Openvpn läuft, aber .....

Doyanole

Neuer User
Mitglied seit
9 Mrz 2011
Beiträge
53
Punkte für Reaktionen
0
Punkte
0
Moin ,
ich hab mal ne frage zwecks Openvpn.

Ich habe eine Openvpn zwischen meinem Linux Server (Openvpn Server) und meiner Fritzbox (Openvpn Client) interne IP der fritz ist 192.168.1.0. VPN IP ist 10.10.0.0

ich kann mich per telnet 10.10.0.10 auf die fritz verbinden vom server aus. das ist kein problem. auch zurück zum server , das klappt auch.

ich will aber nun wenn ich auf meinem laptop telnet 10.10.0.1 eingebe , auf meinem Openvpn server rauskommen.

Wie geht das ? muss ich da ne route definieren in der Fritz ? von 192.168.1.0 auf 10.10.0.0 ?
falls ja , wie genau geht das ?

danke für die hilfe
 
Davon ausgehend, dass dein Notebook im Netz der FB ist und über diese auch z.B ins Internet geht (dann ist die FB das Default-Gateway für das Notebook), dann fehlt vermutlich nur die "Rückroute" auf dem Server.

In der Konfig des Servers sollte ein "route 192.168.1.0 255.255.255.0" reichen.

Schwieriger wird es, wenn dort eine "Multi-Client" Config drauf ist, an der sich per Zertifikat mehrere Clients anmelden können. Dann muss dem Server das noch zusätzlich in einem Client-Config-Dir per "iroute" mitgegeben werden, zu welchem Client dieses Netz muss...
 
danke

es geht so halb

ich krieg noch ne fehlermeldung wenn ich probiere mich einzuloggen von meinem Laptop aus :


Fri Dec 16 18:28:25 2011 85.93.207.241:38430 MULTI: bad source address from client [192.168.1.10], packet dropped


ausserdem geht der Ping net

an was kann das liegen ?
 
... das ist genau das, was ich oben beschrieben habe: Der Server hat eine Config für mehrere Clients.

Damit sind Netze bei Clients nur möglich, wenn du über ein "CCD" für den Client, bei dem das Netz ist, dieses per "iroute" einträgst. Wenn du eine solche Multi-Client-Umgebung brauchst, musst du leider die deutlich komplexere Konfiguration in Kauf nehmen.
 
also rein theoretisch will ich mich nur von meiner Fritzbox da reinloggen, also brauch ich das net .

meine server config sieht im moment so aus :

port 2002
proto udp
dev tun
ca 2.0/keys/ca.crt
cert 2.0/keys/server.crt
key 2.0/keys/server.key
dh 2.0/keys/dh1024.pem
server 10.100.0.0 255.255.0.0
route 192.168.1.0 255.255.255.0
ifconfig-pool-persist ipp.txt
#push "redirect-gateway def1"
keepalive 10 120
persist-key
persist-tun
status openvpn-privat_ua-status.log
verb 3
script-security 3
auth-user-pass-verify auth.sh via-env
script-security 3
client-cert-not-required

was soll ich denn da jetzt ändern ?

danke für deine hilfe !!!
 
"server 10.100.0.0 255.255.0.0" ist das "Problem", denn das ist ein "Makro" und führt u.a. zu einem Eintrag "mode server".

Versuche doch mal statt dieses Eintrags:
Code:
...
dh 2.0/keys/dh1024.pem
[B]server 10.100.0.0 255.255.0.0
route 192.168.1.0 255.255.255.0
ifconfig-pool-persist ipp.txt[/B]
#push "redirect-gateway def1"
...

diesen hier:

Code:
...
dh 2.0/keys/dh1024.pem
[B]tls-server
ifconfig 10.100.0.1 10.100.0.2
ifconfig-pool 10.8.0.4 10.8.0.251
ifconfig-pool-persist ipp.txt
route 192.168.1.0 255.255.255.0[/B]
#push "redirect-gateway def1"
...
 
ok, ich komm nun vom laptop aus mit telnet 10.100.0.6 auf die fritzbox

aber net auf den server.

der ping zwischen server und fritz und umgekehrt geht auch net, aber connection ist da :

dream:/etc/openvpn# Fri Dec 16 20:42:47 2011 OpenVPN 2.1_rc11 i486-pc-linux-gnu [SSL] [LZO2] [EPOLL] [PKCS11] built on Sep 18 2008
Fri Dec 16 20:42:47 2011 NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
Fri Dec 16 20:42:47 2011 WARNING: the current --script-security setting may allow passwords to be passed to scripts via environmental variables
Fri Dec 16 20:42:47 2011 Diffie-Hellman initialized with 1024 bit key
Fri Dec 16 20:42:47 2011 WARNING: POTENTIALLY DANGEROUS OPTION --client-cert-not-required may accept clients which do not present a certificate
Fri Dec 16 20:42:47 2011 /usr/bin/openssl-vulnkey -q -b 1024 -m <modulus omitted>
Fri Dec 16 20:42:47 2011 TLS-Auth MTU parms [ L:1541 D:138 EF:38 EB:0 ET:0 EL:0 ]
Fri Dec 16 20:42:47 2011 ROUTE default_gateway=80.90.43.1
Fri Dec 16 20:42:47 2011 TUN/TAP device tun3 opened
Fri Dec 16 20:42:47 2011 TUN/TAP TX queue length set to 100
Fri Dec 16 20:42:47 2011 /sbin/ifconfig tun3 11.0.0.1 pointopoint 11.0.0.2 mtu 1500
Fri Dec 16 20:42:47 2011 /sbin/route add -net 192.168.1.0 netmask 255.255.255.0 gw 11.0.0.2
Fri Dec 16 20:42:47 2011 Data Channel MTU parms [ L:1541 D:1450 EF:41 EB:4 ET:0 EL:0 ]
Fri Dec 16 20:42:47 2011 Socket Buffers: R=[111616->131072] S=[111616->131072]
Fri Dec 16 20:42:47 2011 UDPv4 link local (bound): [undef]:2002
Fri Dec 16 20:42:47 2011 UDPv4 link remote: [undef]
Fri Dec 16 20:42:47 2011 MULTI: multi_init called, r=256 v=256
Fri Dec 16 20:42:47 2011 IFCONFIG POOL: base=11.0.0.4 size=62
Fri Dec 16 20:42:47 2011 IFCONFIG POOL LIST
Fri Dec 16 20:42:47 2011 Initialization Sequence Completed
Fri Dec 16 20:42:52 2011 MULTI: multi_create_instance called
Fri Dec 16 20:42:52 2011 85.93.207.241:47443 Re-using SSL/TLS context
Fri Dec 16 20:42:52 2011 85.93.207.241:47443 Control Channel MTU parms [ L:1541 D:138 EF:38 EB:0 ET:0 EL:0 ]
Fri Dec 16 20:42:52 2011 85.93.207.241:47443 Data Channel MTU parms [ L:1541 D:1450 EF:41 EB:4 ET:0 EL:0 ]
Fri Dec 16 20:42:52 2011 85.93.207.241:47443 Local Options hash (VER=V4): '239669a8'
Fri Dec 16 20:42:52 2011 85.93.207.241:47443 Expected Remote Options hash (VER=V4): '3514370b'
Fri Dec 16 20:42:52 2011 85.93.207.241:47443 TLS: Initial packet from 85.93.207.241:47443, sid=9ce6b49c dab010ff
Fri Dec 16 20:42:53 2011 85.93.207.241:47443 TLS: Username/Password authentication succeeded for username 'DM8000'
Fri Dec 16 20:42:53 2011 85.93.207.241:47443 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Fri Dec 16 20:42:53 2011 85.93.207.241:47443 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Fri Dec 16 20:42:53 2011 85.93.207.241:47443 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Fri Dec 16 20:42:53 2011 85.93.207.241:47443 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Fri Dec 16 20:42:53 2011 85.93.207.241:47443 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA
Fri Dec 16 20:42:53 2011 85.93.207.241:47443 [] Peer Connection Initiated with 85.93.207.241:47443
Fri Dec 16 20:42:53 2011 85.93.207.241:47443 MULTI: Learn: 11.0.0.6 -> 85.93.207.241:47443
Fri Dec 16 20:42:53 2011 85.93.207.241:47443 MULTI: primary virtual IP for 85.93.207.241:47443: 11.0.0.6
Fri Dec 16 20:42:55 2011 85.93.207.241:47443 PUSH: Received control message: 'PUSH_REQUEST'
Fri Dec 16 20:42:55 2011 85.93.207.241:47443 SENT CONTROL [UNDEF]: 'PUSH_REPLY,ping 10,ping-restart 120,ifconfig 11.0.0.6 11.0.0.5' (status=1)

hier die configs :

Server
mode server
port 2002
proto udp
dev tun
ca 2.0/keys/ca.crt
cert 2.0/keys/server.crt
key 2.0/keys/server.key # This file should be kept secret
dh 2.0/keys/dh1024.pem
tls-server
ifconfig 10.100.0.1 10.100.0.2
ifconfig-pool 10.100.0.4 10.100.0.251
ifconfig-pool-persist ipp.txt
route 192.168.1.0 255.255.255.0*
client-config-dir ccd
keepalive 10 120
persist-key
persist-tun
status openvpn-privat_ua-status.log
verb 3
script-security 3
auth-user-pass-verify auth.sh via-env
script-security 3
client-cert-not-required

und die client :

client
auth-user-pass user.id
auth-retry nointeract
dev tun
dev-node /var/tmp/tun
proto udp
remote dyndns.dyndns.org 2002
resolv-retry infinite
nobind
persist-key
persist-tun
ca keys/ca.crt
verb 3


danke dir !!!!
 
Zuletzt bearbeitet:
Das ist jetzt ja wieder eine ganz andere Konfig...

Also, da du nun doch "mode server" drin hast, musst du das ccd auch nutzen:
In das Verzeichnis "ccd" muss eine Datei mit dem Namen, den dein Client im Zertifikat hat und dem Inhalt "iroute 192.168.1.0 255.255.255.0".

Warum hast du denn jetzt in der Client-Config kein Key, Cert usw?
 
und führt u.a. zu einem Eintrag "mode server".
hab doch nur das gemacht was du gesagt hast ? oder net ???
ccd is so wie du beschrieben hast.
client config hat kein key weil ich das anders löse mit nem Usernamen : auf dem server wird ne DB abgefagt mit Username und auf dem client kommt die user.id mit dem Usernamen drin.
wenn der ok ist ,dann hast du zugang, ansonsten net.

wenn ich bei der config da mode server rausnehme, dann kommt folgende fehlermeldung :

Options error: --ifconfig-pool/--ifconfig-pool-persist requires --mode server


P.S. also prinzipiell ist es mir egal wie die config ist, hauptsache ich komme von der box auf den server und umgedreht, und von allen clients im fritzbox netz auch.

wie die aussieht , mit certs oder ohne is mir wurscht :)
 
Zuletzt bearbeitet:
Da hatte ich mich wohl nicht klar genug ausgedrückt, die Betonung lag auf dem "ist das Problem" davor ;-)

An den Pool hatte ich nicht gedacht, sorry.

o.k., machen wir die ganz einfache Art. Server:

Code:
port 2002
dev tun
ca    2.0/keys/ca.crt
cert  2.0/keys/server.crt
key  2.0/keys/server.key # This file should be kept secret
dh 2.0/keys/dh1024.pem
tls-server
ifconfig 10.100.0.1 10.100.0.2
route 192.168.1.0 255.255.255.0
keepalive 10 120
persist-key
persist-tun
verb 3


Und beim Client:

Code:
remote xxxx 2002
dev tun
ca   <Pfad>/ca.crt
cert <Pfad>/client.crt
key  <Pfad>/client.key 
tls-client
ifconfig 10.100.0.2 10.100.0.1
resolv-retry infinite
nobind
persist-key
persist-tun

Damit sollte 10.100.0.1 als Server erreichbar sein

Analog geht das auch mit User/PW wie oben, wichtig ist, dass die IPs fest vergeben sind und kein "mode server" drin ist ;-)
 
Zuletzt bearbeitet:
SPITZE !!!

danke , es klappt, hat nur noch was im client gefehlt . wegen der fritzbox :

dev-node /var/tmp/tun

nur noch eine frage.

wie kann ich das autmatisch starten wenn meine fritzbox mal down ist ?
 
Kommt drauf an...
Wie kommt denn das OpenVPN Binary, das du startest, auf die Box? Ist das drauf, auf der Box, oder auf USB oder wird es geladen?

Steht was in der "debug.cfg"? Mache mal "cat /var/flash/debug.cfg"
 
Zuletzt bearbeitet:
telnet eingeschaltet
binary mit wget auf /var/media/ftp gezogen , mit der config und den keys.
es ist kein usb drinne.

da bleibt es , auch wenn ich neu starte.

ich muss nur jedes mal manuell das hier machen :
mknod /var/tmp/tun c 10 200
./openvpn --config client.conf

das ist alles.


muss das in /var/flash/debug.cfg rein ? oder wie ?
 
Zuletzt bearbeitet:
dann sollte das über die debug.cfg funktionieren:
Code:
cat << 'EOF' > /var/flash/debug.cfg
(sleep 60 
mknod /var/tmp/tun c 10 200
/var/media/ftp/openvpn --config /var/media/ftp/client.conf) &
EOF
Wichtig, dass in der einen Zeile nur steht
EOF
mit direkt einem <Return> dahinter!

Danach zur Kontrolle mal "cat /var/flash/debug.cfg" ausführen, es sollte alles zwischen den "EOF"s drin stehen...
 
spitze, viiiiielen dank !!!

nur noch eine frage, muss ich das hier auch in's debug.cfg rein ?

ifconfig eth0:0 192.168.1.253 netmask 255.255.255.0 up

um den port zu öffnen auf der fritz ?
hatte das irgendwo gelesen.
 
Das brauchst du nur, wenn du auf der FB den Server hast, oder dich auf einen Dienst auf der FB vom Internet her verbinden willst per SSH oder so. Ansonsten benötigst du es nicht.

Die Freigabe darauf ist aber in den neueren Versionen nicht mehr sehr zuverlässig, besser ist, eine Freigabe ("Portweiterleitung") auf die IP 0.0.0.0, das geht aber nicht direkt über die AVM-Seite.

Probieren kannst du es aber mit der "virtuellen IP", wenn sie über die debug.cfg angelegt wird, könnte es gehen (es muss immer erst die Weiterleitung da sein, dann die IP angelegt werden).

Insgesamt wäre es dann:
Code:
cat << 'EOF' > /var/flash/debug.cfg
sleep 60
mknod /var/flash/tun c 10 200
ifconfig lan:2 192.168.1.253 
/var/media/ftp/openvpn --config /var/media/ftp/client.conf) &
EOF
und danach sollte die Prüfung das ergeben:
Code:
root@Fritzbox:/var/mod/root#
root@Fritzbox:/var/mod/root# cat /var/flash/debug.cfg
(sleep 60
mknod /var/flash/tun c 10 200
ifconfig lan:2 192.168.1.253 
/var/media/ftp/openvpn --config /var/media/ftp/client.conf) &
root@Fritzbox:/var/mod/root#

EDIT Besser ist die IP bei "lan" statt "eth0"
 
Zuletzt bearbeitet:
mir ist nach 2 tagen nun ein kleines problem aufgefallen.

beide openvpn's laufen , aber irgendwie bleibt es "hängen".
das heisst wenn ich auf dem server über ssh eingeloggt bin , und ich drauf arbeite, freezed es einfach.

respektiv , ich will mich einloggen und mache ein ssh auf den server mit der internen IP , dann krieg ich operation timed out.

ich weiss auch net wo ich das debuggen kann , oder wo ich den fehler finden kann
ping geht auch net.

wenn ich openvpn stoppe , und neu starte, dann is wieder alles beim alten.

an was kann das liegen ?
 
hier ist das log vom server :
Das mit der Zeit hab ich gechecked, die ist sync.

root@spicywurst:/etc/openvpn# openvpn --config fritz.conf
Tue Dec 20 10:20:43 2011 OpenVPN 2.1.0 x86_64-pc-linux-gnu [SSL] [LZO2] [EPOLL] [PKCS11] [MH] [PF_INET6] [eurephia] built on Jul 20 2010
Tue Dec 20 10:20:43 2011 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Tue Dec 20 10:20:43 2011 Diffie-Hellman initialized with 1024 bit key
Tue Dec 20 10:20:43 2011 WARNING: file '2.0/keys/server.key' is group or others accessible
Tue Dec 20 10:20:43 2011 /usr/bin/openssl-vulnkey -q -b 1024 -m <modulus omitted>
Tue Dec 20 10:20:43 2011 Control Channel MTU parms [ L:1541 D:138 EF:38 EB:0 ET:0 EL:0 ]
Tue Dec 20 10:20:43 2011 ROUTE default_gateway=178.17.168.209
Tue Dec 20 10:20:43 2011 TUN/TAP device tun0 opened
Tue Dec 20 10:20:43 2011 TUN/TAP TX queue length set to 100
Tue Dec 20 10:20:43 2011 /sbin/ifconfig tun0 11.0.0.1 pointopoint 11.0.0.2 mtu 1500
Tue Dec 20 10:20:43 2011 /sbin/route add -net 192.168.1.0 netmask 255.255.255.0 gw 11.0.0.2
Tue Dec 20 10:20:43 2011 Data Channel MTU parms [ L:1541 D:1450 EF:41 EB:4 ET:0 EL:0 ]
Tue Dec 20 10:20:43 2011 Local Options hash (VER=V4): '27d67aeb'
Tue Dec 20 10:20:43 2011 Expected Remote Options hash (VER=V4): 'e59cb2ba'
Tue Dec 20 10:20:43 2011 Socket Buffers: R=[124928->131072] S=[124928->131072]
Tue Dec 20 10:20:43 2011 UDPv4 link local (bound): [undef]
Tue Dec 20 10:20:43 2011 UDPv4 link remote: [undef]

Tue Dec 20 10:20:49 2011 TLS Error: local/remote TLS keys are out of sync: [AF_INET]80.90.57.110:46749 [2]
Tue Dec 20 10:20:52 2011 TLS Error: local/remote TLS keys are out of sync: [AF_INET]80.90.57.110:46749 [2]
Tue Dec 20 10:22:43 2011 [UNDEF] Inactivity timeout (--ping-restart), restarting
Tue Dec 20 10:22:43 2011 TCP/UDP: Closing socket
Tue Dec 20 10:22:43 2011 SIGUSR1[soft,ping-restart] received, process restarting
Tue Dec 20 10:22:43 2011 Restart pause, 2 second(s)
Tue Dec 20 10:22:45 2011 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Tue Dec 20 10:22:45 2011 Re-using SSL/TLS context
Tue Dec 20 10:22:45 2011 Control Channel MTU parms [ L:1541 D:138 EF:38 EB:0 ET:0 EL:0 ]
Tue Dec 20 10:22:45 2011 Preserving previous TUN/TAP instance: tun0
Tue Dec 20 10:22:45 2011 Data Channel MTU parms [ L:1541 D:1450 EF:41 EB:4 ET:0 EL:0 ]
Tue Dec 20 10:22:45 2011 Local Options hash (VER=V4): '27d67aeb'
Tue Dec 20 10:22:45 2011 Expected Remote Options hash (VER=V4): 'e59cb2ba'
Tue Dec 20 10:22:45 2011 Socket Buffers: R=[124928->131072] S=[124928->131072]
Tue Dec 20 10:22:45 2011 UDPv4 link local (bound): [undef]
Tue Dec 20 10:22:45 2011 UDPv4 link remote: [undef]
Tue Dec 20 10:23:36 2011 TLS Error: local/remote TLS keys are out of sync: [AF_INET]80.90.57.110:46749 [2]
Tue Dec 20 10:23:39 2011 TLS Error: local/remote TLS keys are out of sync: [AF_INET]80.90.57.110:46749 [2]
Tue Dec 20 10:23:45 2011 TLS Error: local/remote TLS keys are out of sync: [AF_INET]80.90.57.110:46749 [2]
Tue Dec 20 10:23:45 2011 TLS Error: local/remote TLS keys are out of sync: [AF_INET]80.90.57.110:46749 [2]
Tue Dec 20 10:23:46 2011 TLS Error: local/remote TLS keys are out of sync: [AF_INET]80.90.57.110:46749 [2]
Tue Dec 20 10:24:45 2011 [UNDEF] Inactivity timeout (--ping-restart), restarting
Tue Dec 20 10:24:45 2011 TCP/UDP: Closing socket
Tue Dec 20 10:24:45 2011 SIGUSR1[soft,ping-restart] received, process restarting
Tue Dec 20 10:24:45 2011 Restart pause, 2 second(s)
Tue Dec 20 10:24:47 2011 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Tue Dec 20 10:24:47 2011 Re-using SSL/TLS context
Tue Dec 20 10:24:47 2011 Control Channel MTU parms [ L:1541 D:138 EF:38 EB:0 ET:0 EL:0 ]
Tue Dec 20 10:24:47 2011 Preserving previous TUN/TAP instance: tun0
Tue Dec 20 10:24:47 2011 Data Channel MTU parms [ L:1541 D:1450 EF:41 EB:4 ET:0 EL:0 ]
Tue Dec 20 10:24:47 2011 Local Options hash (VER=V4): '27d67aeb'
Tue Dec 20 10:24:47 2011 Expected Remote Options hash (VER=V4): 'e59cb2ba'
Tue Dec 20 10:24:47 2011 Socket Buffers: R=[124928->131072] S=[124928->131072]
Tue Dec 20 10:24:47 2011 UDPv4 link local (bound): [undef]
Tue Dec 20 10:24:47 2011 UDPv4 link remote: [undef]
 
Zuletzt bearbeitet:
Hast du vielleicht eine sehr "unzuverlässige" Verbindung (per UMTS oder sowas)? Ansonsten wäre noch interessant, was dann auf der Gegenseite kommt.

Du könntest auf beiden Seiten den "Keepalive" einsetzen (also auch beim Client "keepalive 10 120"), oder ihn "kleiner" wählen.

Ansonsten mit "größerem" verb (z.B. "verb 5") sehen, ob davor was passiert, was das auslöst...

Und wenn du noch längere Log-Ausgaben oder Configs zwischen [noparse]
Code:
 und
[/noparse] einbetten könntest (im WYSIWYG-Editor das # ), dann kann man es deutlich besser lesen.
 
Zuletzt bearbeitet:
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.