OpenVPN-Paket

[cando]

ich bin mir nicht sicher, aber hast Du mal so was probiert:

192.168.2.0 10.9.0.0 255.255.255.0 ​

Das sollte das Paket durch den Tunnel schmeissen, zu einem der sich damit auskennt...

Dein Gateway weiss ja gar nichts vom Netz hinter dem Tunnel, also muss doch das an den nächsten Router gehen. Verdammt lang her, als ich noch routen einstellen musste...

 

[squib]

Leider kann ich keine Route mit dem Gateway 10.9.0.0 erstellen. Ich bekomme dann folgende Fehlermeldung "SIOCADDRT: Network is unreachable"

Allerdings kann ich die Route mit 10.9.0.2 als Gateway erstellen und wenn ich die folgende Zeile aus der Routing-Tabelle anschaue, dann sollte 10.9.0.2 das richtig Gateway sein.

10.9.0.0        10.9.0.2        255.255.255.0   UG    0      0        0 tun0

 

[cando]

War nur eine Idee, da hast Du natürlich Recht....

Wie sieht denn das Routing auf der anderen Seite aus?

 

[sf3978]

Ist das so richtig mit dem gateway 10.9.0.2 wenn tun0 auf der box, 10.9.0.5 hat?

192.168.2.0 10.9.0.2 255.255.255.0 UG 0 0 0 tun0

inet addr:10.9.0.6 P-t-P:10.9.0.5 Mask:255.255.255.255

 

[cando]

er hat ein /24 Netz eingetragen, also eigentlich alle Adressen von 10.9.0.0...10.9.0.255
Zwar überflüssig, sollte aber nicht schaden.

* >===< 192.0.2.1/32 ----> 10.9.0.2/32 >===< 10.9.0.0/24 <---- 192.168.2.0/24

 

[sf3978]

Wie sieht tun0 auf der Box (client) und tun0 auf dem Server aus?

 

[squib]

Wie sieht tun0 auf der Box (client) und tun0 auf dem Server aus?

Bin mir nicht ganz sicher, ob ich die frage richtig verstehe. Hier mein ifconfig Auszug:

Client

tun0      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
          inet addr:10.9.0.6  P-t-P:10.9.0.5  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP ALLMULTI MULTICAST  MTU:1500  Metric:1
          RX packets:18 errors:0 dropped:0 overruns:0 frame:0
          TX packets:399 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100
          RX bytes:1256 (1.2 KiB)  TX bytes:16860 (16.4 KiB)

Server

tun0      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
          inet addr:10.9.0.1  P-t-P:10.9.0.2  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1500  Metric:1
          RX packets:703 errors:0 dropped:0 overruns:0 frame:0
          TX packets:620 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:500
          RX bytes:111735 (109.1 KiB)  TX bytes:443716 (433.3 KiB)

Ist das so richtig mit dem gateway 10.9.0.2 wenn tun0 auf der box, 10.9.0.5 hat?

VPN-Server IP 10.9.0.1 Gateway 10.9.0.2
VPN-Client (FB) IP 10.9.0.6 Gateway 10.9.0.5

Da ich eine Route auf dem Server gesetzt habe habe ich 10.9.0.2 angeben.

 

[squib]

Wie sieht denn das Routing auf der anderen Seite aus?

Hier die Routen vom Client:

Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
10.9.0.5        *               255.255.255.255 UH    0      0        0 tun0
192.168.180.1   *               255.255.255.255 UH    2      0        0 dsl
10.9.0.1        10.9.0.5        255.255.255.255 UGH   0      0        0 tun0
192.168.180.2   *               255.255.255.255 UH    2      0        0 dsl
213.219.133.48  *               255.255.255.255 UH    2      0        0 dsl
192.168.2.0     *               255.255.255.0   U     0      0        0 lan
169.254.0.0     *               255.255.0.0     U     0      0        0 lan
212.58.0.0      10.9.0.5        255.255.0.0     UG    0      0        0 tun0
default         *               0.0.0.0         U     2      0        0 dsl

(die meisten Routen wurden automatisch gesetzt - ich habe eigentlich nur die 212.58.0.0 per push-Funktion durch den VPN-Server gesetzt)

 

[sf3978]

Bei mir sieht das so aus:

Client:

tun0 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
inet addr:10.7.0.2 P-t-P:10.7.0.1 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP ALLMULTI MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:500
RX bytes:0 (0.0 B) TX bytes:0 (0.0 B)

route add -net 192.168.128.0 netmask 255.255.255.0 gw 10.7.0.1

# route
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
10.7.0.1 * 255.255.255.255 UH 0 0 0 tun0
192.168.128.0 10.7.0.1 255.255.255.0 UG 0 0 0 tun0

Server:

tun0 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
inet addr:10.7.0.1 P-t-P:10.7.0.2 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP ALLMULTI MULTICAST MTU:1500 Metric:1
RX packets:49 errors:0 dropped:0 overruns:0 frame:0
TX packets:36 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:500
RX bytes:2633 (2.5 KiB) TX bytes:2281 (2.2 KiB)

route add -net 192.168.118.0 netmask 255.255.255.0 gw 10.7.0.2

# route
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
10.7.0.2 * 255.255.255.255 UH 0 0 0 tun0
192.168.118.0 10.7.0.2 255.255.255.0 UG 0 0 0 tun0

 

[squib]

Hurra jetzt geht es!!!!

Kurze Zusammenfassung:

ccd/client config

ifconfig-push 10.9.0.6 10.9.0.1
iroute 192.168.2.0 255.255.255.0

in die Server config habe folgende Zeile aufgenommen:

route 192.168.2.0 255.255.255.0

meine route auf dem Client sieht dann so aus:

Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
192.168.180.1   *               255.255.255.255 UH    2      0        0 dsl
10.9.0.1        *               255.255.255.255 UH    0      0        0 tun0
192.168.180.2   *               255.255.255.255 UH    2      0        0 dsl
213.219.133.48  *               255.255.255.255 UH    2      0        0 dsl
192.168.2.0     *               255.255.255.0   U     0      0        0 lan
10.9.0.0        10.9.0.1        255.255.255.0   UG    0      0        0 tun0
169.254.0.0     *               255.255.0.0     U     0      0        0 lan
212.58.0.0      10.9.0.1        255.255.0.0     UG    0      0        0 tun0
default         *               0.0.0.0         U     2      0        0 dsl

und auf dem Server:

Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
192.0.2.1       *               255.255.255.255 UH    0      0        0 venet0
10.9.0.2        *               255.255.255.255 UH    0      0        0 tun0
192.168.2.0     10.9.0.2        255.255.255.0   UG    0      0        0 tun0
10.9.0.0        10.9.0.2        255.255.255.0   UG    0      0        0 tun0
default         192.0.2.1       0.0.0.0         UG    0      0        0 venet0

Unkalr ist mir allerdings, warum ich vom Server meinen Client (192.168.2.1) nicht erreiche - aber das macht nix.

Ich hoffe diese kurze Zusammenfassung hilft Leuten, die in der Zuknuft ähnliche Probleme haben.

Vielen Dank auch für die zahlreichen Beiträge, um mein Problem zu lösen.

 

[MaxMuster]

Moin,

tut mir leid, aber so ganz kann ich das nicht glauben, dass das so geht ;-), oder du hast noch viel mehr geändert gegenüber dem vorher genannten.

Zunächst: Mit client-config-dir und Configs pro Client nutzt du eine Multi-Client-Umgebung, von der war vorher nie die Rede. Fehlende Informationen machen es den Helfern nicht gerade leicht, denn sonst wäre es für uns noch einfacher gewesen.

Aber noch ein paar Dinge: Im CCD weist du mit dem ifconfig dem Client die IP 10.9.0.6 zu, in der Routingtabelle geht das Routing aber auf 10.9.0.2. Das ist zwar in dieser Konfig möglich wegen der Unterscheidung "IP Kernel Routing zum Openvpn" (route ...) und "Routing innerhalb des Openvpn" (iroute ...) aber für das Debuggen unschön. Was ist mit dem "topology subnet"? Wo steht das?
Wenn es anderen helfen soll, müsstest du schon etwas mehr schreiben...

Jörg

 

[Shawne]

Hi Leute,

ich habe genau die selbe Zielstellung, wie auf den letzten 2 Seiten beschrieben.
Scheinbar gab es ja keine endgültige Lösung.

Aufbau:
OpenVPN Server auf VServer bei Hosteurope
7270 als Client
Multi-Client Umgebung

Ziel: Von unterwegs auf das lokale Netzwerk hinter der Fritz!Box zugreifen.
Der Umweg über den VServer ist notwendig, da die 7270 nur per UMTS angebunden ist und daher keine eingehenden Verbindungen ermöglicht.

Server:

server.conf

server 10.8.0.0 255.255.255.0
client-config-dir ccd
route 192.168.178.0 255.255.255.0
client-to-client

Kernel IP routing table

192.168.178.0   10.8.0.2        255.255.255.0   UG    0      0        0 tun0
10.8.0.0        10.8.0.2        255.255.255.0   UG    0      0        0 tun0

Client (7270):
Kernel IP routing table

10.8.0.0        10.8.0.5        255.255.255.0   UG    0      0        0 tun0

/ccd/client1

ifconfig-push 10.8.0.6 10.8.0.1
iroute 192.168.178.0 255.255.255.0

Die OpenVPN GUI sieht identisch (bis auf Server) mit dieser aus:
[Edit frank_m24: Bild in Link umgewandelt, siehe auch hier.
Bitte benutzt den forumeigenen Dateimanager, um Bilder hochzuladen (Beitrag "Ändern" -> "Erweitert" -> "Anhänge verwalten").]
http://www.ip-phone-forum.de/attachment.php?attachmentid=41960&d=1259316149

Von der 7270 kann ich den Server pingen.
Vom Server kann ich die 7270 pingen.

Vom Server lässt sich die 192.168.178.20 nicht anpingen.
Von der 192.168.178.20 aus lässt sich der Server ebenfalls nicht anpingen.
Im Server log steht folgendes:

client1/XXX.XXX.44.173:1033 MULTI: bad source address from client [192.168.178.20], packet dropped

Ich habe mich nach den letzten 2 Seiten hier und nach dem HowTo gerichtet: http://openvpn.net/index.php/open-source/documentation/howto.html#scope


Hat jemand eine Idee für mich, wo ich weiter ansetzen soll?
Danke soweit.

Grüße Shawne

 

[MaxMuster]

Hmm, das sieht nach einem "iroute" Problem aus. Hat der Client "client1" auch die IP 10.8.0.6 (mit der P-t-P IP 10.8.0.1) bekommen? Bei TUN erfordert das normalerweise "topology subnet". Sieht so aus, als habe er die .5 bekommen?!?

Die Route sollte dann besser sein:
route 192.168.178.0 255.255.255.0 10.8.0.6

Jörg

 

[Shawne]

Der client1, also die 7270 hat:

 inet addr:10.8.0.6  P-t-P:10.8.0.5  Mask:255.255.255.255

Lässt freetz sich das nicht vorschreiben, oder wie behebe ich das am besten?


EDIT:
Hatte das ccd falsch gesetzt.

Ohne die 10.8.0.6 am Ende der route funktioniert der Ping jetzt schon mal von der 192.168.178.20 auf den VPN Server.
Nur vom Server kann ich die 192.168.178.20 nicht pingen.

Idee?

 

[MaxMuster]

Das kommt normalerweise, wenn du kein "topology subnet" hast (eine Einschränkung, weil Windows nur Mininetze für den Adapter konnte, deshalb werden die standardmäßig so vergeben).
Also musst du "topology subnet" in die Serverconfig aufnehmen und dann muss das entweder der Server "pushen" oder du trägst das in den erweiterten Einstellungen beim Client ein...

Jörg

EDIT

Ohne die 10.8.0.6 am Ende der route funktioniert ...

Ja, das ist schon klar, das betrifft ja auch "nur" das Kernelrouting, damit gelangen die Pakete zum OpenVPN, was es dann weiterverteilt (per "iroute").
Eine "genauere" Route ist aber aus meiner Sicht besser nachvollziehbar, falls man mehr als einen Client hat.

Zum Ping: Meine Vermutung ist irgendeine Firewall auf dem PC mit der .20, die keinen Ping aus "externen Netzen" (wie 10.8.0.0) zulässt. Zum verifizieren: FW kurz ausschalten, zum "Beheben" das Netz als "sicher"/"erlaubt"... mit hinzufügen.

 

[Shawne]

Genial. Es funktioniert. Danke Dir!
Also ich bin zumindest soweit, dass es in beide Richtungen funktioniert und ich vom Server aus auf die .20 komme.

Jetzt nehme ich Client2 daher. Ganz normale Windows Kiste, wie wenn ich unterwegs bin.
Per http://10.8.0.6/ komme ich auf meine 7270, die zu Hause steht -> perfekt.
Nur die 192.168.178.20 kann ich nicht anpingen.

server.conf

topology subnet
client-config-dir ccd
route 192.168.178.0 255.255.255.0 10.8.0.6
client-to-client

client1 (7270)

ifconfig-push 10.8.0.6 255.255.255.0
push "topology subnet"
iroute 192.168.178.0 255.255.255.0

client2 Windows

ifconfig-push 10.8.0.10 255.255.255.0
push "topology subnet"

Ein festes Netz kann ich für den Client2 ja nicht pushen, da ich ja nicht weiß, wenn ich unterwegs bin, in welchem Netz man mich wiederfindet.
Also müsste der Server mir aber mitteilen, dass 192.168.178.0 über den VPN Server läuft und entsprechende Pings auch zu mir beantwortet werden.

Idee?

 

[MaxMuster]

Am einfachsten im ccd für client2 hinzufügen, dass er das zu client1 schicken sollte (geht dann durch VPN-Tunnel)

push "route 192.168.178.0 255.255.255.0 10.8.0.6"

Die Geräte dort kennen über den FBF-Client ja bereits das 10.8.0-er Netz, in dem dann auch Client2 ist.

Jörg

 

[Shawne]

Genial.
So langsam bin ich auch komplett durchgestiegen und verstehe sogar, was da vor sich geht.

Ich danke Dir vielmals für Deine Hilfe!

Es funktioniert alles so, wie ich mir das vorgestellt hab. Perfekt!

 

[MaxMuster]

Freut mich

 

[sirpreis]

Hallo,

gibt es eine Möglichkeit, über ein Webinterface auf der "Freetzbox" einzusehen, welche VPN-Verbindungen gerade aktiv sind bzw. welche Nutzer eingeloggt sind? Z.B. sowas wie OpenVPN Web GUI (http://openvpn-web-gui.sourceforge.net/), was aber scheinbar etwas länger nicht mehr weiterentwickelt wurde.

MfG,
sirpreis