Open VPN Fehler!

[mister-man]

Hallo, ich dachte bis gestern das mein Open VPN läuft, doch nun bekomme ich immer diesen Fehler.

Client Log:

Sun Nov 02 14:51:27 2008 Control Channel Authentication: using 'D:\Users\PBarban\Documents\VPN-Zertifikate\static.key' as a OpenVPN static key file
Sun Nov 02 14:51:27 2008 Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Sun Nov 02 14:51:27 2008 Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Sun Nov 02 14:51:27 2008 Control Channel MTU parms [ L:1573 D:166 EF:66 EB:0 ET:0 EL:0 ]
Sun Nov 02 14:51:27 2008 Data Channel MTU parms [ L:1573 D:1450 EF:41 EB:4 ET:32 EL:0 ]
Sun Nov 02 14:51:27 2008 Local Options hash (VER=V4): '1a647362'
Sun Nov 02 14:51:27 2008 Expected Remote Options hash (VER=V4): '47de3ccc'
Sun Nov 02 14:51:27 2008 Socket Buffers: R=[8192->8192] S=[8192->8192]
Sun Nov 02 14:51:27 2008 UDPv4 link local: [undef]
Sun Nov 02 14:51:27 2008 UDPv4 link remote: 192.168.11.2:1194
Sun Nov 02 14:51:27 2008 TLS: Initial packet from 192.168.11.2:1194, sid=9364d914 cf3f816f
Sun Nov 02 14:51:28 2008 VERIFY OK: depth=1, /C=DE/ST=NS/L=xxxxxx/O=./CN=ca/[email protected]
Sun Nov 02 14:51:28 2008 VERIFY OK: nsCertType=SERVER
Sun Nov 02 14:51:28 2008 VERIFY OK: depth=0, /C=DE/ST=NS/O=./CN=fritzbox/[email protected]
Sun Nov 02 14:51:28 2008 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Sun Nov 02 14:51:28 2008 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Sun Nov 02 14:51:28 2008 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Sun Nov 02 14:51:28 2008 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Sun Nov 02 14:51:28 2008 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
Sun Nov 02 14:51:28 2008 [fritzbox] Peer Connection Initiated with 192.168.11.2:1194
Sun Nov 02 14:51:30 2008 SENT CONTROL [fritzbox]: 'PUSH_REQUEST' (status=1)
Sun Nov 02 14:51:30 2008 PUSH: Received control message: 'PUSH_REPLY,route-gateway 192.168.200.1,route 192.168.178.0 255.255.255.0,ping 10,ping-restart 120,ifconfig 192.168.200.100 255.255.255.0'
Sun Nov 02 14:51:30 2008 OPTIONS IMPORT: timers and/or timeouts modified
Sun Nov 02 14:51:30 2008 OPTIONS IMPORT: --ifconfig/up options modified
Sun Nov 02 14:51:30 2008 OPTIONS IMPORT: route options modified
Sun Nov 02 14:51:30 2008 OPTIONS IMPORT: route-related options modified
Sun Nov 02 14:51:30 2008 ROUTE default_gateway=192.168.11.1
Sun Nov 02 14:51:30 2008 TAP-WIN32 device [LAN-Verbindung 2] opened: \\.\Global\{8B036440-288B-464B-9446-ECE45724BE5E}.tap
Sun Nov 02 14:51:30 2008 TAP-Win32 Driver Version 9.4 
Sun Nov 02 14:51:30 2008 TAP-Win32 MTU=1500
Sun Nov 02 14:51:30 2008 Notified TAP-Win32 driver to set a DHCP IP/netmask of 192.168.200.100/255.255.255.0 on interface {8B036440-288B-464B-9446-ECE45724BE5E} [DHCP-serv: 192.168.200.0, lease-time: 31536000]
Sun Nov 02 14:51:30 2008 NOTE: FlushIpNetTable failed on interface [31] {8B036440-288B-464B-9446-ECE45724BE5E} (status=5) : Zugriff verweigert  
Sun Nov 02 14:51:35 2008 TEST ROUTES: 1/1 succeeded len=1 ret=1 a=0 u/d=up
Sun Nov 02 14:51:35 2008 C:\WINDOWS\system32\route.exe ADD 192.168.178.0 MASK 255.255.255.0 192.168.200.1
Sun Nov 02 14:51:35 2008 ROUTE: route addition failed using CreateIpForwardEntry: Zugriff verweigert   [status=5 if_index=31]
Sun Nov 02 14:51:35 2008 Route addition via IPAPI failed [adaptive]
Sun Nov 02 14:51:35 2008 Route addition fallback to route.exe
Sun Nov 02 14:51:35 2008 ERROR: Windows route add command failed [adaptive]: returned error code 1
Sun Nov 02 14:51:35 2008 Initialization Sequence Completed
Sun Nov 02 14:51:39 2008 Authenticate/Decrypt packet error: cipher final failed

Ich bekomme problemlos eine Verbindung zum VPN, und eine IP bekomme ich auch, wie man im Log und im Client sieht.
Doch leider kann ich nicht mit anderen VPN Clients sprechen, obwohl es im server erlaubt ist.
Ping funktioniert nur auf eigene IP!

MfG und Danke

Edit1: Der Server soll ausschlie0ßlich verschiedene VPn Clients vernetzen, das sie egal wo sie sind im einen Lan sind. Der Server soll keine Verbindung in mein Lan dastellen. Deswegen habe ich in den Servereinstellungen TAP gewählt!

 

[MaxMuster]

Ich bekomme problemlos eine Verbindung zum VPN, und eine IP bekomme ich auch, wie man im Log und im Client sieht.

Na, bei der Menge an "failed"-Meldungen würde ich nicht unbedingt "problemlos" sagen ;-)
Kannst du die VPN-IP des Servers anpingen? Bitte schicke mal die Routingtabelle, nachdem die Verbindung aufgebaut wurde ("route print"). Was für ein Betriebssystem hat denn der Client? Kann das vielleicht (bei Vista) ein UAC-Problem sein?

Jörg

 

[mister-man]

Nein das UAC ist aus, habe mir natürlich (diesmal) die How To vor den Post gelesen.
Als lokale IP für das VPn habe ich 192.168.200.1 genommen. Ich habe die IP vom Server 192.168.200.100 bekommen. Doch leider kann ich den Server nicht anpingen!

MfG

Edit1:

Route Print

Microsoft Windows [Version 6.0.6001]
Copyright (c) 2006 Microsoft Corporation. Alle Rechte vorbehalten.

C:\Users\User>route print
===========================================================================
Schnittstellenliste
 31 ...00 ff 8b 03 64 40 ...... TAP-Win32 Adapter V9
 12 ...00 16 ea 50 ea d6 ...... Intel(R) Wireless WiFi Link 5100
  1 ........................... Software Loopback Interface 1
 30 ...00 00 00 00 00 00 00 e0  isatap.{2A5867F0-4AB3-47D8-A631-069724931A0F}
 11 ...02 00 54 55 4e 01 ...... Teredo Tunneling Pseudo-Interface
 32 ...00 00 00 00 00 00 00 e0  isatap.{8B036440-288B-464B-9446-ECE45724BE5E}
===========================================================================

IPv4-Routentabelle
===========================================================================
Aktive Routen:
     Netzwerkziel    Netzwerkmaske          Gateway    Schnittstelle Metrik
          0.0.0.0          0.0.0.0     192.168.11.1    192.168.11.26     25
        127.0.0.0        255.0.0.0   Auf Verbindung         127.0.0.1    306
        127.0.0.1  255.255.255.255   Auf Verbindung         127.0.0.1    306
  127.255.255.255  255.255.255.255   Auf Verbindung         127.0.0.1    306
     192.168.11.0    255.255.255.0   Auf Verbindung     192.168.11.26    281
    192.168.11.26  255.255.255.255   Auf Verbindung     192.168.11.26    281
   192.168.11.255  255.255.255.255   Auf Verbindung     192.168.11.26    281
    192.168.200.0    255.255.255.0   Auf Verbindung   192.168.200.100    286
  192.168.200.100  255.255.255.255   Auf Verbindung   192.168.200.100    286
  192.168.200.255  255.255.255.255   Auf Verbindung   192.168.200.100    286
        224.0.0.0        240.0.0.0   Auf Verbindung         127.0.0.1    306
        224.0.0.0        240.0.0.0   Auf Verbindung   192.168.200.100    286
        224.0.0.0        240.0.0.0   Auf Verbindung     192.168.11.26    281
  255.255.255.255  255.255.255.255   Auf Verbindung         127.0.0.1    306
  255.255.255.255  255.255.255.255   Auf Verbindung   192.168.200.100    286
  255.255.255.255  255.255.255.255   Auf Verbindung     192.168.11.26    281
===========================================================================
Ständige Routen:
  Keine

IPv6-Routentabelle
===========================================================================
Aktive Routen:
 If Metrik Netzwerkziel             Gateway
 11     18 ::/0                     Auf Verbindung
  1    306 ::1/128                  Auf Verbindung
 11     18 2001::/32                Auf Verbindung
 11    266 2001:0:d5c7:a2ca:14d5:2a95:b035:41bd/128
                                    Auf Verbindung
 31    286 fe80::/64                Auf Verbindung
 12    281 fe80::/64                Auf Verbindung
 11    266 fe80::/64                Auf Verbindung
 11    266 fe80::14d5:2a95:b035:41bd/128
                                    Auf Verbindung
 31    286 fe80::900e:ea4c:41d8:d08f/128
                                    Auf Verbindung
 12    281 fe80::d8b1:ecb7:6149:c24d/128
                                    Auf Verbindung
  1    306 ff00::/8                 Auf Verbindung
 11    266 ff00::/8                 Auf Verbindung
 31    286 ff00::/8                 Auf Verbindung
 12    281 ff00::/8                 Auf Verbindung
===========================================================================
Ständige Routen:
  Keine

C:\Users\>

das print route wurde beiu aktiver VPN Verbindung gemacht!

 

[MaxMuster]

o.k.,

machst du bitte mal direkt nach dem Ping auf die 192.168.200.1 ein "arp -a"? Kannst du auf dem VPN-Server die 192.168.200.1 anpingen?

Jörg

 

[mister-man]

Halt moment mal! Auf dem Server, sprich die FritzBox. Wenn ich mich via telnet einlogge kann ich 192.168.200.1 anpingen.

arp -a

Microsoft Windows [Version 6.0.6001]
Copyright (c) 2006 Microsoft Corporation. Alle Rechte vorbehalten.

C:\Users\User>ping 192.168.200.1

Ping wird ausgeführt für 192.168.200.1 mit 32 Bytes Daten:
Zeitüberschreitung der Anforderung.
Zeitüberschreitung der Anforderung.
Zeitüberschreitung der Anforderung.
Zeitüberschreitung der Anforderung.

Ping-Statistik für 192.168.200.1:
    Pakete: Gesendet = 4, Empfangen = 0, Verloren = 4 (100% Verlust),

C:\Users\User>arp -a

Schnittstelle: 192.168.11.26 --- 0xc
  Internetadresse       Physikal. Adresse     Typ
  192.168.11.1          00-1c-4a-d9-fa-d9     dynamisch
  192.168.11.2          00-04-0e-aa-cf-0c     dynamisch
  192.168.11.255        ff-ff-ff-ff-ff-ff     statisch
  224.0.0.22            01-00-5e-00-00-16     statisch
  224.0.0.252           01-00-5e-00-00-fc     statisch
  239.255.255.250       01-00-5e-7f-ff-fa     statisch
  255.255.255.255       ff-ff-ff-ff-ff-ff     statisch

Schnittstelle: 192.168.200.100 --- 0x1f
  Internetadresse       Physikal. Adresse     Typ
  192.168.200.255       ff-ff-ff-ff-ff-ff     statisch
  224.0.0.22            01-00-5e-00-00-16     statisch
  224.0.0.252           01-00-5e-00-00-fc     statisch
  239.255.255.250       01-00-5e-7f-ff-fa     statisch
  255.255.255.255       ff-ff-ff-ff-ff-ff     statisch

C:\Users\User>

 

[MaxMuster]

Das ist gut, wenn du die IP lokal anpingen kannst.
Analog: Wenn du vom Server versuchst, die Client-IP (192.168.200.100) anzupingen, geht das? Was ergibt (wenn es nicht geht) direkt danach ein "arp -an"?

Jörg

 

[mister-man]

Hier der Auszug vom Server (FritzBox)

Fritz!Box web password:


BusyBox v1.9.2 (2008-10-29 15:00:50 CET) built-in shell (ash)
Enter 'help' for a list of built-in commands.

ermittle die aktuelle TTY
tty is "/dev/pts/0"
Console Ausgaben nicht umgelenkt
/var/mod/root # ping 192.168.200.1
PING 192.168.200.1 (192.168.200.1): 56 data bytes
64 bytes from 192.168.200.1: seq=0 ttl=64 time=0.822 ms
64 bytes from 192.168.200.1: seq=1 ttl=64 time=0.608 ms
64 bytes from 192.168.200.1: seq=2 ttl=64 time=0.609 ms
64 bytes from 192.168.200.1: seq=3 ttl=64 time=0.608 ms

--- 192.168.200.1 ping statistics ---
4 packets transmitted, 4 packets received, 0% packet loss
round-trip min/avg/max = 0.608/0.661/0.822 ms
/var/mod/root # ping 192.168.200.100
PING 192.168.200.100 (192.168.200.100): 56 data bytes

--- 192.168.200.100 ping statistics ---
11 packets transmitted, 0 packets received, 100% packet loss
/var/mod/root # arp -a
? (192.168.11.1) at 00:1C:4A:D9:FA:D9 [ether] on lan
? (192.168.200.100) at <incomplete> on tap0
? (192.168.11.26) at 00:16:EA:50:EA:D6 [ether] on lan
/var/mod/root #

 

[MaxMuster]

... das sieht besser aus. Eigentlich sollte sowas wie das "incomplete" auch auf dem Client sein...

Welche OpenVPN-Version nutzt du beim Client?
Ist die Firewall auf dem PC aus?
Könntest du die gleiche Konfig auf einem anderen PC mal testen?

Jörg

 

[mister-man]

Ich nutze die die Stand Open VPN Version von Freetz 1.0.
Der Client ist die Open VPN GUI 1.0.3 (das ist laut HP die Beta, welche allerdings die einzige ist die auf Vista Buisness 64 läuft)
Die Firewall ist zur Zeit an, sollte aber das nicht bloggen. Ich schalte sie direkt zum Testen einmal aus.
Habe die Konfig von extern getestet (mit anderem Zertifikat sonst alles gleich) und es ensteht der gleiche Fehler.
Testsystem Windows 2000 ohne Firewall!

Edit1:
Firewall ausgeschaltet, doch es gab keine Besserung!

Microsoft Windows [Version 6.0.6001]
Copyright (c) 2006 Microsoft Corporation. Alle Rechte vorbehalten.

C:\Users\User>ping 192.168.200.1

Ping wird ausgeführt für 192.168.200.1 mit 32 Bytes Daten:
Zeitüberschreitung der Anforderung.
Zeitüberschreitung der Anforderung.
Zeitüberschreitung der Anforderung.
Zeitüberschreitung der Anforderung.

Ping-Statistik für 192.168.200.1:
    Pakete: Gesendet = 4, Empfangen = 0, Verloren = 4 (100% Verlust),

C:\Users\User>

 

[MaxMuster]

... dann ist es wohl eher die Config...
"Authenticate/Decrypt packet error: cipher final failed": Hast du sicher auf beiden Seiten den gleichen Cipher gewählt? Ist "LZO" auf beiden Seiten gleich?
Poste sonst mal Server- und Client-Config.

Jörg

 

[mister-man]

Hier die Config:

Client Config:

  remote 192.168.11.2
  proto udp
  dev tap
  tls-client
  ns-cert-type server
  ca "D:\\Users\\User\\Documents\\VPN-Zertifikate\\ca.crt"
  cert "D:\\Users\\User\\Documents\\VPN-Zertifikate\\User.crt"
  key "D:\\Users\\User\\Documents\\VPN-Zertifikate\\User.key"
  tls-auth "D:\\Users\\User\\Documents\\VPN-Zertifikate\\static.key" 1
  tun-mtu 1500
  mssfix
  nobind
  pull
  verb 3

Server Config:

#  OpenVPN 2.1 Config, Sun Nov  2 16:19:09 CET 2008
proto udp
dev tap
ca /tmp/flash/ca.crt
cert /tmp/flash/box.crt
key /tmp/flash/box.key
dh /tmp/flash/dh.pem
tls-server
tls-auth /tmp/flash/static.key 0
port 1194
push "dhcp-option DNS 192.168.200.1"
mode server
ifconfig-pool 192.168.200.100 192.168.200.200
ifconfig 192.168.200.1 255.255.255.0
push "route-gateway 192.168.200.1"
push "route 192.168.178.0 255.255.255.0"
max-clients 10
tun-mtu 1500
mssfix
verb 3
daemon
cipher AES-128-CBC
keepalive 10 120
status /var/log/openvpn.log

Vielleicht hab ich da ja wirklich was übersehen, bin mittlerweile schon fast blind vor lauter probieren

 

[MaxMuster]

Hast du sicher auf beiden Seiten den gleichen Cipher gewählt?

Wie geschrieben: Bitte Cipher vergleichen ;-)
Standard-Cipher (kein Eintrag im Client): BF-CBC,
beim Server ausgewählt: AES-128-CBC

Jörg

 

[mister-man]

Daran hat es gelegen!
Danke für deine Hilfe, bin mal wieder fast verzweifelt.
Versuche nun meinen Bekannten zu erreichen, das es in seiner cfg auch geändert wird und dann werden wir sehen.
Die 192.168.200.1 kann ich jedenfalls Pingen unjd das ist gut!

 

[MaxMuster]

... oder du änderst es im Server auf "Blowfish", dann kannst du die Clients so lassen, wie sie sind...

 

[mister-man]

Eine frage nebenbei noch.
Ich hab ein paar leute, die nicht in der Lage sind den VPN Client selber zu starten und zu verbinden, gibt es eine Möglichkeit dies zu automatisieren.
Also das nach systemstart der Client startet und Verbindet?
Betriebssystem ist Windows.
Hab es bereits mit dem einfachen Autostart versucht. Doch leider verbindet er nicht automatisch!

Wie kann ich dies bewerkstelligen?

 

[MaxMuster]

von hier:

Damit man jederzeit eine Verbindung zum Heimcomputer herstellen kann, sollte OpenVPN mit der ensprechenden Konfigurationsdatei immer beim Start automatisch als Dienst (Service/Daemon) gestartet werden.

Unter Windows geschieht dies wie folgt: ber das Startmenü /START/EINSTELLUNGEN/SYSTEMSTEUERUNG/VERWALTUNG/DIENSTE öffnen. Den Dienst OpenVPN auswählen und die Startoption von manuell auf automatisch ändern. OpenVPN wird dann alle Verbindungen automatisch starten, die als Konfigurationsdateien im Verzeichnis \Programme\OpenVPN\config mit der Endung (Extension) .ovpn vorhanden sind (in unserem Beispiel nur eine Datei mit dem Namen meinname.ovpn).

 

[mister-man]

So, ich habe nun meinem Kumpel die änderungen mitgeteilt per mail und er hat dies gemacht!
Leider erreiche ich meinen Kumpel per VPN nicht, was der sinn dieses Tunnels seien soll (ein "Lan im Internet").
Client zu Client ist natürlich aktiv im Server!

Dies bedeutet
Server 192.168.200.1
Client 1 (Ich) 192.168.200.100
Client 2 (mein Kumpel) 192.168.200.101

Ping Server zu Client 1 Antwort
Ping Server zu Client 2 Antwort
Ping Client 1 zu Client 2 Keine Antwort
Ping Client 1 zu Server Antwort
Ping Client 2 zu Server Antwort
Ping Client 2 zu Client 1 Keine Antwort

Allerdings denke ich wenn Client 1 nicht Client 2 anpingen kann geht es auch nicht andersherum.

Nun die Frage!
Client 1 und 2 sollen kommunizieren können.
Client 2 und 1 sollen kommunizieren können.
Weitere Clients die in der Zukunft dazu kommen sollen auch kommunizieren können!

Wo liegt denn nun mein Denkfehler?

Danke im vorraus!

Edit 1:
Server Config

#  OpenVPN 2.1 Config, Sun Nov  2 18:17:57 CET 2008
proto udp
dev tap
ca /tmp/flash/ca.crt
cert /tmp/flash/box.crt
key /tmp/flash/box.key
dh /tmp/flash/dh.pem
tls-server
tls-auth /tmp/flash/static.key 0
port 1194
push "dhcp-option DNS 192.168.200.1"
mode server
ifconfig-pool 192.168.200.100 192.168.200.200
ifconfig 192.168.200.1 255.255.255.0
push "route-gateway 192.168.200.1"
push "route 192.168.178.0 255.255.255.0"
max-clients 10
tun-mtu 1500
mssfix
verb 3
daemon
cipher AES-128-CBC
keepalive 10 120
status /var/log/openvpn.log

 

[matze1985]

da fehlt ein client-to-client in der Konfig.
@MaxMuster: bei mir musste ich das auch über die zusätzlichen Optionen extra angeben, damit es übernommen wurde. Kann es sein, dass der Schalter einen Fehler hat?

 

[mister-man]

Das habe ich mir auch so gedacht!
Deswegen habe ich client-to-client in die confog gesetzt.
Wie mir google auch sagte.
Doch wenn ich es in die config schreibe, und den server dann neu starte, ist ales wieder weg!

Was kann ich machen?

 

[MaxMuster]

... ich schaue mir das mal an, ob da ein Fehler ist.

@mister-man
Du kannst ausnahmsweise ;-) mal den Haken bei "Experteneinstellungen" machen und dann ganz unten bei den "Zusatzparametern" eintragen "client-to-client".