[gelöst] openvpn client unter linux funktioniert nicht

[da_phil]

Hallo, das Problem hat jetzt erstmal gar nichts mit meinem anderen "Openvpn überlastet" zu tun.

Problem ist, dass wenn ein Windows PC als Client verwendet wird, die Zugriffe aufs Heimnetzwerk problemlos funktionieren.

Wenn der Client jedoch ein Linux Rechner ist. Klappen gar keine Ping Befehle an 192.168.200.1 geschweige denn ans eigene Heimnetz 192.168.2.x

Das Netzwerk hat den internen IP Bereich 192.168.2.x
Hier mal die Einstellungen die ich am Server (Fritzbox mit ds-mod) vorgenommen habe:

UDP
Modus :TUN
Aut. statisch
Cipher: Blowfish #<- Blowfish ist für Fritzbox der geringste Rechenaufwand oder?
Lokaler Endpunkt 192.168.200.1 255.255.255.0
Entfernter Endpunkt: 192.168.200.2 255.255.255.0
Netzwerksequenz: 192.168.200.0 255.255.255.0
Routing Lokales Netzwerk: 192.168.2.0 255.255.255.0

Und hier meine Client Configdatei:

remote ich.dyndns.org
proto udp
dev tun
ifconfig 192.168.200.2 192.168.200.1
secret "***.key"
tun-mtu 1492
route gateway 192.168.200.1
route 192.168.2.0 255.255.255.0 192.168.200.1
float
mssfix
nobind
verb 3

Hardware ist ein Speedport W701V mit ds-0.2.9_26-14

hier noch der Log:

Sun May 20 15:53:34 2007 OpenVPN 2.1_rc4 x86_64-mandriva-linux-gnu [SSL] [LZO2] [EPOLL] built on May 9 2007
Sun May 20 15:53:34 2007 WARNING: file '/root/fritzbox.key' is group or others accessible
Sun May 20 15:53:34 2007 Static Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Sun May 20 15:53:34 2007 Static Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Sun May 20 15:53:34 2007 Static Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Sun May 20 15:53:34 2007 Static Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Sun May 20 15:53:34 2007 WARNING: normally if you use --mssfix and/or --fragment, you should also set --tun-mtu 1500 (currently it is 1492)
Sun May 20 15:53:35 2007 TUN/TAP device tun0 opened
Sun May 20 15:53:35 2007 TUN/TAP TX queue length set to 100
Sun May 20 15:53:35 2007 /sbin/ifconfig tun0 192.168.200.2 pointopoint 192.168.200.1 mtu 1492
Sun May 20 15:53:35 2007 /sbin/route add -net 192.168.2.0 netmask 255.255.255.0 gw 192.168.200.1
Sun May 20 15:53:35 2007 Data Channel MTU parms [ L:1540 D:1300 EF:48 EB:4 ET:0 EL:0 ]
Sun May 20 15:53:35 2007 Fragmentation MTU parms [ L:1540 D:1300 EF:48 EB:4 ET:0 EL:0 ]
Sun May 20 15:53:35 2007 Local Options hash (VER=V4): 'fc2219b8'
Sun May 20 15:53:35 2007 Expected Remote Options hash (VER=V4): 'cd218671'
Sun May 20 15:53:35 2007 Socket Buffers: R=[129024->131072] S=[129024->131072]
Sun May 20 15:53:35 2007 UDPv4 link local: [undef]
Sun May 20 15:53:35 2007 UDPv4 link remote: 84.148.60.104:1194
Sun May 20 15:54:44 2007 Peer Connection Initiated with 84.148.60.104:1194
Sun May 20 15:54:44 2007 Initialization Sequence Completed
Sun May 20 15:54:47 2007 event_wait : Interrupted system call (code=4)
Sun May 20 15:54:47 2007 TCP/UDP: Closing socket
Sun May 20 15:54:47 2007 /sbin/route del -net 192.168.2.0 netmask 255.255.255.0
Sun May 20 15:54:47 2007 Closing TUN/TAP interface
Sun May 20 15:54:47 2007 SIGINT[hard,] received, process exiting

 

[hermann72pb]

Nur eine Vermutung:

tun-mtu 1492

Hattest du es unter windows auch? Wenn du mit MTU-Werten spielst, dann bitte auf beiden Seiten gleichzeitig.

MfG

 

[da_phil]

auch im Serverfile steht tun-mtu 1492.

fragment 1300 auf beiden Seiten hat auch nichts genützt.

Bei Ping erscheint immer:

from 192.168.200.2 icmp_seq=1 Destination Host Unreachable

 

[knox]

zeig mal die routing tabelle (ip route list oder route -n)

 

[da_phil]

So hier die Routing Tabelle:

route -n
Kernel IP Routentabelle
Ziel Router Genmask Flags Metric Ref Use Iface
192.168.200.1 0.0.0.0 255.255.255.255 UH 0 0 0 tun0
192.168.2.0 192.168.200.1 255.255.255.0 UG 0 0 0 tun0
192.168.2.0 0.0.0.0 255.255.255.0 U 35 0 0 eth2
169.254.0.0 0.0.0.0 255.255.0.0 U 35 0 0 eth2
127.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 lo
0.0.0.0 192.168.2.1 0.0.0.0 UG 35 0 0 eth2



ip route list
192.168.200.1 dev tun0 proto kernel scope link src 192.168.200.2
192.168.2.0/24 via 192.168.200.1 dev tun0
192.168.2.0/24 dev eth2 proto kernel scope link src 192.168.2.25 metric 35
169.254.0.0/16 dev eth2 scope link metric 35
127.0.0.0/8 dev lo scope link

 

[MaxMuster]

Hi,

die Kiste kennt das Netz 192.168.2.0 über tun0 und über eth2.
Hat eth2 hat auch eine IP da drin (192.168.2.25)??

EDIT: Ergänzung: Das ist besonders von Bedeutung, da auch dein Defaultgateway in dem Netz zu sein scheint, die 192.168.2.1?

Jörg

 

[da_phil]

Jupp eth2 hat die interne IP 192.168.2.25 und geht über den Gateway 192.168.2.1 ins Netz.

Versuch halt gerade lokal vom LAN ins VPN zu gehen.

Kanns später aber auch noch mal von meinem Nachbarn aus probieren. Dort klappt das ganze aber auch nicht ordentlich mit dem ROuting obwohl sein Heimnetz nicht in 192.168.2.x liegt.

 

[MaxMuster]

... kannst du mal mit ifconfig schauen, ob Pakete über das tun-Interface gegangen sind?
Ansonsten: Hat die Linux-Kiste vielleicht 'ne Firewall? Zumindest die "Susen" haben ja sowas jetzt auch standardmäßig an Bord und auch aktiviert...
(Schließlich hast du die Verbindung mit ich.dyndns.org (also der externen IP) aufgebaut und redest nun aber mit 192.168.2.1 oder so...)

Jörg

 

[da_phil]

Danke Jörg für deine super schnelle Hilfe!
hab in meine hosts.allow
1194:ALL

eingetragen und es funzt

 

[MaxMuster]

Danke Jörg für deine super schnelle Hilfe!

Aber gerne doch!

Und noch eine Bitte, wenn du bei Gelegenheit den Titel noch um den Zusatz [gelöst] ergänzt, dann lassen sich offene von beendeten Themen leichter unterscheiden...

Jörg