OpenVPN aber kein Internet

Sidebar Sidebar
Upgrade 3CX to v18 and get it hosted free!
S

Squall_Halle

Neuer User
Mitglied seit
28 Mai 2010
Beiträge
20
Punkte für Reaktionen
0
Punkte
0
Hi,
ich hab auf meine Firtzbox 7270
Openvpn als server laufen,
verbinde mich von meinem Laptop (win7) auf den
server.
Die Verbindung kommt zu stande.
Ich erreiche auch fritz.box.
Aber es ist kein Internet verfügbar.
Habt ihr eine Idee/Info woran es liegt ?
Fehlt ne Portfreiagbe oder was ?

grüße
 
Squall_Halle schrieb:
Habt ihr eine Idee/Info woran es liegt ?
Zum Vergrößern anklicken....
Info? Klar: Die Konfiguration ist mit großer Wahrscheinlichkeit falsch.:D

Im Ernst: Keine Idee, wenn du nicht mehr verrätst, was du wie konfiguriert hast ;-)

Jörg
 
Hier meine Config.

OpenVPN-Client:


Code: 
# OpenVPN v2.0.5 config:
####################################################
# Authentifizierung und Verschluesselung
cd D:\\Programme\\vpnopen\\config # Pfadanpassung; bzw. /etc/keys/...
ca ca.crt
cert client01.crt
key client01.key

auth SHA1
cipher AES-256-CBC

####################################################
# Grundsaetzliches
dev tap
proto udp
# ggf. ist es bei Linux-Clients noetig, den "dev-node" (Pfad zum tun-Device) anzugeben
#for 2.4: 
# dev-node /dev/misc/net/tun 
# for 2.6:
#do not forget to insert onto shell: mknod /var/tmp/tun c 10 200
# dev-node /var/tmp/tun

nobind


####################################################
# Client-Einstellungen
tls-client
ns-cert-type server #for OVP2.0 and below: check the server.crt
pull	# Fetch configuration from Server


####################################################
# Server-Einstellungen
remote MEINEDYNDNS.ORG 501    #Server IP/URI und evtl. port anpassen

####################################################
## Enable compression
## server & client entry must be equal!
comp-lzo

####################################################
# Protokollierungseinstellung
verb 4

####################################################
# Daemon
;daemon #ausführung im Hintergrund


#server:
#Routen setzen, bei route Subnetz des Clients
# bei push Subnetz des eigenen Servers eintragen
;route 192.168.xx.0 255.255.255.0
;push "route 192.168.yy.0 255.255.255.0"


#client:
#Routen setzen, bei route Subnetz der Server-Box
# bei push Subnetz der eignen Client-Box eintragen
route 192.168.178.0 255.255.255.0 10.0.0.1
push "route 192.168.1.0 255.255.255.0"


# Don't close and reopen TUN/TAP device or run up/down 
# scripts across SIGUSR1 or --ping-restart restarts.
persist-tun 

# Don't re-read key files on reconnect
persist-key

# Change process priority after initialization 
# n>0 : lower priority; n<0 : higher priority).
nice 1
    
    
    ####################################################
    # Verbindung aufrecht halten
    ping 10
    ping-restart 60


OpenVPN-Server:

Code: 
# OpenVPN v2.0.5 config:
####################################################
# Authentifizierung und Verschluesselung
ca ca.crt
cert fritzbox.crt
key fritzbox.key
dh dh1024.pem

auth SHA1
cipher AES-256-CBC

####################################################
# Grundsaetzliches
port 501
proto udp
dev tap
# insert onto shell: mknod /var/tmp/tun c 10 200
dev-node /var/tmp/tun


####################################################
# Server-Einstellungen
mode server
tls-server
client-to-client
server 10.0.0.0 255.255.255.0

ifconfig-pool-persist ipp.txt  # assign right IP-Addresses (optional)
mssfix 


#server:
#Routen setzen, bei route Subnetz des Clients
# bei push Subnetz des eigenen Servers eintragen
route 192.168.2.0 255.255.255.0 10.0.0.5
push "route 192.168.178.0 255.255.255.0"
push "redirect-gateway"


#client:
#Routen setzen, bei route Subnetz der Server-Box
# bei push Subnetz der eignen Client-Box eintragen
;route 192.168.178.0 255.255.255.0
;push "route 192.168.2.0 255.255.255.0"


# Don't close and reopen TUN/TAP device or run up/down 
# scripts across SIGUSR1 or --ping-restart restarts.
persist-tun 

# Change process priority after initialization 
# n>0 : lower priority; n<0 : higher priority).
nice 1
    
    
    ####################################################
    # Verbindung aufrecht halten
    #-- Server:
    ping 10
    ping-restart 60
    
    
    #-- Client:
    push "ping              15" # keep firewall open
    push "ping-restart      60" # 1 minute
    push "resolv-retry      infinite"
    
    
    
    
    ####################################################
    ## Enable compression
    ## server & client entry must be the same!
    comp-lzo
    
    
    ####################################################
    # Protokollierungseinstellung
    verb 4
    
    ####################################################
    # Daemon (Wenn alles funktioniert)
    ;daemon
    
    ####################################################
    #Allow remote peer to change its IP address and/or port number, such as due to DHCP
    # float tells OpenVPN to accept authenticated packets from any address, not only the 
    # address which was specified in the --remote option.
    float


und meine portforwards in der ar7cfg:

Code: 
                        forwardrules = "tcp 0.0.0.0:21 0.0.0.0:21 0", 
                                       "tcp 0.0.0.0:86 0.0.0.0:85 0 # Apache2", 
                                       "tcp 0.0.0.0:87 0.0.0.0:21 0 # FTP", 
                                       "tcp 0.0.0.0:88 0.0.0.0:22 0 # SCP", 
                                       "tcp 0.0.0.0:89 0.0.0.0:23 0 # Telnet", 
                                       "tcp 10.0.0.1:80 0.0.0.0:80 0 # inter", 
                                       "tcp 0.0.0.0:5900 0.0.0.0:5900 0 # VPN", 
                                       "tcp 0.0.0.0:85 192.168.178.111:85 0 # Apache", 
                                       "udp 0.0.0.0:500 0.0.0.0:500 0 # VPNTEST", 
                                       "udp 0.0.0.0:501 0.0.0.0:501 0 # VPNTEST3", 
                                       "udp 0.0.0.0:4500 0.0.0.0:4500 0 # VPNTEST2";

ist da was falsch ?
Auch bei anderen Optimierungen bitte bescheid sagen,
bin da noch nicht so in der Matiere drin.

grüße
 
Was vermutlich deine Probleme beheben wird (ich tippe auf ein Vista/Win7 Problem) ist, beim Client einzufügen:
Code: 
route-method exe
route-delay 2

Noch ein paar Anmerkungen zur Konfig:
Ohne zwingende Gründe würde ich immer zu "TUN" raten, und nicht "TAP" nutzen
In der Server-Config für das "Umleiten" des Clinet-Verkehrs ist es vermutlich einfacher, die Default-Route dort nicht löschen zu lassen, sondern zu ersetzen. Das geht, indem du "def1" ergänzt:
Code: 
# statt [I]push "redirect-gateway"[/I]
push "redirect-gateway [B]def1[/B]"

Der Client kann keine Dinge zum Server "pushen", die Route bekommt er per "pull" durch das "push route" vom Server (eigentlich ist selbst die bei "redirect-gateway" nicht nötig, weil der VPN-Server ja Defaultgateway ist), das kann also beim CLient weg/auskommentiert werden:
Code: 
#client:
#Routen setzen, bei route Subnetz der Server-Box
# bei push Subnetz der eignen Client-Box eintragen
route 192.168.178.0 255.255.255.0 10.0.0.1
push "route 192.168.1.0 255.255.255.0"


Jörg
 
Okay, nun ist es schlimmer gewurden.
Wenn ich jeztzt den server starte, ist über wlan (das normale,
nicht wenn ich den client starte) das internet weg.
Dann muss ich die Box neustarten um überhaupt wieder auf sie drauf zu kommen.

Server-Config:
Code: 
# OpenVPN v2.0.5 config:
####################################################
# Authentifizierung und Verschluesselung
ca ca.crt
cert fritzbox.crt
key fritzbox.key
dh dh1024.pem

auth SHA1
cipher AES-256-CBC

####################################################
# Grundsaetzliches
port 501
proto udp
dev tun
# insert onto shell: mknod /var/tmp/tun c 10 200
dev-node /var/tmp/tun


####################################################
# Server-Einstellungen
mode server
tls-server
client-to-client
server 10.0.0.0 255.255.255.0

ifconfig-pool-persist ipp.txt  # assign right IP-Addresses (optional)
mssfix 


#server:
#Routen setzen, bei route Subnetz des Clients
# bei push Subnetz des eigenen Servers eintragen
route 192.168.2.0 255.255.255.0 10.0.0.5
push "route 192.168.178.0 255.255.255.0"
push "redirect-gateway def1"


#client:
#Routen setzen, bei route Subnetz der Server-Box
# bei push Subnetz der eignen Client-Box eintragen
route 192.168.178.0 255.255.255.0 10.0.0.1
push "route 192.168.1.0 255.255.255.0"


# Don't close and reopen TUN/TAP device or run up/down 
# scripts across SIGUSR1 or --ping-restart restarts.
persist-tun 

# Change process priority after initialization 
# n>0 : lower priority; n<0 : higher priority).
nice 1
    
    
    ####################################################
    # Verbindung aufrecht halten
    #-- Server:
    ping 10
    ping-restart 60
    
    
    #-- Client:
    push "ping              15" # keep firewall open
    push "ping-restart      60" # 1 minute
    push "resolv-retry      infinite"
    
    
    
    
    ####################################################
    ## Enable compression
    ## server & client entry must be the same!
    comp-lzo
    
    
    ####################################################
    # Protokollierungseinstellung
    verb 4
    
    ####################################################
    # Daemon (Wenn alles funktioniert)
    ;daemon
    
    ####################################################
    #Allow remote peer to change its IP address and/or port number, such as due to DHCP
    # float tells OpenVPN to accept authenticated packets from any address, not only the 
    # address which was specified in the --remote option.
    float

und die (noch nicht getestete) Client-Config:


Code: 
# OpenVPN v2.0.5 config:
####################################################
# Authentifizierung und Verschluesselung
cd C:\\Program Files (x86)\\OpenVPN\\config # Pfadanpassung; bzw. /etc/keys/...
ca ca.crt
cert client01.crt
key client01.key

auth SHA1
cipher AES-256-CBC

####################################################
# Grundsaetzliches
dev tun
proto udp
# ggf. ist es bei Linux-Clients noetig, den "dev-node" (Pfad zum tun-Device) anzugeben
#for 2.4: 
# dev-node /dev/misc/net/tun 
# for 2.6:
#do not forget to insert onto shell: mknod /var/tmp/tun c 10 200
# dev-node /var/tmp/tun

nobind


####################################################
# Client-Einstellungen
tls-client
ns-cert-type server #for OVP2.0 and below: check the server.crt
pull	# Fetch configuration from Server


####################################################
# Server-Einstellungen
remote bla.bla 123    #Server IP/URI und evtl. port anpassen

####################################################
## Enable compression
## server & client entry must be equal!
comp-lzo

####################################################
# Protokollierungseinstellung
verb 4

####################################################
# Daemon
;daemon #ausf�hrung im Hintergrund

route-method exe
route-delay 2

#server:
#Routen setzen, bei route Subnetz des Clients
# bei push Subnetz des eigenen Servers eintragen
;route 192.168.xx.0 255.255.255.0
;push "route 192.168.yy.0 255.255.255.0"


#client:
#Routen setzen, bei route Subnetz der Server-Box
# bei push Subnetz der eignen Client-Box eintragen
route 192.168.178.0 255.255.255.0 10.0.0.1
push "route 192.168.1.0 255.255.255.0"


# Don't close and reopen TUN/TAP device or run up/down 
# scripts across SIGUSR1 or --ping-restart restarts.
persist-tun 

# Don't re-read key files on reconnect
persist-key

# Change process priority after initialization 
# n>0 : lower priority; n<0 : higher priority).
nice 1
    
    
    ####################################################
    # Verbindung aufrecht halten
    ping 10
    ping-restart 60

HILFE ?!
 
Zuletzt bearbeitet:
Die Server-Config ist falsch. Du hast dort jetzt Client-Einträge drin und eine Route, dass dein LAN durch das VPN zu erreichen wäre. Keine so gute Idee...
Dieser Part in der Server-Konfig muss also dringend weg oder zumindest auskommentiert werden:
Code: 
#client:
#Routen setzen, bei route Subnetz der Server-Box
# bei push Subnetz der eignen Client-Box eintragen
route 192.168.178.0 255.255.255.0 10.0.0.1
push "route 192.168.1.0 255.255.255.0"

Jörg
 
Hi,
DANKE !!!
Alle Einstellungen funktionieren nun wie gewünscht.
Nur noch eine Frage.
In wie weit ist der Datenverkehr nun erkennbar.
Eigentlicht doch garnicht, bzw. nur als Datenstrom der druch den Port geht oder?
grüße
 
Du meinst, ob der "verschlüsslt" ist, so dass ihn keiner mitlesen kann?
Ja das ist genau der Zweck der Sache ;-).
Die Verschlüsselungsart kannst du übrigens auswählen, das ist der "Cipher", solange du da nicht "unverschlüsselt" (none) auswählst...

Jörg
 
Okay, danke.
Hast du sonst noch ein paar Infos zu den Configs usw.
Das VPN-Prinzip ist mir klar, aber eben nicht die Einstellungen des Programms
und wäre schon toll wenn ich nun nicht jedesmal hier nachfragen muss ob meine config so richtig ist.
Und ein paar feineinstellung sind sicher noch drin.

Meine vorhergehende Frage kommt daher, das ich überlegte
das ganze vielleicht ehr per http-tunnel zu realisieren.
Aber naja VPN ist noch besser.

VielenDank für deine Hilfe.
 
Mist. Ich wollte
noch ein paar certifikate und keys erstellen
und dabei alles nochmal neu gemacht
nun nimmt er nichts mehr an.
Ich hab die config angepasst (also den dateipfad)

ich bekomme den fehler beim versuch zu verbinden:
Code: 
 Wed Sep 01 23:10:44 2010 us=547000 OpenVPN 2.1.3 i686-pc-mingw32 [SSL] [LZO2] [PKCS11] built on Aug 20 2010
Wed Sep 01 23:10:44 2010 us=547000 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Wed Sep 01 23:10:44 2010 us=703000 Cannot load certificate file clien01.crt: error:0906D06C:PEM routines:PEM_read_bio:no start line: error:140AD009:SSL routines:SSL_CTX_use_certificate_file:PEM lib
Wed Sep 01 23:10:44 2010 us=703000 Exiting

Beim erstellen der key mit build-key usw kam immer .old nicht gefunden
aber ausgeführt hatt er es dennoch

was mach ich diesmal falsch ?
 
Aus den Fehlermeldungen würde ich vermuten, dass du versucht hast, zwei/mehrere Zertifikate mit gleichem "CommonName" zu erzeugen.

Die OpenVPN-Meldung sagt, dass das Zertifikat aus seiner Sicht "kaputt" ist...

Jörg
 
Öhm, ja habe ich versucht.
Das How-To was ich gefunden hatte meinte, das immer der selbe CommonName
zu nutzen sei.
(http://wiki.ip-phone-forum.de/gateways:avm:howtos:mods:openvpn)
muss ich für jedes zertifikat nen anderen commonnamen nehmen ?
(vorerst hab ichs so gelöst das beide cilents die selbe key und certifikart datei nutzen, nur das ich sie umbenannt hatte.
Das ist allerdings nicht unbedingt das was optimal ist.
 
Naja, ich sach mal, steht da nich ganz so ..
Dort steht du sollst "pro Client" (!) bei Eingabe von "build-key xy" auch den CommonName "xy" nehmen, nicht "für alle Clients" den selben Namen ;-)
Will sagen:

"build-key cli1" -> CommonName "cli1"
"build-key cli2" -> CommonName "cli2"
...
"build-key cli<n>" -> CommonName "cli<n>"

Jörg
 
Aber gerne :-Ö
 
:groesste:

Es funktioniert nun alles.
Hab es die letzten 3 Tage auch auserhalb meines LAN´s getestet XDD





///
Vielleicht etwas unpassend hier, aber hast du ne idee warum ich
ständig den freetz fehler "image too big" bekomme obwohl ich nur 1 oder 2 packete auswähle ?
hab die 7270 v2 die sollte doch eingentlich noch 1-2 weitere Packete abkönnen ?!
 
Vermutlich entweder wegen
- vieler gewählter Pakete, die später abgewählt wurden (ehemals benötigte Libraries von Hand abwählen oder automatisch mit 'make config-clean-deps')
- oder du hast den Haken bei "16MB Flash" nicht gesetzt (16MB haben doch alle V2-Boxen, oder)?

(auch dazu findet sich was im Wiki ;-))

Jörg
 
okay...ich dachte die hat 32 mb und 16mb wären für kleinere box.
.....okay dan mach ich das mal an und schau weiter.
 
Der Haken macht's größer :D, ohne den wird nur ein 8MB Image gebaut, wie für (einige?) der V1-Boxen nötig...

Jörg
 
Sooo, ein neues Problem :)

Es ist nun kein Problem mehr mehr/neue Certifikate anzufertigen.
Ich hab nun 2 Clients, beide Connecten und bekommen je
eine unterschiedliche IP zugewiesen
Client 1 bekommt 10.0.0.6 und
Client 2 bekommt 10.0.0.4
soo nun das Problem:
Client 1 Nutz das Internet per VPN
Client 2 nicht. Der nutz das Internet welches "schon vorhanden" ist.
Die Einstellungen sind die selben. Proxy von Firefox ist auf standart,
vom openvpn ist auf use open vpn config-file Settings.

Bei beiden die Selben einstellungen, ABER nur einer nutzt es ?!
WISO ?
 
Um antworten zu können musst du eingeloggt sein.

Zurzeit aktive Besucher

Gesamt: 748 (Mitglieder: 28, Gäste: 720)

Neueste Beiträge

Statistik des Forums

Themen
244,837
Beiträge
2,219,248
Mitglieder
371,543
Neuestes Mitglied
Brainbanger
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
Ihr E-Mail-Adresse verifizieren

Ihr E-Mail-Adresse verifizieren

Wir haben Ihnen eine E-Mail geschickt. Klicken Sie auf die Schaltfläche im E-Mail-Text, um Ihre E-Mail-Adresse zu verifizieren – (Können Sie diese nicht finden können, dann überprüfen Sie Ihren Spam-Ordner).

IPPF im Überblick

Neueste Beiträge

Direktlinks Telefonanlage

Website-Sponsoren

3CX sponsor
KONTAKTIEREN SIE UNS BEI INTERESSE
| Style by ThemeHouse
XenPorta 2 PRO © Jason Axelrod of 8WAYRUN
Oben Unten
Zurück