7270v3 ..88 + Freetz + OPENVPN ---> Zentyal (Ubuntu ) + OVPN

unclesamwk

Neuer User
Mitglied seit
11 Aug 2011
Beiträge
36
Punkte für Reaktionen
0
Punkte
0
Hallo Leute,

habe freetz 1.2 per svn heruntergeladen und mir ein image gebastelt wo auch dropbear und openvpn inkl. ist. Ich habe in Zentyal die Config erstellt:

Code:
local x.x.x.x
port 1194
proto tcp
dev tun0
ca '/var/lib/zentyal/CA/cacert.pem'
cert '/var/lib/zentyal/CA/certs/D9A08E9B84DBB441.pem'
key '/var/lib/zentyal/CA/private/Zentyal.pem'
crl-verify /var/lib/zentyal/CA/crl/latest.pem
dh /etc/openvpn/ebox-dh1024.pem
server 192.168.200.0 255.255.255.0
ifconfig-pool-persist '/etc/openvpn/sam.services.d/sam.services-ipp.txt'
keepalive 10 120
tls-remote Zentyal
comp-lzo
user nobody
group nogroup
persist-key
persist-tun
writepid /var/run/openvpn.sam.services.pid
status '/var/log/openvpn/status-sam.services.log'
log-append  '/var/log/openvpn/sam.services.log'
verb 3
push "dhcp-option DNS 192.168.0.1"
client-config-dir /etc/openvpn/sam.services.d/client-config.d
push "route 192.168.0.0 255.255.255.0"

Freetz habe ich soweit eingestellt dass ich einen Ping von der FB nach Zentyal (192.168.0.1) erfolgreich schicken kann. Aber ich kann von keinem Client drauf zugreifen oder einen Ping schicken.

Woran kann dass liegen? :confused:

mfg

Sam
 
Von wo nach wo möchtest du jetzt zugreifen?
Von anderen VPN-Clients auf die FB? Dann fehlt "client-to-client".
Von "an der FB" angeschlossenen Geräten auf den VPN-Server? Dann fehlt es vermutlich am fehlenden Routing deines "FB-LANs" im Server, der in einer Multi-Client-Config dann auch noch mit einem cleinet-config-dir und einzelnen Einträgen pro VPN-Client ausgestattet werden müsste, um Netze zu einem Client zu routen (Stichwort "iroute").
 
Ich möchte von dem Subnetz der FritzBox (192.168.171.0) in das Netz der anderen Seite (192.168.0.0) zugreifen. WIe gesagt der Ping von der Box geht durch. Aber der Ping von einem Rechner hinter der FB nicht...

Dass ist die Routingtabelle:

Destination Gateway Genmask Flags Metric Ref Use Iface
192.168.180.1 0.0.0.0 255.255.255.255 UH 2 0 0 dsl
87.245.30.31 0.0.0.0 255.255.255.255 UH 2 0 0 dsl
192.168.180.2 0.0.0.0 255.255.255.255 UH 2 0 0 dsl
192.168.179.0 0.0.0.0 255.255.255.0 U 0 0 0 guest
10.8.0.0 0.0.0.0 255.255.255.0 U 0 0 0 tap0
192.168.0.0 10.8.0.1 255.255.255.0 UG 0 0 0 tap0
192.168.171.0 0.0.0.0 255.255.255.0 U 0 0 0 lan
169.254.0.0 0.0.0.0 255.255.0.0 U 0 0 0 lan
0.0.0.0 0.0.0.0 0.0.0.0 U 2 0 0 dsl
 
Wenn es diese Richtung ist, dann vermute ich, wie schon geschrieben, dass im Server die Routen für dein LAN fehlen.
Du musst auf dem Server (z.B. in der VPN-Konfig) 192.168.171.0 auf die VPN-IP der Box routen.
Kannst du danach einfach testen, indem du die LAN-IP des Servers von der FB mit deren LAN-IP anpingst:

ping 192.168.0.1 -I 192.168.171.1

(wenn der Server im LAN die 192.168.0.1 und die FB die 192.168.171.1 hat)
 
Nein, "andersrum": Der Server muss wissen, dass das Netz beim Client ist; also bei Server
"route 192.168.171.0 255.255.255.0"
 
Ich meint eigentlich der Server braucht beide routen:
route 192.168.0.0 255.255.255.0
route 192.168.171.0 255.255.255.0

Ich werde es gleich mal testen, sobald meine Frau mir den Fernzugang zum Macbook ermöglicht... Werde berichten ob es geklappt hat...
 
Also,

meine aktuelle Server.conf
port 1194
proto tcp
dev tun
ca ca.crt
cert server.crt
key server.key # This file should be kept secret
dh dh1024.pem
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "route 192.168.0.0 255.255.255.0"
route 192.168.171.0 255.255.255.0
client-to-client
keepalive 10 120
comp-lzo
user nobody
group nogroup
persist-key
persist-tun
status openvpn-status.log
log openvpn.log
verb 3

Die Server Route
Kernel-IP-Routentabelle
Ziel Router Genmask Flags Metric Ref Use Iface
0.0.0.0 x.x.x.x 0.0.0.0 UG 0 0 0 eth0
10.8.0.0 10.8.0.2 255.255.255.0 UG 0 0 0 tun0
10.8.0.2 0.0.0.0 255.255.255.255 UH 0 0 0 tun0
x.x.x.x 0.0.0.0 255.255.255.0 U 0 0 0 eth0
192.168.0.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1
192.168.171.0 10.8.0.2 255.255.255.0 UG 0 0 0 tun0

FB Config aus Freetz:
Config FB.png

FB Route:
Route FB.png

Folgendes funzt:
Ich kann von der FreetzBox ping nach Server 10.8.0.0 und 192.168.0.0 absetzen, jedoch nicht von den Rechnern im Netzwerrk
Ich kann vom Server einen Ping nach 10.8.0.0 absetzen jedoch nicht ins netz der FB 192.168.171.0 ...

Ich weiß nicht mehr was ich tun kann oder soll...
 
Du hast den Befehl "server ..." drin, das expandiert u.a. zu "mode server", was eine Multiclient-Konfig beinhaltet.
... fehlenden Routing deines "FB-LANs" im Server, der in einer Multi-Client-Config dann auch noch mit einem cleinet-config-dir und einzelnen Einträgen pro VPN-Client ausgestattet werden müsste, um Netze zu einem Client zu routen (Stichwort "iroute").

Der VPN-Server muss dann wissen, bei welchem Client ein zu routendes Netz ist
("route 192.168.171.0 255.255.255.0" sorgt zwar dafür, dass diese Pakete der OpenVPN Prozess bekommt, der "weiß dann aber nicht weiter").

Ich vermute mal, du hast im Log des Servers Einträge dieser Art:
Code:
MULTI: bad source address from client [x.x.x.x], packet dropped

Du brauchst in diesem Fall beim Server einen "iroute" Eintrag für das Netz und ein client-config-dir mit einem Eintrag zu deinem Client, der dann mindestens "iroute 192.168.171.0 255.255.255.0" enthalten muss.
 
Zuletzt bearbeitet:
server 10.8.0.0 255.255.255.0

ist quasi ein Makro, was je nach Config zu einigen Befehlen ausgewertet wird (schau auf OpenVPN.net, um genau zu sehen, zu was "server <IP> <Maske>" expandiert wird):.

Wenn du nur einen Client hast, kannst du das mit einzelnen Einträgen machen:

tls-server
ifconfig ...
ifconfig-pool ...

Ohne "mode server" gibt es nur einen möglichen Client und du kannst ohne client-config-dir/iroute nur mit dem "route"-Eintrag auskommen.
 
Vielen Dank für die Hilfe... jetzt läuft es ja!!!
 
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.