OpenVPN: push wird ignoriert

Helmut72

Neuer User
Mitglied seit
21 Sep 2021
Beiträge
5
Punkte für Reaktionen
0
Punkte
1
Hallo,

freetz-ng-18541

Ich setze als zusätzliche Parameter:

secret /tmp/flash/openvpn/static.key;auth SHA256;auth-nocache;push "route 192.168.4.0 255.255.255.0";push "dhcp-option DNS 192.168.124.254";push "dhcp-option DNS 192.168.124.253";push "dhcp-option WINS 192.168.124.254";push "dhcp-option WINS 192.168.4.253"

1632397697771.png
[Edit Novize: Riesenbild gemäß der Forumsregeln auf Vorschau verkleinert und Log in Code-Tags geklammert]
Code:
secret, auth, auth-nocache werden berücksichtigt, die push Befehle jedoch nicht.

[email protected]:/var/mod/root# cat /mod/etc/openvpn.conf
# OpenVPN 2.5.3 mips-unknown-linux-gnu [SSL (OpenSSL)] [LZO] [AEAD] built on Sep 21 2021
# library versions: OpenSSL 1.1.1l  24 Aug 2021, LZO 2.10
#  Config date: Thu Sep 23 12:28:50 CEST 2021
proto udp
dev tun
secret /tmp/flash/openvpn/static.key
port 51194
ifconfig 10.0.125.1 10.0.125.2
tun-mtu 1500
mssfix
verb 3
cipher AES-256-CBC
comp-lzo
keepalive 10 120
status /var/log/openvpn.log
cd /var/tmp/openvpn
chroot /var/tmp/openvpn
user openvpn
group openvpn
persist-tun
persist-key
secret /tmp/flash/openvpn/static.key
auth SHA256
push "route 192.168.124.0 255.255.255.0"
push "dhcp-option DNS 192.168.124.254"
push "dhcp-option DNS 192.168.124.253"
push "dhcp-option WINS 192.168.124.254"
push "dhcp-option WINS 192.168.4.253"
[email protected]:/var/mod/root#

Thu Sep 23 12:49:47 2021 us=599957 Outgoing Static Key Encryption: Cipher 'AES-256-CBC' initialized with 256 bit key
Thu Sep 23 12:49:47 2021 us=599957 Outgoing Static Key Encryption: Using 256 bit message hash 'SHA256' for HMAC authentication
Thu Sep 23 12:49:47 2021 us=600954 Incoming Static Key Encryption: Cipher 'AES-256-CBC' initialized with 256 bit key
Thu Sep 23 12:49:47 2021 us=600954 Incoming Static Key Encryption: Using 256 bit message hash 'SHA256' for HMAC authentication
Thu Sep 23 12:49:47 2021 us=600954 LZO compression initializing
Thu Sep 23 12:49:47 2021 us=600954 MANAGEMENT: >STATE:1632394187,RESOLVE,,,,,,
Thu Sep 23 12:49:47 2021 us=608933 interactive service msg_channel=848
Thu Sep 23 12:49:47 2021 us=608933 open_tun
Thu Sep 23 12:49:47 2021 us=609930 TAP-WIN32 device [OpenVPN TAP #1] opened: \\.\Global\{3F21ACC7-CAEA-4C63-B03C-A759FED93E1F}.tap
Thu Sep 23 12:49:47 2021 us=609930 TAP-Windows Driver Version 9.23
Thu Sep 23 12:49:47 2021 us=609930 TAP-Windows MTU=1500
Thu Sep 23 12:49:47 2021 us=613920 Notified TAP-Windows driver to set a DHCP IP/netmask of 10.0.125.2/255.255.255.252 on interface {3F21ACC7-CAEA-4C63-B03C-A759FED93E1F} [DHCP-serv: 10.0.125.1, lease-time: 31536000]
Thu Sep 23 12:49:47 2021 us=614917 Successful ARP Flush on interface [8] {3F21ACC7-CAEA-4C63-B03C-A759FED93E1F}
Thu Sep 23 12:49:47 2021 us=649824 do_ifconfig, tt->did_ifconfig_ipv6_setup=0
Thu Sep 23 12:49:47 2021 us=649824 MANAGEMENT: >STATE:1632394187,ASSIGN_IP,,10.0.125.2,,,,
Thu Sep 23 12:49:47 2021 us=649824 Data Channel MTU parms [ L:1573 D:1450 EF:73 EB:398 ET:0 EL:3 ]
Thu Sep 23 12:49:47 2021 us=649824 Local Options String (VER=V4): 'V4,dev-type tun,link-mtu 1573,tun-mtu 1500,proto UDPv4,ifconfig 10.0.125.1 10.0.125.2,comp-lzo,cipher AES-256-CBC,auth SHA256,keysize 256,secret'
Thu Sep 23 12:49:47 2021 us=649824 Expected Remote Options String (VER=V4): 'V4,dev-type tun,link-mtu 1573,tun-mtu 1500,proto UDPv4,ifconfig 10.0.125.2 10.0.125.1,comp-lzo,cipher AES-256-CBC,auth SHA256,keysize 256,secret'
Thu Sep 23 12:49:47 2021 us=649824 TCP/UDP: Preserving recently used remote address: [AF_INET]192.168.124.1:51194
Thu Sep 23 12:49:47 2021 us=649824 Socket Buffers: R=[65536->65536] S=[65536->65536]
Thu Sep 23 12:49:47 2021 us=649824 UDP link local: (not bound)
Thu Sep 23 12:49:47 2021 us=649824 UDP link remote: [AF_INET]192.168.124.1:51194
Thu Sep 23 12:49:57 2021 us=10798 Peer Connection Initiated with [AF_INET]192.168.124.1:51194
Thu Sep 23 12:50:03 2021 us=152433 TEST ROUTES: 0/0 succeeded len=0 ret=1 a=0 u/d=up
Thu Sep 23 12:50:03 2021 us=152433 Initialization Sequence Completed
Thu Sep 23 12:50:03 2021 us=153430 MANAGEMENT: >STATE:1632394203,CONNECTED,SUCCESS,10.0.125.2,192.168.124.1,51194,,
[/c0dote]
Da fehlt halt z.B. das "ROUTE ADD". Irgendwer eine Idee? Ich hab 2 weiter Instanzen auf *IX laufen, da klappt so ein push.

Danke!

EDIT:

[URL unfurl="true"]https://openvpn.net/community-resources/reference-manual-for-openvpn-2-4/[/URL]

[B]--pull[/B]
This option must be used on a client which is connecting to a multi-client server. It indicates to OpenVPN that it should accept options pushed by the server, provided they are part of the legal set of pushable options (note that the[B]--pull[/B] option is implied by [B]--client[/B] ).In particular, [B]--pull[/B] allows the server to push routes to the client, so you should not use [B]--pull[/B] or [B]--client[/B] in situations where you don't trust the server to have control over the client's routing table.

Ich bin im static mode...Liegt's daran?
 
Zuletzt bearbeitet von einem Moderator:

PeterPawn

IPPF-Urgestein
Mitglied seit
10 Mai 2006
Beiträge
14,138
Punkte für Reaktionen
1,358
Punkte
113
Die Server-Konfiguration stammt vermutlich(!) von einer FRITZ!Box, das Protokoll aber von einem Windows-Client, wenn ich mich nicht schwer irre. Da wird das "Raten" halt auch schwer ... wäre nicht die Client-Konfiguration hier (mindestens) ebenso angebracht, wie die Server-Konfiguration?

Ohne eine der client-seitigen Optionen --client oder --pull (--client ist eine Kurzform für zwei andere Optionen, von denen die eine dann wieder das --pull ist) werden jedenfalls diese Daten auch nicht vom Server abgerufen und wenn das erfolgt, sollte im Protokoll auch etwas wie dieses auftauchen (bei verb 3):
Code:
2021-09-23 14:40:13 SENT CONTROL [ovpngw.domain.com]: 'PUSH_REQUEST' (status=1)
2021-09-23 14:40:13 PUSH: Received control message: 'PUSH_REPLY,dhcp-option DOMAIN dynamic.domain.com,dhcp-option DNS 192.168.169.1,dhcp-option NTP 192.168.169.1,route-gateway 192.168.169.1,ping 5,ping-restart 30,route 192.168.169.0 255.255.255.240 vpn_gateway,ifconfig 192.168.169.2 255.255.255.240'
... etwas in dieser Richtung sieht man in Deinem Log aber gar nicht (nicht mal die Zeile mit dem PUSH_REQUEST). Da liegt es dann eher nahe, daß die Client-Konfiguration gar nicht darauf eingerichtet ist, diese Daten vom Server abzurufen.
 

Helmut72

Neuer User
Mitglied seit
21 Sep 2021
Beiträge
5
Punkte für Reaktionen
0
Punkte
1
[Edit Novize: Überflüssiges Fullquote vom Beitrag direkt darüber gelöscht - siehe Forumsregeln]

--pull wird nur mit TLS unterstützt. Mit 'pull' in der Client Config:

Options error: Parameter --pull can only be specified in TLS-mode, i.e. where --tls-server or --tls-client is also specified.
Use --help for more information.

Mit 'tls-client':

Options error: specify only one of --tls-server, --tls-client, or --secret
Use --help for more information.

Ist eh nur der Notzugang, halb so wild also, wollt nur wissen warum.
 
Zuletzt bearbeitet von einem Moderator:

PeterPawn

IPPF-Urgestein
Mitglied seit
10 Mai 2006
Beiträge
14,138
Punkte für Reaktionen
1,358
Punkte
113
Wie geschrieben ... ein Blick in die Client-Konfiguration wäre NÖTIG, wenn man das irgendwie "verstehen" will. Und ja, --pull ist eine Option, die nur in einer Client-/Server-Konstellation Sinn ergibt (und deshalb auch nur unterstützt wird, solange man einen solchen Client konfiguriert hat) - deshalb ist die bereits erwähnte Option --client ja auch genau die "Abkürzung" für die zwei Optionen --pull UND --tls-client.

Die Erwartung, daß automatisch immer irgendwelche Angaben in einem OpenVPN-Client vom Peer übernommen würden, solange man sie nur mit einer --push-Option in der entfernten Konfiguration versehen hat, ist jedenfalls falsch - das ganze --push und --pull (bzw. --client) funktioniert nur in Kombination mit den passenden Konfigurationen.
 

Erhalten Sie 3CX für 1 Jahr kostenlos!

Gehostet, in Ihrer privaten Cloud oder on-Premise! Ganz ohne Haken. Geben Sie Ihren Namen und Ihre E-Mail an und los geht´s:

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
oder via