OpenVPN über Port 194

[ZECK]

Tach,
zuerst mal ein Dankeschön an die bisherigen Fortschritte mit Freetz und an das Forum als große Hilfe.
Nun zu meinem Problem:
Ich habe auf meiner FBFWLAN 7140(Annex A) OpenVPN installiert und will nun per Zertifikaten mehreren Nutzern einen Zugriff auf mein Homenetzwerk ermöglichen. Das Problem ist nun ich kann das per Internet auf einem Standort nur über Port 194, deswegen dieser Thread, ich denke mein Fehler hängt am Port. Ich verwendete zum erstellen der Zertifikate Linux und die Openvpn-Clients sollen per OpenVPN-GUI auf Windows XP/Vista laufen. Zuerst einmal die Konfig der Box:

proto tcp-server
dev tun
ca /tmp/flash/ca.crt
cert /tmp/flash/box.crt
key /tmp/flash/box.key
dh /tmp/flash/dh.pem
tls-server
tls-auth /tmp/flash/static.key 0
port 194
push "redirect-gateway"
mode server
ifconfig-pool 192.168.1.10 192.168.1.30
push "route 192.168.200.1 "
ifconfig 192.168.200.1 192.168.200.2
push "route 192.168.178.0 255.255.255.0"
tun-mtu 1500
mssfix
verb 3
daemon
cipher AES-256-CBC
comp-lzo
float
keepalive 10 120

Hier noch die Client-Konfig:

cd "c:\\Program Files (x86)\\OpenVPN\\config"
ca ca.crt
cert client1.crt
key client1.key
auth SHA1
cipher AES-256-CBC
dev tun
proto tcp-client
nobind
tls-client
ns-cert-type server
pull
remote server.com 194
comp-lzo
verb 4
;daemon
;route 192.168.200.0 255.255.255.0
;push "route 192.168.178.0 255.255.255.0"
route 192.168.178.0 255.255.255.0
push "route 192.168.200.0 255.255.255.0"
persist-tun 
persist-key
ping 10
ping-restart 60

(server.com hab ich natürlich umgestellt auf meinen servereintrag)
Ich will nun mehreren Clients eine Verbindung ermöglichen, bei beiden Testgeräten kam aber leider das in einer Schleife(client-log):

Wed Apr 01 18:59:30 2009 us=884000 OpenVPN 2.1_rc15 i686-pc-mingw32 [SSL] [LZO2] [PKCS11] built on Nov 19 2008
Wed Apr 01 18:59:30 2009 us=884000 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Wed Apr 01 18:59:31 2009 us=242000 LZO compression initialized
Wed Apr 01 18:59:31 2009 us=242000 Control Channel MTU parms [ L:1560 D:140 EF:40 EB:0 ET:0 EL:0 ]
Wed Apr 01 18:59:31 2009 us=305000 Data Channel MTU parms [ L:1560 D:1450 EF:60 EB:135 ET:0 EL:0 AF:3/1 ]
Wed Apr 01 18:59:31 2009 us=305000 Local Options String: 'V4,dev-type tun,link-mtu 1560,tun-mtu 1500,proto TCPv4_CLIENT,comp-lzo,cipher AES-256-CBC,auth SHA1,keysize 256,key-method 2,tls-client'
Wed Apr 01 18:59:31 2009 us=305000 Expected Remote Options String: 'V4,dev-type tun,link-mtu 1560,tun-mtu 1500,proto TCPv4_SERVER,comp-lzo,cipher AES-256-CBC,auth SHA1,keysize 256,key-method 2,tls-server'
Wed Apr 01 18:59:31 2009 us=305000 Local Options hash (VER=V4): '958c5492'
Wed Apr 01 18:59:31 2009 us=305000 Expected Remote Options hash (VER=V4): '79ef4284'
Wed Apr 01 18:59:31 2009 us=305000 WARNING: nice 1 failed (function not implemented)
Wed Apr 01 18:59:31 2009 us=305000 Attempting to establish TCP connection with 85.127.19.214:194
Wed Apr 01 18:59:31 2009 us=320000 TCP connection established with 85.127.19.214:194
Wed Apr 01 18:59:31 2009 us=320000 Socket Buffers: R=[8192->8192] S=[8192->8192]
Wed Apr 01 18:59:31 2009 us=320000 TCPv4_CLIENT link local: [undef]
Wed Apr 01 18:59:31 2009 us=320000 TCPv4_CLIENT link remote: 85.127.19.214:194
Wed Apr 01 18:59:31 2009 us=367000 Connection reset, restarting [0]
Wed Apr 01 18:59:31 2009 us=367000 TCP/UDP: Closing socket
Wed Apr 01 18:59:31 2009 us=367000 SIGUSR1[soft,connection-reset] received, process restarting
Wed Apr 01 18:59:31 2009 us=367000 Restart pause, 5 second(s)

Was ich noch sagen muss: Ich muss auch über TCP gehen(nicht UDP) und habe einen Forward bereits in der box eingerichtet
Falls ich irgendwas vergessen habe anzugeben, bitte sagen, ich bin noch nicht sehr bewandert in Sachen VPN. Vielen Dank schon im Vorraus für die Hilfe!

 

[MaxMuster]

... da ist kein tls-auth im Client.

Ansonsten:
- Beim Server passen "ifconfig" und "ifconfig-pool" nicht zusammen
- Der Client kann nichts zum Server "pushen"



Jörg

 

[ZECK]

Das mit dem ifconfig hatt ich noch von vorher und total übersehen, 1000 DANK. Jetzt noch zu dem tls:
In Wikis steht beim Client brauch ich hierfür ;tls-auth ta.key 1 einfügen. Die Frage ist nur, welche key-Datei ist das. Es ist ja nicht die server.key datei soweit ich das verstanden habe. Wie erzeuge ich diese datei dann?
Und bei dem pushen müsste es doch so funktionieren oder:

;route 192.168.200.0 255.255.255.0
;push "route 192.168.178.0 255.255.255.0"
route 192.168.178.0 255.255.255.0
push "route 192.168.200.0 255.255.255.0"

 

[colonia27]

zu tls-auth und sofern ich dich richtig verstanden hab:

Bei tls-auth geht es um den static.key der irgendwo auf deinem client abgelegt ist.
Die Zeile deiner client-conf könnte dann in etwa so wie im Wiki beschrieben aussehen:

tls-auth "D:\\Eigene Dateien\\OpenVPN\\static.key" 1

 

[ZECK]

Vielen Dank colonia27,
ich hatte unter anderem dieses Tutorial verwendet und nicht gemerkt, dass der Key einfach der statische Schlüssel der Fritzbox ist. Das Problem ist nun scheinbar nurmehr bei dem push, weil man im VPN keine Verbindung auch zum Internet hat, oder muss man dafür noch zusätzlich was einstellen?

 

[colonia27]

Hier zum Vergleich mal meine Client-Konfig:

client
dev tun
proto tcp
http-proxy xx.xx.xx.xx 80 C:\\Programme\\OpenVPN\\config\\stdin.txt basic
route-gateway 10.0.0.1
redirect-gateway
ifconfig 10.0.0.2 10.0.0.1

remote meindyndns.org 443
nobind
persist-key
persist-tun

tls-client
ca "C:\\Programme\\OpenVPN\\keys\\ca.crt"
cert "C:\\Programme\\OpenVPN\\keys\\laptop.crt"
key "C:\\Programme\\OpenVPN\\keys\\laptop.key"
tls-auth "C:\\Programme\\OpenVPN\\config\\static.key" 1

auth SHA1
cipher AES-128-CBC
comp-lzo
keepalive 10 120
verb 4

 

[ZECK]

Wenn ich das richtig sehe, dann kannst du über das vpn dann auch ins internet oder? Das machst du mit den Kommandos:

route-gateway 10.0.0.1
redirect-gateway
ifconfig 10.0.0.2 10.0.0.1

Ich hatte dafür ja das push, aber wenn ich deine Kommandos auf meine Konfig umwandel, geht das nicht:

route-gateway 192.168.200.1
redirect-gateway
ifconfig 192.168.200.2 192.168.200.1

Weißt du oder irgendwer was ich hier immer noch falsch mache?

 

[MaxMuster]

... route-gateway sollte dabei überflüssig sein, denn Standard ist "die andere Seite" des Tunnels, was bei dir automatisch die 192.168.200.1 wäre.

Hast du auch das "pull" rausgenommen? Beim Server steht "ifconfig 192.168.200.1 192.168.200.2"? Was sagt denn das Client-Log beim Verbindungsaufbau? Fehler im Zusammenhang mit der Ausführung von "route"?
Was ergibt ein "route print" auf dem Client nach dem Verbindungsaufbau?


Jörg

 

[ZECK]

Vielen dank an euch! Ich habe weiter herumgebastelt und will natürlich denjenigen, die das Problem auch haben, die Lösung nicht vorenthalten.
Ich habe zuerst mal in der Client.conf das route und push folgendermaßen geändert:

route 192.168.178.0 255.255.255.0
push "route 192.168.178.0 255.255.255.0"

Dann habe ich noch die Serverkonfiguration der Fritzbox abgeändert:

ifconfig-pool 192.168.178.3 192.168.178.60
push "route 192.168.178.1 "
ifconfig 192.168.178.1 192.168.178.2
push "route 192.168.178.0 255.255.255.0"

Außerdem habe ich noch einen DNS-Server hinzugefügt(von meinem Provider):

push "dhcp-option DNS 195.58.160.194"

Es funktioniert nun auch in das Internet über das VPN. Vielen Dank für die Hilfe nochmal. Zum Abschluss noch eine Frage zum Verständnis: es ging nicht das ich statt 192.168.178.3-192.168.178.60 192.168.178.30-192.168.178.60 als Range machen konnte. Kann mir wer erklären, warum dies so ist?