OpenVPN mit Fritzbox bei Internet über LAN 1

[nicx]

Hallo Gemeinde,

ich habe mal wieder ein Problem mit OpenVPN. Ich nutze eine ganz simple Roadwarrior Konfiguration mit Keys. Nur seit ich auf Internet über Kabel gewechselt habe kann ich mich nicht mehr connecten.

Komischerweise hat es früher bei DSL funktioniert, nun sieht es so aus als ob die Firewall der Fritzbox den OpenVPN Port nicht durchlässt... wenn ich nämlich nicht über die öffentliche IP sondern auf die interne connect, dann funktioniert es.

Wo finde ich in der ar7.cfg die Portweiterleitung für LAN 1? Unterscheidet sich die überaupt vom DSL-Port?

Gruss,
nicx...

 

[nicx]

hm kann mir niemand weiterhelfen?

 

[AndreR]

Das unterscheidet sich nicht. hast du denn überhaupt eine "richtige" öffentliche IP beim Kabelanbieter? Oder wirst du (ähnlich bei UMTS) über einen Proxy-Gateway des Providers nach außen geroutet? Dann hast du nämlich keine öffentlich erreichbare IP

 

[nicx]

ich habe eine echte öffentliche ip und den passenden dyndns eintrag... woran könnte es denn noch liegen? an der openvpn config ja nicht da es intern einwandfrei klappt, oder? es kann meiner meinung nur an der firewall liegen.

wenn ich mir die ar7.cfg so durchschaue sehe ich aber lediglich die rules der lan-ports und die des dsl-ports, d.h. ich finde die konfigurationen für lan1=wan nicht... ist da wirklich kein unterschied? was könnte es denn dann sein?

gruss,
nicx...

 

[Ing]

Hast Du den DynDNS Eintrag schon getestet. Landen Anfragen auf die DynDNS Adresse wirklich bei Dir im Netz?

Zum Testen kannst Du z.B. einfach mal einen USB Stick einstecken und per FTP im Internet freigeben und anschliessend jemanden bitten, darauf zu zu greifen.

 

[nicx]

ja das funktioniert ohne probleme...

 

[AndreR]

Okay, dann brauchen wir mehr infos:
Poste mal bitte den entsprechenden Teil der ar7.cfg, die Serverconfig, die Clientconfig.

Kann es sein, dass du per UDP verbinden willst und den TCP Port freigegeben hast? was spuckt der Client beim Verbinden für Meldungen aus?

 

[nicx]

so anbei die gewünschten configs. inzwischen hab ich das ganze mal auf port 443 geändert anstatt dem standard openvpn port, geht aber trotzdem nicht.

hier noch ein auszug der ar7.cfg:

forwardrules = "tcp 0.0.0.0:443 0.0.0.0:443",
"udp 0.0.0.0:5060 0.0.0.0:5060",
"tcp 0.0.0.0:4662 192.168.0.1:4662 0 # eM
"udp 0.0.0.0:4672 192.168.0.1:4672 0 # eM
"tcp 0.0.0.0:4663 192.168.0.1:4663 0 # Ov
shaper = "globalshaper";

der openvpnclient gibt folgendes zurück:

21:31:08 2007 us=67351 OpenVPN 2.0.9 Win32-MinGW [SSL] [LZO] built on Oct 1 2006
Tue Jun 19 21:31:08 2007 us=68015 Static Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Tue Jun 19 21:31:08 2007 us=68038 Static Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Tue Jun 19 21:31:08 2007 us=68137 Static Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Tue Jun 19 21:31:08 2007 us=96066 Static Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Tue Jun 19 21:31:08 2007 us=518984 TAP-WIN32 device [LAN-Verbindung 3] opened: \\.\Global\{186BC190-C5DD-44FE-92E6-FEBBF9092264}.tap
Tue Jun 19 21:31:08 2007 us=519017 TAP-Win32 Driver Version 8.4
Tue Jun 19 21:31:08 2007 us=519036 TAP-Win32 MTU=1500
Tue Jun 19 21:31:08 2007 us=519064 Notified TAP-Win32 driver to set a DHCP IP/netmask of 192.168.200.1/255.255.255.252 on interface {186BC190-C5DD-44FE-92E6-FEBBF9092264} [DHCP-serv: 192.168.200.2, lease-time: 31536000]
Tue Jun 19 21:31:08 2007 us=521358 Successful ARP Flush on interface [3] {186BC190-C5DD-44FE-92E6-FEBBF9092264}
Tue Jun 19 21:31:08 2007 us=531183 Data Channel MTU parms [ L:1546 D:1450 EF:46 EB:4 ET:0 EL:0 ]
Tue Jun 19 21:31:08 2007 us=531256 Local Options String: 'V4,dev-type tun,link-mtu 1546,tun-mtu 1500,proto TCPv4_CLIENT,ifconfig 192.168.200.2 192.168.200.1,cipher BF-CBC,auth SHA1,keysize 128,secret'
Tue Jun 19 21:31:08 2007 us=531276 Expected Remote Options String: 'V4,dev-type tun,link-mtu 1546,tun-mtu 1500,proto TCPv4_SERVER,ifconfig 192.168.200.1 192.168.200.2,cipher BF-CBC,auth SHA1,keysize 128,secret'
Tue Jun 19 21:31:08 2007 us=531311 Local Options hash (VER=V4): '808a9481'
Tue Jun 19 21:31:08 2007 us=531334 Expected Remote Options hash (VER=V4): 'e2353fc3'
Tue Jun 19 21:31:08 2007 us=531373 Attempting to establish TCP connection with 91.89.129.195:443
Tue Jun 19 21:31:29 2007 us=541306 TCP: connect to 91.89.129.195:443 failed, will try again in 5 seconds
Tue Jun 19 21:31:55 2007 us=411054 TCP/UDP: Closing socket

 

[MaxMuster]

Hallo,

mit Ausnahme der Tatsache, dass Client-Config und Log wohl aus verschiedenen Konfigs stammen (kein Port beim Befehl remote des Clients, Server auf Port 443) sehe ich erstmal nichts.

Wenn der Server "direkt" von der Shell aus gestartet wird (ohne Befehl daemon; vielleich sogar mit höherem Debug) solltest du da einen Verbindungsversuch sehen, auch wenn es an noch irgendwo an den Parametern hapert....

Um deine Vermutung mit den Port-Weiterleitungen und LAN1 zu überprüfen, trag doch einfach eine neue "unsinnige" Weiterleitung im Webif ein und schau nach, wo die in der ar7.cfg landet...

Jörg