OpenVPN mit Certs geht nur bei einem

[ZECK]

Tach,
ich habe meine Fritzbox als OpenVPN-Server eingerichtet:

proto tcp-server
dev tun
ca /tmp/flash/ca.crt
cert /tmp/flash/box.crt
key /tmp/flash/box.key
dh /tmp/flash/dh.pem
tls-server
tls-auth /tmp/flash/static.key 0
port 194
push "dhcp-option DNS 195.58.160.194"
push "redirect-gateway"
mode server
ifconfig-pool 192.168.178.2 192.168.178.60
push "route 192.168.178.1 "
ifconfig 192.168.178.1 192.168.178.2
push "route 192.168.178.0 255.255.255.0"
tun-mtu 1500
mssfix
verb 3
daemon
cipher AES-256-CBC
comp-lzo
float
keepalive 10 120

Ich benutze folgende Config für den Client:

cd "C:\\Program Files (x86)\\OpenVPN\\config" 
ca ca.crt
cert Client1.crt
key Client1.key
tls-auth ta.key 1
auth SHA1
cipher AES-256-CBC
dev tun
proto tcp-client
nobind
tls-client
ns-cert-type server #for OVP2.0 and below: check the server.crt
pull
remote server.ath.cx 194
comp-lzo
verb 4
;daemon #ausführung im Hintergrund
;route 192.168.200.0 255.255.255.0
;push "route 192.168.178.0 255.255.255.0"
route 192.168.178.0 255.255.255.0
push "route 192.168.178.0 255.255.255.0"
persist-tun 
persist-key
ping 10
ping-restart 60

Wenn ich nun verbinde, bekommt der erste Client 192.168.178.2 mit Gateway .1(ich komme so über die box ins Internet, sollte auch mit jedem Client funktionieren). Wenn ich dann einen weiteren Client anhänge, verbindet der normal, kriegt aber eine IP die höher ist, da das Subnetz des Clients als 255.255.255.252 angegeben ist, dabei sollte es doch 255.255.255.0 sein. Kann mir hier wer bitte weiterhelfen?

 

[han-solo]

Kann es sein, dass die Client-Boxen gleiche IPs haben?
Ich habe auch einen Server und 5 Boxen sind Client mit Zertifikaten.
Aber alle Clients haben andere lokale IP-Adressen.

 

[ZECK]

Es könnte irgendwas mit IP-Konflikten zu tun haben aber meine Clients sind keine Boxen, nur der Server ist eine Fritzbox. Die Clients sind Windows-Rechner(XP/Vista/7). Bei OpenVPN liess ich immer die Standardconfig der Adapter unter Windows.

 

[MaxMuster]

Bei "TUN" sind die "Mini-Netze" Standard (weil Windows das so will ;-)), und auch in deiner Serverbox so konfiguriert (ifconfig 192.168.178.1 192.168.178.2).
Für eine andere Config wären "ifconfig 192.168.178.1 255.255.255.0" "topology subnet" die richtigen Parameter im Server und im Client müsste auch "topology subnet" vorhanden sein.

Willst/musst du die denn wirklich alle in ein Netz haben?

Beschreibe doch mal, wie es aus deiner Sicht sein sollte.

Jörg

 

[ZECK]

Erstmal danke für die prompte Antwort, ging ja extrem schnell!
Geplant war es für ca. 10 Leute gleichzeitig einen Zugang zum VPN zu ermöglichen (Windows-Clients) wobei diese auch einen Zugang zum Internet haben sollen über die Box um auch im VPN Internet zu haben(Bandbreite brauchen die Clients nicht so, da reicht die Geschwindigkeit).

 

[MaxMuster]

Das geht aber auch mit dem "normalen" Weg (mit den kleinen Netzen).
Was hat denn bei dem zweiten Client nicht geklappt (ich setze mal voraus, dass alle Client-Zertifikate verschieden sind...)

Jörg

 

[ZECK]

Die Verbindung ist geglückt, IP war .6 oder .14 bei den anderen zwei Certs die ich probiert hatte. Die SNM war natürlich 255.255.255.252. Das Problem war allerdings das das Gateway immer die IP davor war, z.b. bei .6 war das Gateway .5, was natürlich nicht ging.

 

[MaxMuster]

Das Gateway wird nur zum Routen genutzt, auch wenn es nicht existiert. Damit weiß der Client, dass er die Dinge über das VPN schicken soll. Die 192.168.178.1 z.B. sollte trotzdem erreichbar sein...

Jörg

 

[ZECK]

Nun ja das war eben das Problem das Windows als Gateway nicht .1 gesetzt hat, somit ist eine Internetverbindung nicht im VPN möglich, was aber sehr wichtig wäre. kann ich dem client 192.168.178.1 als gateway irgendwie fix setzen?

 

[MaxMuster]

Das Gateway muss zur IP passen, also 192.168.178.5 wenn du die .6 hast ist o.k.
Dennoch sollte zusätzlich eine Route auf 192.168.178.1 vorhanden sein (über 192.168.178.5) und die IP (die .1) sollte auch per Ping erreichbar sein.
Poste doch mal ein "route print" nach dem Verbindungsaufbau.

Jörg

 

[ZECK]

Ok probier ich dann morgen aus, hab heute leider nicht mehr die Möglichkeit einen Internetzugang zu nutzen, über den ich mich verbinden kann.

 

[ZECK]

Mit zusätzlicher route meinst du in etwa:

route 192.168.178.6 255.255.255.0
          push 192.168.178.1 255.255.255.0

Allerdings ist das für die Client oder die Server config? Und ich versteh nicht wie ich das route print anwenden soll, kannst du das bitte genauer erläutern wo ich das eingeben soll?

 

[MaxMuster]

"route print" ist ein Befehl, der im Windows die Routingtabelle anzeigt, also auf dem Client in einer "Eingabeaufforderung" eingeben.

Die genannte Route ist in der Server-Konfiguration schon drin und sollte dem Client bei der Verbindung übermittelt werden (push "route 192.168.178.1 "). Ob das so wie gewünscht geklappt hat zeigt das Startlog des Clients, was du mal posten könntest, oder eben die Routingtabelle nach dem Verbindungsaufbau.

Jörg

 

[ZECK]

Bei routeprint:
192.168.178.2(so ist es korrekt, gewünscht):

===========================================================================
Schnittstellenliste
 16...00 ff 60 5e bf 5a ......TAP-Win32 Adapter V9
 12...00 1b 24 4c 01 dc ......Broadcom NetLink (TM)-Gigabit-Ethernet
 11...00 13 e8 2b 5f 47 ......Intel(R) Wireless WiFi Link 4965AGN
  1...........................Software Loopback Interface 1
 13...00 00 00 00 00 00 00 e0 Teredo Tunneling Pseudo-Interface
 20...00 00 00 00 00 00 00 e0 Microsoft-ISATAP-Adapter #4
 21...00 00 00 00 00 00 00 e0 Microsoft-ISATAP-Adapter #5
 22...00 00 00 00 00 00 00 e0 Microsoft-ISATAP-Adapter #6
===========================================================================

IPv4-Routentabelle
===========================================================================
Aktive Routen:
     Netzwerkziel    Netzwerkmaske          Gateway    Schnittstelle Metrik
          0.0.0.0          0.0.0.0    192.168.178.1    192.168.178.2     30
         10.0.4.0    255.255.254.0   Auf Verbindung        10.0.5.121    286
       10.0.5.121  255.255.255.255   Auf Verbindung        10.0.5.121    286
       10.0.5.255  255.255.255.255   Auf Verbindung        10.0.5.121    286
   85.127.251.250  255.255.255.255         10.0.4.1       10.0.5.121     30
        127.0.0.0        255.0.0.0   Auf Verbindung         127.0.0.1    306
        127.0.0.1  255.255.255.255   Auf Verbindung         127.0.0.1    306
  127.255.255.255  255.255.255.255   Auf Verbindung         127.0.0.1    306
    192.168.178.0    255.255.255.0    192.168.178.1    192.168.178.2     30
    192.168.178.0  255.255.255.252   Auf Verbindung     192.168.178.2    286
    192.168.178.2  255.255.255.255   Auf Verbindung     192.168.178.2    286
    192.168.178.3  255.255.255.255   Auf Verbindung     192.168.178.2    286
        224.0.0.0        240.0.0.0   Auf Verbindung         127.0.0.1    306
        224.0.0.0        240.0.0.0   Auf Verbindung     192.168.178.2    286
        224.0.0.0        240.0.0.0   Auf Verbindung        10.0.5.121    286
  255.255.255.255  255.255.255.255   Auf Verbindung         127.0.0.1    306
  255.255.255.255  255.255.255.255   Auf Verbindung     192.168.178.2    286
  255.255.255.255  255.255.255.255   Auf Verbindung        10.0.5.121    286
===========================================================================
Ständige Routen:
  Keine

IPv6-Routentabelle
===========================================================================
Aktive Routen:
 If Metrik Netzwerkziel             Gateway
 13     38 ::/0                     Auf Verbindung
  1    306 ::1/128                  Auf Verbindung
 13     38 2001::/32                Auf Verbindung
 13    286 2001:0:d5c7:a2d6:1cd3:2058:aa80:405/128
                                    Auf Verbindung
 16    286 fe80::/64                Auf Verbindung
 12    286 fe80::/64                Auf Verbindung
 13    286 fe80::/64                Auf Verbindung
 13    286 fe80::1cd3:2058:aa80:405/128
                                    Auf Verbindung
 16    286 fe80::8137:c50a:8008:cb43/128
                                    Auf Verbindung
 12    286 fe80::bccc:b4dc:3f3e:695c/128
                                    Auf Verbindung
  1    306 ff00::/8                 Auf Verbindung
 13    286 ff00::/8                 Auf Verbindung
 16    286 ff00::/8                 Auf Verbindung
 12    286 ff00::/8                 Auf Verbindung
===========================================================================
Ständige Routen:
  Keine

192.168.178.6(keine Internetverbindung per VPN):

===========================================================================
Schnittstellenliste
 16...00 ff 60 5e bf 5a ......TAP-Win32 Adapter V9
 12...00 1b 24 4c 01 dc ......Broadcom NetLink (TM)-Gigabit-Ethernet
 11...00 13 e8 2b 5f 47 ......Intel(R) Wireless WiFi Link 4965AGN
  1...........................Software Loopback Interface 1
 13...00 00 00 00 00 00 00 e0 Teredo Tunneling Pseudo-Interface
 20...00 00 00 00 00 00 00 e0 Microsoft-ISATAP-Adapter #4
 21...00 00 00 00 00 00 00 e0 Microsoft-ISATAP-Adapter #5
 22...00 00 00 00 00 00 00 e0 Microsoft-ISATAP-Adapter #6
===========================================================================

IPv4-Routentabelle
===========================================================================
Aktive Routen:
     Netzwerkziel    Netzwerkmaske          Gateway    Schnittstelle Metrik
          0.0.0.0          0.0.0.0    192.168.178.5    192.168.178.6     30
         10.0.4.0    255.255.254.0   Auf Verbindung        10.0.5.121    28
       10.0.5.121  255.255.255.255   Auf Verbindung        10.0.5.121    28
       10.0.5.255  255.255.255.255   Auf Verbindung        10.0.5.121    28
   85.127.251.250  255.255.255.255         10.0.4.1       10.0.5.121     30
        127.0.0.0        255.0.0.0   Auf Verbindung         127.0.0.1    30
        127.0.0.1  255.255.255.255   Auf Verbindung         127.0.0.1    30
  127.255.255.255  255.255.255.255   Auf Verbindung         127.0.0.1    30
    192.168.178.0    255.255.255.0    192.168.178.5    192.168.178.6     30
    192.168.178.1  255.255.255.255    192.168.178.5    192.168.178.6     30
    192.168.178.4  255.255.255.252   Auf Verbindung     192.168.178.6    28
    192.168.178.6  255.255.255.255   Auf Verbindung     192.168.178.6    28
    192.168.178.7  255.255.255.255   Auf Verbindung     192.168.178.6    28
        224.0.0.0        240.0.0.0   Auf Verbindung         127.0.0.1    30
        224.0.0.0        240.0.0.0   Auf Verbindung     192.168.178.6    28
        224.0.0.0        240.0.0.0   Auf Verbindung        10.0.5.121    28
  255.255.255.255  255.255.255.255   Auf Verbindung         127.0.0.1    30
  255.255.255.255  255.255.255.255   Auf Verbindung     192.168.178.6    28
  255.255.255.255  255.255.255.255   Auf Verbindung        10.0.5.121    28
===========================================================================
Ständige Routen:
  Keine

IPv6-Routentabelle
===========================================================================
Aktive Routen:
 If Metrik Netzwerkziel             Gateway
  1    306 ::1/128                  Auf Verbindung
 16    286 fe80::/64                Auf Verbindung
 12    286 fe80::/64                Auf Verbindung
 16    286 fe80::8137:c50a:8008:cb43/128
                                    Auf Verbindung
 12    286 fe80::bccc:b4dc:3f3e:695c/128
                                    Auf Verbindung
  1    306 ff00::/8                 Auf Verbindung
 16    286 ff00::/8                 Auf Verbindung
 12    286 ff00::/8                 Auf Verbindung
===========================================================================
Ständige Routen:
  Keine

Ich hab außerdem noch das gesamte Startlog des Korrekten (.2 mit Gateway .1,Korrekt.txt) und des falschen Verbindungsversuches(6. mit Gateway .5,Falsch.txt) als Anhang gegeben.

 

[MaxMuster]

Wie hast du denn die beiden Clients gestartet? Nacheinander auf dem gleichen PC mit verschiedenen Zertifikaten?

Geht denn in der "zweiten Version" mit der IP .6 ein Ping auf 192.168.178.1?

 

[ZECK]

Ja ich habe dies auf demselben PC nacheinander gestartet. Mit dem .6-Zertifikat geht kein Ping auf 192.168.178.1.

 

[MaxMuster]

Das sieht für mich soweit gut aus. Könntest du mal auf dem Server schauen, ob da was im Log erscheint??

 

[ZECK]

Sry, überm Feiertag war wieder mal keine Hilfe erreichbar...
Ich hoffe das reicht in etwa so, hab das Standardlog openvpn.log ausgegeben:

OpenVPN CLIENT LIST
Updated,Fri Jun 12 08:04:36 2009
Common Name,Real Address,Bytes Received,Bytes Sent,Connected Since
Client1,84.114.180.113:1027,1059514,3685429,Fri Jun 12 07:43:20 2009
Client2,84.114.180.113:1093,5969,6379,Fri Jun 12 08:02:56 2009
ROUTING TABLE
Virtual Address,Common Name,Real Address,Last Ref
192.168.178.6,Client2,84.114.180.113:1093,Fri Jun 12 08:02:58 2009
192.168.178.2,Client1,84.114.180.113:1027,Fri Jun 12 08:04:35 2009
GLOBAL STATS
Max bcast/mcast queue length,2
END

 

[MaxMuster]

Moin,

interessanter wäre das "debug-log", was du beim Server oben in der GUI einstellen kannst. Da steht das ganze (Aufbau der Verbindung usw) analog zum geposteten Client-Log drin.
Alternativ zum "GUI-Haken" kannst du auch OpenVPN mit der erzeugten Konfig ohne das "daemon" starten, dann stehen die Ausgaben in der Shell, wo es gestartet wurde (steht im Wiki beschrieben).


Jörg

EDIT: Was mir gerade noch auffiel: Du testest ja momentan mit einem PC, wenn ich das richtig sehe. Wie machst du denn das mit den zwei VPN-Verbindungen? Ich sehe da nur ein virtuelles Interface auf dem PC, aber laut Server bist du parallel zweimal verbunden, mit Client1 und Client2??

 

[ZECK]

Ne, ausnahmsweise hab ich einen zweiten Rechner verwendet, ist allerdings nahezu baugleich, also kein Trick dahinter.
Hab auch bei dem angehängtem logfile (Stufe 3) wieder zwei Rechner verwendet, halt einmal .2 und einmal .6.