Könnt Ihr was mit dieser Fehlermeldung anfangen? (vpn)

[steph@ip-phone]

Hallo
Ich möchte per open vpn auf die FritzBox mit freetzmod zugreifen. Kann mir Jemand sagen, warum das nicht klappt?

(dyndns account funktioniert, benutze das static key Verfahren)

Wäre nett, wenn da Jemand nen Tip hätte!


Hier der logfile:
Sat Feb 20 17:15:59 2010 OpenVPN 2.1.1 i686-pc-mingw32 [SSL] [LZO2] [PKCS11] built on Dec 11 2009
Sat Feb 20 17:15:59 2010 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Sat Feb 20 17:15:59 2010 Static Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Sat Feb 20 17:15:59 2010 Static Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Sat Feb 20 17:15:59 2010 Static Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Sat Feb 20 17:15:59 2010 Static Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Sat Feb 20 17:15:59 2010 ROUTE default_gateway=192.168.7.1
Sat Feb 20 17:15:59 2010 TAP-WIN32 device [LAN-Verbindung 5] opened: \\.\Global\{7F7D02CA-ECCD-42FF-B3F4-4B43845E0066}.tap
Sat Feb 20 17:15:59 2010 TAP-Win32 Driver Version 9.6
Sat Feb 20 17:15:59 2010 TAP-Win32 MTU=1500
Sat Feb 20 17:15:59 2010 Notified TAP-Win32 driver to set a DHCP IP/netmask of 192.168.200.2/255.255.255.252 on interface {7F7D02CA-ECCD-42FF-B3F4-4B43845E0066} [DHCP-serv: 192.168.200.1, lease-time: 31536000]
Sat Feb 20 17:15:59 2010 NOTE: FlushIpNetTable failed on interface [32] {7F7D02CA-ECCD-42FF-B3F4-4B43845E0066} (status=5) : Zugriff verweigert
Sat Feb 20 17:15:59 2010 Data Channel MTU parms [ L:1544 D:1450 EF:44 EB:4 ET:0 EL:0 ]
Sat Feb 20 17:15:59 2010 Local Options hash (VER=V4): '1db64539'
Sat Feb 20 17:15:59 2010 Expected Remote Options hash (VER=V4): '27d76c6d'
Sat Feb 20 17:15:59 2010 Socket Buffers: R=[8192->8192] S=[8192->8192]
Sat Feb 20 17:15:59 2010 UDPv4 link local: [undef]
Sat Feb 20 17:15:59 2010 UDPv4 link remote: 93.129.90.95:1194

 

[Silent-Tears]

Hi,

zum ersten: Benutz für solche Sachen bitte code-Tags, das macht es erst lesbar und übersichtlich.
Zum anderen eine Hilfe zum Suchen:

Sat Feb 20 17:15:59 2010 NOTE: FlushIpNetTable failed on interface [32] {7F7D02CA-ECCD-42FF-B3F4-4B43845E0066} (status=5) : Zugriff verweigert

Die nun fettgedruckten Sachen helfen dir sicherlich bei deiner google-Suche. Dazu noch ein Hinweis: Dies ist ein Problem deines Windows, nicht das von Freetz.

 

[steph@ip-phone]

noch ne Idee?

Hallo
Danke für den Tip. Ich habe die OpenVPN GUI mal mit Adminrechten gestartet (unter Windows 7). Die Fehlermeldung mit "FlushIpNetTable failed" kommt nun nicht mehr.

Leider ist trotzdem noch kein Zugriff möglich. Vielleicht noch ne Idee?

Log:

Mon Feb 22 17:10:32 2010 OpenVPN 2.1.1 i686-pc-mingw32 [SSL] [LZO2] [PKCS11] built on Dec 11 2009
Mon Feb 22 17:10:32 2010 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Mon Feb 22 17:10:32 2010 Static Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Mon Feb 22 17:10:32 2010 Static Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Mon Feb 22 17:10:32 2010 Static Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Mon Feb 22 17:10:32 2010 Static Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Mon Feb 22 17:10:34 2010 ROUTE default_gateway=172.18.1.15
Mon Feb 22 17:10:34 2010 TAP-WIN32 device [LAN-Verbindung 5] opened: \\.\Global\{7F7D02CA-ECCD-42FF-B3F4-4B43845E0066}.tap
Mon Feb 22 17:10:34 2010 TAP-Win32 Driver Version 9.6 
Mon Feb 22 17:10:34 2010 TAP-Win32 MTU=1500
Mon Feb 22 17:10:34 2010 Notified TAP-Win32 driver to set a DHCP IP/netmask of 192.168.200.2/255.255.255.252 on interface {7F7D02CA-ECCD-42FF-B3F4-4B43845E0066} [DHCP-serv: 192.168.200.1, lease-time: 31536000]
Mon Feb 22 17:10:34 2010 Successful ARP Flush on interface [32] {7F7D02CA-ECCD-42FF-B3F4-4B43845E0066}
Mon Feb 22 17:10:34 2010 Data Channel MTU parms [ L:1544 D:1450 EF:44 EB:4 ET:0 EL:0 ]
Mon Feb 22 17:10:34 2010 Local Options hash (VER=V4): '1db64539'
Mon Feb 22 17:10:34 2010 Expected Remote Options hash (VER=V4): '27d76c6d'
Mon Feb 22 17:10:34 2010 Socket Buffers: R=[8192->8192] S=[8192->8192]
Mon Feb 22 17:10:34 2010 UDPv4 link local: [undef]
Mon Feb 22 17:10:34 2010 UDPv4 link remote: 93.129.149.79:1194
Mon Feb 22 17:12:34 2010 Inactivity timeout (--ping-restart), restarting
Mon Feb 22 17:12:34 2010 TCP/UDP: Closing socket
Mon Feb 22 17:12:34 2010 Closing TUN/TAP interface
Mon Feb 22 17:12:34 2010 SIGUSR1[soft,ping-restart] received, process restarting
Mon Feb 22 17:12:34 2010 Restart pause, 2 second(s)
Mon Feb 22 17:12:36 2010 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Mon Feb 22 17:12:36 2010 Static Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Mon Feb 22 17:12:36 2010 Static Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Mon Feb 22 17:12:36 2010 Static Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Mon Feb 22 17:12:36 2010 Static Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Mon Feb 22 17:12:36 2010 ROUTE default_gateway=172.18.1.15
Mon Feb 22 17:12:36 2010 TAP-WIN32 device [LAN-Verbindung 5] opened: \\.\Global\{7F7D02CA-ECCD-42FF-B3F4-4B43845E0066}.tap
Mon Feb 22 17:12:36 2010 TAP-Win32 Driver Version 9.6 
Mon Feb 22 17:12:36 2010 TAP-Win32 MTU=1500
Mon Feb 22 17:12:36 2010 Notified TAP-Win32 driver to set a DHCP IP/netmask of 192.168.200.2/255.255.255.252 on interface {7F7D02CA-ECCD-42FF-B3F4-4B43845E0066} [DHCP-serv: 192.168.200.1, lease-time: 31536000]
Mon Feb 22 17:12:36 2010 Successful ARP Flush on interface [32] {7F7D02CA-ECCD-42FF-B3F4-4B43845E0066}
Mon Feb 22 17:12:36 2010 Data Channel MTU parms [ L:1544 D:1450 EF:44 EB:4 ET:0 EL:0 ]
Mon Feb 22 17:12:36 2010 Local Options hash (VER=V4): '1db64539'
Mon Feb 22 17:12:36 2010 Expected Remote Options hash (VER=V4): '27d76c6d'
Mon Feb 22 17:12:36 2010 Socket Buffers: R=[8192->8192] S=[8192->8192]
Mon Feb 22 17:12:36 2010 UDPv4 link local: [undef]
Mon Feb 22 17:12:36 2010 UDPv4 link remote: 93.129.149.79:1194
Mon Feb 22 17:14:36 2010 Inactivity timeout (--ping-restart), restarting
Mon Feb 22 17:14:36 2010 TCP/UDP: Closing socket
Mon Feb 22 17:14:36 2010 Closing TUN/TAP interface
Mon Feb 22 17:14:36 2010 SIGUSR1[soft,ping-restart] received, process restarting
Mon Feb 22 17:14:36 2010 Restart pause, 2 second(s)
Mon Feb 22 17:14:38 2010 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Mon Feb 22 17:14:38 2010 Static Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Mon Feb 22 17:14:38 2010 Static Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Mon Feb 22 17:14:38 2010 Static Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Mon Feb 22 17:14:38 2010 Static Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Mon Feb 22 17:14:39 2010 ROUTE default_gateway=172.18.1.15
Mon Feb 22 17:14:39 2010 TAP-WIN32 device [LAN-Verbindung 5] opened: \\.\Global\{7F7D02CA-ECCD-42FF-B3F4-4B43845E0066}.tap
Mon Feb 22 17:14:39 2010 TAP-Win32 Driver Version 9.6 
Mon Feb 22 17:14:39 2010 TAP-Win32 MTU=1500
Mon Feb 22 17:14:39 2010 Notified TAP-Win32 driver to set a DHCP IP/netmask of 192.168.200.2/255.255.255.252 on interface {7F7D02CA-ECCD-42FF-B3F4-4B43845E0066} [DHCP-serv: 192.168.200.1, lease-time: 31536000]
Mon Feb 22 17:14:39 2010 Successful ARP Flush on interface [32] {7F7D02CA-ECCD-42FF-B3F4-4B43845E0066}
Mon Feb 22 17:14:40 2010 Data Channel MTU parms [ L:1544 D:1450 EF:44 EB:4 ET:0 EL:0 ]
Mon Feb 22 17:14:40 2010 Local Options hash (VER=V4): '1db64539'
Mon Feb 22 17:14:40 2010 Expected Remote Options hash (VER=V4): '27d76c6d'
Mon Feb 22 17:14:40 2010 Socket Buffers: R=[8192->8192] S=[8192->8192]
Mon Feb 22 17:14:40 2010 UDPv4 link local: [undef]
Mon Feb 22 17:14:40 2010 UDPv4 link remote: 93.129.149.79:1194

Was funktioniert: ping an meine Dyndns Adresse
Was nicht funktioniert: NAS oder Fritzbox erreichen durch Eingabe der IP im Browser. Adresse der Fritzbox ist 192.168.6.1 und die vom NAS 192.168.6.10.

Ich wäre echt dankbar, wenn Jemand ne Idee hätte.

 

[MaxMuster]

Ich wäre echt dankbar, wenn Jemand ne Idee hätte.

Idee: Deine Config(s) ist/sind falsch ;-)
Mal im Ernst: Wie sollen wir erraten, was du kofiguriert hast, um evetl. einen "Fehler" drin zu finden? Ich vermute mal ganz allgemein, dass das Routing auf dem Client für das Netz beim Server nicht vorhanden oder nicht korrekt ist...

Jörg

 

[steph@ip-phone]

Stimmt, die configs hatte ich wohl angeben sollen.

remote meinserver.dyndns.org
proto udp
dev tun
ifconfig 192.168.200.2 192.168.200.1
route 192.168.6.0 255.255.255.0
secret "C:\\Program Files\\OpenVPN\\statickey\\statickey.key"
tun-mtu 1500
float
mssfix
nobind
verb 3
keepalive 10 120

(IP FritzBox 192.168.6.1)

Den statickey.key habe ich von der freetz Weboberfläche kopiert. Die Datei sieht so aus:

-----BEGIN OpenVPN Static key V1-----
206e3456c034da94220fe6d7fc8ecce2
usw.
-----END OpenVPN Static key V1-----

Hätte da noch mehr reingemusst?

 

[MaxMuster]

So ist das schon ganz gut.
Ich vermisse im Log oben den Eintrag zu dem (in der Config vorhandenen) "route" Befehl?!? Merkwürdig.

Kannst du denn die Box über die VPN-IP (192.168.200.1) erreichen?
Poste bitte mal ein "route print" nach dem Verbindungsaufbau.
Wie ist auf der Box die Portweiterleitung auf den VPN-Port gemacht?

Jörg

 

[steph@ip-phone]

Hallo
Hier ist der gewünschte "route-print". Leider nur als Screenshot. Die Portweiterleitung könnte auch noch ein Problem sein. Die freetz Installation hat nicht direkt funktioniert. Gut möglich, dass ich da Einträge überschrieben habe. Wenn ich's eh nochmal machen muss, welche Methode verwendet Ihr, den Eintrag in der ar7.cfg oder diesen Patch mit dem man eine Weiterleitung auf der Standard Fritz!Box Oberfläche machen kann?

Ich nutze den VMWare Player für ein virtuelles XP und auch wenn es nicht ausgeführt wird befindet ich ein (funktionierender) Fritz!Fernzugang auf dem Rechner. Sollte ich beides besser löschen?

Vielen Dank schon mal für die Tips!

[Edit frank_m24: Bild vom externen Hoster in Link umgewandelt, siehe auch hier.
Bitte benutzt den forumeigenen Dateimanager, um Bilder hochzuladen (Beitrag "Ändern" -> "Erweitert" -> "Anhänge verwalten").]
http://www.fotos-hochladen.net/vpnw0i8kcvg.png

 

[MaxMuster]

Wenn, dann ist die Weiterleitung nur ein "Zusätzliches" Problem, erstmal geht es um die (nicht vorhandene) Route zum Netz 192.168.6.0.

Nur nochmal nachgefragt: Du bist sicher, dass das mit der angegebenen Konfig läuft? Im Log war keine Meldung über die Route und sie ist nicht da, sie steht aber in der Konfig. Stelle ggf. mal den Wert von "verb" etwas höher beim Verbindungsaufbau z.B. "verb 6". Du kannst das zur Not auch temporär selbst eintragen

route add 192.168.6.0 mask 255.255.255.0 192.168.200.1

Wie steht es mit der Erreichbarkeit der Box über 192.168.200.1?

Am einfachsten geht es für die Weiterleitung mit dem Patch und dann auf der Standard-Seite, da kann man sich nämlich nicht bei vertun und die ar7.cfg auf Default zurückwerfen ;-))

Jörg

 

[steph@ip-phone]

Hallo
Wenn ich die OpenVPN Gui starte und dann mit der rechten Maustaste unten auf das Symbol gehe und dort unter Client "Edit Config" wähle sollte das doch auch die Config sein, welche zum Verbindungsaufbau genutzt wird, oder? Ich habe dort Verb 3 auf Verb 6 geändert. Die Box ist weder unter der lokalen IP 192.168.6.1 noch unter 192.168.200.1 nach starten der VPN Verbindung zu erreichen. Wo genau ist dieser route add Befehl einzugeben? In der Eingabeaufforderung am PC oder doch vermutlich eher im Terminal der FritzBox?

Da ich das an der Box jetzt nicht testen kann, habe ich es in der Eingabeaufforderung versucht, OpenVPN log zeigt Folgendes:

 

[MaxMuster]

Die Config sollte, auch wenn das Routing nicht greift, zumindest die Box über die VPN-IP erreichbar machen, ansonsten könnte es das Portforwarding sein, das wäre z.B. der Fall, wenn du als Ziel nicht "0.0.0.0" sondern eine "virtuelle IP" angegeben hast.
Die Config richtige scheint es ja auch zu sein, das Ändern von "verb" hat ja das Log verändert.
Vieleicht versuchst du mal zusätzlich diese Einträge, die mir Herr Google zu dem Thema "fehlende Routen im Openvpn unter Vista/Win7" genannt hat ;-)

route-method exe
route-delay 2

Das Routing wäre "von Hand" auf dem PC in der Eingabeaufforderung einzustellen. Bringt natürlich nur was, wenn zumindest die VPN-IP, über die ja geroutet wird, erreichbar ist.

Ach so: Lösche mal das Log wieder, da stehen zu viele "Interna" von dir drin ;-)

Jörg