.titleBar { margin-bottom: 5px!important; }

OpenVPN initialization error

Dieses Thema im Forum "Freetz" wurde erstellt von Dunji, 18 Dez. 2008.

  1. Dunji

    Dunji Neuer User

    Registriert seit:
    28 Nov. 2008
    Beiträge:
    164
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Hallo

    ich habe ein Problem mit OpenVPN beim Verbindungsaufbau von WinXP OpenVPN 2.1rc15 als Client zum Server 2.1rc13 auf meiner Fritz!Box 7270 mit Freetz rev.2874.

    Hier der Client-Log:
    Code:
    Thu Dec 18 14:26:22 2008 OpenVPN 2.1_rc15 i686-pc-mingw32 [SSL] [LZO2] [PKCS11]
    built on Nov 19 2008
    Thu Dec 18 14:26:22 2008 NOTE: OpenVPN 2.1 requires '--script-security 2' or hig
    her to call user-defined scripts or executables
    Thu Dec 18 14:26:22 2008 LZO compression initialized
    Thu Dec 18 14:26:22 2008 Control Channel MTU parms [ L:1542 D:138 EF:38 EB:0 ET:
    0 EL:0 ]
    Thu Dec 18 14:26:22 2008 Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:
    0 EL:0 AF:3/1 ]
    Thu Dec 18 14:26:22 2008 Local Options hash (VER=V4): '827c9ed0'
    Thu Dec 18 14:26:22 2008 Expected Remote Options hash (VER=V4): '974bef3f'
    Thu Dec 18 14:26:22 2008 Socket Buffers: R=[8192->8192] S=[8192->8192]
    Thu Dec 18 14:26:22 2008 UDPv4 link local: [undef]
    Thu Dec 18 14:26:22 2008 UDPv4 link remote: 81.221.123.203:1194
    Thu Dec 18 14:26:22 2008 TLS: Initial packet from 81.221.123.203:1194, sid=905c8
    59a 6cb0692c
    Thu Dec 18 14:26:22 2008 VERIFY OK: depth=1, /C=CH/ST=BL/L=Anwil/O=Stocker/CN=st
    ocker.nu/emailAddress=admin@stocker.nu
    Thu Dec 18 14:26:22 2008 VERIFY OK: nsCertType=SERVER
    Thu Dec 18 14:26:22 2008 VERIFY OK: depth=0, /C=CH/ST=BL/O=Stocker/CN=server/ema
    ilAddress=admin@stocker.nu
    Thu Dec 18 14:26:25 2008 Data Channel Encrypt: Cipher 'DES-EDE3-CBC' initialized
     with 192 bit key
    Thu Dec 18 14:26:25 2008 Data Channel Encrypt: Using 160 bit message hash 'SHA1'
     for HMAC authentication
    Thu Dec 18 14:26:25 2008 Data Channel Decrypt: Cipher 'DES-EDE3-CBC' initialized
     with 192 bit key
    Thu Dec 18 14:26:25 2008 Data Channel Decrypt: Using 160 bit message hash 'SHA1'
     for HMAC authentication
    Thu Dec 18 14:26:25 2008 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES2
    56-SHA, 1024 bit RSA
    Thu Dec 18 14:26:25 2008 [server] Peer Connection Initiated with 81.221.123.203:
    1194
    Thu Dec 18 14:26:26 2008 SENT CONTROL [server]: 'PUSH_REQUEST' (status=1)
    Thu Dec 18 14:26:26 2008 PUSH: Received control message: 'PUSH_REPLY,route 172.1
    6.1.1 ,route-gateway 172.16.1.1 ,route 192.168.1.0 255.255.255.0,ping 10,ping-re
    start 120,ifconfig 172.16.1.10 172.16.1.9'
    Thu Dec 18 14:26:26 2008 OPTIONS IMPORT: timers and/or timeouts modified
    Thu Dec 18 14:26:26 2008 OPTIONS IMPORT: --ifconfig/up options modified
    Thu Dec 18 14:26:26 2008 OPTIONS IMPORT: route options modified
    Thu Dec 18 14:26:26 2008 OPTIONS IMPORT: route-related options modified
    Thu Dec 18 14:26:26 2008 ROUTE default_gateway=192.168.1.1
    Thu Dec 18 14:26:26 2008 TAP-WIN32 device [LAN-Verbindung 6] opened: \\.\Global\
    {29385B1D-B0D4-4BB5-A626-DA232E1F0158}.tap
    Thu Dec 18 14:26:26 2008 TAP-Win32 Driver Version 9.4
    Thu Dec 18 14:26:26 2008 TAP-Win32 MTU=1500
    Thu Dec 18 14:26:26 2008 Notified TAP-Win32 driver to set a DHCP IP/netmask of 1
    72.16.1.10/255.255.255.252 on interface {29385B1D-B0D4-4BB5-A626-DA232E1F0158} [
    DHCP-serv: 172.16.1.9, lease-time: 31536000]
    Thu Dec 18 14:26:26 2008 Successful ARP Flush on interface [1835012] {29385B1D-B
    0D4-4BB5-A626-DA232E1F0158}
    Thu Dec 18 14:26:31 2008 TEST ROUTES: 0/0 succeeded len=2 ret=0 a=0 u/d=down
    Thu Dec 18 14:26:31 2008 Route: Waiting for TUN/TAP interface to come up...
    Thu Dec 18 14:26:36 2008 TEST ROUTES: 0/0 succeeded len=2 ret=0 a=0 u/d=down
    Thu Dec 18 14:26:36 2008 Route: Waiting for TUN/TAP interface to come up...
    Thu Dec 18 14:26:37 2008 TEST ROUTES: 0/2 succeeded len=2 ret=0 a=0 u/d=up
    Thu Dec 18 14:26:37 2008 Route: Waiting for TUN/TAP interface to come up...
    Thu Dec 18 14:26:38 2008 TEST ROUTES: 0/2 succeeded len=2 ret=0 a=0 u/d=up
    Thu Dec 18 14:26:38 2008 Route: Waiting for TUN/TAP interface to come up...
    ...
    ...
    Thu Dec 18 14:27:01 2008 TEST ROUTES: 0/2 succeeded len=2 ret=0 a=0 u/d=up
    Thu Dec 18 14:27:01 2008 OpenVPN ROUTE: omitted no-op route: 172.16.1.1/255.255.
    255.255 -> 172.16.1.1
    Thu Dec 18 14:27:01 2008 WARNING: potential route subnet conflict between local
    LAN [192.168.1.0/255.255.255.0] and remote VPN [192.168.1.0/255.255.255.0]
    Thu Dec 18 14:27:01 2008 C:\WINDOWS\system32\route.exe ADD 192.168.1.0 MASK 255.
    255.255.0 172.16.1.1
    Thu Dec 18 14:27:01 2008 Warning: route gateway is not reachable on any active n
    etwork adapters: 172.16.1.1
    Thu Dec 18 14:27:01 2008 Route addition via IPAPI failed [adaptive]
    Thu Dec 18 14:27:01 2008 Route addition fallback to route.exe
    Hinzufügen der Route fehlgeschlagen: Entweder ist der Schnittstellenindex ungült
    ig oder das Gateway befindet sich nicht im gleichen Netzwerk wie die Schnittstel
    le. Überprüfen Sie die IP-Adresstabelle für diesen Rechner.
    

    Meine (generierte) server.conf:
    Code:
    #  OpenVPN 2.1 Config, Thu Dec 18 14:05:44 CET 2008
    proto udp
    dev tun
    ca /tmp/flash/ca.crt
    cert /tmp/flash/box.crt
    key /tmp/flash/box.key
    dh /tmp/flash/dh.pem
    tls-server
    port 1194
    mode server
    ifconfig-pool 172.16.1.10 172.16.1.20
    push "route 172.16.1.1 "
    push "route-gateway 172.16.1.1 "
    ifconfig 172.16.1.1 172.16.1.2
    push "route 192.168.1.0 255.255.255.0"
    tun-mtu 1500
    mssfix
    verb 3
    daemon
    cipher DES-EDE3-CBC
    comp-lzo
    keepalive 10 120
    
    Und hier noch die client.conf:
    Code:
    client
    dev tun
    proto udp
    remote 81.221.123.203 1194
    nobind
    persist-key
    persist-tun
    ca ca.crt
    cert client1.crt
    key client1.key
    ns-cert-type server
    # tls-auth secret.key 1
    cipher DES-EDE3-CBC
    comp-lzo
    verb 3
    
    Ich hoffe, jemand kann mir dabei helfen. Ich blicke da zuwenig durch...
    Danke!
     
  2. MaxMuster

    MaxMuster IPPF-Promi

    Registriert seit:
    1 Feb. 2005
    Beiträge:
    6,922
    Zustimmungen:
    0
    Punkte für Erfolge:
    36
    #2 MaxMuster, 21 Dez. 2008
    Zuletzt bearbeitet: 21 Dez. 2008
    Moin,

    mehrere Probleme:

    - Du versuchst das wohl aus dem LAN (WARNING: potential route subnet conflict between local LAN [192.168.1.0/255.255.255.0] and remote VPN [192.168.1.0/255.255.255.0])
    - Der route-gateway Befehl passt so leider nicht (das könnte allerdings ein GUI Problem sein)

    Kommt das so direkt aus der GUI, oder sind noch Zusatzparameter drin? Ich versuche mir das mit dem route-gateway nochmal anzusehen, die Gegenstelle muss halt erreichbar sein, ist sie bei dir (Notified TAP-Win32 driver to set a DHCP IP/netmask of 172.16.1.10/255.255.255.252) enthält 172.16.1.1 nicht, und die Route dazu wird nicht gesetzt...


    Grüße

    Jörg

    EDIT So, zumindest das mit dem "route-gateway" habe ich wohl gefunden. Könntest du bitte mal auf der Box das versuchen und dann das openvpn neustarten? damit sollte der Befehl weg sein, und die Box, wie gewünscht, die anderen Seite des TUN-Interfaces (172.16.1.9) nutzen...


    Code:
    sed  '/"\$DHCP_RANGE" -a "\$AUTH_TYPE" == "certs"/,/"\$CLIENT_INFO" == "yes" \] \&\& \[ "\$AUTH_TYPE" == "certs"/ {/route-gateway/ d}' /mod/etc/default.openvpn/openvpn_conf > /var/tmp/openvpn_conf
    chmod +x  /var/tmp/openvpn_conf
    mount -o bind  /var/tmp/openvpn_conf /mod/etc/default.openvpn/openvpn_conf
    
     
  3. Dunji

    Dunji Neuer User

    Registriert seit:
    28 Nov. 2008
    Beiträge:
    164
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    @Jörg: Vielen Dank!

    Sieht schon mal viel besser aus, keine Fehlermeldung beim intitialisieren:
    Code:
    Sun Dec 21 15:51:44 2008 PUSH: Received control message: 'PUSH_REPLY,route 172.1
    6.1.1 ,route 192.168.1.0 255.255.255.0,ping 10,ping-restart 120,ifconfig 172.16.
    1.10 172.16.1.9'
    Sun Dec 21 15:51:44 2008 OPTIONS IMPORT: timers and/or timeouts modified
    Sun Dec 21 15:51:44 2008 OPTIONS IMPORT: --ifconfig/up options modified
    Sun Dec 21 15:51:44 2008 OPTIONS IMPORT: route options modified
    Sun Dec 21 15:51:44 2008 ROUTE default_gateway=10.207.242.247
    Sun Dec 21 15:51:44 2008 TAP-WIN32 device [LAN-Verbindung 6] opened: \\.\Global\
    {29385B1D-B0D4-4BB5-A626-DA232E1F0158}.tap
    Sun Dec 21 15:51:44 2008 TAP-Win32 Driver Version 9.4
    Sun Dec 21 15:51:44 2008 TAP-Win32 MTU=1500
    Sun Dec 21 15:51:44 2008 Notified TAP-Win32 driver to set a DHCP IP/netmask of 1
    72.16.1.10/255.255.255.252 on interface {29385B1D-B0D4-4BB5-A626-DA232E1F0158} [
    DHCP-serv: 172.16.1.9, lease-time: 31536000]
    Sun Dec 21 15:51:44 2008 Successful ARP Flush on interface [4] {29385B1D-B0D4-4B
    B5-A626-DA232E1F0158}
    Sun Dec 21 15:51:49 2008 TEST ROUTES: 0/0 succeeded len=2 ret=0 a=0 u/d=down
    Sun Dec 21 15:51:49 2008 Route: Waiting for TUN/TAP interface to come up...
    Sun Dec 21 15:51:55 2008 TEST ROUTES: 0/0 succeeded len=2 ret=0 a=0 u/d=down
    Sun Dec 21 15:51:55 2008 Route: Waiting for TUN/TAP interface to come up...
    Sun Dec 21 15:51:56 2008 TEST ROUTES: 2/2 succeeded len=2 ret=1 a=0 u/d=up
    Sun Dec 21 15:51:56 2008 C:\WINDOWS\system32\route.exe ADD 172.16.1.1 MASK 255.2
    55.255.255 172.16.1.9
    Sun Dec 21 15:51:56 2008 Route addition via IPAPI succeeded [adaptive]
    Sun Dec 21 15:51:56 2008 C:\WINDOWS\system32\route.exe ADD 192.168.1.0 MASK 255.
    255.255.0 172.16.1.9
    Sun Dec 21 15:51:56 2008 Route addition via IPAPI succeeded [adaptive]
    Sun Dec 21 15:51:56 2008 Initialization Sequence Completed
    
    Jedoch funktioniert es trotzdem so noch nicht. Weder 172.16.1.9 noch 192.168.1.1 geben eine Antwort.

    Hier meine Routing-Table unter Windows:
    Code:
    ===========================================================================
    Schnittstellenliste
    0x1 ........................... MS TCP Loopback interface
    0x3 ...00 21 86 61 0d f2 ...... Intel(R) 82567LM Gigabit Network Connection - Pa
    ketplaner-Miniport
    0x4 ...00 ff 29 38 5b 1d ...... TAP-Win32 Adapter V9 - Paketplaner-Miniport
    0x20006 ...00 53 45 00 00 00 ...... WAN (PPP/SLIP) Interface
    ===========================================================================
    ===========================================================================
    Aktive Routen:
         Netzwerkziel    Netzwerkmaske          Gateway   Schnittstelle  Anzahl
              0.0.0.0          0.0.0.0   10.207.242.247  10.207.242.247       1
       10.207.242.247  255.255.255.255        127.0.0.1       127.0.0.1       50
       10.255.255.255  255.255.255.255   10.207.242.247  10.207.242.247       50
            127.0.0.0        255.0.0.0        127.0.0.1       127.0.0.1       1
          169.254.0.0      255.255.0.0  169.254.106.102  169.254.106.102      20
      169.254.106.102  255.255.255.255        127.0.0.1       127.0.0.1       10
      169.254.255.255  255.255.255.255  169.254.106.102  169.254.106.102      10
           172.16.1.1  255.255.255.255       172.16.1.9     172.16.1.10       1
           172.16.1.8  255.255.255.252      172.16.1.10     172.16.1.10       30
          172.16.1.10  255.255.255.255        127.0.0.1       127.0.0.1       30
       172.16.255.255  255.255.255.255      172.16.1.10     172.16.1.10       30
          192.168.1.0    255.255.255.0       172.16.1.9     172.16.1.10       1
            224.0.0.0        240.0.0.0  169.254.106.102  169.254.106.102      10
            224.0.0.0        240.0.0.0      172.16.1.10     172.16.1.10       30
            224.0.0.0        240.0.0.0   10.207.242.247  10.207.242.247       1
      255.255.255.255  255.255.255.255   10.207.242.247  10.207.242.247       1
      255.255.255.255  255.255.255.255  169.254.106.102  169.254.106.102      1
      255.255.255.255  255.255.255.255      172.16.1.10     172.16.1.10       1
    Standardgateway:    10.207.242.247
    ===========================================================================
    Ständige Routen:
      Keine
    
    Wenn ich mir mit ipconfig das TAP-Interface anschaue, fällt mir auf, dass dort kein Gateway eingetragen ist:
    Code:
    Ethernetadapter LAN-Verbindung 6:
    
            Verbindungsspezifisches DNS-Suffix:
            Beschreibung. . . . . . . . . . . : TAP-Win32 Adapter V9
            Physikalische Adresse . . . . . . : 00-FF-29-38-5B-1D
            DHCP aktiviert. . . . . . . . . . : Ja
            Autokonfiguration aktiviert . . . : Ja
            IP-Adresse. . . . . . . . . . . . : 172.16.1.10
            Subnetzmaske. . . . . . . . . . . : 255.255.255.252
            Standardgateway . . . . . . . . . :
            DHCP-Server . . . . . . . . . . . : 172.16.1.9
    
    Könnte es wohl damit zusammenhangen?
     
  4. MaxMuster

    MaxMuster IPPF-Promi

    Registriert seit:
    1 Feb. 2005
    Beiträge:
    6,922
    Zustimmungen:
    0
    Punkte für Erfolge:
    36
    Moin,

    dass die 172.16.1.9 nicht antwortet ist "normal", denn die gibt es garnicht wirklich ;-). Die Box selbst hat nur die 172.16.1.1 und "behauptet" auch die .9 zu haben, damit die Clients korrekt über das Interface routen (das Windows tun-Interface kennt statt "ponin-to-point" nur Adressen mit 255.255.255.252, also wird das so simuliert..).
    Kannst du die 172.16.1.1 erreichen? Könntest du auch mal ein Log auf dem Server machen und das vom Verbindungsaufbau bis nach dem (erfolglosen) ping posten?

    Danke!

    Jörg
     
  5. Dunji

    Dunji Neuer User

    Registriert seit:
    28 Nov. 2008
    Beiträge:
    164
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    #5 Dunji, 22 Dez. 2008
    Zuletzt bearbeitet: 22 Dez. 2008
    Nein, 172.16.1.1 gibt auch keine Antwort.

    Hier das Server-Log:
    Code:
    Tue Jun 18 04:47:01 2013 OpenVPN 2.1_rc13 mipsel-linux [SSL] [LZO2] [EPOLL] built on Dec 13 2008
    Tue Jun 18 04:47:01 2013 Diffie-Hellman initialized with 1024 bit key
    Tue Jun 18 04:47:01 2013 WARNING: file '/tmp/flash/box.key' is group or others accessible
    Tue Jun 18 04:47:01 2013 TLS-Auth MTU parms [ L:1542 D:138 EF:38 EB:0 ET:0 EL:0 ]
    Tue Jun 18 04:47:01 2013 TUN/TAP device tun0 opened
    Tue Jun 18 04:47:01 2013 TUN/TAP TX queue length set to 100
    Tue Jun 18 04:47:01 2013 /sbin/ifconfig tun0 172.16.1.1 pointopoint 172.16.1.2 mtu 1500
    Tue Jun 18 04:47:01 2013 Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:0 EL:0 AF:3/1 ]
    Tue Jun 18 04:47:01 2013 Socket Buffers: R=[108544->131072] S=[108544->131072]
    Tue Jun 18 04:47:01 2013 UDPv4 link local (bound): [undef]:1194
    Tue Jun 18 04:47:01 2013 UDPv4 link remote: [undef]
    Tue Jun 18 04:47:01 2013 MULTI: multi_init called, r=256 v=256
    Tue Jun 18 04:47:01 2013 IFCONFIG POOL: base=172.16.1.8 size=4
    Tue Jun 18 04:47:01 2013 Initialization Sequence Completed
    Tue Jun 18 04:48:04 2013 MULTI: multi_create_instance called
    Tue Jun 18 04:48:04 2013 193.247.250.1:48922 Re-using SSL/TLS context
    Tue Jun 18 04:48:04 2013 193.247.250.1:48922 LZO compression initialized
    Tue Jun 18 04:48:04 2013 193.247.250.1:48922 Control Channel MTU parms [ L:1542 D:138 EF:38 EB:0 ET:0 EL:0 ]
    Tue Jun 18 04:48:04 2013 193.247.250.1:48922 Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:0 EL:0 AF:3/1 ]
    Tue Jun 18 04:48:04 2013 193.247.250.1:48922 TLS: Initial packet from 193.247.250.1:48922, sid=f5b8abbc a667d239
    Tue Jun 18 04:48:10 2013 193.247.250.1:48922 VERIFY OK: depth=1, /C=CH/ST=BL/L=xxx/O=xxx/CN=xxx/emailAddress=xxx
    Tue Jun 18 04:48:10 2013 193.247.250.1:48922 VERIFY OK: depth=0, /C=CH/ST=BL/O=xxxx/CN=client1/emailAddress=xxx
    Tue Jun 18 04:48:11 2013 193.247.250.1:48922 Data Channel Encrypt: Cipher 'DES-EDE3-CBC' initialized with 192 bit key
    Tue Jun 18 04:48:11 2013 193.247.250.1:48922 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
    Tue Jun 18 04:48:11 2013 193.247.250.1:48922 Data Channel Decrypt: Cipher 'DES-EDE3-CBC' initialized with 192 bit key
    Tue Jun 18 04:48:11 2013 193.247.250.1:48922 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
    Tue Jun 18 04:48:11 2013 193.247.250.1:48922 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
    Tue Jun 18 04:48:11 2013 193.247.250.1:48922 [client1] Peer Connection Initiated with 193.247.250.1:48922
    Tue Jun 18 04:48:11 2013 client1/193.247.250.1:48922 MULTI: Learn: 172.16.1.10 -> client1/193.247.250.1:48922
    Tue Jun 18 04:48:11 2013 client1/193.247.250.1:48922 MULTI: primary virtual IP for client1/193.247.250.1:48922: 172.16.1.10
    Tue Jun 18 04:48:12 2013 client1/193.247.250.1:48922 PUSH: Received control message: 'PUSH_REQUEST'
    Tue Jun 18 04:48:12 2013 client1/193.247.250.1:48922 SENT CONTROL [client1]: 'PUSH_REPLY,route 172.16.1.1 ,route 192.168.1.0 255.255.255.0,ping 10,ping-restart 120,ifconfig 172.16.1.10 172.16.1.9' (status=1)
    Tue Jun 18 04:53:15 2013 client1/193.247.250.1:48922 [client1] Inactivity timeout (--ping-restart), restarting
    
    EDIT:
    Ausserdem gehen die gepushten Routen nach dem Abbau der VPN-Verbindung nicht wieder weg.
    Hast Du da einen Tipp, damit ich nicht jedesmal neu booten muss?

    Vielen Dank!
     
  6. MaxMuster

    MaxMuster IPPF-Promi

    Registriert seit:
    1 Feb. 2005
    Beiträge:
    6,922
    Zustimmungen:
    0
    Punkte für Erfolge:
    36
    Moin,

    könntest du, sofern nicht schon geschehen, das ganze ohne Firewall auf der Windows-Seite testen?

    Ansich sollten die Routen immer nach dem beenden "verschwinden", das mögliche Ziel (der VPN-Adapter) müsste sich doch auch über ein "entferntes Kabel" beschweren?!? Zur Not kannst du die auch per "route delete " wieder entfernen.


    Jörg