OpenVPN-Paket

Vielen Dank für die Aufklärung, ich kannte bisher nur die Variante aus C.

@MaxMuster
Ich habe Deine Variante getestet und Sie verhindert erfolgreich die doppelten Routen.
Zusätzlich sind auch noch die beiden Optionen 'topology subnet' und 'push "topology subnet"' weggefallen da Sie in Deinem Skript von der Variablen TUNSUBNET abhängen, welche es in meiner alten (originalen) Version nicht gab. Es scheint aber nach wie vor alles prima zu funktionieren und die doppelten Routen sind jedenfalls weg. Vielen Dank dafür! :)

Ein kleines Problem habe ich noch dabei, das alte Skript mit dem neuen Skript zu ersetzen. Das auf die Box nach /tmp/flash/openvpn_conf bringen ist kein Problem, resetfest mit einem "modsave" ebenso wenig.
Aber irgendwie muss doch das Original im Verzeichnis /etc/default.openvpn/ doch noch durch das in /tmp/flash/ ersetzt werden? Nach einem Reboot der Box wird doch sonst nach wie vor das alte Skript verwendet. :confused:
 
Dafür müsstest du diese Version in den Ordner make/openvpn/files/root/etc/default.openvpn/ bringen (und die Version dort ersetzen). Danach ein "make openvpn-clean ; make" und die neue Version sollte im Image sein (du kannst das selbst prüfen, ob die Datei unterhalb von build/modified/filesystem die "richtige" ist.

Die Logik von freetz prüft aber zuerst auf eine <paket>_conf Datei in /tmp/flash/ und nutzt diese bevorzugt vor der Version im /etc/default.<paket> Ordner, so das diese neue Version auch so dauerhaft genutzt wird.

Jörg
 
Ah OK, ich wusste nicht, dass _conf Dateien in /tmp/flash bevorzugt behandelt werden, dass erklärt warum die Datei dann dauerhaft benutzt wird. Evtl. solltest Du Deine Version (wenn sie auch mit tun-devices korrekt funktioniert) mit ins Freetz SVN einfließen lassen. Vielen Dank auf jeden Fall noch einmal für die Hilfe!
 
Hallo zusammen,

Nachdem alle Forenbeiträge zum Thema gelesen habe, wende ich mich nun an euch in der Hoffnung ein Tipp oder nützlichen Hinweis zu bekommen, der mir mit meinem Problem weiter bringen kann.

Ich besitze eine FB 7112 mit FM 87.04.87. Ich habe vor ein paar Wochen erstmal ganz klein angefangen und Freetz auf dem Gerät geladen, ohne zus. Pakete. Nachdem alles wunderbar geklappt hat, wage ich mich immer mehrere Pakete in den image hinzu zufügen. Bis jetzt hat alles gut geklappt.

Nun versuche ich seit einigen Tagen OpenVPN zum laufen zu kriegen, um mich mit einem Win7 Client Remote einzuwählen. Ich habe diese Einleitung gefolgt und ich weiß nicht an welche Stelle ich was falsch mache.

Folgendes klappt:

1. Firmware: 87.04.87 mit freetz-1.2-stable (Packete: OpenVPN, SSH, AVM-Firewall) erfolgreich auf der FB geladen.
2. DynDNS aktiviert und konfiguriert, damit ich meine dynamische IP erreichen kann.
3. Mit der AVM-Firewall einen Portforwarding für UDP 1194 an der 0.0.0.0 eingetragen.

firewall.png

4. OpenVPN gestartet und Static.key wird generiert.
5. Die openvpn.conf auf der FB lautet:

openvpnconfig.png

5. Per SSH die Static.key aufm USB-Stick kopiert.
6. Auf dem Win7, 32-Bit Client OpenVPN 2.2.0 installiert, Static.key kopiert und mit folgende Konfiguration in die config.txt gestartet:

winconfig.png

Beim Aufbau der Verbindung komme ich nicht weiter als hier:

wincmd.png

Im Netzwerk wo die FB läuft kann ich die Box über 192.168.200.1 pingen. Das klappt.

Den Port 1194 sollte beim Router vor den Win7-Clients offen sein. canyouseeme.Org bestätigt, dass der Port offen ist. Die Firewall auf der Maschine ist auch aus.

Hat jemand eine Idee, warum die Verbindung nicht aufgebaut werden kann und nur beim Handschake bleibt?

Vielen Dank im voraus,
Paul
 
Zuletzt bearbeitet:
Esrtmal die "unkritischen Fehler" ;-)
Was hat das mit der Fehlermeldung "FlushIpNetTable failed on ..." auf sich? Muss du das evtl. als Administrator starten?
Bei Windows ab Vista solltest du die beiden Optionen "route-method exe" und "route-delay 2" hinzufügen.

Die Antwort zu deinem Problem findest du, wenn du mal die beiden Configs vergleichst, und nach "lzo" suchst, siehe auch im deutlich aktuelleren Freetz Wiki dazu bei "typisches Fehlerbild (ich tippe mal auf mindestens 20% aller Probleme ;-))"

Jörg
 
Vielen Dank für die schnelle Hilfe und die Links.

Ich habe die Parameter comp-lzo und der Port zur Datei hinzugefügt. Und meine Rechte als Administrator gesetzt.

Die Fehlermeldung "FlushIpNetTable failed on ..." taucht nicht mehr auf, ich komme aber weiterhin nicht weiter als den Handshake. Hier noch mal, wo er sich aufhängt.

wincmd2.png

Vielen Dank noch Mal.
Paul
 
Du machts den Test auch "von außen" und nicht aus dem LAN der "Serverbox"?
Was sagt das Log auf der Fritzbox (wie du drankommts steht im Wiki)?

Noch eine Bitte: Es ist aufwendig und "nervig", für Infos Screenshots zu öffnen. Besser ist, wenn sie im Text (am Besten gleich ordentlich formatiert als [noparse]
Code:
[/noparse]) zu lesen sind. Also bitte kopiere einfach den Inhalt eines Textfensters als Text rein, nicht als Bild ;-)
 
Ups! Sorry wegen den Screenshots. Ich dachte es wäre übersichtlicher.

Ja, der Client ist nicht im selben LAN wie die FB. Die Maschine ist wo anders, ich komme per LogMe In drauf.

Ich habe im Log reingeschaut, scheint auf FB an der selben Stelle zu hängen:

Code:
Jul 18 09:23:42 fritz daemon.notice openvpn[2859]: OpenVPN 2.2.0 mipsel-linux [SSL] [LZO2] [MH] [IPv6 payload 20110424-2 (2.
Jul 18 09:23:42 fritz daemon.warn openvpn[2859]: NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-def
Jul 18 09:23:42 fritz daemon.notice openvpn[2859]: Static Encrypt: Cipher 'BF-CBC' initialized with 128 bit key             
Jul 18 09:23:42 fritz daemon.notice openvpn[2859]: Static Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Jul 18 09:23:42 fritz daemon.notice openvpn[2859]: Static Decrypt: Cipher 'BF-CBC' initialized with 128 bit key             
Jul 18 09:23:42 fritz daemon.notice openvpn[2859]: Static Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Jul 18 09:23:42 fritz daemon.notice openvpn[2859]: Socket Buffers: R=[110592->131072] S=[110592->131072]                    
Jul 18 09:23:42 fritz daemon.notice openvpn[2859]: TUN/TAP device tun0 opened                                               
Jul 18 09:23:42 fritz daemon.notice openvpn[2859]: TUN/TAP TX queue length set to 100                                       
Jul 18 09:23:42 fritz daemon.notice openvpn[2859]: do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0                   
Jul 18 09:23:42 fritz daemon.notice openvpn[2859]: /sbin/ifconfig tun0 192.168.200.1 pointopoint 192.168.200.2 mtu 1500     
Jul 18 09:23:42 fritz daemon.notice openvpn[2859]: Data Channel MTU parms [ L:1544 D:1450 EF:44 EB:4 ET:0 EL:0 ]            
Jul 18 09:23:42 fritz daemon.notice openvpn[2862]: chroot to '/tmp/openvpn' and cd to '/' succeeded                         
Jul 18 09:23:42 fritz daemon.notice openvpn[2862]: GID set to openvpn                                                       
Jul 18 09:23:42 fritz daemon.notice openvpn[2862]: UID set to openvpn                                                       
Jul 18 09:23:42 fritz daemon.notice openvpn[2862]: UDPv4 link local (bound): [undef]                                        
Jul 18 09:23:42 fritz daemon.notice openvpn[2862]: UDPv4 link remote: [undef]

Vielen Dank für deine Tips im voraus.
Paul
 
Tja, so sieht man da nichts.

Könntest du das nochmal wiederholen, dabei aber "verb 6" einschalten? Dann sieht man, wenn Pakete verschickt werden und wenn/ob sie auch ankommen...
In der GUI dafür den Haken setzen bei "Debug-Mode aktivieren", dann kannst du den Wert setzen.

Dann sollte ein Paket, was beim Client verschickt wird, beim Server als "ankommend" zu sehen sein...
 
Danke für deine Hilfe. Ich habe in der GUI unter OpenVPN den Debug-Mode aktiviert und den Verb 6 eingetragen, danach den Dienst neugestartet.

Leider sieht in der log Datei immer noch nicht viel. Hier die Info der debug_openvpn.out:

Code:
- debug_openvpn.out 1/42 2%
Mon Jul 18 16:36:31 2011 us=950324 OpenVPN 2.2.0 mipsel-linux [SSL] [LZO2] [MH] [IPv6 payload 20110424-2 (2.2RC2)] b
Mon Jul 18 16:36:31 2011 us=954172 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined s
Mon Jul 18 16:36:31 2011 us=975453 Static Encrypt: Cipher 'BF-CBC' initialized with 128 bit key                     
Mon Jul 18 16:36:31 2011 us=977844 Static Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication        
Mon Jul 18 16:36:31 2011 us=980541 Static Decrypt: Cipher 'BF-CBC' initialized with 128 bit key                     
Mon Jul 18 16:36:31 2011 us=981507 Static Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication        
Mon Jul 18 16:36:31 2011 us=982449 LZO compression initialized                                                      
Mon Jul 18 16:36:31 2011 us=984524 Socket Buffers: R=[110592->131072] S=[110592->131072]                            
Mon Jul 18 16:36:31 2011 us=999769 TUN/TAP device tun0 opened                                                       
Mon Jul 18 16:36:32 2011 us=629 TUN/TAP TX queue length set to 100                                                  
Mon Jul 18 16:36:32 2011 us=1439 do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0                             
Mon Jul 18 16:36:32 2011 us=2912 /sbin/ifconfig tun0 192.168.200.1 pointopoint 192.168.200.2 mtu 1500               
Mon Jul 18 16:36:32 2011 us=34961 Data Channel MTU parms [ L:1545 D:1450 EF:45 EB:135 ET:0 EL:0 AF:3/1 ]            
Mon Jul 18 16:36:32 2011 us=43398 chroot to '/tmp/openvpn' and cd to '/' succeeded                                  
Mon Jul 18 16:36:32 2011 us=44728 GID set to openvpn                                                                
Mon Jul 18 16:36:32 2011 us=45423 UID set to openvpn                                                                
Mon Jul 18 16:36:32 2011 us=46093 UDPv4 link local (bound): [undef]                                                 
Mon Jul 18 16:36:32 2011 us=47372 UDPv4 link remote: [undef]                                                        
Mon Jul 18 16:38:32 2011 us=609191 Inactivity timeout (--ping-restart), restarting                                  
Mon Jul 18 16:38:32 2011 us=610216 TCP/UDP: Closing socket                                                          
Mon Jul 18 16:38:32 2011 us=611023 SIGUSR1[soft,ping-restart] received, process restarting                          
Mon Jul 18 16:38:32 2011 us=611709 Restart pause, 2 second(s)                                                       
Mon Jul 18 16:38:34 2011 us=616997 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined s
Mon Jul 18 16:38:34 2011 us=618296 Re-using pre-shared static key                                                   
Mon Jul 18 16:38:34 2011 us=618922 LZO compression initialized                                                      
Mon Jul 18 16:38:34 2011 us=619804 Socket Buffers: R=[110592->131072] S=[110592->131072]                            
Mon Jul 18 16:38:34 2011 us=620439 Preserving previous TUN/TAP instance: tun0                                       
Mon Jul 18 16:38:34 2011 us=621201 Data Channel MTU parms [ L:1545 D:1450 EF:45 EB:135 ET:0 EL:0 AF:3/1 ]           
Mon Jul 18 16:38:34 2011 us=621863 UDPv4 link local (bound): [undef]                                                
Mon Jul 18 16:38:34 2011 us=622484 UDPv4 link remote: [undef]                                                       
Mon Jul 18 16:40:34 2011 us=937159 Inactivity timeout (--ping-restart), restarting                                  
Mon Jul 18 16:40:34 2011 us=938096 TCP/UDP: Closing socket                                                          
Mon Jul 18 16:40:34 2011 us=938880 SIGUSR1[soft,ping-restart] received, process restarting                          
Mon Jul 18 16:40:34 2011 us=939563 Restart pause, 2 second(s)                                                       
Mon Jul 18 16:40:36 2011 us=947006 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined s
Mon Jul 18 16:40:36 2011 us=947810 Re-using pre-shared static key                                                   
Mon Jul 18 16:40:36 2011 us=948431 LZO compression initialized                                                      
Mon Jul 18 16:40:36 2011 us=949310 Socket Buffers: R=[110592->131072] S=[110592->131072]                            
Mon Jul 18 16:40:36 2011 us=949949 Preserving previous TUN/TAP instance: tun0                                       
Mon Jul 18 16:40:36 2011 us=950699 Data Channel MTU parms [ L:1545 D:1450 EF:45 EB:135 ET:0 EL:0 AF:3/1 ]           
Mon Jul 18 16:40:36 2011 us=951362 UDPv4 link local (bound): [undef]                                                
Mon Jul 18 16:40:36 2011 us=951984 UDPv4 link remote: [undef]

Soll ich evtl. einen anderen Wert eintragen?

Danke und Gruß.
Paul
 
Zuletzt bearbeitet:
Hallo,

trotz meines (gegenüber Jörg) absoluten Laienstatus' versuch' ich mal zu helfen ..
Mich irritiert irgendwie das hier:
Code:
Mon Jul 18 16:40:34 2011 us=937159 Inactivity timeout (--ping-restart), restarting
An der Stelle empfängt mein Client immer das "Initial packet" ... Bei Dir irgendwie nicht.
Deshalb vermute ich, daß Dein Problem evtl. kein OpenVPN-Problem im eigentlichen Sinne, sondern eins im netzwerktechnischen Sinne ist.
Bist Du sicher, das

1. Der Client den Static-Key korrekt besitzt und auch der Pfad dorthin in der Client-Konfiguration stimmt ?

2. Die DynDNS-Auflösung korrekt funktioniert ? Schau doch mal in den Ereignis-Logs der Box nach .. da findet sich dann irgendwas zu DynDNS, falls die Auflösung nicht richtig klappt.

3. Nicht doch irgendwo die Pakete an den (Client)-Port 1194 hängen bleiben ? Also keinerlei FW o.Ä. ? In Server-, Client- und AVM-Firewall-Config ist immer Port 1194 eingetragen ?

Grüße,

JD.
 
Da stimme ich zu. Nur als Hinweis: einen Key-Fehler würde man auch sehen, ich habe das gerade mal nachgestellt (Authenticate/Decrypt packet error). Was bei dir fehlt sind eingehende Pakete, wie es scheint (habe ich mal "dick gemacht"):
Code:
Mon Jul 18 17:23:45 2011 us=566397 UDPv4 link local (bound): [undef]
Mon Jul 18 17:23:45 2011 us=570751 UDPv4 link remote: [undef]
Mon Jul 18 17:25:43 2011 us=226400 [B]UDPv4 READ [60] from [AF_INET]xxxxxxxx:1194:  DATA len=60[/B]
Mon Jul 18 17:25:43 2011 us=227136 Authenticate/Decrypt packet error: cipher final failed
Mon Jul 18 17:25:45 2011 us=579926 Inactivity timeout (--ping-restart), restarting
Mon Jul 18 17:25:45 2011 us=580467 TCP/UDP: Closing socket
Mon Jul 18 17:25:45 2011 us=581453 SIGUSR1[soft,ping-restart] received, process restarting
Mon Jul 18 17:25:45 2011 us=581991 Restart pause, 2 second(s)
Mon Jul 18 17:25:47 2011 us=590074 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Mon Jul 18 17:25:47 2011 us=590751 Re-using pre-shared static key
Mon Jul 18 17:25:47 2011 us=591504 Socket Buffers: R=[110592->131072] S=[110592->131072]
Mon Jul 18 17:25:47 2011 us=591996 Preserving previous TUN/TAP instance: tun0
Mon Jul 18 17:25:47 2011 us=592482 Data Channel MTU parms [ L:1544 D:1450 EF:44 EB:4 ET:0 EL:0 ]
Mon Jul 18 17:25:47 2011 us=592944 UDPv4 link local (bound): [undef]
Mon Jul 18 17:25:47 2011 us=593366 UDPv4 link remote: [undef]
Mon Jul 18 17:25:53 2011 us=3449 [B]UDPv4 READ [60] from [AF_INET]xxxxxxxx:1194:  DATA len=60[/B]
Mon Jul 18 17:25:53 2011 us=4173 Authenticate/Decrypt packet error: cipher final failed
Mon Jul 18 17:26:03 2011 us=201749 UDPv4 READ [60] from [AF_INET]xxxxxxxx:1194:  DATA len=60
Mon Jul 18 17:26:03 2011 us=202471 Authenticate/Decrypt packet error: cipher final failed
Mon Jul 18 17:26:08 2011 us=108313 event_wait : Interrupted system call (code=4)
Mon Jul 18 17:26:08 2011 us=110833 TCP/UDP: Closing socket

Prüfe die oben genannten Dinge (Firewall, Dyndns. und Co) und auch nochmal die Portweiterleitung auf der FB, nicht das die "verschwunden" ist ;-)
 
Vielen Dank schon mal für eure Unterstützung. Ich habe alles noch mal überprüft.

@JD:
Bist Du sicher, das

1. Der Client den Static-Key korrekt besitzt und auch der Pfad dorthin in der Client-Konfiguration stimmt ?

2. Die DynDNS-Auflösung korrekt funktioniert ? Schau doch mal in den Ereignis-Logs der Box nach .. da findet sich dann irgendwas zu DynDNS, falls die Auflösung nicht richtig klappt.

3. Nicht doch irgendwo die Pakete an den (Client)-Port 1194 hängen bleiben ? Also keinerlei FW o.Ä. ? In Server-, Client- und AVM-Firewall-Config ist immer Port 1194 eingetragen ?

1. Ich habe noch mal die ganze Prozedere von Anfang an wiederholt. Ich habe perr SSH (scp) den Static-Key von der Fritzbox auf meine Maschine und dann auf den Client kopiert. Also ohne Copy-Paste, sondern als Datei. Daran sollte es also nicht liegen.

2. Um die DynDNS-Auflösung zu testen, habe ich auf meiner Maschine einen LAMP-Server gestartet, und auf der Fritzbox eine Weiterleitung vom Port 80 an den Webserver gemacht. Über DynDNS komme ich rauf, es scheint also das schon mal zu funtionieren. Ich merke beim VPN-Client auch, dass dort immer eine neue IP drin steht, also bekommt er die richtige IP von DynDNS zugeteilt.

3. Ursprünglich war auch die Sache mit der Firewall meine Vermutung. Deshalb habe ich folgendes gemacht. Windows-Firewall im Netz wo der Client ist ausgeschaltet, und in der Firewall vom Router den Port 1194 geöffnet. canyouseeme.org bestätigt auch, dass im Netzwerk des Clients der Port offen ist.
Wenn ich aber die öffentliche IP von der Fritzbox mit canyouseeme.org überprüfe, steht dort, dass der Port 1194 zu ist. (?) Ich habe einmal die ar7.cfg wie hier Beschrieben editiert und den Forwarding eingetragen. Weil es danach noch nicht funktioniert hat, habe ich ein neues Image mit AVM-Firewall erstellt und auf die Fritzbox geladen. Dort habe ich die Weiterleitung eingetragen:


Code:
"udp 0.0.0.0:1194 0.0.0.0:1194" , ## <-- Auch auf die Komma bzw. Semi-Kolon habe ich aufgepasst.

Trotzdem zeigt mir canyouseeme.org, dass der Port zu ist. Mmmm. Würdet ihr mir raten die Methoden mit den Zertifikaten auszuprobieren?
 
Ich habe perr SSH (scp) den Static-Key von der Fritzbox auf meine Maschine und dann auf den Client kopiert. Also ohne Copy-Paste, sondern als Datei.

Ich kopiere ganz banal den Static Key immer direkt aus dem Freetz-WebIF per Copy/Paste in den Notepad und speichere selbigen als *.key ab. Lief bisher immer. Aber wie Jörg oben schon schrieb, würden die Logs anders lauten, wenn es ein Problem mit dem Schlüssel geben sollte.

Wenn ich aber die öffentliche IP von der Fritzbox mit canyouseeme.org überprüfe, steht dort, dass der Port 1194 zu ist. (?) Ich habe einmal die ar7.cfg wie hier Beschrieben editiert und den Forwarding eingetragen.

Versuch doch mal, das AVM-Firewall-WebIF mit ins Image zu nehmen. Dort kannst Du all die Port-Weiterleitungen und -öffnungen etwas komfortabler anlegen (der Editierung von ar7.cfg mittels vi direkt auf der Box trau' ich nie so ...)
Und hast Du die ar7.cfg mit einem Linux-kompatiblen Editor geöffnet ?
Grüße,

JD.
 
Zuletzt bearbeitet:
die AVM-Firewall-WebIF habe ich schon installiert und dort den Portforwarding eingetragen. Wenn ich die ar7.cfg aufmache (mache ich übrigens mit vi) steht auch dort unter forwardrules den Eintrag.

Mit diesem Tool bekomme ich auch die Meldung, dass der Port zu ist.

Also klappt etwas nicht mit der Portweiterleitung...

Würdet ihr mir Empfehlen, die Fritzbox zu resetten? Jedes mal wenn ich ein neues Image hochlade, werden die alten Einstellungen (verständlicherweise) erhalten. Vielleicht ist da etwas nicht ganz sauber und ich sollte alles von vorne machen. Dazu sollte ich wahrscheinlich den Image Recovery Tool verwenden, habe ich das richtig verstanden?

Danke im voraus,
Paul
 
Mit diesem Tool bekomme ich auch die Meldung, dass der Port zu ist.

Laut Deiner Seite ist auch der OpenVPN-Port meiner Box verschlossen ... obwohl die Verbindung zu Ihr prima funktioniert.
Ich würde darauf tippen, daß irgendwas mit Deiner Weiterleitung verbogen ist. Kannst Du mittels der eingehenden (lowinput) und ausgehenden (highoutput) Regeln der AVM-Firewall nicht mal testweise alles auf permit stellen ?
Grüße,

JD.
 
Ich deine Anweisungen gefolgt und alles auf permit gesetzt. Danach neugestartet und folgendes steht jetzt unter lowinput:

Code:
permit udp any any eq
permit ip any 242.0.0.0 255.0.0.0 /*AVM*/
permit ip any host 255.255.255.255/*AVM*/

Allerdings steht weiterhin folgendes auf dem log der FB:
Code:
Tue Jul 19 18:32:07 2011 us=5731 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables  
Tue Jul 19 18:32:07 2011 us=6511 Re-using pre-shared static key                                                                          
Tue Jul 19 18:32:07 2011 us=7114 LZO compression initialized                                                                             
Tue Jul 19 18:32:07 2011 us=7957 Socket Buffers: R=[110592->131072] S=[110592->131072]                                                   
Tue Jul 19 18:32:07 2011 us=8575 Preserving previous TUN/TAP instance: tun0                                                              
Tue Jul 19 18:32:07 2011 us=9297 Data Channel MTU parms [ L:1545 D:1450 EF:45 EB:135 ET:0 EL:0 AF:3/1 ]                                  
Tue Jul 19 18:32:07 2011 us=9930 UDPv4 link local (bound): [undef]                                                                       
Tue Jul 19 18:32:07 2011 us=10526 UDPv4 link remote: [undef]                                                                             
Tue Jul 19 18:34:07 2011 us=575852 Inactivity timeout (--ping-restart), restarting                                                       
Tue Jul 19 18:34:07 2011 us=576452 TCP/UDP: Closing socket                                                                               
Tue Jul 19 18:34:07 2011 us=577194 SIGUSR1[soft,ping-restart] received, process restarting                                               
Tue Jul 19 18:34:07 2011 us=577859 Restart pause, 2 second(s)                                                                            
Tue Jul 19 18:34:09 2011 us=585730 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Tue Jul 19 18:34:09 2011 us=586508 Re-using pre-shared static key                                                                        
Tue Jul 19 18:34:09 2011 us=587112 LZO compression initialized                                                                           
Tue Jul 19 18:34:09 2011 us=588152 Socket Buffers: R=[110592->131072] S=[110592->131072]                                                 
Tue Jul 19 18:34:09 2011 us=589091 Preserving previous TUN/TAP instance: tun0                                                            
Tue Jul 19 18:34:09 2011 us=589835 Data Channel MTU parms [ L:1545 D:1450 EF:45 EB:135 ET:0 EL:0 AF:3/1 ]                                
Tue Jul 19 18:34:09 2011 us=590476 UDPv4 link local (bound): [undef]                                                                     
Tue Jul 19 18:34:09 2011 us=591072 UDPv4 link remote: [undef]

Im Client habe ich

Code:
Mon Jun 20 12:32:08 2011 OpenVPN 2.2.0 Win32-MSVC++ [SSL] [LZO2] built on Apr 26
 2011
Mon Jun 20 12:32:08 2011 NOTE: OpenVPN 2.1 requires '--script-security 2' or hig
her to call user-defined scripts or executables
Mon Jun 20 12:32:08 2011 Static Encrypt: Cipher 'BF-CBC' initialized with 128 bi
t key
Mon Jun 20 12:32:08 2011 Static Encrypt: Using 160 bit message hash 'SHA1' for H
MAC authentication
Mon Jun 20 12:32:08 2011 Static Decrypt: Cipher 'BF-CBC' initialized with 128 bi
t key
Mon Jun 20 12:32:08 2011 Static Decrypt: Using 160 bit message hash 'SHA1' for H
MAC authentication
Mon Jun 20 12:32:08 2011 LZO compression initialized
Mon Jun 20 12:32:08 2011 Socket Buffers: R=[8192->8192] S=[8192->8192]
Mon Jun 20 12:32:08 2011 ROUTE default_gateway=192.168.3.254
Mon Jun 20 12:32:08 2011 TAP-WIN32 device [Local Area Connection 2] opened: \\.\
Global\{FA9BD1C9-1DEC-4FAF-B47F-600E5582945C}.tap
Mon Jun 20 12:32:08 2011 TAP-Win32 Driver Version 9.8
Mon Jun 20 12:32:08 2011 TAP-Win32 MTU=1500
Mon Jun 20 12:32:08 2011 Notified TAP-Win32 driver to set a DHCP IP/netmask of 1
92.168.200.2/255.255.255.252 on interface {FA9BD1C9-1DEC-4FAF-B47F-600E5582945C}
 [DHCP-serv: 192.168.200.1, lease-time: 31536000]
Mon Jun 20 12:32:08 2011 Successful ARP Flush on interface [14] {FA9BD1C9-1DEC-4
FAF-B47F-600E5582945C}
Mon Jun 20 12:32:08 2011 Data Channel MTU parms [ L:1545 D:1450 EF:45 EB:135 ET:
0 EL:0 AF:3/1 ]
Mon Jun 20 12:32:08 2011 Local Options hash (VER=V4): 'c20b8966'
Mon Jun 20 12:32:08 2011 Expected Remote Options hash (VER=V4): 'a8145633'
Mon Jun 20 12:32:08 2011 UDPv4 link local (bound): [undef]:1194
Mon Jun 20 12:32:08 2011 UDPv4 link remote: x.x.x.246:1194
Mon Jun 20 12:34:08 2011 Inactivity timeout (--ping-restart), restarting
Mon Jun 20 12:34:08 2011 TCP/UDP: Closing socket
Mon Jun 20 12:34:08 2011 Closing TUN/TAP interface
Mon Jun 20 12:34:08 2011 SIGUSR1[soft,ping-restart] received, process restarting

Mon Jun 20 12:34:08 2011 Restart pause, 2 second(s)
Mon Jun 20 12:34:10 2011 NOTE: OpenVPN 2.1 requires '--script-security 2' or hig
her to call user-defined scripts or executables
Mon Jun 20 12:34:10 2011 Static Encrypt: Cipher 'BF-CBC' initialized with 128 bi
t key
Mon Jun 20 12:34:10 2011 Static Encrypt: Using 160 bit message hash 'SHA1' for H
MAC authentication
Mon Jun 20 12:34:10 2011 Static Decrypt: Cipher 'BF-CBC' initialized with 128 bi
t key
Mon Jun 20 12:34:10 2011 Static Decrypt: Using 160 bit message hash 'SHA1' for H
MAC authentication
Mon Jun 20 12:34:10 2011 LZO compression initialized
Mon Jun 20 12:34:10 2011 Socket Buffers: R=[8192->8192] S=[8192->8192]
Mon Jun 20 12:34:10 2011 ROUTE default_gateway=192.168.3.254
Mon Jun 20 12:34:10 2011 TAP-WIN32 device [Local Area Connection 2] opened: \\.\
Global\{FA9BD1C9-1DEC-4FAF-B47F-600E5582945C}.tap
Mon Jun 20 12:34:10 2011 TAP-Win32 Driver Version 9.8
Mon Jun 20 12:34:10 2011 TAP-Win32 MTU=1500
Mon Jun 20 12:34:10 2011 Notified TAP-Win32 driver to set a DHCP IP/netmask of 1
92.168.200.2/255.255.255.252 on interface {FA9BD1C9-1DEC-4FAF-B47F-600E5582945C}
 [DHCP-serv: 192.168.200.1, lease-time: 31536000]
Mon Jun 20 12:34:10 2011 Successful ARP Flush on interface [14] {FA9BD1C9-1DEC-4
FAF-B47F-600E5582945C}
Mon Jun 20 12:34:10 2011 Data Channel MTU parms [ L:1545 D:1450 EF:45 EB:135 ET:
0 EL:0 AF:3/1 ]
Mon Jun 20 12:34:10 2011 Local Options hash (VER=V4): 'c20b8966'
Mon Jun 20 12:34:10 2011 Expected Remote Options hash (VER=V4): 'a8145633'
Mon Jun 20 12:34:10 2011 UDPv4 link local (bound): [undef]:1194
Mon Jun 20 12:34:10 2011 UDPv4 link remote: x.x.x.246:1194

Sorry für den langen Code-Snipplet! Könnte es sein, dass mein ISP die Ports evtl. blockiert?
 
Das hier
Code:
Mon Jun 20 12:34:08 2011 Inactivity timeout (--ping-restart), restarting
bleibt leider bestehen. Wie Jörg schon schrieb, an Deinem Client kommt kein Paket an.
Das Dein ISP Port 1194 UDP blockiert, kann ich mir ehrlich gesagt kaum vorstellen ... aber Du kannst natürlich zu Testzwecken mal was Unverfängliches wie TCP 443 versuchen.
Du benutzt aber doch OpenVPN im TUN-Modus, korrekt ? Und hast es gemäß der einfachsten Konfiguration im wiki konfiguriert ?
Grüße,

JD.

EDIT: Ganz zu Anfang schriebst Du, daß Dein Static Key auf dem USB-Stick liegt ... warum ? Wieso ist der denn nicht im Freetz-WebIF von OpenVPN zu finden ? Kannst Du den da per Copy/Paste mal eintragen und berichten ?
 
Zuletzt bearbeitet:
OpenVPN ohne Freetz

Hallo community,

ich versuche, meine 7270 mit einem OpenVPN-server (keine fritzbox) zu verbinden. ich verwende das statisch gelinkte binary. meine conf:
Code:
float
client
dev /var/media/data/noBackup/tap
proto udp
nobind

ca /var/media/data/noBackup/ca.crt
ns-cert-type server
cipher BF-CBC	#Blowfish

remote-random
remote xxxxxx xxx
remote xxxxxx xxx
remote xxxxxx xxx

auth-user-pass #passwd

persist-key
persist-tun

comp-lzo
verb 1
tap habe ich erstellt mit
Code:
mknode tap c 10 200
beim aufruf kommt folgender fehler:
Code:
/var/media/data/noBackup/ # ./openvpn_2.2.1_mipsel_static --config /var/media/data/noBackup/openvpn.conf --auth-nocache
[...]
Tue Jul 26 10:39:41 2011 TLS Error: local/remote TLS keys are out of sync: [AF_INET]xxxxxx:xxx [0]
Tue Jul 26 10:39:41 2011 Error: problem with tun vs. tap setting
Tue Jul 26 10:39:41 2011 Exiting
der änliche (wegen pfade) aufruf auf dem pc klappt wunderbar.
fehlt irgendein kernel modul? ist vielleicht irgendwo ein denkfehler?

vielen dank schon mal.
R@d
 
" TLS Error: local/remote TLS keys are out of sync: " Sollte nur vom Versuch kommen, einen TLS-Key weiterzunutzen, der nicht zwischen Server und Client vereinbart wurden und nur temporär sein.

"Error: problem with tun vs. tap setting" Sorgt für den Abbruch. Nutze mal (statt "dev /var/media/data/noBackup/tap"):
Code:
dev tap
dev-node /var/media/data/noBackup/tap
 

Zurzeit aktive Besucher

Statistik des Forums

Themen
246,347
Beiträge
2,250,583
Mitglieder
374,000
Neuestes Mitglied
Snert-1
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.