Hilfe bei openVPN 7050 <-> 7170

[hamstergug]

Hallo,

ich habe vor, das Netz in unserem DLRG-Vereinsheim aus der Ferne zu administrieren und die SMB-Freigaben zu verwenden.
Dazu habe ich im Vereinsheim eine Fritzbox 7050(192.168.0.251), openVPN über www.the-construct.com nachgeladen. Das Netz verwendet das Subnetz 192.168.0.0 (255.255.255.0). Ich habe eine virtuelle Netzwerkkarte eingerichtet (192.168.0.253) und zu dieser den Port 1194 weitergeleitet. Die virtuelle Netzwerkkarte wird auch vor dem Start von openVPN eingerichtet.
Die Konfiguration sieht so aus:

dev tun0
dev-node /var/tmp/tun
ifconfig 10.0.0.2 10.0.0.1
secret /var/tmp/secret.key
proto tcp-server
local 192.168.0.253
port 1194
tun-mtu 1500
float
keepalive 10 60
verb 4
mssfix
route 10.0.0.0 255.255.255.0
push "route 10.0.0.0 255.255.255.0"
daemon

OpenVPN ist auch in der Prozeßliste der Box zu sehen.

Auf der Clientseite habe ich meine Fritzbox7170 (192.168.150.10) im Netz 192.168.150.0, ebenfalls von www.the-construct.com nachgeladen mit folgender Konfiguration:

ifconfig 10.0.0.1 10.0.0.2
remote gug.dyndns.org # (Internet-)Adresse der Fritz!Box eintragen
secret /var/tmp/secret.key # Pfad zur 'secret.key' angeben ('\' muss als '\\' geschrieben werden!)
dev tun0
proto tcp-client
port 1194
ping 15
ping-restart 300 # 5 minutes
resolv-retry 300 # 5 minutes
#resolv-retry infinite
tun-mtu 1500
mssfix
persist-tun
persist-key
verb 4
route 10.0.0.0 255.255.255.0
push "route 10.0.0.0 255.255.255.0"
push "dhcp-option DNS 10.0.0.1"
route-gateway 10.0.0.1
redirect-gateway

Wenn ich nun openvpn auf der Clientseite starte, erhalte ich über Telnet folgende Ausgabe:
Anhang anzeigen telnetausgabe_client.txt
openVPN wird sofort wieder beendet.

Mein Problem ist, dass ich immer 125km fahren muss, um ins Vereinsheim zu kommen. Daher sind meine Probiermöglichkeiten begrenzt.
Da ich am Freitag das nächste Mal hinfahre, wäre es gut, wenn mir jemand bei der Einrichtung helfen könnte.
Mit openVPN kenne ich mich noch so gut wie nicht aus und die Zeit drängt etwas, da ich dann erst im Februar wieder dort bin. Ein Abend mit der Suchfunktion hat mich, wie ihr oben am Logfile seht, nicht sehr weit gebracht.:doof:

Als fernes Ziel wäre es super, wenn ich mich auch über mein (Linux-)Notebook von eine beliebigen Ort aus ins Netz einklinken könnte, aber wie gesagt hat die Kopplung meines Heimnetzes mit dem Vereinsheim Priorität.

Schönen Gruß

Gunnar

 

[AndreR]

Hallo,
da sind mehrere Fehler:

1) Die Routen sind IMHO falsch. Vom Servernetz musst du in das Clientnetz routen und umgedreht. Nicht in das 10er Netz..
Also Server

route 192.168.150.0 255.255.255.0

Client

route 192.168.0.0 255.255.255.0

2) alles mit PUSH brauchst du nur, wenn die Gegenseite ein PULL macht. Also raus damit

3) das Device existiert nicht. Seit Kernel 2.6 musst du das auf folgende Weise (möglichst in der debug.cfg) erstellen:

# create tun-device
mknod /var/tmp/tun c 10 200

Danach in den Configs aufs richtige Device zeigen

 

[MaxMuster]

... nana, ganz so schwer isses doch nicht, das Log sgt doch genau, wo es hakt:

Wed Dec 19 07:42:47 2007 us=718507 Note: Cannot open TUN/TAP dev /dev/net/tun: No such file or directory (errno=2)
Wed Dec 19 07:42:47 2007 us=719361 Note: Attempting fallback to kernel 2.2 TUN/TAP interface
Wed Dec 19 07:42:47 2007 us=720420 Cannot open TUN/TAP dev /dev/tun0: No such file or directory (errno=2)

Du hast es zwar "oben" richtig gemacht: "dev-node /var/tmp/tun", unten fehlt das aber...


Jörg

EDIT: Da war einer Schneller ;-), aber ich hab noch was:
Nimm beim Server lieber das "local " raus (das sorgt dafür, dass das OpenVPN nur mit der Adresse 192.168.0.253 angesprochen werden kann). Auch wenn die Dinge weitergeleitet werden, da wäre ich mir nicht sicher, ob das so klappt.
Wenn möglich würde ich dir zudem raten, mit UDP zu arbeiten, speziell bei der 7170 kann es dir passieren, dass TCP nicht funktioniert ( siehe z.B. hier)
Brauchst du tatsächlich den "redirect-gateway" Befehl? Damit schickt die Client-Box alles zur Server-Box, Surfen liefe damit nur über die Serverbox. Wenn ja, kannst du dir die Routen natürlich sparen ;-)
Ansonsten kann ich dir nur sehr empfehlen, mach dir auf die "entfernte Box" noch einen SSH-Server (dropbear), damit kannst du dann die Box auch von der Ferne erreichen, wenn die VPN-Verbindung noch nicht funktioniert

 

[hamstergug]

Schon mal vielen Dank. Ich werde es heute abend mal ausprobieren.
Das Device gibt es übrigens sowohl beim Server als auch beim Client. Ich hab gerade mal in der pseudo_update.image nachgeguckt und in beiden Fällen ein

# create tun-device
mknod /var/tmp/tun c 10 200

gefunden.

Sehe ich es richtig, dass die Serverkonfig so aussehen sollte:

dev tun0
dev-node /var/tmp/tun
ifconfig 10.0.0.2 10.0.0.1
secret /var/tmp/secret.key
proto tcp-server
# local 192.168.0.253
port 1194
tun-mtu 1500
float
keepalive 10 60
verb 4
mssfix
route 192.168.150.0 255.255.255.0
daemon

und die Client-Config so:

ifconfig 10.0.0.1 10.0.0.2
remote gug.dyndns.org # (Internet-)Adresse der Fritz!Box eintragen
secret /var/tmp/secret.key # Pfad zur 'secret.key' angeben ('\' muss als '\\' geschrieben werden!)
dev tun0
proto tcp-client
port 1194
ping 15
ping-restart 300 # 5 minutes
resolv-retry 300 # 5 minutes
#resolv-retry infinite
tun-mtu 1500
mssfix
persist-tun
persist-key
verb 4
route 192.168.0.0 255.255.255.0
route-gateway 10.0.0.1
redirect-gateway

:?:

Was bringt der Eintrag "route-gateway 10.0.0.1" im Client? Muss entsprechendes noch in den Server? Ich möchte nur, dass der Verkehr zwischen den Subnetzen übers VPN geht, der Internetverkehr soll über den jeweiligen DSL-Anschluss gehen.

UUPS, da fällt mir doch jetzt ein ganz dicker Hund auf! Man sollte spät abend nicht mehr vorm Rechner sitzen: die dyndns-Adresse im Client zeigt auf den client selber! Da werde ich nachher mal ganz schnell was ändern müssen :grab: :blonk:

Gruß und Dankeschön

Gunnar

 

[MaxMuster]

Jein; Client-Config bitte mit "dev-node /var/tmp/tun" (das legt, wie du schon gesehen hast, das Image immer mit an)
Route-Gteway sagt, wo es hingehen soll, wenn du einen "route ..." Eintrag hast ;-)

Jörg

 

[hamstergug]

Also der Client muss dann so aussehen:

ifconfig 10.0.0.1 10.0.0.2
remote dlrg.homedns.org # (Internet-)Adresse der Fritz!Box eintragen
secret /var/tmp/secret.key # Pfad zur 'secret.key' angeben ('\' muss als '\\' geschrieben werden!)
dev tun0
dev-node /var/tmp/tun
proto tcp-client
port 1194
ping 15
ping-restart 300 # 5 minutes
resolv-retry 300 # 5 minutes
#resolv-retry infinite
tun-mtu 1500
mssfix
persist-tun
persist-key
verb 4
route 192.168.0.0 255.255.255.0
route-gateway 10.0.0.1

Danke schön für die superschnelle und kompetente Hilfe. Mal gucken ob ich das so zum Laufen bekomme...

:groesste:

Gruß
Gunnar

 

[MaxMuster]

Was ich gerade sehe: Es sollte beim Client heißen "route-gateway 10.0.0.2" (also das Ziel ist der Server).

Jörg

 

[hamstergug]

Moin,

also ich hatte es gestern kurzfristig so weit, dass ich von den Boxen (ssh bzw. telnet) jeweils ein Ping auf die andere Box machen konnte, aber ein Ping zu einem Rechner im anderen Netz klappte nicht. Ein Ping auf einen Rechner im selben Netz klappte auf beiden Seiten.

Es kam ja der Hinweis, dass TCP bei der 7170 z.T. Probleme machen würde und daher UDP besser sei.
Muss jetzt in beiden Config-Dateien "proto udp" statt "proto tcp" bzw. "proto tcp-server" drinstehen?

Im Moment kann ich leider nix direkt testen, da die entfernte Box sich irgendwie aufgehängt hat und erst heute Abend von jemanden zurückgesetzt werden kann.

Zur Übersicht nochmal mein momentaner Stand der Config-Dateien:
Server:

dev tun0
dev-node /var/tmp/tun
ifconfig 10.0.0.2 10.0.0.1
secret /var/tmp/secret.key
proto udp
port 1194
tun-mtu 1500
float
keepalive 10 60
verb 4
mssfix
route 192.168.150.0 255.255.255.0
daemon

Client:

ifconfig 10.0.0.1 10.0.0.2
remote dlrg.homedns.org # (Internet-)Adresse der Fritz!Box eintragen
secret /var/tmp/secret.key # Pfad zur 'secret.key' angeben ('\' muss als '\\' geschrieben werden!)
dev tun0
dev-node /var/tmp/tun
proto udp
port 1194
ping 15
ping-restart 300 # 5 minutes
resolv-retry 300 # 5 minutes
#resolv-retry infinite
tun-mtu 1500
mssfix
persist-tun
persist-key
verb 4
route 192.168.0.0 255.255.255.0

Ist das soweit richtig und müsste mein Verkehr jetzt von 192.168.150.0 nach 192.168.0.0 und umgekehrt geroutet werden?

Gruß
Gunnar

 

[MaxMuster]

Es kam ja der Hinweis, dass TCP bei der 7170 z.T. Probleme machen würde und daher UDP besser sei.

Ja, Grundsätzlich ist das auch das empfohlene Protokoll. Aber nötig ist es bei dir wohl nicht, denn wenn es einmal geklappt hat, scheinst du von dem Problem nicht betroffen zu sein.
Die Configs nutzen "automatisch" UDP und Port 1194, du kannst also Protokoll und Port einfach rauslassen. Durch den Eintrag von "remote xy" ist klar, dass das ein Client ist, und das Fehlen bedeutet "Server".

Wichtig um die Geräte "hinter" den Boxen zu erreichen ist, dass die Box in den Netzen "Defaultgateway" sind, so dass die Geräte im Netz, die ja nichts von dem jeweils anderen Netz wissen, die Antwortpakete zur Fritzbox schicken. Zu beachten ist zum einen, dass "ein anderes Netz" immer auch bedeuten kann, dass die lokale Firewall auf den Geräten hier was blockiert, zum anderen funktioniert alles nur über die IP-Adressen, nicht über "Windows-Namen".

Jörg