[Problem] Keine Forwardrules in der ar7.cfg auffindbar

Lyrathor · 9 Mrz 2015

Moinsen,

ich bin gerade dabei OpenVPN auf meiner 7390 einzurichten bzw. bin soweit fertig. Ich kann den OpenVPN Server starten, jedoch bekomme ich bei den Clients immer die Fehlermeldung: "TLS Error: TLS key negotiation failed to occur within 60 seconds". Sieht also so aus, als wäre da eine Firewall im Weg.

Nun hatte ich die ar7.cfg bisher nicht bearbeitet, weil ich davon ausging, dass es nicht nötig ist, da meine Fritte in zweiter Reihe hinter einer 6360 läuft (wo ich selbstverständlich entsprechenden Port an die 7390 forwarde). Als es beim testen nicht einmal aus dem LAN heraus funktionierte, wollte ich nun also entsprechende Einträge in die ar7.cfg einfügen, jedoch scheitert es daran, dass ich natürlich keine forwardrules finden kann, da es keine gibt und da nur die Internetverbindung der 6360 mitbenutzt wird, kann ich natürlich über die Fritz-Oberfläche der 7390 kein Portforwarding einrichten.

Also recherchiert wo in der ar7.cfg der Eintrag sein muss und an entsprechender Stelle (ar7.cfg >> dslifaces >> dsldpconfig >> forwardrules ) eigenständig den Eintrag vorgenommen. Bam, Panik, Box nicht mehr erreichbar. War heilfroh, als ich via NotfallIP und telnet den Eintrag wieder entfernen konnte und Box wieder normal arbeitet. :mrgreen:

So und nun stehe ich da und komme nicht weiter und stelle mir auch noch immer die Frage, brauche ich die Portweiterleitung überhaupt (also ist die Firewall trotz Betrieb in zweiter Reihe aktiv) und wenn ja, wie setze ich das nun um?

Sorry für den Roman, aber ich möchte sicherstellen, dass alle benötigten Informationen enthalten sind und auch sorry, falls meine Fragen evtl. schon irgendwo hier beantwortet sind, habe zwar gesucht, jedoch nichts gefunden und will nun auf Nummer sicher gehen, nicht das ich mir meine Fritte noch gänzlich frittiere

Vielen Dank schonmal für jede Hilfe,

MFG Lyrathor

HabNeFritzbox · 9 Mrz 2015

Als IP-Client kein NAT also auch kein Routing und keine Firewall.

Also Port 1194 UDP ist an 7390 weitergeleitet in der 6360?

Lyrathor · 9 Mrz 2015

Das dachte ich mir schon, danke für die Bestätigung.

Ja, genau so ist es in der 6360 Eingestellt, hab es auch schon mehrfach kontrolliert. Wie geschrieben wird es daran wohl auch nicht liegen, denn auch aus dem LAN heraus bekomme ich bei einem Verbindungsversuch die genannte Fehlermeldung.

HabNeFritzbox · 9 Mrz 2015

Dann liegt Fehler wohl eher in der OpenVPN Server Konfig.

Kannst Konfig ja ggf hier Posten.

Lyrathor · 9 Mrz 2015

Klaro, mach ich glatt ;-)

server.conf

Code:

penVPN v2.0.5 config:
####################################################
# Authentifizierung und Verschluesselung
ca ca.crt
cert fritzbox.crt
key fritzbox.key
dh dh1024.pem

auth SHA1
cipher AES-256-CBC

####################################################
# Grundsaetzliches
port 1194
proto udp
dev tap
# insert onto shell: mknod /var/tmp/tun c 10 200
dev-node /var/tmp/tun


####################################################
# Server-Einstellungen
mode server
tls-server
client-to-client
server 10.0.0.0 255.255.255.0

ifconfig-pool-persist ipp.txt  # assign right IP-Addresses (optional)
mssfix 


#server:
#Routen setzen, bei route Subnetz des Clients
# bei push Subnetz des eigenen Servers eintragen
route 192.168.2.0 255.255.255.0 10.0.0.5
push "route 192.168.178.0 255.255.255.0"
push "redirect-gateway"


#client:
#Routen setzen, bei route Subnetz der Server-Box
# bei push Subnetz der eignen Client-Box eintragen
;route 192.168.178.0 255.255.255.0
;push "route 192.168.2.0 255.255.255.0"


# Don't close and reopen TUN/TAP device or run up/down 
# scripts across SIGUSR1 or --ping-restart restarts.
persist-tun 

# Change process priority after initialization 
# n>0 : lower priority; n<0 : higher priority).
nice 1
    

####################################################
# Verbindung aufrecht halten
#-- Server:
ping 10
ping-restart 60


#-- Client:
push "ping              15" # keep firewall open
push "ping-restart      60" # 1 minute
push "resolv-retry      infinite"




####################################################
## Enable compression
## server & client entry must be the same!
comp-lzo


####################################################
# Protokollierungseinstellung
verb 4

####################################################
# Daemon (Wenn alles funktioniert)
;daemon

####################################################
#Allow remote peer to change its IP address and/or port number, such as due to DHCP
# float tells OpenVPN to accept authenticated packets from any address, not only the 
# address which was specified in the --remote option.
float

Nochmals vielen Dank für die Hilfe.

Ich glaube langsam, ich habe den Fehler evtl. in der Client Konfiguration, deshalb hänge ich die auch mal dran:

Client.ovpn

Code:

##############################################
# Sample client-side OpenVPN 2.0 config file #
# for connecting to multi-client server.     #
#                                            #
# This configuration can be used by multiple #
# clients, however each client should have   #
# its own cert and key files.                #
#                                            #
# On Windows, you might want to rename this  #
# file so it has a .ovpn extension           #
##############################################

# Specify that we are a client and that we
# will be pulling certain config file directives
# from the server.
client

# Use the same setting as you are using on
# the server.
# On most systems, the VPN will not function
# unless you partially or fully disable
# the firewall for the TUN/TAP interface.
dev tap
;dev tun

# Windows needs the TAP-Win32 adapter name
# from the Network Connections panel
# if you have more than one.  On XP SP2,
# you may need to disable the firewall
# for the TAP adapter.
;dev-node tap-win

# Are we connecting to a TCP or
# UDP server?  Use the same setting as
# on the server.
;proto tcp
proto udp

# The hostname/IP and port of the server.
# You can have multiple remote entries
# to load balance between the servers.
remote 192.168.178.28 1194
;remote my-server-2 1194

# Choose a random host from the remote
# list for load-balancing.  Otherwise
# try hosts in the order specified.
;remote-random

# Keep trying indefinitely to resolve the
# host name of the OpenVPN server.  Very useful
# on machines which are not permanently connected
# to the internet such as laptops.
;resolv-retry infinite

# Most clients don't need to bind to
# a specific local port number.
nobind

# Downgrade privileges after initialization (non-Windows only)
;user nobody
;group nobody

# Try to preserve some state across restarts.
;persist-key
;persist-tun

# If you are connecting through an
# HTTP proxy to reach the actual OpenVPN
# server, put the proxy server/IP and
# port number here.  See the man page
# if your proxy server requires
# authentication.
;http-proxy-retry # retry on connection failures
;http-proxy [proxy server] [proxy port #]


# Wireless networks often produce a lot
# of duplicate packets.  Set this flag
# to silence duplicate packet warnings.
;mute-replay-warnings

# SSL/TLS parms.
# See the server config file for more
# description.  It's best to use
# a separate .crt/.key file pair
# for each client.  A single ca
# file can be used for all clients.
ca ca.crt
cert client01.crt
key client01.key

# Verify server certificate by checking
# that the certicate has the nsCertType
# field set to "server".  This is an
# important precaution to protect against
# a potential attack discussed here:
#  http://openvpn.net/howto.html#mitm
#
# To use this feature, you will need to generate
# your server certificates with the nsCertType
# field set to "server".  The build-key-server
# script in the easy-rsa folder will do this.
ns-cert-type server

# If a tls-auth key is used on the server
# then every client must also have the key.
;tls-auth ta.key 1

# Select a cryptographic cipher.
# If the cipher option is used on the server
# then you must also specify it here.
cipher AES-256-CBC

# Enable compression on the VPN link.
# Don't enable this unless it is also
# enabled in the server config file.
comp-lzo

# Set log file verbosity.
verb 3

# Silence repeating messages
;mute 20

HabNeFritzbox · 9 Mrz 2015

Im Server hast ja noch was mit sha1 und so stehen, denke da haut was quer.

In meinem NAS ist die Konfig recht kurz gehalten.

Server Konfig (gefiltert: ohne Zeilen mit ; oder # oder Leerzeilen)

Code:

port 1194
proto udp
dev tun
ca ca.crt
cert server.crt
dh dh2048.pem
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
keepalive 10 120
comp-lzo
persist-key
persist-tun
status openvpn-status.log
verb 3

Client (ebenfalls gefiltert)

Code:

dev tun
tls-client
remote ***SERVERADRESSE*** 1194
pull
proto udp
script-security 2
ca ca_bundle.crt
comp-lzo
reneg-sec 0
auth-user-pass

Lyrathor · 9 Mrz 2015

Danke dir, hat leider auch nicht funktioniert, selbst wenn ich deine Konfiguration komplett übernehme klappt es nicht bzw. bekomme ich weiterhin die selbe Fehlermeldung

Zudem ist mir gerade das Bridging sehr wichtig, da sich einiges was ich möchte nicht über Routing nicht umsetzen lässt.

Edith schreit vor Freude:
Hab den Fehler gefunden, es wurde nicht meine selbst erstellte server.conf verwendet, sondern eine von dem freetz OpenVPN. Nachdem ich nun die Client.ovpn entsprechend angepasst habe, bekam ich sofort eine Verbindung. Danke dir HabNeFritzbox, deine Hinweise haben mich auf den richtigen Weg gebracht.

MFG Lyrathor

Languages

Suche

Languages

Suche

[Problem] Keine Forwardrules in der ar7.cfg auffindbar

Lyrathor

Neuer User

HabNeFritzbox

Guest

Lyrathor

Neuer User

HabNeFritzbox

Guest

Lyrathor

Neuer User

HabNeFritzbox

Guest

Lyrathor

Neuer User

Zurzeit aktive Besucher

Neueste Beiträge

Statistik des Forums