OpenVPN-Paket

HolyPetrus · 20 Jun 2007

@molfi: ich hab heute probiert mit dem aktuellen dsmod die aktuelle firmware für die 7050 zu modden. brach aber mit fehlermeldung ab, die unterstützung für die neuen firmwares soll ja eigentlich erst mit 14.5 kommen. deswegen hab ich mich gewundert, wieso es bei dir läuft.

frank_m24 · 20 Jun 2007

Hallo,

@HolyPetrus: In diesem Thread gibts weiter vorne die (inoffiziellen) Patches, mit denen die Version 14.4 problemlos mit der 14.04.33 geht.

Viele Grüße

Frank

molfi · 20 Jun 2007

richtig. Als Patch würd ich es nicht bezeichnen. Ich habe nur eine Datei ausgetauscht. Zwei Zeilen Code sind der Grund für den Abbruch. Dann funktioniert es mit dem Kompilieren.

hermann72pb · 21 Jun 2007

@HolyPetrus: molfi meinte nicht diesen Thread, sondern Hauptthread zu 14.4. Wenn du dort sucht, findest du in etwa an Seite 5 oder so einen Patch, bzw. eine Anleitung, wie man 7050 mit 33-Firm kompillieren kann. Wenn du Platzprobleme kriegst, suchst du nach meiner Anleitung hier im Forum oder liest WIKI von kriegaex zu dem Thema. Damit ist diese OT-Diskussion hier beendet.
@molfi: Natürlich musst du erst alle Zertifikate erzeugen und sonstige Einstellungen richtig ausfüllen, bevor du OpenVPN startest. Das könnte der Grund für "failed" sein. Noch besser wäre die Einstellungen vorerst auf einem PC zu testen, wenn die Möglichkeit dazu gibt. Und überhaupt, wofür brauchst du Zertifikate? Wenn du nur ein Client-Rechner an deine Box und an das Netz dahinter verbinden willst, reicht dir gemeinsamer Schlüssel im privaten Gebrauch völlig aus. Denk bitte daran, dass bei dir alles im RAM liegt. Und 7050 ist etwas schwächer, was die Leistung betrifft. Wenn du parallel WLAN mit WPA2 betreibst, DSL2 hast, VOIP-Gespräche führst und noch OpenVPN mit Zertifikatten am laufen hast, könnte es eng sein.

MfG

molfi · 21 Jun 2007

Hi hermann72pb.
Hm, was die Leistung angeht, würd ich das gern austesten, obs noch "passt". Mal sehen, was die "alte Mühle" noch so bringt ;-).

Zertifikate möchte ich nutzen, weil ich zwei Boxen ständig miteinander verbinden möchte und bei Bedarf mit meinem Notebook zusätzlich zugreifen möchte.

Hast Du Erfahrung mit Zertifikaten? Wie kann ich die am besten kreieren?
Mit openvpn selbst?

Gruß und Dank
molfi

hermann72pb · 21 Jun 2007

Zertifikate hatte ich nur auf einem echten Linux-Rechner als OpenVPN-Server eingesetzt. Dort hatte ich die Zertifikate nach der Anleitung von OpenVPN-Webseite erzeugt. Ob die internen Boxmittel es auch erlauben, weiß ich nicht. Ob du es unter windows machen kannst, weiß ich ebenfalls nicht. OpenVPN-GUI bring nur Static Key Erzeuger mit. Das geht dann unter windows mit paar Mausklicks. Die Zertifikate ist eine komplizierte Sache. Lese dich bitte genau ein auf der OpenVPN-Seite. Und befolge genau die Anweisungen.
MfG

MaxMuster · 21 Jun 2007

Hi,

also aus meiner Sicht ist das mit den Zertifikaten nicht wirklich kompliziert, es gibt genügend Step-by-step Anleitungen, die das beschreiben (z.B. auch im WiKi)
Ich habe sie per beim Openvpn "mitinstallierten" easy-rsa erzeugt (zwei, drei Einträge in vars.bat, ein paar batch-Dateien aufrufen und fertig...). Die erzeugten Schlüssel und Zertifikate werden dann per Copy-and-Paste in die entsprechneden GUI-Maske vom ds-mod eingetragen und es geht los. Da ist das ganze wirklich dank der schicken GUI recht einfach...

Jörg

molfi · 22 Jun 2007

@hermann72bp: Klar, Zertifikate müssen natürlich zuvor erstellt und implementiert werden. Dann klappt auch das Starten des openvpn Servers.

@MaxMuster: Jo vielen Dank für den Tipp. Die Anleitung im Wiki ist super. Die Erstellung der Zertifikate etc. hat auf Anhieb geklappt.

Nun konnte ich eine Client-Server verbindung herstellen und weiß zumindest, dass es funktioniert. Die Fritzbox-Fritzbox verbindung werde ich dann demnächst mal testen. Und dazu dann die Multiclient verbindung auch noch.

Gruß
molfi

Lemur · 30 Jun 2007

open VPN als interne & externe Absicherung

Vorab ein freundliches Hallo in die Runde !

Bin seit einigen Tagen damit beschäftigt, eine oVPN Lösung umzusetzen, bei der ich nun nicht mehr weis, wo ich weiter suchen soll. (In den einschlägigen Wiki’s und Thread’s bin ich nicht wirklich fündig geworden.)

Ziel:
- Eine 7170 mit DS-Mod (siehe Signatur) soll als oVPN Server dienen.
- Die gesamte WLAN Komunikation soll später über oVPN laufen und Clients ohne oVPN Zugang sollen nur noch intern kommunizieren dürfen. (ar7.cfg)
- Von Extern, z.B. aus dem I-Net, möchte ich via oVPN ins Netzwerk kommen und meinen gesamten Traffic via oVPN abwickeln, dabei will ich Zugriff auf alle anderen oVPN Clients und alle anderen nicht oVPN Clients, des internen Netzwerks.

Derzeitiger Stand

- Von extern nach intern = OK (Traffic läuft via VPN, Ping zum Server + nicht Vpn Clients geht)
- Von intern nach extern = OK (Traffic läuft über den VPN Server, Ping zum Server geht)
- Von oVPN Client zu oVPN Client = FEHLER (kein Ping der VPN Adresse möglich)
Sobald ich mich über VPN verbunden habe, kann ich die anderen oVPN Clients nicht mehr anpingen, bin ich nicht verbunden, geht dass sehr wohl. (Wahrscheinlich durch das TAP)
Dafür kann ich als VPN Client aber auch die nicht VPN Clients anpingen, (wahrscheinlich durch das TAP), was ja auch so gedacht ist.

Meine Frage:

- Wie bekomme ich nen Ping von VPN Client zu VPN Client?
- Wie bringe ich dem Server bei, dass er nur von VPN nach unsicher (hier das WLAN), nicht aber von unsicher nach VPN Netz Routen darf?

(Wenn das VPN hinterher steht, möchte ich im WLAN Client2Client verbieten und mittels der ar7.cfg den Zugriff auf externe bereiche sperren. Dass soll dann nur noch mit aktiver VPN Verbindung zu realisieren sein. – Alle Clients ohne VPN Zugang sollen dabei als „unsicher“ eingestuft werden.)

Hier meine Konfiguration:

FB7170 192.168.1.1 / 255.255.0.0
^^ VPN 10.0.0.1 / 255.255.255.0

Server conf von der 7170

Code:

# OpenVPN 2.1 Config
proto udp
port 1194
dev tap
ca /tmp/flash/ca.crt
cert /tmp/flash/box.crt
key /tmp/flash/box.key
mode server
tls-server
dh /tmp/flash/dh.pem
tls-auth /tmp/flash/static.key 0
ifconfig-pool 10.0.0.60 10.0.0.99
ifconfig 10.0.0.1 255.255.255.0
push "route-gateway 10.0.0.1"
push "route 192.168.1.1 255.255.255.0"
push "dhcp-option DNS 10.0.0.1"
push "redirect-gateway"
max-clients 40
tun-mtu 1500
mssfix

daemon
verb 3

cipher AES-256-CBC
comp-lzo
keepalive 10 120

Die Client Config:

Code:

# OpenVPN v2.0.5 config:
####################################################
# Authentifizierung und Verschluesselung
cd c:\\programme\\openvpn\\config # Pfad zur Cert
ca ca.crt
cert WS-1.crt
key WS-1.key
tls-auth tls.key 1
auth SHA1
cipher AES-256-CBC

####################################################
# Grundsaetzliches
dev tap
proto udp
nobind

####################################################
# Client-Einstellungen
tls-client
ns-cert-type server 	#check the server.crt
pull			# Fetch configuration from Server

####################################################
# Server-Einstellungen - Ich verwende 2 Configs, um als interner Nutzer nicht
# an meine Uploadlimits des DSL Anschlusses gebunden zu sein, daher spreche
# ich den Server hier direkt über die Lokale adresse an, extern geht aber auch

remote 192.168.1.1 1194    #Server IP/Port

####################################################
## Enable compression
comp-lzo

####################################################
# Protokollierungseinstellung
verb 4

####################################################
# Daemon
;daemon 		#ausführung im Hintergrund

####################################################
# Verbindung und weiteres
ping 10
ping-restart 60

persist-tun 
persist-key

Hier nen route print auszug vom Client:

Code:

===========================================================================
Schnittstellenliste
0x1 ........................... MS TCP Loopback interface
0x2 ...00 16 cf 73 28 36 ...... Broadcom 802.11g-Netzwerkadapter - Paketplaner-M
iniport
0x3 ...00 ff cc 5d 23 48 ...... TAP-Win32 Adapter V8 - Paketplaner-Miniport
===========================================================================
===========================================================================
Aktive Routen:
     Netzwerkziel    Netzwerkmaske          Gateway   Schnittstelle  Anzahl
          0.0.0.0          0.0.0.0         10.0.0.1       10.0.0.60       1
         10.0.0.0    255.255.255.0        10.0.0.60       10.0.0.60       30
        10.0.0.60  255.255.255.255        127.0.0.1       127.0.0.1       30
   10.255.255.255  255.255.255.255        10.0.0.60       10.0.0.60       30
        127.0.0.0        255.0.0.0        127.0.0.1       127.0.0.1       1
      192.168.1.0    255.255.255.0     192.168.1.32    192.168.1.32       25
     192.168.1.32  255.255.255.255        127.0.0.1       127.0.0.1       25
    192.168.1.255  255.255.255.255     192.168.1.32    192.168.1.32       25
        224.0.0.0        240.0.0.0        10.0.0.60       10.0.0.60       30
        224.0.0.0        240.0.0.0     192.168.1.32    192.168.1.32       25
  255.255.255.255  255.255.255.255        10.0.0.60       10.0.0.60       1
  255.255.255.255  255.255.255.255     192.168.1.32    192.168.1.32       1
Standardgateway:          10.0.0.1
===========================================================================
Ständige Routen:
  Keine

Und hier das Routing vom Server:

Code:

/var/mod/etc $ route
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
192.168.180.1   *               255.255.255.255 UH    2      0        0 dsl
192.168.180.2   *               255.255.255.255 UH    2      0        0 dsl
192.168.178.0   *               255.255.255.0   U     0      0        0 eth0
192.168.178.0   *               255.255.255.0   U     0      0        0 lan
10.0.0.0        *               255.255.255.0   U     0      0        0 tap0
192.168.0.0     *               255.255.0.0     U     0      0        0 lan
default         *               0.0.0.0         U     2      0        0 dsl
/var/mod/etc $

Ich hoffe Ihr könnt meine Fragestellung nachvollziehen und mir einen Lösungsvorschlag an die Hand geben.

Schon mal Dankeschön im Voraus.

Grüße Lemur

MaxMuster · 1 Jul 2007

Hi,

das "erste Problem" (die Clients können sich per ovpn erreichen) sollte klappen, beim zweiten (das Unterbinden) hätte ich noch keine Idee.

Als erstes fände ich es interessant, ob die ARP-Auflösung klappt. Mach doch mal, nachdem du z.B. von 10.0.0.60 die 10.0.0.61 angepingt hast, ein arp -a. Auch ein ifconfig oder ipconfig /all wäre nicht schlecht...
Du könntest mal ein ifconfig-pool 10.0.0.60 10.0.0.99 255.255.255.0 versuchen, damit die Clients gleich "wissen", dass an dem TAP das ganze Netz hängt.

Ein paar grundsätzliche Dinge sind mir noch aufgefallen, die vermutlich nicht unbedingt was mit deinem Problem zu tun haben müssen:

push "route 192.168.1.1 255.255.255.0": sollte da nicht ein Netz, keine IP stehen? Warum ein Klass C Netz, wo doch alles ein B-Netz ist? Die internen Clients "kennen" das Netz schon und benutzen das sogar für die VPN-Verbindung. Wenn das also durch den VPN-Tunnel geroutet würde, wäre die Verbindung Weg ("rekursive Route")...
Warum nutzt der Server für 192.168.1.1 ein B-Class Netz (255.255.0.0) und der Client für 192.168.1.32 ein C-Class Netz (255.255.255.0)?
Wenn du später den Zugriff der Clients untereinander "verbieten" möchtest, ist vielleicht das TUN-Device für dich besser, weil du dann quasi jeden Client hinter einer speziellen Verbindung hast und nicht alle Clients an "einer virtuellen Netzwerkkarte" hängen... Ist aber nur so ein erster Gedanke, noch kein "Konzept" dahinter

Jörg

Lemur · 2 Jul 2007

Hallo Jörg,

erstmal Danke für das Reflektieren meiner Konfiguration.

das "erste Problem" (die Clients können sich per ovpn erreichen) sollte klappen,

genau dass funktioniert eben nicht. Ich kann z.B. von 10.0.0.60 den 192.168.1.40 anpingen, aber nicht die selbe Workstation über die 10.0.0.61.
(Umgekehrt geht dass übrigens auch, von der 192.168.1.40, als nicht verbundener VPN Client, die 10.0.0.60 - wahrscheinlich wegen dem TAP, s.o.)

Ausschließlich direkt vom Server (via SSH über die Box), bekomme ich einen Ping zu allen aktiven VPN Clients.

Daher bringt auch das ARP nichts, oder sollte ich das von dem Server ausführen?

Zu deinen weiteren Anregungen:

1. sollte da ein Netz und keine IP stehen, stimmt - funktioniert aber trozdem, werde ich gleich aber ändern.

2. Ich hatte die Maske geändert, weil ich dachte der Fehler würde an der B-/C- Class Auflösung liegen, im Grunde wäre ein Routing nur für das C-Class Network nötig, darf aber ruhig auch aufs B-Class, somit werde ich auch diese Einstellung nochmal ändern.

3.

Wenn das also durch den VPN-Tunnel geroutet würde, wäre die Verbindung Weg ("rekursive Route")

Dass versteh ich nicht so ganz. Die Clients sollen ja einfach nur ein zusätzliches virtuelles Netzwerk, im selben Netzwerk herstellen, ist es da nicht egal, wo die Verbindung herkommt? Am VPN Server soll schließlich später nur noch einseitig von VPN in das LAN, jedoch nicht wie derzeit vom LAN ins VPN geroutet werden.

4. TUN macht aus meinem derzeitigen Kenntnisstand auch nur noch Sinn. Es sei denn, ich würde eine Lösung finden, wie man TAP verbieten könnte, vom LAN ins VPN zu "routen", aber ich denke TUN wäre hier einfacher zu handhaben als ein gebrücktes Device.

Was mir noch eingefallen ist:

Fehlt in meiner o. g. Serverconfig nicht noch der Befehl "client-to-client", damit diese auch untereinander Komunizieren dürfen? Die Config hab ich über das Web-GUI vom DS-Mod erstellt und dort c2c natürlich auch angeklickt, dennoch erscheint diese nicht in der Serverconfig, s.o. . Wahrscheinlich werde ich bei meinem Szenario wohl nicht drum rum kommen, die Serverconfig manuell zu schreiben.

Ich bin mom. gerad mit dem neuen DS Mod beschäftigt, wo VPN leider noch nen kleinen BUG hat. In diesem Zug muss ich die BOX eh neu konfigurieren und werde dann auch gleich die o. g. Änderungen durchführen und neue Configs (und hoffentlich die ARP's, wenns denn funktioniert) posten.

Weitere Anregungen gerne erbeten.

Grüße Dominik

MaxMuster · 2 Jul 2007

Mal ein paar Dinge dazu, vielleicht hilft es ja:

Lemur schrieb:
Ich kann z.B. von 10.0.0.60 den 192.168.1.40 anpingen, aber nicht die selbe Workstation über die 10.0.0.61.
(Umgekehrt geht dass übrigens auch, von der 192.168.1.40, als nicht verbundener VPN Client, die 10.0.0.60 - wahrscheinlich wegen dem TAP, s.o.)

Sicher, dass du nicht von 192.168.1.32 die 192.168.1.40 erreichst?!? Wenn der Client "intern" ist, hat er ja auch noch den "direkten" Draht über das LAN und pingt man jemanden an, wird immer die "Ausgangs-IP" genutzt, im Falle des LANs also jeweils die 192.168.1.x. Mich würde daher trotzdem mal interessieren, ob denn die ARP-Auflösung über das TAP klappt (arp -a), ich hatte da eigentlich keine Probleme mit, hatte jedoch das TAP auf der Fritzbox immer mit dem LAN gebridged...

Lemur schrieb:
Dass versteh ich nicht so ganz. Die Clients sollen ja einfach nur ein zusätzliches virtuelles Netzwerk, im selben Netzwerk herstellen, ist es da nicht egal, wo die Verbindung herkommt? Am VPN Server soll schließlich später nur noch einseitig von VPN in das LAN, jedoch nicht wie derzeit vom LAN ins VPN geroutet werden.

Ob das zum Problem wird, hängt vom Routing und den vergebenen Gewichtungen ab. Es würde ein Problem, wenn eine Route für 192.168.1.1 über 10.0.0.1 auftauchte:

Du möchtest ein Daten-Paket durchs VPN an 10.0.0.x schicken. Das muss durch den Tunnel an 10.0.0.1. Dazu wird das Paket "eingepackt" und als VPN-Paket an 192.168.1.1 geschickt. Um ein Paket an 192.168.1.1 zu schicken, muss es an 10.0.0.1 durch den Tunnel, also einpacken und Verpackt an 192.168.1.1 schicken. Um ein Paket an 192.168.1.1 zu schicken, muss es.....

Lemur schrieb:
Fehlt in meiner o. g. Serverconfig nicht noch der Befehl "client-to-client", damit diese auch untereinander Komunizieren dürfen?

Das "client-to-client", wirkt eigentlich nur wie ein "Skript", was dafür sorgt, dass den Clients die Routen zu den anderen Clients geschickt werden. Das wird von der GUI "emuliert", indem die Routen direkt geschickt werden. Das ist bei dir auch drin und scheint zu fluppen, denn der Client hat ja eine Route für 10.0.0.0 255.255.255.0 über 10.0.0.60 (was bei einem TAP ja korrekt ist).

Jörg

tanduay · 12 Jul 2007

Hallo,
ich probier und teste nun schon seit ein paar Tagen mit dem OpenVPN Paket im dsmod25-15 rum. Ich versuche einen einfachen Aufbau eines VPN Tunnels von einem Client aus mit Zertifikaten.
Ich bekomme jedesmal einen TLS-Authentifizierungs-Fehler , wenn ich mich mit meinem OVPN Client verbinden möchte. Laut Recherchen wird dieser Fehler gemeldet, wenn ein Problem mit den Zertifikaten vorliegt.
Bin also hergegangen und hab mir neue Zertifikate erstellt mithilfe meines installierten OpenVPN Clients ( Version 2.1_rc4). Um Zertifikate zu erstellen gibt es im Internet How-To's mit denen gar nichts schief gehen kann. Wenn ich so erstellte Zertifikate allerdings im dsmod-Openvpn eintrage will dieser nicht mehr starten. Start Openvpn failed... wird ausgegeben.
HAt da jemand Erfahrung? Bzw. wenn man sich die letzten Einträge hier so anschaut, funzt das wohl bei den meisten hier ohne Probleme. Kann mir da jemand ein bischen Hilfestellung geben?

Besten Dank im voraus.

AndreR · 12 Jul 2007

@tanduay - hast du den Syslog? dann schau mal nach dem Fehlgeschlagenen Start dort hinein, dort kommt eine Fehlermeldung die meist schon Aufschluss gibt.

tanduay · 12 Jul 2007

Hallo André,
Danke für den Hinweis... kannst du mir sagen, wo ich die finde? Ich hab nach anderen Fehlern auch schonmal danach gesucht, diese aber nicht gefunden.

Gruß
Leo

MaxMuster · 12 Jul 2007

Am Besten gehst du folgendermaßen vor:
Kopiere die openvpn-Config von /mod/etc nach /var/tmp, editiere die Datei, indem du zumindest die Zeile daemon rausnimmst, evtl. noch verb auf 6 setzen. Dann starte openvpn --config <configdatei in tmp> und du bekommst alle Ausgaben in der Konsole.

Jörg

tanduay · 28 Jul 2007

Lokale Routen werden falsch gesetzt

Hallo Miteinander,
seit Tagen experimentier ich mit OpenVPN innerhalb des dsmod26.15.1 (Firmware 37) mit meiner FritzBox 7170 rum. Alle Funktionen laufen stabil. Seit heute morgen kann ich auch per VPN mit Zertifikaten eine Verbindung aufbauen und habe Zugriff auf alle Geräte hinter der Fritzbox, welche als VPN-Server fungiert. Ein einziges Problem hab ich noch... vielleicht kann mir einer von euch dabei helfen.
Zunächst meine Konfiguration:

Als OpenVPN Client nutze ich: OpenVPN 2.1_rc4

Server.config (Screenshots siehe Anhang):

# OpenVPN 2.1 Config
proto udp
port 1194
dev tap
ca /tmp/flash/ca.crt
cert /tmp/flash/box.crt
key /tmp/flash/box.key
mode server
tls-server
dh /tmp/flash/dh.pem
ifconfig-pool 192.168.200.10 192.168.200.20
ifconfig 192.168.200.1 255.255.255.0
push "route-gateway 192.168.200.1"
push "route 192.168.178.0 255.255.255.0"
push "redirect-gateway"
max-clients 5
tun-mtu 1500
mssfix

daemon
verb 3

cipher BF-CBC
comp-lzo
keepalive 10 120
status /var/log/openvpn.log

Client.conf:

# OpenVPN v2.0.5 config:
#
# Grundsätzliches (Was soll der CLIENT nutzen)
#-port 1194
proto udp
dev tap
# Client-Einstellungen
tls-client
ns-cert-type server
remote xxx
# Authentifizierung und Verschlüsselung
ca ca.crt
cert client01.crt
key client01.key
#tls-auth static.key
#auth SHA1
#cipher AES-256-CBC
# Sonstiges
tun-mtu 1500
mssfix
nobind
pull
verb 3
comp-lzo

Funktioniert alles hervorragend, bis auf eine Kleinigkeit...

Damit der Zugriff auf die PC's im Netz funktioniert, muß ich im OpenVPN "Client Traffic umleiten" einschalten. Dann noch eine statische Route in der Fritzbox konfigurieren und voila ! Aber...

Nach dem Verbindungsaufbau sieht meine lokale Routenkonfig folgendermaßen aus:

===========================================================================
Schnittstellenliste
19 ...00 ff 95 5e 05 f4 ...... TAP-Win32 Adapter V9
12 ...00 10 c6 e6 d8 d9 ...... Bluetooth-Gerõt (PAN)
9 ...00 15 00 38 cc a4 ...... Intel(R) PRO/Wireless 2200BG-Netzwerkverbindung
8 ...00 14 c2 d9 e5 ad ...... Broadcom NetXtreme-Gigabit-Ethernet
15 ...00 50 56 c0 00 01 ...... VMware Virtual Ethernet Adapter for VMnet1
17 ...00 50 56 c0 00 08 ...... VMware Virtual Ethernet Adapter for VMnet8
1 ........................... Software Loopback Interface 1
13 ...02 00 54 55 4e 01 ...... Teredo Tunneling Pseudo-Interface
20 ...00 00 00 00 00 00 00 e0 isatap.{955E05F4-BB2B-491F-9538-FDC0DB269E03}
21 ...00 00 00 00 00 00 00 e0 isatap.{D7A9AA23-E892-4B52-8F88-8351E0B539C0}
14 ...00 00 00 00 00 00 00 e0 isatap.{31B87E85-3A61-49F7-99F3-B514B49435EB}
16 ...00 00 00 00 00 00 00 e0 isatap.{53CD10C3-9B70-4D9B-980F-F19A16E360F9}
18 ...00 00 00 00 00 00 00 e0 isatap.{EF745954-A55F-4FE5-BB4E-30721864A37A}
27 ...00 00 00 00 00 00 00 e0 Microsoft-ISATAP-Adapter #6
===========================================================================

IPv4-Routentabelle
===========================================================================
Aktive Routen:
Netzwerkziel Netzwerkmaske Gateway Schnittstelle Metrik
0.0.0.0 0.0.0.0 192.168.200.1 192.168.200.10 30
89.15.120.48 255.255.255.255 192.168.179.1 192.168.179.21 25
127.0.0.0 255.0.0.0 Auf Verbindung 127.0.0.1 306
127.0.0.1 255.255.255.255 Auf Verbindung 127.0.0.1 306
127.255.255.255 255.255.255.255 Auf Verbindung 127.0.0.1 306
169.254.0.0 255.255.0.0 Auf Verbindung 192.168.101.1 30
169.254.255.255 255.255.255.255 Auf Verbindung 192.168.101.1 276
192.168.101.0 255.255.255.0 Auf Verbindung 192.168.101.1 276
192.168.101.1 255.255.255.255 Auf Verbindung 192.168.101.1 276
192.168.101.255 255.255.255.255 Auf Verbindung 192.168.101.1 276
192.168.178.0 255.255.255.0 192.168.200.1 192.168.200.10 30
192.168.179.0 255.255.255.0 Auf Verbindung 192.168.179.21 281
192.168.179.21 255.255.255.255 Auf Verbindung 192.168.179.21 281
192.168.179.255 255.255.255.255 Auf Verbindung 192.168.179.21 281
192.168.200.0 255.255.255.0 Auf Verbindung 192.168.200.10 286
192.168.200.10 255.255.255.255 Auf Verbindung 192.168.200.10 286
192.168.200.255 255.255.255.255 Auf Verbindung 192.168.200.10 286
192.168.213.0 255.255.255.0 Auf Verbindung 192.168.213.1 276
192.168.213.1 255.255.255.255 Auf Verbindung 192.168.213.1 276
192.168.213.255 255.255.255.255 Auf Verbindung 192.168.213.1 276
224.0.0.0 240.0.0.0 Auf Verbindung 127.0.0.1 306
224.0.0.0 240.0.0.0 Auf Verbindung 192.168.213.1 276
224.0.0.0 240.0.0.0 Auf Verbindung 192.168.101.1 276
224.0.0.0 240.0.0.0 Auf Verbindung 192.168.200.10 286
224.0.0.0 240.0.0.0 Auf Verbindung 192.168.179.21 281
255.255.255.255 255.255.255.255 Auf Verbindung 127.0.0.1 306
255.255.255.255 255.255.255.255 Auf Verbindung 192.168.213.1 276
255.255.255.255 255.255.255.255 Auf Verbindung 192.168.101.1 276
255.255.255.255 255.255.255.255 Auf Verbindung 192.168.200.10 286
255.255.255.255 255.255.255.255 Auf Verbindung 192.168.179.21 281
===========================================================================
Ständige Routen:
Keine

Erster Eintrag der Routingtabelle ist etwas schlecht, weil auch der Netzwerkverkehr ins Internet über die VPN Verbindung geleitet wird. Dafür ist in der dsmod Konfig der Punkt Client Traffic umleiten verantwortlich. Wenn dieser aber nicht eingestellt ist, bekommt mein VPN-Netzwerkadapter keine Gateway Adresse zugewiesen, was genauso Mist ist, denn dann funktioniert der Zugriff auf die Geräte im 192.168.178.x - Netz nicht (Geräte der Fritzbox, auf welcher der VPN Server läuft).

Hat irgend jemand von euch eine Idee?

Besten Dank im voraus.

Gruß

knox · 28 Jul 2007

tanduay schrieb:
im OpenVPN "Client Traffic umleiten" einschalten [...] ist etwas schlecht, weil auch der Netzwerkverkehr ins Internet über die VPN Verbindung geleitet wird. [...]
Dafür ist in der dsmod Konfig der Punkt Client Traffic umleiten verantwortlich.

Richtig: bei aktivierter Webif Option "Client Verkehr umleiten" sendet der OpenVPN Server der Fritzbox den Schalter "redirect-gateway" an die Clients.
Diese Server-Option führt letztlich dazu, dass die Clients den VPN Server (die Fritzbox) als default Gateway ins Internet verwenden; der Verkehr wird also über die Box umgeleitet.
Diese Schalter sind übrigens in der OpenVPN Doku genau beschrieben und das von Dir beobachtete Verhalten des Package ist vollkommen beabsichtigt so.

tanduay schrieb:
Damit der Zugriff auf die PC's im Netz funktioniert, muß ich im OpenVPN "Client Traffic umleiten" einschalten.

Das ist sicher nicht der richtige Weg.

tanduay schrieb:
Wenn dieser aber nicht eingestellt ist, bekommt mein VPN-Netzwerkadapter keine Gateway Adresse zugewiesen, was genauso Mist ist, denn dann funktioniert der Zugriff auf die Geräte im 192.168.178.x - Netz nicht (Geräte der Fritzbox, auf welcher der VPN Server läuft).

Um lokale Netzwerke diesseits des OpenVPN Servers für die Clients routebar zu machen, ist primär die Webif Option "lokales Netzwerk" korrekt zu konfigurieren.

Wichtig für diese an sich stressfreie Konfiguration der Client-Seite ist natürlich, daß man die Clients mittels Zertifikaten authentifiziert, da sonst das automatische Konfigurieren der Clients über push/pull durch den Server nicht funktioniert.
(Wer also partout mit statischem Schlüssel arbeiten will, musst Du die Routen und andere Einstellungen für die Clients manuell in deren Configs eintragen.)

Obwohl Du soweit also eigentlich alles richtig gemacht hast, werden anscheinend bei Dir die Routen nicht richtig gepulled?
Versuch doch mal bitte, die verbosity zu erhöhen und ein aussagekräftiges Log vom Verbindungsaufbau zu erstellen.

tanduay · 28 Jul 2007

Hmmm. Ich hab die verschiedensten Einstellungen ausprobiert. Für den Netzwerkadapter wird jeweils immer nur IP-Adresse (natürlich mit Subnet Mask) zugewiesen. Gateway wird nicht gesetzt außer ich aktiviere die Funktion Client Traffic umleiten.
Außergewöhnlich wäre, dass ich MS Vista einsetze. Ich habs aber auch schon auf einem Windows XP Client ausprobiert. Der zeigt allerdings dasselbe Phänomen.
Zertifikate hab ich im Einsatz. Daran kann's also nicht liegen.

Ich schalt mal die Option Client Traffic umleiten aus und setze den Verbosity Level auf 5. Ich poste das gleich mal.

Vielen Dank schonmal vorab für deine Hilfe.

Viele Grüsse
Leo

tanduay · 28 Jul 2007

Hallo,
OK, nochmal gecheckt. Phänomen bleibt dasselbe. IPConfig nach Aufbau der VPN Verbindung hab ich mit angehängt.

Code:

Ethernet-Adapter OpenVPN Connector:

   Verbindungsspezifisches DNS-Suffix:
   Beschreibung. . . . . . . . . . . : TAP-Win32 Adapter V9
   Physikalische Adresse . . . . . . : 00-FF-95-5E-05-F4
   DHCP aktiviert. . . . . . . . . . : Ja
   Autokonfiguration aktiviert . . . : Ja
   Verbindungslokale IPv6-Adresse  . : fe80::a1e1:33b8:bb2d:14e6%19(Bevorzugt)
   IPv4-Adresse  . . . . . . . . . . : 192.168.200.10(Bevorzugt)
   Subnetzmaske  . . . . . . . . . . : 255.255.255.0
   Lease erhalten. . . . . . . . . . : Samstag, 28. Juli 2007 21:27:32
   Lease läuft ab. . . . . . . . . . : Sonntag, 27. Juli 2008 21:27:32
   Standardgateway . . . . . . . . . :
   DHCP-Server . . . . . . . . . . . : 192.168.200.0
   DHCPv6-IAID . . . . . . . . . . . : 402718613
   DNS-Server  . . . . . . . . . . . : fec0:0:0:ffff::1%1
                                       fec0:0:0:ffff::2%1
                                       fec0:0:0:ffff::3%1
   NetBIOS über TCP/IP . . . . . . . : Aktiviert

Code:

Sat Jul 28 21:27:22 2007 us=31000 Current Parameter Settings:
Sat Jul 28 21:27:22 2007 us=31000   config = 'GDF Private certificate.ovpn'
Sat Jul 28 21:27:22 2007 us=31000   mode = 0
Sat Jul 28 21:27:22 2007 us=31000   show_ciphers = DISABLED
Sat Jul 28 21:27:22 2007 us=31000   show_digests = DISABLED
Sat Jul 28 21:27:22 2007 us=31000   show_engines = DISABLED
Sat Jul 28 21:27:22 2007 us=31000   genkey = DISABLED
Sat Jul 28 21:27:22 2007 us=31000   key_pass_file = '[UNDEF]'
Sat Jul 28 21:27:22 2007 us=31000   show_tls_ciphers = DISABLED
Sat Jul 28 21:27:22 2007 us=31000   proto = 0
Sat Jul 28 21:27:22 2007 us=31000   local = '[UNDEF]'
Sat Jul 28 21:27:22 2007 us=31000   remote_list[0] = {'reisenbuechler-gdf.homeip.net', 1194}
Sat Jul 28 21:27:22 2007 us=31000   remote_random = DISABLED
Sat Jul 28 21:27:22 2007 us=31000   local_port = 0
Sat Jul 28 21:27:22 2007 us=31000   remote_port = 1194
Sat Jul 28 21:27:22 2007 us=31000   remote_float = DISABLED
Sat Jul 28 21:27:22 2007 us=31000   ipchange = '[UNDEF]'
Sat Jul 28 21:27:22 2007 us=31000   bind_defined = DISABLED
Sat Jul 28 21:27:22 2007 us=31000   bind_local = DISABLED
Sat Jul 28 21:27:22 2007 us=31000   dev = 'tap'
Sat Jul 28 21:27:22 2007 us=31000   dev_type = '[UNDEF]'
Sat Jul 28 21:27:22 2007 us=31000   dev_node = '[UNDEF]'
Sat Jul 28 21:27:22 2007 us=31000   lladdr = '[UNDEF]'
Sat Jul 28 21:27:22 2007 us=31000   topology = 1
Sat Jul 28 21:27:22 2007 us=31000   tun_ipv6 = DISABLED
Sat Jul 28 21:27:22 2007 us=31000   ifconfig_local = '[UNDEF]'
Sat Jul 28 21:27:22 2007 us=31000   ifconfig_remote_netmask = '[UNDEF]'
Sat Jul 28 21:27:22 2007 us=31000   ifconfig_noexec = DISABLED
Sat Jul 28 21:27:22 2007 us=31000   ifconfig_nowarn = DISABLED
Sat Jul 28 21:27:22 2007 us=31000   shaper = 0
Sat Jul 28 21:27:22 2007 us=31000   tun_mtu = 1500
Sat Jul 28 21:27:22 2007 us=31000   tun_mtu_defined = ENABLED
Sat Jul 28 21:27:22 2007 us=31000   link_mtu = 1500
Sat Jul 28 21:27:22 2007 us=31000   link_mtu_defined = DISABLED
Sat Jul 28 21:27:22 2007 us=31000   tun_mtu_extra = 32
Sat Jul 28 21:27:22 2007 us=31000   tun_mtu_extra_defined = ENABLED
Sat Jul 28 21:27:22 2007 us=31000   fragment = 0
Sat Jul 28 21:27:22 2007 us=31000   mtu_discover_type = -1
Sat Jul 28 21:27:22 2007 us=31000   mtu_test = 0
Sat Jul 28 21:27:22 2007 us=31000   mlock = DISABLED
Sat Jul 28 21:27:22 2007 us=31000   keepalive_ping = 0
Sat Jul 28 21:27:22 2007 us=31000   keepalive_timeout = 0
Sat Jul 28 21:27:22 2007 us=31000   inactivity_timeout = 0
Sat Jul 28 21:27:22 2007 us=31000   ping_send_timeout = 0
Sat Jul 28 21:27:22 2007 us=31000   ping_rec_timeout = 120
Sat Jul 28 21:27:22 2007 us=31000   ping_rec_timeout_action = 2
Sat Jul 28 21:27:22 2007 us=31000   ping_timer_remote = DISABLED
Sat Jul 28 21:27:22 2007 us=31000   remap_sigusr1 = 0
Sat Jul 28 21:27:22 2007 us=31000   explicit_exit_notification = 0
Sat Jul 28 21:27:22 2007 us=31000   persist_tun = DISABLED
Sat Jul 28 21:27:22 2007 us=31000   persist_local_ip = DISABLED
Sat Jul 28 21:27:22 2007 us=31000   persist_remote_ip = DISABLED
Sat Jul 28 21:27:22 2007 us=31000   persist_key = DISABLED
Sat Jul 28 21:27:22 2007 us=31000   mssfix = 1450
Sat Jul 28 21:27:22 2007 us=31000   resolve_retry_seconds = 1000000000
Sat Jul 28 21:27:22 2007 us=31000   connect_retry_seconds = 5
Sat Jul 28 21:27:22 2007 us=31000   connect_timeout = 10
Sat Jul 28 21:27:22 2007 us=31000   connect_retry_max = 0
Sat Jul 28 21:27:22 2007 us=31000   username = '[UNDEF]'
Sat Jul 28 21:27:22 2007 us=31000   groupname = '[UNDEF]'
Sat Jul 28 21:27:22 2007 us=31000   chroot_dir = '[UNDEF]'
Sat Jul 28 21:27:22 2007 us=31000   cd_dir = '[UNDEF]'
Sat Jul 28 21:27:22 2007 us=31000   writepid = '[UNDEF]'
Sat Jul 28 21:27:22 2007 us=31000   up_script = '[UNDEF]'
Sat Jul 28 21:27:22 2007 us=31000   down_script = '[UNDEF]'
Sat Jul 28 21:27:22 2007 us=31000   down_pre = DISABLED
Sat Jul 28 21:27:22 2007 us=31000   up_restart = DISABLED
Sat Jul 28 21:27:22 2007 us=31000   up_delay = DISABLED
Sat Jul 28 21:27:22 2007 us=31000   daemon = DISABLED
Sat Jul 28 21:27:22 2007 us=62000   inetd = 0
Sat Jul 28 21:27:22 2007 us=62000   log = DISABLED
Sat Jul 28 21:27:22 2007 us=62000   suppress_timestamps = DISABLED
Sat Jul 28 21:27:22 2007 us=62000   nice = 0
Sat Jul 28 21:27:22 2007 us=62000   verbosity = 5
Sat Jul 28 21:27:22 2007 us=62000   mute = 0
Sat Jul 28 21:27:22 2007 us=62000   gremlin = 0
Sat Jul 28 21:27:22 2007 us=62000   status_file = '[UNDEF]'
Sat Jul 28 21:27:22 2007 us=62000   status_file_version = 1
Sat Jul 28 21:27:22 2007 us=62000   status_file_update_freq = 60
Sat Jul 28 21:27:22 2007 us=62000   occ = ENABLED
Sat Jul 28 21:27:22 2007 us=62000   rcvbuf = 0
Sat Jul 28 21:27:22 2007 us=62000   sndbuf = 0
Sat Jul 28 21:27:22 2007 us=62000   sockflags = 0
Sat Jul 28 21:27:22 2007 us=62000   socks_proxy_server = '[UNDEF]'
Sat Jul 28 21:27:22 2007 us=62000   socks_proxy_port = 0
Sat Jul 28 21:27:22 2007 us=62000   socks_proxy_retry = DISABLED
Sat Jul 28 21:27:22 2007 us=62000   fast_io = DISABLED
Sat Jul 28 21:27:22 2007 us=62000   lzo = 7
Sat Jul 28 21:27:22 2007 us=78000   route_script = '[UNDEF]'
Sat Jul 28 21:27:22 2007 us=78000   route_default_gateway = '[UNDEF]'
Sat Jul 28 21:27:22 2007 us=78000   route_default_metric = 0
Sat Jul 28 21:27:22 2007 us=78000   route_noexec = DISABLED
Sat Jul 28 21:27:22 2007 us=78000   route_delay = 5
Sat Jul 28 21:27:22 2007 us=78000   route_delay_window = 30
Sat Jul 28 21:27:22 2007 us=78000   route_delay_defined = ENABLED
Sat Jul 28 21:27:22 2007 us=78000   route_nopull = DISABLED
Sat Jul 28 21:27:22 2007 us=78000   management_addr = '[UNDEF]'
Sat Jul 28 21:27:22 2007 us=78000   management_port = 0
Sat Jul 28 21:27:22 2007 us=78000   management_user_pass = '[UNDEF]'
Sat Jul 28 21:27:22 2007 us=78000   management_log_history_cache = 250
Sat Jul 28 21:27:22 2007 us=78000   management_echo_buffer_size = 100
Sat Jul 28 21:27:22 2007 us=78000   management_query_passwords = DISABLED
Sat Jul 28 21:27:22 2007 us=78000   management_hold = DISABLED
Sat Jul 28 21:27:22 2007 us=109000   management_client = DISABLED
Sat Jul 28 21:27:22 2007 us=109000   management_write_peer_info_file = '[UNDEF]'
Sat Jul 28 21:27:22 2007 us=109000   shared_secret_file = '[UNDEF]'
Sat Jul 28 21:27:22 2007 us=109000   key_direction = 0
Sat Jul 28 21:27:22 2007 us=109000   ciphername_defined = ENABLED
Sat Jul 28 21:27:22 2007 us=109000   ciphername = 'BF-CBC'
Sat Jul 28 21:27:22 2007 us=109000   authname_defined = ENABLED
Sat Jul 28 21:27:22 2007 us=109000   authname = 'SHA1'
Sat Jul 28 21:27:22 2007 us=109000   keysize = 0
Sat Jul 28 21:27:22 2007 us=109000   engine = DISABLED
Sat Jul 28 21:27:22 2007 us=109000   replay = ENABLED
Sat Jul 28 21:27:22 2007 us=109000   mute_replay_warnings = DISABLED
Sat Jul 28 21:27:22 2007 us=109000   replay_window = 64
Sat Jul 28 21:27:22 2007 us=109000   replay_time = 15
Sat Jul 28 21:27:22 2007 us=109000   packet_id_file = '[UNDEF]'
Sat Jul 28 21:27:22 2007 us=109000   use_iv = ENABLED
Sat Jul 28 21:27:22 2007 us=140000   test_crypto = DISABLED
Sat Jul 28 21:27:22 2007 us=140000   tls_server = DISABLED
Sat Jul 28 21:27:22 2007 us=140000   tls_client = ENABLED
Sat Jul 28 21:27:22 2007 us=140000   key_method = 2
Sat Jul 28 21:27:22 2007 us=140000   ca_file = 'ca.crt'
Sat Jul 28 21:27:22 2007 us=140000   ca_path = '[UNDEF]'
Sat Jul 28 21:27:22 2007 us=140000   dh_file = '[UNDEF]'
Sat Jul 28 21:27:22 2007 us=140000   cert_file = 'client01.crt'
Sat Jul 28 21:27:22 2007 us=140000   priv_key_file = 'client01.key'
Sat Jul 28 21:27:22 2007 us=140000   pkcs12_file = '[UNDEF]'
Sat Jul 28 21:27:22 2007 us=140000   cryptoapi_cert = '[UNDEF]'
Sat Jul 28 21:27:22 2007 us=140000   cipher_list = '[UNDEF]'
Sat Jul 28 21:27:22 2007 us=140000   tls_verify = '[UNDEF]'
Sat Jul 28 21:27:22 2007 us=140000   tls_remote = '[UNDEF]'
Sat Jul 28 21:27:22 2007 us=140000   crl_file = '[UNDEF]'
Sat Jul 28 21:27:22 2007 us=140000   ns_cert_type = 64
Sat Jul 28 21:27:22 2007 us=140000   remote_cert_ku[i] = 0
Sat Jul 28 21:27:22 2007 us=187000   remote_cert_ku[i] = 0
Sat Jul 28 21:27:22 2007 us=187000   remote_cert_ku[i] = 0
Sat Jul 28 21:27:22 2007 us=187000   remote_cert_ku[i] = 0
Sat Jul 28 21:27:22 2007 us=187000   remote_cert_ku[i] = 0
Sat Jul 28 21:27:22 2007 us=187000   remote_cert_ku[i] = 0
Sat Jul 28 21:27:22 2007 us=187000   remote_cert_ku[i] = 0
Sat Jul 28 21:27:22 2007 us=187000   remote_cert_ku[i] = 0
Sat Jul 28 21:27:22 2007 us=187000   remote_cert_ku[i] = 0
Sat Jul 28 21:27:22 2007 us=187000   remote_cert_ku[i] = 0
Sat Jul 28 21:27:22 2007 us=187000   remote_cert_ku[i] = 0
Sat Jul 28 21:27:22 2007 us=187000   remote_cert_ku[i] = 0
Sat Jul 28 21:27:22 2007 us=187000   remote_cert_ku[i] = 0
Sat Jul 28 21:27:22 2007 us=187000   remote_cert_ku[i] = 0
Sat Jul 28 21:27:22 2007 us=187000   remote_cert_ku[i] = 0
Sat Jul 28 21:27:22 2007 us=187000   remote_cert_ku[i] = 0
Sat Jul 28 21:27:22 2007 us=187000   remote_cert_eku = '[UNDEF]'
Sat Jul 28 21:27:22 2007 us=187000   tls_timeout = 2
Sat Jul 28 21:27:22 2007 us=218000   renegotiate_bytes = 0
Sat Jul 28 21:27:22 2007 us=218000   renegotiate_packets = 0
Sat Jul 28 21:27:22 2007 us=218000   renegotiate_seconds = 3600
Sat Jul 28 21:27:22 2007 us=218000   handshake_window = 60
Sat Jul 28 21:27:22 2007 us=218000   transition_window = 3600
Sat Jul 28 21:27:22 2007 us=218000   single_session = DISABLED
Sat Jul 28 21:27:22 2007 us=218000   tls_exit = DISABLED
Sat Jul 28 21:27:22 2007 us=218000   tls_auth_file = '[UNDEF]'
Sat Jul 28 21:27:22 2007 us=218000   pkcs11_protected_authentication = DISABLED
Sat Jul 28 21:27:22 2007 us=218000   pkcs11_protected_authentication = DISABLED
Sat Jul 28 21:27:22 2007 us=218000   pkcs11_protected_authentication = DISABLED
Sat Jul 28 21:27:22 2007 us=218000   pkcs11_protected_authentication = DISABLED
Sat Jul 28 21:27:22 2007 us=218000   pkcs11_protected_authentication = DISABLED
Sat Jul 28 21:27:22 2007 us=218000   pkcs11_protected_authentication = DISABLED
Sat Jul 28 21:27:22 2007 us=250000   pkcs11_protected_authentication = DISABLED
Sat Jul 28 21:27:22 2007 us=250000   pkcs11_protected_authentication = DISABLED
Sat Jul 28 21:27:22 2007 us=250000   pkcs11_protected_authentication = DISABLED
Sat Jul 28 21:27:22 2007 us=250000   pkcs11_protected_authentication = DISABLED
Sat Jul 28 21:27:22 2007 us=250000   pkcs11_protected_authentication = DISABLED
Sat Jul 28 21:27:22 2007 us=250000   pkcs11_protected_authentication = DISABLED
Sat Jul 28 21:27:22 2007 us=250000   pkcs11_protected_authentication = DISABLED
Sat Jul 28 21:27:22 2007 us=250000   pkcs11_protected_authentication = DISABLED
Sat Jul 28 21:27:22 2007 us=250000   pkcs11_protected_authentication = DISABLED
Sat Jul 28 21:27:22 2007 us=250000   pkcs11_protected_authentication = DISABLED
Sat Jul 28 21:27:22 2007 us=250000   pkcs11_cert_private = DISABLED
Sat Jul 28 21:27:22 2007 us=250000   pkcs11_cert_private = DISABLED
Sat Jul 28 21:27:22 2007 us=250000   pkcs11_cert_private = DISABLED
Sat Jul 28 21:27:22 2007 us=265000   pkcs11_cert_private = DISABLED
Sat Jul 28 21:27:22 2007 us=265000   pkcs11_cert_private = DISABLED
Sat Jul 28 21:27:22 2007 us=265000   pkcs11_cert_private = DISABLED
Sat Jul 28 21:27:22 2007 us=265000   pkcs11_cert_private = DISABLED
Sat Jul 28 21:27:22 2007 us=265000   pkcs11_cert_private = DISABLED
Sat Jul 28 21:27:22 2007 us=265000   pkcs11_cert_private = DISABLED
Sat Jul 28 21:27:22 2007 us=265000   pkcs11_cert_private = DISABLED
Sat Jul 28 21:27:22 2007 us=265000   pkcs11_cert_private = DISABLED
Sat Jul 28 21:27:22 2007 us=265000   pkcs11_cert_private = DISABLED
Sat Jul 28 21:27:22 2007 us=265000   pkcs11_cert_private = DISABLED
Sat Jul 28 21:27:22 2007 us=265000   pkcs11_cert_private = DISABLED
Sat Jul 28 21:27:22 2007 us=265000   pkcs11_cert_private = DISABLED
Sat Jul 28 21:27:22 2007 us=265000   pkcs11_cert_private = DISABLED
Sat Jul 28 21:27:22 2007 us=265000   pkcs11_pin_cache_period = -1
Sat Jul 28 21:27:22 2007 us=296000   pkcs11_slot_type = '[UNDEF]'
Sat Jul 28 21:27:22 2007 us=296000   pkcs11_slot = '[UNDEF]'
Sat Jul 28 21:27:22 2007 us=296000   pkcs11_id_type = '[UNDEF]'
Sat Jul 28 21:27:22 2007 us=296000   pkcs11_id = '[UNDEF]'
Sat Jul 28 21:27:22 2007 us=296000   server_network = 0.0.0.0
Sat Jul 28 21:27:22 2007 us=296000   server_netmask = 0.0.0.0
Sat Jul 28 21:27:22 2007 us=296000   server_bridge_ip = 0.0.0.0
Sat Jul 28 21:27:22 2007 us=296000   server_bridge_netmask = 0.0.0.0
Sat Jul 28 21:27:22 2007 us=296000   server_bridge_pool_start = 0.0.0.0
Sat Jul 28 21:27:22 2007 us=296000   server_bridge_pool_end = 0.0.0.0
Sat Jul 28 21:27:22 2007 us=296000   ifconfig_pool_defined = DISABLED
Sat Jul 28 21:27:22 2007 us=296000   ifconfig_pool_start = 0.0.0.0
Sat Jul 28 21:27:22 2007 us=296000   ifconfig_pool_end = 0.0.0.0
Sat Jul 28 21:27:22 2007 us=296000   ifconfig_pool_netmask = 0.0.0.0
Sat Jul 28 21:27:22 2007 us=296000   ifconfig_pool_persist_filename = '[UNDEF]'
Sat Jul 28 21:27:22 2007 us=328000   ifconfig_pool_persist_refresh_freq = 600
Sat Jul 28 21:27:22 2007 us=328000   n_bcast_buf = 256
Sat Jul 28 21:27:22 2007 us=328000   tcp_queue_limit = 64
Sat Jul 28 21:27:22 2007 us=328000   real_hash_size = 256
Sat Jul 28 21:27:22 2007 us=328000   virtual_hash_size = 256
Sat Jul 28 21:27:22 2007 us=328000   client_connect_script = '[UNDEF]'
Sat Jul 28 21:27:22 2007 us=328000   learn_address_script = '[UNDEF]'
Sat Jul 28 21:27:22 2007 us=328000   client_disconnect_script = '[UNDEF]'
Sat Jul 28 21:27:22 2007 us=328000   client_config_dir = '[UNDEF]'
Sat Jul 28 21:27:22 2007 us=328000   ccd_exclusive = DISABLED
Sat Jul 28 21:27:22 2007 us=328000   tmp_dir = '[UNDEF]'
Sat Jul 28 21:27:22 2007 us=328000   push_ifconfig_defined = DISABLED
Sat Jul 28 21:27:22 2007 us=328000   push_ifconfig_local = 0.0.0.0
Sat Jul 28 21:27:22 2007 us=328000   push_ifconfig_remote_netmask = 0.0.0.0
Sat Jul 28 21:27:22 2007 us=328000   enable_c2c = DISABLED
Sat Jul 28 21:27:22 2007 us=359000   duplicate_cn = DISABLED
Sat Jul 28 21:27:22 2007 us=359000   cf_max = 0
Sat Jul 28 21:27:22 2007 us=359000   cf_per = 0
Sat Jul 28 21:27:22 2007 us=359000   max_clients = 1024
Sat Jul 28 21:27:22 2007 us=359000   max_routes_per_client = 256
Sat Jul 28 21:27:22 2007 us=359000   client_cert_not_required = DISABLED
Sat Jul 28 21:27:22 2007 us=359000   username_as_common_name = DISABLED
Sat Jul 28 21:27:22 2007 us=359000   auth_user_pass_verify_script = '[UNDEF]'
Sat Jul 28 21:27:22 2007 us=359000   auth_user_pass_verify_script_via_file = DISABLED
Sat Jul 28 21:27:22 2007 us=359000   client = DISABLED
Sat Jul 28 21:27:22 2007 us=359000   pull = ENABLED
Sat Jul 28 21:27:22 2007 us=359000   auth_user_pass_file = '[UNDEF]'
Sat Jul 28 21:27:22 2007 us=359000   show_net_up = DISABLED
Sat Jul 28 21:27:22 2007 us=359000   route_method = 0
Sat Jul 28 21:27:22 2007 us=359000   ip_win32_defined = DISABLED
Sat Jul 28 21:27:22 2007 us=359000   ip_win32_type = 3
Sat Jul 28 21:27:22 2007 us=390000   dhcp_masq_offset = 0
Sat Jul 28 21:27:22 2007 us=390000   dhcp_lease_time = 31536000
Sat Jul 28 21:27:22 2007 us=390000   tap_sleep = 0
Sat Jul 28 21:27:22 2007 us=390000   dhcp_options = DISABLED
Sat Jul 28 21:27:22 2007 us=390000   dhcp_renew = DISABLED
Sat Jul 28 21:27:22 2007 us=390000   dhcp_pre_release = DISABLED
Sat Jul 28 21:27:22 2007 us=390000   dhcp_release = DISABLED
Sat Jul 28 21:27:22 2007 us=390000   domain = '[UNDEF]'
Sat Jul 28 21:27:22 2007 us=390000   netbios_scope = '[UNDEF]'
Sat Jul 28 21:27:22 2007 us=390000   netbios_node_type = 0
Sat Jul 28 21:27:22 2007 us=390000   disable_nbt = DISABLED
Sat Jul 28 21:27:22 2007 us=390000 OpenVPN 2.1_rc4 Win32-MinGW [SSL] [LZO2] built on Apr 25 2007
Sat Jul 28 21:27:22 2007 us=390000 LZO compression initialized
Sat Jul 28 21:27:22 2007 us=390000 Control Channel MTU parms [ L:1574 D:138 EF:38 EB:0 ET:0 EL:0 ]
Sat Jul 28 21:27:22 2007 us=421000 Data Channel MTU parms [ L:1574 D:1450 EF:42 EB:135 ET:32 EL:0 AF:3/1 ]
Sat Jul 28 21:27:22 2007 us=421000 Local Options String: 'V4,dev-type tap,link-mtu 1574,tun-mtu 1532,proto UDPv4,comp-lzo,cipher BF-CBC,auth SHA1,keysize 128,key-method 2,tls-client'
Sat Jul 28 21:27:22 2007 us=421000 Expected Remote Options String: 'V4,dev-type tap,link-mtu 1574,tun-mtu 1532,proto UDPv4,comp-lzo,cipher BF-CBC,auth SHA1,keysize 128,key-method 2,tls-server'
Sat Jul 28 21:27:22 2007 us=421000 Local Options hash (VER=V4): 'd79ca330'
Sat Jul 28 21:27:22 2007 us=421000 Expected Remote Options hash (VER=V4): 'f7df56b8'
Sat Jul 28 21:27:22 2007 us=421000 Socket Buffers: R=[8192->8192] S=[8192->8192]
Sat Jul 28 21:27:22 2007 us=421000 UDPv4 link local: [undef]
Sat Jul 28 21:27:22 2007 us=421000 UDPv4 link remote: 89.15.120.48:1194
Sat Jul 28 21:27:22 2007 us=843000 TLS: Initial packet from 89.15.120.48:1194, sid=dd3458d2 0325f190
Sat Jul 28 21:27:27 2007 VERIFY OK: depth=1, /C=DE/ST=BW/L=Gaildorf/O=Home/CN=ca/[email protected]
Sat Jul 28 21:27:27 2007 VERIFY OK: nsCertType=SERVER
Sat Jul 28 21:27:27 2007 VERIFY OK: depth=0, /C=DE/ST=BW/O=Home/CN=fritzbox/[email protected]
Sat Jul 28 21:27:30 2007 us=156000 NOTE: Options consistency check may be skewed by version differences
Sat Jul 28 21:27:30 2007 us=156000 WARNING: 'version' is used inconsistently, local='version V4', remote='version V0 UNDEF'
Sat Jul 28 21:27:30 2007 us=156000 WARNING: 'dev-type' is present in local config but missing in remote config, local='dev-type tap'
Sat Jul 28 21:27:30 2007 us=156000 WARNING: 'link-mtu' is present in local config but missing in remote config, local='link-mtu 1574'
Sat Jul 28 21:27:30 2007 us=156000 WARNING: 'tun-mtu' is present in local config but missing in remote config, local='tun-mtu 1532'
Sat Jul 28 21:27:30 2007 us=156000 WARNING: 'proto' is present in local config but missing in remote config, local='proto UDPv4'
Sat Jul 28 21:27:30 2007 us=156000 WARNING: 'comp-lzo' is present in local config but missing in remote config, local='comp-lzo'
Sat Jul 28 21:27:30 2007 us=156000 WARNING: 'cipher' is present in local config but missing in remote config, local='cipher BF-CBC'
Sat Jul 28 21:27:30 2007 us=156000 WARNING: 'auth' is present in local config but missing in remote config, local='auth SHA1'
Sat Jul 28 21:27:30 2007 us=156000 WARNING: 'keysize' is present in local config but missing in remote config, local='keysize 128'
Sat Jul 28 21:27:30 2007 us=156000 WARNING: 'key-method' is present in local config but missing in remote config, local='key-method 2'
Sat Jul 28 21:27:30 2007 us=156000 WARNING: 'tls-server' is present in local config but missing in remote config, local='tls-server'
Sat Jul 28 21:27:30 2007 us=156000 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Sat Jul 28 21:27:30 2007 us=156000 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Sat Jul 28 21:27:30 2007 us=156000 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Sat Jul 28 21:27:30 2007 us=156000 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Sat Jul 28 21:27:30 2007 us=156000 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
Sat Jul 28 21:27:30 2007 us=156000 [fritzbox] Peer Connection Initiated with 89.15.120.48:1194
Sat Jul 28 21:27:31 2007 us=265000 SENT CONTROL [fritzbox]: 'PUSH_REQUEST' (status=1)
Sat Jul 28 21:27:31 2007 us=390000 PUSH: Received control message: 'PUSH_REPLY,route-gateway 192.168.200.1,route 192.168.178.0 255.255.255.0,ping 10,ping-restart 120,ifconfig 192.168.200.10 255.255.255.0'
Sat Jul 28 21:27:31 2007 us=390000 OPTIONS IMPORT: timers and/or timeouts modified
Sat Jul 28 21:27:31 2007 us=390000 OPTIONS IMPORT: --ifconfig/up options modified
Sat Jul 28 21:27:31 2007 us=390000 OPTIONS IMPORT: route options modified
Sat Jul 28 21:27:31 2007 us=390000 OPTIONS IMPORT: route-related options modified
Sat Jul 28 21:27:31 2007 us=406000 TAP-WIN32 device [OpenVPN Connector] opened: \\.\Global\{955E05F4-BB2B-491F-9538-FDC0DB269E03}.tap
Sat Jul 28 21:27:31 2007 us=406000 TAP-Win32 Driver Version 9.3 
Sat Jul 28 21:27:31 2007 us=406000 TAP-Win32 MTU=1500
Sat Jul 28 21:27:31 2007 us=453000 Notified TAP-Win32 driver to set a DHCP IP/netmask of 192.168.200.10/255.255.255.0 on interface {955E05F4-BB2B-491F-9538-FDC0DB269E03} [DHCP-serv: 192.168.200.0, lease-time: 31536000]
Sat Jul 28 21:27:31 2007 us=453000 Successful ARP Flush on interface [19] {955E05F4-BB2B-491F-9538-FDC0DB269E03}
Sat Jul 28 21:27:36 2007 us=93000 TEST ROUTES: 1/1 succeeded len=1 ret=1 a=0 u/d=up
Sat Jul 28 21:27:36 2007 us=109000 route ADD 192.168.178.0 MASK 255.255.255.0 192.168.200.1
Sat Jul 28 21:27:36 2007 us=125000 ROUTE: CreateIpForwardEntry succeeded with dwForwardMetric1=30 and dwForwardType=4
Sat Jul 28 21:27:36 2007 us=125000 Route addition via IPAPI succeeded [adaptive]
Sat Jul 28 21:27:36 2007 us=125000 Initialization Sequence Completed

Vielleicht liegt's irgendwie an der OpenVPN Client-Version?

Gruß
Leo

OpenVPN-Paket

Neuer User

IPPF-Urgestein

Neuer User

Anhänge

IPPF-Promi

Neuer User

IPPF-Promi

IPPF-Promi

Neuer User

Mitglied

IPPF-Promi

Mitglied

IPPF-Promi

Neuer User

Aktives Mitglied

Neuer User

IPPF-Promi

Neuer User

Anhänge

Mitglied

Neuer User

Neuer User

Statistik des Forums