[Problem] OpenVPN Tunnel steht, Ping u.a. nicht möglich

[Perseus]

Hallo zusammen,
lange hatte ich eine 7050 mit Freetz und OpenVPN, konnte mit Clients drauf zugreifen und allen Traffic dadurch schieben. Beim "Upgrade" auf die 7141 hab ich OpenVPN wieder mit in Freetz reingenommen und alle Einstellungen soweit übernommen, wie sie in der 7050 waren. Leider hab ich aus irgendeinem Grund vergessen, diese zu prüfen und lange Zeit hab ich die Verbindung auch nicht gebraucht. Nun hab ich den Salat, bin unterwegs und brauch sie mal, aber es funktioniert nicht...

Mein Windows 7 Client kriegt eine IP von der Box ausgeliefert (eine aus dem internen Netzbereich), auch als DNS und Gateway wird die Box eingetragen. Nur kann ich die Box nicht pingen, geschweige denn dass mein Traffic hinläuft. Dummerweise komm ich also von hier aus auch nicht auf die Box, um deren Config zu prüfen. Die Client-Config sieht so aus:

remote [I]externe_server_ip[/I] [I]Port[/I]
proto tcp-client
dev tap
dev-node "LAN-Verbindung 2"
tls-client
persist-key
persist-tun
ns-cert-type server
ca "ca.crt"
cert "client01.crt"
key "client01.key"
tls-auth "static.key" 1
tun-mtu 1500
auth SHA1
cipher AES-256-CBC
mssfix
comp-lzo
nobind
verb 3
pull
redirect-gateway def1
register-dns
route-method exe
route-delay 2

pull holt mir von der Box folgende Antwort:

Received control message: 'PUSH_REPLY,dhcp-option DNS 192.168.178.1,redirect-gateway,route 192.168.178.1 ,topology subnet,route 192.168.178.0 255.255.255.0 192.168.178.1,route-gateway 192.168.178.1,route 192.168.178.0 255.255.255.0,ping 10,ping-restart 120,ifconfig 192.168.178.101 255.255.255.0'

der OpenVPN-Log sagt daraufhin folgendes:

Tue Sep 18 15:30:39 2012 C:\WINDOWS\system32\route.exe ADD [I]externe_server_ip[/I] MASK 255.255.255.255 [I]meine_ip[/I]
 OK!
Tue Sep 18 15:30:39 2012 C:\WINDOWS\system32\route.exe ADD 0.0.0.0 MASK 128.0.0.0 192.168.178.1
 OK!
Tue Sep 18 15:30:39 2012 C:\WINDOWS\system32\route.exe ADD 128.0.0.0 MASK 128.0.0.0 192.168.178.1
 OK!
Tue Sep 18 15:30:39 2012 OpenVPN ROUTE: omitted no-op route: 192.168.178.1/255.255.255.255 -> 192.168.178.1
Tue Sep 18 15:30:39 2012 C:\WINDOWS\system32\route.exe ADD 192.168.178.0 MASK 255.255.255.0 192.168.178.1
 OK!
Tue Sep 18 15:30:39 2012 C:\WINDOWS\system32\route.exe ADD 192.168.178.0 MASK 255.255.255.0 192.168.178.1
Hinzufgen der Route fehlgeschlagen: Das Objekt ist bereits vorhanden.
Tue Sep 18 15:30:39 2012 Initialization Sequence Completed
Tue Sep 18 15:30:39 2012 Start net commands...
Tue Sep 18 15:30:39 2012 C:\WINDOWS\system32\net.exe stop dnscache
DNS-Client wird beendet.....
DNS-Client konnte nicht beendet werden.
Tue Sep 18 15:30:52 2012 C:\WINDOWS\system32\net.exe start dnscache
Der angeforderte Dienst wurde bereits gestartet.
Sie erhalten weitere Hilfe, wenn Sie NET HELPMSG 2182 eingeben.
Tue Sep 18 15:30:52 2012 ERROR: Windows ipconfig command failed: returned error code 2
Tue Sep 18 15:30:52 2012 C:\WINDOWS\system32\ipconfig.exe /flushdns
Windows-IP-Konfiguration
Der DNS-Aufl”sungscache wurde geleert.
Tue Sep 18 15:30:52 2012 C:\WINDOWS\system32\ipconfig.exe /registerdns
Windows-IP-Konfiguration
Die Registrierung der DNS-Ressourceneintr„ge fr alle Adapter dieses Computer wurde initialisiert. Fehler werden in der Ereignisanzeige in 15 Minuten aufgefhrt.

nun sind da ja ein paar Fehler aufgeführt, die mir nicht viel sagen. Gibts irgendwas, was ich von hier aus tun kann? Liegts an den Routen, die nicht gesetzt werden?

 

[MaxMuster]

Erste Vermutung bei "Verbindung wird aufgebaut, es geht aber nix drüber": Du hast im Server kein "LZO" angehakt, es ist aber in der Client-Config ist "comp-lzo".

Weiteres: Welche "Zuordnung" hat dieses VPN-Netz im Win7 (Heimnetz, Arbeitspaltz-Netz ...)?

 

[Perseus]

Du hast im Server kein "LZO" angehakt, es ist aber in der Client-Config ist "comp-lzo".

ich habs bereits ohne versucht, ändert aber nichts.

Weiteres: Welche "Zuordnung" hat dieses VPN-Netz im Win7 (Heimnetz, Arbeitspaltz-Netz ...)?

Da hab ich alle, also Heim-, Arbeitsplatz- und öffentlich probiert..

Allerdings habe ich noch festgestellt, dass "redirect-gateway def1" raus muss, sonst trägt er die fritz.box nicht als neuen Gateway ein - aber selbst wenn er das tut, funktioniert nichts.

 

[MaxMuster]

Öffentlich könnte Ping verhindern, die anderen sollten funktionieren.

Die "Feinheiten" mit dem Gateway kommen später, solange die Box nicht als 192.168.178.1 erreichbar ist, ist das alles nebensächlich...
Hat die Box nach dem Verbindungsaufbau auch auf dem VPN-Adapter die IP 192.168.178.101?


Nur zur Sicherheit: Du bist aber jetzt mit dem Client nicht in einem "Fritzbox"-Netz, was auch 192.168.178.x nutzt?!?

Ansonsten könntest du mal "verb 5" oder so versuchen, ob man da was sieht...

 

[Perseus]

was die Boxals IP ihres VPN-Servers hat kann ich grad ja leider nicht prüfen, ich hab aus der Ferne ja keinen Zugriff

Und die Sicherheitsfrage, doch, alle meinen Clients die direkt an der Box hängen erhalten IPs 192.168.0xx, Clients, die per openVPN kommen, kriegen 192.168.178.1xx

 

[MaxMuster]

Nee, ich meinte die LAN-IP des PCs, der das VPN aufbaut. Die sollte natürlich nicht aus dem Netz sein, was die VPN-Box als IPs verteilt, sonst "knallt" das ;-)

Ist auch "tap" richtig? Oder vielleicht "tun"? Spätestens mit höherem "verb" solltest du dann aber Warnings über solche "Mismatches" sehen...

 

[Perseus]

nein, aktuell hat mein Client in seinem Netz eine IP außerhalb der Range jeglicher FritzBox-Netze

ja, tap ist richtig. allerdings sagt verb5 viele andere Fehler:

Wed Sep 19 19:14:47 2012 us=921000 NOTE: Options consistency check may be skewed by version differences
Wed Sep 19 19:14:47 2012 us=921000 WARNING: 'version' is used inconsistently, local='version V4', remote='version V0 UNDEF'
Wed Sep 19 19:14:47 2012 us=921000 WARNING: 'dev-type' is present in local config but missing in remote config, local='dev-type tap'
Wed Sep 19 19:14:47 2012 us=921000 WARNING: 'link-mtu' is present in local config but missing in remote config, local='link-mtu 1592'
Wed Sep 19 19:14:47 2012 us=921000 WARNING: 'tun-mtu' is present in local config but missing in remote config, local='tun-mtu 1532'
Wed Sep 19 19:14:47 2012 us=921000 WARNING: 'proto' is present in local config but missing in remote config, local='proto TCPv4_SERVER'
Wed Sep 19 19:14:47 2012 us=921000 WARNING: 'comp-lzo' is present in local config but missing in remote config, local='comp-lzo'
Wed Sep 19 19:14:47 2012 us=921000 WARNING: 'keydir' is present in local config but missing in remote config, local='keydir 0'
Wed Sep 19 19:14:47 2012 us=921000 WARNING: 'cipher' is present in local config but missing in remote config, local='cipher AES-256-CBC'
Wed Sep 19 19:14:47 2012 us=921000 WARNING: 'auth' is present in local config but missing in remote config, local='auth SHA1'
Wed Sep 19 19:14:47 2012 us=921000 WARNING: 'keysize' is present in local config but missing in remote config, local='keysize 256'
Wed Sep 19 19:14:47 2012 us=921000 WARNING: 'tls-auth' is present in local config but missing in remote config, local='tls-auth'
Wed Sep 19 19:14:47 2012 us=921000 WARNING: 'key-method' is present in local config but missing in remote config, local='key-method 2'
Wed Sep 19 19:14:47 2012 us=921000 WARNING: 'tls-server' is present in local config but missing in remote config, local='tls-server'

das kann ich mir nicht erklären, ich mein, wenn ich einen Parameter vergessen hätte, ok, aber alle?
Weiterhin sagt der Log:

Wed Sep 19 19:14:52 2012 us=46000 WARNING: potential route subnet conflict between local LAN [192.168.178.0/255.255.255.0] and remote VPN [192.168.178.1/255.255.255.255]
Wed Sep 19 19:14:52 2012 us=46000 OpenVPN ROUTE: omitted no-op route: 192.168.178.1/255.255.255.255 -> 192.168.178.1
Wed Sep 19 19:14:52 2012 us=62000 WARNING: potential route subnet conflict between local LAN [192.168.178.0/255.255.255.0] and remote VPN [192.168.178.0/255.255.255.0]
Wed Sep 19 19:14:52 2012 us=62000 C:\WINDOWS\system32\route.exe ADD 192.168.178.0 MASK 255.255.255.0 192.168.178.1
 OK!
Wed Sep 19 19:14:52 2012 us=93000 WARNING: potential route subnet conflict between local LAN [192.168.178.0/255.255.255.0] and remote VPN [192.168.178.0/255.255.255.0]

 

[MaxMuster]

Das mit "potential route subnet conflict" und so kannst du ignorieren, das liegt an einer "übervorsichtigen" Konfig, die Freetz erzeugt und auch für vorhandene Netze nochmal eine Route "pushed".

Wenn "tap" stimmt, hat dann "LAN-Verbindung 2" die gewünschte IP bekommen?!?

 

[Perseus]

ja, die LAN-Verbindung 2 bekommt korrekt ihre .101 zugewiesen. Sobald das erfolgt ist, bin ich quasi offline. Ich kann die fritz.box nicht pingen, erhalte aber auch sonst keine Daten mehr, wenn ich irgendwas im Browser aufrufe o.ä.
Mir scheint, dass mein Rechner seine Requests gemäß Routing in den Tunnel schickt und auch da die Antworten erwartet, aber die FritzBox die remoten Daten ignoriert?

 

[MaxMuster]

Erster Test wäre dann immer, die Box auf der VPN-IP anzupingen. Mach mal nach dem Aufbau der Verbindung und dem "ping 192.168.178.1" ein "arp -a".
Ist da ein Eintrag für 192.168.178.1?!?

 

[Perseus]

arp-a sieht so aus:

Schnittstelle: [I]meine_IP[/I] --- 0xb
  Internetadresse       Physische Adresse     Typ
  [...]
Schnittstelle: 192.168.178.101 --- 0x12
  Internetadresse       Physische Adresse     Typ
  192.168.178.1         2a-ca-9a-1d-c7-4c     dynamisch 
  192.168.178.255       ff-ff-ff-ff-ff-ff     statisch 
[...]

 

[MaxMuster]

Das sieht sehr gut aus, der PC findet zur IP der Box eine MAC-Adresse. Aber der Ping antwortet nicht?!?
Dann kann ich mir nur ein "falsches" Netz (öffentlich) dafür vorstellen...

 

[Perseus]

jup, die Box antwortet nicht. Ich hab das Netzwerk der "LAN Verbindung 2" jetzt auf Heimnetzwerk stehen. Kann es sein, dass es irgendeine Firewall-Regel innerhalb der FritzBox gibt, die das alles sperrt?

 

[MaxMuster]

Nö, da gibt es m.W. nix, sofern du nicht was mit iptables oder so selbst gebaut hast...

Ich bin aber wirklich "am Ende", was man ohne Zugriff auf die Box selbst noch tun könnte. Wenn die Verbindung aufgebaut wird, die andere Seite auf einen Arp-Request antwortet, aber ein ping nicht.

Wird denn der "arp" neu aufgelöst? Also "ohne Verbindung" sollte "arp -a" keinen Eintrag für das Netz 192.168.178.x zeigen, erst nach dem Aufbau des VPN.
Gibt es denn während des Ping noch weitere "Log-Anzeigen"?

Ergänzung:
Ich könnte aus dem Stehgreif nicht sagen, ob man jetzt z.B. mit "falschem" Cipher/lzo usw. trotzdem so weit käme, wie das bei dir scheint. Aber das Log müsste dazu was hergeben.

Sorry, muss mich jetzt erstmal ausklinken

 

[Perseus]

ja, ohne die VPN-Verbindung gibts auch keinen ARP bezüglich der VPN-Ip.
Der Ping besagt nur

Ping wird ausgefhrt fr 192.168.178.1 mit 32 Bytes Daten:
Zeitberschreitung der Anforderung.
Zeitberschreitung der Anforderung.
Zeitberschreitung der Anforderung.
Zeitberschreitung der Anforderung.

Ping-Statistik fr 192.168.178.1:
    Pakete: Gesendet = 4, Empfangen = 0, Verloren = 4
    (100% Verlust),

im Status von openVPN kommt dabei gar nichts.

wenn ich den cipher rausnehme, krieg ich gar keine Verbindung. Wenn ich lzo rausnehme, erhalte ich zwar eine IP, aber die Zeile mit der IP und der MAC für die FritzBox fehlt beim arp.

Danke dir trotzdem für deine Mühen!

 

[Perseus]

soo, endlich wieder Zugang zur Box. Ich hab jetzt nochmal Schritt für Schritt alles geprüft, und hab jetzt in der ar7.cfg manuell tap0 zu den zu brückenden Devices hinzugefügt. Ich kann jetzt von extern über die Box surfen, die Box pingen und auch das Webinterface erreichen. Die Box allerdings kann ihn nicht pingen
Na seis drum, das was nötig ist, läuft