VPN Tunnel baut sich nicht auf - ping geht nicht

[parasprinter]

Hallo zusammen,

habe eine 7050 ( Server ) sowie eine 7170 ( Client ) zusammengeschalten so dass der tunnel sich an sich aufbauen müsste.
Gehn wir mal davon aus dass die konfiguration fehlerfrei ist und die dyndns adresse auch erreichbar.

Fremdnetzwerk ist nicht erreichbar.
ping auf die öffentliche IP des fremdnetzwerkes - keine antwort
ping auf die öffentliche IP meines Netzwerkes - keien antwort

Frage: Blockt die Box ebtl ICMP echo anforderungen, also antwortet nicht auf einen Ping aufs WAN interface?

Was kann getan werden?

Vielen Dank für Infos

Michael

[AndreR]

Da die Fehlerbeschreibung da ist, denke ich, dass genau dem hier:

Gehn wir mal davon aus dass die konfiguration fehlerfrei ist und die dyndns adresse auch erreichbar.

nicht so ist. Poste doch mal Konfigs. Kannst du die dyndns adresse anpingen?

[parasprinter]

Anbei die beiden config dateien

Code:

#Server Config
# starten des telnet daemons
/usr/sbin/telnetd -l /sbin/ar7login
# Warten bis der Router online ist
while !(ping -c 1 tecchannel.de); do
 sleep 10
done
# Installation FTP Daemons
cd /var/tmp
wget http://www.tecchannel.de/download/432803/bftpd.conf
wget http://www.tecchannel.de/download/432803/bftpd
chmod +x bftpd
chmod 777 bftpd.conf
echo "########:0:0:root:/:null" >> /var/tmp/passwd
/var/tmp/bftpd -d -c /var/tmp/bftpd.conf
# set hostname to fritz.box
hostname fritz.box
# write 'secret.key' to file
cat > /var/tmp/secret.key << 'ENDSECRETKEY'
#
# 2048 bit OpenVPN static key
#
-----BEGIN OpenVPN Static key V1-----
##
#
#
#
##
-----END OpenVPN Static key V1-----
ENDSECRETKEY
# write 'server.ovpn' to file
cat > /var/tmp/server.ovpn << 'END-SERVER-OVPN'
#
# Server FritzBox einrichten
dev tun0
dev-node /dev/misc/net/tun
ifconfig 192.168.200.2 192.168.200.1
tun-mtu 1500
float
mssfix
#Pfad zum key File
secret /var/tmp/secret.key
# Protokoll auf TCP und Por 1194
proto tcp-server
port 1194
# Protokollierung auf 4
verb 4
#Routen setzen
route 192.168.178.0 255.255.255.0
push "route 192.168.1.0 255.255.255.0"
# verbindung erhalten
ping 15
push "ping 15"
ping-restart 120
push "ping-restart 120"
END-SERVER-OVPN
# Programmdatei nachladem
cd /var/tmp
wget http://www.tecchannel.de/download/435560/openvpn
# ausfuehrbar machen
chmod +x /var/tmp/openvpn
chmod 0600 /var/tmp/server.ovpn
chmod 0600 /var/tmp/secret.key
# OpenVPN als Daemon starten
./openvpn --config ./server.ovpn &

und nun die client config

Code:

# starten des telnet daemons
/usr/sbin/telnetd -l /sbin/ar7login
# Warten bis der Router online ist
while !(ping -c 1 tecchannel.de); do
 sleep 10
done
# Installation FTP Daemons
cd /var/tmp
wget http://www.tecchannel.de/download/432803/bftpd.conf
wget http://www.tecchannel.de/download/432803/bftpd
chmod +x bftpd
chmod 777 bftpd.conf
echo "########:0:0:root:/:null" >> /var/tmp/passwd
/var/tmp/bftpd -d -c /var/tmp/bftpd.conf
# set hostname to fritz.box
hostname fritz.box
# write 'secret.key' to file
cat > /var/tmp/secret.key << 'ENDSECRETKEY'
#
# 2048 bit OpenVPN static key
#
-----BEGIN OpenVPN Static key V1-----
##
#
#
#
##
-----END OpenVPN Static key V1-----
ENDSECRETKEY
# write 'client.ovpn' to file
cat > /var/tmp/client.ovpn << 'END-CLIENT-OVPN'
#
# Celient FritzBox einrichten
dev tun
dev-node /dev/misc/net/tun
ifconfig 192.168.200.1 192.168.200.2
tun-mtu 1500
float
mssfix
perstist-tun
persist-key
# Remote Adresse des Servers angeben
remote name.dyndns.info
#Pfad zum key File
secret /var/tmp/secret.key
# Protokoll auf TCP und Por 1194
proto tcp-server
port 1194
# da die Verbindung alle 24h getrennt wird
# soll regelmässig kontrolliert werden ob die Verb. ncoh steht
ping 15
ping-restart 120
# Aufloesung des dyndns namens alle 60 sec
resolv-retry 60
# Protokollierung auf 4
verb 4
daemon
#Routen setzen
route 192.168.1.0 255.255.255.0
push "route 192.168.178.0 255.255.255.0"
END-CLIENT-OVPN
# Programmdatei nachladem
cd /var/tmp
wget http://www.tecchannel.de/download/435560/openvpn
# ausfuehrbar machen
chmod +x /var/tmp/openvpn
chmod 0600 /var/tmp/client.ovpn
chmod 0600 /var/tmp/secret.key
# OpenVPN als Daemon starten
./openvpn --config ./client.ovpn &
# so das wars

passwörter wurden ausge ##

sehe da auf anhieb leider keinen fehler...
dyndns adresse ist anpingbar

Vielleicht siehst du ja noch einen Fehler den ich mal wieder geschreibselt hab...

Schon mal vielen Dank vorab

Gruß Michael

[AndreR]

Fragen:
Läuft der Prozess auf beiden Boxen?
ist der Port beim Server geöffnet?
Poste mal die Ausgaben vom befehl route auf beiden Boxen

Sollte all dies nicht helfen, starte den Server-Prozess erst manuell (also per Eingabe auf der Konsole) und poste die Ausgaben. Sollte dieser Start mit "Initialization Sequence completed" abschließen, starte den Prozess auf der Client-Box und poste die Ausgaben

[parasprinter]

Hallo

Also....
der Prozess OVPN läuft beim Server jedoch komischerweise nicht beim client

Beim client steht jedoch all dies im /var/tmp verzeichnis

Code:

# ls
bftpd               group               passwd
bftpd.conf          hosts               resolv.conf
bftpdutmp           igddesc.xml         secret.key
client.ovpn         me_dsld.ctl         shadow
cm_logic.ctl        me_voipd.ctl        to_wpa_hidden_sock
csem                openvpn             wpa_debug_sock

Client Route

Code:

Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
192.168.180.1   *               255.255.255.255 UH    2      0        0 dsl
192.168.180.2   *               255.255.255.255 UH    2      0        0 dsl
192.168.178.0   *               255.255.255.0   U     0      0        0 lan
default         *               0.0.0.0         U     2      0        0 dsl

Server Route

Code:

Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
192.168.180.1   *               255.255.255.255 UH    2      0        0 dsl
192.168.180.2   *               255.255.255.255 UH    2      0        0 dsl
192.168.200.1   *               255.255.255.255 UH    0      0        0 tun0
192.168.178.0   *               255.255.255.0   U     0      0        0 lan
192.168.1.0     *               255.255.255.0   U     0      0        0 lan
default         *               0.0.0.0         U     2      0        0 dsl

Vielleicht kannst du daran ja was erkennen!

Danke schonmal

Gruß michael

[AndreR]

Joa, es kann keine Verbindung zustande kommen - wenn der Client nicht läuft

Starte Ihn sonst mal manuell über die Konsole und poste die Ausgabe - hieraus lässt sich der Fehler sehr sicher ersehen

[Fritzmaier]

da ist doch der gleiche Fehler wie bei mir:

in der client.config steht:

proto tcp-server !

Fritz

[parasprinter]

Hallo ihr alle,

sorry für meine späten antworten...

zu Fritz: den Fehler hab ich korrigiert
zu AdreR

ich hab mir jetzt die debug.cfg ins tmp verzeichnis kopiert, mit chmod 777 debug.cfg ausführbar gemacht und dann mal gestartet.

heraus kommt dann irgendwann folgendes:

Code:

openvpn              100% |*****************************|  2005 KB    00:00 ETA
# Options error: Unrecognized option or missing parameter(s) in ./client.ovpn:9: perstist-tun (2.1_beta8)

Was passt den nun immer noch nicht...hab mir die debug.cfg nochmal durchgeguggt mir fällt kein Fehler auf...

Danke für Eure Hilfe

Gruß Kiesi

[Fritzmaier]

muß doch

Code:

persist

heißen !

[parasprinter]

Hallo allerseits....

mei o mei bin ich blind...
auch diesen Fehler habe ich korrigiert....

jetzt siehts schon besser aus....

route auf server box bringt folgendes:

Code:

Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
192.168.180.1   *               255.255.255.255 UH    2      0        0 dsl
192.168.180.2   *               255.255.255.255 UH    2      0        0 dsl
192.168.200.1   *               255.255.255.255 UH    0      0        0 tun0
192.168.178.0   192.168.200.1   255.255.255.0   UG    0      0        0 tun0
192.168.178.0   *               255.255.255.0   U     0      0        0 lan
192.168.1.0     *               255.255.255.0   U     0      0        0 lan
default         *               0.0.0.0         U     2      0        0 dsl

route auf client box

Code:

Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
192.168.180.1   *               255.255.255.255 UH    2      0        0 dsl
192.168.180.2   *               255.255.255.255 UH    2      0        0 dsl
192.168.200.2   *               255.255.255.255 UH    0      0        0 tun0
192.168.178.0   *               255.255.255.0   U     0      0        0 lan
192.168.1.0     192.168.200.2   255.255.255.0   UG    0      0        0 tun0
default         *               0.0.0.0         U     2      0        0 dsl

Der Tunnel steht, der gegnerische Rechner lässt sich auf seiner lokalen IP anpingen! Prima....
So klitzekleines Problem hab ich aber noch...wie siehts denn mit der Namesauflösung aus?

Ein Ping auf den Rechnernamen hinter der Serverbox bringt nämlich keinen Erfolg, somit kann ich mein Outlook auch nicht mit dem dortigen Exchange verbinden, bzw. mein Warenwirtschaftsprogramm vernünftig installieren...

Woran muss ich denn dieses mal feilen?

Danke schonmal für die mühen

Gruß Michael

[AndreR]

Okay, Namensauflösung funktioniert mit TUN Devices nicht.

Mit dev tap funtionieren auch Namesauflösungen zumindestens innerhalb des VPN. Soll das LAN übergreifend funktionieren ist bridging angesagt. (Oder Samba bzw. WIN's-Server)

Wenn du die besagten IPs aber hast, dann trage diese in die Datei

c:\Windows\system32\drivers\etc\hosts

nach folgendem Schema ein

127.0.0.1 localhost
192.168.178.1 fritz.box.2

etc

damit kannst du die Namensauflösung "umschiffen" - muss allerdings auf jedem Rechner gemacht werden