openvpn / freetz stable Revision 3262: Fehler bei Konfiguration

[msdv]

Hallo,

ich habe die Revision 3262 von freetz stable -1.1 ausgecheckt.
Wenn ich das GUI Interface für die openvpn-Konfiguration aus dem Wiki verwende, erstellt dies letztendlich eine openvpn.conf Datei, die ein Leerzeichen in einer push-Zeile enthält, die dort nicht hingehört:

/var/mod/etc # cat openvpn.conf
# OpenVPN 2.1 Config, Sat Jan 1 01:01:06 CET 2000
proto tcp-server
dev tap
ca /tmp/flash/ca.crt
cert /tmp/flash/box.crt
key /tmp/flash/box.key
dh /tmp/flash/dh.pem
tls-server
port 1194
mode server
ifconfig-pool 192.168.200.100 192.168.200.150
--->>> push "route 192.168.200.1 "
ifconfig 192.168.200.1 255.255.255.0
push "route-gateway 192.168.200.1"
push "route 192.168.178.0 255.255.255.0"
max-clients 4
tun-mtu 1500
mssfix
verb 3
daemon
cipher AES-256-CBC
comp-lzo
keepalive 10 120

In einer alten Revision (mit dem .67er Kernel bei meiner 7170) hat das noch einwandfrei funktioniert. Wegen der Leerzeichens hinter der push-route-Anweisung funktioniert das komplette Routing nicht mehr. Ich habe das jetzt händisch per telnet/vi repariert und den openvpn neu gestartet, aber nach dem nächsten Reboot ist das sicher wieder kaputt.

Ich hoffe, ich konnte das Problem einigermassen nachvollziehbar schildern.

Viele Grüße,
Markus.

[olistudent]

Hi.

Der "Fehler" ist auch im trunk...

Code:

### Eclipse Workspace Patch 1.0
#P freetz-trunk
Index: make/openvpn/files/root/etc/default.openvpn/openvpn_conf
===================================================================
--- make/openvpn/files/root/etc/default.openvpn/openvpn_conf (revision 3262)
+++ make/openvpn/files/root/etc/default.openvpn/openvpn_conf (working copy)
@@ -113,7 +113,7 @@
   if [ "$CLIENT2CLIENT" == "yes" ]; then
       echo "push \"route ${DHCP_RANGE%.* *}.0 255.255.255.0\"" >> $CONFFILE  
   else
-      echo "push \"route $BOX_IP \"" >> $CONFFILE
+      echo "push \"route $BOX_IP\"" >> $CONFFILE
   fi
  fi

MfG Oliver

[msdv]

Und was passiert jetzt mit diesem Patch? Geht er automatisch in die nächste Revision?

[MaxMuster]

Moin,

das Leerzeichen war meines Erachtens nur ein "Schönheitsfehler". Bei welchem Client kommt es denn zu dem besagten Fehler?
Bei meinen Tests ist das nie aufgefallen.
Gerade nochmal getestet mit deiner Config und Windows-XP, openvpn_2.1_rc13. Die Route ist zwar überflüssig (schließlich ist 192.168.200.1 ja auch das Route-Gateway) und openvpn bemerkt das, aber genau daraus schließe ich, dass das Leerzeichen eben kein Problem ist:

Code:

[...snipp...]
Sat Apr 18 14:30:46 2009 us=343000 SENT CONTROL [myserver]: 'PUSH_REQUEST' (status=1)
Sat Apr 18 14:30:46 2009 us=625000 PUSH: Received control message: 'PUSH_REPLY,route 192.168.200.1 ,route-gateway 192.168.200.1,route 192.168.178.0 255.255.255.0,ping 10,ping-restart 120,ifconfig 192.168.200.100 255.255.255.0'
Sat Apr 18 14:30:46 2009 us=625000 OPTIONS IMPORT: timers and/or timeouts modified
Sat Apr 18 14:30:46 2009 us=625000 OPTIONS IMPORT: --ifconfig/up options modified
Sat Apr 18 14:30:46 2009 us=625000 OPTIONS IMPORT: route options modified
Sat Apr 18 14:30:46 2009 us=625000 OPTIONS IMPORT: route-related options modified
Sat Apr 18 14:30:46 2009 us=640000 ROUTE default_gateway=10.100.254.1
Sat Apr 18 14:30:46 2009 us=656000 TAP-WIN32 device [LAN-Verbindung 2] opened: \\.\Global\{07AFE3A9-9E5A-4D7B-93C8-CB42DF204A6E}.tap
Sat Apr 18 14:30:46 2009 us=656000 TAP-Win32 Driver Version 9.4
Sat Apr 18 14:30:46 2009 us=656000 TAP-Win32 MTU=1500
Sat Apr 18 14:30:46 2009 us=656000 Notified TAP-Win32 driver to set a DHCP IP/netmask of 192.168.200.100/255.255.255.0 on interface {07AFE3A9-9E5A-4D7B-93C8-CB42DF204A6E} [DHCP-serv: 192.168.200.0, lease-time: 31536000]
Sat Apr 18 14:30:46 2009 us=656000 Successful ARP Flush on interface [6] {07AFE3A9-9E5A-4D7B-93C8-CB42DF204A6E}
Sat Apr 18 14:30:51 2009 us=906000 TEST ROUTES: 0/0 succeeded len=2 ret=0 a=0 u/d=down
Sat Apr 18 14:30:51 2009 us=906000 Route: Waiting for TUN/TAP interface to come up...
[...snipp...]
Sat Apr 18 14:31:21 2009 us=812000 OpenVPN ROUTE: omitted no-op route: 192.168.200.1/255.255.255.255 -> 192.168.200.1
Sat Apr 18 14:31:21 2009 us=812000 C:\WINDOWS\system32\route.exe ADD 192.168.178.0 MASK 255.255.255.0 192.168.200.1
[...snipp...]

Zum "Beweis" habe ich genau deine Config mal so geändert, dass die Zeile eine Route auf 192.168.201.1 einrichtet, auch mit Leerzeichen, Ergebnis genau wie gewünscht:

Code:

[...snipp...]
Sat Apr 18 14:35:22 2009 us=234000 PUSH: Received control message: 'PUSH_REPLY,route 192.168.201.1 ,route-gateway 192.168.200.1,route 192.168.178.0 255.255.255.0,ping 10,ping-restart 120,ifconfig 192.168.200.100 255.255.255.0'
Sat Apr 18 14:35:22 2009 us=234000 OPTIONS IMPORT: timers and/or timeouts modified
Sat Apr 18 14:35:22 2009 us=234000 OPTIONS IMPORT: --ifconfig/up options modified
Sat Apr 18 14:35:22 2009 us=234000 OPTIONS IMPORT: route options modified
Sat Apr 18 14:35:22 2009 us=234000 OPTIONS IMPORT: route-related options modified
Sat Apr 18 14:35:22 2009 us=250000 ROUTE default_gateway=10.100.254.1
Sat Apr 18 14:35:22 2009 us=265000 TAP-WIN32 device [LAN-Verbindung 2] opened: \\.\Global\{07AFE3A9-9E5A-4D7B-93C8-CB42DF204A6E}.tap
Sat Apr 18 14:35:22 2009 us=265000 TAP-Win32 Driver Version 9.4
Sat Apr 18 14:35:22 2009 us=265000 TAP-Win32 MTU=1500
Sat Apr 18 14:35:22 2009 us=265000 Notified TAP-Win32 driver to set a DHCP IP/netmask of 192.168.200.100/255.255.255.0 on interface {07AFE3A9-9E5A-4D7B-93C8-CB42DF204A6E} [DHCP-serv: 192.168.200.0, lease-time: 31536000]
Sat Apr 18 14:35:22 2009 us=265000 Successful ARP Flush on interface [6] {07AFE3A9-9E5A-4D7B-93C8-CB42DF204A6E}
Sat Apr 18 14:35:27 2009 us=500000 TEST ROUTES: 2/2 succeeded len=2 ret=1 a=0 u/d=up
Sat Apr 18 14:35:27 2009 us=500000 C:\WINDOWS\system32\route.exe ADD 192.168.201.1 MASK 255.255.255.255 192.168.200.1
Sat Apr 18 14:35:27 2009 us=500000 Route addition via IPAPI succeeded [adaptive]
Sat Apr 18 14:35:27 2009 us=515000 C:\WINDOWS\system32\route.exe ADD 192.168.178.0 MASK 255.255.255.0 192.168.200.1
Sat Apr 18 14:35:27 2009 us=515000 Route addition via IPAPI succeeded [adaptive]
Sat Apr 18 14:35:27 2009 us=515000 Initialization Sequence Completed
[...snipp...]

Ich werde mir bei Gelegenheit das Ganze nochmal ansehen, denn wie gesagt: Eigentlich ist das push-Statement mit der Route da überflüssig, das Leerzeichen rausnehmen ist auch kein Problem, ich frage mich aber eher, ob es nicht ein anderes Problem gibt, was zu dem Problem führt (entweder "bei dir" oder auch ein Problem mit der erzeugten Config)


Jörg

[ramik]

I am building a firmware with latest trunk (3265) to use on my 7140, i selected openvpn, compiled all successfully, flashed, but i can't see the openvpn in the Freetz UI... in the filesystem i can find the /usr/sbin/openvpn but in /etc there is no default.openvpn or other openvpn cgi files in the lib/cgi-bin folders. any problems in the latest trunk?

[Silent-Tears]

Yes, actually there is a problem with the trunk. All packages using suboptions seems to have this problem. The workaround is:

Code:

make $package-dirclean
make $package-precompiled

for all packages that have suboptions in menuconfig and aftert all a new "make". After reflashing the new image the activated packages should be visible in freetz-webinterface.

[msdv]

Hallo,

bei mir ist der Client auch WinXP. Allerdings offensichtlich eine ältere Revision:
OpenVPN 2.1_beta7 Win32-MinGW [SSL] [LZO2] built on Nov 12 2005
Das ist das Paket aus dem openpvn-gui (http://openvpn.se/).

Bei mir war es so, das das Routing nur wieder ging nachdem ich das Leerzeichen aus dem push-Befehl herausgenommen habe.

Kann ich irgendwelche Logs beisteuern?

[MaxMuster]

... gut wären zum einen Logs des Verbindungsaufbaus (so analog zu den Parts oben ab dem "push-Dingen").
Ansonsten wären die Routen ("route print") vor und nach Aufbau der VPN-Verbindung interessant.


Jörg