freetz ovpn bridge problem

[Man At Arms]

Hallo,
nach stundenlangem rumprobieren und testen, brauch ich mal einen Tipp, um aus meiner Fehlerschleife zu kommen.


Mein Ziel ist es auf meinem gefreetztem W920V eine VPN Bridge einzurichten, mit der ich meine Handy Flat am Laptop ohne Einschränkungen nutzen kann.

Hierzu habe ich im Freetz das Openvpn Package gewählt (inkl static libs).

Meine Einrichtung sieht nun wie folgt aus:
Im ar7.cfg die Ports 443 und 1194 (zum testen) auf 0.0.0.0 "forgewarded". Ebenfalls in der ar7.cfg "tap0" unter brinterfaces hinzugefügt. (screens siehe Anhänge)

Meien configs sehen im Moment so aus:

client:

dev tap
dev-node TAP
proto tcp-client
remote meinhost.net 1194
resolv-retry infinite
nobind
presist-key
presist-tun
mute-replay-warnings
secret "key.txt"
cipher BF-CBC
comp-lzo
verb 3

Server:

openvpn.cfg aus /mod/etc/conf

export OPENVPN_ADDITIONAL='#'
export OPENVPN_AUTH_TYPE='static#static'
export OPENVPN_AUTOSTART='#'
export OPENVPN_BOX_IP='#192.168.200.1'
export OPENVPN_BOX_MASK='255.255.255.0#255.255.255.0'
export OPENVPN_CIPHER='BF-CBC#BF-CBC'
export OPENVPN_CLIENT2CLIENT='#'
export OPENVPN_CLIENTS_DEFINED='#0'
export OPENVPN_CLIENT_INFO='#'
export OPENVPN_CLIENT_IPS='#'
export OPENVPN_CLIENT_MASKS='#'
export OPENVPN_CLIENT_NAMES='#'
export OPENVPN_CLIENT_NETS='#'
export OPENVPN_COMPLZO='yes#yes'
export OPENVPN_CONFIG_CHANGED='new#yes'
export OPENVPN_CONFIG_COUNT='1'
export OPENVPN_CONFIG_NAMES='DEFAULT#'
export OPENVPN_DEBUG='#'
export OPENVPN_DEBUG_TIME='10#10'
export OPENVPN_DHCP_CLIENT='#'
export OPENVPN_DHCP_RANGE='#'
export OPENVPN_ENABLED=''
export OPENVPN_EXPERT=''
export OPENVPN_FLOAT='#'
export OPENVPN_IPV6='#'
export OPENVPN_KEEPALIVE='yes#yes'
export OPENVPN_KEEPALIVE_PING='10#10'
export OPENVPN_KEEPALIVE_TIMEOUT='120#120'
export OPENVPN_LOCAL='#'
export OPENVPN_LOCAL_NET='#192.168.178.0 255.255.255.0'
export OPENVPN_LOGFILE='#'
export OPENVPN_MAXCLIENTS='1#1'
export OPENVPN_MGMNT='#'
export OPENVPN_MODE='server#server'
export OPENVPN_MTU='1500#1500'
export OPENVPN_NO_CERTTYPE='#'
export OPENVPN_OWN_KEYS='#'
export OPENVPN_PARAM_1='#'
export OPENVPN_PARAM_2='#'
export OPENVPN_PARAM_3='#'
export OPENVPN_PORT='#443'
export OPENVPN_PROTO='udp#tcp'
export OPENVPN_PULL='#'
export OPENVPN_PUSH_DNS='#'
export OPENVPN_PUSH_WINS='#'
export OPENVPN_REDIRECT='#'
export OPENVPN_REMOTE='#'
export OPENVPN_REMOTE_IP='#192.168.200.2'
export OPENVPN_REMOTE_NET='#'
export OPENVPN_SHAPER='#'
export OPENVPN_TAP2LAN='#yes'
export OPENVPN_TLS_AUTH='#'
export OPENVPN_TYPE='tun#tap'
export OPENVPN_UDP_FRAGMENT='#'
export OPENVPN_VERBOSE='3#3'

Hoffe ich habe hier die richtige Datei erwischt, da der Tipp aus dem Tutoroal cat /mod/etc/openvpn*.conf keien Datei findet.

Des Weietren habe ich mich mehrmals gewundert, wie mein Freetz WI vom OpenVPN aussieht. In sämtlichen Tuts die ich gefunden habe, sind dort weitaus mehr Optionen sichtbar. Unter anderem DHCP Einstellungen, oder auch die Routing Optionen für das lokale Netz.

Nun, was richtet meine Konfiguration an? Im Prinzip scheine ich auf dem richtigen Weg zu sein, denn ich kann sowohl via 1194 als auch auf 443 via HTTP proxy connecten. Allerdings ist dann auch Schluss!
1. Die Freetz Box verabschiedet sich kurz. Ist nach 20 Sekunden aber wieder erreichbar, aber der OpenVPN Dienst ist gestoppt.
2. In der kurzen zeit wo es läuft, kann ich auf dem Client weder das VPN Netzwerk erreichen, noch ist eien brücke für die Inetrnetverbindung vorhanden.

Wo liegt also mein(e) Fehler?

Danke im vorraus!

 

[MaxMuster]

Die GUI "passt sich an die Einstellungen an", wenn du beispielsweise mit statischem Schlüssel arbeitest, können sich weder mehrere Clients verbinden noch geht sowas wie push/pull. Damit wären z.B. DHCP-Einstellungen witzlos und sind deshalb nicht sichtbar...

Wenn deine Box schnell rebootet, kommt bei dir wohl der kernel Bug zum Tragen ("neuere" Box mit WLAN und Bridging), für das es (noch?) keine Lösung gibt.

Versuch es also vielleicht mal ohne bridging, sonst geht es nicht.

Die config (/mod/etc/openvpn.conf) wird beim Start des OpenVPN erzeugt. Wenn die Box rebootet, ist sie wieder weg...


Jörg

 

[Man At Arms]

Danke für den Hinweis, es scheint in der Tat der Kernel Bug zu sein. Wenn ich die Wlan Funktion deaktiviere, läuft die VPN Funktion. Allerdings nur bis die VPN verbindung Clientseitig beende. Dann stoppt der Dienst auf der Box.

Allerdings habe ich jetzt noch ein Problem mit der Brücke. Der Layer 3 Traffic geht nicht durch das VPN bzw nur bedingt.

Die Client Konfiguration sieht wie folgt aus:
Wlan Adapter > Adhoc Verbindung zum Handy mit Access Point Freigabe der Internetverbindung
LAN Adapter deaktiviert
TAP Virtueller Adapter (OPENVPN Adapter).

Der TAP Adapter bekommt die IP der Box als DNS und als Gateway selbst bekommt er eine IP aus dem DHCP bereich der Freetz Box, wie gewollt also. Keine Probleme im LAN Datenverkehr, Samba etc funkt alles ohne Probleme.

Der WLAN Adapter im Adhoc Modus bekommt:
IP: 192.168.200.1
DHCP Server: 192.168.200.1
Gateway: 192.168.200.1
DNS: Provider DNS IP

Da für die Provider Verbindung ein HTTP proxy Verbindung benötigt wird, ist diese nur nutzbar wenn, sie in den Programmen entsprechend konfiguriert wird.

Theoretisch sollte in diesem Zusatnd ja jeglicher Traffic über die Box laufen, sowohl al Gateway als auch als DNS.

Passiert aber nicht, zumindest nicht überall. Google kann ich erreichen und auch tracern. wieistmeineip.de ist weder im Browser noch via tracert Befehl zu erreichen.

Ist das eine Fehlkonfig des VPN Server? Oder fehlt mir ein Client Befehl? Muss ich die TAP Verbindung mit dem WLAN Adapter brücken?

Versuch es also vielleicht mal ohne bridging, sonst geht es nicht.

Ist damit der Mode gemeint (Tap udn Tun) oder die Option "mit LAN brücken"
? Was unterbindet letztere Option? Zugriff auf das lokale LAN hinter der brücke, oder die Nutzung des Internet über das VPN?

 

[MaxMuster]

Ähm, den Aufbau habe ich jetzt noch nicht so ganz verstanden...

Wer macht den Internetzugang, die Box oder das Handy? Wo ist dein Laptop? Wer ist Client?

Mit dem "ohne Brücken" ist gemeint, dass das "tap" Interface nicht mit "lan" gebrückt sein darf. Weder per "ar7.cfg" in den brinterfaces, noch über den Haken bei "mit LAN brücken" (der nur bei Tap wirkt, aber beim ersten Aufbau der GUI nicht korrekt ausgeblendet wird). Alternativ sollte es auch gehen, wenn WLAN der Box nicht genutzt wird.

Jörg

 

[Man At Arms]

Ok:

Freetz Box zuhause am DSL Anschluss als VPN Server.
Handy mit Internetflatrate. Auf dem handy läuft da App Jokiuspot. Das Programm nutzt die UMTS Verbindung des Handy und stellt einen Ad Hock Access Point über die Wlan Funktion des Handy bereit. Somit kann ich mit dem Laptop dann via Wlan auf das Handy. Im Prinzip ist mein Handy in diesem Fall ein Wlan Router. Auf dem Laptop läuft der VPN Client.

Ich will also mit dem Laptop über das Handy in das VPN connecten und dann den Internet Traffic über das VPN leiten.

 

[MaxMuster]

o.k., das hab ich jetzt wohl verstanden...

Also geht das Notebook über das Handy ins Netz und verbindet sich darüber mit der FB.

Wenn ich das richtig sehe hast du jetzt momentan das VPN auf der FB mit dem LAN gebrückt?
Bekommt dann der TAP-Adapter im Client eine IP aus dem LAN-DHCP-Bereich??

Wenn dann alles durch den Tunnel soll brauchst du noch "redirect-gateway [def1]" im Client.

Wenn es dir nur darum geht, mit dem PC "durch die Box zu surfen" würde ich dringend zu einer Tunnel-Konfig raten. UMTS ist nicht gerade die Schnellse Verbindung, dadurch muss man dann nicht ohne Not auch noch alle Broadcasts quälen...


Jörg

 

[Man At Arms]

Nochmals danke

Genau wie du es schreibst, ist es bei mir.

Allerdings bringt redirect-gateway nicht den gewünschten Erfolg. redirect-gateway def1 ergibt einen --ipconfig bzw --route-gateway fehler im Client:

unable to redirect default gateway -- VPN gateway paramter )--route-gateway or --ifconfig)

und es bleibt weiterhin alles tot. In der Server.conf steht allerdings push "route-gateway 192.168.2.1".

Ein Eintrag in der Client.conf mit route-gateway 192.168.2.1 unterbindet diesen fehler auch, ruft aber 3 mal einen route add befehl hervor der mit der mit der Meldung "Route addition via IPAPI failed" in die ewigen Jagdgründe eingeht :/

Zum Tun/TAP:
Ich habe TAP eigentlich nur gewählt, weil ich die meisten Tutorials so verstanden habe, dass ich im TAP Modus sein muss, um extren über die box zu surfen. Es soll allerdings nicht nur surfen sein. IM, ssh und Mail pop3/imap sollten es auch sein. Ist das mit Tun machbar ?

 

[MaxMuster]

Ja, Tun ist dafür gut geeignet.

Wie sieht denn dein Routing auf dem Client ohne VPN aus? Und wie mit?
Das "redirect-getaway" versucht immer erst, das alte Defaultgateway zu finden, dann die neue Route einzutragen.

push/pull benötigt Zertifikate...

Jörg

 

[Man At Arms]

Morgen,

hab das System jetzt auf Zertifikate umgestellt, um die push/pull Funktion nutzen zu können. Hatte aber weiterhin die Probleme mit dem Routing (IPAPI failed).

Nach 5 Stunden googlen habe ich aber einen kleinen config Hinweis gefunden:

# Vista/7 ready
route-method exe
route-delay 2

Dann lief es. Naja, sagen wir es war funktionsfähig. Zum Testzeitpunkt hatte ich mit dem Handy eine 3.5G Verbindung. Wenn ich mich recht erinnere sind das 1,8-7,2 mbit down und 384 kbit up. Der heimische DSL Anschluss (VDSL50) war zu diesem zeitpunkt unbelastet und die Geschwindigkeit war jenseits von gut und böse.

Daher versuche ich mich jetzt am Tun.

Verbindung klappt, routing wird auch gesetzt. Allerdings kann ich nichts anpingen oder auflösen.

Hier mal meine cfgs:

server:

#  OpenVPN 2.1 Config, Wed Apr 28 22:10:51 CEST 2010
proto tcp-server
dev tun
ca /tmp/flash/ca.crt
cert /tmp/flash/box.crt
key /tmp/flash/box.key
dh /tmp/flash/dh.pem
tls-server
port 443
push "dhcp-option DNS 192.168.3.49"
push "redirect-gateway"
mode server
ifconfig-pool 192.168.3.50 192.168.3.70
push "route 192.168.2.1"
route 192.168.3.0 255.255.255.0
ifconfig 192.168.2.1 192.168.3.49
tun-mtu 1500
mssfix
verb 3
daemon
cipher BF-CBC
comp-lzo
keepalive 10 120
chroot /tmp/openvpn
user openvpn
group openvpn
persist-tun
persist-key

client:

tls-client
if config 192.168.3.50 192.168.3.49
dev tun
dev-node TAP
proto tcp-client
remote dingenshier.de 
resolve-retry inifinite
nobind
persist-key
persist-tun
ca dingens.crt
cert hierda.crt
key schlüssel.key
pull
cipher BF-CBC
comp-lzo
verb 3
route-method exe
route-delay 2

Wo liegt mein Fehler?

 

[MaxMuster]

Server: ifconfig 192.168.2.1 192.168.3.49
und Client: ifconfig 192.168.3.50 192.168.3.49

Das passt nicht. Der Tunnel muss "wechselseitig" konfiguriert sein. Hinzu kommt, dass der Windows-Tunnel so eine "echte" Point-to-Point-Verbindung (mit "unzusammenhängenden" IPs [siehe drittes Oktett]) nich kann soweit ich weiß.

Vorschlag wäre z.B. Server: ifconfig 192.168.3.49 192.168.3.50
und Client: ifconfig 192.168.3.50 192.168.3.49

Jörg

 

[Man At Arms]

Ok, läuft.

Allerdings verstanden habe ich das jetzt nicht so ganz. Um den Standardgateway zu beeinflussen muss ich den DHCP Bereich verändern, oder?
Mir scheint es, als wenn der Standardgateway immer DHCP Startip - 1 ist.

Zu meinem Ergebnis des Tun. Kein Unterscheid zum TAP... leider, hier mal Zahlen von Speedmeter.de:

Verbindung ohne OpenVPN:
Download: 1,1 Mbit
Upload: 0,1 Mbit
Ping: 120 ms

Verbindung mit OpenVPN Tun:
Download: 27 kbit (!!!!!!)
Upload: 17 kbit
Ping: 430 ms

Dabei wurd Verbindungsart und Position des Handy nicht verändert!
Die Leistungseinbrüche kommen mir dennoch irgendwie übertrieben vor. Hab ich vielleicht noch irgendwo einen Fehler?

Und noch einmal vielen Dank @ MaxMuster

 

[RalfFriedl]

Ich vermute, Das Standardgateway ist die IP des Routers selbst, ob 1 am Ende oder nicht. Es wäre zumindest das sinnvollste.

 

[Man At Arms]

Ich vermute, Das Standardgateway ist die IP des Routers selbst, ob 1 am Ende oder nicht. Es wäre zumindest das sinnvollste.

Nein, ist nicht so.
ich ahbe jetzt Loakle Router IP auf 192.168.3.49 und Remote auf 192.168.3.50
Der DHCP Bereich ist auf 192.168.3.50-192.168.3.100 festgelegt. Der TAP bekommt so .49 als Gateway und alles funzt.

Wenn ich den DHCP Bereich aber auf .70-.100 lege, wird der Standardgateway .69 und nichts geht.

Update der Messergebnisse:

Ein 2. Test mit dem Tun hat nun folgende Messwerte ergeben:
Dowload: 1 Mbit
Upload: 420 kbit
Ping: 266 ms

Genau was ich mir erhofft habe

Jetzt gehts mit HTTP Proxy durch den Tunnel via HandyFlatrate mit dem Lappi zur Freetz Box und dann ohne Einschränkung ins WWW. Genau so war der Plan . Geht zwar auch direkt durch die AGBs des Provider, aber wenn man es mit dem Traffic nicht übertreibt, haut des schon hin

 

[RalfFriedl]

Das paßt aber nicht damit zusammen, daß in der Standard-Einstellung die IP des Geräts 192.168.178.1 ist und der DHCP-Bereich 20-200.
Hast Du über das "nichts geht" hinaus überprüft, welches Gateway tatsächlich per DHCP übergeben wird?

 

[Man At Arms]

Ich rede ja nicht von der Fritzbox, sondern von OpenVPN. Wenn ich das richtig verstanden habe, setzt der OpenVPN einen Befehl für den lokalen DHCP Dienst mit und teilt die entsprechenden IPs mit. Unter anderem halt DHCP Server, Gateway usw. Der DHCP Server der Box hat damit reichlich wenig am Hut.

Bei mir ist jetzt allerdings ein neues Problem aufgetreten. Nach einer gewissen zeitspanne, in der der VPN Tunnel inaktiv war, geht wieder nichts. Ich finde weder im Client Log, noch im Server Log irgendeine Information dazu.

Muss der Server hier mit:
keepalive 10 60
ping-timer-rem
konfiguriert werden? Ich dachte eigentlich, dass dieses nur bei UDP Traffic notwendig sei.

 

[MaxMuster]

Allerdings verstanden habe ich das jetzt nicht so ganz. Um den Standardgateway zu beeinflussen muss ich den DHCP Bereich verändern, oder?

Das hab ich jetzt nicht so ganz verstanden ;-)

Mit dem Tunnel hast du ja ein "zusätzliches Interface" in der Box etabliert. Bei der Standard-Konfig ist es so, dass die VPN-IP der "Tunnel-Gegenseite" als "route-gateway" genutzt wird, wenn du also im OpenVPN Routing-Befehle ohne Gateway angibts, wird das genutzt. Bei der Config mit nur einem Client sind die ganzen "DHCP-Dinge" ja nicht wirklich sinnvoll...

Beim "TAP" wird (wenn du mehrere Clients hast) ein Netz für die VPN-Verbindungen vorgesehen mit der Netzmaske 255.255.255.0. Nur wenn
die beiden Dinge "gebrückt" sind darfst/solltest du dabei die gleichen IP-Adressen wie im LAN benutzen, sonst machst du die Box eventuell unerreichbar...

Beim OpenVPN mit Tunnel ist es so, dass im Normalfall bei mehreren Clients immer "Mini-Netze" für den Tunnel vergeben werden, dabei nimmt sich der Server die erste IP, der Client bekommt die zweite, bei dem Netz 192.168.3.48/30 sind die "nutzbaren" IPs 192.168.3.49 und 192.168.3.50. Wenn du die IPs nicht wie hier vorgibst, sondern per "DHCP" bezögest (mit dem "DHCP-Range" in der GUI), würde der Server für sich die erste nehmen und dem Client die zweite zuweisen (um genau zu sein: eigentlich wäre auch das nur "gedacht" so; die Server-IP wird dem TUN Interface bei mehreren Clients nicht wirklich mehrfach zugewiesen, sondern nur virtuell fürs Routing benutzt und das tun bekommt die IP aus dem "ifconfig" statement...)

Ich hoffe, das hat jetzt nicht zu sehr verwirrt ;-)

Zu den Timeouts: Vielleicht liegt das an dem Provider?
Wer weiß, was der bei "Inaktivität" so macht??
Vielleicht eine neue IP? Dann reicht wohl ein "Float" in der Konfig (Haken bei "IP Änderung zulassen").



Jörg