LAN hinter Freetz bei OpenVPN nicht erreichbar

**MrFreez** · 02.08.2010, 21:20

Hallo zusammen,
mache jetzt schon 2 Tage an folgendem Problem herum und habe noch immer keine passende Lösung, vielleicht kann mir jemand die Scheuklappen entfernen, damit ich weiterkomme!

Ausgangssituation:

Fritzbox 7170 im lokalen LAN mit IP 192.168.100.1
im lokalen LAN weitere Desktops mit IPs 192.168.100.20 / 192.168.100.30 etc.
Auf der Fritzbox Freetz geladen und die Pakete Firewall, OpenVPN.

Client (WXP) soll über die Fritzbox auf die dahinterliegenden Desktops zugreifen können.

Der Verbindungsaufbau vom Client zu Fritz funktioniert, es geht aber weder ein Ping auf den Fritz noch auf die Desktops

Die servcer.conf auf dem Fritz

PHP-Code:


#  OpenVPN 2.1 Config, Mon Aug  2 20:44:31 CEST 2010

proto udp

dev tap0

#Helperline for rc.openvpn to add tap0 to lan bridge

ca /tmp/flash/ca.crt

cert /tmp/flash/box.crt

key /tmp/flash/box.key

dh /tmp/flash/dh.pem

tls-server

tls-auth /tmp/flash/static.key 0

port 1194

mode server

ifconfig-pool 10.0.200.100 10.0.200.104

push "route 10.0.200.1 "

ifconfig 10.0.200.1 255.255.255.0

push "route-gateway 10.0.200.1"

push "route 192.168.100.0 255.255.255.0"

max-clients 5

tun-mtu 1500

mssfix

verb 3

daemon

cipher AES-256-CBC

comp-lzo

keepalive 10 120

client.ovpn

PHP-Code:


remote myworld.dyndns.org

proto udp

dev tap

tls-client

ns-cert-type server

ca "C:///ca.crt"

cert "C://netbook.crt"

key "C://netbook.key"

tls-auth "C://static.key" 1

;tun-mtu 1500

mssfix

cipher AES-256-CBC

comp-lzo

nobind

pull

verb 2

Auf Clientseite kommt es zu keinerlei Fehlermeldung beim Verbindungsaufbau!

PHP-Code:


Mon Aug 02 21:07:24 2010 OpenVPN 2.1.1 i686-pc-mingw32 [SSL] [LZO2] [PKCS11] built on Dec 11 2009

Mon Aug 02 21:07:24 2010 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables

Mon Aug 02 21:07:25 2010 Control Channel Authentication: using 'C://static.key' as a OpenVPN static key file

Mon Aug 02 21:07:25 2010 Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication

Mon Aug 02 21:07:25 2010 Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication

Mon Aug 02 21:07:25 2010 LZO compression initialized

Mon Aug 02 21:07:25 2010 Control Channel MTU parms [ L:1590 D:166 EF:66 EB:0 ET:0 EL:0 ]

Mon Aug 02 21:07:25 2010 Data Channel MTU parms [ L:1590 D:1450 EF:58 EB:135 ET:32 EL:0 AF:3/1 ]

Mon Aug 02 21:07:25 2010 Local Options hash (VER=V4): '48527533'

Mon Aug 02 21:07:25 2010 Expected Remote Options hash (VER=V4): '44bd8b5e'

Mon Aug 02 21:07:25 2010 UDPv4 link local: [undef]

Mon Aug 02 21:07:25 2010 UDPv4 link remote: 84.59.173.6:1194

Mon Aug 02 21:07:26 2010 VERIFY OK: depth=1, /C=DE/ST=BY/L=Ingolstadt/O=duja/CN=ichauch/emailAddress=info@duja.de

Mon Aug 02 21:07:26 2010 VERIFY OK: nsCertType=SERVER

Mon Aug 02 21:07:26 2010 VERIFY OK: depth=0, /C=DE/ST=BY/O=duja/CN=box/emailAddress=info@duja.de

Mon Aug 02 21:07:28 2010 Data Channel Encrypt: Cipher 'AES-256-CBC' initialized with 256 bit key

Mon Aug 02 21:07:28 2010 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication

Mon Aug 02 21:07:28 2010 Data Channel Decrypt: Cipher 'AES-256-CBC' initialized with 256 bit key

Mon Aug 02 21:07:28 2010 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication

Mon Aug 02 21:07:28 2010 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA

Mon Aug 02 21:07:28 2010 [fritzbox] Peer Connection Initiated with 84.57.186.6:1194

Mon Aug 02 21:07:30 2010 TAP-WIN32 device [LAN-Verbindung 8] opened: \\.\Global\{4F7A6D65-D816-46A9-811F-4567E733C07D}.tap

Mon Aug 02 21:07:30 2010 TAP-Win32 MTU=1500

Mon Aug 02 21:07:30 2010 Notified TAP-Win32 driver to set a DHCP IP/netmask of 10.0.200.100/255.255.255.0 on interface {4F7A6D65-D816-46A9-811F-4567E733C07D} [DHCP-serv: 10.0.200.0, lease-time: 31536000]

Mon Aug 02 21:07:30 2010 Successful ARP Flush on interface [3] {4F7A6D65-D816-46A9-811F-4567E733C07D}

Mon Aug 02 21:07:35 2010 OpenVPN ROUTE: omitted no-op route: 10.0.200.1/255.255.255.255 -> 10.0.200.1

Mon Aug 02 21:07:35 2010 Initialization Sequence Completed

Ich komme alleine nicht mehr weiter! Wo muss ich den Schalter den umdrehen, damit ich die Desktops erreichen kann? Jede Hilfe ist willkommen, danke

**MaxMuster** · 03.08.2010, 11:58

Merkwürdig ist, dass die Routing-Einträge scheinbar nicht funktionieren, denn für push "route 192.168.100.0 255.255.255.0" steht nichts im Log.

Kannst du vom Client-PC die Box über 192.168.200.1 ansprechen?

Postes bitte mal die Ausgabe von "route print" des Clients.

Als "Workaround" könnte ein ""route 192.168.100.0 255.255.255.0 " in der Client-Config gehen.

Jörg

**MrFreez** · 03.08.2010, 20:12

Hallo MaxMuster,

vielen Dank für die Rückmeldung!

Die Antwort auf Deine Frage mit dem Ping muss ich mit "NEIN" beantworten. Ich bekomme einfach keine Verbindung!

Anbei die route print des Clients einmal ohne LAN

PHP-Code:


===========================================================================
Schnittstellenliste
0x1 ........................... MS TCP Loopback interface
0x2 ...00 24 2b 71 7f b4 ...... Atheros AR5007EG Wireless Network Adapter - Paketplaner-Miniport
0x3 ...00 ff 4f 7a 6d 65 ...... TAP-Win32 Adapter V9 - Paketplaner-Miniport
0x4 ...08 00 27 00 c0 5e ...... VirtualBox Host-Only Ethernet Adapter - Paketplaner-Miniport
0x10006 ...00 23 5a 5a 87 4c ...... Atheros AR8121/AR8113/AR8114 PCI-E Ethernet Controller - Paketplaner-Miniport
0x20007 ...00 53 45 00 00 00 ...... WAN (PPP/SLIP) Interface
===========================================================================
===========================================================================
Aktive Routen:
     Netzwerkziel    Netzwerkmaske          Gateway   Schnittstelle  Anzahl
          0.0.0.0          0.0.0.0   10.205.201.205  10.205.201.205      1
          0.0.0.0          0.0.0.0    192.168.100.1  192.168.100.25      26
   10.205.201.205  255.255.255.255        127.0.0.1       127.0.0.1      50
   10.255.255.255  255.255.255.255   10.205.201.205  10.205.201.205      50
        127.0.0.0        255.0.0.0        127.0.0.1       127.0.0.1      1
      169.254.0.0      255.255.0.0   169.254.76.110  169.254.76.110      30
   169.254.76.110  255.255.255.255        127.0.0.1       127.0.0.1      30
  169.254.255.255  255.255.255.255   169.254.76.110  169.254.76.110      30
     192.168.56.0    255.255.255.0     192.168.56.1    192.168.56.1      20
     192.168.56.1  255.255.255.255        127.0.0.1       127.0.0.1      20
   192.168.56.255  255.255.255.255     192.168.56.1    192.168.56.1      20
    192.168.100.0    255.255.255.0   192.168.100.25  192.168.100.25      25
   192.168.100.25  255.255.255.255        127.0.0.1       127.0.0.1      25
  192.168.100.255  255.255.255.255   192.168.100.25  192.168.100.25      25
        224.0.0.0        240.0.0.0   169.254.76.110  169.254.76.110      30
        224.0.0.0        240.0.0.0     192.168.56.1    192.168.56.1      20
        224.0.0.0        240.0.0.0   192.168.100.25  192.168.100.25      25
        224.0.0.0        240.0.0.0   10.205.201.205  10.205.201.205      1
  255.255.255.255  255.255.255.255   10.205.201.205  10.205.201.205      1
  255.255.255.255  255.255.255.255   169.254.76.110           10006      1
  255.255.255.255  255.255.255.255   169.254.76.110  169.254.76.110      1
  255.255.255.255  255.255.255.255     192.168.56.1    192.168.56.1      1
  255.255.255.255  255.255.255.255   192.168.100.25  192.168.100.25      1
Standardgateway:    10.205.201.205
===========================================================================
Ständige Routen:
  Keine

das andere Mal innerhalb des LANs

PHP-Code:


===========================================================================
Schnittstellenliste
0x1 ........................... MS TCP Loopback interface
0x2 ...00 24 2b 71 7f b4 ...... Atheros AR5007EG Wireless Network Adapter - Paketplaner-Miniport
0x3 ...00 ff 4f 7a 6d 65 ...... TAP-Win32 Adapter V9 - Paketplaner-Miniport
0x4 ...08 00 27 00 c0 5e ...... VirtualBox Host-Only Ethernet Adapter - Paketplaner-Miniport
0x10006 ...00 23 5a 5a 87 4c ...... Atheros AR8121/AR8113/AR8114 PCI-E Ethernet Controller - Paketplaner-Miniport
===========================================================================
===========================================================================
Aktive Routen:
     Netzwerkziel    Netzwerkmaske          Gateway   Schnittstelle  Anzahl
          0.0.0.0          0.0.0.0    192.168.100.1  192.168.100.25      25
        127.0.0.0        255.0.0.0        127.0.0.1       127.0.0.1      1
     192.168.56.0    255.255.255.0     192.168.56.1    192.168.56.1      20
     192.168.56.1  255.255.255.255        127.0.0.1       127.0.0.1      20
   192.168.56.255  255.255.255.255     192.168.56.1    192.168.56.1      20
    192.168.100.0    255.255.255.0   192.168.100.25  192.168.100.25      25
    192.168.100.0    255.255.255.0    192.168.200.1  192.168.200.100      1
   192.168.100.25  255.255.255.255        127.0.0.1       127.0.0.1      25
  192.168.100.255  255.255.255.255   192.168.100.25  192.168.100.25      25
    192.168.200.0    255.255.255.0  192.168.200.100  192.168.200.100      30
  192.168.200.100  255.255.255.255        127.0.0.1       127.0.0.1      30
  192.168.200.255  255.255.255.255  192.168.200.100  192.168.200.100      30
        224.0.0.0        240.0.0.0     192.168.56.1    192.168.56.1      20
        224.0.0.0        240.0.0.0   192.168.100.25  192.168.100.25      25
        224.0.0.0        240.0.0.0  192.168.200.100  192.168.200.100      30
  255.255.255.255  255.255.255.255     192.168.56.1           10006      1
  255.255.255.255  255.255.255.255     192.168.56.1    192.168.56.1      1
  255.255.255.255  255.255.255.255   192.168.100.25  192.168.100.25      1
  255.255.255.255  255.255.255.255  192.168.200.100  192.168.200.100      1
Standardgateway:     192.168.100.1
===========================================================================
Ständige Routen:
  Keine

Auch Dein Vorschlag mit dem Workaround hatte leider keinen Erfolg!

Vielleicht kannst Du mir damit weiterhelfen!
Im Voraus auf jeden Fall einen großen Dank.

Mr. Freez

**MaxMuster** · 05.08.2010, 13:33

Hmm, der PC ist doch schon in dem Netz 192.168.100.0/24 (mit der LAN-IP 192.168.100.25), da macht es keinen Sinn, über VPN in das gleiche Netz zu gehen. Was willst du denn erreichen??

Prinzipiell sollte(!) es aber so funktionieren, denn es wird die richtige IP für das VPN-Interface angelegt (192.168.200.1) und eine Route in das Netz durch das VPN eingerichtet (siehe die "fetten" Einträge):

Code:

Aktive Routen:
     Netzwerkziel    Netzwerkmaske          Gateway   Schnittstelle  Anzahl
[...snipp...]
    192.168.100.0    255.255.255.0   192.168.100.25  192.168.100.25      25
    192.168.100.0    255.255.255.0    192.168.200.1  192.168.200.100      1
   192.168.100.25  255.255.255.255        127.0.0.1       127.0.0.1      25
  192.168.100.255  255.255.255.255   192.168.100.25  192.168.100.25      25
    192.168.200.0    255.255.255.0  192.168.200.100  192.168.200.100      30
  192.168.200.100  255.255.255.255        127.0.0.1       127.0.0.1      30
  192.168.200.255  255.255.255.255  192.168.200.100  192.168.200.100      30

Jörg

**MrFreez** · 05.08.2010, 14:47

Hallo Jörg,

vielen Dank für die Rückmeldung!

Ich habe ja zwei route print beigefügt, eines bei dem sich das Notebook mit WiFi noch im LAN befindet und ein zweites, wo ich mittels UMTS auf die Freetzbox zugreifen möchte.
In beiden Fällen habe ich zwar einen Verbindungsaufbau (grünes Symbol auf dem Client), es kommt aber kein Ping vom Client auf den Freetz, noch auf die dahinterliegenden Desktops durch?

Wäre nett, wenn Du mir dabei noch auf die Sprünge helfen könntest, Danke!

**MaxMuster** · 05.08.2010, 15:41

.. du bist aber auch bei dem "Test" mit UMTS noch im LAN gewesen (siehe auch die zweite Zeile in der Tabelle dort: du hast die IP 192.168.100.25 und auch eine Route ins Internet über 192.168.100.1).

Du musst für den Test (W)LAN deaktivieren, sonst klappt das nicht. Es darf kein Eintrag für 192.168.100.0 in der Tabelle geben, ehe du das OpenVPN startest...

Jörg

**MrFreez** · 06.08.2010, 10:34

Hallo Jörg,

habe nun zumindest einen Teilerfolg. Nachdem ich den IP-Adressbereich für das VPN umgestellt habe kann ich zumindest von Client jetzt ein Ping an den Fritz erfolgreich absetzen! Was ich bisher allerdings noch nicht geschafft habe, ist es auf die Desktops hinter dem alten Fritz zu kommen!

Dafür habe ich auch mal den Trace beim Client und Server hochgesetzt, aber daraus habe ich keine Rückschlüsse auf irgendwelche Fehler finden können!

Hast Du noch eine Idee wo ich schrauben kann?

Gruß

MrFreez

**MaxMuster** · 06.08.2010, 12:29

Das wäre einfacher, wenn du die Details preisgibst

- Wie hast du die IPs geändert?
- Wie sehen jetzt Routingtabellen aus?
- Was war denn das Ergebnis der Traceroutes??

Jörg

**MrFreez** · 09.08.2010, 18:05

Auf Serverseite habe ich "nur" den Adressbereich von 10.0.200.0 auf 10.8.0.0 geändert und in der Freetz-Konfiguration die Option "Brücke TAB mit LAN brücken" aktiviert.

Auf Clientseite alles so belassen wie bisher.

Anbei nachfolgende Dateien:

client.conf

PHP-Code:


remote myworld.dyndns.org

proto udp

dev tap

tls-client

ns-cert-type server

ca "C://openvpn/ca.crt"

cert "C://openvpn/netbook.crt"

key "C:///openvpn/netbook.key"

tls-auth "C://openvpn/static.key" 1

;tun-mtu 1500

route 192.168.100.0. 255.255.255.0

mssfix

cipher AES-256-CBC

comp-lzo

nobind

pull

verb 1

Die route print

PHP-Code:


Schnittstellenliste

0x1 ........................... MS TCP Loopback interface

0x2 ...00 24 2b 71 7f b4 ...... Atheros AR5007EG Wireless Network Adapter - Paketplaner-Miniport

0x3 ...00 ff 4f 7a 6d 65 ...... TAP-Win32 Adapter V9 - Paketplaner-Miniport

0x4 ...08 00 27 00 c0 5e ...... VirtualBox Host-Only Ethernet Adapter - Paketplaner-Miniport

0x10006 ...00 23 5a 5a 87 4c ...... Atheros AR8121/AR8113/AR8114 PCI-E Ethernet Controller - Paketplaner-Miniport

0x20007 ...00 53 45 00 00 00 ...... WAN (PPP/SLIP) Interface

===========================================================================

===========================================================================

Aktive Routen:

     Netzwerkziel    Netzwerkmaske          Gateway   Schnittstelle  Anzahl

          0.0.0.0          0.0.0.0   10.201.233.159  10.201.233.159      1

          0.0.0.0          0.0.0.0    192.168.100.1  192.168.100.24      26

         10.8.0.0    255.255.255.0         10.8.0.2        10.8.0.2      30

         10.8.0.2  255.255.255.255        127.0.0.1       127.0.0.1      30

   10.201.233.159  255.255.255.255        127.0.0.1       127.0.0.1      50

   10.255.255.255  255.255.255.255         10.8.0.2        10.8.0.2      30

   10.255.255.255  255.255.255.255   10.201.233.159  10.201.233.159      50

        127.0.0.0        255.0.0.0        127.0.0.1       127.0.0.1      1

     192.168.56.0    255.255.255.0     192.168.56.1    192.168.56.1      20

     192.168.56.1  255.255.255.255        127.0.0.1       127.0.0.1      20

   192.168.56.255  255.255.255.255     192.168.56.1    192.168.56.1      20

    192.168.100.0    255.255.255.0   192.168.100.24  192.168.100.24      25

    192.168.100.0    255.255.255.0         10.8.0.1        10.8.0.2      1

   192.168.100.24  255.255.255.255        127.0.0.1       127.0.0.1      25

  192.168.100.255  255.255.255.255   192.168.100.24  192.168.100.24      25

        224.0.0.0        240.0.0.0         10.8.0.2        10.8.0.2      30

        224.0.0.0        240.0.0.0     192.168.56.1    192.168.56.1      20

        224.0.0.0        240.0.0.0   192.168.100.24  192.168.100.24      25

        224.0.0.0        240.0.0.0   10.201.233.159  10.201.233.159      1

  255.255.255.255  255.255.255.255         10.8.0.2        10.8.0.2      1

  255.255.255.255  255.255.255.255   10.201.233.159  10.201.233.159      1

  255.255.255.255  255.255.255.255     192.168.56.1    192.168.56.1      1

  255.255.255.255  255.255.255.255     192.168.56.1           10006      1

  255.255.255.255  255.255.255.255   192.168.100.24  192.168.100.24      1

Standardgateway:    10.201.233.159

===========================================================================

Ständige Routen:

  Keine

Wie gesagt ein Ping bekomme ich durch, aber kein Zugriff auf hinter dem Alten Fritz liegende Desktops!

Vielen Dank noch für Deine bisherige Unterstützung, ohne die ich hoffnungslos verratzt wäre!

Mr. Freez

**MaxMuster** · 10.08.2010, 11:53

... du hast noch immer eine IP in dem Netz 192.168.100.0/24 (die 192.168.100.24).
Gleichzeitig eine direkte Netzwerkverbindung und VPN in das Netz kann nicht klappen!

Bist du übrigens sicher, dass du Bridging und TAP benötigst? Dafür ist deine Config eigentlich nicht ausgerichtet, die ist eher wie für "TUN"?

TAP machte nur Sinn, wenn das "VPN-Netz" mit dem LAN "übereinstimmt" (gleiches IP Netz), so dass ein Client "virtuell" direkt in das LAN übernommen wird.

Vielleicht liest du da nochmal etwas zu dem Thema...

Jörg

Thema: LAN hinter Freetz bei OpenVPN nicht erreichbar

Themen-Optionen

Anzeige

LAN hinter Freetz bei OpenVPN nicht erreichbar

Kein Ping geht durch

Ähnliche Themen

Rechner hinter OpenVPN Box von Client nicht erreichbar

Rechner hinter OpenVPN Box von Client nicht erreichbar

OpenVPN auf 7170 nicht erreichbar?

OpenVPN: Rechner / Server sind nicht erreichbar

Berechtigungen