OpenVPN-Paket

[MaxMuster]

Ja, das mag sein, aber dann muss der Port in der Config natürlich trotzdem "stimmen", also am Ziel muss natürlich der angegebene Port auf den VPN-Port weitergegeben werden...
Wenn du auf der Box wirklich den eingehenden Port 80 auf z.B. 1194 erfolgreich weitergeleitet hast, sollte die Box auch auf diesem Port antworten.

 

[JokerGermany]

Habe gerade nochmal nachgeschaut.

Da SSH zum Server hinter der Fritz!Box mit Port 80 immer geklappt hat, habe ich mal geschaut ob auf der Server Seite alles läuft.
Also OpenVPN Dienst mal gestoppt und unter Telnet laufen lassen, dass Ergebnis:
cat /var/tmp/debug_openvpn.out
Mon Aug 10 19:16:09 2015 us=220934 OpenVPN 2.3.8 mips-unknown-linux-gnu [SSL (OpenSSL)] [LZO] [IPv6] built on Aug 7 2015
Mon Aug 10 19:16:09 2015 us=221296 library versions: OpenSSL 0.9.8zg 11 Jun 2015, LZO 2.09
Mon Aug 10 19:16:09 2015 us=791190 Diffie-Hellman initialized with 2048 bit key
Mon Aug 10 19:16:09 2015 us=796704 Control Channel Authentication: using '/tmp/flash/openvpn/static.key' as a OpenVPN static key file
Mon Aug 10 19:16:09 2015 us=796977 Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Mon Aug 10 19:16:09 2015 us=797458 Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Mon Aug 10 19:16:09 2015 us=797739 LZO compression initialized
Mon Aug 10 19:16:09 2015 us=799113 Control Channel MTU parms [ L:1576 D:168 EF:68 EB:0 ET:0 EL:3 ]
Mon Aug 10 19:16:09 2015 us=799602 Socket Buffers: R=[87380->131072] S=[16384->131072]
Mon Aug 10 19:16:09 2015 us=805984 TUN/TAP device tap0 opened
Mon Aug 10 19:16:09 2015 us=807050 TUN/TAP TX queue length set to 100
Mon Aug 10 19:16:09 2015 us=807815 do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
Mon Aug 10 19:16:09 2015 us=808322 /sbin/ifconfig tap0 192.x.2.1 netmask 255.255.255.0 mtu 1500 broadcast 192.x.2.255
ifconfig: SIOCSIFNETMASK: Cannot assign requested address
Mon Aug 10 19:16:09 2015 us=832178 Linux ifconfig failed: external program exited with error status: 1
Mon Aug 10 19:16:09 2015 us=832457 Exiting due to fatal error

WTF?

Config DAtei:
# OpenVPN 2.1 Config, Mon Aug 10 19:14:40 CEST 2015
proto tcp-server
dev tap0
#Helperline for rc.openvpn to add tap0 to lan bridge
ca /tmp/flash/openvpn/ca.crt
cert /tmp/flash/openvpn/box.crt
key /tmp/flash/openvpn/box.key
dh /tmp/flash/openvpn/dh.pem
tls-server
tls-auth /tmp/flash/openvpn/static.key 0
port 1194
ifconfig 192.168.2.1 255.255.255.0
push "route-gateway 192.x.2.1"
push "route 192.168.x.0 255.255.255.0 192.x.2.1"
route 192.x.188.0 255.255.255.0 192.x.188.1
max-clients 9
tun-mtu 1500
mssfix
log /var/tmp/debug_openvpn.out
verb 6
cipher BF-CBC
comp-lzo
float
keepalive 10 120
status /var/log/openvpn.log
cd /var/tmp/openvpn
chroot /var/tmp/openvpn
user openvpn
group openvpn
persist-tun
persist-key

BTW: In die ar7.cfg habe ich 0.0.0.0:80 0.0.0.0:1194 eingetragen, falls sich jemand wundert.

 

[PeterPawn]

Hier ... hier ... ich ... schnips ... ich weiß es: x=168 !!!

EDIT: Und dann stelle ich noch die Noob-Frage, was der TAP-Adapter mit einer IP-Adresse anfangen soll, wenn er doch (das würde ich anhand der "Ankerzeile" in der OpenVPN-Konfiguration annehmen) in die LAN-Bridge eingebunden ist - vielleicht kann mir das ja jemand erklären? Wenn die Antwort allerdings lautet: "Der wird gar nicht gebridged.", dann ziehe ich die Frage zurück.

 

[JokerGermany]

So, ich habe jetzt bis Sonntag Nachmittag beide Fritz!boxen am selben Ort.

ar7.cfg enthält jetzt 0.0.0.0:443 0.0.0.0:443

Die Verbindung baut sich auch auf. Aber irgendwie kommt z.B. kein Ping auf der anderen Seite an.
Internet über Lan1 war eingestellt mit manueller IP 192.168.99.1 und 192.168.99.2


Client:

root@fritz:/var/mod/root# cat /var/tmp/debug_openvpn.out
Thu Jan  1 01:34:53 1970 OpenVPN 2.3.8 mips-unknown-linux-gnu [SSL (OpenSSL)] [LZO] [IPv6] built on Aug  9 2015
Thu Jan  1 01:34:53 1970 library versions: OpenSSL 0.9.8zg 11 Jun 2015, LZO 2.09
Thu Jan  1 01:34:53 1970 Static Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Thu Jan  1 01:34:53 1970 Static Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Thu Jan  1 01:34:53 1970 Static Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Thu Jan  1 01:34:53 1970 Static Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Thu Jan  1 01:34:53 1970 Socket Buffers: R=[87380->131072] S=[16384->131072]
Thu Jan  1 01:34:53 1970 TUN/TAP device tun0 opened
Thu Jan  1 01:34:53 1970 TUN/TAP TX queue length set to 100
Thu Jan  1 01:34:53 1970 /sbin/route add -net 192.168.2.0 netmask 255.255.255.0 gw 192.168.2.1
Thu Jan  1 01:34:53 1970 chroot to '/var/tmp/openvpn' and cd to '/' succeeded
Thu Jan  1 01:34:53 1970 GID set to openvpn
Thu Jan  1 01:34:53 1970 UID set to openvpn
Thu Jan  1 01:34:53 1970 Attempting to establish TCP connection with [AF_INET]192.168.99.1:443 [nonblock]
Thu Jan  1 01:34:54 1970 TCP connection established with [AF_INET]192.168.99.1:443
Thu Jan  1 01:34:54 1970 TCPv4_CLIENT link local: [undef]
Thu Jan  1 01:34:54 1970 TCPv4_CLIENT link remote: [AF_INET]192.168.99.1:443
Thu Jan  1 01:34:54 1970 Peer Connection Initiated with [AF_INET]192.168.99.1:443
Thu Jan  1 01:34:55 1970 Initialization Sequence Completed
root@fritz:/var/mod/root# netstat -r
Kernel IP routing table
Destination     Gateway         Genmask         Flags   MSS Window  irtt Iface
192.168.180.1   *               255.255.255.255 UH        0 0          0 dsl
192.168.180.2   *               255.255.255.255 UH        0 0          0 dsl
192.168.99.1    *               255.255.255.255 UH        0 0          0 dsl
192.168.2.0     192.168.2.1     255.255.255.0   UG        0 0          0 dsl
192.168.99.0    *               255.255.255.0   U         0 0          0 dsl
192.168.188.0   *               255.255.255.0   U         0 0          0 lan
192.168.189.0   *               255.255.255.0   U         0 0          0 guest
169.254.0.0     *               255.255.0.0     U         0 0          0 lan
default         *               0.0.0.0         U         0 0          0 dsl

Server:

root@fritz:/var/mod/root# cat /var/tmp/debug_openvpn.out
Thu Jan 1 01:46:31 1970 OpenVPN 2.3.8 mips-unknown-linux-gnu [SSL (OpenSSL)] [LZO] [IPv6] built on Aug 7 2015
Thu Jan 1 01:46:31 1970 library versions: OpenSSL 0.9.8zg 11 Jun 2015, LZO 2.09
Thu Jan 1 01:46:31 1970 Static Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Thu Jan 1 01:46:31 1970 Static Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Thu Jan 1 01:46:31 1970 Static Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Thu Jan 1 01:46:31 1970 Static Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Thu Jan 1 01:46:31 1970 Socket Buffers: R=[87380->131072] S=[16384->131072]
Thu Jan 1 01:46:31 1970 TUN/TAP device tun0 opened
Thu Jan 1 01:46:31 1970 TUN/TAP TX queue length set to 100
Thu Jan 1 01:46:31 1970 do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
Thu Jan 1 01:46:31 1970 /sbin/ifconfig tun0 192.168.2.1 pointopoint 192.168.188.1 mtu 1500
Thu Jan 1 01:46:31 1970 /sbin/route add -net 192.168.188.0 netmask 255.255.255.0 gw 192.168.188.1
Thu Jan 1 01:46:31 1970 chroot to '/var/tmp/openvpn' and cd to '/' succeeded
Thu Jan 1 01:46:31 1970 GID set to openvpn
Thu Jan 1 01:46:31 1970 UID set to openvpn
Thu Jan 1 01:46:31 1970 Listening for incoming TCP connection on [undef]
Thu Jan 1 01:46:50 1970 TCP connection established with [AF_INET]192.168.99.2:47445
Thu Jan 1 01:46:50 1970 TCPv4_SERVER link local (bound): [undef]
Thu Jan 1 01:46:50 1970 TCPv4_SERVER link remote: [AF_INET]192.168.99.2:47445
Thu Jan 1 01:46:51 1970 Peer Connection Initiated with [AF_INET]192.168.99.2:47445
Thu Jan 1 01:46:51 1970 Initialization Sequence Completed
root@fritz:/var/mod/root# netstat -r
Kernel IP routing table
Destination Gateway Genmask Flags MSS Window irtt Iface
192.168.2.24 * 255.255.255.255 UH 0 0 0 dsl
192.168.180.1 * 255.255.255.255 UH 0 0 0 dsl
192.168.188.1 * 255.255.255.255 UH 0 0 0 tun0
192.168.180.2 * 255.255.255.255 UH 0 0 0 dsl
192.168.99.2 * 255.255.255.255 UH 0 0 0 dsl
192.168.2.22 * 255.255.255.255 UH 0 0 0 dsl
192.168.2.0 * 255.255.255.0 U 0 0 0 lan
192.168.99.0 * 255.255.255.0 U 0 0 0 dsl
192.168.188.0 192.168.188.1 255.255.255.0 UG 0 0 0 tun0
192.168.188.0 192.168.188.1 255.255.255.0 UG 0 0 0 dsl
192.168.189.0 * 255.255.255.0 U 0 0 0 guest
169.254.0.0 * 255.255.0.0 U 0 0 0 lan
default * 0.0.0.0 U 0 0 0 dsl

 

[MaxMuster]

Du kannst dem VPN-Tunnel-Interface (beim Client) nicht eine IP aus dem LAN geben.
192.168.188.0/24 ist das LAN, dann kann nicht eine IP aus diesem Netz (die 192.168.188.1) auf dem tun-Interface liegen.

Das Tunnel-Netz (auch bei Point-to-Point) muss eindeutig sein.

 

[MaxMuster]

Willst du nun hier oder hier über das Thema reden?
Bitte nicht zwei Threads parallel nutzen. Vor allem wäre auch eine Rückmeldung nett, statt einfach mit dem Input von hier ein neues Thema zu starten :-(.

 

[JokerGermany]

Sry, nur übers Wochenende war es mir möglich beide Fritz!Boxen ohne Proxy und Internet zusammenzupacken, hatte gehofft ich bekomme schneller eine Antwort.

Du kannst dem VPN-Tunnel-Interface (beim Client) nicht eine IP aus dem LAN geben.
192.168.188.0/24 ist das LAN, dann kann nicht eine IP aus diesem Netz (die 192.168.188.1) auf dem tun-Interface liegen.

Welche IP gebe ich ihm denn dann?

Letzter Test:
Server:
Log (Auf und Abbau, da ich den Server nach dem Aufbau nicht mehr erreichen kann, da der SSH Tunnel dann nicht mehr funktioniert)

root@fritz:/var/mod/root# cat /var/tmp/debug_openvpn.out
Mon Aug 24 00:22:53 2015 OpenVPN 2.3.8 mips-unknown-linux-gnu [SSL (OpenSSL)] [LZO] [IPv6] built on Aug  7 2015
Mon Aug 24 00:22:53 2015 library versions: OpenSSL 0.9.8zg 11 Jun 2015, LZO 2.09
Mon Aug 24 00:22:54 2015 Diffie-Hellman initialized with 2048 bit key
Mon Aug 24 00:22:54 2015 Control Channel Authentication: using '/tmp/flash/openvpn/static.key' as a OpenVPN static key file
Mon Aug 24 00:22:54 2015 Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Mon Aug 24 00:22:54 2015 Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Mon Aug 24 00:22:54 2015 TUN/TAP device tun0 opened
Mon Aug 24 00:22:54 2015 TUN/TAP TX queue length set to 100
Mon Aug 24 00:22:54 2015 do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
Mon Aug 24 00:22:54 2015 /sbin/ifconfig tun0 192.168.2.1 pointopoint 192.168.188.1 mtu 1500
Mon Aug 24 00:22:54 2015 /sbin/route add -net 192.168.2.0 netmask 255.255.255.0 gw 192.168.188.1
Sun Aug 23 22:22:54 2015 chroot to '/var/tmp/openvpn' and cd to '/' succeeded
Sun Aug 23 22:22:54 2015 GID set to openvpn
Sun Aug 23 22:22:54 2015 UID set to openvpn
Sun Aug 23 22:22:56 2015 TCP connection established with [AF_INET]xxx.xxx.xx.xxx:33296
Sun Aug 23 22:22:56 2015 TCPv4_SERVER link local: [inetd]
Sun Aug 23 22:22:56 2015 TCPv4_SERVER link remote: [AF_INET]xxx.xxx.xx.xxx:33296
Sun Aug 23 22:22:56 2015 MULTI: multi_init called, r=256 v=256
Sun Aug 23 22:22:56 2015 IFCONFIG POOL: base=192.168.2.200 size=13, ipv6=0
Sun Aug 23 22:22:56 2015 MULTI: TCP INIT maxclients=1020 maxevents=1024
Sun Aug 23 22:22:56 2015 Initialization Sequence Completed
Sun Aug 23 22:22:56 2015 TCP connection established with [AF_INET]xxx.xxx.xx.xxx:33296
Sun Aug 23 22:22:56 2015 217.110.58.218:33296 TLS: Initial packet from [AF_INET]xxx.xxx.xx.xxx:33296, sid=5f299962 96cebaba
Sun Aug 23 22:23:00 2015 217.110.58.218:33296 VERIFY OK: depth=1, C=DE, ST=xx, L=xx, O=Internet Ltd., OU=MyOrganizationalUnit, CN=Internet Ltd. CA, name=xx, emailAddress=xx
Sun Aug 23 22:23:00 2015 217.110.58.218:33296 VERIFY OK: depth=0, C=DE, ST=xx2, L=xx2, O=Internet Ltd., OU=MyOrganizationalUnit, CN=xx2, name=xx, emailAddress=xx
Sun Aug 23 22:23:01 2015 217.110.58.218:33296 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Sun Aug 23 22:23:01 2015 217.110.58.218:33296 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Sun Aug 23 22:23:01 2015 217.110.58.218:33296 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Sun Aug 23 22:23:01 2015 217.110.58.218:33296 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Sun Aug 23 22:23:01 2015 217.110.58.218:33296 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 2048 bit RSA
Sun Aug 23 22:23:01 2015 217.110.58.218:33296 [bruehl] Peer Connection Initiated with [AF_INET]xxx.xxx.xx.xxx:33296
Sun Aug 23 22:23:01 2015 bruehl/217.110.58.218:33296 MULTI_sva: pool returned IPv4=192.168.2.202, IPv6=(Not enabled)
Sun Aug 23 22:23:01 2015 bruehl/217.110.58.218:33296 MULTI: Learn: 192.168.2.202 -> xx2/xxx.xxx.xx.xxx:33296
Sun Aug 23 22:23:01 2015 bruehl/217.110.58.218:33296 MULTI: primary virtual IP for xx2/xxx.xxx.xx.xxx:33296: 192.168.2.202
Sun Aug 23 22:23:03 2015 bruehl/217.110.58.218:33296 PUSH: Received control message: 'PUSH_REQUEST'
Sun Aug 23 22:23:03 2015 bruehl/217.110.58.218:33296 send_push_reply(): safe_cap=940
Sun Aug 23 22:23:03 2015 bruehl/217.110.58.218:33296 SENT CONTROL [bruehl]: 'PUSH_REPLY,route 192.168.2.0 255.255.255.0,route 192.168.2.1,ping 10,ping-restart 120,ifconfig 192.168.2.202 192.168.2.201' (status=1)
Sun Aug 23 22:24:43 2015 bruehl/217.110.58.218:33296 Connection reset, inetd/xinetd exit [0]
Sun Aug 23 22:24:43 2015 bruehl/217.110.58.218:33296 SIGTERM[soft,connection-reset-inetd] received, client-instance exiting
Sun Aug 23 22:24:43 2015 TCP/UDP: Close Socket failed: Bad file descriptor (errno=9)
Sun Aug 23 22:24:43 2015 /sbin/route del -net 192.168.2.0 netmask 255.255.255.0
Sun Aug 23 22:24:43 2015 ERROR: Linux route delete command failed: could not execute external program
Sun Aug 23 22:24:43 2015 Closing TUN/TAP interface
Sun Aug 23 22:24:43 2015 /sbin/ifconfig tun0 0.0.0.0
Sun Aug 23 22:24:43 2015 Linux ip addr del failed: could not execute external program
Sun Aug 23 22:24:43 2015 SIGTERM[soft,] received, process exiting

config:

cat /mod/etc/openvpn.conf 
#  OpenVPN 2.1 Config, Mon Aug 24 00:09:02 CEST 2015
proto tcp-server
dev tun
ca /tmp/flash/openvpn/ca.crt
cert /tmp/flash/openvpn/box.crt
key /tmp/flash/openvpn/box.key
dh /tmp/flash/openvpn/dh.pem
tls-server
tls-auth /tmp/flash/openvpn/static.key 0
port 443
ifconfig 192.168.2.1 192.168.188.1
push "route 192.168.2.0 255.255.255.0"
mode server
ifconfig-pool 192.168.2.200 192.168.2.250
push "route 192.168.2.1"
route 192.168.2.0 255.255.255.0
tun-mtu 1500
mssfix
log /var/tmp/debug_openvpn.out
verb 3
cipher BF-CBC
comp-lzo
float
keepalive 10 120
status /var/log/openvpn.log
cd /var/tmp/openvpn
chroot /var/tmp/openvpn
user openvpn
group openvpn
persist-tun
persist-key

Client:
Log:

root@fritz:/var/mod/root# netstat -r
Kernel IP routing table
Destination     Gateway         Genmask         Flags   MSS Window  irtt Iface
xxx.xx.x.xx     *               255.255.255.255 UH        0 0          0 dsl
192.168.180.1   *               255.255.255.255 UH        0 0          0 dsl
xxx.xx.x.xx     *               255.255.255.255 UH        0 0          0 dsl
192.168.2.201   *               255.255.255.255 UH        0 0          0 tun0
192.168.180.2   *               255.255.255.255 UH        0 0          0 dsl
192.168.2.1     192.168.2.201   255.255.255.255 UGH       0 0          0 tun0
192.168.2.0     192.168.2.201   255.255.255.0   UG        0 0          0 tun0
192.168.188.0   *               255.255.255.0   U         0 0          0 lan
192.168.189.0   *               255.255.255.0   U         0 0          0 guest
xxx.xx.x.x      *               255.255.0.0     U         0 0          0 dsl
169.254.0.0     *               255.255.0.0     U         0 0          0 lan
default         *               0.0.0.0         U         0 0          0 dsl
root@fritz:/var/mod/root# cat /var/tmp/debug_openvpn.out 
Mon Aug 24 00:22:46 2015 OpenVPN 2.3.8 mips-unknown-linux-gnu [SSL (OpenSSL)] [LZO] [IPv6] built on Aug  9 2015
Mon Aug 24 00:22:46 2015 library versions: OpenSSL 0.9.8zg 11 Jun 2015, LZO 2.09
Mon Aug 24 00:22:46 2015 WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
Mon Aug 24 00:22:46 2015 Control Channel Authentication: using '/tmp/flash/openvpn/static.key' as a OpenVPN static key file
Mon Aug 24 00:22:46 2015 Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Mon Aug 24 00:22:46 2015 Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Mon Aug 24 00:22:46 2015 Socket Buffers: R=[87380->131072] S=[16384->131072]
Mon Aug 24 00:22:46 2015 NOTE: chroot will be delayed because of --client, --pull, or --up-delay
Mon Aug 24 00:22:46 2015 NOTE: UID/GID downgrade will be delayed because of --client, --pull, or --up-delay
Mon Aug 24 00:22:46 2015 Attempting to establish TCP connection with [AF_INET]xxx.xx.x.xx:3128 [nonblock]
Mon Aug 24 00:22:47 2015 TCP connection established with [AF_INET]xxx.xx.x.xx:3128
Mon Aug 24 00:22:47 2015 Send to HTTP proxy: 'CONNECT xxx.myfritz.net:443 HTTP/1.0'
Mon Aug 24 00:22:47 2015 HTTP proxy returned: 'HTTP/1.0 200 Connection established'
Mon Aug 24 00:22:49 2015 TCPv4_CLIENT link local: [undef]
Mon Aug 24 00:22:49 2015 TCPv4_CLIENT link remote: [AF_INET]xxx.xx.x.xx:3128
Mon Aug 24 00:22:49 2015 TLS: Initial packet from [AF_INET]xxx.xx.x.xx:3128, sid=ab77db7f 4c18db85
Mon Aug 24 00:22:51 2015 VERIFY OK: depth=1, C=DE, ST=xx, L=xx, O=Internet Ltd., OU=MyOrganizationalUnit, CN=Internet Ltd. CA, name=xx, emailAddress=xx
Mon Aug 24 00:22:51 2015 VERIFY OK: depth=0, C=DE, ST=xx, L=xx, O=Internet Ltd., OU=MyOrganizationalUnit, CN=xx, name=xx, emailAddress=xx
Mon Aug 24 00:22:54 2015 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Mon Aug 24 00:22:54 2015 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Mon Aug 24 00:22:54 2015 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Mon Aug 24 00:22:54 2015 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Mon Aug 24 00:22:54 2015 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 2048 bit RSA
Mon Aug 24 00:22:54 2015 [vorhop] Peer Connection Initiated with [AF_INET]xxx.xx.x.xx:3128
Mon Aug 24 00:22:57 2015 SENT CONTROL [vorhop]: 'PUSH_REQUEST' (status=1)
Mon Aug 24 00:22:57 2015 PUSH: Received control message: 'PUSH_REPLY,route 192.168.2.0 255.255.255.0,route 192.168.2.1,ping 10,ping-restart 120,ifconfig 192.168.2.202 192.168.2.201'
Mon Aug 24 00:22:57 2015 OPTIONS IMPORT: timers and/or timeouts modified
Mon Aug 24 00:22:57 2015 OPTIONS IMPORT: --ifconfig/up options modified
Mon Aug 24 00:22:57 2015 OPTIONS IMPORT: route options modified
Mon Aug 24 00:22:57 2015 TUN/TAP device tun0 opened
Mon Aug 24 00:22:57 2015 TUN/TAP TX queue length set to 100
Mon Aug 24 00:22:57 2015 do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
Mon Aug 24 00:22:57 2015 /sbin/ifconfig tun0 192.168.2.202 pointopoint 192.168.2.201 mtu 1500
Mon Aug 24 00:22:57 2015 /sbin/route add -net 192.168.2.0 netmask 255.255.255.0 gw 192.168.2.201
Mon Aug 24 00:22:57 2015 /sbin/route add -net 192.168.2.0 netmask 255.255.255.0 gw 192.168.2.201
route: SIOCADDRT: File exists
Mon Aug 24 00:22:57 2015 ERROR: Linux route add command failed: external program exited with error status: 1
Mon Aug 24 00:22:57 2015 /sbin/route add -net 192.168.2.1 netmask 255.255.255.255 gw 192.168.2.201
Mon Aug 24 00:22:57 2015 chroot to '/var/tmp/openvpn' and cd to '/' succeeded
Mon Aug 24 00:22:57 2015 GID set to openvpn
Mon Aug 24 00:22:57 2015 UID set to openvpn
Mon Aug 24 00:22:57 2015 Initialization Sequence Completed
Mon Aug 24 00:24:37 2015 event_wait : Interrupted system call (code=4)
Mon Aug 24 00:24:37 2015 /sbin/route del -net 192.168.2.1 netmask 255.255.255.255
Mon Aug 24 00:24:37 2015 ERROR: Linux route delete command failed: could not execute external program
Mon Aug 24 00:24:37 2015 /sbin/route del -net 192.168.2.0 netmask 255.255.255.0
Mon Aug 24 00:24:37 2015 ERROR: Linux route delete command failed: could not execute external program
Mon Aug 24 00:24:37 2015 Closing TUN/TAP interface
Mon Aug 24 00:24:37 2015 /sbin/ifconfig tun0 0.0.0.0
Mon Aug 24 00:24:37 2015 Linux ip addr del failed: could not execute external program
Mon Aug 24 00:24:37 2015 SIGTERM[hard,] received, process exiting

Config:

root@fritz:/var/mod/root# cat /mod/etc/openvpn.conf 
#  OpenVPN 2.1 Config, Mon Aug 24 00:22:45 CEST 2015
proto tcp-client
dev tun
ca /tmp/flash/openvpn/ca.crt
cert /tmp/flash/openvpn/box.crt
key /tmp/flash/openvpn/box.key
tls-client
tls-auth /tmp/flash/openvpn/static.key 1
remote xxx.myfritz.net 443
nobind
pull
route 192.168.2.0 255.255.255.0
tun-mtu 1500
mssfix
log /var/tmp/debug_openvpn.out
verb 3
cipher BF-CBC
comp-lzo
float
keepalive 10 120
resolv-retry infinite
status /var/log/openvpn.log
cd /var/tmp/openvpn
chroot /var/tmp/openvpn
user openvpn
group openvpn
persist-tun
persist-key
http-proxy xxx.xx.x.xx 3128

Scheint irgendwie ähnlich zu sein, wie in dem Versuch ohne Internet.
Wenn jetzt nicht meine noobigkeit wäre...

 

[MaxMuster]

Der Tunnel bekommt "seine eigenen IPs", vollkommen unabhängig und ohne Überschneidung mit vorhandenen Netzen.

Wenn z.B. das Netz 192.168.2.0 nirgends genutzt wird, kannst du das nehmen.

Brauchst du denn die Mutli-Client-Config (mit Pool und so)? Dann musst du das Netz beim Client zwingend(!) in die "erweiterte Clientkonfig" für das Zertifikat beim Client eintragen (falls es interessiert: sonst fehlen dir die "iroute"-Einträge).
Dann wäre eine mögliche IP für den Server: 192.168.2.1 255.255.255.0

Dann in der erweiterten Konfig dem Zertifikats-Namen z.B. die 192.168.2.11 zuweisen und eintragen, dass dort "192.168.188.0 255.255.255.0" ist.

Dann, wie geschrieben, keine Routen beim Client, wenn die Routen schon der Server pushed.

So, wie es oben aussieht, solltest du dann die Server-Box erreichen können (zumindest als 192.168.2.1).

War das jetz hier oder im anderen Thread? Egal: Das mit dem Löschen der Routen nach dem Abbau der Verbindung ist tatsächlich ein Problem, weil zu dem Zeitpunkt die User-Rechte "runtergesetzt" sind.

 

[JokerGermany]

Nochmal ganz langsam bitte, Bahnhof ist beim lesen deines Post leider mein Freund

Zur Erklärung:
Netz der Server Fritzbox: 192.168.2.0
Netz der Client Fritzbox: 192.168.188.0

Das heißt ich muss noch nen anderes Netz zwischen den Fritzboxen erstellen?
Ich dachte das macht er automatisch.
Wo trage ich was genau ein?

 

[MaxMuster]

Also, mit den IPAdressen der Geräte ist es wie mit Adressen "im richtigen Leben": Sie müssen eindeutig sein!

Ist die FB z.B. 192.168.188.1 so könnte man das als "Musterort, Hauptstraße 1" sehen: Der erste Teil (Netz-Adresse 192.168.188.) steht für (Ort und) Straße, die ".1" wäre die Hausnummer.
Wir die Box noch an den "Tunnelweg" angeschlossen, darf der nicht auch "Musterort, Hauptstraße" heißen, sondern eben anders "Tunnelweg" oder z.B. 192.168.200.X
Wenn beide Straßen gleich heißen, weißt du nicht, wo du rausgehen sollst, um zur "Hauptstraße" zu kommen.

Der "Tunnelweg" verbindet Server- und Client-Box, beide sind "Anlieger" an der gleichen "ortsübergreifenden" Straße und haben eine IP in dem Netz.
Z.B. könnte damit der Server 192.168.200.1 und der Client 192.168.200.2 sein.

Eintragen tust du in deinem Fall alles beim Server, der schickt alles benötigte zum Client, wenn du mit Zertifikaten arbeitest.
Beim Client nur "alles vom Server holen, auch IP", dann ist der schnell fertig und "die Arbeit" hast du beim Server.

Beispiel für den Server:
Server 192.168.200.1 mit Maske 255.255.255.0
"Netz beim Server" 192.168.2.0 255.255.255.0

erweiterte Clientkonfig:

<Zertifikat CN>	192.168.200.2	192.168.188.0 255.255.255.0

[td]Clientname[/td]
[td]VPN-IP[/td]
[td]Netz beim Client[/td]

So, alles schön auf dem Silbertablett ;-)



PS für alle, die es besser wissen: Ja, ich weiß, das Beispiel mit den Straßen/Adressen ist stark vereinfacht und hinkt z.B. bei PtP oder Bridging, aber hier für Tunnel ist es hoffentlich klar.

 

[JokerGermany]

Wow, vielen Dank scheint zu funktionieren.
Der Knackpunkt war, dass ich die Straße nicht beachtet habe, dachte die baut sich OpenVPN selbst durchs internet.

Gut, dann habe ich jetzt noch ne Problem:
Ich möchte, dass alle Anfragen, die nicht über den Proxy Server 172.xx.x.xx:3128 gehen (Proxy eingestellt z.B. im Browser), automatisch über die andere Fritz!Box (192.168.2.0) gehen, geht das?

Falls nicht, wäre es erstmal für den Anfang schön, wenn der komplette Datenverkehr vom Android Smartphone und Tablet durch das 192.168.2.0 netz laufen.
Auch die Fritz!Box hat Probleme mit dem Proxy und bekommt kein Internet, auch für die wäre es schön, wenn deren Internet Verkehr (ntp, myfritz usw.) über das 192.168.2.0 netz laufen würde.

Vermute, dass ich da etwas am Routing ändern muss.
Würde es funktionieren, jedes Routing, dass nicht über den oben genannten Proxy Server läuft läuft auf die 192.168.2.1 bzw. 192.168.200.1 zu senden? (evtl noch für Drucker usw. weitere routen hinzufügen usw...)
Wenn ja, wie bekomme ich das so eingestellt, dass das Routing beim Abbruch der Verbindung wieder normal ist?
Und welche IP der Server Fritz!Box würde ich im Routing eintragen? 192.168.2.1 oder 192.168.200.1?

€dit:
Ok einfach Clientverkehr umleiten aktivieren.

Wwenn die Route nur über das "Internet" der lokalen Fritz!Box geht, scheint das interessanterweise OpenVPN zu merken und schickt es nicht über den VPN

 

[JokerGermany]

Weiß nicht, ob ich dafür besser nen neues Thema aufmache, ich versuche es erstmal hier:
Wie bekomme ich den VOIP Traffic über den VPN geroutet?

Muss ich etwas an den forward rules ändern?

voip_forwardrules = "udp 0.0.0.0:5060 0.0.0.0:5060",     
                            "tcp 0.0.0.0:5060 0.0.0.0:5060",     
                            "udp 0.0.0.0:7078+32 0.0.0.0:7078";  
        tr069_forwardrules = "tcp 0.0.0.0:8089 0.0.0.0:8089";    
        voip_ip6_forwardrules = "udp 5060,7078-7109", "tcp 5060";
        tr069_ip6_forwardrules = "tcp 8089";

 

[MaxMuster]

Den VoIP-Trafic der Box? Das könnte kompliziert werden, weil die Box alles was mit VoIP zusammenhängt "etwas anders" handhabt (und nicht normal routet, soweit ich weiß).
Zudem kommen dann ggf. weitere NAT-Probleme hinzu, weil der VoIP-Verkehr nicht vom Internet-Interface kommt.
Wäre jetzt wichtig, dass du das etwas genauer beschreiben könntest, was du genau erreichen willst.

Die "Forward-Rules" haben damit nichts zu tun, die sind für eingehendes VoIP vom Internet.

 

[JokerGermany]

Ich kann hier zwar über die Festnetz Leitung Gespräche entgegennehmen, aber keine (kostenlosen) Gespräche nach außen führen.

Am liebsten wäre es, wenn ich der "Remote" Fritz!Box sagen könnte, sie soll mit einer Nummer ne VOIP Verbindung zu mir und mit einer anderen Nummer die Verbindung zu meinem gewünschten Gesprächspartner aufbauen. Also sozusagen ein Callthrough ohne through
(Hätte den Vorteil, dass der VOIP-Traffic nicht die eh schon schmale VPN Verbindung belastet)

Da ich nicht weiß wie ich das oben genannte am realisieren soll, war meine Idee jetzt eine der folgenden:
A: Ich baue eine SIP Verbindung zur "Remote" Fritz!Box auf, wie ein LAN/IP Telefon.
B: Ich baue eine SIP Verbindung zu 1und1 auf.

Beides habe ich probiert und als registrar in Fall A 192.168.200.1 angegeben, aber irgendwie hat das nicht funktioniert =(
Version A wäre wohl besser als Version B, weil ich dann durch eine Vermittlung das Gespräch zumindestens nachträglich über den Festnetzanschluss vermitteln kann.

 

[MaxMuster]

Zwei Sachen fallen mir dazu ein:
Musste man nicht in einem Szenario als Registrar zwingend fritz.box eintragen und dann beim "Proxy" die IP der anderen Box? Oder war das woanders?
Dann: steht deine Remote Box auf "eigene Internetverbindung aufbauen"? Dann kann es sein, dass das gar nicht geht; AVM sagt zumindest, dass du um "FB an FB" zu verbinden als Voraussetung benötigst, dass
- In FRITZ!Box B muss die Betriebsart "Vorhandene Internetverbindung mitbenutzen (IP-Client-Modus)" eingerichtet sein.

Wie gesagt, AVM schickt da bei VoIP Pakete z.T. direkt und nicht "nach der Routingtabelle"...

 

[JokerGermany]

Zwei Sachen fallen mir dazu ein:
Musste man nicht in einem Szenario als Registrar zwingend fritz.box eintragen und dann beim "Proxy" die IP der anderen Box? Oder war das woanders?

Geht nicht,
Würde es eventuell was bringen den OpenVPN von Tunnel auf Bridge um zu stellen?

Dann: steht deine Remote Box auf "eigene Internetverbindung aufbauen"? Dann kann es sein, dass das gar nicht geht; AVM sagt zumindest, dass du um "FB an FB" zu verbinden als Voraussetung benötigst, dass
- In FRITZ!Box B muss die Betriebsart "Vorhandene Internetverbindung mitbenutzen (IP-Client-Modus)" eingerichtet sein.

Jap ist eigene Internetverbindung und muss auch so bleiben...

Wie gesagt, AVM schickt da bei VoIP Pakete z.T. direkt und nicht "nach der Routingtabelle"...

na toll...

 

[JokerGermany]

Hmm, gut mal abseits des VOIP Problems, habe ich nen erneutes Problem:

Fri Aug 28 20:05:24 2015 PUSH: Received control message: 'PUSH_REPLY,route-gateway 192.168.200.1,topology subnet,route 192.168.2.0 255.255.255.0,route 192.168.200.1,ping 10,ping-restart 120,ifconfig 192.168.200.2 255.255.255.0'
Fri Aug 28 20:05:24 2015 OPTIONS IMPORT: timers and/or timeouts modified
Fri Aug 28 20:05:24 2015 OPTIONS IMPORT: --ifconfig/up options modified
Fri Aug 28 20:05:24 2015 OPTIONS IMPORT: route options modified
Fri Aug 28 20:05:24 2015 OPTIONS IMPORT: route-related options modified
Fri Aug 28 20:05:24 2015 TUN/TAP device tun0 opened
Fri Aug 28 20:05:24 2015 TUN/TAP TX queue length set to 100
Fri Aug 28 20:05:24 2015 do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
Fri Aug 28 20:05:24 2015 /sbin/ifconfig tun0 192.168.200.2 netmask 255.255.255.0 mtu 1500 broadcast 192.168.200.255
Fri Aug 28 20:05:24 2015 [B]NOTE: unable to redirect default gateway -- Cannot read current default gateway from system[/B]
Fri Aug 28 20:05:24 2015 /sbin/route add -net 192.168.2.0 netmask 255.255.255.0 gw 192.168.200.1
Fri Aug 28 20:05:24 2015 /sbin/route add -net 192.168.200.1 netmask 255.255.255.255 gw 192.168.200.1

Warum kann er den default gateway auf einmal nicht mehr umlenken?
gestern ging es noch
€dit2:
Box restartet, datum gesetzt und dann ging es...

€dit3:
OK, wenn man einmal den OpenVPN gestartet hatte und die Verbindung abbaut, dann baut er sie nicht korrekt ab.
Manuell muss auf der Fritz!Box nach dem nächsten Aufruf der Befehl
/sbin/route add -net 0.0.0.0 netmask 0.0.0.0 gw 192.16
route: resolving 192.16
getätigt werden...

€dit:
2. Nach einem neustart der Box hat sie immer ein Datum von 1970, was sich etwas mit der Gültigkeit vom Zertifikat beißt...
Durch den Proxy kann sie das Datum erst aktualisieren, wenn die VPN Verbindung steht...
Wie kann ich den

date -s 2015-08-28

Befehl vor dem Aufbau der Open VPN Verbindung einbauen?

 

[MaxMuster]

Das Datum könntest du in der "rc.custom" (im "Freetz" Menu) am Ende des Bootprozesses setzen.

Wie schon geschrieben ist das Programm beim Abbauen nicht mehr "root" und hat nicht mehr die Berechtigung, die Routen wieder zu löschen. Wenn du damit nicht auf Dauer klar kommst, könntest du die "neue GUI" nutzen, da kannst du deine Config als Text-Datei eintragen und wirst nicht auf die erzeugte Config mit "chroot/user/gropu" festgelegt. Alternativ könntest du mal versuchen, bei den "erweiterten Befehlen" einzutragen:
user root; group root
hilft das bei den Routen?

 

[JokerGermany]

Das Datum könntest du in der "rc.custom" (im "Freetz" Menu) am Ende des Bootprozesses setzen.

Danke, klappt =)

Wie schon geschrieben ist das Programm beim Abbauen nicht mehr "root" und hat nicht mehr die Berechtigung, die Routen wieder zu löschen. Wenn du damit nicht auf Dauer klar kommst, könntest du die "neue GUI" nutzen, da kannst du deine Config als Text-Datei eintragen und wirst nicht auf die erzeugte Config mit "chroot/user/gropu" festgelegt. Alternativ könntest du mal versuchen, bei den "erweiterten Befehlen" einzutragen:
user root; group root
hilft das bei den Routen?

Leider nicht

Wed Sep  2 15:52:21 2015 HTTP proxy returned: 'HTTP/1.0 504 Gateway Time-out'
Wed Sep  2 15:52:21 2015 HTTP proxy returned bad status
Wed Sep  2 15:52:21 2015 /sbin/route del -net 192.168.200.1 netmask 255.255.255.255
Wed Sep  2 15:52:21 2015 ERROR: Linux route delete command failed: could not execute external program
Wed Sep  2 15:52:21 2015 /sbin/route del -net 192.168.2.0 netmask 255.255.255.0
Wed Sep  2 15:52:21 2015 ERROR: Linux route delete command failed: could not execute external program
Wed Sep  2 15:52:21 2015 /sbin/route del -net 172.30.0.30 netmask 255.255.255.255
Wed Sep  2 15:52:21 2015 ERROR: Linux route delete command failed: could not execute external program
Wed Sep  2 15:52:21 2015 /sbin/route del -net 0.0.0.0 netmask 0.0.0.0
Wed Sep  2 15:52:21 2015 ERROR: Linux route delete command failed: could not execute external program
Wed Sep  2 15:52:21 2015 /sbin/route add -net 0.0.0.0 netmask 0.0.0.0 dev dsl
Wed Sep  2 15:52:21 2015 ERROR: Linux route add command failed: could not execute external program
Wed Sep  2 15:52:21 2015 Closing TUN/TAP interface
Wed Sep  2 15:52:21 2015 /sbin/ifconfig tun0 0.0.0.0
Wed Sep  2 15:52:21 2015 Linux ip addr del failed: could not execute external program
Wed Sep  2 15:52:22 2015 SIGTERM[soft,init_instance] received, process exiting

Also in die neue Gui müsste ich den jetztigen Inhalt von /mod/etc/openvpn.conf eintragen?

 

[MaxMuster]

Das einfachste: Lass alles wie es ist und nutze "eine komplett eigene Config" (die GUI-Einstellungen werden dann ignoriert).

Die muss dann (ohne "goup" und "user") nach /tmp/flash/openvpn/own_openvpn.conf.
Und, vorher als Problem vergessen, das "chroot" muss auch noch weg (oder /sbin/route in den chroot-Ordner gebracht werden)

Nicht getestet, aus dem Kopf:


grep -v -e '^user\|^group\|^chroot' /mod/etc/openvpn.conf > /tmp/flash/openvpn/own_openvpn.conf


Danach neu starten.

Wenns geht, noch ein "modsave flash" anhängen und gut ;-)


Ich würde dafür auf jeden Fall zuvor aber noch das "Debug-Logging" abschalten. Nicht das die Box sich dann wegen Speichermalgel aufhängt...