.titleBar { margin-bottom: 5px!important; }

[gelöst] OpenVPN: Tunnel steht, ping geht jedoch nicht

Dieses Thema im Forum "Freetz" wurde erstellt von b69, 15 Jan. 2009.

  1. b69

    b69 Neuer User

    Registriert seit:
    7 Okt. 2006
    Beiträge:
    7
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    #1 b69, 15 Jan. 2009
    Zuletzt bearbeitet: 15 Jan. 2009
    Hallo zusammen,

    ich bitte um eure Hilfe da ich beim Einrichten eines VPNs mit OpenVPN nicht weiter komme. Ziel ist es eine Server-Multi-Client Konfig aufzubauen. Server FB7170 29.04.67freetz-devel-2975, Client: WinXP SP2.
    ServerNetz: 192.168.27.0/24
    VPN Netz: 10.0.0.0/24
    Client: RoadWarrior
    Der Tunnel wird zwar Aufgebaut nur können sich die Gegenstellen nicht pingen.

    Zunächst die Configs: Server.conf
    Code:
    #  OpenVPN 2.1 Config, Wed Jan 14 23:25:25 CET 2009
    proto udp
    dev tun
    ca /tmp/flash/ca.crt
    cert /tmp/flash/box.crt
    key /tmp/flash/box.key
    dh /tmp/flash/dh.pem
    tls-server
    tls-auth /tmp/flash/static.key 0
    port 1194
    push "dhcp-option DNS 192.168.27.1"
    mode server
    ifconfig-pool 10.0.0.100 10.0.0.254
    push "route 10.0.0.0 255.255.255.0"
    push "route-gateway 10.0.0.1 "
    ifconfig 10.0.0.1 255.255.255.0
    client-config-dir /var/tmp/clients_openvpn
    topology subnet
    max-clients  10
    push "route 192.168.27.0 255.255.255.0 10.0.0.1"
    tun-mtu 1500
    mssfix
    verb 3
    daemon
    cipher AES-256-CBC
    comp-lzo
    float
    keepalive 10 120
    status /var/log/openvpn.log
    client1:
    Code:
    ifconfig-push - 255.255.255.0
    push "topology subnet" 
    client.conf
    Code:
    #Who am I
    client
    #Verbindung zum Server
    remote XXXXX
    port 1194 
    proto udp
    #Versuchs immer wieder
    resolv-retry infinite
    #Device des Client
    dev tap
    dev-node TAP
    # Kann nichts schaden, oder?
    nobind   # Kein spezifischer Port
    float	# erlaubt dem VPN-Partner die IP-Adresse zu ändern 
    #Akzeptiere nur Server Zertifikate
    ns-cert-type server
    #Schlüssel Informationen
    ca i:\\openvpn\\ca.crt
    cert i:\\openvpn\\ls.crt
    key i:\\openvpn\\ls.key
    tls-auth i:\\openvpn\\tls-static.key 1
    #Verwendete Chiffre
    cipher AES-256-CBC
    #Hole Routen vom Server
    pull
    # Try to preserve some state across restarts.
    #persist-key
    #persist-tun
    # Enable compression on the VPN link.
    comp-lzo
    # Set log file verbosity.
    verb 2
    Hier das Client-Log beim Verbinden
    Code:
    Wed Jan 14 23:34:25 2009 OpenVPN 2.1_rc15 i686-pc-mingw32 [SSL] [LZO2] [PKCS11] built on Nov 19 2008
    Wed Jan 14 23:34:25 2009 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
    Wed Jan 14 23:34:26 2009 Control Channel Authentication: using 'i:\openvpn\tls-static.key' as a OpenVPN static key file
    Wed Jan 14 23:34:26 2009 Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
    Wed Jan 14 23:34:26 2009 Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
    Wed Jan 14 23:34:26 2009 LZO compression initialized
    Wed Jan 14 23:34:26 2009 Control Channel MTU parms [ L:1590 D:166 EF:66 EB:0 ET:0 EL:0 ]
    Wed Jan 14 23:34:26 2009 Data Channel MTU parms [ L:1590 D:1450 EF:58 EB:135 ET:32 EL:0 AF:3/1 ]
    Wed Jan 14 23:34:26 2009 Local Options hash (VER=V4): '48527533'
    Wed Jan 14 23:34:26 2009 Expected Remote Options hash (VER=V4): '44bd8b5e'
    Wed Jan 14 23:34:26 2009 UDPv4 link local: [undef]
    Wed Jan 14 23:34:26 2009 UDPv4 link remote: XXXXX:1194
    Wed Jan 14 23:34:30 2009 VERIFY OK: depth=1, /C=DE/ST=./L=./O=…
    Wed Jan 14 23:34:30 2009 VERIFY OK: nsCertType=SERVER
    Wed Jan 14 23:34:30 2009 VERIFY OK: depth=0, /C=DE/ST=./O=…
    Wed Jan 14 23:34:34 2009 Data Channel Encrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
    Wed Jan 14 23:34:34 2009 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
    Wed Jan 14 23:34:34 2009 Data Channel Decrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
    Wed Jan 14 23:34:34 2009 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
    Wed Jan 14 23:34:34 2009 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 2048 bit RSA
    Wed Jan 14 23:34:34 2009 [XXXXX] Peer Connection Initiated with XXXXX:1194
    Wed Jan 14 23:34:35 2009 TAP-WIN32 device [TAP] opened: \\.\Global\{B709C55F-3D94-4923-96A0-82AEC395F9AF}.tap
    Wed Jan 14 23:34:35 2009 TAP-Win32 MTU=1500
    Wed Jan 14 23:34:35 2009 Notified TAP-Win32 driver to set a DHCP IP/netmask of 10.0.0.100/255.255.255.0 on interface {B709C55F-3D94-4923-96A0-82AEC395F9AF} [DHCP-serv: 10.0.0.0, lease-time: 31536000]
    Wed Jan 14 23:34:35 2009 Successful ARP Flush on interface [851973] {B709C55F-3D94-4923-96A0-82AEC395F9AF}
    Wed Jan 14 23:34:49 2009 Initialization Sequence Completed
    
    Nun zu den routen und ifs aus den Systemen
    Auf der FBox sieht es nach Tunnelaufbau so aus:
    Code:
    /var/mod/root # cat /proc/sys/net/ipv4/ip_forward
    1
    /var/mod/root # ifconfig tun0
    tun0      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
              inet addr:10.0.0.1  P-t-P:10.0.0.1  Mask:255.255.255.0
              UP POINTOPOINT RUNNING NOARP ALLMULTI MULTICAST  MTU:1500  Metric:1
              RX packets:0 errors:0 dropped:0 overruns:0 frame:0
              TX packets:5 errors:0 dropped:0 overruns:0 carrier:0
              collisions:0 txqueuelen:100
              RX bytes:0 (0.0 B)  TX bytes:192 (192.0 B)
    /var/mod/root # route
    Kernel IP routing table
    Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
    192.168.180.1   *               255.255.255.255 UH    2      0        0 dsl
    80.XXXXXXXX    *               255.255.255.255 UH    2      0        0 dsl
    192.168.180.2   *               255.255.255.255 UH    2      0        0 dsl
    10.0.0.0        *               255.255.255.0   U     0      0        0 tun0
    192.168.27.0    *               255.255.255.0   U     0      0        0 lan
    169.254.0.0     *               255.255.0.0     U     0      0        0 lan
    default         *               0.0.0.0         U     2      0        0 dsl
    
    Unterwegs auf WinXP zeigt sich folgendes
    Code:
    Ethernetadapter TAP:
    
            Verbindungsspezifisches DNS-Suffix:
            Beschreibung. . . . . . . . . . . : TAP-Win32 Adapter V9
            Physikalische Adresse . . . . . . : 00-FF-B7-09-C5-5F
            DHCP aktiviert. . . . . . . . . . : Ja
            Autokonfiguration aktiviert . . . : Ja
            IP-Adresse. . . . . . . . . . . . : 10.0.0.100
            Subnetzmaske. . . . . . . . . . . : 255.255.255.0
            Standardgateway . . . . . . . . . :
            DHCP-Server . . . . . . . . . . . : 10.0.0.0
            DNS-Server. . . . . . . . . . . . : 192.168.27.1
            Lease erhalten. . . . . . . . . . : Mittwoch, 14. Januar 2009 23:34:48
            Lease läuft ab. . . . . . . . . . : Donnerstag, 14. Januar 2010 23:34:48
    
    Aktive Routen:
    Code:
         Netzwerkziel    Netzwerkmaske          Gateway   Schnittstelle  Anzahl
              0.0.0.0          0.0.0.0    90.187.XXX.XXX   90.187.XXX.XXX       1
             10.0.0.0    255.255.255.0       10.0.0.100      10.0.0.100       30
             10.0.0.0    255.255.255.0         10.0.0.1      10.0.0.100       1
           10.0.0.100  255.255.255.255        127.0.0.1       127.0.0.1       30
       10.255.255.255  255.255.255.255       10.0.0.100      10.0.0.100       30
        90.187.XXX.XXX 255.255.255.255        127.0.0.1       127.0.0.1       50
       90.255.255.255  255.255.255.255    90.187.XXX.XXX   90.187.XXX.XXX       50
            127.0.0.0        255.0.0.0        127.0.0.1       127.0.0.1       1
         192.168.27.0    255.255.255.0         10.0.0.1      10.0.0.100       1
            224.0.0.0        240.0.0.0       10.0.0.100      10.0.0.100       30
            224.0.0.0        240.0.0.0    90.187.XXX.XXX   90.187.XXX.XXX       1
      255.255.255.255  255.255.255.255       10.0.0.100      10.0.0.100       1
      255.255.255.255  255.255.255.255    90.187.XXX.XXX   90.187.XXX.XXX       1
      255.255.255.255  255.255.255.255    90.187.XXX.XXX               2       1
    Standardgateway:     90.187.XXX.XXX
    ===========================================================================
    Ständige Routen:
      Keine
    Meine Vermutung ist, dass es am tun0 device der FBox liegt oder an den Routen von WinXP
    Code:
             10.0.0.0    255.255.255.0       10.0.0.100      10.0.0.100       30
             10.0.0.0    255.255.255.0         10.0.0.1      10.0.0.100       1
    
    Oder liegt es doch an der Freetz-Version????

    Ich bin hier am Ende mit meinem Latein und viel sehr viel googlen hat leider nichts für mich passendes hervor geholt :-(
    Ich hoffe einer kennt die Lösung.

    Viele Grüße
    Leif
     
  2. MaxMuster

    MaxMuster IPPF-Promi

    Registriert seit:
    1 Feb. 2005
    Beiträge:
    6,919
    Zustimmungen:
    0
    Punkte für Erfolge:
    36
    Wenn du eine explizite Clientconfig anwählst, musst du da auch was "sinnvolles" eintragen, also z.B. 10.0.0.90 bei "Client-VPN-IP", da scheint bei dir nur das "Leerzeichen" ("-") zu stehen, vermute ich.

    Jörg
     
  3. b69

    b69 Neuer User

    Registriert seit:
    7 Okt. 2006
    Beiträge:
    7
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Hallo Jörg,

    erstmal danke fürs "durchstöbern" meiner langen Meldung. Die Client config greift dann auf den Adresspool zurück, der hier 10.0.0.100-254 ist. Aber auch wenn ich zb. 10.0.0.10 explizit für den client1 vergebe, ändert es leider nichts. Die Tunnel-IPs zu pingen bleibt mir verwährt :mad:

    Viele Grüße
    Leif
     
  4. roundzero

    roundzero Neuer User

    Registriert seit:
    27 Sep. 2006
    Beiträge:
    8
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Hallo,

    kann man tun und tap mischen ?
    Ich glaub nicht. tap ist doch layer2 mit bridging oder ?

    gruss Olli
     
  5. b69

    b69 Neuer User

    Registriert seit:
    7 Okt. 2006
    Beiträge:
    7
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Hallo Olli,

    manchmal ist die Lösung doch so nah -- ich Rindvieh!
    Ich habe mich von dem Gerätenamen unter Windoof blenden lassen.

    Mich wundert's nur, dass OpenVPN hier ne Verbindung aufbaut ohne eine *FETTE* Warnung raus zuhauen.

    Vielen Dank für die schnelle Hilfe.

    Gruß
    Leif
     
  6. b69

    b69 Neuer User

    Registriert seit:
    7 Okt. 2006
    Beiträge:
    7
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Kann man so den Titel des Themas ändern ??? Hmmm der Post wird's zeigen.
     
  7. matze1985

    matze1985 Aktives Mitglied

    Registriert seit:
    17 Feb. 2007
    Beiträge:
    1,537
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    du musst deinen beitrag oben editieren und dann auf erweitert, kannst du den titel ändern.