OpenVPN initialization error

Dunji

Neuer User
Mitglied seit
28 Nov 2008
Beiträge
164
Punkte für Reaktionen
0
Punkte
0
Hallo

ich habe ein Problem mit OpenVPN beim Verbindungsaufbau von WinXP OpenVPN 2.1rc15 als Client zum Server 2.1rc13 auf meiner Fritz!Box 7270 mit Freetz rev.2874.

Hier der Client-Log:
Code:
Thu Dec 18 14:26:22 2008 OpenVPN 2.1_rc15 i686-pc-mingw32 [SSL] [LZO2] [PKCS11]
built on Nov 19 2008
Thu Dec 18 14:26:22 2008 NOTE: OpenVPN 2.1 requires '--script-security 2' or hig
her to call user-defined scripts or executables
Thu Dec 18 14:26:22 2008 LZO compression initialized
Thu Dec 18 14:26:22 2008 Control Channel MTU parms [ L:1542 D:138 EF:38 EB:0 ET:
0 EL:0 ]
Thu Dec 18 14:26:22 2008 Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:
0 EL:0 AF:3/1 ]
Thu Dec 18 14:26:22 2008 Local Options hash (VER=V4): '827c9ed0'
Thu Dec 18 14:26:22 2008 Expected Remote Options hash (VER=V4): '974bef3f'
Thu Dec 18 14:26:22 2008 Socket Buffers: R=[8192->8192] S=[8192->8192]
Thu Dec 18 14:26:22 2008 UDPv4 link local: [undef]
Thu Dec 18 14:26:22 2008 UDPv4 link remote: 81.221.123.203:1194
Thu Dec 18 14:26:22 2008 TLS: Initial packet from 81.221.123.203:1194, sid=905c8
59a 6cb0692c
Thu Dec 18 14:26:22 2008 VERIFY OK: depth=1, /C=CH/ST=BL/L=Anwil/O=Stocker/CN=st
ocker.nu/[email protected]
Thu Dec 18 14:26:22 2008 VERIFY OK: nsCertType=SERVER
Thu Dec 18 14:26:22 2008 VERIFY OK: depth=0, /C=CH/ST=BL/O=Stocker/CN=server/ema
[email protected]
Thu Dec 18 14:26:25 2008 Data Channel Encrypt: Cipher 'DES-EDE3-CBC' initialized
 with 192 bit key
Thu Dec 18 14:26:25 2008 Data Channel Encrypt: Using 160 bit message hash 'SHA1'
 for HMAC authentication
Thu Dec 18 14:26:25 2008 Data Channel Decrypt: Cipher 'DES-EDE3-CBC' initialized
 with 192 bit key
Thu Dec 18 14:26:25 2008 Data Channel Decrypt: Using 160 bit message hash 'SHA1'
 for HMAC authentication
Thu Dec 18 14:26:25 2008 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES2
56-SHA, 1024 bit RSA
Thu Dec 18 14:26:25 2008 [server] Peer Connection Initiated with 81.221.123.203:
1194
Thu Dec 18 14:26:26 2008 SENT CONTROL [server]: 'PUSH_REQUEST' (status=1)
Thu Dec 18 14:26:26 2008 PUSH: Received control message: 'PUSH_REPLY,route 172.1
6.1.1 ,route-gateway 172.16.1.1 ,route 192.168.1.0 255.255.255.0,ping 10,ping-re
start 120,ifconfig 172.16.1.10 172.16.1.9'
Thu Dec 18 14:26:26 2008 OPTIONS IMPORT: timers and/or timeouts modified
Thu Dec 18 14:26:26 2008 OPTIONS IMPORT: --ifconfig/up options modified
Thu Dec 18 14:26:26 2008 OPTIONS IMPORT: route options modified
Thu Dec 18 14:26:26 2008 OPTIONS IMPORT: route-related options modified
Thu Dec 18 14:26:26 2008 ROUTE default_gateway=192.168.1.1
Thu Dec 18 14:26:26 2008 TAP-WIN32 device [LAN-Verbindung 6] opened: \\.\Global\
{29385B1D-B0D4-4BB5-A626-DA232E1F0158}.tap
Thu Dec 18 14:26:26 2008 TAP-Win32 Driver Version 9.4
Thu Dec 18 14:26:26 2008 TAP-Win32 MTU=1500
Thu Dec 18 14:26:26 2008 Notified TAP-Win32 driver to set a DHCP IP/netmask of 1
72.16.1.10/255.255.255.252 on interface {29385B1D-B0D4-4BB5-A626-DA232E1F0158} [
DHCP-serv: 172.16.1.9, lease-time: 31536000]
Thu Dec 18 14:26:26 2008 Successful ARP Flush on interface [1835012] {29385B1D-B
0D4-4BB5-A626-DA232E1F0158}
Thu Dec 18 14:26:31 2008 TEST ROUTES: 0/0 succeeded len=2 ret=0 a=0 u/d=down
Thu Dec 18 14:26:31 2008 Route: Waiting for TUN/TAP interface to come up...
Thu Dec 18 14:26:36 2008 TEST ROUTES: 0/0 succeeded len=2 ret=0 a=0 u/d=down
Thu Dec 18 14:26:36 2008 Route: Waiting for TUN/TAP interface to come up...
Thu Dec 18 14:26:37 2008 TEST ROUTES: 0/2 succeeded len=2 ret=0 a=0 u/d=up
Thu Dec 18 14:26:37 2008 Route: Waiting for TUN/TAP interface to come up...
Thu Dec 18 14:26:38 2008 TEST ROUTES: 0/2 succeeded len=2 ret=0 a=0 u/d=up
Thu Dec 18 14:26:38 2008 Route: Waiting for TUN/TAP interface to come up...
...
...
Thu Dec 18 14:27:01 2008 TEST ROUTES: 0/2 succeeded len=2 ret=0 a=0 u/d=up
Thu Dec 18 14:27:01 2008 OpenVPN ROUTE: omitted no-op route: 172.16.1.1/255.255.
255.255 -> 172.16.1.1
Thu Dec 18 14:27:01 2008 WARNING: potential route subnet conflict between local
LAN [192.168.1.0/255.255.255.0] and remote VPN [192.168.1.0/255.255.255.0]
Thu Dec 18 14:27:01 2008 C:\WINDOWS\system32\route.exe ADD 192.168.1.0 MASK 255.
255.255.0 172.16.1.1
Thu Dec 18 14:27:01 2008 Warning: route gateway is not reachable on any active n
etwork adapters: 172.16.1.1
Thu Dec 18 14:27:01 2008 Route addition via IPAPI failed [adaptive]
Thu Dec 18 14:27:01 2008 Route addition fallback to route.exe
Hinzufügen der Route fehlgeschlagen: Entweder ist der Schnittstellenindex ungült
ig oder das Gateway befindet sich nicht im gleichen Netzwerk wie die Schnittstel
le. Überprüfen Sie die IP-Adresstabelle für diesen Rechner.

Meine (generierte) server.conf:
Code:
#  OpenVPN 2.1 Config, Thu Dec 18 14:05:44 CET 2008
proto udp
dev tun
ca /tmp/flash/ca.crt
cert /tmp/flash/box.crt
key /tmp/flash/box.key
dh /tmp/flash/dh.pem
tls-server
port 1194
mode server
ifconfig-pool 172.16.1.10 172.16.1.20
push "route 172.16.1.1 "
push "route-gateway 172.16.1.1 "
ifconfig 172.16.1.1 172.16.1.2
push "route 192.168.1.0 255.255.255.0"
tun-mtu 1500
mssfix
verb 3
daemon
cipher DES-EDE3-CBC
comp-lzo
keepalive 10 120
Und hier noch die client.conf:
Code:
client
dev tun
proto udp
remote 81.221.123.203 1194
nobind
persist-key
persist-tun
ca ca.crt
cert client1.crt
key client1.key
ns-cert-type server
# tls-auth secret.key 1
cipher DES-EDE3-CBC
comp-lzo
verb 3
Ich hoffe, jemand kann mir dabei helfen. Ich blicke da zuwenig durch...
Danke!
 

MaxMuster

IPPF-Promi
Mitglied seit
1 Feb 2005
Beiträge
6,932
Punkte für Reaktionen
1
Punkte
36
Moin,

mehrere Probleme:

- Du versuchst das wohl aus dem LAN (WARNING: potential route subnet conflict between local LAN [192.168.1.0/255.255.255.0] and remote VPN [192.168.1.0/255.255.255.0])
- Der route-gateway Befehl passt so leider nicht (das könnte allerdings ein GUI Problem sein)

Kommt das so direkt aus der GUI, oder sind noch Zusatzparameter drin? Ich versuche mir das mit dem route-gateway nochmal anzusehen, die Gegenstelle muss halt erreichbar sein, ist sie bei dir (Notified TAP-Win32 driver to set a DHCP IP/netmask of 172.16.1.10/255.255.255.252) enthält 172.16.1.1 nicht, und die Route dazu wird nicht gesetzt...


Grüße

Jörg

EDIT So, zumindest das mit dem "route-gateway" habe ich wohl gefunden. Könntest du bitte mal auf der Box das versuchen und dann das openvpn neustarten? damit sollte der Befehl weg sein, und die Box, wie gewünscht, die anderen Seite des TUN-Interfaces (172.16.1.9) nutzen...


Code:
sed  '/"\$DHCP_RANGE" -a "\$AUTH_TYPE" == "certs"/,/"\$CLIENT_INFO" == "yes" \] \&\& \[ "\$AUTH_TYPE" == "certs"/ {/route-gateway/ d}' /mod/etc/default.openvpn/openvpn_conf > /var/tmp/openvpn_conf
chmod +x  /var/tmp/openvpn_conf
mount -o bind  /var/tmp/openvpn_conf /mod/etc/default.openvpn/openvpn_conf
 
Zuletzt bearbeitet:

Dunji

Neuer User
Mitglied seit
28 Nov 2008
Beiträge
164
Punkte für Reaktionen
0
Punkte
0
@Jörg: Vielen Dank!

Sieht schon mal viel besser aus, keine Fehlermeldung beim intitialisieren:
Code:
Sun Dec 21 15:51:44 2008 PUSH: Received control message: 'PUSH_REPLY,route 172.1
6.1.1 ,route 192.168.1.0 255.255.255.0,ping 10,ping-restart 120,ifconfig 172.16.
1.10 172.16.1.9'
Sun Dec 21 15:51:44 2008 OPTIONS IMPORT: timers and/or timeouts modified
Sun Dec 21 15:51:44 2008 OPTIONS IMPORT: --ifconfig/up options modified
Sun Dec 21 15:51:44 2008 OPTIONS IMPORT: route options modified
Sun Dec 21 15:51:44 2008 ROUTE default_gateway=10.207.242.247
Sun Dec 21 15:51:44 2008 TAP-WIN32 device [LAN-Verbindung 6] opened: \\.\Global\
{29385B1D-B0D4-4BB5-A626-DA232E1F0158}.tap
Sun Dec 21 15:51:44 2008 TAP-Win32 Driver Version 9.4
Sun Dec 21 15:51:44 2008 TAP-Win32 MTU=1500
Sun Dec 21 15:51:44 2008 Notified TAP-Win32 driver to set a DHCP IP/netmask of 1
72.16.1.10/255.255.255.252 on interface {29385B1D-B0D4-4BB5-A626-DA232E1F0158} [
DHCP-serv: 172.16.1.9, lease-time: 31536000]
Sun Dec 21 15:51:44 2008 Successful ARP Flush on interface [4] {29385B1D-B0D4-4B
B5-A626-DA232E1F0158}
Sun Dec 21 15:51:49 2008 TEST ROUTES: 0/0 succeeded len=2 ret=0 a=0 u/d=down
Sun Dec 21 15:51:49 2008 Route: Waiting for TUN/TAP interface to come up...
Sun Dec 21 15:51:55 2008 TEST ROUTES: 0/0 succeeded len=2 ret=0 a=0 u/d=down
Sun Dec 21 15:51:55 2008 Route: Waiting for TUN/TAP interface to come up...
Sun Dec 21 15:51:56 2008 TEST ROUTES: 2/2 succeeded len=2 ret=1 a=0 u/d=up
Sun Dec 21 15:51:56 2008 C:\WINDOWS\system32\route.exe ADD 172.16.1.1 MASK 255.2
55.255.255 172.16.1.9
Sun Dec 21 15:51:56 2008 Route addition via IPAPI succeeded [adaptive]
Sun Dec 21 15:51:56 2008 C:\WINDOWS\system32\route.exe ADD 192.168.1.0 MASK 255.
255.255.0 172.16.1.9
Sun Dec 21 15:51:56 2008 Route addition via IPAPI succeeded [adaptive]
Sun Dec 21 15:51:56 2008 Initialization Sequence Completed
Jedoch funktioniert es trotzdem so noch nicht. Weder 172.16.1.9 noch 192.168.1.1 geben eine Antwort.

Hier meine Routing-Table unter Windows:
Code:
===========================================================================
Schnittstellenliste
0x1 ........................... MS TCP Loopback interface
0x3 ...00 21 86 61 0d f2 ...... Intel(R) 82567LM Gigabit Network Connection - Pa
ketplaner-Miniport
0x4 ...00 ff 29 38 5b 1d ...... TAP-Win32 Adapter V9 - Paketplaner-Miniport
0x20006 ...00 53 45 00 00 00 ...... WAN (PPP/SLIP) Interface
===========================================================================
===========================================================================
Aktive Routen:
     Netzwerkziel    Netzwerkmaske          Gateway   Schnittstelle  Anzahl
          0.0.0.0          0.0.0.0   10.207.242.247  10.207.242.247       1
   10.207.242.247  255.255.255.255        127.0.0.1       127.0.0.1       50
   10.255.255.255  255.255.255.255   10.207.242.247  10.207.242.247       50
        127.0.0.0        255.0.0.0        127.0.0.1       127.0.0.1       1
      169.254.0.0      255.255.0.0  169.254.106.102  169.254.106.102      20
  169.254.106.102  255.255.255.255        127.0.0.1       127.0.0.1       10
  169.254.255.255  255.255.255.255  169.254.106.102  169.254.106.102      10
       172.16.1.1  255.255.255.255       172.16.1.9     172.16.1.10       1
       172.16.1.8  255.255.255.252      172.16.1.10     172.16.1.10       30
      172.16.1.10  255.255.255.255        127.0.0.1       127.0.0.1       30
   172.16.255.255  255.255.255.255      172.16.1.10     172.16.1.10       30
      192.168.1.0    255.255.255.0       172.16.1.9     172.16.1.10       1
        224.0.0.0        240.0.0.0  169.254.106.102  169.254.106.102      10
        224.0.0.0        240.0.0.0      172.16.1.10     172.16.1.10       30
        224.0.0.0        240.0.0.0   10.207.242.247  10.207.242.247       1
  255.255.255.255  255.255.255.255   10.207.242.247  10.207.242.247       1
  255.255.255.255  255.255.255.255  169.254.106.102  169.254.106.102      1
  255.255.255.255  255.255.255.255      172.16.1.10     172.16.1.10       1
Standardgateway:    10.207.242.247
===========================================================================
Ständige Routen:
  Keine
Wenn ich mir mit ipconfig das TAP-Interface anschaue, fällt mir auf, dass dort kein Gateway eingetragen ist:
Code:
Ethernetadapter LAN-Verbindung 6:

        Verbindungsspezifisches DNS-Suffix:
        Beschreibung. . . . . . . . . . . : TAP-Win32 Adapter V9
        Physikalische Adresse . . . . . . : 00-FF-29-38-5B-1D
        DHCP aktiviert. . . . . . . . . . : Ja
        Autokonfiguration aktiviert . . . : Ja
        IP-Adresse. . . . . . . . . . . . : 172.16.1.10
        Subnetzmaske. . . . . . . . . . . : 255.255.255.252
        Standardgateway . . . . . . . . . :
        DHCP-Server . . . . . . . . . . . : 172.16.1.9
Könnte es wohl damit zusammenhangen?
 

MaxMuster

IPPF-Promi
Mitglied seit
1 Feb 2005
Beiträge
6,932
Punkte für Reaktionen
1
Punkte
36
Moin,

dass die 172.16.1.9 nicht antwortet ist "normal", denn die gibt es garnicht wirklich ;-). Die Box selbst hat nur die 172.16.1.1 und "behauptet" auch die .9 zu haben, damit die Clients korrekt über das Interface routen (das Windows tun-Interface kennt statt "ponin-to-point" nur Adressen mit 255.255.255.252, also wird das so simuliert..).
Kannst du die 172.16.1.1 erreichen? Könntest du auch mal ein Log auf dem Server machen und das vom Verbindungsaufbau bis nach dem (erfolglosen) ping posten?

Danke!

Jörg
 

Dunji

Neuer User
Mitglied seit
28 Nov 2008
Beiträge
164
Punkte für Reaktionen
0
Punkte
0
Nein, 172.16.1.1 gibt auch keine Antwort.

Hier das Server-Log:
Code:
Tue Jun 18 04:47:01 2013 OpenVPN 2.1_rc13 mipsel-linux [SSL] [LZO2] [EPOLL] built on Dec 13 2008
Tue Jun 18 04:47:01 2013 Diffie-Hellman initialized with 1024 bit key
Tue Jun 18 04:47:01 2013 WARNING: file '/tmp/flash/box.key' is group or others accessible
Tue Jun 18 04:47:01 2013 TLS-Auth MTU parms [ L:1542 D:138 EF:38 EB:0 ET:0 EL:0 ]
Tue Jun 18 04:47:01 2013 TUN/TAP device tun0 opened
Tue Jun 18 04:47:01 2013 TUN/TAP TX queue length set to 100
Tue Jun 18 04:47:01 2013 /sbin/ifconfig tun0 172.16.1.1 pointopoint 172.16.1.2 mtu 1500
Tue Jun 18 04:47:01 2013 Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:0 EL:0 AF:3/1 ]
Tue Jun 18 04:47:01 2013 Socket Buffers: R=[108544->131072] S=[108544->131072]
Tue Jun 18 04:47:01 2013 UDPv4 link local (bound): [undef]:1194
Tue Jun 18 04:47:01 2013 UDPv4 link remote: [undef]
Tue Jun 18 04:47:01 2013 MULTI: multi_init called, r=256 v=256
Tue Jun 18 04:47:01 2013 IFCONFIG POOL: base=172.16.1.8 size=4
Tue Jun 18 04:47:01 2013 Initialization Sequence Completed
Tue Jun 18 04:48:04 2013 MULTI: multi_create_instance called
Tue Jun 18 04:48:04 2013 193.247.250.1:48922 Re-using SSL/TLS context
Tue Jun 18 04:48:04 2013 193.247.250.1:48922 LZO compression initialized
Tue Jun 18 04:48:04 2013 193.247.250.1:48922 Control Channel MTU parms [ L:1542 D:138 EF:38 EB:0 ET:0 EL:0 ]
Tue Jun 18 04:48:04 2013 193.247.250.1:48922 Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:0 EL:0 AF:3/1 ]
Tue Jun 18 04:48:04 2013 193.247.250.1:48922 TLS: Initial packet from 193.247.250.1:48922, sid=f5b8abbc a667d239
Tue Jun 18 04:48:10 2013 193.247.250.1:48922 VERIFY OK: depth=1, /C=CH/ST=BL/L=xxx/O=xxx/CN=xxx/emailAddress=xxx
Tue Jun 18 04:48:10 2013 193.247.250.1:48922 VERIFY OK: depth=0, /C=CH/ST=BL/O=xxxx/CN=client1/emailAddress=xxx
Tue Jun 18 04:48:11 2013 193.247.250.1:48922 Data Channel Encrypt: Cipher 'DES-EDE3-CBC' initialized with 192 bit key
Tue Jun 18 04:48:11 2013 193.247.250.1:48922 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Tue Jun 18 04:48:11 2013 193.247.250.1:48922 Data Channel Decrypt: Cipher 'DES-EDE3-CBC' initialized with 192 bit key
Tue Jun 18 04:48:11 2013 193.247.250.1:48922 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Tue Jun 18 04:48:11 2013 193.247.250.1:48922 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
Tue Jun 18 04:48:11 2013 193.247.250.1:48922 [client1] Peer Connection Initiated with 193.247.250.1:48922
Tue Jun 18 04:48:11 2013 client1/193.247.250.1:48922 MULTI: Learn: 172.16.1.10 -> client1/193.247.250.1:48922
Tue Jun 18 04:48:11 2013 client1/193.247.250.1:48922 MULTI: primary virtual IP for client1/193.247.250.1:48922: 172.16.1.10
Tue Jun 18 04:48:12 2013 client1/193.247.250.1:48922 PUSH: Received control message: 'PUSH_REQUEST'
Tue Jun 18 04:48:12 2013 client1/193.247.250.1:48922 SENT CONTROL [client1]: 'PUSH_REPLY,route 172.16.1.1 ,route 192.168.1.0 255.255.255.0,ping 10,ping-restart 120,ifconfig 172.16.1.10 172.16.1.9' (status=1)
Tue Jun 18 04:53:15 2013 client1/193.247.250.1:48922 [client1] Inactivity timeout (--ping-restart), restarting
EDIT:
Ausserdem gehen die gepushten Routen nach dem Abbau der VPN-Verbindung nicht wieder weg.
Hast Du da einen Tipp, damit ich nicht jedesmal neu booten muss?

Vielen Dank!
 
Zuletzt bearbeitet:

MaxMuster

IPPF-Promi
Mitglied seit
1 Feb 2005
Beiträge
6,932
Punkte für Reaktionen
1
Punkte
36
Moin,

könntest du, sofern nicht schon geschehen, das ganze ohne Firewall auf der Windows-Seite testen?

Ansich sollten die Routen immer nach dem beenden "verschwinden", das mögliche Ziel (der VPN-Adapter) müsste sich doch auch über ein "entferntes Kabel" beschweren?!? Zur Not kannst du die auch per "route delete " wieder entfernen.


Jörg