OpenVPN-Server auf Linux; Fritzbox->Client TAP?

[finreg]

Die Box erwartet die IP vom VPN-Server, der aber nicht dafür konfiguriert ist ("no dynamic or static remote --ifconfig address is available for client02/84.58.109.43:61016"). Trag also für diesen Client eine IP ein, und es wird sicher besser (oder vergebe die IP auf dem Client mit einem "ifconfig <ip> <maske>" in der Client Config).

Ich habe jetzt der virtuellen Netzwerkkarte von Hand eine IP gegeben und es funktioniert alles super von der Fritzbox aus.
Weiss jemand wie ich IPforward in der Fritzbox aktiviere?
Das war bei meinem Server auch nötig das das Routing überhaupt funktioniert

Hallo, habe mit 7170 29.04.40 als server und einer 5050 als client dasselbe Problem und die zitierte Meldung (no dynamic or static ...) bei gleichartiger Konfig wie oben: brigde modus, zertifikate, udp ... nur pull in der client config habe ich nicht.

7170 und 5050 haben per webinterace fest vergebene IPs aus dem selben Netz. Mit einer 7050 und kernel 2.4 lief das ganze als tcp bridge wunderbar. Wollte auf den neuen Kernel und eine 7170 wechseln. Aber mit der 7170 hänge ich.

Brauche ich da überhaupt noch:
- "virtuellen Netzwerkkarte von Hand eine IP"
- "ifconfig <ip> <maske> in der Client Config"
Falls ja, bitte ein Beispiel formulieren, ich mache die ersten Linux und openvpn Schritte.

Danke

uwe

 

[blubbersuelze]

@finreg

erkläre mal genau welche IP du auf welches Interface an welcher Fritzbox gemacht hast und so


@rest

ich habe es jetzt getestet... es funktioniert bedingt...
folgender aufbau:

notebook - fritzbox(openvpn-client) - internet - linuxserver (openvpn-server) - netzwerkdrucker

ping vom notebook zum netzwerkdrucker klappt nach dem reboot so ca 2-3 mal. und dann bekomm ich vom linuxserver gesagt das der zielhost (also drucker) nicht mehr erreichbar wäre...
aber vom linuxserver aus ist er immernoch anpingbar. von der fritzbox aus ist er auch nicht mehr anpingbar.
das notebook ist ab dann auch nicht mehr vom linuxserver aus erreichbar.

muss ich an der fritzbox irgendwas freischalten oder so?
z.b. das alles vom tap-device komplett durchgelassen wird(weil trusted network)

weil das ist schon komisch das das vpn so ca 1-2minuten funktioniert und dann auf einmal kein ping mehr funktioniert, aber der vpn-tunnel noch steht

 

[MaxMuster]

@finreg: Wenn du kein "pull" hast, ist diese Meldung egal, aber wie blubbersuelze schon sagte, ohne Configs kommen wir nicht viel weiter.

@blubbersuelze: Nach diesen ein bis zwei Minuten können sich also Box und Server noch anpingen, aber darüber hinaus geht es nicht?
Welche IPs mit welcher Maske hat denn bei dir wer? Kann es sein, dass es sich um ein "austimen" ARP-Caches handelt, da du ja scheinbar das Netz, in dem auch der Printserver ist, gebridged hast?

Jörg

 

[blubbersuelze]

notebook - fritzbox(vpnclient) - internet - linuxserver (vpnserver) - netzwerkdrucker

LAN fritzbox-notebook: 192.168.5.0/24
LAN linuxserver - netzwerkdrucker 192.168.98.0/24
IP-LAN-Server 192.168.98.20
IP-Drucker 192.168.98.2
IP-VPNIP-fritzbox 192.168.98.220
IP-LAN-Fritzbox 192.168.5.1
IP-Notebook 192.168.5.30


routingtabelle linuxserver:
=====================
Kernel IP Routentabelle
Ziel Router Genmask Flags Metric Ref Use Iface
192.168.5.0 192.168.98.220 255.255.255.0 UG 0 0 0 br0
192.168.98.0 * 255.255.255.0 U 0 0 0 br0
192.168.198.0 * 255.255.255.0 U 0 0 0 eth3
192.168.248.0 * 255.255.255.0 U 0 0 0 eth2
default localhost 0.0.0.0 UG 0 0 0 eth2

routingtabelle fritzbox:
=====================
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
192.168.180.1 * 255.255.255.255 UH 2 0 0 dsl
192.168.180.2 * 255.255.255.255 UH 2 0 0 dsl
192.168.98.0 * 255.255.255.0 U 0 0 0 tap0
192.168.198.0 Machine 255.255.255.0 UG 0 0 0 tap0
192.168.5.0 * 255.255.255.0 U 0 0 0 lan
169.254.0.0 * 255.255.0.0 U 0 0 0 lan
default * 0.0.0.0 U 2 0 0 dsl

Machine ist der Hostname des Linuxservers
das Netz 192.168.198.0/24 ist ein weiteres Netz welches ebenso erreichbar sein soll und parallel zum 98er Netz ist

also laut den Routingtabellen sollte es eigentlich problemlos funktionieren ...
aber irgendwie geht nach ein paar minuten nix mehr...

ich hoffe das das weiterhilft

 

[blubbersuelze]

VPN-Clients und das LAN laufen über eine Bridge, was den Sinn hat das alle im selben Subnetz sind.

 

[MaxMuster]

Das scheint ja etwas schwieriger zu werden. Wenn der Printserver nicht mehr ereichbar ist, sind dann Box-Client und Server noch erreichbar, d.h. kannst du zu dem Zeitpunkt noch den Server von der Box anpingen und umgekehrt?
Interessant wäre auch, ob die Box im arp-Cache zu finden ist ("arp -a") im Netz des Servers (vermutlich geht das ja vom Printserver nicht, oder?).
Ist sichergestellt, dass kein anderes Gerät die IP der Box bekommen kann?
Gibt es zu dem Zeitpunkt im Openvpn-Log von Server und/oder Client Meldungen (evtl. auf der Box nochmal mit verb 6 und im Vordergrund laufen lassen).

Jörg

EDIT: Kurze Nachträge solltest du mit der "Ändern" Funktion anhängen, zwei Posts kurz hintereinander und dann noch "kurz" vom Inhalt sind "nicht so gern gesehen" ;-)

 

[finreg]

@blubbersuelze: die gewünschten configs - ich habe nur ein Netz 192.168.1.xxx mit 192.168.1.1 für die Server Fritzbox und 192.168.1.3 für die Client Fritzbox.

### server 7170 29.04.40

## in debug.cfg

#tun device anlegen
mknod /var/tmp/vpn/tun c 10 200
chmod 666 /var/tmp/vpn/tun

/var/tmp/vpn/openvpn --config /var/tmp/vpn/server.ovpn
sleep 30
# jetzt sollte der Server laufen

ifconfig tap0 0.0.0.0 - promisc up
/var/tmp/vpn/brctl addif lan tap0
rm /var/tmp/vpn/brctl

[\CODE]


## in server.ovpn


[CODE]
daemon
ca ca.crt
cert server.crt
key server.key
dh dh2048.pem
proto udp
port 1194
dev tap0
dev-node /var/tmp/vpn/tun
mode server
tls-server
ifconfig 192.168.1.1 255.255.255.0
client-to-client
keepalive 10 60
comp-lzo
persist-key
persist-tun
verb 3
[\CODE]


#in ar7.cfg
[CODE]
"udp 0.0.0.0:1194 0.0.0.0:1194 0 # OpenVPNserverbox",
#mit "udp 0.0.0.0:1194 192.168.1.1:1194 0 # OpenVPNserverbox",
#192.168.1.1 = IP der Server-box habe ich es auch schon probiert. geht nicht
#mit tcp  0.0.0.0:1194 192.168.1.1:1194 0 hat es auf einer 7050 und kernel 2.4  funktioniert
#tcp dann natürlich auf beiden boxen und proto=tcp bzw. tcp-server

[\CODE]

#########################client1###############################################################

###client 5050 12.04.26

##in debug.cfg
#tun device gibt's von Haus aus unter /dev/misc/net/, nicht anlegen

/var/tmp/vpn/openvpn --config /var/tmp/vpn/client1.ovpn
sleep 30
# jetzt sollte der client laufen

ifconfig tap0 0.0.0.0 - promisc up
/var/tmp/vpn/brctl addif lan tap0
rm /var/tmp/vpn/brctl


##in client1.ovpn

[CODE]
daemon # läuft als Hintergrundprozess
client # wir sind client
proto udp # udp protocoll
#proto tcp-client # tcp protocoll, client
port 1194 # standard port
remote gmp.no-ip.biz 1194 # wohin verbinden
ns-cert-type server # nur mit server verbinden
ifconfig 192.168.1.3 255.255.255.0 # 192.168.1.3 = IP des client, ist auch per web interface so vergeben
dev tap0 # device treiber tap0 verwenden (muss noch der Brigde "lan" hinzugefügt werden, zu der eth0 gehört
dev-node /dev/misc/net/tun # da ist das device
resolv-retry infinite # unbegrenzt lange versuchen sich zu verbinden
keepalive 30 60 # wenn unbenutzt alle 30 sec ping an partner, falls nach 60 sec keine Antwort dann restart von openvpn
nobind # ports dynamisch auswählen
persist-tun # tun device bleibt auch nach reset offen
persist-key # key bleibt auch nach reset erhalten, wird nicht neu eingelesen
ca ca.crt
cert client1.crt
key client1.key
# tls-auth ta.key # vorher ta.key installieren, verhindert DoS Attacken
comp-lzo # Komprimierung der übertragenen Daten
verb 3 # Detaillierungslevel des Protokolls, je höher desto detaillierter
mute 20

[\CODE]

#in ar7.cfg
[CODE]
"udp 0.0.0.0:1194 0.0.0.0:1194 0 # OpenVPN client1box",
#mit "udp 0.0.0.0:1194 192.168.1.3:1194 0 # OpenVPN client1box",
#192.168.1.3 = IP der Client-box habe ich es auch schon propiert. geht nicht
#mit tcp  0.0.0.0:1194 192.168.1.3:1194 0 hat es auf einer 7050/5050 und kernel 2.4  funktioniert
[\CODE]

uwe

 

[MaxMuster]

Erstmal solltest du noch sagen, was nicht geht, wie sich also der Fehler darstellt.
Dann wird wohl ein Log fällig sein, indem du das vpn mit der Konfiguration ohne "daemon" startest und postest, was dann ausgegeben wird.

Was schon jetzt auffällt: Der Server nutzt TLS ("tls-server") der client nicht (kein "tls-client").

Jörg

 

[blubbersuelze]

@maxmuster

-als im arp taucht die fritzbox brav auf, wie sie sollte
-server und client können sich gegenseitig anpingen, bloss ich komm nicht mehr hinter den server, sprich der printserver und andere hosts dahinter.
-es ist zu 100% sichergestellt das die fritzbox die einzige mit dieser IP ist
-weder die Logs von Client oder Server sagen was in Bezug auf Probleme, sieht alles brav aus, auch mit Verb6

doofe Frage...
weil ja überall was steht das man an der ar7.cfg was drehen muss wenn die Fritzbox einen server darstellen soll. Muss man das vlt. auch machen wenn diese einen Client darstellt?
So vonwegen "Trusted Interface" oder so?

 

[MaxMuster]

weil ja überall was steht das man an der ar7.cfg was drehen muss wenn die Fritzbox einen server darstellen soll. Muss man das vlt. auch machen wenn diese einen Client darstellt?
So vonwegen "Trusted Interface" oder so?

Wäre mir nicht bekannt.
Das einzige was mir dann noch einfällt, ist dass es ein Problem mit dem Bridging auf einer der Seiten gibt, so dass die ARP-Anfragen nicht vom LAN zum Client weitergegeben werden.
Du könntest vielleicht mal mit einem anderen PC in dem LAN des Druckers versuchen, ob zu dem die Verbindung klappt und ob die IP der Box auf dem PC bei "arp -a" auftaucht und ob sich das im Laufe der Zeit ändert....

Jörg

 

[blubbersuelze]

also die Fritzbox ist aus dem Subnetz in welchem der Drucker ist über das VPN anpingbar.
In der ARP-Tabelle des Rechner's taucht nach dem ping an die Fritzbox die Fritzbox auf. Nach einiger Zeit verschwindet der ARP-Eintrag wieder, nach einem weiteren Ping taucht diese aber wieder in der Tabelle auf (also so wie es sein sollte)

von der Fritzbox aus ist der Rechner bzw. Printserver nach wie vor nicht erreichbar.
Nach einem Reboot der Fritzbox ist beides kurz anpingbar... und dann nach kurzer Zeit sind sie von der Fritzbox aus nicht mehr anpingbar, im lokalen Netz aber schon.

 

[MaxMuster]

Also, ich fasse es mal kurz zusammen: Vom LAN zur Box geht, von der Box zum LAN geht nicht?
Also kann die Box den ARP über das TAP nicht auflösen. Die Box kann aber die Server-IP immer erreichen? Dann scheint der Server die ARP-Anfrage vom TAP zwar selbst zu beantworten, aber nicht korrekt weiterzugeben, die ARP Anfrage aus dem LAN aber ordnungsgemäß über das TAP weiterzugeben. Welche Version ist denn auf dem Server? Vielleicht ist da eine "winzige Inkompatibilität" zwischen den Versionen?!?

Jörg

 

[blubbersuelze]

"Also, ich fasse es mal kurz zusammen: Vom LAN zur Box geht, von der Box zum LAN geht nicht?"

korrekt

"Die Box kann aber die Server-IP immer erreichen?"

korrekt, die Box kann alle IP's des Server anpinge

"Welche Version ist denn auf dem Server? Vielleicht ist da eine "winzige Inkompatibilität" zwischen den Versionen?!?"

openvpn-version-fritzbox:
=====================
# ./openvpn --version
OpenVPN 2.1_rc2 mipsel-linux [SSL] [LZO2] [EPOLL] built on Jul 9 2007
Developed by James Yonan
Copyright (C) 2002-2005 OpenVPN Solutions LLC <[email protected]>
#

openvpn-version-server:
=====================
openvpn --version
OpenVPN 2.0.9 i486-pc-linux-gnu [SSL] [LZO] [EPOLL] built on Jan 21 2007
Developed by James Yonan
Copyright (C) 2002-2005 OpenVPN Solutions LLC <[email protected]>


Der Server ist ein Debian Etch mit den aktuellsten Updates

 

[MaxMuster]

Tja, mir fallen nur zwei Dinge ein: Versuche (falls möglich) ob du das ganze testweise auf dem Server mit einer neueren Version testen kannst, oder (ich weiß aber nicht, ob deine Box das kann) versuche um diese "Diagnose" zu bestätigen, auf der Box mittels "arp -s <ip des Printers> <MAC des Printers>" dafür einen statischen Eintrag zu machen um zu sehen, ob es dann klappt.
Von deinen anderen Clients scheint es ja zu gehen. Nutzen die alle die gleiche Version wie der Server?

Nachfrage: Wenn du das mit dem anderen Rechner machst: Sobald der die Box anpingt, kann diese auch den Rechner wieder erreichen, oder?

Jörg

 

[blubbersuelze]

Also ich habe nun einen Rechner mal hinter die Fritzbox geklemmt.
von diesem Rechner aus ist die Fritzbox erreichbar, aber nicht der Server auf der anderen Seite des VPN.

Von der Fritzbox aus ist der Server hinter dem VPN erreichbar. aber nichts hinter dem Server.

Die Fritzbox kann kein arp :'(
Habe es mal vom Rechner hinter der Fritzbox aus probiert aber arp nützt da auch nix.

Ja die anderen Clients (Notebooks) nutzen die gleiche Version wie der Server (halt für Windows ;-) )

Wenn ich von dem Rechner aus die Fritzbox anpinge bekomme ich antworten.
Umgekehrt nicht. Der Rechner ist von anderen Rechnern und vom Server aus anpingbar.

 

[MaxMuster]

Wenn ich auch langsam ans Ende der Ideen komme, so ganz gebe ich noch nicht auf.

Wenn ich von dem Rechner aus die Fritzbox anpinge bekomme ich antworten.

Auch direkt danach nicht? Also, wenn der Ping vom Rechner zur Box geht, dann geht "gleichzeitig" der Ping von der Box zum Rechner nicht?

Dann sollten wir dochmal den arp ansehen. Den Inhalt des arp-caches siehst du mit

cat /proc/net/arp

Wenn du mal etwas mit dem arp "spielen" willst: hier findest du ein statisch gelinktes Binary von "arp" für die Box, damit sollte auch das "permanente Setzen" eines Eintrags möglich sein (Umbenennen des Binarys darin in "busybox" und dann entweder einen Link "arp" darauf setzen oder mit "busybox arp " aufrufen).

Jörg

 

[blubbersuelze]

Rechner(.5.x) - (.5.1)fritzbox(.98.220) -(VPN-Tunnel)--- server(.98.20) - (.98.x)rechner2, printserver


folgende Strecken gehen ping in beide Richtungen:
Rechner - fritzbox
fritzbox - server
server - rechner2
----------

rechner2 -> fritzbox funktioniert ping
fritzbox -> rechner2 funktioniert ping nicht

Rechner <-> Rechner2,Printserver geht der ping nicht (was er aber sollte)

 

[MaxMuster]

rechner2 -> fritzbox funktioniert ping
fritzbox -> rechner2 funktioniert ping nicht

Das ist der Part, der mich stark irritiert. Warum geht das nur in einer Richtung?
Ist "sicher", dass die Ping-Antwort von der FB kommt (stimmt der ARP-Eintrag auf "Rechner2" für die Box mit der MAC der Box überein)? Hat die Box zu dem Zeitpunkt, wo sie "antwortet" einen Eintrag für "Rechner2" in ihrem ARP-Cache?

Sehr merkwürdig...

Jörg

 

[blubbersuelze]

Egal von welcher Seite ich den ping mache, in beiden arp's taucht die jeweilige IP inklusive richtiger MAC-Adresse auf.
auch taucht die IP und richtige MAC des Server's, welcher den VPN-Server stellt und welcher die Pakete durchroutet,im arp der Box auf.

Vlt. doch ein Firewallproblem oder ähnliches an der Fritzbox?

 

[MaxMuster]

Firewall?? Ich kann es mir nicht vorstellen, da gibt es eigentlich nix einzustellen (alles, was die Box "selbst initiiert" sollte erlaubt sein, also auch die VPN Verbindung). Wenn jetzt nichts über das TAP ginge, könnte ich das ja noch verstehen, aber warum sollte eine Verbindung "erlaubt" (zum Server), die andere (zum PC) "verboten" sein???

Aber nochmal zurück: Auch wenn der Ping von der Box zum "rechner2" nicht funzt, auf beiden Seiten ist (spätestens nach dem Ping) der "korrekte" ARP vorhanden? Am besten wäre, wenn der APR-Cache erst leer ist und nach dem Ping "korrekt" gefüllt (richtige MAC, IP und Interface). Wenn ja, funktioniert der ARP schonmal.

Kommt da vielleicht bei den TAPs eine "virtuelle MAC" mehrfach vor? Auch sind ja Box und Rechner nur übers Internet und VPN verbunden, nicht noch irgendwie übers LAN?

Jörg