[Problem] Brauche ein wenig Hilfe bei der openvpn Konfiguration

pdaladin · 29 Feb 2012

Hallo zusammen,

ich bin mit meiner openvpn-Konfiguration langsam am Verzweifeln... Bin leider kein linux/freetz-Gott und bräuchte Hilfe bei den Konfigurationen. Ich habe einen Speedport 920 gefreetzt mit der Firmware-Version 65.04.91freetz-1.2-stable-8680.

Ich möchte mit zwei Notebooks von Außen sowie ein paar weitere Clients meines Bekanntenkreises auf meine Box und die dahinter liegenden Clients zugreifen. Das sind im Einzelnen

ein Netzwerklaufwerk,
zwei Drucker am USB-Port der fritz.box
zwei Desktop PC
ein USB Laufwerk an der fritz.box

Meine Box hat die Adresse 192.168.168.1 (ich habe sie geändert, da von dort, wo ich auf meine Box zugreifen muss, auch eine fritz.box installiert ist mit den Grundeinstellungen 192.168.178.1).

Die Hinweise im Wiki in der Openvpn freetz package unter http://freetz.org/wiki/packages/openvpn habe ich abgearbeitet und versucht auf meine Situation anzupassen.

In der arc7.cfg habe ich manuell in den forwardrules

"udp 0.0.0.0:1194 0.0.0.0:1194 # OpenVPN", ergänzt, ausserdem "tap0" in den brinterfaces eingefügt.

Ein Connect kommt zustande, das Icon wird nach kurzer Zeit grün, aber dann war es das schon. Ich komme auch nicht auf die Box (192.168.168.1)

Das ist auf der GUI im Freetz bei OPENVPN eingestellt:

Hier die openvpn.conf in der Fritzbox (/var/mod/etc):

# OpenVPN 2.1 Config, Wed Feb 29 21:48:28 CET 2012
proto udp
dev tap0
#Helperline for rc.openvpn to add tap0 to lan bridge
ca /tmp/flash/openvpn/ca.crt
cert /tmp/flash/openvpn/box.crt
key /tmp/flash/openvpn/box.key
dh /tmp/flash/openvpn/dh.pem
tls-server
tls-auth /tmp/flash/openvpn/static.key 0
port 1194
ifconfig 192.168.200.1 255.255.255.0
push "route-gateway 192.168.200.1"
push "route 192.168.168.0 255.255.255.0"
max-clients 10
mode server
ifconfig-pool 192.168.200.100 192.168.200.150
push "route 192.168.200.0 255.255.255.0"
route 192.168.200.0 255.255.255.0
client-to-client
tun-mtu 1500
mssfix
verb 3
daemon
cipher AES-256-CBC
comp-lzo
keepalive 10 120
chroot /tmp/openvpn
user openvpn
group openvpn
persist-tun
persist-key

... und hier die client.ovpn eines der Notebooks (Windows 7 home Premium 64 bit)

#############################################
remote mein_eigener.homedns.org 1194
proto udp # Protokoll udp
dev tap
tls-client
ns-cert-type server
ca "c:\\windows\\VpnKeys\\ca.crt"
cert "c:\\windows\\VpnKeys\\armin2.crt"
key "c:\\windows\\VpnKeys\\armin2.key"
tls-auth "c:\\Windows\\VpnKeys\\static.key" 1
resolv-retry infinite
tun-mtu 1500
mssfix
nobind
pull
cipher AES-256-CBC
comp-lzo
verb 4

Was muss ich anpassen? Ich denke, dass es mit den Routen irgendwas zu tun hat. Aber ich bin bei diesem Thema nur begrenzt kompetent und für jede Hilfe dankbar.

Danke im Voraus
pdaladin

MaxMuster · 29 Feb 2012

Wenn du wirklich "TAP" und eine Brücke nutzen willst, dann sollte/muss das OpenVPN Netz identisch mit deinem "normalen" LAN (192.168.168.x) sein (aber auch nur genau dann !).
Also, "lokale IP" auf 192.168.168.1 und den DHCP-Pool auf einen Bereich ungleich dem DHCP der Box. "Lokales Netz" ist dan überflüssig und kann weg.

Zur Sicherheit "automatisch starten" erstmal aus lassen, damit man wieder auf die Box kommt, wenn was schief läuft.

pdaladin · 29 Feb 2012

... das ging ja schnell! Danke Max. Ich kann es nur heute nicht mehr ausprobieren, da ich ja von extern probieren muss und ich keinen zweiten Zugang habe.

pdaladin · 1 Mrz 2012

... ich habe jetzt die Änderungen von Max umgesetzt. Aber es funkt noch immer nicht. Ich gehe extern von einem Netzwerk mit einer fritz.box mit den Standardeinstellungen (192.168.178.1) rein. Meine Box zuhause hat wie gesagt die 192.168.168.1. Die grüne Lampe leuchtet schnell, aber es geht nicht weiter. Das steht in der OpenVPN GUI:

Und das steht im Client Log (den opendns-server und meine Mailadresse habe ich unkenntlich gemacht):

Code:

Thu Mar 01 15:04:07 2012 OpenVPN 2.2.2 Win32-MSVC++ [SSL] [LZO2] [PKCS11] built on Dec 15 2011
Thu Mar 01 15:04:07 2012 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Thu Mar 01 15:04:07 2012 Control Channel Authentication: using 'c:\OpenVPN\config\static.key' as a OpenVPN static key file
Thu Mar 01 15:04:07 2012 Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Thu Mar 01 15:04:07 2012 Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Thu Mar 01 15:04:07 2012 LZO compression initialized
Thu Mar 01 15:04:07 2012 Control Channel MTU parms [ L:1590 D:166 EF:66 EB:0 ET:0 EL:0 ]
Thu Mar 01 15:04:07 2012 Socket Buffers: R=[8192->8192] S=[8192->8192]
Thu Mar 01 15:04:07 2012 Data Channel MTU parms [ L:1590 D:1450 EF:58 EB:135 ET:32 EL:0 AF:3/1 ]
Thu Mar 01 15:04:07 2012 Local Options hash (VER=V4): '48527533'
Thu Mar 01 15:04:07 2012 Expected Remote Options hash (VER=V4): '44bd8b5e'
Thu Mar 01 15:04:07 2012 UDPv4 link local: [undef]
Thu Mar 01 15:04:07 2012 UDPv4 link remote: 87.163.77.131:1194
Thu Mar 01 15:04:07 2012 TLS: Initial packet from 87.163.77.131:1194, sid=2e9e59d9 170bddfa
Thu Mar 01 15:04:08 2012 VERIFY OK: depth=1, /C=GE/ST=Bavaria/L=Sxxxxxxx/O=AW-OpenVPN/OU=changeme/CN=meinhomeserver.homedns.org/name=AW/[email protected]
Thu Mar 01 15:04:08 2012 VERIFY OK: nsCertType=SERVER
Thu Mar 01 15:04:08 2012 VERIFY OK: depth=0, /C=GE/ST=Bavaria/L=Sxxxxx/O=AW-OpenVPN/OU=changeme/CN=server/name=changeme/[email protected]
Thu Mar 01 15:04:09 2012 Data Channel Encrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
Thu Mar 01 15:04:09 2012 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Thu Mar 01 15:04:09 2012 Data Channel Decrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
Thu Mar 01 15:04:09 2012 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Thu Mar 01 15:04:09 2012 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
Thu Mar 01 15:04:09 2012 [server] Peer Connection Initiated with 87.163.77.131:1194
Thu Mar 01 15:04:12 2012 SENT CONTROL [server]: 'PUSH_REQUEST' (status=1)
Thu Mar 01 15:04:12 2012 PUSH: Received control message: 'PUSH_REPLY,route-gateway 192.168.168.1,route 192.168.168.0 255.255.255.0,ping 10,ping-restart 120,ifconfig 192.168.168.201 255.255.255.0'
Thu Mar 01 15:04:12 2012 OPTIONS IMPORT: timers and/or timeouts modified
Thu Mar 01 15:04:12 2012 OPTIONS IMPORT: --ifconfig/up options modified
Thu Mar 01 15:04:12 2012 OPTIONS IMPORT: route options modified
Thu Mar 01 15:04:12 2012 OPTIONS IMPORT: route-related options modified
Thu Mar 01 15:04:12 2012 ROUTE default_gateway=192.168.178.1
Thu Mar 01 15:04:12 2012 TAP-WIN32 device [LAN-Verbindung 3] opened: \\.\Global\{E735E078-37D0-4D35-8717-F38DB5B74F85}.tap
Thu Mar 01 15:04:12 2012 TAP-Win32 Driver Version 9.9 
Thu Mar 01 15:04:12 2012 TAP-Win32 MTU=1500
Thu Mar 01 15:04:12 2012 Notified TAP-Win32 driver to set a DHCP IP/netmask of 192.168.168.201/255.255.255.0 on interface {E735E078-37D0-4D35-8717-F38DB5B74F85} [DHCP-serv: 192.168.168.0, lease-time: 31536000]
Thu Mar 01 15:04:12 2012 Successful ARP Flush on interface [37] {E735E078-37D0-4D35-8717-F38DB5B74F85}
Thu Mar 01 15:04:17 2012 TEST ROUTES: 1/1 succeeded len=1 ret=1 a=0 u/d=up
Thu Mar 01 15:04:17 2012 C:\WINDOWS\system32\route.exe ADD 192.168.168.0 MASK 255.255.255.0 192.168.168.1
Thu Mar 01 15:04:17 2012 ROUTE: CreateIpForwardEntry succeeded with dwForwardMetric1=30 and dwForwardType=4
Thu Mar 01 15:04:17 2012 Route addition via IPAPI succeeded [adaptive]
Thu Mar 01 15:04:17 2012 Initialization Sequence Completed

Würde mich freuen, wenn ich einen Tip bekomme, woran es liegt.

Danke!
pdaladin

MaxMuster · 1 Mrz 2012

Was meinst du mit "es geht nicht weiter"? Das Log sieht erstmal o.k. aus. Kannst du die 192.168.168.1 anpingen?
Was sagt ein ipconfig des TAP-Interfaces?
Ist nach dem Ping auf 192.168.168.1 die MAC-Adresse für diese IP sichtbar ("arp -a")?

pdaladin · 1 Mrz 2012

Was meinst du mit "es geht nicht weiter"? Das Log sieht erstmal o.k. aus. Kannst du die 192.168.168.1 anpingen?

nein, Ping geht verloren

Was sagt ein ipconfig des TAP-Interfaces?
Ist nach dem Ping auf 192.168.168.1 die MAC-Adresse für diese IP sichtbar ("arp -a")?

ebenfalls nicht

MaxMuster · 1 Mrz 2012

Machst du bitte noch ein "ipconfig" und postest dan Part vom TAP Interface?

pdaladin · 1 Mrz 2012

Machst du bitte noch ein "ipconfig" und postest dan Part vom TAP Interface?

Code:

Ethernet-Adapter LAN-Verbindung 3:

  Verbindungsspezifisches DNS-Suffix: 
   Verbindungslokale IPv6-Adresse  . : fe80::1e7:e948:ce8a:c29%37
   IPv4-Adresse  . . . . . . . . . . : 192.168.168.201
   Subnetzmaske  . . . . . . . . . . : 255.255.255.0
   Standardgateway . . . . . . . . . :

MaxMuster · 1 Mrz 2012

Hmm, sieht eigentlich genau so aus, wie es sollte...

Kannst du das Log vom Server mal ansehen, ob dort noch was drin steht? Dass ihm das Zertifikat nicht passt oder noch nicht gültig ist (falsche Zeit auf dem Server)?
Passt der TLS-Auth Schlüssel auch? Zur Not erstmal ohne versuchen.

pdaladin · 1 Mrz 2012

... bin (leider) mittlerweile wieder zuhause. Der Dienst war mittlerweile gestoppt. Ich habe den Dienst dann wieder gestartet. Hier ist die Initialisierungssequenz. Eine Sequenz, wie der Connect zwischen Client und Server zustandekommt, kann ich heute nicht mehr liefern, da ich keinen externen Zugang zur Box habe.
Ich hoffe trotzdem, dass der Protokollauszug was nützt.

Code:

root@fritz:/var/tmp# vi debug_openvpn.out
Thu Mar  1 19:15:55 2012 OpenVPN 2.2.1 mipsel-linux [SSL] [LZO2] [MH] [PF_INET6] [IPv6 payload 20110424-2 (2.2RC2)] built on Nov 19 2011
Thu Mar  1 19:15:55 2012 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Thu Mar  1 19:15:55 2012 Diffie-Hellman initialized with 1024 bit key
Thu Mar  1 19:15:55 2012 WARNING: file '/tmp/flash/openvpn/box.key' is group or others accessible
Thu Mar  1 19:15:55 2012 WARNING: file '/tmp/flash/openvpn/static.key' is group or others accessible
Thu Mar  1 19:15:55 2012 Control Channel Authentication: using '/tmp/flash/openvpn/static.key' as a OpenVPN static key file
Thu Mar  1 19:15:55 2012 Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Thu Mar  1 19:15:55 2012 Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Thu Mar  1 19:15:55 2012 TLS-Auth MTU parms [ L:1590 D:166 EF:66 EB:0 ET:0 EL:0 ]
Thu Mar  1 19:15:55 2012 Socket Buffers: R=[108544->131072] S=[108544->131072]
Thu Mar  1 19:15:55 2012 OpenVPN ROUTE: OpenVPN needs a gateway parameter for a --route option and no default was specified by either --route-gateway or --if
Thu Mar  1 19:15:55 2012 OpenVPN ROUTE: failed to parse/resolve route for host/network: 192.168.168.0
Thu Mar  1 19:15:55 2012 TUN/TAP device tap0 opened
Thu Mar  1 19:15:55 2012 TUN/TAP TX queue length set to 100
Thu Mar  1 19:15:55 2012 do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
Thu Mar  1 19:15:55 2012 /sbin/ifconfig tap0 192.168.168.1 netmask 255.255.255.0 mtu 1500 broadcast 192.168.168.255
Thu Mar  1 19:15:55 2012 Data Channel MTU parms [ L:1590 D:1450 EF:58 EB:135 ET:32 EL:0 AF:3/1 ]
Thu Mar  1 19:15:55 2012 chroot to '/tmp/openvpn' and cd to '/' succeeded
Thu Mar  1 19:15:55 2012 GID set to openvpn
Thu Mar  1 19:15:55 2012 UID set to openvpn
Thu Mar  1 19:15:55 2012 UDPv4 link local (bound): [undef]
Thu Mar  1 19:15:55 2012 UDPv4 link remote: [undef]
Thu Mar  1 19:15:55 2012 MULTI: multi_init called, r=256 v=256
Thu Mar  1 19:15:55 2012 OpenVPN 2.2.1 mipsel-linux [SSL] [LZO2] [MH] [PF_INET6] [IPv6 payload 20110424-2 (2.2RC2)] built on Nov 19 2011
Thu Mar  1 19:15:55 2012 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Thu Mar  1 19:15:55 2012 Diffie-Hellman initialized with 1024 bit key
Thu Mar  1 19:15:55 2012 WARNING: file '/tmp/flash/openvpn/box.key' is group or others accessible
Thu Mar  1 19:15:55 2012 WARNING: file '/tmp/flash/openvpn/static.key' is group or others accessible
Thu Mar  1 19:15:55 2012 Control Channel Authentication: using '/tmp/flash/openvpn/static.key' as a OpenVPN static key file
Thu Mar  1 19:15:55 2012 Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Thu Mar  1 19:15:55 2012 Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Thu Mar  1 19:15:55 2012 TLS-Auth MTU parms [ L:1590 D:166 EF:66 EB:0 ET:0 EL:0 ]
Thu Mar  1 19:15:55 2012 Socket Buffers: R=[108544->131072] S=[108544->131072]
Thu Mar  1 19:15:55 2012 OpenVPN ROUTE: OpenVPN needs a gateway parameter for a --route option and no default was specified by either --route-gateway or --ifconfig opti
Thu Mar  1 19:15:55 2012 OpenVPN ROUTE: failed to parse/resolve route for host/network: 192.168.168.0
Thu Mar  1 19:15:55 2012 TUN/TAP device tap0 opened
Thu Mar  1 19:15:55 2012 TUN/TAP TX queue length set to 100
Thu Mar  1 19:15:55 2012 do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
Thu Mar  1 19:15:55 2012 /sbin/ifconfig tap0 192.168.168.1 netmask 255.255.255.0 mtu 1500 broadcast 192.168.168.255
Thu Mar  1 19:15:55 2012 Data Channel MTU parms [ L:1590 D:1450 EF:58 EB:135 ET:32 EL:0 AF:3/1 ]
Thu Mar  1 19:15:55 2012 chroot to '/tmp/openvpn' and cd to '/' succeeded
Thu Mar  1 19:15:55 2012 GID set to openvpn
Thu Mar  1 19:15:55 2012 UID set to openvpn
Thu Mar  1 19:15:55 2012 UDPv4 link local (bound): [undef]
Thu Mar  1 19:15:55 2012 UDPv4 link remote: [undef]
Thu Mar  1 19:15:55 2012 MULTI: multi_init called, r=256 v=256
Thu Mar  1 19:15:55 2012 IFCONFIG POOL: base=192.168.168.201 size=20, ipv6=0
Thu Mar  1 19:15:55 2012 Initialization Sequence Completed

pdaladin · 1 Mrz 2012

... ach ja:

Beim Starten des OpenVPN-Dienstes kommt:

Code:

sed: /tmp/flash/openvpn/crl.pem: No such file or directory
Stopping openvpn ... done.
Starting openvpn ... done.

Hat das was in dieser Angelegenheit zu bedeuten?

MaxMuster · 1 Mrz 2012

Nee, das mit dem "sed" macht nix. Und das Log vom Start sieht auch unauffällig aus.

Jetzt wäre wirklich zu schauen, was da während des Verbindungsaufbaus steht...

pdaladin · 2 Mrz 2012

... hab heute versucht, von aussen auf die Box zuzugreifen. Ich habe, bevor ich von zuhause weggefahren bin, im Freetz bei OpenVPN den Debug Mode und den Haken Statusprotokoll aktiviert und manuelles Starten.

Der Zugriff von extern lief wie folgt ab:
Die Ampel des OpenVPN Clients ging schnell auf grün, aber nach gefühlten 2 Minuten war sie gelb.

Zuhause angekommen stellte ich fest, dass ich nun nicht mehr in die Box hineinkomme. Den Startbildschirm, wo man das Passwort eingibt, erreiche ich noch, aber nach Eingabe des Passworts dauert es einen Moment und die Box rebootet.
Surfen im Internet und telefonieren geht aber.

Per telnet komme ich noch rein, das Protokoll ist aber durch die Reboots gelöscht. Kriegt man es hin, die Box wieder über das Web Interface zu konfigurieren oder ist es besser, neu aufzuspielen´?

MaxMuster · 3 Mrz 2012

Es gibt ein bekanntes Problem auf vielen Boxen mit der Kombination TAP und WLAN (spontane reboots). Das existiert seit Jahren und es gibt keine Lösung, weil es wohl am AVM Kernelmodul fürs WLAN liegt...

pdaladin · 4 Mrz 2012

... kein Zugriff mehr auf das Web IF

in Freetz komme ich noch rein, aber das "normale" interface (fritz.box) hängt sich auf, wenn ich versuche, mich einzuloggen. Kurz darauf bootet die box neu. Die meisten Dienste sind gesoppt. Was könnte ich noch tun, um die Box wieder normal zu erreichen (z.B. um die Kindersicherung zu verändern)? Internet und Telefon geht soweit, wenn man nicht auf das WebIF geht.

olistudent · 5 Mrz 2012

Hast du ausgewählt die OpenSSL Bibliothek zu ersetzen? Wahrscheinlich musst du ein neues Image bauen, um das AVM Webinterface wieder erreichen zu können.

Gruß
Oliver

pdaladin · 6 Mrz 2012

olistudent schrieb:
Hast du ausgewählt die OpenSSL Bibliothek zu ersetzen? Wahrscheinlich musst du ein neues Image bauen, um das AVM Webinterface wieder erreichen zu können.

Hallo Oli,

... ich weiss gar nicht, wo die im Freetz menu-config ersetzt wird.

Hab ein neues Image erstellt und über die Freetz Oberfläche eingespielt. Komme wieder auf die Box in die GUI. Danke für den Tipp. Hab dann mal testweise OpenVPN im Freetz manuell gestartet, da hat er sich wieder aufgehängt. Nach einem Neustart durch stromlos machen läuft die Box nun wieder. Kann es sein, dass durch die Konfigurierung des OpenVPN irgendwo noch "Reste" in irgendeiner Datei stehen, die bewirken, dass OpenVPN nicht mehr richtig startet, auch wenn man es im Freetz richtig konfiguriert hat?

MaxMuster · 7 Mrz 2012

Du kannst erstmal die defaults laden, dann sind alle möglichen Reste weg.
Es gibt generell bei WLAN-Boxen Probleme (spontane Reboots) , wenn tap und bridging gewählt sind. Liegt am AVM-Kernel Modul und es gibt m.W. keine Lösung dafür...

pdaladin · 9 Mrz 2012

Du kannst erstmal die defaults laden, dann sind alle möglichen Reste weg.
Es gibt generell bei WLAN-Boxen Probleme (spontane Reboots) , wenn tap und bridging gewählt sind. Liegt am AVM-Kernel Modul und es gibt m.W. keine Lösung dafür...

... wenn ich an der OpenVPN Konfiguration was ändere, z.B. defaults laden, dann hängt die Box, wenn ich das nächste mal auf die GUI versuche zu kommen. Erst ein Neustart mit Trennen vom Stromnetz lässt wieder den Zugriff zu. Soll ich dann erst mal ein Image ohne OpenVPN bauen und das flashen und danach wieder eines mit OpenVPN?

MaxMuster · 9 Mrz 2012

Du kannst auch "alles vom OpenVPN löschen", indem du in einer Shell (oder über die "RudiShell") einfach alle OpenVPN-Einstellungen löscht:

Code:

rm /tmp/flash/openvpn.diff

[Problem] Brauche ein wenig Hilfe bei der openvpn Konfiguration

Neuer User

IPPF-Promi

Neuer User

Neuer User

IPPF-Promi

Neuer User

IPPF-Promi

Neuer User

IPPF-Promi

Neuer User

Neuer User

IPPF-Promi

Neuer User

IPPF-Promi

Neuer User

IPPF-Urgestein

Neuer User

IPPF-Promi

Neuer User

IPPF-Promi

Statistik des Forums