[gelöst] openvpn: push funktioniert nicht

[Goliath84]

Hallo,

ich habe ein kleines Problem mit dem OpenVPN unter freetz.
Ich habe hier einen gemoddeten Speedport W701V mit der Firmware 29.04.59freetz-develXXXX.

Ich möchte gerne tun-devices mit Zertifikat-Authentifizierung verwenden. Der eigentliche Verbindungsaufbau klappt soweit, ich bin auch über das VPN im Internet unterwegs (an der externen IP erkannt). Nur werden beim Client die Routen nicht richtig hinzugefügt, so das ich nicht auf den Router, oder den Clients hinter dem Router zugreifen kann.

Folgende Situation vor Ort:
Heimnetz: 192.168.178.0 255.255.255.0
VPN-Netz: 192.168.74.0 255.255.255.0
VPN-Server-IP: 192.168.74.1
Client-IPs: 192.168.74.100-192.168.74.150

Die Konfigurationsdateien sehen wie folgt aus (alle Einstellungen wurden in der GUI gemacht):
Server:

proto udp
dev tun
ca /tmp/flash/ca.crt
cert /tmp/flash/box.crt
key /tmp/flash/box.key
dh /tmp/flash/dh.pem
tls-server
tls-auth /tmp/flash/static.key 0
port 1194
push "redirect-gateway"
mode server
ifconfig-pool 192.168.74.100 192.168.74.150
push "route 192.168.74.1 "
push "route-gateway 192.168.74.1 "
ifconfig 192.168.74.1 192.168.200.2
tun-mtu 1500
mssfix
verb 3
daemon
cipher AES-256-CBC
comp-lzo
keepalive 10 120

Was hat die 192.168.200.2 in der ifconfig zu suchen? In der GUI ist davon nichts zu sehen. Darf ich das per vi rauslöschen, oder würde mir die GUI das übel nehmen?

Client-Konfiguration (es handelt sich um einen Windows XP-Client:

dev tun
remote xxx.xxx.xxx
pull
port 1194
cipher AES-256-CBC
comp-lzo
proto udp
client
tls-client
tun-mtu 1500
mssfix

ca "$PFAD zu den Zertifkaten"
cert "$PFAD zu den Zertifkaten"
key "$PFAD zu den Zertifkaten"
tls-auth "$PFAD zu den Zertifkaten" 1

Die Eingetragenen Routen auf dem Client sieht so aus:
ohne aktiviertes VPN:

===========================================================================
Aktive Routen:
     Netzwerkziel    Netzwerkmaske          Gateway   Schnittstelle  Anzahl
          0.0.0.0          0.0.0.0      192.168.2.1   192.168.2.109       25
        127.0.0.0        255.0.0.0        127.0.0.1       127.0.0.1       1
      192.168.2.0    255.255.255.0    192.168.2.109   192.168.2.109       25
    192.168.2.109  255.255.255.255        127.0.0.1       127.0.0.1       25
    192.168.2.255  255.255.255.255    192.168.2.109   192.168.2.109       25
        224.0.0.0        240.0.0.0    192.168.2.109   192.168.2.109       25
  255.255.255.255  255.255.255.255    192.168.2.109   192.168.2.109       1
  255.255.255.255  255.255.255.255    192.168.2.109               2       1
Standardgateway:       192.168.2.1
===========================================================================
Ständige Routen:
  Keine

mit aktiviertem VPN:

===========================================================================
Aktive Routen:
     Netzwerkziel    Netzwerkmaske          Gateway   Schnittstelle  Anzahl
     80.144.69.58  255.255.255.255      192.168.2.1   192.168.2.109       1
        127.0.0.0        255.0.0.0        127.0.0.1       127.0.0.1       1
      192.168.2.0    255.255.255.0    192.168.2.109   192.168.2.109       25
    192.168.2.109  255.255.255.255        127.0.0.1       127.0.0.1       25
    192.168.2.255  255.255.255.255    192.168.2.109   192.168.2.109       25
   192.168.74.100  255.255.255.252   192.168.74.102  192.168.74.102       30
   192.168.74.102  255.255.255.255        127.0.0.1       127.0.0.1       30
   192.168.74.255  255.255.255.255   192.168.74.102  192.168.74.102       30
        224.0.0.0        240.0.0.0    192.168.2.109   192.168.2.109       25
        224.0.0.0        240.0.0.0   192.168.74.102  192.168.74.102       30
  255.255.255.255  255.255.255.255    192.168.2.109   192.168.2.109       1
  255.255.255.255  255.255.255.255   192.168.74.102  192.168.74.102       1
===========================================================================
Ständige Routen:
  Keine

Den IMHO wichtigen Teil der Log:

Mon Oct 27 17:24:23 2008 us=821346 TEST ROUTES: 0/2 succeeded len=1 ret=0 a=0 u/d=up
Mon Oct 27 17:24:23 2008 us=821371 route ADD 80.144.69.58 MASK 255.255.255.255 192.168.2.1
Mon Oct 27 17:24:23 2008 us=823802 Route addition via IPAPI succeeded
Mon Oct 27 17:24:23 2008 us=823823 route DELETE 0.0.0.0 MASK 0.0.0.0 192.168.2.1
Mon Oct 27 17:24:23 2008 us=825862 Route deletion via IPAPI succeeded
Mon Oct 27 17:24:23 2008 us=825882 route ADD 0.0.0.0 MASK 0.0.0.0 192.168.74.1
Mon Oct 27 17:24:23 2008 us=828311 Warning: route gateway is not reachable on any active network adapters: 192.168.74.1
Mon Oct 27 17:24:23 2008 us=828327 Route addition via IPAPI failed
Mon Oct 27 17:24:23 2008 us=828341 OpenVPN ROUTE: omitted no-op route: 192.168.74.1/255.255.255.255 -> 192.168.74.1
Mon Oct 27 17:24:23 2008 us=828356 Initialization Sequence Completed With Errors ( see http://openvpn.net/faq.html#dhcpclientserv )
Mon Oct 27 17:24:33 2008 us=927959 Bad LZO decompression header byte: 42
Mon Oct 27 17:24:38 2008 us=352897 TCP/UDP: Closing socket
Mon Oct 27 17:24:38 2008 us=353301 route DELETE 80.144.69.58 MASK 255.255.255.255 192.168.2.1
Mon Oct 27 17:24:38 2008 us=355170 Route deletion via IPAPI succeeded
Mon Oct 27 17:24:38 2008 us=355192 route DELETE 0.0.0.0 MASK 0.0.0.0 192.168.74.1
Mon Oct 27 17:24:38 2008 us=356567 Warning: route gateway is not reachable on any active network adapters: 192.168.74.1
Mon Oct 27 17:24:38 2008 us=356583 Route deletion via IPAPI failed
Mon Oct 27 17:24:38 2008 us=356597 route ADD 0.0.0.0 MASK 0.0.0.0 192.168.2.1
Mon Oct 27 17:24:38 2008 us=359407 Route addition via IPAPI succeeded
Mon Oct 27 17:24:38 2008 us=359430 Closing TUN/TAP interface
Mon Oct 27 17:24:38 2008 us=373624 SIGTERM[hard,] received, process exiting

Zur Sicherheit habe ich mal den kompletten Log im "verb 4" angehängt.

Ich wäre für jeden Tipp dankbar.

Goliath

 

[MaxMuster]

... welche Version nutzt du denn genau? Es gab ein mal ein "ifconfig" Problem bei tun, was aber mit Rev 2393 behoben sein sollte...

Jörg

 

[Goliath84]

Wo finde ich denn die genaue Rev-Nr.? Konnte ich leider nicht finden.
Aber falls es Hilft: Ich habe erst letzte Woche die Firmware erstellt.

 

[Silent-Tears]

svnversion

 

[MaxMuster]

Ansonsten (da du die FW geflashed hast) direkt auf beiden Startseiten der Box (die normale und die Freetz-Seite ;-)).

Wenn du es aber in der letzten Woche neu ausgechecked hast, sollte das Problem eigentlich weg sein...
Was steht denn in der GUI im Feld "Remote IP"? Was bei "Max Clients"?

Jörg

EDIT: Könntest du mal bitte diese Befehle absetzen (z.B. in der RudiShell) und dann das openvpn neu starten?

grep -v 'route-gateway $BOX_IP \\' /mod/etc/default.openvpn/openvpn_conf > /tmp/openvpn_conf
mount -o bind /tmp/openvpn_conf /mod/etc/default.openvpn/openvpn_conf

Die erzeugte Konfig sollte dann den Eintrag push "route-gateway 192.168.74.1 " nicht mehr haben und hoffentlich funktionieren...

Jörg

 

[Goliath84]

Also nachdem ich die beiden Befehle ausgefhrt hatte, hat garnichts mehr funkioniert. die openvpn.conf wurde nicht mehr angelegt, es wurde aber auch keine Fehlermeldung ausgegeben.

Jetzt habe ich die Box mal aus frust komplett neu geflasht, und es funktioniert auf anhieb bei gleichen Einstellungen... Da muss irgendwas in dem Image fehlerhaft gewesen sein. Was auch immer.

Trotzdem Danke an MaxMuster und Silent-Tears.

 

[MaxMuster]

... Jetzt sehe ich es auch, die Datei war so nicht ausführbar, es hätte noch ein "chmod +x /tmp/openvpn_conf" gefehlt....

Aber als Frage bleibt, ob jetzt das Problem ("Warning: route gateway is not reachable on any active network adapters: 192.168.74.1") noch so beim Client besteht. Wenn ja, müsste man das wirklich noch rausnehmen.

Jörg