[gelöst] openvpn: push funktioniert nicht

Goliath84

Neuer User
Mitglied seit
23 Mrz 2008
Beiträge
7
Punkte für Reaktionen
0
Punkte
0
Hallo,

ich habe ein kleines Problem mit dem OpenVPN unter freetz.
Ich habe hier einen gemoddeten Speedport W701V mit der Firmware 29.04.59freetz-develXXXX.

Ich möchte gerne tun-devices mit Zertifikat-Authentifizierung verwenden. Der eigentliche Verbindungsaufbau klappt soweit, ich bin auch über das VPN im Internet unterwegs (an der externen IP erkannt). Nur werden beim Client die Routen nicht richtig hinzugefügt, so das ich nicht auf den Router, oder den Clients hinter dem Router zugreifen kann.

Folgende Situation vor Ort:
Heimnetz: 192.168.178.0 255.255.255.0
VPN-Netz: 192.168.74.0 255.255.255.0
VPN-Server-IP: 192.168.74.1
Client-IPs: 192.168.74.100-192.168.74.150

Die Konfigurationsdateien sehen wie folgt aus (alle Einstellungen wurden in der GUI gemacht):
Server:
Code:
proto udp
dev tun
ca /tmp/flash/ca.crt
cert /tmp/flash/box.crt
key /tmp/flash/box.key
dh /tmp/flash/dh.pem
tls-server
tls-auth /tmp/flash/static.key 0
port 1194
push "redirect-gateway"
mode server
ifconfig-pool 192.168.74.100 192.168.74.150
push "route 192.168.74.1 "
push "route-gateway 192.168.74.1 "
ifconfig 192.168.74.1 192.168.200.2
tun-mtu 1500
mssfix
verb 3
daemon
cipher AES-256-CBC
comp-lzo
keepalive 10 120

Was hat die 192.168.200.2 in der ifconfig zu suchen? In der GUI ist davon nichts zu sehen. Darf ich das per vi rauslöschen, oder würde mir die GUI das übel nehmen?

Client-Konfiguration (es handelt sich um einen Windows XP-Client:
Code:
dev tun
remote xxx.xxx.xxx
pull
port 1194
cipher AES-256-CBC
comp-lzo
proto udp
client
tls-client
tun-mtu 1500
mssfix

ca "$PFAD zu den Zertifkaten"
cert "$PFAD zu den Zertifkaten"
key "$PFAD zu den Zertifkaten"
tls-auth "$PFAD zu den Zertifkaten" 1
Die Eingetragenen Routen auf dem Client sieht so aus:
ohne aktiviertes VPN:
Code:
===========================================================================
Aktive Routen:
     Netzwerkziel    Netzwerkmaske          Gateway   Schnittstelle  Anzahl
          0.0.0.0          0.0.0.0      192.168.2.1   192.168.2.109       25
        127.0.0.0        255.0.0.0        127.0.0.1       127.0.0.1       1
      192.168.2.0    255.255.255.0    192.168.2.109   192.168.2.109       25
    192.168.2.109  255.255.255.255        127.0.0.1       127.0.0.1       25
    192.168.2.255  255.255.255.255    192.168.2.109   192.168.2.109       25
        224.0.0.0        240.0.0.0    192.168.2.109   192.168.2.109       25
  255.255.255.255  255.255.255.255    192.168.2.109   192.168.2.109       1
  255.255.255.255  255.255.255.255    192.168.2.109               2       1
Standardgateway:       192.168.2.1
===========================================================================
Ständige Routen:
  Keine
mit aktiviertem VPN:
Code:
===========================================================================
Aktive Routen:
     Netzwerkziel    Netzwerkmaske          Gateway   Schnittstelle  Anzahl
     80.144.69.58  255.255.255.255      192.168.2.1   192.168.2.109       1
        127.0.0.0        255.0.0.0        127.0.0.1       127.0.0.1       1
      192.168.2.0    255.255.255.0    192.168.2.109   192.168.2.109       25
    192.168.2.109  255.255.255.255        127.0.0.1       127.0.0.1       25
    192.168.2.255  255.255.255.255    192.168.2.109   192.168.2.109       25
   192.168.74.100  255.255.255.252   192.168.74.102  192.168.74.102       30
   192.168.74.102  255.255.255.255        127.0.0.1       127.0.0.1       30
   192.168.74.255  255.255.255.255   192.168.74.102  192.168.74.102       30
        224.0.0.0        240.0.0.0    192.168.2.109   192.168.2.109       25
        224.0.0.0        240.0.0.0   192.168.74.102  192.168.74.102       30
  255.255.255.255  255.255.255.255    192.168.2.109   192.168.2.109       1
  255.255.255.255  255.255.255.255   192.168.74.102  192.168.74.102       1
===========================================================================
Ständige Routen:
  Keine

Den IMHO wichtigen Teil der Log:
Code:
Mon Oct 27 17:24:23 2008 us=821346 TEST ROUTES: 0/2 succeeded len=1 ret=0 a=0 u/d=up
Mon Oct 27 17:24:23 2008 us=821371 route ADD 80.144.69.58 MASK 255.255.255.255 192.168.2.1
Mon Oct 27 17:24:23 2008 us=823802 Route addition via IPAPI succeeded
Mon Oct 27 17:24:23 2008 us=823823 route DELETE 0.0.0.0 MASK 0.0.0.0 192.168.2.1
Mon Oct 27 17:24:23 2008 us=825862 Route deletion via IPAPI succeeded
Mon Oct 27 17:24:23 2008 us=825882 route ADD 0.0.0.0 MASK 0.0.0.0 192.168.74.1
Mon Oct 27 17:24:23 2008 us=828311 Warning: route gateway is not reachable on any active network adapters: 192.168.74.1
Mon Oct 27 17:24:23 2008 us=828327 Route addition via IPAPI failed
Mon Oct 27 17:24:23 2008 us=828341 OpenVPN ROUTE: omitted no-op route: 192.168.74.1/255.255.255.255 -> 192.168.74.1
Mon Oct 27 17:24:23 2008 us=828356 Initialization Sequence Completed With Errors ( see http://openvpn.net/faq.html#dhcpclientserv )
Mon Oct 27 17:24:33 2008 us=927959 Bad LZO decompression header byte: 42
Mon Oct 27 17:24:38 2008 us=352897 TCP/UDP: Closing socket
Mon Oct 27 17:24:38 2008 us=353301 route DELETE 80.144.69.58 MASK 255.255.255.255 192.168.2.1
Mon Oct 27 17:24:38 2008 us=355170 Route deletion via IPAPI succeeded
Mon Oct 27 17:24:38 2008 us=355192 route DELETE 0.0.0.0 MASK 0.0.0.0 192.168.74.1
Mon Oct 27 17:24:38 2008 us=356567 Warning: route gateway is not reachable on any active network adapters: 192.168.74.1
Mon Oct 27 17:24:38 2008 us=356583 Route deletion via IPAPI failed
Mon Oct 27 17:24:38 2008 us=356597 route ADD 0.0.0.0 MASK 0.0.0.0 192.168.2.1
Mon Oct 27 17:24:38 2008 us=359407 Route addition via IPAPI succeeded
Mon Oct 27 17:24:38 2008 us=359430 Closing TUN/TAP interface
Mon Oct 27 17:24:38 2008 us=373624 SIGTERM[hard,] received, process exiting
Zur Sicherheit habe ich mal den kompletten Log im "verb 4" angehängt.

Ich wäre für jeden Tipp dankbar.

Goliath
 

Anhänge

  • log.txt
    23.5 KB · Aufrufe: 3
Zuletzt bearbeitet:
... welche Version nutzt du denn genau? Es gab ein mal ein "ifconfig" Problem bei tun, was aber mit Rev 2393 behoben sein sollte...

Jörg
 
Wo finde ich denn die genaue Rev-Nr.? Konnte ich leider nicht finden.
Aber falls es Hilft: Ich habe erst letzte Woche die Firmware erstellt.
 
Code:
svnversion
 
Ansonsten (da du die FW geflashed hast) direkt auf beiden Startseiten der Box (die normale und die Freetz-Seite ;-)).

Wenn du es aber in der letzten Woche neu ausgechecked hast, sollte das Problem eigentlich weg sein...
Was steht denn in der GUI im Feld "Remote IP"? Was bei "Max Clients"?

Jörg

EDIT: Könntest du mal bitte diese Befehle absetzen (z.B. in der RudiShell) und dann das openvpn neu starten?
Code:
grep -v 'route-gateway $BOX_IP \\' /mod/etc/default.openvpn/openvpn_conf > /tmp/openvpn_conf
mount -o bind /tmp/openvpn_conf /mod/etc/default.openvpn/openvpn_conf
Die erzeugte Konfig sollte dann den Eintrag push "route-gateway 192.168.74.1 " nicht mehr haben und hoffentlich funktionieren...

Jörg
 
Zuletzt bearbeitet:
Also nachdem ich die beiden Befehle ausgefhrt hatte, hat garnichts mehr funkioniert. die openvpn.conf wurde nicht mehr angelegt, es wurde aber auch keine Fehlermeldung ausgegeben.

Jetzt habe ich die Box mal aus frust komplett neu geflasht, und es funktioniert auf anhieb bei gleichen Einstellungen... Da muss irgendwas in dem Image fehlerhaft gewesen sein. Was auch immer.

Trotzdem Danke an MaxMuster und Silent-Tears.
 
... Jetzt sehe ich es auch, die Datei war so nicht ausführbar, es hätte noch ein "chmod +x /tmp/openvpn_conf" gefehlt....

Aber als Frage bleibt, ob jetzt das Problem ("Warning: route gateway is not reachable on any active network adapters: 192.168.74.1") noch so beim Client besteht. Wenn ja, müsste man das wirklich noch rausnehmen.

Jörg
 
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.