VPN-Server in Box integrieren

Sidebar Sidebar
Upgrade 3CX to v18 and get it hosted free!
Hallo MaxMuster und jojo-scmitz,

danke, damit läuft der Server erstmal scheinbar wieder, leider muß ich den Client neu ufsetzen, der hat bei einem Stromausfall (kommt hier täglich vor) alle mit wget geladene files verloren und es ist hier schon fas Mitternacht, muß ich also auf Morgen verschieben (wenn ihr noch alle schlaft)

.
 
Hallo MaxMuster und jojo-scmitz,

danke, damit läuft der Server erstmal scheinbar wieder, leider muß ich den Client neu ufsetzen, der hat bei einem Stromausfall (kommt hier täglich vor) alle mit wget geladene files verloren und es ist hier schon fas Mitternacht, muß ich also auf Morgen verschieben (wenn ihr noch alle schlaft)

.
 
Hallo,

habs doch nochmal probiert und läuft scheinbar, zumindest zeigt route auf beiden seiten eiene tun0 an, das sollte woh erstmalreichen.:)

Vielen dank.

Wie kann ich jetzt eigentlich weiter testen, ein Ping auf die virtuelle IP oder was?

.
 
Ja, der Ping auf die Tunnel-Ip der anderen Seite ist das erste. Wenn das geht, kriegr man alles andere in den Griff ;-)
Bei Problemen ist dann fast immer die Routingtabelle von entscheidende Bedeutung.

Jörg
 
Hallo,

irgendwie tuts immer noch nicht, jetzt krieg ich auf dem Client nichtmal mehr das "tun0" beim route Befeh. :(
Der Client gibt bei verbosity=8 immmer folgende schleifen aus:

Code: 
Sun Sep  2 09:10:46 2007 us=860000 I/O WAIT status=0x0020
Sun Sep  2 09:10:46 2007 us=860000 TIMER: coarse timer wakeup 1 seconds
Sun Sep  2 09:10:46 2007 us=860000 ACK reliable_can_send active=1 current=0 : [1] 0
Sun Sep  2 09:10:46 2007 us=860000 ACK reliable_send_timeout 1 [1] 0
Sun Sep  2 09:10:46 2007 us=860000 PO_CTL rwflags=0x0001 ev=4 arg=0x0057f9c8
Sun Sep  2 09:10:46 2007 us=860000 I/O WAIT T?|T?|SR|Sw [1/250025]
Sun Sep  2 09:10:48 2007 us=120000 I/O WAIT status=0x0020
Sun Sep  2 09:10:48 2007 us=120000 TIMER: coarse timer wakeup 1 seconds
Sun Sep  2 09:10:48 2007 us=120000 ACK reliable_can_send active=1 current=1 : [1] 0
Sun Sep  2 09:10:48 2007 us=120000 ACK reliable_send ID 0 (size=4 to=2)
Sun Sep  2 09:10:48 2007 us=120000 ACK reliable_send_timeout 2 [1] 0
Sun Sep  2 09:10:48 2007 us=120000 PO_CTL rwflags=0x0003 ev=4 arg=0x0057f9c8
Sun Sep  2 09:10:48 2007 us=120000 I/O WAIT T?|T?|SR|SW [1/250025]
Sun Sep  2 09:10:48 2007 us=120000 PO_WAIT[0,0] fd=4 rev=0x00000004 rwflags=0x0002 arg=0x0057f9c8
Sun Sep  2 09:10:48 2007 us=120000 I/O WAIT status=0x0002
Sun Sep  2 09:10:48 2007 us=120000 UDPv4 WRITE [42] to 91.21.139.192:1194: P_CONTROL_HARD_RESET_CLIENT_V2 kid=0 pid=[ #5 ] [ ] pid=0 DATA len=0
Sun Sep  2 09:10:48 2007 us=120000 ACK reliable_can_send active=1 current=0 : [1] 0
Sun Sep  2 09:10:48 2007 us=120000 ACK reliable_send_timeout 2 [1] 0
Sun Sep  2 09:10:48 2007 us=120000 PO_CTL rwflags=0x0001 ev=4 arg=0x0057f9c8
Sun Sep  2 09:10:48 2007 us=120000 I/O WAIT T?|T?|SR|Sw [1/250025]

Beim Server seh ich nach:
Code: 
Sun Sep  2 09:20:43 2007 us=693963 MULTI: multi_init called, r=256 v=256
Sun Sep  2 09:20:43 2007 us=696009 IFCONFIG POOL: base=192.168.0.104 size=37
Sun Sep  2 09:20:43 2007 us=698463 Initialization Sequence Completed

garnichts mehr, müste man da bei verbosity=8 nicht auch irgendwas von den requests sehen?
Vielleicht liegt es auch am Portforwarding ich habe es zwar wie bescrieben in der ar7.cfg eingerichtet weis aber nicht ob der "ar7cfgchanged"-Befehl richtig funktioniert hat, dabei bekomme ich dann immer keinen Prompt mehr, kann auch nicht abbrechen und muss danach ne neue Shell aufmachen, ein reset ist mir leider zu gefährlich, da die FB7170 ja 10.000km entfernt unbeaufsichtigt läuft und ich mich im Fehlerfallaussperren würde.
Kann ich irgendwie den status des Portfowardings konntrollietren?
Hilft vielleicht noch ein höherer verbosity-Level?
Was kann ich sonst nochtun?
Wie müssen eigentlich die IP-Adressen verteilt sein, muß das VPN-Gateway und die IP des Externen Netzes z.B innerhalb oder außerhalb des lokalen Netzes liegen und was muß ich bei den Masken beachten?

.
 
Zuletzt bearbeitet:
Wenn Du die ar7.cfg geändert hast, werden die Änderungen spätestens beim nächsten Neustart (=Stromausfall) aktiv, auch wenn im Zweifelsfall "ar7cfgchanged" nicht funktioniert hat.

Außerdem wundert mich, wenn Du schreibst, dass eine der Boxen "bei einem Stromausfall ... alle mit wget geladene files verloren" hat. Wenn die wget Kommandos in der debug.cfg stehen, wie das üblich ist, werden die Dateien bei einem Neustart ebenfalls wieder geladen.

Daher stellt sich die Frage, wie Du das tun Interface erstellt hast (mknod ...). Wenn das Kommando nicht in der debug.cfg steht, ist das nach einem Neustart ebenfalls wieder weg. Möglicherweise ist das eine Ursache für Deine Probleme. Das selbe gilt natürlich für die openvpn.conf. Wenn Du die nur lokal mit vi geändert hattest, musst Du die Änderungen in die debug.cfg einarbeiten, damit die auch nach einem Neustart noch (wieder) da sind.

EDIT:
Ich hab gerade noch mal nachgelesen und gesehen, dass Du eine Labor Firmware verwendest. Da sieht es natürlich ein wenig anders aus. Allerdings ist mir nicht ganz klar, welche Dateien Du mit wget lädst. Vielleicht beschreibst Du Dein dezeitiges setup noch einmal.
Ich persönlich habe eine Box mit ds-mod und drei weitere, die openvpn (und anderes) mit wget nachladen miteinander verbunden. Das klappt sehr gut. Da ist sogar (noch) eine Box mir 24-er Kernel dabei.
 
Zuletzt bearbeitet:
Hallo maceis,

die Änderung in der ar7.cfg ist leider in Deutschland, also ca.10.000km von hier, deshalb kann ich da auf die schnelle keinen Stromausfall inizieren und vor eienm Reboot habe ich auch Schiss wei ich wenn etwas schief geht danach nichtmal mehr mein e-Mail-Server und mein Forum zu erreichen sind.
Hier bin ich ja erst am experimentieren und habe deshalb noch nichts in der debug.cfg stehen, später muß es da natürlich rein. vor dem Stromausfall katte ich alle wget's und den mknod von Hand eingegeben, danach habe ich ein vpnstart.sh-Script geschrieben dieses aber noch nicht in die debug.cfg eingehängt, nebenbei hatte ich bisher noch nie was in der debug.cfg, sodas ich mir dieses Problem bis zum schluß aufgehoben habe. ;)

.
 
Gut, das kann ich alles nachvollziehen.

Du kannst natürlich alle notwendigen Kommandos auch in ein eigenes Skript in /var/flash schreiben, das Du dann ggf. "von Hand" startest.
Musst halt dann auch bei Problemen immer prüfen, ob alles so ist, wie es sein soll, also ob z.B. /var/tmp/tun vorhanden ist etc.

Ich würde in Deinem Fall auf jeden Fall darauf achten, dass Dein eigenes Skript so aufgebaut ist, dass Du es später unverändert in "debug.cfg" umbenennen kannt.

Bleibt die Frage Deiner derzeitigen Konfiguration und nach dem Grund für Dein aktuelles Problem. Hast Du die Labor Version (mit der hab' ich keine Erfahrung) auf allen beteiligten Boxen laufen? Welche Dateien musst Du dann noch mit wget laden?
 
Also ich bin etwas ratlos, wie jetzt der aktuelle Stand ist. Könntest du bitte mal die "aktuellen" Configs mit reinstellen? Und dann ist vor allem die Ausgabe beim Starten wichtig.
Was sagt ein "ifconfig -a"? Siehst du da den Tunnel?

Ich würde dir für die "ds-mod-Box" im übrigen das Openvpn des ds-mod ans Herz legen, dann hast du auch alle Einstellungen, Keys usw. "restefest" in der Box.
Welches tun-Interace nutzt du denn beim Client? die 2.4-er Kernel hatten doch m.W. nach immer ein Interface "dabei"?

Jörg
 
Hallo maceis,

nein, für die FB7050 gibt es keine Laborversion und das VPN der Laborversion der FB7170 ist inkompatibel mit openvpn oder sonstwas was auf der FB7050 läuft, also lasse ich die VPN-Routienen der Laborversion (die nunmal drauf ist) brach liegen und lade auch hier ein openvpn, allerdings nicht über wget sondern über FTP auf einen USB-Stick.
Ich wollte mein eigenes Script voll lauffähig kriegen und auf den Server legen und zum Schluß nur dieses mit ner wget-Zeile in der debug.cfg holen ausführbar machen und starten, das ganze muß spätestens nächsten Samstag Morgen so Narrensicher laufen, das man nurnoch den Stecker reinstecken Braucht und dann alles wieder von alleine hochfärt, sonst kann das hier keiner bedienen.
Eine Besonderhiet die mir gerade noch einfällt: die FB7050 mit dem openvpn-Client ist nur als IP-Client konfiguriert und läuft hiter nem Zyxel-Router und ner 2. NAT-Ebene beim DSL-Provider.

.
 
Hallo MaxMuster,

Server-Start:
Code: 
/var/media/ftp/USBDISK-Partition-0-1/openvpn7170 --config /var/media/ftp/USBDISK-Partition-0-1/openvpn.cfg --dev-node /var/tmp/tun &
Server-Netz:
ip-Adresse: 192.168.0.254
Net-Maske: 255.255.254.0

Server-Konfig:
Code: 
# OpenVPN 2.1 Config
proto udp
port 1194
dev tun
ca /var/tmp/ca.crt
cert /var/tmp/client.crt
key /var/tmp/client.key
mode server
tls-server
dh /var/tmp/dh1024.pem
tls-auth /var/tmp/client.key
ifconfig-pool 192.168.0.104 192.168.0.251
ifconfig 192.168.0.101 192.168.0.102
route 192.168.200.0 255.255.255.0
push "route 192.168.0.0 255.255.255.0"
push "route 192.168.178.0 255.255.255.0"
max-clients 5
tun-mtu 1500
mssfix

#daemon
verb 8

cipher AES-256-CBC
route 192.168.123.0 255.255.255.0
comp-lzo
keepalive 10 120
status /var/log/openvpn.log

Server-Startlog:
Code: 
Sun Sep  2 09:20:43 2007 us=108294 OpenVPN 2.1_rc2 mipsel-linux [SSL] [LZO2] [EPOLL] built on Jul  9 2007
# Sun Sep  2 09:20:43 2007 us=386279 Diffie-Hellman initialized with 1024 bit key
Sun Sep  2 09:20:43 2007 us=394809 WARNING: file '/var/tmp/client.key' is group or others accessible
Sun Sep  2 09:20:43 2007 us=409624 WARNING: file '/var/tmp/client.key' is group or others accessible
Sun Sep  2 09:20:43 2007 us=412062 Control Channel Authentication: using '/var/tmp/client.key' as a free-form passphrase file
Sun Sep  2 09:20:43 2007 us=414286 Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Sun Sep  2 09:20:43 2007 us=416043 Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Sun Sep  2 09:20:43 2007 us=418320 TLS-Auth MTU parms [ L:1558 D:166 EF:66 EB:0 ET:0 EL:0 ]
Sun Sep  2 09:20:43 2007 us=435922 TUN/TAP device tun0 opened
Sun Sep  2 09:20:43 2007 us=438134 TUN/TAP TX queue length set to 100
Sun Sep  2 09:20:43 2007 us=440017 /sbin/ifconfig tun0 192.168.0.101 pointopoint 192.168.0.102 mtu 1500
Sun Sep  2 09:20:43 2007 us=557297 /sbin/route add -net 192.168.200.0 netmask 255.255.255.0 gw 192.168.0.102
Sun Sep  2 09:20:43 2007 us=616137 /sbin/route add -net 192.168.123.0 netmask 255.255.255.0 gw 192.168.0.102
Sun Sep  2 09:20:43 2007 us=684248 Data Channel MTU parms [ L:1558 D:1450 EF:58 EB:135 ET:0 EL:0 AF:3/1 ]
Sun Sep  2 09:20:43 2007 us=686606 Socket Buffers: R=[110592->131072] S=[110592->131072]
Sun Sep  2 09:20:43 2007 us=688801 UDPv4 link local (bound): [undef]:1194
Sun Sep  2 09:20:43 2007 us=690044 UDPv4 link remote: [undef]
Sun Sep  2 09:20:43 2007 us=693963 MULTI: multi_init called, r=256 v=256
Sun Sep  2 09:20:43 2007 us=696009 IFCONFIG POOL: base=192.168.0.104 size=37
Sun Sep  2 09:20:43 2007 us=698463 Initialization Sequence Completed


Client-start:
Code: 
mknod /var/tmp/tun c 10 200
wget -O /var/openvpn [url]ftp://ftpuser:[email protected]/USBDISK-Partition-0-1/openvpn[/url]
wget -O /var/openvpnc.cfg [url]ftp://ftpuser:[email protected]/USBDISK-Partition-0-1/openvpnc.cfg[/url]
wget -O /var/mod/root/openvpnstart.sh [url]ftp://ftpuser:[email protected]/USBDISK-Partition-0-1/openvpnstart.sh[/url]
wget -O /var/tmp/ca.crt [url]ftp://ftpuser:[email protected]/USBDISK-Partition-0-1/ca.crt[/url]
wget -O /var/tmp/ca.key [url]ftp://ftpuser:[email protected]/USBDISK-Partition-0-1/ca.key[/url]
wget -O /var/tmp/client.key [url]ftp://ftpuser:[email protected]/USBDISK-Partition-0-1/client.key[/url]
chmod 755 /var/mod/root/openvpnstart.sh
chmod 755 /var/openvpn

Client-Netz:
IP-Adresse: 192.168.1.254
IP-Zyxel-router: 192.168.1.1
Net-Maske: 255.255.254.0

Client-config:
Code: 
# OpenVPN 2.1 Config
proto udp
port 1194
dev tun
ca /var/tmp/ca.crt
cert /var/tmp/ca.crt
key /var/tmp/ca.key
tls-client
ns-cert-type server
tls-auth /var/tmp/client.key
pull
remote wirtz.homedns.org
nobind
#ifconfig 192.168.200.2 192.168.200.1
tun-mtu 1500
mssfix

#daemon
verb 8

cipher AES-256-CBC
route 192.168.178.0 255.255.255.0
comp-lzo
keepalive 10 120
resolv-retry infinite
status /var/log/openvpn.log

Client-log:
Code: 
.........(passt leider nicht alles in den Buffer von Putty)...........
Sun Sep  2 09:10:32 2007 us=490000   remote_cert_ku[i] = 0
Sun Sep  2 09:10:32 2007 us=510000   remote_cert_ku[i] = 0
Sun Sep  2 09:10:32 2007 us=510000   remote_cert_ku[i] = 0
Sun Sep  2 09:10:32 2007 us=520000   remote_cert_ku[i] = 0
Sun Sep  2 09:10:32 2007 us=520000   remote_cert_ku[i] = 0
Sun Sep  2 09:10:32 2007 us=520000   remote_cert_ku[i] = 0
Sun Sep  2 09:10:32 2007 us=520000   remote_cert_ku[i] = 0
Sun Sep  2 09:10:32 2007 us=520000   remote_cert_ku[i] = 0
Sun Sep  2 09:10:32 2007 us=520000   remote_cert_ku[i] = 0
Sun Sep  2 09:10:32 2007 us=520000   remote_cert_ku[i] = 0
Sun Sep  2 09:10:32 2007 us=520000   remote_cert_ku[i] = 0
Sun Sep  2 09:10:32 2007 us=520000   remote_cert_ku[i] = 0
Sun Sep  2 09:10:32 2007 us=520000   remote_cert_ku[i] = 0
Sun Sep  2 09:10:32 2007 us=520000   remote_cert_ku[i] = 0
Sun Sep  2 09:10:32 2007 us=520000   remote_cert_eku = '[UNDEF]'
Sun Sep  2 09:10:32 2007 us=520000   tls_timeout = 2
Sun Sep  2 09:10:32 2007 us=520000   renegotiate_bytes = 0
Sun Sep  2 09:10:32 2007 us=520000   renegotiate_packets = 0
Sun Sep  2 09:10:32 2007 us=520000   renegotiate_seconds = 3600
Sun Sep  2 09:10:32 2007 us=520000   handshake_window = 60
Sun Sep  2 09:10:32 2007 us=520000   transition_window = 3600
Sun Sep  2 09:10:32 2007 us=530000   single_session = DISABLED
Sun Sep  2 09:10:32 2007 us=530000   tls_exit = DISABLED
Sun Sep  2 09:10:32 2007 us=530000   tls_auth_file = '/var/tmp/client.key'
Sun Sep  2 09:10:32 2007 us=530000   pkcs11_slot_type = '[UNDEF]'
Sun Sep  2 09:10:32 2007 us=530000   pkcs11_slot = '[UNDEF]'
Sun Sep  2 09:10:32 2007 us=530000   pkcs11_id_type = '[UNDEF]'
Sun Sep  2 09:10:32 2007 us=530000   pkcs11_id = '[UNDEF]'
Sun Sep  2 09:10:32 2007 us=530000   pkcs11_pin_cache_period = -1
Sun Sep  2 09:10:32 2007 us=530000   pkcs11_protected_authentication = DISABLED
Sun Sep  2 09:10:32 2007 us=530000   pkcs11_cert_private = DISABLED
Sun Sep  2 09:10:32 2007 us=530000   server_network = 0.0.0.0
Sun Sep  2 09:10:32 2007 us=530000   server_netmask = 0.0.0.0
Sun Sep  2 09:10:32 2007 us=530000   server_bridge_ip = 0.0.0.0
Sun Sep  2 09:10:32 2007 us=530000   server_bridge_netmask = 0.0.0.0
Sun Sep  2 09:10:32 2007 us=530000   server_bridge_pool_start = 0.0.0.0
Sun Sep  2 09:10:32 2007 us=530000   server_bridge_pool_end = 0.0.0.0
Sun Sep  2 09:10:32 2007 us=530000   ifconfig_pool_defined = DISABLED
Sun Sep  2 09:10:32 2007 us=530000   ifconfig_pool_start = 0.0.0.0
Sun Sep  2 09:10:32 2007 us=530000   ifconfig_pool_end = 0.0.0.0
Sun Sep  2 09:10:32 2007 us=540000   ifconfig_pool_netmask = 0.0.0.0
Sun Sep  2 09:10:32 2007 us=540000   ifconfig_pool_persist_filename = '[UNDEF]'
Sun Sep  2 09:10:32 2007 us=540000   ifconfig_pool_persist_refresh_freq = 600
Sun Sep  2 09:10:32 2007 us=540000   n_bcast_buf = 256
Sun Sep  2 09:10:32 2007 us=540000   tcp_queue_limit = 64
Sun Sep  2 09:10:32 2007 us=540000   real_hash_size = 256
Sun Sep  2 09:10:32 2007 us=540000   virtual_hash_size = 256
Sun Sep  2 09:10:32 2007 us=540000   client_connect_script = '[UNDEF]'
Sun Sep  2 09:10:32 2007 us=540000   learn_address_script = '[UNDEF]'
Sun Sep  2 09:10:32 2007 us=540000   client_disconnect_script = '[UNDEF]'
Sun Sep  2 09:10:32 2007 us=540000   client_config_dir = '[UNDEF]'
Sun Sep  2 09:10:32 2007 us=540000   ccd_exclusive = DISABLED
Sun Sep  2 09:10:32 2007 us=540000   tmp_dir = '[UNDEF]'
Sun Sep  2 09:10:32 2007 us=540000   push_ifconfig_defined = DISABLED
Sun Sep  2 09:10:32 2007 us=540000   push_ifconfig_local = 0.0.0.0
Sun Sep  2 09:10:32 2007 us=540000   push_ifconfig_remote_netmask = 0.0.0.0
Sun Sep  2 09:10:32 2007 us=540000   enable_c2c = DISABLED
Sun Sep  2 09:10:32 2007 us=540000   duplicate_cn = DISABLED
Sun Sep  2 09:10:32 2007 us=540000   cf_max = 0
Sun Sep  2 09:10:32 2007 us=540000   cf_per = 0
Sun Sep  2 09:10:32 2007 us=540000   max_clients = 1024
Sun Sep  2 09:10:32 2007 us=550000   max_routes_per_client = 256
Sun Sep  2 09:10:32 2007 us=550000   client_cert_not_required = DISABLED
Sun Sep  2 09:10:32 2007 us=550000   username_as_common_name = DISABLED
Sun Sep  2 09:10:32 2007 us=550000   auth_user_pass_verify_script = '[UNDEF]'
Sun Sep  2 09:10:32 2007 us=550000   auth_user_pass_verify_script_via_file = DISABLED
Sun Sep  2 09:10:32 2007 us=560000   client = DISABLED
Sun Sep  2 09:10:32 2007 us=570000   pull = ENABLED
Sun Sep  2 09:10:32 2007 us=570000   auth_user_pass_file = '[UNDEF]'
Sun Sep  2 09:10:32 2007 us=580000 OpenVPN 2.1_beta8 mipsel-linux [SSL] [LZO2] built on Feb 11 2006
Sun Sep  2 09:10:32 2007 us=580000 PO_INIT maxevents=4 flags=0x00000002
Sun Sep  2 09:10:32 2007 us=600000 WARNING: file '/var/tmp/ca.key' is group or others accessible
Sun Sep  2 09:10:32 2007 us=630000 WARNING: file '/var/tmp/client.key' is group or others accessible
Sun Sep  2 09:10:32 2007 us=630000 Control Channel Authentication: using '/var/tmp/client.key' as a free-form passphrase file
Sun Sep  2 09:10:32 2007 us=640000 Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Sun Sep  2 09:10:32 2007 us=640000 Outgoing Control Channel Authentication: HMAC KEY: 94e4d1b7 fd5949d5 4ec5d7db 33967a47 bbccc087
Sun Sep  2 09:10:32 2007 us=650000 Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Sun Sep  2 09:10:32 2007 us=650000 Incoming Control Channel Authentication: HMAC KEY: 94e4d1b7 fd5949d5 4ec5d7db 33967a47 bbccc087
Sun Sep  2 09:10:32 2007 us=650000 LZO compression initialized
Sun Sep  2 09:10:32 2007 us=650000 MTU DYNAMIC mtu=0, flags=1, 0 -> 166
Sun Sep  2 09:10:32 2007 us=650000 PID packet_id_init seq_backtrack=64 time_backtrack=15
Sun Sep  2 09:10:32 2007 us=650000 PID packet_id_init seq_backtrack=64 time_backtrack=15
Sun Sep  2 09:10:32 2007 us=650000 PID packet_id_init seq_backtrack=64 time_backtrack=15
Sun Sep  2 09:10:32 2007 us=660000 PID packet_id_init seq_backtrack=64 time_backtrack=15
Sun Sep  2 09:10:32 2007 us=660000 Control Channel MTU parms [ L:1558 D:166 EF:66 EB:0 ET:0 EL:0 ]
Sun Sep  2 09:10:32 2007 us=660000 MTU DYNAMIC mtu=1450, flags=2, 1558 -> 1450
Sun Sep  2 09:10:32 2007 us=660000 REMOTE_LIST len=1 current=0
Sun Sep  2 09:10:32 2007 us=660000 [0] wirtz.homedns.org:1194
Sun Sep  2 09:10:39 2007 us=200000 RESOLVE_REMOTE flags=0x0001 phase=1 rrs=0 sig=-1 status=1
Sun Sep  2 09:10:39 2007 us=200000 Data Channel MTU parms [ L:1558 D:1450 EF:58 EB:135 ET:0 EL:0 AF:3/1 ]
Sun Sep  2 09:10:39 2007 us=210000 Local Options String: 'V4,dev-type tun,link-mtu 1558,tun-mtu 1500,proto UDPv4,comp-lzo,cipher AES-256-CBC,auth SHA1,keysize 256,tls-auth,key-method 2,tls-client'
Sun Sep  2 09:10:39 2007 us=210000 Expected Remote Options String: 'V4,dev-type tun,link-mtu 1558,tun-mtu 1500,proto UDPv4,comp-lzo,cipher AES-256-CBC,auth SHA1,keysize 256,tls-auth,key-method 2,tls-server'
Sun Sep  2 09:10:39 2007 us=210000 Local Options hash (VER=V4): '5b243d85'
Sun Sep  2 09:10:39 2007 us=210000 Expected Remote Options hash (VER=V4): '0b024030'
Sun Sep  2 09:10:39 2007 us=210000 Socket Buffers: R=[65535->131070] S=[65535->131070]
Sun Sep  2 09:10:39 2007 us=210000 UDPv4 link local: [undef]
Sun Sep  2 09:10:39 2007 us=210000 UDPv4 link remote: 91.21.139.192:1194
Sun Sep  2 09:10:39 2007 us=210000 SENT PING
Sun Sep  2 09:10:39 2007 us=210000 TIMER: coarse timer wakeup 1 seconds
Sun Sep  2 09:10:39 2007 us=210000 ACK mark active outgoing ID 0
Sun Sep  2 09:10:39 2007 us=210000 ACK reliable_can_send active=1 current=1 : [1] 0
Sun Sep  2 09:10:39 2007 us=210000 ACK reliable_send ID 0 (size=4 to=2)
Sun Sep  2 09:10:39 2007 us=220000 ACK reliable_send_timeout 2 [1] 0
Sun Sep  2 09:10:39 2007 us=220000 RANDOM USEC=250025
Sun Sep  2 09:10:39 2007 us=220000 PO_CTL rwflags=0x0003 ev=4 arg=0x0057f9c8
Sun Sep  2 09:10:39 2007 us=220000 I/O WAIT T?|T?|SR|SW [1/250025]
Sun Sep  2 09:10:39 2007 us=220000 PO_WAIT[0,0] fd=4 rev=0x00000004 rwflags=0x0002 arg=0x0057f9c8
Sun Sep  2 09:10:39 2007 us=230000 I/O WAIT status=0x0002
Sun Sep  2 09:10:39 2007 us=230000 UDPv4 WRITE [42] to 91.21.139.192:1194: P_CONTROL_HARD_RESET_CLIENT_V2 kid=0 pid=[ #1 ] [ ] pid=0 DATA len=0
Sun Sep  2 09:10:39 2007 us=230000 ACK reliable_can_send active=1 current=0 : [1] 0
Sun Sep  2 09:10:39 2007 us=230000 SSL state (connect): before/connect initialization
Sun Sep  2 09:10:39 2007 us=230000 SSL state (connect): SSLv3 write client hello A
Sun Sep  2 09:10:39 2007 us=230000 ACK reliable_send_timeout 2 [1] 0
Sun Sep  2 09:10:39 2007 us=230000 PO_CTL rwflags=0x0001 ev=4 arg=0x0057f9c8
Sun Sep  2 09:10:39 2007 us=240000 I/O WAIT T?|T?|SR|Sw [1/250025]
Sun Sep  2 09:10:40 2007 us=500000 I/O WAIT status=0x0020
Sun Sep  2 09:10:40 2007 us=500000 TIMER: coarse timer wakeup 1 seconds
Sun Sep  2 09:10:40 2007 us=500000 ACK reliable_can_send active=1 current=0 : [1] 0
Sun Sep  2 09:10:40 2007 us=510000 ACK reliable_send_timeout 1 [1] 0
Sun Sep  2 09:10:40 2007 us=510000 PO_CTL rwflags=0x0001 ev=4 arg=0x0057f9c8
Sun Sep  2 09:10:40 2007 us=520000 I/O WAIT T?|T?|SR|Sw [1/250025]
Sun Sep  2 09:10:41 2007 us=780000 I/O WAIT status=0x0020
Sun Sep  2 09:10:41 2007 us=780000 TIMER: coarse timer wakeup 1 seconds
Sun Sep  2 09:10:41 2007 us=780000 ACK reliable_can_send active=1 current=1 : [1] 0
Sun Sep  2 09:10:41 2007 us=790000 ACK reliable_send ID 0 (size=4 to=2)
Sun Sep  2 09:10:41 2007 us=790000 ACK reliable_send_timeout 2 [1] 0
Sun Sep  2 09:10:41 2007 us=800000 PO_CTL rwflags=0x0003 ev=4 arg=0x0057f9c8
Sun Sep  2 09:10:41 2007 us=800000 I/O WAIT T?|T?|SR|SW [1/250025]
Sun Sep  2 09:10:41 2007 us=810000 PO_WAIT[0,0] fd=4 rev=0x00000004 rwflags=0x0002 arg=0x0057f9c8
Sun Sep  2 09:10:41 2007 us=810000 I/O WAIT status=0x0002
Sun Sep  2 09:10:41 2007 us=820000 UDPv4 WRITE [42] to 91.21.139.192:1194: P_CONTROL_HARD_RESET_CLIENT_V2 kid=0 pid=[ #2 ] [ ] pid=0 DATA len=0
Sun Sep  2 09:10:41 2007 us=820000 ACK reliable_can_send active=1 current=0 : [1] 0
Sun Sep  2 09:10:41 2007 us=820000 ACK reliable_send_timeout 2 [1] 0
Sun Sep  2 09:10:41 2007 us=820000 PO_CTL rwflags=0x0001 ev=4 arg=0x0057f9c8
Sun Sep  2 09:10:41 2007 us=820000 I/O WAIT T?|T?|SR|Sw [1/250025]
Sun Sep  2 09:10:43 2007 us=80000 I/O WAIT status=0x0020
Sun Sep  2 09:10:43 2007 us=80000 TIMER: coarse timer wakeup 1 seconds
Sun Sep  2 09:10:43 2007 us=80000 ACK reliable_can_send active=1 current=1 : [1] 0
Sun Sep  2 09:10:43 2007 us=80000 ACK reliable_send ID 0 (size=4 to=2)
Sun Sep  2 09:10:43 2007 us=80000 ACK reliable_send_timeout 2 [1] 0
Sun Sep  2 09:10:43 2007 us=80000 PO_CTL rwflags=0x0003 ev=4 arg=0x0057f9c8
Sun Sep  2 09:10:43 2007 us=80000 I/O WAIT T?|T?|SR|SW [1/250025]
Sun Sep  2 09:10:43 2007 us=80000 PO_WAIT[0,0] fd=4 rev=0x00000004 rwflags=0x0002 arg=0x0057f9c8
Sun Sep  2 09:10:43 2007 us=80000 I/O WAIT status=0x0002
Sun Sep  2 09:10:43 2007 us=80000 UDPv4 WRITE [42] to 91.21.139.192:1194: P_CONTROL_HARD_RESET_CLIENT_V2 kid=0 pid=[ #3 ] [ ] pid=0 DATA len=0
Sun Sep  2 09:10:43 2007 us=80000 ACK reliable_can_send active=1 current=0 : [1] 0
Sun Sep  2 09:10:43 2007 us=80000 ACK reliable_send_timeout 2 [1] 0
Sun Sep  2 09:10:43 2007 us=80000 PO_CTL rwflags=0x0001 ev=4 arg=0x0057f9c8
Sun Sep  2 09:10:43 2007 us=80000 I/O WAIT T?|T?|SR|Sw [1/250025]
Sun Sep  2 09:10:44 2007 us=340000 I/O WAIT status=0x0020
Sun Sep  2 09:10:44 2007 us=340000 TIMER: coarse timer wakeup 1 seconds
Sun Sep  2 09:10:44 2007 us=340000 ACK reliable_can_send active=1 current=0 : [1] 0
Sun Sep  2 09:10:44 2007 us=340000 ACK reliable_send_timeout 1 [1] 0
Sun Sep  2 09:10:44 2007 us=340000 PO_CTL rwflags=0x0001 ev=4 arg=0x0057f9c8
Sun Sep  2 09:10:44 2007 us=340000 I/O WAIT T?|T?|SR|Sw [1/250025]
Sun Sep  2 09:10:45 2007 us=600000 I/O WAIT status=0x0020
Sun Sep  2 09:10:45 2007 us=600000 TIMER: coarse timer wakeup 1 seconds
Sun Sep  2 09:10:45 2007 us=600000 ACK reliable_can_send active=1 current=1 : [1] 0
Sun Sep  2 09:10:45 2007 us=600000 ACK reliable_send ID 0 (size=4 to=2)
Sun Sep  2 09:10:45 2007 us=600000 ACK reliable_send_timeout 2 [1] 0
Sun Sep  2 09:10:45 2007 us=600000 PO_CTL rwflags=0x0003 ev=4 arg=0x0057f9c8
Sun Sep  2 09:10:45 2007 us=600000 I/O WAIT T?|T?|SR|SW [1/250025]
Sun Sep  2 09:10:45 2007 us=600000 PO_WAIT[0,0] fd=4 rev=0x00000004 rwflags=0x0002 arg=0x0057f9c8
Sun Sep  2 09:10:45 2007 us=600000 I/O WAIT status=0x0002
Sun Sep  2 09:10:45 2007 us=600000 UDPv4 WRITE [42] to 91.21.139.192:1194: P_CONTROL_HARD_RESET_CLIENT_V2 kid=0 pid=[ #4 ] [ ] pid=0 DATA len=0
Sun Sep  2 09:10:45 2007 us=600000 ACK reliable_can_send active=1 current=0 : [1] 0
Sun Sep  2 09:10:45 2007 us=600000 ACK reliable_send_timeout 2 [1] 0
Sun Sep  2 09:10:45 2007 us=600000 PO_CTL rwflags=0x0001 ev=4 arg=0x0057f9c8
Sun Sep  2 09:10:45 2007 us=600000 I/O WAIT T?|T?|SR|Sw [1/250025]
Sun Sep  2 09:10:46 2007 us=860000 I/O WAIT status=0x0020
Sun Sep  2 09:10:46 2007 us=860000 TIMER: coarse timer wakeup 1 seconds
Sun Sep  2 09:10:46 2007 us=860000 ACK reliable_can_send active=1 current=0 : [1] 0
Sun Sep  2 09:10:46 2007 us=860000 ACK reliable_send_timeout 1 [1] 0
Sun Sep  2 09:10:46 2007 us=860000 PO_CTL rwflags=0x0001 ev=4 arg=0x0057f9c8
Sun Sep  2 09:10:46 2007 us=860000 I/O WAIT T?|T?|SR|Sw [1/250025]
Sun Sep  2 09:10:48 2007 us=120000 I/O WAIT status=0x0020
Sun Sep  2 09:10:48 2007 us=120000 TIMER: coarse timer wakeup 1 seconds
Sun Sep  2 09:10:48 2007 us=120000 ACK reliable_can_send active=1 current=1 : [1] 0
Sun Sep  2 09:10:48 2007 us=120000 ACK reliable_send ID 0 (size=4 to=2)
Sun Sep  2 09:10:48 2007 us=120000 ACK reliable_send_timeout 2 [1] 0
Sun Sep  2 09:10:48 2007 us=120000 PO_CTL rwflags=0x0003 ev=4 arg=0x0057f9c8
Sun Sep  2 09:10:48 2007 us=120000 I/O WAIT T?|T?|SR|SW [1/250025]
Sun Sep  2 09:10:48 2007 us=120000 PO_WAIT[0,0] fd=4 rev=0x00000004 rwflags=0x0002 arg=0x0057f9c8
Sun Sep  2 09:10:48 2007 us=120000 I/O WAIT status=0x0002
Sun Sep  2 09:10:48 2007 us=120000 UDPv4 WRITE [42] to 91.21.139.192:1194: P_CONTROL_HARD_RESET_CLIENT_V2 kid=0 pid=[ #5 ] [ ] pid=0 DATA len=0
Sun Sep  2 09:10:48 2007 us=120000 ACK reliable_can_send active=1 current=0 : [1] 0
Sun Sep  2 09:10:48 2007 us=120000 ACK reliable_send_timeout 2 [1] 0
Sun Sep  2 09:10:48 2007 us=120000 PO_CTL rwflags=0x0001 ev=4 arg=0x0057f9c8
Sun Sep  2 09:10:48 2007 us=120000 I/O WAIT T?|T?|SR|Sw [1/250025]

/var/mod/root # killall openvpnSun Sep  2 09:10:49 2007 us=390000 I/O WAIT status=0x0020
Sun Sep  2 09:10:49 2007 us=390000 TIMER: coarse timer wakeup 1 seconds
Sun Sep  2 09:10:49 2007 us=390000 ACK reliable_can_send active=1 current=0 : [1] 0
Sun Sep  2 09:10:49 2007 us=390000 ACK reliable_send_timeout 1 [1] 0
Sun Sep  2 09:10:49 2007 us=390000 RANDOM USEC=80127
Sun Sep  2 09:10:49 2007 us=390000 PO_CTL rwflags=0x0001 ev=4 arg=0x0057f9c8
Sun Sep  2 09:10:49 2007 us=390000 I/O WAIT T?|T?|SR|Sw [1/80127]
Sun Sep  2 09:10:49 2007 us=680000 event_wait : Interrupted system call (code=4)
Sun Sep  2 09:10:49 2007 us=680000 I/O WAIT status=0x0010
Sun Sep  2 09:10:49 2007 us=680000 PID packet_id_free
Sun Sep  2 09:10:49 2007 us=680000 PID packet_id_free
Sun Sep  2 09:10:49 2007 us=680000 PID packet_id_free
Sun Sep  2 09:10:49 2007 us=680000 PID packet_id_free
Sun Sep  2 09:10:49 2007 us=680000 PID packet_id_free
Sun Sep  2 09:10:49 2007 us=680000 PID packet_id_free
Sun Sep  2 09:10:49 2007 us=680000 PID packet_id_free
Sun Sep  2 09:10:49 2007 us=680000 PID packet_id_free
Sun Sep  2 09:10:49 2007 us=690000 TCP/UDP: Closing socket
Sun Sep  2 09:10:49 2007 us=690000 PID packet_id_free
Sun Sep  2 09:10:49 2007 us=690000 SIGTERM[hard,] received, process exiting

P.S.: Die (neuen) Keys sollen später natürlich ins Flash

.
 
Zuletzt bearbeitet:
chriwi schrieb:
...
Ich wollte mein eigenes Script voll lauffähig kriegen und auf den Server legen und zum Schluß nur dieses mit ner wget-Zeile in der debug.cfg holen
...
Zum Vergrößern anklicken....
Auah! Die ganzen geheimen Schlüssel über eine unsichere Netzwerkverbindung holen? Womöglich über's Internet?
Würde ich persönlich nicht machen, zumal ich den Vorteil gegenüber einer vollständigen debug.cfg Lösung nicht so recht sehe. Aber das nur am Rande.
chriwi schrieb:
...
so Narrensicher laufen, das man nurnoch den Stecker reinstecken Braucht und dann alles wieder von alleine hochfärt, sonst kann das hier keiner bedienen.
...
Zum Vergrößern anklicken....
Ein weiterer Grund für einen reine debug.cfg Lösung.
Was passiert denn sonst, wenn der Server ausfällt, auf dem das Skript läuft, die IP Adresse sich ändert oder der Zugriff aus einem anderen Grund nicht möglich ist.

chriwi schrieb:
...
Eine Besonderhiet die mir gerade noch einfällt: die FB7050 mit dem openvpn-Client ist nur als IP-Client konfiguriert und läuft hiter nem Zyxel-Router und ner 2. NAT-Ebene beim DSL-Provider.
...
Zum Vergrößern anklicken....
sollte kein Problem sein, solange das portforwarding auf allen beteiligten Geräten richtig konfiguriert ist.

Damit wir hier weiterkommen, wäre es sicher hilfreich, wenn Du hier nochmal Dein Setup (beteiligte Boxen/Router, Firmwares, Skripte etc.) postest.

EDIT: hast Du wohl gerade gemacht (zumindest teilweise) ;).
 
Nimm doch mal als erstes zum Testen das "tls-auth" raus

... und ändere deinen Beitrage und füge ein Paar [noparse]
Code:
[/noparse] um deine Logs...
Jörg
 
Zuletzt bearbeitet:
Hallo MaxMuster,

macht keine sichtbaren Unterschied ohne TSL-auth. :(

Vielleicht liegts auch an meien langen ping-Zeiten ca.500ms.

.
 
Tja, die Möglichkeiten woran es liegen kann sind vielfältig.
Ich schlage einen "Neuanfang" vor:
Nimm dir die "aktuelleren" Binaries von hier und fange erstmal mit der "Mini-Version" an:

Server:
Code: 
dev tun
ifconfig 192.168.200.1 192.168.200.2
secret /var/tmp/client.key
Client:
Code: 
dev tun
remote xx.homedns.org
ifconfig 192.168.200.2 192.168.200.1
secret /var/tmp/client.key

Was ich noch sah: Stimmt die Netzmaske 255.255.254.0 beim CLient/Zyxel? Dann wäre das "ifconfig" vom Server mit 192.168.0.x sehr schlecht, weil das in dem gleichen Netz liegt wie 192.168.1.x (das geht von 192.168.0.1 bis 192.168.1.254)

Jörg
 
Hallo MaxMuster,

mit der minimalkonfiguration habe ich wieder aufbeiden seiten ein "tun0" und keine Fehlermeldungen, aber ich kann auf der serverseite nur 192.168.200.1 pingen und auf der Clientseite nur 192.168.200.2, also noch nichts mit gemeinsamen Netzwerk.
Wie jetztweiter?

ifconfig client:
Code: 
tun0      Link encap:Point-to-Point Protocol
          inet addr:192.168.200.2  P-t-P:192.168.200.1  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP ALLMULTI MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:98 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100
          RX bytes:0 (0.0 B)  TX bytes:7344 (7.1 KiB)

ifconfig server:
Code: 
tun0      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
          inet addr:192.168.200.1  P-t-P:192.168.200.2  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP ALLMULTI MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:343 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100
          RX bytes:0 (0.0 B)  TX bytes:34936 (34.1 KiB)

ich finde die RX-Werte auf beiden seiten sagen auch das nichts rüberkommt. :(

.
 
Zuletzt bearbeitet:
so ins Blaue: ich denke das da die Routen (in die jeweiligen LANs) fehlen.
 
Hallo Maxmuster,

glaube ich dir sofort, war mir bisher nämlich entgangen das man sowas auch noch braucht, wie geht das denn?

.
 
Deshalb war es ja eine "Minimalkonfig", die das grundsätzliche Funktionieren zeigen sollte.
Die Routen sind dann schon die "erste Steigerung" ;-)

Jeweils auf den beiden Seiten ein "route <Netz auf der anderen Seite> <Maske>" hinzufügen, also beim Client:
route 192.168.178.0 255.255.255.0
Beim Server:
route 192.168.0.0 255.255.254.0

Danach kann man sich dann mal an die Zertifikate wagen...

Jörg
 
Hallo MaxMuster,

so, jetzt ist beim Start des Servers mit routing irgendwas mit der Fritzbox7170 in Deutschland passiert, sie lässt jetzt nurnoch einen Teil der Portvorwardings durch und reagiert nicht mehr auf interne Pings, kann ihren Namen nicht mehr auflösen und leitet keine http ports mehr weiter und keine e-mail und keine DNS-Requests(www.wirtz.ph ist tot), mein routing auf das ssh-des NSLU2 port 443-extern auf port 21 des NSLU2 geht aber noch (zum glück das ist meine Nabelschnur), der FTP-Server der Fritzbox lässt sich aber noch ansprechen.

Keine Ahnung was da jetzt passiert ist, zum glück fliege ich am Samstag wieder nach hause und die FB7050 hier ist soweit eingerichtet (mit debug.cfg etc) das ichden rest von zu Hause auf dem FTPserver dort ändern und konfigurieren kann, na hofentlich funktioniert das dann alles. :~

.
 
Um antworten zu können musst du eingeloggt sein.

Zurzeit aktive Besucher

Gesamt: 250 (Mitglieder: 3, Gäste: 247)

Neueste Beiträge

Statistik des Forums

Themen
246,398
Beiträge
2,251,516
Mitglieder
374,089
Neuestes Mitglied
YPLCRP
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
Ihr E-Mail-Adresse verifizieren

Ihr E-Mail-Adresse verifizieren

Wir haben Ihnen eine E-Mail geschickt. Klicken Sie auf die Schaltfläche im E-Mail-Text, um Ihre E-Mail-Adresse zu verifizieren – (Können Sie diese nicht finden können, dann überprüfen Sie Ihren Spam-Ordner).

IPPF im Überblick

Neueste Beiträge

Direktlinks Telefonanlage

Website-Sponsoren

3CX sponsor
KONTAKTIEREN SIE UNS BEI INTERESSE
| Style by ThemeHouse
XenPorta 2 PRO © Jason Axelrod of 8WAYRUN
Oben Unten
Zurück