OpenVPN auf 7050 mit The Construct

[sun37]

Tach zusammen,

ich versuche schon seit Tagen eine VPN Verbindung zur 7050 übers Internet hinzubekommen. Ich habe die Original server+client Openvpn configs von The Construct benutzt und nur den DynDNS Eintrag geändert. Zusätzlich ist die Virtuelle Netzwerkkarte installiert.

Die FBF hat die IP 192.196.2.20 und dient als Router zum Netz. Der Client Rechner hat die IP 192.168.1.19.

In der FBF ist eine Portfreigabe auf die IP der virtuellen Karte (192.168.178.253) aktiviert (Port 1194).

Was geht: Zugriff auf die FBF per IP 10.0.0.2.

Was nicht geht: Alles andere. Die Rechner im FBF-Netz sind nicht anpingbar.

Ich vermute es liegt an fehlenden statischen Routen. Was muss ich da eintragen? Oder liegt das Problem woanders? Muss ich die configs anpassen? Ich bin ziemlich ratlos, auch nachdem ich schon stundenlang gesucht habe....

Danke im Voraus für Eure Hilfe!

sun

 

[MaxMuster]

Wenn du doch schon alles weißt, warum tust du es denn nicht ;-)?

Wie schon auf der The Construct Seite steht: Bitte die server.ovpn und die client.ovpn herunterladen und anpassen. Auch in welche Richtung es geht, hast du ja geschrieben: Routing.
Mir ist nur nicht klar, wie man stundenlang im Internat nach "Openvpn anpassen" und "Routing" suchen kann ohne was zu finden...

Es gibt soviele Howto's zum Thema, wo das gut beschrieben ist. Eine gute Anlaufstelle ist z.B. OpenVPN.net, dort findet man z.B. auch "Examples (mini-Howto)".

Vermutlich fehlt dir nur "route <Netz beim Server> <Netzmaske beim Server>" in der Client-Config.

Jörg

 

[sun37]

[Edit frank_m24: Sinnfreies Vollzitat vom Beitrag direkt darüber gelöscht. Lies noch mal die Forumregeln.]

Erstmal Danke für die Antwort. Leider bin ich wohl zu dumm die richtige Route einzutragen, darum habe ich ja hier (nach langen Ausprobieren) um Hilfe gebeten....es wäre sehr nett wenn Du mir genau sagen könntest was ich als Route bei client.opvn eintragen soll, und/oder ob auch statische Routen in der FBF erforderlich sind.

Viele Grüsse

sun

 

[MaxMuster]

Das geht wirklich ganz genau so, wie ich das geschrieben habe. In der Client-Config trägst du eine zusätzliche Zeile ein mit

route <Netz beim Server> <Netzmaske beim Server>

für das Standard-Netz 192.168.178.x bei der Fritzbox also

route 192.168.178.0 255.255.255.0

Solange du nur den Client hast, benötigst du auf der Box keine weitere Route, denn die "weiß" das der Client (10.0.0.1) aktiv ist.
Das setzt allerdings voraus, dass die Fritzbox in dem Netz das "Defaultgateway" ist. Denn nur dann wird von den PCs dort auch der Weg zur 10.0.0.1 "zurück" gefunden, wenn du vom Client auf Geräte im Netz zugreifst.

Jörg

 

[sun37]

Danke für die Hilfe. Leider klappt es immer noch nicht, es gibt keine Änderung im Verhalten (FBF erreichbar, Rest nicht).

Mir sind auch Fehlermeldungen aufgefallen:
Thu May 28 16:57:17 2009 Peer Connection Initiated with xx.xxx.xxx.xxx:1194
Thu May 28 16:57:22 2009 us=703000 TEST ROUTES: 3/3 succeeded len=2 ret=1 a=0 u/d=up
Thu May 28 16:57:22 2009 us=703000 route ADD 80.135.235.146 MASK 255.255.255.255 192.168.1.20
Thu May 28 16:57:22 2009 us=703000 Route addition via IPAPI succeeded [adaptive]
Thu May 28 16:57:22 2009 us=703000 route DELETE 0.0.0.0 MASK 0.0.0.0 192.168.1.20
Thu May 28 16:57:22 2009 us=718000 Route deletion via IPAPI succeeded [adaptive]
Thu May 28 16:57:22 2009 us=718000 route ADD 0.0.0.0 MASK 0.0.0.0 10.0.0.1
Thu May 28 16:57:22 2009 us=718000 ROUTE: route addition failed using CreateIpForwardEntry: Falscher Parameter. [status=87 if_index=131079]
Thu May 28 16:57:22 2009 us=718000 Route addition via IPAPI failed [adaptive]
Thu May 28 16:57:22 2009 us=718000 Route addition fallback to route.exe
Thu May 28 16:57:22 2009 us=843000 route ADD 10.0.0.0 MASK 255.255.255.0 10.0.0.1
Thu May 28 16:57:22 2009 us=843000 ROUTE: route addition failed using CreateIpForwardEntry: Falscher Parameter. [status=87 if_index=131079]
Thu May 28 16:57:22 2009 us=843000 Route addition via IPAPI failed [adaptive]
Thu May 28 16:57:22 2009 us=843000 Route addition fallback to route.exe
Thu May 28 16:57:22 2009 us=937000 route ADD 192.168.178.0 MASK 255.255.255.0 10.0.0.1
Thu May 28 16:57:22 2009 us=953000 ROUTE: route addition failed using CreateIpForwardEntry: Falscher Parameter. [status=87 if_index=131079]
Thu May 28 16:57:22 2009 us=953000 Route addition via IPAPI failed [adaptive]
Thu May 28 16:57:22 2009 us=953000 Route addition fallback to route.exe
Thu May 28 16:57:23 2009 us=31000 Initialization Sequence Completed

Leider weiss ich nicht so genau was sie bedeuten...

Viele Grüsse

sun

 

[MaxMuster]

Nimm mal in der Config des Clients diese Dinge raus (per # auskommentieren):

push "route 10.0.0.0 255.255.255.0"
push "dhcp-option DNS 10.0.0.1"
route-gateway 10.0.0.1
redirect-gateway

so dass dann da steht:

#push "route 10.0.0.0 255.255.255.0"
#push "dhcp-option DNS 10.0.0.1"
#route-gateway 10.0.0.1
#redirect-gateway

Warum: die ersten beiden sind eigentlich unsinnig (ein "push" geht nur beim Server, nicht beim Client), der vorletzte setzt eine Route "auf sich selbst", und ergibt eine Fehlermeldung; der letzte sorgt dafür, dass "alles" durch das VPN geht und ich weiß nicht, ob du das willst, an sich sollte die Route in das Netz wie beschrieben reichen.


Jörg

 

[sun37]

Jaaa, es funktioniert, allerdings erst nachdem ich noch eine Zeile eingefügt habe:
route 10.0.0.0 255.255.255.0
route 192.168.178.0 255.255.255.0
route 192.168.2.0 255.255.255.0

Ohne die mittele Zeile scheint es auch zu klappen.

Die Geschwindigkeit ist allerdings nicht so berauschend, beim Dateitransfer maximal 50 kB/s. Gibts da vielleicht noch einen Trick? Auf beiden Seiten sind DSL6000-Anschlüsse.

Ich nehme an die Verbindung ist sicher solange die secret.key nicht bekannt ist?

Nochmals Danke für die Hilfe, hätte ich sonst nicht geschafft!

Viele Grüsse

sun

 

[MaxMuster]

Ist denn 192.168.2.0 dein Netz? Dann ist natürlich die Route zu 192.168.178.0 überflüssig (hab aber auch geschrieben, dass du die Route in dein Netz eintragen solltest und 192.168.178.0 das Beispiel für den Fritzbox Standard sei ;-)).

Wenn du damit 50kByte/s schaffst (das sind 400 kbit/s) ist das so schlecht nicht.
Das ist halt in Abhängigkeit vom Upstream des DSL6000 zu sehen: z.B. bei 768 kbit/s ist das samt Overhead schon nicht zu schlecht.
Ggf kannst du mit dem Ändern der MTU Werte (tun-mtu xxx) was erreichen, auch eine Umstellung auf UDP statt TCP sollte leichte Performanceverbesserungen bringen. Alle Parameter sind auf OpenVPN.net beschrieben.
Aber der Upstream wir dich immer beschränken und es ist die Frage, wieviel an zusätzlichem "Config-Tuning" du da reinstecken willst, denn das ist dann echte Fleißarbeit.

Jörg

 

[µRaCoLi]

Ich denke mal, dass die Geschwindigkeit ok ist, denn die hängt vom Upload ab.

Edit: Mein Vorredner hats schon erklärt...

 

[sun37]

Stimmt, die 50 KB/s sind ja schon 400 KBit und damit nicht so weit vom (theoretisch) möglichen Upload entfernt. Sorry war mein Denkfehler.

Nochmals Danke für die Hilfe!!

sun

 

[sun37]

Und weils so schön war gleich noch eine Frage: Was muss ich tun um das Client-Netz auch vom Server-Netz aus erreichbar zu machen? Ich dachte eigentlich die Netze wären jetzt automatisch in beide Richtungen verbunden :spocht:

Viele Grüsse

sun