LAN hinter Freetz bei OpenVPN nicht erreichbar

Sidebar Sidebar
Upgrade 3CX to v18 and get it hosted free!
M

MrFreez

Neuer User
Mitglied seit
19 Jul 2010
Beiträge
5
Punkte für Reaktionen
0
Punkte
0
Hallo zusammen,
mache jetzt schon 2 Tage an folgendem Problem herum und habe noch immer keine passende Lösung, vielleicht kann mir jemand die Scheuklappen entfernen, damit ich weiterkomme!

Ausgangssituation:

Fritzbox 7170 im lokalen LAN mit IP 192.168.100.1
im lokalen LAN weitere Desktops mit IPs 192.168.100.20 / 192.168.100.30 etc.
Auf der Fritzbox Freetz geladen und die Pakete Firewall, OpenVPN.

Client (WXP) soll über die Fritzbox auf die dahinterliegenden Desktops zugreifen können.

Der Verbindungsaufbau vom Client zu Fritz funktioniert, es geht aber weder ein Ping auf den Fritz noch auf die Desktops:mad:

Die servcer.conf auf dem Fritz
PHP: 
#  OpenVPN 2.1 Config, Mon Aug  2 20:44:31 CEST 2010
proto udp
dev tap0
#Helperline for rc.openvpn to add tap0 to lan bridge
ca /tmp/flash/ca.crt
cert /tmp/flash/box.crt
key /tmp/flash/box.key
dh /tmp/flash/dh.pem
tls-server
tls-auth /tmp/flash/static.key 0
port 1194
mode server
ifconfig-pool 10.0.200.100 10.0.200.104
push "route 10.0.200.1 "
ifconfig 10.0.200.1 255.255.255.0
push "route-gateway 10.0.200.1"
push "route 192.168.100.0 255.255.255.0"
max-clients 5
tun-mtu 1500
mssfix
verb 3
daemon
cipher AES-256-CBC
comp-lzo
keepalive 10 120

client.ovpn
PHP: 
remote myworld.dyndns.org
proto udp
dev tap
tls-client
ns-cert-type server
ca "C:///ca.crt"
cert "C://netbook.crt"
key "C://netbook.key"
tls-auth "C://static.key" 1
;tun-mtu 1500
mssfix
cipher AES-256-CBC
comp-lzo
nobind
pull
verb 2

Auf Clientseite kommt es zu keinerlei Fehlermeldung beim Verbindungsaufbau!
PHP: 
Mon Aug 02 21:07:24 2010 OpenVPN 2.1.1 i686-pc-mingw32 [SSL] [LZO2] [PKCS11] built on Dec 11 2009
Mon Aug 02 21:07:24 2010 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Mon Aug 02 21:07:25 2010 Control Channel Authentication: using 'C://static.key' as a OpenVPN static key file
Mon Aug 02 21:07:25 2010 Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Mon Aug 02 21:07:25 2010 Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Mon Aug 02 21:07:25 2010 LZO compression initialized
Mon Aug 02 21:07:25 2010 Control Channel MTU parms [ L:1590 D:166 EF:66 EB:0 ET:0 EL:0 ]
Mon Aug 02 21:07:25 2010 Data Channel MTU parms [ L:1590 D:1450 EF:58 EB:135 ET:32 EL:0 AF:3/1 ]
Mon Aug 02 21:07:25 2010 Local Options hash (VER=V4): '48527533'
Mon Aug 02 21:07:25 2010 Expected Remote Options hash (VER=V4): '44bd8b5e'
Mon Aug 02 21:07:25 2010 UDPv4 link local: [undef]
Mon Aug 02 21:07:25 2010 UDPv4 link remote: 84.59.173.6:1194
Mon Aug 02 21:07:26 2010 VERIFY OK: depth=1, /C=DE/ST=BY/L=Ingolstadt/O=duja/CN=ichauch/[email protected]
Mon Aug 02 21:07:26 2010 VERIFY OK: nsCertType=SERVER
Mon Aug 02 21:07:26 2010 VERIFY OK: depth=0, /C=DE/ST=BY/O=duja/CN=box/[email protected]
Mon Aug 02 21:07:28 2010 Data Channel Encrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
Mon Aug 02 21:07:28 2010 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Mon Aug 02 21:07:28 2010 Data Channel Decrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
Mon Aug 02 21:07:28 2010 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Mon Aug 02 21:07:28 2010 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
Mon Aug 02 21:07:28 2010 [fritzbox] Peer Connection Initiated with 84.57.186.6:1194
Mon Aug 02 21:07:30 2010 TAP-WIN32 device [LAN-Verbindung 8] opened: \\.\Global\{4F7A6D65-D816-46A9-811F-4567E733C07D}.tap
Mon Aug 02 21:07:30 2010 TAP-Win32 MTU=1500
Mon Aug 02 21:07:30 2010 Notified TAP-Win32 driver to set a DHCP IP/netmask of 10.0.200.100/255.255.255.0 on interface {4F7A6D65-D816-46A9-811F-4567E733C07D} [DHCP-serv: 10.0.200.0, lease-time: 31536000]
Mon Aug 02 21:07:30 2010 Successful ARP Flush on interface [3] {4F7A6D65-D816-46A9-811F-4567E733C07D}
Mon Aug 02 21:07:35 2010 OpenVPN ROUTE: omitted no-op route: 10.0.200.1/255.255.255.255 -> 10.0.200.1
Mon Aug 02 21:07:35 2010 Initialization Sequence Completed

Ich komme alleine nicht mehr weiter! Wo muss ich den Schalter den umdrehen, damit ich die Desktops erreichen kann? Jede Hilfe ist willkommen, danke
 
Merkwürdig ist, dass die Routing-Einträge scheinbar nicht funktionieren, denn für push "route 192.168.100.0 255.255.255.0" steht nichts im Log.

Kannst du vom Client-PC die Box über 192.168.200.1 ansprechen?

Postes bitte mal die Ausgabe von "route print" des Clients.

Als "Workaround" könnte ein ""route 192.168.100.0 255.255.255.0 " in der Client-Config gehen.

Jörg
 
Kein Ping geht durch

Hallo MaxMuster,

vielen Dank für die Rückmeldung!

Die Antwort auf Deine Frage mit dem Ping muss ich mit "NEIN" beantworten. Ich bekomme einfach keine Verbindung!

Anbei die route print des Clients einmal ohne LAN

PHP: 
===========================================================================
Schnittstellenliste
0x1 ........................... MS TCP Loopback interface
0x2 ...00 24 2b 71 7f b4 ...... Atheros AR5007EG Wireless Network Adapter - Paketplaner-Miniport
0x3 ...00 ff 4f 7a 6d 65 ...... TAP-Win32 Adapter V9 - Paketplaner-Miniport
0x4 ...08 00 27 00 c0 5e ...... VirtualBox Host-Only Ethernet Adapter - Paketplaner-Miniport
0x10006 ...00 23 5a 5a 87 4c ...... Atheros AR8121/AR8113/AR8114 PCI-E Ethernet Controller - Paketplaner-Miniport
0x20007 ...00 53 45 00 00 00 ...... WAN (PPP/SLIP) Interface
===========================================================================
===========================================================================
Aktive Routen:
     Netzwerkziel    Netzwerkmaske          Gateway   Schnittstelle  Anzahl
          0.0.0.0          0.0.0.0   10.205.201.205  10.205.201.205	  1
          0.0.0.0          0.0.0.0    192.168.100.1  192.168.100.25	  26
   10.205.201.205  255.255.255.255        127.0.0.1       127.0.0.1	  50
   10.255.255.255  255.255.255.255   10.205.201.205  10.205.201.205	  50
        127.0.0.0        255.0.0.0        127.0.0.1       127.0.0.1	  1
      169.254.0.0      255.255.0.0   169.254.76.110  169.254.76.110	  30
   169.254.76.110  255.255.255.255        127.0.0.1       127.0.0.1	  30
  169.254.255.255  255.255.255.255   169.254.76.110  169.254.76.110	  30
     192.168.56.0    255.255.255.0     192.168.56.1    192.168.56.1	  20
     192.168.56.1  255.255.255.255        127.0.0.1       127.0.0.1	  20
   192.168.56.255  255.255.255.255     192.168.56.1    192.168.56.1	  20
    192.168.100.0    255.255.255.0   192.168.100.25  192.168.100.25	  25
   192.168.100.25  255.255.255.255        127.0.0.1       127.0.0.1	  25
  192.168.100.255  255.255.255.255   192.168.100.25  192.168.100.25	  25
        224.0.0.0        240.0.0.0   169.254.76.110  169.254.76.110	  30
        224.0.0.0        240.0.0.0     192.168.56.1    192.168.56.1	  20
        224.0.0.0        240.0.0.0   192.168.100.25  192.168.100.25	  25
        224.0.0.0        240.0.0.0   10.205.201.205  10.205.201.205	  1
  255.255.255.255  255.255.255.255   10.205.201.205  10.205.201.205	  1
  255.255.255.255  255.255.255.255   169.254.76.110           10006	  1
  255.255.255.255  255.255.255.255   169.254.76.110  169.254.76.110	  1
  255.255.255.255  255.255.255.255     192.168.56.1    192.168.56.1	  1
  255.255.255.255  255.255.255.255   192.168.100.25  192.168.100.25	  1
Standardgateway:    10.205.201.205
===========================================================================
Ständige Routen:
  Keine

das andere Mal innerhalb des LANs

PHP: 
===========================================================================
Schnittstellenliste
0x1 ........................... MS TCP Loopback interface
0x2 ...00 24 2b 71 7f b4 ...... Atheros AR5007EG Wireless Network Adapter - Paketplaner-Miniport
0x3 ...00 ff 4f 7a 6d 65 ...... TAP-Win32 Adapter V9 - Paketplaner-Miniport
0x4 ...08 00 27 00 c0 5e ...... VirtualBox Host-Only Ethernet Adapter - Paketplaner-Miniport
0x10006 ...00 23 5a 5a 87 4c ...... Atheros AR8121/AR8113/AR8114 PCI-E Ethernet Controller - Paketplaner-Miniport
===========================================================================
===========================================================================
Aktive Routen:
     Netzwerkziel    Netzwerkmaske          Gateway   Schnittstelle  Anzahl
          0.0.0.0          0.0.0.0    192.168.100.1  192.168.100.25	  25
        127.0.0.0        255.0.0.0        127.0.0.1       127.0.0.1	  1
     192.168.56.0    255.255.255.0     192.168.56.1    192.168.56.1	  20
     192.168.56.1  255.255.255.255        127.0.0.1       127.0.0.1	  20
   192.168.56.255  255.255.255.255     192.168.56.1    192.168.56.1	  20
    192.168.100.0    255.255.255.0   192.168.100.25  192.168.100.25	  25
    192.168.100.0    255.255.255.0    192.168.200.1  192.168.200.100	  1
   192.168.100.25  255.255.255.255        127.0.0.1       127.0.0.1	  25
  192.168.100.255  255.255.255.255   192.168.100.25  192.168.100.25	  25
    192.168.200.0    255.255.255.0  192.168.200.100  192.168.200.100	  30
  192.168.200.100  255.255.255.255        127.0.0.1       127.0.0.1	  30
  192.168.200.255  255.255.255.255  192.168.200.100  192.168.200.100	  30
        224.0.0.0        240.0.0.0     192.168.56.1    192.168.56.1	  20
        224.0.0.0        240.0.0.0   192.168.100.25  192.168.100.25	  25
        224.0.0.0        240.0.0.0  192.168.200.100  192.168.200.100	  30
  255.255.255.255  255.255.255.255     192.168.56.1           10006	  1
  255.255.255.255  255.255.255.255     192.168.56.1    192.168.56.1	  1
  255.255.255.255  255.255.255.255   192.168.100.25  192.168.100.25	  1
  255.255.255.255  255.255.255.255  192.168.200.100  192.168.200.100	  1
Standardgateway:     192.168.100.1
===========================================================================
Ständige Routen:
  Keine

Auch Dein Vorschlag mit dem Workaround hatte leider keinen Erfolg!

Vielleicht kannst Du mir damit weiterhelfen!
Im Voraus auf jeden Fall einen großen Dank.

Mr. Freez
 
Hmm, der PC ist doch schon in dem Netz 192.168.100.0/24 (mit der LAN-IP 192.168.100.25), da macht es keinen Sinn, über VPN in das gleiche Netz zu gehen. Was willst du denn erreichen??

Prinzipiell sollte(!) es aber so funktionieren, denn es wird die richtige IP für das VPN-Interface angelegt (192.168.200.1) und eine Route in das Netz durch das VPN eingerichtet (siehe die "fetten" Einträge):

Code: 
Aktive Routen:
     Netzwerkziel    Netzwerkmaske          Gateway   Schnittstelle  Anzahl
[...snipp...]
    192.168.100.0    255.255.255.0   192.168.100.25  192.168.100.25      25
[B]    192.168.100.0    255.255.255.0    192.168.200.1  192.168.200.100      1
[/B]   192.168.100.25  255.255.255.255        127.0.0.1       127.0.0.1      25
  192.168.100.255  255.255.255.255   192.168.100.25  192.168.100.25      25
    192.168.200.0    255.255.255.0  192.168.200.100  192.168.200.100      30
[B]  192.168.200.100  255.255.255.255        127.0.0.1       127.0.0.1      30
[/B]  192.168.200.255  255.255.255.255  192.168.200.100  192.168.200.100      30

Jörg
 
Hallo Jörg,

vielen Dank für die Rückmeldung!

Ich habe ja zwei route print beigefügt, eines bei dem sich das Notebook mit WiFi noch im LAN befindet und ein zweites, wo ich mittels UMTS auf die Freetzbox zugreifen möchte.
In beiden Fällen habe ich zwar einen Verbindungsaufbau (grünes Symbol auf dem Client), es kommt aber kein Ping vom Client auf den Freetz, noch auf die dahinterliegenden Desktops durch?

Wäre nett, wenn Du mir dabei noch auf die Sprünge helfen könntest, Danke!
 
.. du bist aber auch bei dem "Test" mit UMTS noch im LAN gewesen (siehe auch die zweite Zeile in der Tabelle dort: du hast die IP 192.168.100.25 und auch eine Route ins Internet über 192.168.100.1).

Du musst für den Test (W)LAN deaktivieren, sonst klappt das nicht. Es darf kein Eintrag für 192.168.100.0 in der Tabelle geben, ehe du das OpenVPN startest...


Jörg
 
Hallo Jörg,

habe nun zumindest einen Teilerfolg. Nachdem ich den IP-Adressbereich für das VPN umgestellt habe kann ich zumindest von Client jetzt ein Ping an den Fritz erfolgreich absetzen! Was ich bisher allerdings noch nicht geschafft habe, ist es auf die Desktops hinter dem alten Fritz zu kommen!

Dafür habe ich auch mal den Trace beim Client und Server hochgesetzt, aber daraus habe ich keine Rückschlüsse auf irgendwelche Fehler finden können!

Hast Du noch eine Idee wo ich schrauben kann?

Gruß

MrFreez
 
Das wäre einfacher, wenn du die Details preisgibst ;-)

- Wie hast du die IPs geändert?
- Wie sehen jetzt Routingtabellen aus?
- Was war denn das Ergebnis der Traceroutes??

Jörg
 
Auf Serverseite habe ich "nur" den Adressbereich von 10.0.200.0 auf 10.8.0.0 geändert und in der Freetz-Konfiguration die Option "Brücke TAB mit LAN brücken" aktiviert.

Auf Clientseite alles so belassen wie bisher.

Anbei nachfolgende Dateien:

client.conf

PHP: 
remote myworld.dyndns.org
proto udp
dev tap
tls-client
ns-cert-type server
ca "C://openvpn/ca.crt"
cert "C://openvpn/netbook.crt"
key "C:///openvpn/netbook.key"
tls-auth "C://openvpn/static.key" 1
;tun-mtu 1500
route 192.168.100.0. 255.255.255.0
mssfix
cipher AES-256-CBC
comp-lzo
nobind
pull
verb 1

Die route print
PHP: 
Schnittstellenliste
0x1 ........................... MS TCP Loopback interface
0x2 ...00 24 2b 71 7f b4 ...... Atheros AR5007EG Wireless Network Adapter - Paketplaner-Miniport
0x3 ...00 ff 4f 7a 6d 65 ...... TAP-Win32 Adapter V9 - Paketplaner-Miniport
0x4 ...08 00 27 00 c0 5e ...... VirtualBox Host-Only Ethernet Adapter - Paketplaner-Miniport
0x10006 ...00 23 5a 5a 87 4c ...... Atheros AR8121/AR8113/AR8114 PCI-E Ethernet Controller - Paketplaner-Miniport
0x20007 ...00 53 45 00 00 00 ...... WAN (PPP/SLIP) Interface
===========================================================================
===========================================================================
Aktive Routen:
     Netzwerkziel    Netzwerkmaske          Gateway   Schnittstelle  Anzahl
          0.0.0.0          0.0.0.0   10.201.233.159  10.201.233.159	  1
          0.0.0.0          0.0.0.0    192.168.100.1  192.168.100.24	  26
         10.8.0.0    255.255.255.0         10.8.0.2        10.8.0.2	  30
         10.8.0.2  255.255.255.255        127.0.0.1       127.0.0.1	  30
   10.201.233.159  255.255.255.255        127.0.0.1       127.0.0.1	  50
   10.255.255.255  255.255.255.255         10.8.0.2        10.8.0.2	  30
   10.255.255.255  255.255.255.255   10.201.233.159  10.201.233.159	  50
        127.0.0.0        255.0.0.0        127.0.0.1       127.0.0.1	  1
     192.168.56.0    255.255.255.0     192.168.56.1    192.168.56.1	  20
     192.168.56.1  255.255.255.255        127.0.0.1       127.0.0.1	  20
   192.168.56.255  255.255.255.255     192.168.56.1    192.168.56.1	  20
    192.168.100.0    255.255.255.0   192.168.100.24  192.168.100.24	  25
    192.168.100.0    255.255.255.0         10.8.0.1        10.8.0.2	  1
   192.168.100.24  255.255.255.255        127.0.0.1       127.0.0.1	  25
  192.168.100.255  255.255.255.255   192.168.100.24  192.168.100.24	  25
        224.0.0.0        240.0.0.0         10.8.0.2        10.8.0.2	  30
        224.0.0.0        240.0.0.0     192.168.56.1    192.168.56.1	  20
        224.0.0.0        240.0.0.0   192.168.100.24  192.168.100.24	  25
        224.0.0.0        240.0.0.0   10.201.233.159  10.201.233.159	  1
  255.255.255.255  255.255.255.255         10.8.0.2        10.8.0.2	  1
  255.255.255.255  255.255.255.255   10.201.233.159  10.201.233.159	  1
  255.255.255.255  255.255.255.255     192.168.56.1    192.168.56.1	  1
  255.255.255.255  255.255.255.255     192.168.56.1           10006	  1
  255.255.255.255  255.255.255.255   192.168.100.24  192.168.100.24	  1
Standardgateway:    10.201.233.159
===========================================================================
Ständige Routen:
  Keine
Wie gesagt ein Ping bekomme ich durch, aber kein Zugriff auf hinter dem Alten Fritz liegende Desktops!

Vielen Dank noch für Deine bisherige Unterstützung, ohne die ich hoffnungslos verratzt wäre! :groesste:

Mr. Freez
 
... du hast noch immer eine IP in dem Netz 192.168.100.0/24 (die 192.168.100.24).
Gleichzeitig eine direkte Netzwerkverbindung und VPN in das Netz kann nicht klappen!

Bist du übrigens sicher, dass du Bridging und TAP benötigst? Dafür ist deine Config eigentlich nicht ausgerichtet, die ist eher wie für "TUN"?

TAP machte nur Sinn, wenn das "VPN-Netz" mit dem LAN "übereinstimmt" (gleiches IP Netz), so dass ein Client "virtuell" direkt in das LAN übernommen wird.

Vielleicht liest du da nochmal etwas zu dem Thema...

Jörg
 
Um antworten zu können musst du eingeloggt sein.

Zurzeit aktive Besucher

Gesamt: 644 (Mitglieder: 23, Gäste: 621)

Neueste Beiträge

Statistik des Forums

Themen
246,295
Beiträge
2,249,597
Mitglieder
373,893
Neuestes Mitglied
Kukkatto
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
Ihr E-Mail-Adresse verifizieren

Ihr E-Mail-Adresse verifizieren

Wir haben Ihnen eine E-Mail geschickt. Klicken Sie auf die Schaltfläche im E-Mail-Text, um Ihre E-Mail-Adresse zu verifizieren – (Können Sie diese nicht finden können, dann überprüfen Sie Ihren Spam-Ordner).

IPPF im Überblick

Neueste Beiträge

Direktlinks Telefonanlage

Website-Sponsoren

3CX sponsor
KONTAKTIEREN SIE UNS BEI INTERESSE
| Style by ThemeHouse
XenPorta 2 PRO © Jason Axelrod of 8WAYRUN
Oben Unten
Zurück