Routingproblem mit OpenVPN und Basic-Tunnel

[Kleo2]

Hallo,

nachdem ich mehrere Howtos und Hinweise aus dem Forum probiert habe, muss ich jetzt doch nachfragen.

Ich versuche zwei lokale LANs über's Internet zu verbinden und habe Schwierigkeiten beim korrekten Routen auf der einen Seite des Tunnels.

Die angestrebte Verbindung sieht wie folgt aus.

	    Fritz!Box--------------[Internet]-------------08/15 Router
            192.168.2.1                                  192.168.0.1
        10.0.0.1 (VPN Server)                                |   |  
              |    |                                         |   |
 	      |	   |                                         |   |  
       +------+    +------+                           +------+   +------+		 
       |                  |                           |                 |		 
     PC-1               PC-2                        PC-A              PC-B             
192.168.2.250       192.168.2.200                192.168.0.11       192.168.0.10
                                                 10.0.0.2 
                                                 (VPN Client/Debian)

Zum Einstieg habe ich es mit einem Tunnel mit preshared Key vesucht und der
Tunnel steht auch. Ich kann die beiden Tunnelenden anpingen (10.0.01<>10.0.0.2). Das gleiche gilt für die Lan-IP's der Tunnelenden (192.168.2.1<>192.168.0.11). Darüberhinaus kann ich aus dem 192.168.2.0-Netz alle IP's im 192.168.0.0-Netz anpingen.

Leider funktioniert die umgekehrte Richtung nicht. Also ich kann von PC-A aus die Rechner in meinem lokalen Netz nicht erreichen (PC-1/PC-2).

Ich habe sowohl auf dem Server als auch auf dem Client ip_forward eingeschaltet und jeweils eine Route ins gegenüberliegende Netz eingerichtet.
(route add -net 192.168.x.0 netmask 255.255.255.0 gw 10.0.0.x).
An die Routingtabellen komme ich im Moment nicht ran, weil der VPN-Client aus ist. Gleiches gilt für die client.conf.

Die Server-Config sieht so aus:

ifconfig 10.0.0.1 10.0.0.2
        local fritz.box
        secret /var/tmp/tunnel.key
        proto udp
        port 1194
        dev tun0
        tun-mtu 1500
        float
        keepalive 10 60
        verb 6
        mssfix
        route 192.168.0.0 255.255.255.0
        route-gateway 10.0.0.2

Kann mir da vielleicht jemand auf die Sprünge helfen?

Grüße, Kleo

 

[fant]

Es reicht meines Wissens nicht aus, nur eine Route auf den betroffenen Rechnern einzutragen, die in die lokalen Netze verweist. Es muß in der Config des OpenVPN das Routing vorgegeben werden.

Server.conf

route 192.168.0.0 255.255.255.0
iroute 192.168.0.0 255.255.255.0
push "route 192.168.2.0 255.255.255.0"

Client.conf

push "route 192.168.0.0 255.255.255.0"
iroute 192.168.2.0 255.255.255.0

So geht es jedenfalls bei mir. Die route-Befehle sind bei mir wirklich in der Server.conf, die iroute-Befehle mache ich per Client in einer Datei pro Client.

Hoffe, das hilft.

Hawedieehre.
Fant

 

[Duff]

Ok, dass verstehe ich soweit und sieht auch ganz gut aus.

Aber wofür ist das iroute, das nochmal die gleiche route wie route angibt?

 

[fant]

Um ehrlich zu sein: als ich das eben zusammenkopiert habe, mußte ich mich auch wundern. Dann dachte ich mir: "Never change a running system" und habe Dir einfach mein Zeugs hier aufs Auge gedrückt.

Klappt es denn?

Hawedieehre.
Fant

 

[Kleo2]

Danke für die schnellen Hinweise. Damit hatte ich nicht gerechnet.

Ich kann die Einstellungen im Moment nicht testen, da ich auf Arbeit bin.
Heut abend komme ich wieder an beide beteiligten Netze ran und kann
dann auch die Routen und die .conf des Clients posten.

Grüße, Kleo2

 

[Duff]

Ja, das wäre super.

Das ganze Szenario interessiert mich nämlich auch, da ich auch sowas plane und bisher auch schon teilweise umgesetzt habe.

 

[Kleo2]

Wie angekündigt:

client.conf

ifconfig 10.0.0.2 10.0.0.1
        float
        remote xxx.homeip.net
        secret /etc/openvpn/tunnel.key
        dev tun0
        proto udp
        port 1194
        ping 15
        ping-restart 300 # 5 minutes
        resolv-retry 300 # 5 minutes
        tun-mtu 1500
        mssfix
        persist-tun
        persist-key
        verb 6
        route 192.168.2.0 255.255.255.0
        route-gateway 10.0.0.1
        disable-occ

Client-Routen:

Kernel IP Routentabelle
Ziel            Router          Genmask         Flags Metric Ref    Use Iface
localhost       *               255.255.255.255 UH    0      0        0 tun0
192.168.2.0     localhost       255.255.255.0   UG    0      0        0 tun0
192.168.0.0     *               255.255.255.0   U     0      0        0 eth0
default

Server-Routen:

Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
192.168.180.1   *               255.255.255.255 UH    2      0        0 dsl
10.0.0.2        *               255.255.255.255 UH    0      0        0 tun0
192.168.180.2   *               255.255.255.255 UH    2      0        0 dsl
192.168.178.0   *               255.255.255.0   U     0      0        0 lan
192.168.2.0     *               255.255.255.0   U     0      0        0 lan
192.168.0.0     10.0.0.2        255.255.255.0   UG    0      0        0 tun0
default         *               0.0.0.0         U     2      0        0 dsl

Vielleicht hilft's ja weiter.
Ich werd jetzt erstmal die Tipps ausprobieren.

EDIT: Was mich irritiert, daß auf der Fritzbox eine Route nach 10.0.0.2 vorhanden ist. Wenn ich versuche auf dem Client händisch eine ähnliche Route anzulegen, wird der gw 10.0.0.1 in der Routentabelle als localhost aufgeführt und nicht explizit mit seiner IP.
/EDIT

Grüße, Kleo2

 

[Duff]

Achso, ausprobiert hast du das ganze Szenario noch nicht.

Kannst ja vielleicht noch mal schreiben, ob es auch funktioniert, wenn du mit deinen Test's fertig bist.

Danke.

 

[Kleo2]

Hab jetzt mal schnell getestet.
Mit folgendem Ergebnis:

- den iroute-Parameter akzeptiert der OpenVPN-Server auf der Fritzbox nicht.
Er meint "--iroute ist in diesem Kontext nicht erlaubt" (in der server.ovpn)

- beim Client gibt's das gleiche Verhalten, aber scheinbar soll der Parameter auch in ein zusätzliches Skript (das hab ich jetzt nicht probiert)

- ob ich die Routen zusätzlich vom und zum Client pushe, scheint auch keinen Unterschied zu machen. Im Prinzip sind die Routen ja beim Server und beim Client in den config-Dateien festgelegt.

Eine weitere Frage ist: zieht der Client bei einem einfachen Tunnel mit static.key überhaupt die gepushten Optionen vom Server? Wenn ich dieses Verhalten erzwingen wollte, erhielt ich auf dem Client immer die Meldung das ein "pull" nur von einem "tls-server" möglich wäre.

Grüße, Kleo

 

[flunki]

Hi Kleo,

bin auch schon seit ner Weile dran, allerding FB OVPN Server auf WINXP Client. Mit Tunnel hat alles schon bei mir funktioniert. Habe auf bridging umgestellt und da fing der Spass dann an. Habs noch nicht am Laufen.

Meinem jetzigen Kenntnisstand nach geht push/pull nur beim TLS-Client und der wiederum nur mit certificates (also nicht mit einem statischen Key). Oder ich habe das man falsch verstanden.

Falls ich es noch ans Laufen bekomme . . . muss am Wochende funktionieren . . . dann gebe ich Bescheid. Im Moment bekommt mein Client tap noch keine GW-Adresse uebermittel, muss nochmal an den OpenVPN-Server ran.

Und falls das alles Quatsch ist was ich hier erzaehle bitte ich um Korrektur, helfe man mir bitte auch auf die Spruenge.

Gruss Frank

 

[Kleo2]

@Frank

Wenn Du es mit tls zum Laufen bekommst, wäre ich sehr an deinen config-Dateien interessiert. Langfristig möchte ich auch eher ohne static keys und mit mehreren Clients arbeiten.

Grüße, Kleo

 

[fant]

Ich nutze hier Zertifikate, deshalb geht wohl iroute hier. Und ja, ich habe meine Parameter serverseitig in einer separaten Datei pro Client, damit ich bei jedem Client eine eigene Route und dergleichen eintragen kann.

Aber ich nutze auch eine FritzBox als OpenVPN-Client, habe dort aber keine separaten Files zur Config verwendet. Dort sieht es so aus:

Server.conf:

...
route 192.168.178.0 255.255.255.0
push "route 192.168.2.29 255.255.255.0"
...

Client.conf:

...
route 192.168.2.29 255.255.255.255
...

Damit kann der Client auf den lokalen Rechner 192.168.2.29 zugreifen.

Hawedieehre.
Fant

 

[Kleo2]

Sooo,

ich habe mir mittlerweile selbst beholfen und bin einen großen Schritt weiter.

Die Firewallregeln auf der Fritz!box (VPN-Server) mussten angepasst werden,
damit eine Weiterleitung der Pakete vom Tunneldevice (tun0) auf mein lokales LAN (192.168.2.0) stattfindet.

Die entsprechenden Befehle sind:

iptables -I FORWARD -i tun0 -o lan -s 10.0.0.0/24 -d 192.168.0.0/24 -j ACCEPT
iptables -I FORWARD -i lan -o tun0 -s 10.0.0.0/24 -d 192.168.0.0/24 -j ACCEPT

Damit kann ich jetzt aus dem anderen Netz (192.168.0.0) auch meine Rechner anpingen.
Ein ungelöstes Problem hab ich noch: Der Standard-Gateway
(DLink DI-604) des anderen lokalen Netzes und ein weiterer XP-Rechner in ebendiesem erreichen mein Netz noch nicht.
Da müssen wohl noch statische Routen eingerichtet werden. Wobei ich mir nicht sicher bin,
ob ich diese statische Route mit "route add -net 10.0.0.0 netmask 255.255.255.255 gw 192.168.0.11" oder eher mit 192.168.2.0 statt 10.0.0.0 anlege.

Grüße, Kleo

 

[flunki]

@Frank

Wenn Du es mit tls zum Laufen bekommst, wäre ich sehr an deinen config-Dateien interessiert. Langfristig möchte ich auch eher ohne static keys und mit mehreren Clients arbeiten.

Grüße, Kleo

Hi Kleo,
ich habe mal hier http://www.ip-phone-forum.de/showpost.php?p=745641&postcount=7 meine files hingelegt. 2 Locationen, jeweils mit openvpn server tls mit certificates. Beliebige Anzahl clients welche von innen und von aussen . . .

Gruss Frank

 

[maceis]

...
Aber wofür ist das iroute, das nochmal die gleiche route wie route angibt?

'route' ist zuständig für das Routing vom Kernel zum VPN Server während 'iroute' das Routing vom VPN Server zum VPN Client steuert. Und natürlich benötigt man auf dem Client noch eine Route in die andere Richtung.

HTH

 

[grrrmml]

hallo zusammen,
habe auf meiner 7050 openvpn mit zertifikaten am laufen und es funktioniert alles prima - bekomme von der box eine IP ausm fritz LAN und erreiche alle geräte. sogar fax4box funktioniert damit über VPN! hab mir das aus mehreren tutorials zusammengebastelt, find die selbst garnicht mehr...

Anleitung zum aufsetzen der CA siehe
http://www.ip-phone-forum.de/showpost.php?p=531364&postcount=192
Zertifikate dann auf die box per debug.cfg oder bei 7170 hab ich alles auf nem alten 64mb usb stick in nem unterordner VPN abgelegt.

Server-Config:
# OpenVPN v2.0.5 config:
#
# Grundsaetzliches
port 1194
proto tcp-server
dev tap0
dev-node /dev/misc/net/tun
# Server-Einstellungen
mode server
tls-server
# Hier kommt die IP-Adresse der FritzBox sowie start und ende vpn-dhcp
server-bridge 192.168.178.254 255.255.255.0 192.168.178.241 192.168.178.249
ifconfig-pool-persist hosts.ovpn
# Authentifizierung und Verschluesselung
ca /var/tmp/vpn/ca.crt
cert /var/tmp/vpn/fritzbox.crt
key /var/tmp/vpn/fritzbox.key
dh /var/tmp/vpn/dh1024.pem
auth SHA1
cipher AES-256-CBC
# Sonstiges
ping 10
push "ping 10"
ping-restart 60
push "dhcp-option DNS 192.168.178.254"
client-to-client
push "ping-restart 60"

Client-Config:
# OpenVPN v2.0.5 config:
#
# Grundsätzliches (Was soll der CLIENT nutzen)
port 1194
proto tcp-client
dev tap
# Client-Einstellungen
tls-client
ns-cert-type server
remote xxxxxxxxxx.dyndns.org 1194
# Authentifizierung und Verschlüsselung
ca ca.crt
cert client01.crt
key client01.key
auth SHA1
cipher AES-256-CBC
# Sonstiges
pull

In die debug.cfg muss neben den normalen openvpn-sachen noch folgendes damit es funktioniert:
##### Prepare Box for CA with DHCP
### Create TAP0 Interface
/var/tmp/openvpn --mktun --cd /var/tmp --dev-type tap --dev-node /dev/misc/net/tun --dev tap0
### Backup Network config ar7.cfg
ar7cfgfile=/var/flash/ar7.cfg
cat $ar7cfgfile > /var/tmp/ar7.cfg.backup
sleep 60
### Join TAP0 Interface to Bridge
sed -e '/brinterfaces {$/,/}/s/"wdsdw3";/"wdsdw3", "tap0";/' < /var/tmp/ar7.cfg.backup > $ar7cfgfile
### restart Networking
/etc/init.d/rc.net reload
### restore Network config ar7.cfg
cat /var/tmp/ar7.cfg.backup > $ar7cfgfile

könnt ihr ja gern mal probieren...

EDIT: hab grad gesehen dass flunki auch schon was hinterlegt hat. glaube er hat es etwas anders, mag das jetzt aber nicht durchwühlen... wie gesagt wer will, kanns ausprobieren.

 

[doc456]

Hallo,

@grrrmml: Das sieht gut aus, werde das mal Testen, Thx! EDIT: mit der .254, interessant!

 

[Crevlon]

hallo,

@flunki:
ich hab deine dateien mal auspobiert.
da ich die FFB 7170 mit dem neuen kernel 2.6 habe musste ich sie etwas ändern.

ar7.cfg:

 brinterfaces {
         name = "lan";
         dhcp = no;
         ipaddr = 192.168.178.1;
         netmask = 255.255.255.0;
         dstipaddr = 0.0.0.0;
         interfaces = [COLOR="Red"]"tap0"[/COLOR], "eth0", "usbrndis", "tiwlan0", "wdsup0",
                      "wdsdw0", "wdsdw1", "wdsdw2", "wdsdw3";
         dhcpenabled = yes;
         dhcpstart = 192.168.178.20;
         dhcpend = 192.168.178.100;
 }
....
....
....
  "udp 0.0.0.0:7086 0.0.0.0:7086",
  "udp 0.0.0.0:7087 0.0.0.0:7087",
  "udp 0.0.0.0:7089 0.0.0.0:7089",
  "udp 0.0.0.0:7090 0.0.0.0:7090",
  "udp 0.0.0.0:7091 0.0.0.0:7091",
  "udp 0.0.0.0:7092 0.0.0.0:7092",
  "udp 0.0.0.0:7093 0.0.0.0:7093",
  "udp 0.0.0.0:7094 0.0.0.0:7094",
  "udp 0.0.0.0:7095 0.0.0.0:7095",
  "udp 0.0.0.0:7096 0.0.0.0:7096",
  "udp 0.0.0.0:7097 0.0.0.0:7097",
  "tcp 0.0.0.0:8089 0.0.0.0:8089",
  [COLOR="Red"]"udp 0.0.0.0:1194 0.0.0.0:1194",[/COLOR]
  "tcp 0.0.0.0:22 0.0.0.0:22",
  "tcp 0.0.0.0:5900 192.168.178.20:5900 0 #
  "# tcp 0.0.0.0:49500 192.168.178.22:49500
  "# udp 0.0.0.0:49500 192.168.178.22:49500

debug:

 # # # # # # # # Start des telnet-daemons
/usr/sbin/telnetd -l /sbin/ar7login

# # # # # # # # # Update 1/06: Warten bis Fritz!Box den Server erreichen kann
while !(ping -c 1 www.tecchannel.de); do
sleep 5
done
....
....
....
#vpn server

wget http://www.xx/vpn/openvpn
wget http://www.xx/vpn/server.ovpn
wget http://www.xx/vpn/brctl
wget http://www.xx/vpn/vpn-ca.crt
wget http://www.xx/vpn/servercert.crt
wget http://www.xx/vpn/serverkey.key
wget http://www.xx/vpn/dh1024.pem

#Ausfuehrbar machen
chmod +x openvpn
chmod +x brctl

# create tun-device
mknod /var/tmp/tun c 10 200

# start OpenVPN
./openvpn --config /var/tmp/server.ovpn

# brctl ist nicht mehr notwendig da in der ar7.cfg tap0 zu bruecke zugefuegt worden ist
# ./brctl show  in /var/tmp hilft jedoch eventuelle Fehler zu finden

server.ovpn:

# Grundsaetzliches
port 1194
proto udp
dev tap
dev-node /var/tmp/tun

##########################################
# Server-Einstellungen
mode server
tls-server
server-bridge 192.168.178.1 255.255.255.0 192.168.178.140 192.168.178.150
# IP-Adresse der 7170 (Gateway), Subnetmask 7170, Start der VPN DHCP Range, Ende der VPN DHCP Range. Die VPN DHCP Range muss ausserhalb der 7170 DHCP Range aber im selben Netz liegen
client-to-client
daemon  # ; nur zum debuggen (openvpn auf telnet console starten und mit Crtl-C abbrechen), wenn alles funktioniert, Semikolon entfernen

##########################################
# IP-Bereich des FritzBox-LAN
push "route 192.168.178.0 255.255.255.0"

##########################################
# Authentifizierung und Verschluesselung
ca /var/tmp/vpn-ca.crt
cert /var/tmp/servercert.crt
key /var/tmp/serverkey.key
dh /var/tmp/dh1024.pem
auth SHA1
cipher AES-256-CBC

###########################################
# Sonstiges, keep alive
ping 10
push "ping 10"
ping-restart 60
push "ping-restart 60"

client.ovpn:

# Fritz.Box verwendet port 1194
port 1194
proto udp
dev tap

# Client-Einstellungen
pull
tls-client
ns-cert-type server
remote crevlon.homedns.org 1194

# Authentifizierung und Verschlüsselung
ca D:\\Anwendungen\\OpenVPN\\config\\vpn-ca.crt
cert D:\\Anwendungen\\OpenVPN\\config\\clientcert.crt
key D:\\Anwendungen\\OpenVPN\\config\\clientkey.key
auth SHA1
cipher AES-256-CBC

# Sonstiges, zum debuggen kann es sinnvoll sein verb und mute zu erhoehen um Fehlermeldungen zu bekommen
;verb 3
;mute 8

und jetzt mein problem openvpn.log:

Tue Mar 20 21:36:08 2007 OpenVPN 2.0.9 Win32-MinGW [SSL] [LZO] built on Oct  1 2006
Tue Mar 20 21:36:08 2007 UDPv4 link local (bound): [undef]:1194
Tue Mar 20 21:36:08 2007 UDPv4 link remote: 80.131.32.32:1194
Tue Mar 20 21:36:09 2007 TLS_ERROR: BIO read tls_read_plaintext error: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed
Tue Mar 20 21:36:09 2007 TLS Error: TLS object -> incoming plaintext read error
Tue Mar 20 21:36:09 2007 TLS Error: TLS handshake failed
Tue Mar 20 21:36:09 2007 SIGUSR1[soft,tls-error] received, process restarting
Tue Mar 20 21:36:11 2007 UDPv4 link local (bound): [undef]:1194
Tue Mar 20 21:36:11 2007 UDPv4 link remote: 80.131.32.32:1194
Tue Mar 20 21:36:11 2007 TLS Error: Unroutable control packet received from 80.131.32.32:1194 (si=3 op=P_CONTROL_V1)
Tue Mar 20 21:36:11 2007 TLS Error: Unroutable control packet received from 80.131.32.32:1194 (si=3 op=P_CONTROL_V1)
Tue Mar 20 21:36:11 2007 TLS Error: Unroutable control packet received from 80.131.32.32:1194 (si=3 op=P_CONTROL_V1)
Tue Mar 20 21:36:11 2007 TLS Error: Unroutable control packet received from 80.131.32.32:1194 (si=3 op=P_CONTROL_V1)
Tue Mar 20 21:36:11 2007 TLS_ERROR: BIO read tls_read_plaintext error: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed
Tue Mar 20 21:36:11 2007 TLS Error: TLS object -> incoming plaintext read error
Tue Mar 20 21:36:11 2007 TLS Error: TLS handshake failed
Tue Mar 20 21:36:11 2007 SIGUSR1[soft,tls-error] received, process restarting
Tue Mar 20 21:36:13 2007 UDPv4 link local (bound): [undef]:1194
Tue Mar 20 21:36:13 2007 UDPv4 link remote: 80.131.32.32:1194
Tue Mar 20 21:36:14 2007 TLS Error: Unroutable control packet received from 80.131.32.32:1194 (si=3 op=P_CONTROL_V1)
Tue Mar 20 21:36:14 2007 TLS Error: Unroutable control packet received from 80.131.32.32:1194 (si=3 op=P_CONTROL_V1)
Tue Mar 20 21:36:14 2007 TLS Error: Unroutable control packet received from 80.131.32.32:1194 (si=3 op=P_CONTROL_V1)
Tue Mar 20 21:36:14 2007 TLS Error: Unroutable control packet received from 80.131.32.32:1194 (si=3 op=P_CONTROL_V1)
Tue Mar 20 21:36:15 2007 TLS Error: Unroutable control packet received from 80.131.32.32:1194 (si=3 op=P_CONTROL_V1)
Tue Mar 20 21:36:15 2007 TLS Error: Unroutable control packet received from 80.131.32.32:1194 (si=3 op=P_CONTROL_V1)
Tue Mar 20 21:36:15 2007 TLS Error: Unroutable control packet received from 80.131.32.32:1194 (si=3 op=P_CONTROL_V1)
Tue Mar 20 21:36:15 2007 TLS Error: Unroutable control packet received from 80.131.32.32:1194 (si=3 op=P_CONTROL_V1)
Tue Mar 20 21:36:16 2007 TLS Error: Unroutable control packet received from 80.131.32.32:1194 (si=3 op=P_CONTROL_V1)
Tue Mar 20 21:36:16 2007 TLS Error: Unroutable control packet received from 80.131.32.32:1194 (si=3 op=P_CONTROL_V1)
Tue Mar 20 21:36:16 2007 TLS Error: Unroutable control packet received from 80.131.32.32:1194 (si=3 op=P_CONTROL_V1)
Tue Mar 20 21:36:16 2007 TLS Error: Unroutable control packet received from 80.131.32.32:1194 (si=3 op=P_CONTROL_V1)
Tue Mar 20 21:36:16 2007 TLS Error: Unroutable control packet received from 80.131.32.32:1194 (si=3 op=P_ACK_V1)
Tue Mar 20 21:36:17 2007 TLS Error: Unroutable control packet received from 80.131.32.32:1194 (si=3 op=P_CONTROL_V1)
Tue Mar 20 21:36:17 2007 TLS Error: Unroutable control packet received from 80.131.32.32:1194 (si=3 op=P_CONTROL_V1)
Tue Mar 20 21:36:17 2007 TLS Error: Unroutable control packet received from 80.131.32.32:1194 (si=3 op=P_CONTROL_V1)
Tue Mar 20 21:36:17 2007 TLS Error: Unroutable control packet received from 80.131.32.32:1194 (si=3 op=P_CONTROL_V1)
Tue Mar 20 21:36:18 2007 TLS Error: Unroutable control packet received from 80.131.32.32:1194 (si=3 op=P_CONTROL_V1)
Tue Mar 20 21:36:18 2007 TLS Error: Unroutable control packet received from 80.131.32.32:1194 (si=3 op=P_CONTROL_V1)
Tue Mar 20 21:36:18 2007 TLS Error: Unroutable control packet received from 80.131.32.32:1194 (si=3 op=P_CONTROL_V1)
Tue Mar 20 21:36:18 2007 TLS Error: Unroutable control packet received from 80.131.32.32:1194 (si=3 op=P_CONTROL_V1)
Tue Mar 20 21:36:18 2007 TLS Error: Unroutable control packet received from 80.131.32.32:1194 (si=3 op=P_ACK_V1)
Tue Mar 20 21:36:19 2007 TLS Error: Unroutable control packet received from 80.131.32.32:1194 (si=3 op=P_CONTROL_V1)
Tue Mar 20 21:36:19 2007 TLS Error: Unroutable control packet received from 80.131.32.32:1194 (si=3 op=P_CONTROL_V1)
Tue Mar 20 21:36:19 2007 TLS Error: Unroutable control packet received from 80.131.32.32:1194 (si=3 op=P_CONTROL_V1)
Tue Mar 20 21:36:19 2007 TLS Error: Unroutable control packet received from 80.131.32.32:1194 (si=3 op=P_CONTROL_V1)
Tue Mar 20 21:36:20 2007 TLS Error: Unroutable control packet received from 80.131.32.32:1194 (si=3 op=P_CONTROL_V1)
Tue Mar 20 21:36:20 2007 TLS Error: Unroutable control packet received from 80.131.32.32:1194 (si=3 op=P_CONTROL_V1)
Tue Mar 20 21:36:20 2007 TLS Error: Unroutable control packet received from 80.131.32.32:1194 (si=3 op=P_CONTROL_V1)
Tue Mar 20 21:36:20 2007 TLS Error: Unroutable control packet received from 80.131.32.32:1194 (si=3 op=P_CONTROL_V1)
Tue Mar 20 21:36:21 2007 TLS Error: Unroutable control packet received from 80.131.32.32:1194 (si=3 op=P_CONTROL_V1)
Tue Mar 20 21:36:21 2007 TLS Error: Unroutable control packet received from 80.131.32.32:1194 (si=3 op=P_CONTROL_V1)
Tue Mar 20 21:36:21 2007 TLS Error: Unroutable control packet received from 80.131.32.32:1194 (si=3 op=P_CONTROL_V1)
Tue Mar 20 21:36:21 2007 TLS Error: Unroutable control packet received from 80.131.32.32:1194 (si=3 op=P_CONTROL_V1)
Tue Mar 20 21:36:21 2007 TLS Error: Unroutable control packet received from 80.131.32.32:1194 (si=3 op=P_CONTROL_V1)
Tue Mar 20 21:36:21 2007 TLS Error: Unroutable control packet received from 80.131.32.32:1194 (si=3 op=P_CONTROL_V1)
Tue Mar 20 21:36:21 2007 TLS Error: Unroutable control packet received from 80.131.32.32:1194 (si=3 op=P_CONTROL_V1)
Tue Mar 20 21:36:21 2007 TLS Error: Unroutable control packet received from 80.131.32.32:1194 (si=3 op=P_CONTROL_V1)
Tue Mar 20 21:36:21 2007 SIGTERM[hard,] received, process exiting

meine Frage: warum bekommt der client keine verbindung zum server?

 

[flunki]

Die Zeritifkate werden beim client wohl nicht gefunden . . . . da stand mal irgendwo was von "Certs in Unterverzeichnissen geht nicht (immer)".

Probier doch mal folgendes in der client.ovpn (Dateien ins C root zu legen):

ca C:\\ca.crt
cert C:\\client01.crt
key C:\\client01.key

Da ich es unter .04.21 am Laufen habe:
Falls du openvpn unter 04.29 oder hoeher bzw mit LZO einsetzt wuedre ich mich ueber einen Link zum executable freuen


Gruss Frank

 

[Crevlon]

habs jetzt mal so ausprobiert...leider ohne erfolg. ich bekomme immer noch die gleiche meldung.

vielleicht kannst es ja auch mal mit der neuen firmware 29.4.29 ausprobieren.
mal schauen ob es bei dir klappt.

openvpn findest du im anhang