[gelöst] OpenVPN: Tunnel steht, ping geht jedoch nicht

[b69]

Hallo zusammen,

ich bitte um eure Hilfe da ich beim Einrichten eines VPNs mit OpenVPN nicht weiter komme. Ziel ist es eine Server-Multi-Client Konfig aufzubauen. Server FB7170 29.04.67freetz-devel-2975, Client: WinXP SP2.
ServerNetz: 192.168.27.0/24
VPN Netz: 10.0.0.0/24
Client: RoadWarrior
Der Tunnel wird zwar Aufgebaut nur können sich die Gegenstellen nicht pingen.

Zunächst die Configs: Server.conf

#  OpenVPN 2.1 Config, Wed Jan 14 23:25:25 CET 2009
proto udp
dev tun
ca /tmp/flash/ca.crt
cert /tmp/flash/box.crt
key /tmp/flash/box.key
dh /tmp/flash/dh.pem
tls-server
tls-auth /tmp/flash/static.key 0
port 1194
push "dhcp-option DNS 192.168.27.1"
mode server
ifconfig-pool 10.0.0.100 10.0.0.254
push "route 10.0.0.0 255.255.255.0"
push "route-gateway 10.0.0.1 "
ifconfig 10.0.0.1 255.255.255.0
client-config-dir /var/tmp/clients_openvpn
topology subnet
max-clients  10
push "route 192.168.27.0 255.255.255.0 10.0.0.1"
tun-mtu 1500
mssfix
verb 3
daemon
cipher AES-256-CBC
comp-lzo
float
keepalive 10 120
status /var/log/openvpn.log

client1:

ifconfig-push - 255.255.255.0
push "topology subnet"

client.conf

#Who am I
client
#Verbindung zum Server
remote XXXXX
port 1194 
proto udp
#Versuchs immer wieder
resolv-retry infinite
#Device des Client
dev tap
dev-node TAP
# Kann nichts schaden, oder?
nobind   # Kein spezifischer Port
float	# erlaubt dem VPN-Partner die IP-Adresse zu ändern 
#Akzeptiere nur Server Zertifikate
ns-cert-type server
#Schlüssel Informationen
ca i:\\openvpn\\ca.crt
cert i:\\openvpn\\ls.crt
key i:\\openvpn\\ls.key
tls-auth i:\\openvpn\\tls-static.key 1
#Verwendete Chiffre
cipher AES-256-CBC
#Hole Routen vom Server
pull
# Try to preserve some state across restarts.
#persist-key
#persist-tun
# Enable compression on the VPN link.
comp-lzo
# Set log file verbosity.
verb 2

Hier das Client-Log beim Verbinden

Wed Jan 14 23:34:25 2009 OpenVPN 2.1_rc15 i686-pc-mingw32 [SSL] [LZO2] [PKCS11] built on Nov 19 2008
Wed Jan 14 23:34:25 2009 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Wed Jan 14 23:34:26 2009 Control Channel Authentication: using 'i:\openvpn\tls-static.key' as a OpenVPN static key file
Wed Jan 14 23:34:26 2009 Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed Jan 14 23:34:26 2009 Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed Jan 14 23:34:26 2009 LZO compression initialized
Wed Jan 14 23:34:26 2009 Control Channel MTU parms [ L:1590 D:166 EF:66 EB:0 ET:0 EL:0 ]
Wed Jan 14 23:34:26 2009 Data Channel MTU parms [ L:1590 D:1450 EF:58 EB:135 ET:32 EL:0 AF:3/1 ]
Wed Jan 14 23:34:26 2009 Local Options hash (VER=V4): '48527533'
Wed Jan 14 23:34:26 2009 Expected Remote Options hash (VER=V4): '44bd8b5e'
Wed Jan 14 23:34:26 2009 UDPv4 link local: [undef]
Wed Jan 14 23:34:26 2009 UDPv4 link remote: XXXXX:1194
Wed Jan 14 23:34:30 2009 VERIFY OK: depth=1, /C=DE/ST=./L=./O=…
Wed Jan 14 23:34:30 2009 VERIFY OK: nsCertType=SERVER
Wed Jan 14 23:34:30 2009 VERIFY OK: depth=0, /C=DE/ST=./O=…
Wed Jan 14 23:34:34 2009 Data Channel Encrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
Wed Jan 14 23:34:34 2009 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed Jan 14 23:34:34 2009 Data Channel Decrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
Wed Jan 14 23:34:34 2009 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed Jan 14 23:34:34 2009 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 2048 bit RSA
Wed Jan 14 23:34:34 2009 [XXXXX] Peer Connection Initiated with XXXXX:1194
Wed Jan 14 23:34:35 2009 TAP-WIN32 device [TAP] opened: \\.\Global\{B709C55F-3D94-4923-96A0-82AEC395F9AF}.tap
Wed Jan 14 23:34:35 2009 TAP-Win32 MTU=1500
Wed Jan 14 23:34:35 2009 Notified TAP-Win32 driver to set a DHCP IP/netmask of 10.0.0.100/255.255.255.0 on interface {B709C55F-3D94-4923-96A0-82AEC395F9AF} [DHCP-serv: 10.0.0.0, lease-time: 31536000]
Wed Jan 14 23:34:35 2009 Successful ARP Flush on interface [851973] {B709C55F-3D94-4923-96A0-82AEC395F9AF}
Wed Jan 14 23:34:49 2009 Initialization Sequence Completed

Nun zu den routen und ifs aus den Systemen
Auf der FBox sieht es nach Tunnelaufbau so aus:

/var/mod/root # cat /proc/sys/net/ipv4/ip_forward
1
/var/mod/root # ifconfig tun0
tun0      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
          inet addr:10.0.0.1  P-t-P:10.0.0.1  Mask:255.255.255.0
          UP POINTOPOINT RUNNING NOARP ALLMULTI MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:5 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100
          RX bytes:0 (0.0 B)  TX bytes:192 (192.0 B)
/var/mod/root # route
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
192.168.180.1   *               255.255.255.255 UH    2      0        0 dsl
80.XXXXXXXX    *               255.255.255.255 UH    2      0        0 dsl
192.168.180.2   *               255.255.255.255 UH    2      0        0 dsl
10.0.0.0        *               255.255.255.0   U     0      0        0 tun0
192.168.27.0    *               255.255.255.0   U     0      0        0 lan
169.254.0.0     *               255.255.0.0     U     0      0        0 lan
default         *               0.0.0.0         U     2      0        0 dsl

Unterwegs auf WinXP zeigt sich folgendes

Ethernetadapter TAP:

        Verbindungsspezifisches DNS-Suffix:
        Beschreibung. . . . . . . . . . . : TAP-Win32 Adapter V9
        Physikalische Adresse . . . . . . : 00-FF-B7-09-C5-5F
        DHCP aktiviert. . . . . . . . . . : Ja
        Autokonfiguration aktiviert . . . : Ja
        IP-Adresse. . . . . . . . . . . . : 10.0.0.100
        Subnetzmaske. . . . . . . . . . . : 255.255.255.0
        Standardgateway . . . . . . . . . :
        DHCP-Server . . . . . . . . . . . : 10.0.0.0
        DNS-Server. . . . . . . . . . . . : 192.168.27.1
        Lease erhalten. . . . . . . . . . : Mittwoch, 14. Januar 2009 23:34:48
        Lease läuft ab. . . . . . . . . . : Donnerstag, 14. Januar 2010 23:34:48

Aktive Routen:

     Netzwerkziel    Netzwerkmaske          Gateway   Schnittstelle  Anzahl
          0.0.0.0          0.0.0.0    90.187.XXX.XXX   90.187.XXX.XXX       1
         10.0.0.0    255.255.255.0       10.0.0.100      10.0.0.100       30
         10.0.0.0    255.255.255.0         10.0.0.1      10.0.0.100       1
       10.0.0.100  255.255.255.255        127.0.0.1       127.0.0.1       30
   10.255.255.255  255.255.255.255       10.0.0.100      10.0.0.100       30
    90.187.XXX.XXX 255.255.255.255        127.0.0.1       127.0.0.1       50
   90.255.255.255  255.255.255.255    90.187.XXX.XXX   90.187.XXX.XXX       50
        127.0.0.0        255.0.0.0        127.0.0.1       127.0.0.1       1
     192.168.27.0    255.255.255.0         10.0.0.1      10.0.0.100       1
        224.0.0.0        240.0.0.0       10.0.0.100      10.0.0.100       30
        224.0.0.0        240.0.0.0    90.187.XXX.XXX   90.187.XXX.XXX       1
  255.255.255.255  255.255.255.255       10.0.0.100      10.0.0.100       1
  255.255.255.255  255.255.255.255    90.187.XXX.XXX   90.187.XXX.XXX       1
  255.255.255.255  255.255.255.255    90.187.XXX.XXX               2       1
Standardgateway:     90.187.XXX.XXX
===========================================================================
Ständige Routen:
  Keine

Meine Vermutung ist, dass es am tun0 device der FBox liegt oder an den Routen von WinXP

         10.0.0.0    255.255.255.0       10.0.0.100      10.0.0.100       30
         10.0.0.0    255.255.255.0         10.0.0.1      10.0.0.100       1

Oder liegt es doch an der Freetz-Version????

Ich bin hier am Ende mit meinem Latein und viel sehr viel googlen hat leider nichts für mich passendes hervor geholt :-(
Ich hoffe einer kennt die Lösung.

Viele Grüße
Leif

 

[MaxMuster]

Wenn du eine explizite Clientconfig anwählst, musst du da auch was "sinnvolles" eintragen, also z.B. 10.0.0.90 bei "Client-VPN-IP", da scheint bei dir nur das "Leerzeichen" ("-") zu stehen, vermute ich.

Jörg

 

[b69]

Hallo Jörg,

erstmal danke fürs "durchstöbern" meiner langen Meldung. Die Client config greift dann auf den Adresspool zurück, der hier 10.0.0.100-254 ist. Aber auch wenn ich zb. 10.0.0.10 explizit für den client1 vergebe, ändert es leider nichts. Die Tunnel-IPs zu pingen bleibt mir verwährt

Viele Grüße
Leif

 

[roundzero]

Hallo,

kann man tun und tap mischen ?
Ich glaub nicht. tap ist doch layer2 mit bridging oder ?

gruss Olli

 

[b69]

Hallo Olli,

manchmal ist die Lösung doch so nah -- ich Rindvieh!
Ich habe mich von dem Gerätenamen unter Windoof blenden lassen.

Mich wundert's nur, dass OpenVPN hier ne Verbindung aufbaut ohne eine *FETTE* Warnung raus zuhauen.

Vielen Dank für die schnelle Hilfe.

Gruß
Leif

 

[b69]

Kann man so den Titel des Themas ändern ??? Hmmm der Post wird's zeigen.

 

[matze1985]

du musst deinen beitrag oben editieren und dann auf erweitert, kannst du den titel ändern.