OpenVPN-Paket

Geht prinzipiell schon. Wenn LAN und das TAP-Interface des VPN gebrückt sind, sollte auch der DHCP der Box auf Anfragen über das VPN antworten. Zumindest mit Windows-Clients hab ich das schon mal gemacht, wenn mich meine Erinnerung nicht ganz täuscht.
 
Fehler: Connection refused (code=146)

Hallo!

Ich bin jetzt mind. 1 Schritt weiter, d.h. die Hürde "Authentifizierung" ist übersprüngen.
Jetzt stehe ich vor dem Problem, dass der VPN-Client keine Verbindung ins Heimnetzwerk bekommt.

Im Server-Log steht hierzu dies:
Code:
Sat Jun 30 01:46:52 2012 us=253760 OpenVPN 2.2.2 mips-linux [SSL] [LZO2] [MH] [PF_INET6] [IPv6 payload 20110424-2 (2.2RC2)] built on Jun  3 2012
Sat Jun 30 01:46:52 2012 us=253760 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Sat Jun 30 01:46:52 2012 us=341716 Diffie-Hellman initialized with 1024 bit key
Sat Jun 30 01:46:52 2012 us=349712 Control Channel Authentication: using '/tmp/flash/openvpn/static.key' as a OpenVPN static key file
Sat Jun 30 01:46:52 2012 us=353710 Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Sat Jun 30 01:46:52 2012 us=353710 Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Sat Jun 30 01:46:52 2012 us=353710 TLS-Auth MTU parms [ L:1574 D:166 EF:66 EB:0 ET:0 EL:0 ]
Sat Jun 30 01:46:52 2012 us=353710 Socket Buffers: R=[202752->131072] S=[202752->131072]
Sat Jun 30 01:46:52 2012 us=361706 TUN/TAP device tap0 opened
Sat Jun 30 01:46:52 2012 us=361706 TUN/TAP TX queue length set to 100
Sat Jun 30 01:46:52 2012 us=365704 do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
Sat Jun 30 01:46:52 2012 us=365704 /sbin/ifconfig tap0 192.168.178.1 netmask 255.255.255.0 mtu 1500 broadcast 192.168.178.255
Sat Jun 30 01:46:52 2012 us=373700 Data Channel MTU parms [ L:1574 D:1450 EF:42 EB:135 ET:32 EL:0 AF:3/1 ]
Sat Jun 30 01:46:52 2012 us=373700 chroot to '/tmp/openvpn' and cd to '/' succeeded
Sat Jun 30 01:46:52 2012 us=377698 GID set to openvpn
Sat Jun 30 01:46:52 2012 us=377698 UID set to openvpn
Sat Jun 30 01:46:52 2012 us=377698 UDPv4 link local (bound): [undef]
Sat Jun 30 01:46:52 2012 us=377698 UDPv4 link remote: [undef]
Sat Jun 30 01:46:52 2012 us=377698 MULTI: multi_init called, r=256 v=256
Sat Jun 30 01:46:52 2012 us=377698 IFCONFIG POOL: base=192.168.178.91 size=10, ipv6=0
Sat Jun 30 01:46:52 2012 us=377698 Initialization Sequence Completed
Sat Jun 30 01:47:27 2012 us=340208 MULTI: multi_create_instance called
Sat Jun 30 01:47:27 2012 us=340208 109.43.0.73:44678 Re-using SSL/TLS context
Sat Jun 30 01:47:27 2012 us=340208 109.43.0.73:44678 LZO compression initialized
Sat Jun 30 01:47:27 2012 us=344206 109.43.0.73:44678 Control Channel MTU parms [ L:1574 D:166 EF:66 EB:0 ET:0 EL:0 ]
Sat Jun 30 01:47:27 2012 us=344206 109.43.0.73:44678 Data Channel MTU parms [ L:1574 D:1450 EF:42 EB:135 ET:32 EL:0 AF:3/1 ]
RSat Jun 30 01:47:27 2012 us=344206 109.43.0.73:44678 TLS: Initial packet from [AF_INET]109.43.0.73:44678, sid=db3f78c3 8cee4ab0
Sat Jun 30 01:47:31 2012 us=298228 109.43.0.73:44678 VERIFY OK: depth=1, /C=DE/ST=BW/L=location/O=OpenVPN/OU=orga/CN=orga/name=orga/[email protected]
Sat Jun 30 01:47:31 2012 us=298228 109.43.0.73:44678 VERIFY OK: depth=0, /C=DE/ST=BW/L=location/O=OpenVPN/OU=mobile2/CN=mobile2/name=orga/[email protected]
Sat Jun 30 01:47:32 2012 us=177788 109.43.0.73:44678 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Sat Jun 30 01:47:32 2012 us=177788 109.43.0.73:44678 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Sat Jun 30 01:47:32 2012 us=181786 109.43.0.73:44678 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Sat Jun 30 01:47:32 2012 us=181786 109.43.0.73:44678 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Sat Jun 30 01:47:32 2012 us=337708 109.43.0.73:44678 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
Sat Jun 30 01:47:32 2012 us=337708 109.43.0.73:44678 [mobile2] Peer Connection Initiated with [AF_INET]109.43.0.73:44678
Sat Jun 30 01:47:32 2012 us=337708 mobile2/109.43.0.73:44678 MULTI_sva: pool returned IPv4=192.168.178.91, IPv6=::5:41:1f3c:7fcf:1868
RSat Jun 30 01:47:34 2012 us=844454 mobile2/109.43.0.73:44678 PUSH: Received control message: 'PUSH_REQUEST'
Sat Jun 30 01:47:34 2012 us=848452 mobile2/109.43.0.73:44678 send_push_reply(): safe_cap=960
Sat Jun 30 01:47:34 2012 us=848452 mobile2/109.43.0.73:44678 SENT CONTROL [mobile2]: 'PUSH_REPLY,route-gateway 192.168.178.1,route 192.168.178.0 255.255.255.0,route 192.168.178.1,ping 10,ping-restart 120,ifconfig 192.168.178.91 255.255.255.0' (status=1)
Sat Jun 30 01:47:38 2012 us=278736 read UDPv4 [ECONNREFUSED]: Connection refused (code=146)

Nach meinem Verständnis versucht OpenVPN dem Client die IP-Adresse 192.168.178.91 255.255.255.0 zuzuweisen.
Diese IP-Adresse ist zum einen aus dem Adress-Bereich des Heimnetzwerks, und zum anderen in der Range des DHCP-Servers.

Fragen:
Kann der Fehler
read UDPv4 [ECONNREFUSED]: Connection refused (code=146)
damit zusammenhängen, dass auf dem Router dasselbe Gerät "mobile2" mit diesem Hostnamen eingetragen ist, und dabei diesem Gerät ein fixe IP-Adresse 192.168.178.43 255.255.255.0 vom Router zugewiesen wird?

Kann ich OpenVPN anweisen, dem Device dieselbe IP-Adresse zuzuweisen, wie das der Router auch macht (192.168.178.43 255.255.255.0), ohne dabei mit dem Router in einen Konflikt zu kommen?

Wie kann ich OpenVPN anweisen, dem Device eine andere IP-Adresse aus einer bestimmten DHCP-Range zuzuweisen?
Muss hierfür (mit der aktuell verwendeten Konfiguration) nur der Device-Name "mobile2" im OpenVPN Client geändert werden?

Hier noch die Konfiguration:
Client

## Server-Adresse
remote xxx.selfip.com

## Port
port 1194

## Protokoll
proto udp
;proto tcp
;proto tcp-client

dev tap

dev-node openvpn

nobind

## Definition als Client
tls-client

tls-auth /sdcard/openvpn/static.key 1

## Schluesseldateien
ca "/sdcard/openvpn/ca.crt"
key "/sdcard/openvpn/mobile2.key"
cert "/sdcard/openvpn/mobile2.crt"

## Server überprüft die Zertifikate auf Gültigkeit
ns-cert-type server

## Komprimierung einschalten
comp-lzo

## "pull" muß in der Client-config stehen, damit die push-Anweisungenvom Server geholt werden
pull

## Optional zur Stabilisierung der Verbindung
tun-mtu 1500
## siehe Hinweis oben: wenn "tun-mtu" und "tun-mtu-extra",
## dann in beiden configs (Server + Client)
verb 5
mute 50
persist-key
persist-tun
cipher BF-CBC

## Passwort wird nicht im Memory gespeichert
auth-nocache

## Logfile
log /sdcard/openvpn/openvpn.log


Server
# OpenVPN 2.1 Config, Sat Jun 30 01:46:52 CEST 2012
proto udp
dev tap0
dev-node /dev/tun
ca /tmp/flash/openvpn/ca.crt
cert /tmp/flash/openvpn/box.crt
key /tmp/flash/openvpn/box.key
dh /tmp/flash/openvpn/dh.pem
tls-server
tls-auth /tmp/flash/openvpn/static.key 0
port 1194
ifconfig 192.168.178.1 255.255.255.0
push "route-gateway 192.168.178.1"
push "route 192.168.178.0 255.255.255.0"
max-clients 5
mode server
ifconfig-pool 192.168.178.91 192.168.178.100
push "route 192.168.178.1"
tun-mtu 1500
mssfix
log /var/tmp/debug_openvpn.out
verb 5
cipher BF-CBC
comp-lzo
keepalive 10 120
chroot /tmp/openvpn
user openvpn
group openvpn
persist-tun
persist-key


Ein Screenshot der OpenVPN Konfiguration im WebUI ist angehängt.

THX


Nachtrag:
Im Client-Log findet sich ein vermeintlich ganz neuer Hinweis zu Ursache.
Code:
Sat Jun 30 01:46:43 2012 OpenVPN 2.2.2 i686-pc-linux-gnu [SSL] [LZO2] [EPOLL] [eurephia] built on Jun 24 2012
Sat Jun 30 01:46:43 2012 MANAGEMENT: TCP Socket listening on 127.0.0.1:10978
Sat Jun 30 01:46:43 2012 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Sat Jun 30 01:46:43 2012 Need password(s) from management interface, waiting...
Sat Jun 30 01:46:43 2012 MANAGEMENT: Client connected from 127.0.0.1:10978
Sat Jun 30 01:46:43 2012 MANAGEMENT: CMD 'state'
Sat Jun 30 01:46:43 2012 MANAGEMENT: CMD 'state on'
Sat Jun 30 01:46:43 2012 MANAGEMENT: CMD 'bytecount 0'
Sat Jun 30 01:47:00 2012 MANAGEMENT: CMD 'password [...]'
Sat Jun 30 01:47:00 2012 WARNING: file '/sdcard/openvpn/mobile2.key' is group or others accessible
Sat Jun 30 01:47:00 2012 WARNING: file '/sdcard/openvpn/static.key' is group or others accessible
Sat Jun 30 01:47:00 2012 Control Channel Authentication: using '/sdcard/openvpn/static.key' as a OpenVPN static key file
Sat Jun 30 01:47:00 2012 Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Sat Jun 30 01:47:00 2012 Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Sat Jun 30 01:47:00 2012 LZO compression initialized
Sat Jun 30 01:47:00 2012 Control Channel MTU parms [ L:1574 D:166 EF:66 EB:0 ET:0 EL:0 ]
Sat Jun 30 01:47:00 2012 Socket Buffers: R=[110592->131072] S=[110592->131072]
Sat Jun 30 01:47:00 2012 MANAGEMENT: >STATE:1341013620,RESOLVE,,,
Sat Jun 30 01:47:01 2012 Data Channel MTU parms [ L:1574 D:1450 EF:42 EB:135 ET:32 EL:0 AF:3/1 ]
Sat Jun 30 01:47:01 2012 Local Options hash (VER=V4): '13a273ba'
Sat Jun 30 01:47:01 2012 Expected Remote Options hash (VER=V4): '360696c5'
Sat Jun 30 01:47:01 2012 UDPv4 link local: [undef]
Sat Jun 30 01:47:01 2012 UDPv4 link remote: 77.2.182.171:1194
Sat Jun 30 01:47:01 2012 MANAGEMENT: >STATE:1341013621,WAIT,,,
Sat Jun 30 01:47:01 2012 MANAGEMENT: CMD 'bytecount 0'
Sat Jun 30 01:47:01 2012 MANAGEMENT: CMD 'bytecount 0'
Sat Jun 30 01:47:01 2012 MANAGEMENT: >STATE:1341013621,AUTH,,,
Sat Jun 30 01:47:01 2012 TLS: Initial packet from 77.2.182.171:1194, sid=e9a4d5b2 12d52b97
Sat Jun 30 01:47:01 2012 MANAGEMENT: CMD 'bytecount 0'
Sat Jun 30 01:47:02 2012 VERIFY OK: depth=1, /C=DE/ST=BW/L=location/O=OpenVPN/OU=orga/CN=orga/name=orga/[email protected]
Sat Jun 30 01:47:02 2012 VERIFY OK: nsCertType=SERVER
Sat Jun 30 01:47:02 2012 VERIFY OK: depth=0, /C=DE/ST=BW/L=location/O=OpenVPN/OU=orga/CN=net1-FB7390/name=orga/[email protected]
Sat Jun 30 01:47:06 2012 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Sat Jun 30 01:47:06 2012 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Sat Jun 30 01:47:06 2012 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Sat Jun 30 01:47:06 2012 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Sat Jun 30 01:47:06 2012 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
Sat Jun 30 01:47:06 2012 [net1-FB7390] Peer Connection Initiated with 77.2.182.171:1194
Sat Jun 30 01:47:07 2012 MANAGEMENT: >STATE:1341013627,GET_CONFIG,,,
Sat Jun 30 01:47:07 2012 MANAGEMENT: CMD 'bytecount 0'
Sat Jun 30 01:47:08 2012 SENT CONTROL [net1-FB7390]: 'PUSH_REQUEST' (status=1)
Sat Jun 30 01:47:08 2012 PUSH: Received control message: 'PUSH_REPLY,route-gateway 192.168.178.1,route 192.168.178.0 255.255.255.0,route 192.168.178.1,ping 10,ping-restart 120,ifconfig 192.168.178.91 255.255.255.0'
Sat Jun 30 01:47:08 2012 OPTIONS IMPORT: timers and/or timeouts modified
Sat Jun 30 01:47:08 2012 OPTIONS IMPORT: --ifconfig/up options modified
Sat Jun 30 01:47:08 2012 OPTIONS IMPORT: route options modified
Sat Jun 30 01:47:08 2012 OPTIONS IMPORT: route-related options modified
Sat Jun 30 01:47:08 2012 ROUTE default_gateway=10.68.47.1
Sat Jun 30 01:47:08 2012 Note: Cannot open TUN/TAP dev openvpn: No such file or directory (errno=2)
Sat Jun 30 01:47:08 2012 MANAGEMENT: >STATE:1341013628,ASSIGN_IP,,192.168.178.91,
Sat Jun 30 01:47:08 2012 /system/bin/ip link set dev  up mtu 1500
Usage: ip link add [link DEV] [ name ] NAME
                   [ txqueuelen PACKETS ]
                   [ address LLADDR ]
                   [ broadcast LLADDR ]
                   [ mtu MTU ]
                   type TYPE [ ARGS ]
       ip link delete DEV type TYPE [ ARGS ]

       ip link set { dev DEVICE | group DEVGROUP } [ { up | down } ]
	                  [ arp { on | off } ]
	                  [ dynamic { on | off } ]
	                  [ multicast { on | off } ]
	                  [ allmulticast { on | off } ]
	                  [ promisc { on | off } ]
	                  [ trailers { on | off } ]
	                  [ txqueuelen PACKETS ]
	                  [ name NEWNAME ]
	                  [ address LLADDR ]
	                  [ broadcast LLADDR ]
	                  [ mtu MTU ]
	                  [ netns PID ]
	                  [ netns NAME ]
			  [ alias NAME ]
	                  [ vf NUM [ mac LLADDR ]
				   [ vlan VLANID [ qos VLAN-QOS ] ]
				   [ rate TXRATE ] ] 
				   [ spoofchk { on | off} ] ] 
			  [ master DEVICE ]
			  [ nomaster ]
       ip link show [ DEVICE | group GROUP ]

TYPE := { vlan | veth | vcan | dummy | ifb | macvlan | can | bridge }
Sat Jun 30 01:47:08 2012 MANAGEMENT: Client disconnected
Sat Jun 30 01:47:08 2012 Linux ip link set failed: external program exited with error status: 255
Sat Jun 30 01:47:08 2012 Exiting

Muss hier die Client-Konfiguration modifiziert werden?
 
Zuletzt bearbeitet:
Auf dem Client existiert kein "tap"-Device mit dem Namen "openvpn". DIes hast du aber mit dem Befehl "dev-node openvpn" vorgegeben.

Brauchst du denn einen speziellen Eintrag für dev-node auf diesem Client überhaupt? Existiert nicht vielleicht /dev/net/tun oder /dev/tun? Sonst musst du es anlegen.
 
Auf dem Client existiert kein "tap"-Device mit dem Namen "openvpn". DIes hast du aber mit dem Befehl "dev-node openvpn" vorgegeben.

Brauchst du denn einen speziellen Eintrag für dev-node auf diesem Client überhaupt? Existiert nicht vielleicht /dev/net/tun oder /dev/tun? Sonst musst du es anlegen.

OK.
Deine Analyse kann ich nachvollziehen.
Dies bedeutet, dass die Client-Konfiguration nicht korrekt ist.

Deine Frage ob /dev/net/tun oder /dev/tun existiert kann ich eindeutig mit ja beantworten:
/dev/tun ist vorhanden.

Aber wie muss die Client-Konfiguration hierfür angepasst werden?
Muss der Parameter "dev-node openvpn" gelöscht oder modifiziert werden?

THX


Update:
Ich habe die Client-Konfiguration modifiziert, d.h. den Parameter "dev-node" habe ich auskommentiert.

Die VPN-Verbindung wird jetzt korrekt aufgebaut.

Jetzt stehe ich leider vor dem nächsten Problem:
Der Ping zum OpenVPN-Server (= Router = FB7390) geht nicht durch.
Auch andere Geräte im Heimnetzwerk kann ich nicht anpingen.

shell@android:/ $ ping 192.168.178.1
PING 192.168.178.1 (192.168.178.1) 56(84) bytes of data.
From 192.168.178.101 icmp_seq=1 Destination Host Unreachable
From 192.168.178.101 icmp_seq=2 Destination Host Unreachable
From 192.168.178.101 icmp_seq=3 Destination Host Unreachable

shell@android:/ $ /system/xbin/ifconfig
lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:3151 errors:0 dropped:0 overruns:0 frame:0
TX packets:3151 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:230949 (225.5 KiB) TX bytes:230949 (225.5 KiB)

rmnet0 Link encap:point-to-Point Protocol
inet addr:10.67.xx.xx.xx P-t-P:10.67.xx.xx.xx Mask:255.255.255.0
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1
RX packets:19514 errors:0 dropped:0 overruns:0 frame:0
TX packets:20151 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:12630081 (12.0 MiB) TX bytes:2265035 (2.1 MiB)

tap0 Link encap:Ethernet HWaddr 86:4C:2B:F5:EF:62
inet addr:192.168.178.101 Bcast:192.168.178.255 Mask:255.255.255.0
inet6 addr: fe80::844c:2bff:fef5:ef62/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:24 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:500
RX bytes:0 (0.0 B) TX bytes:1224 (1.1 KiB)


Im Client-Log steht jetzt dies:
Sat Jun 30 17:47:31 2012 us=190704 109.43.0.7:43061 VERIFY OK: depth=1, /C=DE/ST=BW/L=location/O=OpenVPN/OU=orga/CN=orga/name=orga/[email protected]
Sat Jun 30 17:47:31 2012 us=190704 109.43.0.7:43061 VERIFY OK: depth=0, /C=DE/ST=BW/L=location/O=OpenVPN/OU=mobile2-SGS2/CN=mobile2-SGS2/name=orga/[email protected]
Sat Jun 30 17:47:32 2012 us=10278 109.43.0.7:43061 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Sat Jun 30 17:47:32 2012 us=10278 109.43.0.7:43061 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Sat Jun 30 17:47:32 2012 us=14276 109.43.0.7:43061 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Sat Jun 30 17:47:32 2012 us=14276 109.43.0.7:43061 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Sat Jun 30 17:47:32 2012 us=206176 109.43.0.7:43061 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
Sat Jun 30 17:47:32 2012 us=210174 109.43.0.7:43061 [mobile2-SGS2] Peer Connection Initiated with [AF_INET]109.43.0.7:43061
Sat Jun 30 17:47:32 2012 us=210174 mobile2-SGS2/109.43.0.7:43061 MULTI_sva: pool returned IPv4=192.168.178.101, IPv6=::5:41:1f3c:7fe8:6208
Sat Jun 30 17:47:34 2012 us=516973 mobile2-SGS2/109.43.0.7:43061 PUSH: Received control message: 'PUSH_REQUEST'
Sat Jun 30 17:47:34 2012 us=516973 mobile2-SGS2/109.43.0.7:43061 send_push_reply(): safe_cap=960
Sat Jun 30 17:47:34 2012 us=516973 mobile2-SGS2/109.43.0.7:43061 SENT CONTROL [mobile2-SGS2]: 'PUSH_REPLY,route-gateway 192.168.178.1,route 192.168.178.0 255.255.255.0,route 192.168.178.1,ping 10,ping-restart 120,ifconfig 192.168.178.101 255.255.255.0' (status=1)
Sat Jun 30 17:47:34 2012 us=836807 mobile2-SGS2/109.43.0.7:43061 MULTI: Learn: 86:4c:2b:f5:ef:62 -> mobile2-SGS2/109.43.0.7:43061


Im Server-Log steht dies:
Sat Jun 30 17:46:54 2012 VERIFY OK: depth=1, /C=DE/ST=BW/L=location/O=OpenVPN/OU=orga/CN=orga/name=orga/[email protected]
Sat Jun 30 17:46:54 2012 VERIFY OK: nsCertType=SERVER
Sat Jun 30 17:46:54 2012 VERIFY OK: depth=0, /C=DE/ST=BW/L=location/O=OpenVPN/OU=orga/CN=net1-FB7390/name=orga/[email protected]
Sat Jun 30 17:46:56 2012 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Sat Jun 30 17:46:56 2012 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Sat Jun 30 17:46:56 2012 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Sat Jun 30 17:46:56 2012 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Sat Jun 30 17:46:56 2012 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
Sat Jun 30 17:46:56 2012 [net1-FB7390] Peer Connection Initiated with 77.2.182.171:1194
Sat Jun 30 17:46:57 2012 MANAGEMENT: >STATE:1341071217,GET_CONFIG,,,
Sat Jun 30 17:46:57 2012 MANAGEMENT: CMD 'bytecount 0'
Sat Jun 30 17:46:58 2012 SENT CONTROL [net1-FB7390]: 'PUSH_REQUEST' (status=1)
Sat Jun 30 17:46:59 2012 PUSH: Received control message: 'PUSH_REPLY,route-gateway 192.168.178.1,route 192.168.178.0 255.255.255.0,route 192.168.178.1,ping 10,ping-restart 120,ifconfig 192.168.178.101 255.255.255.0'
Sat Jun 30 17:46:59 2012 OPTIONS IMPORT: timers and/or timeouts modified
Sat Jun 30 17:46:59 2012 OPTIONS IMPORT: --ifconfig/up options modified
Sat Jun 30 17:46:59 2012 OPTIONS IMPORT: route options modified
Sat Jun 30 17:46:59 2012 OPTIONS IMPORT: route-related options modified
Sat Jun 30 17:46:59 2012 ROUTE default_gateway=10.67.xx.xx
Sat Jun 30 17:46:59 2012 TUN/TAP device tap0 opened
Sat Jun 30 17:46:59 2012 MANAGEMENT: >STATE:1341071219,ASSIGN_IP,,192.168.178.101,
Sat Jun 30 17:46:59 2012 /system/bin/ip link set dev tap0 up mtu 1500
Sat Jun 30 17:46:59 2012 /system/bin/ip addr add dev tap0 192.168.178.101/24 broadcast 192.168.178.255
Sat Jun 30 17:46:59 2012 MANAGEMENT: >STATE:1341071219,ADD_ROUTES,,,
Sat Jun 30 17:46:59 2012 /system/bin/ip route add 192.168.178.0/24 via 192.168.178.1
RTNETLINK answers: File exists
Sat Jun 30 17:46:59 2012 ERROR: Linux route add command failed: external program exited with error status: 2
Sat Jun 30 17:46:59 2012 OpenVPN ROUTE: omitted no-op route: 192.168.178.1/255.255.255.255 -> 192.168.178.1
Sat Jun 30 17:46:59 2012 Initialization Sequence Completed
Sat Jun 30 17:46:59 2012 MANAGEMENT: >STATE:1341071219,CONNECTED,SUCCESS,192.168.178.101,77.2.182.171
Sat Jun 30 17:46:59 2012 MANAGEMENT: CMD 'bytecount 0'
Sat Jun 30 17:46:59 2012 MANAGEMENT: CMD 'bytecount 0'
Sat Jun 30 17:46:59 2012 MANAGEMENT: CMD 'bytecount 3'


Habe ich jetzt ein Routing-Problem?

THX
 
Zuletzt bearbeitet:
Erstmal die Bitte, Konfigs und längere Ausgaben in "
Code:
" Tags zu packen (im Editor das # Formatierungs-Zeichen) und auch bitte keine unnötigen Vollzitate.

Der Screenshot stimmt zwar bezüglich der IP-Adressen nicht mit der geposteten Konfig überein, aber wenn es ansonsten stimmt, dann fehlt das Umsetzen vom  "Brücken mit dem LAN".
Genauso, wie Bridging mit dem LAN die gleichen IPs erfordert, erfordern gleiche IPs das Brücken mit dem LAN, sonst hast du mehrere isolierte Interfaces mit den gleichen IPs.
Also, setze den Haken bei "mit dem LAN brücken", wenn du das willst.
 
Zuletzt bearbeitet:
Das ist die Lösung:
Aktivieren von "mit LAN brücken".

THX THX THX
 
Hallo an euch
auch wenn es vielleicht schon gefragt wurde. Kann OpenVPN parallel mit AVM-VPN laufen oder besser kann OpenVPN sich mit einer FB mit Original AVM-VPN verbinden?
Ich habe hier meine FB7270 die mit einer 7170 und einer 7320 eine Transatlantik-VPN Vewrbindung haben. Meine Box will ich mit OpenVPN ausruesten um damit endlich mein Nokia N9 per VPN für VoIP zu verbinden.
Kann OpenVPN mit AVM-VPN zusammenarbeiten?

Danke
 
Natürlich nicht. Die VPN-Implementierung von AVM in der Fritzbox basiert auf IPsec. Das hat mit OpenVPN nichts gemeinsam.
 
Ok. Das heisst dann aber auch das ich mit AVM-VPN meine FB verbinden kann und parallel OpenVPN für das Nokia zu laufen habe.
OpenVPN und AVM-VPN (ipsec) kommen sich nicht in die Quere? Sind ja 2 verschiedene Programme.

Sorry fuer die dummen "Fragen" aber
"wer nicht fragt bleibt dumm" und mit VPN fange ich grad erst an
 
Nabend,

habe folgendes problem:

Ich habe freetz installiert mit openvpn 2.2.2 (freetz ist aktueller trunk mit labor).
Ich habe einen tunnel mit zertifikaten erstellt und kann auch verbinden und bin im netz mit komplettem redirect.

Nur immer wenn der openvpn server läuft kommen die lokalen clients nicht ins netzwerk (Windows 7 meldung: Nicht Identifiziertes Netzwerk)
Weis jemand woran das liegen kann?
 
Leider wird dein Setup nicht klar. Von daher ist es im Moment nicht möglich, zu helfen.

Ich habe freetz installiert mit openvpn 2.2.2 (freetz ist aktueller trunk mit labor).
Ist das Freetz OpenVPN Server oder Client? Wer verbindet sich damit oder wo verbindet er sich hin?

Nur immer wenn der openvpn server läuft kommen die lokalen clients nicht ins netzwerk (Windows 7 meldung: Nicht Identifiziertes Netzwerk)
Wer sind die "lokalen Clients"? Meinst du damit VPN Clients? Oder einfach Clients an der FritzBox?
Und in welches Netzwerk kommen sie nicht? Internet? Oder lokale Netze? Die andere Seite des VPN Tunnels?

Stelle mal genauer deine Netzwerktopologie dar, und beschreibe dabei auch direkt die etablierten Routen und das Nameserver Setup.
 
[Edit frank_m24: Vollzitat vom Beitrag direkt darüber gelöscht, siehe Forumregeln.]

Hi okay,
die Box ist der Openvpn Server.
Mit Lokale Clients waren die Clients die OHNE VPN im selben netz hängen. Diese kommen wenn der Openvpn DIenst gestartet ist nicht ins Internet und auch nicht auf das Fritz WebIF.
Wenn ich mich mit einen VPN Client einlogge komme ich ins netz und kann auch weiter surfen.

Hier noch meine Openvpn server conf:

Code:
#  OpenVPN 2.1 Config, Tue Dec 18 08:16:24 CET 2012
proto udp
dev tun
ca /tmp/flash/openvpn/ca.crt
cert /tmp/flash/openvpn/box.crt
key /tmp/flash/openvpn/box.key
dh /tmp/flash/openvpn/dh.pem
tls-server
port 1194
ifconfig 10.0.0.1 10.0.0.2
push "route 192.168.178.0 255.255.255.0"
mode server
ifconfig-pool 10.0.0.10 10.0.0.20
push "route 10.0.0.1"
route 10.0.0.0 255.255.255.0
push "redirect-gateway def1"
tun-mtu 1500
mssfix
verb 3
cipher AES-256-CBC
comp-lzo
keepalive 10 120
status /var/log/openvpn.log
chroot /tmp/openvpn
user openvpn
group openvpn
persist-tun
persist-key

Ich hoffe ihr könnt mir helfen
 
Sieht eingentlich von der Config her gut aus.
Das Problem tritt auf, sobald der Server gestartet ist, schon ohne verbundenen Client?
"nicht ins Internet" könnte ich mir nur erklären, wenn du über UMTS ins Netz gehst und das 10-er Netz, was du für das VPN Nutzt, dort ebenfalls genutzt wird...
"Nicht auf die FB-GUI", kann ich nicht wirklich verstehen, oder nutzt du da 10-er Netz etwa im lokalen Netz? Wie getestet ("Name" oder IP der Box)?

Zur Eingrenzung: Wie ist dein LAN IP-Netz? Was ergibt ein "ipconfig", was ein "ping <ip der FB>", wenn der VPN-Dienst läuft?
 
[Edit frank_m24: Vollzitat vom Beitrag direkt darüber gelöscht, siehe Forumregeln.]

Hi erstmal danke für die schnelle reaktion.

Das ip netz der fb ist 192.168.178.0
Online ist die FB mit normalem DSL
Und das problem besteht dann wenn der OpenVPN Server gestartet ist.
Windows 7 kann das Netzwerk garnicht Identifieren (Also die clients im Lokalen LAN an der box)

ipconfig kann ich erst in ein paar tagen testen genau wie ping bin zuzeit nicht zuhause.

glg mericon
 
Gilt das für "schon aktive" Geräte, oder solche, die "nach dem VPN-Start" ins Netz gehen? Also "verändert" sich der Status bei den LAN-PCs, oder kommen "neue" nicht mehr ins Netz?
Wenn du (jetzt) per VPN auf die Box kommst, kannst du dann die FB über ihre LAN-IP (192.168.178.1) erreichen? Kannst du dann irgendwelche PCs im LAN der FB erreichen?
 
Hi,

das galt für schon aktive und auch für die die nach dem start ins netz gehen.
Aber das problem ist gelöst :) es waren doch die 10.0.0.0 ips ...

vielen dank für die hilfe
 
OpenVPN - 2 Verbindungen

Hallo,

ich habe Freetz mit OpenVPN auf meiner Fritzbox installiert und eine VPN Verbindung konfiguriert. Das funktioniert alles problemlos. Jetzt würde ich gerne eine zweite VPN Verbindung konfigurieren. Für die erste habe ich die Datei /tmp/flash/openvpn/own_openvpn.conf angelegt. Wo schreibe ich die Einstellungen für die zweite rein?

-J
 
Willst Du die beiden VPNs von einander trennen? Ansonsten kannst Du an diesem OVPN beliebig viele Clients anmelden - je nachdem wieviel das verwendete Subnet her gibt und welche topologie gewählt wurde.
 
Die Fritzbox ist ein Client und stellt aktuell die Verbindung zu einem VPN-Server her (und stellt sie den Rechnern im lokalem Netz zur Verfügung). Ich würde die fritzbox jetzt gerne noch zu einem zweiten Server verbinden. Soweit ich das verstehe, brauche ich dafür eine zweite Config.
 
Ja, dann brauchst Du eine zweite Konfig-Datei. Sofern es kein WebUI gibt, solltest Du in dem gleichen Ordner einfach eine zweite Config-File ablegen können.
 
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.