.titleBar { margin-bottom: 5px!important; }

[gelöst] openvpn: push funktioniert nicht

Dieses Thema im Forum "Freetz" wurde erstellt von Goliath84, 27 Okt. 2008.

  1. Goliath84

    Goliath84 Neuer User

    Registriert seit:
    23 März 2008
    Beiträge:
    7
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    #1 Goliath84, 27 Okt. 2008
    Zuletzt bearbeitet: 28 Okt. 2008
    Hallo,

    ich habe ein kleines Problem mit dem OpenVPN unter freetz.
    Ich habe hier einen gemoddeten Speedport W701V mit der Firmware 29.04.59freetz-develXXXX.

    Ich möchte gerne tun-devices mit Zertifikat-Authentifizierung verwenden. Der eigentliche Verbindungsaufbau klappt soweit, ich bin auch über das VPN im Internet unterwegs (an der externen IP erkannt). Nur werden beim Client die Routen nicht richtig hinzugefügt, so das ich nicht auf den Router, oder den Clients hinter dem Router zugreifen kann.

    Folgende Situation vor Ort:
    Heimnetz: 192.168.178.0 255.255.255.0
    VPN-Netz: 192.168.74.0 255.255.255.0
    VPN-Server-IP: 192.168.74.1
    Client-IPs: 192.168.74.100-192.168.74.150

    Die Konfigurationsdateien sehen wie folgt aus (alle Einstellungen wurden in der GUI gemacht):
    Server:
    Code:
    proto udp
    dev tun
    ca /tmp/flash/ca.crt
    cert /tmp/flash/box.crt
    key /tmp/flash/box.key
    dh /tmp/flash/dh.pem
    tls-server
    tls-auth /tmp/flash/static.key 0
    port 1194
    push "redirect-gateway"
    mode server
    ifconfig-pool 192.168.74.100 192.168.74.150
    push "route 192.168.74.1 "
    push "route-gateway 192.168.74.1 "
    ifconfig 192.168.74.1 192.168.200.2
    tun-mtu 1500
    mssfix
    verb 3
    daemon
    cipher AES-256-CBC
    comp-lzo
    keepalive 10 120
    Was hat die 192.168.200.2 in der ifconfig zu suchen? In der GUI ist davon nichts zu sehen. Darf ich das per vi rauslöschen, oder würde mir die GUI das übel nehmen?

    Client-Konfiguration (es handelt sich um einen Windows XP-Client:
    Code:
    dev tun
    remote xxx.xxx.xxx
    pull
    port 1194
    cipher AES-256-CBC
    comp-lzo
    proto udp
    client
    tls-client
    tun-mtu 1500
    mssfix
    
    ca "$PFAD zu den Zertifkaten"
    cert "$PFAD zu den Zertifkaten"
    key "$PFAD zu den Zertifkaten"
    tls-auth "$PFAD zu den Zertifkaten" 1
    
    Die Eingetragenen Routen auf dem Client sieht so aus:
    ohne aktiviertes VPN:
    Code:
    ===========================================================================
    Aktive Routen:
         Netzwerkziel    Netzwerkmaske          Gateway   Schnittstelle  Anzahl
              0.0.0.0          0.0.0.0      192.168.2.1   192.168.2.109       25
            127.0.0.0        255.0.0.0        127.0.0.1       127.0.0.1       1
          192.168.2.0    255.255.255.0    192.168.2.109   192.168.2.109       25
        192.168.2.109  255.255.255.255        127.0.0.1       127.0.0.1       25
        192.168.2.255  255.255.255.255    192.168.2.109   192.168.2.109       25
            224.0.0.0        240.0.0.0    192.168.2.109   192.168.2.109       25
      255.255.255.255  255.255.255.255    192.168.2.109   192.168.2.109       1
      255.255.255.255  255.255.255.255    192.168.2.109               2       1
    Standardgateway:       192.168.2.1
    ===========================================================================
    Ständige Routen:
      Keine
    mit aktiviertem VPN:
    Code:
    ===========================================================================
    Aktive Routen:
         Netzwerkziel    Netzwerkmaske          Gateway   Schnittstelle  Anzahl
         80.144.69.58  255.255.255.255      192.168.2.1   192.168.2.109       1
            127.0.0.0        255.0.0.0        127.0.0.1       127.0.0.1       1
          192.168.2.0    255.255.255.0    192.168.2.109   192.168.2.109       25
        192.168.2.109  255.255.255.255        127.0.0.1       127.0.0.1       25
        192.168.2.255  255.255.255.255    192.168.2.109   192.168.2.109       25
       192.168.74.100  255.255.255.252   192.168.74.102  192.168.74.102       30
       192.168.74.102  255.255.255.255        127.0.0.1       127.0.0.1       30
       192.168.74.255  255.255.255.255   192.168.74.102  192.168.74.102       30
            224.0.0.0        240.0.0.0    192.168.2.109   192.168.2.109       25
            224.0.0.0        240.0.0.0   192.168.74.102  192.168.74.102       30
      255.255.255.255  255.255.255.255    192.168.2.109   192.168.2.109       1
      255.255.255.255  255.255.255.255   192.168.74.102  192.168.74.102       1
    ===========================================================================
    Ständige Routen:
      Keine
    Den IMHO wichtigen Teil der Log:
    Code:
    Mon Oct 27 17:24:23 2008 us=821346 TEST ROUTES: 0/2 succeeded len=1 ret=0 a=0 u/d=up
    Mon Oct 27 17:24:23 2008 us=821371 route ADD 80.144.69.58 MASK 255.255.255.255 192.168.2.1
    Mon Oct 27 17:24:23 2008 us=823802 Route addition via IPAPI succeeded
    Mon Oct 27 17:24:23 2008 us=823823 route DELETE 0.0.0.0 MASK 0.0.0.0 192.168.2.1
    Mon Oct 27 17:24:23 2008 us=825862 Route deletion via IPAPI succeeded
    Mon Oct 27 17:24:23 2008 us=825882 route ADD 0.0.0.0 MASK 0.0.0.0 192.168.74.1
    Mon Oct 27 17:24:23 2008 us=828311 Warning: route gateway is not reachable on any active network adapters: 192.168.74.1
    Mon Oct 27 17:24:23 2008 us=828327 Route addition via IPAPI failed
    Mon Oct 27 17:24:23 2008 us=828341 OpenVPN ROUTE: omitted no-op route: 192.168.74.1/255.255.255.255 -> 192.168.74.1
    Mon Oct 27 17:24:23 2008 us=828356 Initialization Sequence Completed With Errors ( see http://openvpn.net/faq.html#dhcpclientserv )
    Mon Oct 27 17:24:33 2008 us=927959 Bad LZO decompression header byte: 42
    Mon Oct 27 17:24:38 2008 us=352897 TCP/UDP: Closing socket
    Mon Oct 27 17:24:38 2008 us=353301 route DELETE 80.144.69.58 MASK 255.255.255.255 192.168.2.1
    Mon Oct 27 17:24:38 2008 us=355170 Route deletion via IPAPI succeeded
    Mon Oct 27 17:24:38 2008 us=355192 route DELETE 0.0.0.0 MASK 0.0.0.0 192.168.74.1
    Mon Oct 27 17:24:38 2008 us=356567 Warning: route gateway is not reachable on any active network adapters: 192.168.74.1
    Mon Oct 27 17:24:38 2008 us=356583 Route deletion via IPAPI failed
    Mon Oct 27 17:24:38 2008 us=356597 route ADD 0.0.0.0 MASK 0.0.0.0 192.168.2.1
    Mon Oct 27 17:24:38 2008 us=359407 Route addition via IPAPI succeeded
    Mon Oct 27 17:24:38 2008 us=359430 Closing TUN/TAP interface
    Mon Oct 27 17:24:38 2008 us=373624 SIGTERM[hard,] received, process exiting
    
    Zur Sicherheit habe ich mal den kompletten Log im "verb 4" angehängt.

    Ich wäre für jeden Tipp dankbar.

    Goliath
     

    Anhänge:

    • log.txt
      Dateigröße:
      23.5 KB
      Aufrufe:
      3
  2. MaxMuster

    MaxMuster IPPF-Promi

    Registriert seit:
    1 Feb. 2005
    Beiträge:
    6,924
    Zustimmungen:
    0
    Punkte für Erfolge:
    36
    ... welche Version nutzt du denn genau? Es gab ein mal ein "ifconfig" Problem bei tun, was aber mit Rev 2393 behoben sein sollte...

    Jörg
     
  3. Goliath84

    Goliath84 Neuer User

    Registriert seit:
    23 März 2008
    Beiträge:
    7
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Wo finde ich denn die genaue Rev-Nr.? Konnte ich leider nicht finden.
    Aber falls es Hilft: Ich habe erst letzte Woche die Firmware erstellt.
     
  4. Silent-Tears

    Silent-Tears IPPF-Promi

    Registriert seit:
    3 Aug. 2007
    Beiträge:
    7,456
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Ort:
    BI
    Code:
    svnversion
    
     
  5. MaxMuster

    MaxMuster IPPF-Promi

    Registriert seit:
    1 Feb. 2005
    Beiträge:
    6,924
    Zustimmungen:
    0
    Punkte für Erfolge:
    36
    #5 MaxMuster, 28 Okt. 2008
    Zuletzt bearbeitet: 28 Okt. 2008
    Ansonsten (da du die FW geflashed hast) direkt auf beiden Startseiten der Box (die normale und die Freetz-Seite ;-)).

    Wenn du es aber in der letzten Woche neu ausgechecked hast, sollte das Problem eigentlich weg sein...
    Was steht denn in der GUI im Feld "Remote IP"? Was bei "Max Clients"?

    Jörg

    EDIT: Könntest du mal bitte diese Befehle absetzen (z.B. in der RudiShell) und dann das openvpn neu starten?
    Code:
    grep -v 'route-gateway $BOX_IP \\' /mod/etc/default.openvpn/openvpn_conf > /tmp/openvpn_conf
    mount -o bind /tmp/openvpn_conf /mod/etc/default.openvpn/openvpn_conf
    
    Die erzeugte Konfig sollte dann den Eintrag push "route-gateway 192.168.74.1 " nicht mehr haben und hoffentlich funktionieren...

    Jörg
     
  6. Goliath84

    Goliath84 Neuer User

    Registriert seit:
    23 März 2008
    Beiträge:
    7
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Also nachdem ich die beiden Befehle ausgefhrt hatte, hat garnichts mehr funkioniert. die openvpn.conf wurde nicht mehr angelegt, es wurde aber auch keine Fehlermeldung ausgegeben.

    Jetzt habe ich die Box mal aus frust komplett neu geflasht, und es funktioniert auf anhieb bei gleichen Einstellungen... Da muss irgendwas in dem Image fehlerhaft gewesen sein. Was auch immer.

    Trotzdem Danke an MaxMuster und Silent-Tears.
     
  7. MaxMuster

    MaxMuster IPPF-Promi

    Registriert seit:
    1 Feb. 2005
    Beiträge:
    6,924
    Zustimmungen:
    0
    Punkte für Erfolge:
    36
    ... Jetzt sehe ich es auch, die Datei war so nicht ausführbar, es hätte noch ein "chmod +x /tmp/openvpn_conf" gefehlt....

    Aber als Frage bleibt, ob jetzt das Problem ("Warning: route gateway is not reachable on any active network adapters: 192.168.74.1") noch so beim Client besteht. Wenn ja, müsste man das wirklich noch rausnehmen.

    Jörg