[Problem] Brauche ein wenig Hilfe bei der openvpn Konfiguration

[pdaladin]

Du kannst auch "alles vom OpenVPN löschen", indem du in einer Shell (oder über die "RudiShell") einfach alle OpenVPN-Einstellungen löscht:
Code:

rm /tmp/flash/openvpn.diff

Danke für diesen Tip, Max. Ich hab es in der rudishell ausgeführt. Jetzt startet OpenVPN offenbar wieder , ohne dass die Box Husten bekommt. Vielleicht bekomme ich ja jetzt die Konfiguration hin. Komme aber erst ab Dienstag wieder von außen an die Box.

 

[pdaladin]

Hallo nach kurzer Unterbrechung

meine Box war anscheinend durch die Konfiguriererei so verbeult, dass sie mich dann letztlich gar nicht mehr auf die GUI gelassen hat. Das Einspielen einer Vorversion, die stabil war und der Einstellungen hat auch nichts mehr gebracht, so dass ich dann mit dem RU-Tool geflasht habe und die Einstellungen wiederherstellte. Habe jetzt Freetz 1.2_rc1 drauf und Alles läuft stabil.
Das mit dem OpenVPN habe ich wieder versucht (ich bin mir bewusst, dass die Kombination tap und Brücke kritisch ist). Die Box hat die IP 192.168.168.1

Die Initialisierungssequenz läuft sauber durch und nach wenigen Augenblicken ist die Ampel beim Client grün. Ich komme aber nicht auf die Box.
Nachfolgend die Konfigurationen Server und Client, das Client log sowie die debug_openvpn.out.

Würde mich freuen, wenn ich einen Tipp bekomme, wo der Haken ist - ich sehe ihn nicht.

debug_openvpn.out in der Box: (Start des Dienstes und anschliessend versuchter Connect mit Client)

Wed Mar 21 15:07:48 2012 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Wed Mar 21 15:07:48 2012 Diffie-Hellman initialized with 1024 bit key
Wed Mar 21 15:07:48 2012 WARNING: file '/tmp/flash/openvpn/box.key' is group or others accessible
Wed Mar 21 15:07:48 2012 WARNING: file '/tmp/flash/openvpn/static.key' is group or others accessible
Wed Mar 21 15:07:48 2012 Control Channel Authentication: using '/tmp/flash/openvpn/static.key' as a OpenVPN static key file
Wed Mar 21 15:07:48 2012 Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed Mar 21 15:07:48 2012 Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed Mar 21 15:07:48 2012 TLS-Auth MTU parms [ L:1590 D:166 EF:66 EB:0 ET:0 EL:0 ]
Wed Mar 21 15:07:48 2012 Socket Buffers: R=[108544->131072] S=[108544->131072]
Wed Mar 21 15:07:48 2012 OpenVPN ROUTE: OpenVPN needs a gateway parameter for a --route option and no default was specified by either --route-gateway or --ifconfig opti
Wed Mar 21 15:07:48 2012 OpenVPN ROUTE: failed to parse/resolve route for host/network: 192.168.168.0
Wed Mar 21 15:07:48 2012 TUN/TAP device tap0 opened
Wed Mar 21 15:07:48 2012 TUN/TAP TX queue length set to 100
Wed Mar 21 15:07:48 2012 do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
Wed Mar 21 15:07:48 2012 /sbin/ifconfig tap0 192.168.168.1 netmask 255.255.255.0 mtu 1500 broadcast 192.168.168.255
Wed Mar 21 15:07:48 2012 Data Channel MTU parms [ L:1590 D:1450 EF:58 EB:135 ET:32 EL:0 AF:3/1 ]
Wed Mar 21 15:07:48 2012 chroot to '/tmp/openvpn' and cd to '/' succeeded
Wed Mar 21 15:07:48 2012 GID set to openvpn
Wed Mar 21 15:07:48 2012 UID set to openvpn
Wed Mar 21 15:07:48 2012 UDPv4 link local (bound): [undef]
Wed Mar 21 15:07:48 2012 UDPv4 link remote: [undef]
Wed Mar 21 15:07:48 2012 MULTI: multi_init called, r=256 v=256
Wed Mar 21 15:07:48 2012 IFCONFIG POOL: base=192.168.168.201 size=20, ipv6=0
Wed Mar 21 15:07:48 2012 Initialization Sequence Completed
Wed Mar 21 15:08:11 2012 MULTI: multi_create_instance called
Wed Mar 21 15:08:11 2012 79.230.1.236:50555 Re-using SSL/TLS context
Wed Mar 21 15:08:11 2012 79.230.1.236:50555 LZO compression initialized
Wed Mar 21 15:08:11 2012 79.230.1.236:50555 Control Channel MTU parms [ L:1590 D:166 EF:66 EB:0 ET:0 EL:0 ]
Wed Mar 21 15:08:11 2012 79.230.1.236:50555 Data Channel MTU parms [ L:1590 D:1450 EF:58 EB:135 ET:32 EL:0 AF:3/1 ]
Wed Mar 21 15:08:11 2012 79.230.1.236:50555 TLS: Initial packet from [AF_INET]79.230.1.236:50555, sid=72367019 030b90b4
Wed Mar 21 15:08:17 2012 79.230.1.236:50555 VERIFY OK: depth=1, /C=GE/ST=Bxxx/L=xxx/O=AW-OpenVPN/OU=changeme/CN=mein.homeserver/name=AW/emailAddress=armin.xxx
Wed Mar 21 15:08:17 2012 79.230.1.236:50555 VERIFY OK: depth=0, /C=GE/ST=Bxxx/L=xxx/O=AW-OpenVPN/OU=changeme/CN=armin2/name=changeme/emailAddress=armin.xxx
Wed Mar 21 15:08:18 2012 79.230.1.236:50555 Data Channel Encrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
Wed Mar 21 15:08:18 2012 79.230.1.236:50555 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed Mar 21 15:08:18 2012 79.230.1.236:50555 Data Channel Decrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
Wed Mar 21 15:08:18 2012 79.230.1.236:50555 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed Mar 21 15:08:18 2012 79.230.1.236:50555 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
Wed Mar 21 15:08:18 2012 79.230.1.236:50555 [armin2] Peer Connection Initiated with [AF_INET]79.230.1.236:50555
Wed Mar 21 15:08:18 2012 armin2/79.230.1.236:50555 MULTI_sva: pool returned IPv4=192.168.168.201, IPv6=b40b:4100:d8c4:5500:30fc:4100:50c4:5500
Wed Mar 21 15:08:20 2012 armin2/79.230.1.236:50555 PUSH: Received control message: 'PUSH_REQUEST'
Wed Mar 21 15:08:20 2012 armin2/79.230.1.236:50555 send_push_reply(): safe_cap=960
Wed Mar 21 15:08:20 2012 armin2/79.230.1.236:50555 SENT CONTROL [armin2]: 'PUSH_REPLY,route-gateway 192.168.168.1,route 192.168.168.1,ping 10,ping-restart 120,ifconfig
Wed Mar 21 15:08:20 2012 armin2/79.230.1.236:50555 MULTI: Learn: 00:ff:9b:40:1e:e2 -> armin2/79.230.1.236:50555

openvpn.conf (die Box also)

#  OpenVPN 2.1 Config, Wed Mar 21 15:07:48 CET 2012
proto udp
dev tap0
#Helperline for rc.openvpn to add tap0 to lan bridge
ca /tmp/flash/openvpn/ca.crt
cert /tmp/flash/openvpn/box.crt
key /tmp/flash/openvpn/box.key
dh /tmp/flash/openvpn/dh.pem
tls-server
tls-auth /tmp/flash/openvpn/static.key 0
port 1194
ifconfig 192.168.168.1 255.255.255.0
push "route-gateway 192.168.168.1"
max-clients 10
mode server
ifconfig-pool 192.168.168.201 192.168.168.220
push "route 192.168.168.1"
route 192.168.168.0 255.255.255.0
tun-mtu 1500
mssfix
log /var/tmp/debug_openvpn.out
verb 3
daemon
cipher AES-256-CBC
comp-lzo
keepalive 10 120
chroot /tmp/openvpn
user openvpn
group openvpn
persist-tun
persist-key

client.log

Wed Mar 21 14:15:04 2012 OpenVPN 2.2.1 Win32-MSVC++ [SSL] [LZO2] built on Jul  1 2011
Wed Mar 21 14:15:04 2012 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Wed Mar 21 14:15:04 2012 Control Channel Authentication: using 'c:\Windows\VpnKeys\static.key' as a OpenVPN static key file
Wed Mar 21 14:15:04 2012 Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed Mar 21 14:15:04 2012 Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed Mar 21 14:15:04 2012 LZO compression initialized
Wed Mar 21 14:15:04 2012 Control Channel MTU parms [ L:1590 D:166 EF:66 EB:0 ET:0 EL:0 ]
Wed Mar 21 14:15:04 2012 Socket Buffers: R=[8192->8192] S=[8192->8192]
Wed Mar 21 14:15:04 2012 Data Channel MTU parms [ L:1590 D:1450 EF:58 EB:135 ET:32 EL:0 AF:3/1 ]
Wed Mar 21 14:15:04 2012 Local Options hash (VER=V4): '48527533'
Wed Mar 21 14:15:04 2012 Expected Remote Options hash (VER=V4): '44bd8b5e'
Wed Mar 21 14:15:04 2012 UDPv4 link local: [undef]
Wed Mar 21 14:15:04 2012 UDPv4 link remote: 87.163.76.179:1194
Wed Mar 21 14:15:04 2012 TLS: Initial packet from 87.163.76.179:1194, sid=e31626b4 6ad10852
Wed Mar 21 14:15:05 2012 VERIFY OK: depth=1, /C=GE/ST=Bxxx/L=Scxxx/O=AW-OpenVPN/OU=changeme/CN=mein.homeserver/name=AW/[email protected]
Wed Mar 21 14:15:05 2012 VERIFY OK: nsCertType=SERVER
Wed Mar 21 14:15:05 2012 VERIFY OK: depth=0, /C=GE/ST=Bxxx/L=Scxxxxx/O=AW-OpenVPN/OU=changeme/CN=server/name=changeme/[email protected]
Wed Mar 21 14:15:07 2012 Data Channel Encrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
Wed Mar 21 14:15:07 2012 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed Mar 21 14:15:07 2012 Data Channel Decrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
Wed Mar 21 14:15:07 2012 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed Mar 21 14:15:07 2012 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
Wed Mar 21 14:15:07 2012 [server] Peer Connection Initiated with 87.xxx.xx.xxx:1194
Wed Mar 21 14:15:09 2012 SENT CONTROL [server]: 'PUSH_REQUEST' (status=1)
Wed Mar 21 14:15:09 2012 PUSH: Received control message: 'PUSH_REPLY,route-gateway 192.168.168.1,route 192.168.168.1,ping 10,ping-restart 120,ifconfig 192.168.168.201 255.255.255.0'
Wed Mar 21 14:15:09 2012 OPTIONS IMPORT: timers and/or timeouts modified
Wed Mar 21 14:15:09 2012 OPTIONS IMPORT: --ifconfig/up options modified
Wed Mar 21 14:15:09 2012 OPTIONS IMPORT: route options modified
Wed Mar 21 14:15:09 2012 OPTIONS IMPORT: route-related options modified
Wed Mar 21 14:15:09 2012 ROUTE default_gateway=192.168.99.254
Wed Mar 21 14:15:09 2012 TAP-WIN32 device [LAN-Verbindung 3] opened: \\.\Global\{9B401EE2-08F6-4B27-9D00-8C97585B1209}.tap
Wed Mar 21 14:15:09 2012 TAP-Win32 Driver Version 9.8 
Wed Mar 21 14:15:09 2012 TAP-Win32 MTU=1500
Wed Mar 21 14:15:09 2012 Notified TAP-Win32 driver to set a DHCP IP/netmask of 192.168.168.201/255.255.255.0 on interface {9B401EE2-08F6-4B27-9D00-8C97585B1209} [DHCP-serv: 192.168.168.0, lease-time: 31536000]
Wed Mar 21 14:15:09 2012 Successful ARP Flush on interface [25] {9B401EE2-08F6-4B27-9D00-8C97585B1209}
Wed Mar 21 14:15:14 2012 TEST ROUTES: 1/1 succeeded len=1 ret=1 a=0 u/d=up
Wed Mar 21 14:15:14 2012 OpenVPN ROUTE: omitted no-op route: 192.168.168.1/255.255.255.255 -> 192.168.168.1
Wed Mar 21 14:15:14 2012 Initialization Sequence Completed

client.ovpn:

#############################################
remote mein.homeserver.org 1194 # Hostname/externe IP des Servers/Routers, Port entsprechend anpassen
proto udp # Protokoll udp
dev tap
tls-client
ns-cert-type server
ca "c:\\windows\\VpnKeys\\ca.crt"
cert "c:\\windows\\VpnKeys\\armin2.crt"
key "c:\\windows\\VpnKeys\\armin2.key"
tls-auth "c:\\Windows\\VpnKeys\\static.key" 1
resolv-retry infinite
tun-mtu 1500
mssfix
nobind
pull
cipher AES-256-CBC
comp-lzo
verb 3

 

[MaxMuster]

Sieht soweit gut aus. Ist denn auf der FB das "tap0" zur Brücke "lan" hinzugefügt?

Ansonsten:
Zeigt direkt nach einem Ping vom Client auf die Box (192.168.168.1) ein "arp -a" eine MAC-Adresse für die FB-IP an?

Denk dran bei Vista oder Win7 must du das VPN-Netz als "gutes" kennzeichnen (wie war das noch? Heim-Netz oder Arbeitsplatz-Netz oder sowas?)

 

[pdaladin]

Hallo Max,

danke für Dein schnelles Feedback. tap0 ist eingefügt.

Habe jetzt Zugang von extern gehabt (hurra!). Konnte auch auf das NAS und den USB Stick wie auch die GUI zugreifen. Ich vermute, da ich auch das AVM vpn eingerichtet habe, dass mein Sohn zum Zeitpunkt des Tests über das andere AVM vpn eingeloggt war und ich deshalb nicht in die Box reingekommen bin. Kann das sein, dass die beiden VPN's sich nicht mögen?

Ich werde morgen nochmal versuchen, mich einzuloggen. Wenn das klappt, dann kann man diesen Thread schliessen. Danke an Alle, die mir geholfen haben.

 

[pdaladin]

... nun stehe ich wieder am Anfang...

Das Openvpn mit tap und bridging lief. Die Verbindung hat geklappt, ich konnte die Hosts sehen. Beim zweitenmal war das WLan aktiv und die Box hat sich aufgehangen. Die GUI ist wieder nicht erreichbar, nur das Freetz GUI. Das Rückspielen mit dem RU-Tool ist jetzt auch nicht das Problem.

Offernbar ist es nicht möglich, mit tap, bridging und Openvpn eine zuverlässige Verbindung zu bauen, Ihr habt ja entsprechende Erfahrungen in diesem Thread reingeschrieben. Ich werde meine Bemühungen in dieser Richtung einstellen und entweder über tun und Openvpn reingehen oder das AVM VPN.

Genau dazu habe ich eine Frage:

Welchen Vorteil hat es´- abgesehen von der Sicherheit - ein VPN mit tun und Openvpn aufzubauen im Gegensatz zu dem AVM VPN?