OpenVPN Server auf FBF erkennt Client-Ende nicht

Sidebar Sidebar
Upgrade 3CX to v18 and get it hosted free!
A

augenstern

Mitglied
Mitglied seit
11 Jun 2007
Beiträge
203
Punkte für Reaktionen
0
Punkte
0
Hallo,

ich habe aktuell einen OpenVPN-Server auf einer 7360 am Laufen. Ist eigentlich alles OK bis auf ein "Problemchen": wenn ich auf Client-Seite (Windows 7) den Client per F4 beende, meldet mir der Server auf der FBF nahezu sofort: "IP packet with unknown IP version=2 seen". IP-Packet Typ 2 ist aber ein IGMP (also Router Packet).
Der Server behält den Client noch aktiv (wird in der Status-Datei weiterhin als aktiv geführt: /var/tmp/openvpn-status.log). Erst wenn die inoactive-Zeit abgelaufen ist, wirft der Server den Client raus.

Kann mir jemand einen Tipp geben bitte, was man machen muß, dass der Server das Client-Ende erkennt bzw. der Client die "richtige" Ende Meldung schickt? explicit-exit-notify Option ist gesetzt ... ???



Hier die Config Files:

#### Server.opvn ##################################
port 1194
proto udp
dev tun
dev-node /var/tmp/tun
server 192.168.200.0 255.255.255.0
persist-key
persist-tun
status /var/tmp/openvpn-status.log 60

keepalive 30 120

#### inactive: 5 Minuten ####
inactive 300
cipher BF-CBC
auth SHA1
ifconfig-pool-persist /var/tmp/ipp.txt
float
tls-server
tls-auth sec.key 0
dh /var/usb/vpn/dh2048.pem
ca /var/usb/vpn/Zert_CA.crt
key /var/usb/vpn/Server.key
cert /var/usb/vpn/Server.crt
comp-lzo
max-clients 4
verb 4
mute 10
tun-mtu 1500
tun-mtu-extra 32
push "ping 30"
push "route 192.168.178.0 255.255.255.0"


###################################################################
#
# client.ovpn
#
###################################################################

pkcs12 "c:\\OpenVPN\\config\\Client.p12"

remote xxxxx.no-ip.org
port 1194
proto udp
dev tun
nobind
client
float
keepalive 30 120
persist-key
persist-tun
tls-client
tls-auth sec.key 1

cipher BF-CBC
auth SHA1

explicit-exit-notify 2

ns-cert-type server
comp-lzo
pull
tun-mtu 1500
tun-mtu-extra 32
verb 3
mute 10
 
Zuletzt bearbeitet:
Versuchst du es mal (sofern das bei dir zutrifft) mit einem Server ohne gesetzes "Optimize for size"?
Ich meine, dass alle "occ-Dinge" bei "small"em Programm nicht drin sind.
 
Zuletzt bearbeitet:
Hallo MaxMuster,

ich hatte mir für meine 7170 seinerzeit ein mipsel-OpenVPN selbst compiliert. Aktuell nehme ich für die 7360 die statisch gelinkte mips-PolarSSL, die Du selbst vor einiger Zeit hier gepostet hast. Da kenn ich die Optionen nicht.
Könntest Du mir so ein Image bauen, bitte?

Oder sollte ich mal die OpenSSL-Variante probieren? Glaube zwar nicht, dass die SSL-Lib da was ausmacht, aber wer weiß ....

BTW: was sind diese "occ-Dinge", bitte?
 
"occ" steht wohl für "OpenVPN Configuration Control", ein OpenVPN eigenes Protokoll zur (optionalen) Kommunikation zwischen Server und Client. Diese ist in der "small" Version nicht in das Programm einkompiliert.

Du könntest ja mal diese Programme testen.
 

Anhänge

  • openvpn_232_polarssl_mips_static.gz
    318.2 KB · Aufrufe: 1
  • openvpn_232_openssl_mips_static.gz
    588 KB · Aufrufe: 2
Hallo MaxMuster,

Danke für die Info und natürlich für die beiden Images! Ich hätte mich da erstmal wieder durch die makfiles/configs wühlen müssen, um das zu übersetzen...

Zum Testen komme ich aber wohl erst morgen Nachmittag/Abend, ich geb Bescheid, sobald ich weiß, wie's läuft.

Grüße!

:)
 
Hallo MaxMuster,

bin etwas früher zum Testen gekommen.

Also: so soll es sein! :dance:

Sowohl die PolarSSL als auch die OpenSSL-Variante erkennen das Ende des Clients nun korrekt und melden nun
"SIGTERM[soft,remote-exit] received, client-instance exiting" :)

ps meldet bei der PolarSSL-Varianten im Idle (ohne verbundenen Client) 916kB Speicher, vorher ohne "occ" waren es 812, also etwas mehr. Stört mcih aber überhaupt nicht.

Es ist schon eine Weile her, dass ich mir das Image für meine 7170 gebastelt habe. Würdest Du mir bitte noch verraten, wo man die Build-Details festlegt, also ob "occ" oder "Nicht-occ" usw.?


Ansonsten nochmals: ¡muchissimas gracias! :groesste:
 
Freut mich. In den menuconfig Einstellungen ist das der Punkt "Optimize for size", der gesetzt beim Bauen "enable-small" setzt.
Damit wird eine abgespeckte Version gebaut, die einige für die Funktion optionale Dinge nicht enthält. Unter anderem eben die Dinge im OCC-Umfeld.
Ist halt wie fast immer bei den eingeschränkten Resourcen der Box ein Kompromiss zu finden zwischen Platz und Funktionalität.
 
;)

nur interessehalber: Du benutzt immer noch die openvpn_2.1_rc2? Es gab keine wirklich gravierende Änderungen bis zur 2.3.2 (ausser ipv6 support). Dein Compilat läuft perfekt ...

Grüße!
 
Nee, die Box hab ich nimmer. Vielleicht sollte ich die Signatur mal anpassen ;-)
 
Um antworten zu können musst du eingeloggt sein.

Zurzeit aktive Besucher

Gesamt: 660 (Mitglieder: 42, Gäste: 618)

Neueste Beiträge

Statistik des Forums

Themen
246,119
Beiträge
2,246,455
Mitglieder
373,612
Neuestes Mitglied
Desacrel
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
Ihr E-Mail-Adresse verifizieren

Ihr E-Mail-Adresse verifizieren

Wir haben Ihnen eine E-Mail geschickt. Klicken Sie auf die Schaltfläche im E-Mail-Text, um Ihre E-Mail-Adresse zu verifizieren – (Können Sie diese nicht finden können, dann überprüfen Sie Ihren Spam-Ordner).

IPPF im Überblick

Neueste Beiträge

Direktlinks Telefonanlage

Website-Sponsoren

3CX sponsor
KONTAKTIEREN SIE UNS BEI INTERESSE
| Style by ThemeHouse
XenPorta 2 PRO © Jason Axelrod of 8WAYRUN
Oben Unten
Zurück