /var/run/openvpn-lzo.pid
Options error: --ifconfig-pool/--ifconfig-pool-persist requires --mode server
Use --help for more information.
/var/tmp $

Danach habe ich dann "mode server" wieder rein genommen und OpenVPN startet auch. Log ist in der angehängte Datei. IP-Adressen und Namen der Zertifikate habe ich geändert.

Danke für die Hilfe
wengi

NACHTRAG: Wenn ich versuche eine IP im Clientnetz zu erreichen wird das Paket erst gar nicht durch den Tunnel geschickt. (Beim Ping der VPN-Client IP, 10.0.0.2, taucht das auch im Log auf). Der Fehler liegt also auf der Serverseite.

 

[MaxMuster]

den ifconfig-pool könntest du im Moment ja auch weglassen (im Moment ist es "doppelt gemoppelt", weil du die IP ja mit dem ifconfig 10.0.0.1 10.0.0.2 schon fest vergeben hast, brauchst du keinen pool).

Aber wenn keine Fehler auftauchen... Oder könntest du mal in der jetzigen Konstellation einen Ping aus dem 192.168.203-er Netz auf die 192.168.201.1 absetzen (dein "Client" meldet sich ja zum Server hin immer mit der VPN-IP und nicht der LAN IP)

Jörg

 

[wengi]

hier ein ping von der Client Fritzbox auf 192.168.201.1. Das Log stammt von der Server-Box

Fri Aug  3 10:47:08 2007 us=886641 client/xxx.yyy.62.190:2057 UDPv4 READ [133] from xxx.yyy.62.190:2057: P_DATA_V1 kid=0 DATA len=132
Fri Aug  3 10:47:08 2007 us=888952 client/xxx.yyy.62.190:2057 UDPv4 WRITE [133] to xxx.yyy.62.190:2057: P_DATA_V1 kid=0 DATA len=132
Fri Aug  3 10:47:09 2007 us=895318 client/xxx.yyy.62.190:2057 UDPv4 READ [133] from xxx.yyy.62.190:2057: P_DATA_V1 kid=0 DATA len=132
Fri Aug  3 10:47:09 2007 us=897615 client/xxx.yyy.62.190:2057 UDPv4 WRITE [133] to xxx.yyy.62.190:2057: P_DATA_V1 kid=0 DATA len=132
Fri Aug  3 10:47:10 2007 us=904336 client/xxx.yyy.62.190:2057 UDPv4 READ [133] from xxx.yyy.62.190:2057: P_DATA_V1 kid=0 DATA len=132
Fri Aug  3 10:47:10 2007 us=908186 client/xxx.yyy.62.190:2057 UDPv4 WRITE [133] to xxx.yyy.62.190:2057: P_DATA_V1 kid=0 DATA len=132
Fri Aug  3 10:47:11 2007 us=914064 client/xxx.yyy.62.190:2057 UDPv4 READ [133] from xxx.yyy.62.190:2057: P_DATA_V1 kid=0 DATA len=132
Fri Aug  3 10:47:11 2007 us=916951 client/xxx.yyy.62.190:2057 UDPv4 WRITE [133] to xxx.yyy.62.190:2057: P_DATA_V1 kid=0 DATA len=132

Wenn ich die Zeile "ifconfig-pool" rausnehme kann ich in keine Richtung mehr pingen. Allerdings erzeugt ein ping vom client auf die 10.0.0.1 das hier:

Fri Aug  3 10:52:45 2007 us=298395 client/xxx.yyy.62.190:2058 UDPv4 READ [133] from xxx.yyy.62.190:2058: P_DATA_V1 kid=0 DATA len=132
Fri Aug  3 10:52:45 2007 us=299469 client/xxx.yyy.62.190:2058 MULTI: bad source address from client [10.0.0.2], packet dropped
Fri Aug  3 10:52:46 2007 us=311714 client/xxx.yyy.62.190:2058 UDPv4 READ [133] from xxx.yyy.62.190:2058: P_DATA_V1 kid=0 DATA len=132
Fri Aug  3 10:52:46 2007 us=312689 client/xxx.yyy.62.190:2058 MULTI: bad source address from client [10.0.0.2], packet dropped
Fri Aug  3 10:52:47 2007 us=320390 client/xxx.yyy.62.190:2058 UDPv4 READ [133] from xxx.yyy.62.190:2058: P_DATA_V1 kid=0 DATA len=132
Fri Aug  3 10:52:47 2007 us=321954 client/xxx.yyy.62.190:2058 MULTI: bad source address from client [10.0.0.2], packet dropped

 

[MaxMuster]

hm, hattest du "ifconfig-pool" und "mode server" rausgenommen??? Sehr merkwürdig.

Den Ping sollte von einem anderen System im Netz erfolgen, da die Client-FB (obwohl sie natürlich die 192.168.203.1 hat) wenn sie übers VPN geht die Adresse des tun-Interfaces als Absende-Adresse nimmt...

Jörg

 

[wengi]

Ich habe mir jetzt einen SSH Zugang auf den Win2k Server unter 192.168.203.2 verschafft. Ich habe jetzt also Zugriff auf beide Fritzboxen und jeweils einen Client.

Dann noch mal neu gebootet.
Danach habe ich die server.conf erneut wie folgt angepasst:

/var/tmp $ cat openvpn-lzo.conf
# OpenVPN 2.1 Config
proto udp
port 1194
dev tun
ca /tmp/flash/ca.crt
cert /tmp/flash/box.crt
key /tmp/flash/box.key
tls-server
dh /tmp/flash/dh.pem
ifconfig 10.0.0.1 10.0.0.2
route 10.0.0.0 255.255.255.0
push "route 10.0.0.0 255.255.255.0"
push "route 192.168.201.0 255.255.255.0"
push "dhcp-option DNS 10.0.0.1"
max-clients 5
tun-mtu 1500
mssfix

verb 6

cipher AES-128-CBC
route 192.168.203.0 255.255.255.0
comp-lzo
keepalive 10 120
status /var/log/openvpn.log

Jetzt funktioniert es in beide Richtungen! Das muss ich nicht wirklich verstehen, oder?

Beim ersten manuellen Start des Servers hatte ich folgende Fehlermeldungen:

Fri Aug  3 12:11:34 2007 us=16547 UDPv4 READ [69] from xxx.yyy.62.190:2060: P_DATA_V1 kid=0 DATA len=68
Fri Aug  3 12:11:34 2007 us=17089 TLS Error: local/remote TLS keys are out of sync: xxx.yyy.62.190:2060 [0]

TLS ist aber in der Konfig gar nicht aktiviert.... danach nochmal unterbrochen und gestartet. Dann ging es.

Die Frage ist jetzt: Was muss ich wie im Webinterface einstellen, damit die Konfig so stimmt? Ich möchte ja nicht nach jedem Neustart die Serverconfig beackern.

wengi

 

[MaxMuster]

Schau dir doch mal diesen Thread an.

Grundsätzlich würde ich wie folgt vorgehen:
Erstelle eine /tmp/flash/openvpn-lzo_conf. Die kann entweder eine "angepasste Kopie" von /mod/etc/default.openvpn-lzo/openvpn-lzo_conf sein, die dir bei "server" nicht gleich ein "mode server" in die Konfig schreibt. Oder aber dieses Skript kopiert einfach nur deine "fertige" Datei, die du dann z.B. nach /tmp/flash/myopenvpn.conf geschreiben hast, von dort nach nach /var/mod/etc/openvpn-lzo.conf.

Nachdem du was in die flash-Verzeichnisse geschrieben hast ein modsave nicht vergessen.

Du könntest natürlich auch noch testen, ob eventuell das Problem nur daran lag, dass sich dein "ifconfig 10.0.0.1 10.0.0.2" und dein "ifconfig-pool", der ja auch bei 10.0.0.2 anfing, überschnitten haben, indem du den Pool z.B. ab 10.0.0.5 beginnen lässt...


Jörg

 

[wengi]

Du könntest natürlich auch noch testen, ob eventuell das Problem nur daran lag, dass sich dein "ifconfig 10.0.0.1 10.0.0.2" und dein "ifconfig-pool", der ja auch bei 10.0.0.2 anfing, überschnitten haben, indem du den Pool z.B. ab 10.0.0.5 beginnen lässt...

Wenn ich meinen ifconfig-pool auf 10.0.0.5 bis 10.0.0.10 ändere erhalte ich wieder diese Fehler:

Aug  3 14:30:04 fritz daemon.notice openvpn[2219]: client/xxx.yyy.62.190:2062 MULTI: bad source address from client [192.168.203.2], packet dropped

Ich werde also die Variante mit der alternativen .conf im flash fahren. Werde ich sowieso machen müssen, wenn das zweite Clientnetzwerk dazukommt.
Dennoch finde ich es sehr merkwürdig, dass ich das nicht über das Webinterface hinbekomme. Zwei Netze über tun verbinden ist doch nicht SO außergewöhnlich. Oder gibts hier nur Zocker, die Broadcast brauchen?

Auf jeden Fall vielen Dank für Deine Hilfe

wengi

 

[knox]

Vielen Dank für die interessante Unterhaltung und die hervoragende Offenlegung der Details.

Wenn ich das richtig verstanden habe, dann liegt der Fehler auf der Serverseite, sobald TUN mit Zertifikaten verwendet wird: gleichzeitig tauchen ifconfig und ifconfig-pool in der per Script erzeugten Konfiguration auf?

 

[MaxMuster]

Ja, die tauchen beide auf. Aber es sollte eigentlich nicht falsch sein, sondern klappen (soweit die sich nicht überschneiden) und solange mode server gesetzt ist, denn laut der openvpn-Seite würde zum Beispiel der Befehl server 10.0.0.0 255.255.255.0 quasi genau so umgesetzt in:

mode server
tls-server

if dev tun:
ifconfig 10.0.0.1 10.0.0.2
ifconfig-pool 10.0.0.4 10.0.0.251
route 10.0.0.0 255.255.255.0
if client-to-client:
push "route 10.0.0.0 255.255.255.0"
else
push "route 10.0.0.1"

Warum sich der Server also beschwert, kann ich nur vermuten:
Es fehlt wohl das client-config-dir, in dem steht, welche Netze "hinter" einem Client sein dürfen.
In der Multi-Client-Umgebung (mit "mode server" ausgewählt) muss das scheinbar definiert werden. Ich kannte nur den Fehler, und habe das gerade hier unter dem Punkt Including multiple machines on the client side when using a routed VPN (dev tun) gefunden.

Jörg

 

[MaxMuster]

@wengi

Könntest du zum Verifizieren meiner "Vermutung" mal bitte das Folgende versuchen?

Kopiere die Config-Datei, lege ein Verzeichnis in /var/tmp/flash/ an und erzeuge dort eine Datei mit dem Namen deines Clients, also z.B. falls der Client "client1" heißt:

cp /mod/etc/default.openvpn-lzo/openvpn-lzo_conf /var/tmp/flash/
mkdir /var/tmp/flash/ovpn
echo iroute 192.168.203.0 255.255.255.0 > /var/tmp/flash/ovpn/client1

Dann verändere die config-Datei wie folgt :

[....]

ifconfig $OPENVPN_LZO_BOX_IP $OPENVPN_LZO_REMOTE_IP
EOF

                echo "route $OPENVPN_LZO_VPN_NET"
[i][b]
                if [ ! -d /var/tmp/ovpn ]; then
                   mkdir /var/tmp/ovpn
                fi
                cp  /var/tmp/flash/ovpn/* /var/tmp/ovpn/
                echo "client-config-dir /var/tmp/ovpn"
[/b][/i]
                if [ "$OPENVPN_LZO_CLIENT2CLIENT" == "yes" ]; then
                        echo "push \"route $OPENVPN_LZO_VPN_NET\""
                else
                        echo "push \"route $OPENVPN_LZO_BOX_IP\""
                fi

[....]

Geht das ganze dann mit der vom GUI erzeugten File??? Zum "resetfest" machen bitte ein "modsave" nutzen!


EDIT Um zu testen, ob das geht und den Fehler zu vermeiden reicht vermutlich ein zusätzliches "iroute 192.168.203.0 255.255.255.0" in der Server-Config. Das könntest du natürlich von Hand mal testen und ggfls. statt dessen mit dem geänderten openvpn-lzo_conf in die Config schreiben lassen...

Jörg

 

[wengi]

Hallo allerseits,

finde ich ja super, wie man sich hier um mich kümmert!
ich werde morgen oder übermorgen alles mal durchtesten und hier berichten. Ich bin natürlich auch daran interessiert das zu fixen.
Am liebsten wäre es mir, wenn das über die GUI mit beliebig vielen Clients funktionieren würde *träum*.

Allerdings habe ich heute den ganzen Tag Brennholz gemacht und werde mich jetzt auf die Couch begeben.

wengi