Benötige hilfe bei der OpenVpn Client config

Sidebar Sidebar
Upgrade 3CX to v18 and get it hosted free!
K

Klotz

Neuer User
Mitglied seit
20 Mai 2009
Beiträge
21
Punkte für Reaktionen
0
Punkte
0
Hallo liebe Community.

Ich benötige eure hilfe bei der konfiguration des OpenVpn Clienten auf meiner FB 7170 SL.

Und zwar folgendes problem....
Mein Provider bietet Internet über VPN an, ist auch alles super und über den Windows Clienten auch kein problem, nun möchte ich aller dings mit mehreren PC ins Internet über die mit Freetz 1.1.2 geflashte FB 7170 SL.

Folgende Pakete sind auf der FB Installiert:
Virtual IP
AVM Firewall
OpenVpn

Ich habe eine vorgegebene OpenVpn.conf
Code: 
client
dev tun

proto udp
remote 192.168.19.254
port 1194

ca ca.crt
cert xxx.crt
key xxx.key

route-method exe
route-delay 2

comp-lzo
verb 3

Der Windows Client hat zudem eine Virtuelle Netzwerkkarte Installiert

IP: 10.10.10.22
Subnet: 255.255.255.252
Gatway: 10.10.10.21
DHCP-Server: 10.10.10.21
DNS-Server: 192.168.19.254

Die Logdatei des Win-Clienten hänge ich mal mit an, vielleicht hilft es ja.

Die Zertifikate sind schon auf der FB per GUI
Das Internet-Kabel hängt auf LAN 1 der FB, und der PC auf LAN 2

Ich hoffe Ihr könnt mir weiter helfen. Danke schon mal im Vorraus
 

Anhänge

  • LOG.txt
    3.7 KB · Aufrufe: 7
Hm, und was möchtest du jetzt wissen?
Du hast beim OpenVPN Paket eine GUI, was da wohin kommt sollte in den meisten Fällen wohl eindeutig sein, die Zertifikate und so sind ja schon drauf.

Die Windows-Befehle (wie "route-method exe") gibt es da natürlich nicht, sollte aber auch ohne gehen.

Jörg
 
Ich muss dazu sagen das ich auf dem gebiet Linux/VPN der absolute Anfänger bin.
Muss ich auf der Fb auch nen Virtuellen Netzwerkapdapter einrichten?
Was hat das mit den 10.10.10.ner Ip-Adressen aufsich?

Ich häng mal nen screenshot der GUI an und in der debug_openvpn.out
steht folgendes:
Code: 
Sat Jan  1 03:21:32 2000 OpenVPN 2.1_rc15 mipsel-linux [SSL] [LZO2] [EPOLL] built on Feb  6 2010
Sat Jan  1 03:21:32 2000 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Sat Jan  1 03:21:32 2000 WARNING: file '/tmp/flash/box.key' is group or others accessible
Sat Jan  1 03:21:32 2000 Control Channel Authentication: using '/tmp/flash/static.key' as a OpenVPN static key file
Sat Jan  1 03:21:32 2000 Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Sat Jan  1 03:21:32 2000 Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Sat Jan  1 03:21:32 2000 LZO compression initialized
Sat Jan  1 03:21:32 2000 Control Channel MTU parms [ L:1542 D:166 EF:66 EB:0 ET:0 EL:0 ]
Sat Jan  1 03:21:32 2000 Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:0 EL:0 AF:3/1 ]
Sat Jan  1 03:21:32 2000 Socket Buffers: R=[110592->131072] S=[110592->131072]
Sat Jan  1 03:21:32 2000 UDPv4 link local: [undef]
Sat Jan  1 03:21:32 2000 UDPv4 link remote: 192.168.19.254:1194
Sat Jan  1 03:21:33 2000 TLS: Initial packet from 192.168.19.254:1194, sid=aa7e5a5e 516e037d
Sat Jan  1 03:21:33 2000 TLS Error: cannot locate HMAC in incoming packet from 192.168.19.254:1194
Sat Jan  1 03:21:33 2000 TLS: Initial packet from 192.168.19.254:1194, sid=1e4cf880 a137d255
Sat Jan  1 03:21:33 2000 TLS Error: cannot locate HMAC in incoming packet from 192.168.19.254:1194
Sat Jan  1 03:21:35 2000 TLS: Initial packet from 192.168.19.254:1194, sid=aa7e5a5e 516e037d
Sat Jan  1 03:21:35 2000 TLS Error: cannot locate HMAC in incoming packet from 192.168.19.254:1194
Sat Jan  1 03:21:35 2000 TLS: Initial packet from 192.168.19.254:1194, sid=1e4cf880 a137d255
Sat Jan  1 03:21:35 2000 TLS Error: cannot locate HMAC in incoming packet from 192.168.19.254:1194
 
Hast du vielleicht einen Haken bei "TLS-Authentifizierung" gemacht? Das war nicht in deiner Vorlage!

Jörg

EDIT: Und ein Screenshot wäre wirklich gut...
 
Zuletzt bearbeitet:
Mist den screenshot vergessen.....

Der Haken bei TLS ist mittlerweile raus.

Hier ist mal die derzeitige OpenVpn.Conf

Code: 
#  OpenVPN 2.1 Config, Sat Jan  1 04:06:22 CET 2000
proto udp
dev tun
ca /tmp/flash/ca.crt
cert /tmp/flash/box.crt
key /tmp/flash/box.key
tls-client
remote 192.168.19.254 1194
nobind
tun-mtu 1500
mssfix
log /var/tmp/debug_openvpn.out
verb 3
daemon
cipher BF-CBC
comp-lzo

Den "TLS-CLient" bekekomm ich nicht raus aus der config
sowie ein log auszug der debug_openvpn.out

Code: 
Sat Jan  1 04:08:19 2000 OpenVPN 2.1_rc15 mipsel-linux [SSL] [LZO2] [EPOLL] built on Feb  6 2010
Sat Jan  1 04:08:19 2000 WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
Sat Jan  1 04:08:19 2000 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Sat Jan  1 04:08:19 2000 WARNING: file '/tmp/flash/box.key' is group or others accessible
Sat Jan  1 04:08:19 2000 LZO compression initialized
Sat Jan  1 04:08:19 2000 Control Channel MTU parms [ L:1542 D:138 EF:38 EB:0 ET:0 EL:0 ]
Sat Jan  1 04:08:19 2000 TUN/TAP device tun0 opened
Sat Jan  1 04:08:19 2000 TUN/TAP TX queue length set to 100
Sat Jan  1 04:08:19 2000 Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:0 EL:0 AF:3/1 ]
Sat Jan  1 04:08:19 2000 Socket Buffers: R=[110592->131072] S=[110592->131072]
Sat Jan  1 04:08:19 2000 UDPv4 link local: [undef]
Sat Jan  1 04:08:19 2000 UDPv4 link remote: 192.168.19.254:1194
Sat Jan  1 04:08:19 2000 TLS Error: Unroutable control packet received from 192.168.19.254:1194 (si=3 op=P_ACK_V1)
Sat Jan  1 04:08:21 2000 TLS Error: Unroutable control packet received from 192.168.19.254:1194 (si=3 op=P_CONTROL_V1)
Sat Jan  1 04:08:21 2000 TLS Error: Unroutable control packet received from 192.168.19.254:1194 (si=3 op=P_CONTROL_V1)
Sat Jan  1 04:08:21 2000 TLS Error: Unroutable control packet received from 192.168.19.254:1194 (si=3 op=P_CONTROL_V1)
Sat Jan  1 04:08:21 2000 TLS Error: Unroutable control packet received from 192.168.19.254:1194 (si=3 op=P_CONTROL_V1)
Sat Jan  1 04:08:21 2000 TLS Error: Unroutable control packet received from 192.168.19.254:1194 (si=3 op=P_CONTROL_V1)
Sat Jan  1 04:08:21 2000 TLS Error: Unroutable control packet received from 192.168.19.254:1194 (si=3 op=P_CONTROL_V1)
Sat Jan  1 04:08:21 2000 TLS Error: Unroutable control packet received from 192.168.19.254:1194 (si=3 op=P_CONTROL_V1)
Sat Jan  1 04:08:21 2000 TLS Error: Unroutable control packet received from 192.168.19.254:1194 (si=3 op=P_CONTROL_V1)
Sat Jan  1 04:08:21 2000 TLS Error: Unroutable control packet received from 192.168.19.254:1194 (si=3 op=P_ACK_V1)
 
Probier mal zum einen einen Haken bei "Optionen vom Server empfangen (nur mit Zertifikaten)" und dann könnte es sein, dass der Server kein passendes Zertifikat hat, also noch ein Haken ;-), bei "Keine Prüfung vom "ns-cert-type"


Jörg

EDIT Was ich jetzt erst sehe: Datum auf 2000 ist bei Zertifikaten blöde... Versuche mal (z.B. in der Rudishell oder per Telnet)
Code: 
 date -s '2010-02-06 20:00:00'
 
Zuletzt bearbeitet:
Erstmal herzlichen dank das du mir hilfst.

Die gute nachricht ist:
Code: 
Sun Feb  7 11:51:17 2010 Initialization Sequence Completed

Die weniger gute nachricht ist ich kann nach wie vor nicht ins internet über die FB

Code: 
Sun Feb  7 11:51:17 2010 PUSH: Received control message: 'PUSH_REPLY,dhcp-option DNS 192.168.19.254,redirect-gateway,route 10.10.10.1,ping 3,ping-restart 7,ifconfig 10.10.10.22 10.10.10.21'

Code: 
Sun Feb  7 11:51:17 2010 NOTE: unable to redirect default gateway -- Cannot read current default gateway from system

kann es vielleicht daran liegen?
 
Zuletzt bearbeitet:
Das OpenVPN muss für das Umleiten allen Verkehrs durch das VPN eine neue Default-Route setzen, die auf den VPN-Server zeigt.
Vorher muss aber sicher gestellt sein, dass der Server weiterhin über die "normale" Imternetverbindung erreicht werden kann. Dazu sucht das OpenVPN das bisherige Default-Gateway und setzt dann eine Host-Route für den VPN-Server über das "alte" Defaultgateway.

Scheinbar ist auf der Box aber keins eingetragen ("...Cannot read current default gateway"). Wie ist das auf der Box? Evtl. musst du noch ein Standard-Gateway eintragen??

Jörg
 
wie bekomm ich das heraus, und wo / wie muss ich das gateway eintragen.

Im Status von der Virtuellen Netzwerkkarte steht als Standartgateway 10.10.10.21
Aso im anhang noch die WebGui vom Clienten

Das hat er befehl route ausgegeben
Code: 
/sbin # route
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
192.168.180.1   *               255.255.255.255 UH    2      0        0 dsl
192.168.180.2   *               255.255.255.255 UH    2      0        0 dsl
192.168.178.0   *               255.255.255.0     U     0      0        0 lan
192.168.178.0   *               255.255.255.0     U     0      0        0 eth0
192.168.19.0     *              255.255.255.0      U     2      0        0 dsl
169.254.0.0      *               255.255.0.0         U     0      0        0 lan
default             *               0.0.0.0               U     2      0        0 dsl
/sbin #

nach dem sich der client verbunden hat steht das da
Code: 
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
10.10.10.1      10.10.10.21     255.255.255.255 UGH   0      0        0 tun0
192.168.180.1   *               255.255.255.255 UH    2      0        0 dsl
10.10.10.21     *               255.255.255.255 UH    0      0        0 tun0
192.168.180.2   *               255.255.255.255 UH    2      0        0 dsl
192.168.178.0   *               255.255.255.0   U     0      0        0 lan
192.168.178.0   *               255.255.255.0   U     0      0        0 eth0
192.168.19.0    *               255.255.255.0   U     2      0        0 dsl
169.254.0.0     *               255.255.0.0     U     0      0        0 lan
default         *               0.0.0.0         U     2      0        0 dsl

Code: 
Sun Feb  7 16:12:30 2010 /sbin/ifconfig tun0 10.10.10.22 pointopoint 10.10.10.21 mtu 1500
Sun Feb  7 16:12:30 2010 NOTE: unable to redirect default gateway -- Cannot read current default gateway from system
Sun Feb  7 16:12:30 2010 /sbin/route add -net 10.10.10.1 netmask 255.255.255.255 gw 10.10.10.21
Sun Feb  7 16:12:30 2010 Initialization Sequence Completed
 

Anhänge

  • vpngui.JPG
    vpngui.JPG
    101.8 KB · Aufrufe: 18
Zuletzt bearbeitet:
Woher kommt denn die IP auf dem DSL (die 192.168.19.x)? Hast du die irgendwo von Hand eingetragen?

Da bei dir VPN-Server und -Client im gleichen Netz sind, müsstest du statt dem "normalen" Befehl redirect-gateway eigentlich den dafür vorgesehenen Befehl
Code: 
redirect-gateway local
nutzen.

Trag das mal unten bei den Erweiterten Konfigurationsmöglichkeiten ein:openvpn_redirect-gateway_local.png

Jörg
 
Per Hand hab ich die nicht eingetragen, das ist der DHCP vom Provider. Die FB ist derzeit so konfiguriert das es über LAN1 das Internet kommt. Immer noch die gleiche meldung.

Habe eben die FB neu gestartet und OpenVpn kann sich nicht verbinden
Code: 
Sat Jan  1 01:39:22 2000 WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
Sat Jan  1 01:39:22 2000 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Sat Jan  1 01:39:22 2000 WARNING: file '/tmp/flash/box.key' is group or others accessible
Sat Jan  1 01:39:22 2000 LZO compression initialized
Sat Jan  1 01:39:22 2000 Control Channel MTU parms [ L:1542 D:138 EF:38 EB:0 ET:0 EL:0 ]
Sat Jan  1 01:39:22 2000 Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:0 EL:0 AF:3/1 ]
Sat Jan  1 01:39:22 2000 Socket Buffers: R=[110592->131072] S=[110592->131072]
Sat Jan  1 01:39:22 2000 UDPv4 link local: [undef]
Sat Jan  1 01:39:22 2000 UDPv4 link remote: 192.168.19.254:1194
Sat Jan  1 01:39:22 2000 TLS Error: Unroutable control packet received from 192.168.19.254:1194 (si=3 op=P_CONTROL_V1)
Sat Jan  1 01:39:22 2000 TLS Error: Unroutable control packet received from 192.168.19.254:1194 (si=3 op=P_CONTROL_V1)
Sat Jan  1 01:39:22 2000 TLS Error: Unroutable control packet received from 192.168.19.254:1194 (si=3 op=P_CONTROL_V1)
Sat Jan  1 01:39:22 2000 TLS Error: Unroutable control packet received from 192.168.19.254:1194 (si=3 op=P_CONTROL_V1)
Sat Jan  1 01:39:23 2000 TLS Error: Unroutable control packet received from 192.168.19.254:1194 (si=3 op=P_CONTROL_V1)
Sat Jan  1 01:39:23 2000 TLS Error: Unroutable control packet received from 192.168.19.254:1194 (si=3 op=P_CONTROL_V1)
Sat Jan  1 01:39:23 2000 TLS Error: Unroutable control packet received from 192.168.19.254:1194 (si=3 op=P_CONTROL_V1)
Sat Jan  1 01:39:23 2000 TLS Error: Unroutable control packet received from 192.168.19.254:1194 (si=3 op=P_CONTROL_V1)
Sat Jan  1 01:39:24 2000 TLS Error: Unroutable control packet received from 192.168.19.254:1194 (si=3 op=P_CONTROL_V1)
Sat Jan  1 01:39:24 2000 TLS Error: Unroutable control packet received from 192.168.19.254:1194 (si=3 op=P_CONTROL_V1)
Sat Jan  1 01:39:24 2000 TLS Error: Unroutable control packet received from 192.168.19.254:1194 (si=3 op=P_CONTROL_V1)
Sat Jan  1 01:39:24 2000 TLS Error: Unroutable control packet received from 192.168.19.254:1194 (si=3 op=P_CONTROL_V1)
Sat Jan  1 01:39:24 2000 TLS Error: Unroutable control packet received from 192.168.19.254:1194 (si=3 op=P_ACK_V1)

Erst nachdem ich den von dir bekommenen datums dings per rudi-shell eingegeben habe funtz es
Code: 
 date -s '2010-02-08 18:03:00'
 
Zuletzt bearbeitet:
Wenn die Box sich ihre Zeit nicht holt, könntest du die Uhr per "rdate" auch stellen lassen, z.B. in der Freetz-Datei rc.custom
Code: 
rdate -s time.fu-berlin.de
.

Ansonsten kann es auch sein, dass die Box einfach etwas braucht, bis sie die Zeit hat, dann hilft auch warten ;-))

Hat denn der erweiterte redirect-gateway Befehl geholfen?

Im laufenden Betrieb vergiss nicht, später den "Debug-Haken" oben wieder zu entfernen, sonst läuft dir irgendwann der Speicher voll.

Jörg
 
Der redirect-gateway Befehl hat leider nicht geholfen.
 
Dann kannst du das auch "Nachbilden", indem du bei "Entferntes Netz:" diesen Eintrag machst "0.0.0.0 128.0.0.0 ; 128.0.0.0 128.0.0.0"openvpn_redirect-gateway_nachbau.png

(Unten dann den Befehl wieder rausnehmen, ist nur unnütz).



Jörg
 
da Passiert auch nichts,

Code: 
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
10.10.10.1      10.10.10.21     255.255.255.255 UGH   0      0        0 tun0
192.168.180.1   *               255.255.255.255 UH    2      0        0 dsl
10.10.10.21     *               255.255.255.255 UH    0      0        0 tun0
192.168.180.2   *               255.255.255.255 UH    2      0        0 dsl
192.168.178.0   *               255.255.255.0   U     0      0        0 lan
192.168.19.0    *               255.255.255.0   U     2      0        0 dsl
169.254.0.0     *               255.255.0.0     U     0      0        0 lan
default         10.10.10.21     128.0.0.0       UG    0      0        0 tun0
128.0.0.0       10.10.10.21     128.0.0.0       UG    0      0        0 tun0

so sieht es danach in den tabels aus
 
Dann liegt es aber an was anderem, denn das Routing ist so richtig und geht durch den Tunnel:

Code: 
default         10.10.10.21     128.0.0.0       UG    0      0        0 tun0
128.0.0.0       10.10.10.21     128.0.0.0       UG    0      0        0 tun0

Was genau geht denn nicht?
Mach mal zuerst von der Box ein "ping -c 1 www.heise.de". Geht das?
Wie ist es vom PC?

Jörg
 
von der box aus geht es so wie ich das ersehen kann

Code: 
PING www.heise.de (193.99.144.85): 56 data bytes
64 bytes from 193.99.144.85: seq=0 ttl=246 time=35.540 ms

--- www.heise.de ping statistics ---
1 packets transmitted, 1 packets received, 0% packet loss
round-trip min/avg/max = 35.540/35.540/35.540 ms

aber von windows aus nicht
Code: 
>ping www.heise.de

Ping www.heise.de [193.99.144.85] mit 32 Bytes Daten:

Zeitüberschreitung der Anforderung.
Zeitüberschreitung der Anforderung.
Zeitüberschreitung der Anforderung.
Zeitüberschreitung der Anforderung.

Ping-Statistik für 193.99.144.85:
    Pakete: Gesendet = 4, Empfangen = 0, Verloren = 4 (100% Verlust),
 
Und vom PC aus ein "tracert -d www.heise.de" ?

EDIT: Sorry, Denkfehler von mir, das kann so nicht gehen: Der VPN-Server kennt ja dein lokales Netz (192.168.178.x) nicht und kann also nicht antworten. Damit das funktioniert, müsstest du den PC hinter der VPN-Adresse der Box "verstecken", dafür brauchst du aber zusätzlich noch "iptables" auf der Box.


Jörg
 
so das ist jetzt mit dem aktiven Windows clienten

Code: 
>tracert -d www.heise.de

Routenverfolgung zu www.heise.de [193.99.144.85]  über maximal 30 Abschnitte:

  1     4 ms     3 ms     3 ms  10.10.10.1
  2     8 ms     4 ms     4 ms  192.168.1.1
  3    26 ms    17 ms    18 ms  213.148.133.4
  4    12 ms    11 ms    13 ms  87.234.12.29
  5    16 ms    28 ms    15 ms  213.148.128.221
  6    16 ms    15 ms    15 ms  87.234.12.221
  7    28 ms    28 ms    26 ms  213.148.128.177
  8    27 ms    27 ms    30 ms  194.146.118.16
  9    33 ms    37 ms    36 ms  82.98.98.110
 10    35 ms    31 ms    32 ms  193.99.144.85

Ablaufverfolgung beendet.

und das ist mit aktiven vpn client auf der FB

Code: 
>tracert -d www.heise.de

Routenverfolgung zu www.heise.de [193.99.144.85]  über maximal 30 Abschnitte:

  1    <1 ms    <1 ms    <1 ms  192.168.178.1
  2     *        *        *     Zeitüberschreitung der Anforderung.
  3     *        *        *     Zeitüberschreitung der Anforderung.
  4     *        *        *     Zeitüberschreitung der Anforderung.
  5     *     ^C

EDIT: Ist ja kein ding das man ddenkfehler hat. D.h. ich mach mir ne neue FW mit IPtabels
 
Ja, damit sollte es dann gehen. Iptables-Befehl:

iptables -t nat -A POSTROUTING -o tun0 -s 192.168.178.0/24 -j MASQUERADE


Jörg
 
Um antworten zu können musst du eingeloggt sein.

Zurzeit aktive Besucher

Gesamt: 446 (Mitglieder: 51, Gäste: 395)

Neueste Beiträge

Statistik des Forums

Themen
244,969
Beiträge
2,221,935
Mitglieder
371,743
Neuestes Mitglied
levin.friedrich
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
Ihr E-Mail-Adresse verifizieren

Ihr E-Mail-Adresse verifizieren

Wir haben Ihnen eine E-Mail geschickt. Klicken Sie auf die Schaltfläche im E-Mail-Text, um Ihre E-Mail-Adresse zu verifizieren – (Können Sie diese nicht finden können, dann überprüfen Sie Ihren Spam-Ordner).

IPPF im Überblick

Neueste Beiträge

Direktlinks Telefonanlage

Website-Sponsoren

3CX sponsor
KONTAKTIEREN SIE UNS BEI INTERESSE
| Style by ThemeHouse
XenPorta 2 PRO © Jason Axelrod of 8WAYRUN
Oben Unten
Zurück