OpenVPN: Rechner / Server sind nicht erreichbar

[deusr]

Hallo,

Nach viel hin und her habe ich es geschafft, dass meine FritzBox eine Verbindung mit meinem VPN Server aufbaut. Doch leider sind keine Rechner erreichbar.

Meine openvpn.conf sieht so aus:

client
float
proto udp
port 443
remote xxxxxxx
dev-type tun
dev-node /dev/misc/net/tun

tun-mtu 1500
mssfix
verb 4

tls-client
ca ca.crt
cert client04.crt
key client04.key
tls-auth ta.key 1
auth SHA1
cipher aes-256-cbc
nobind


ping 15
ping-restart 120
persist-tun
persist-key
resolv-retry infinite

Fast die gleiche Config nutze ich auch, um sich mit meinem Notebook zum VPN Server zu verbinden, dort funktioniert alles.

tun0      Link encap:Point-to-Point Protocol
          inet addr:10.29.0.34  P-t-P:10.29.0.33  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1500  Metric:1
          RX packets:22 errors:0 dropped:0 overruns:0 frame:0
          TX packets:215 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100
          RX bytes:462 (462.0 B)  TX bytes:18060 (17.6 KiB)

Die 10.29.0.34er IP ist erreichbar, die 33er jedoch nicht. Hat jemand eine Idee?

 

[MaxMuster]

Hallo,

hier im Forum haben viele Leute Ideen ;-) ...aber ein wenig mehr Input dürfte es schon sein.

Z.B. welche VPN-Version du benutzt (und eine Signatur hilft dann auch zu sehen, was für eine Box du nutzt...)? Wie sieht denn deine Server-Config aus? Von wo aus sind "keine Rechner erreichbar"? Von der Client-Box oder vom Netz dahinter? Von welchen System kommt denn der ifconfig Ausschnitt? Woher hat der Client seine IP?
Ich kenne das bei der Tunnel-Variante nur mit einem ifconfg <local IP> <remote IP> oder pull in der Config.
Auch habe ich noch ein ns-cert-type server mit drin...

Jörg

 

[deusr]

Also ich habe eine FritzBox Fon ATA mit dem ds-mod. Ich habe versucht mit der dort installierten Version mich zu verbinden, aber es funktionierte nicht. Nach ca. 60 sek kam ein TLS Handshake error. Ich habe mir deshalb die 2.1.b8 von hier gezogen:
http://www.ip-phone-forum.de/showpost.php?p=527338&postcount=180

Auf dem Server rennt OpenVPN 2.0.6, die Config dazu:

port 443
proto udp
dev tun
tun-mtu 1492
fragment 1300
mssfix

status /tmp/vpn.status
tls-auth /etc/openvpn/ta.key 0
keepalive 10 30
client-to-client
max-clients 150
verb 3

tls-server
dh /etc/openvpn/dh1024.pem
ca /etc/openvpn/ca.crt
cert /etc/openvpn/server.crt
key /etc/openvpn/server.key
comp-lzo

server 10.29.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt

push "route 10.29.0.0 255.255.255.0"
keepalive 10 120
auth SHA1
cipher AES-256-CBC
user nobody
group nobody
persist-key
persist-tun

Der ifconfig Ausschnitt war von der FritzBox. Hier ist noch ein Ausschnitt aus einem anderen Linux Rechner, bei dem alles richtig funktioniert:

tun0      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
          inet addr:10.29.0.10  P-t-P:10.29.0.9  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1492  Metric:1
          RX packets:521198 errors:0 dropped:0 overruns:0 frame:0
          TX packets:641047 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100
          RX bytes:51736676 (49.3 Mb)  TX bytes:201450508 (192.1 Mb)

Also um genau zu sein, ich kann garnichts aus dem VPN Netz erreichen, außer der FritzBox selbst. Genau das gleiche auch in anderer Richtung Sever -> Box. Und genau das kann ich leider auch nicht verstehen, denn der Client bekommt die IP ja vom Server zugewiesen.

 

[AndreR]

Ich bin zwar keine große Hilfe, aber ich hab das gleiche Problem: alle VPN Clients können miteinander, nur die FBF sendet und empfängt nichts, weder vom Server noch an irgendeinen Client. Adresen werden korrekt zugewiesen, auch auf dem Serverlog wunderbar zu sehen.

Selbe Config + Zertifikate auf Notebook z.B. funktionieren 1a.

 

[deusr]

Okay, mein Fehler, es hat

fragment 1300

in der Client Config gefehlt. Eine Frage noch: wie bekomm ich den neuen Client, die Certs und die Config in den Flash speicher? Hab keine Lust die jedes Mal mit wget über die debug.conf ziehen zu lassen.

 

[deusr]

Selbe Config + Zertifikate auf Notebook z.B. funktionieren 1a.

Ich hatte gestern einen Ähnlichen Fehler. Ursache war, dass anscheinend nicht jede openvpn Version mit einander arbeiten will. Versuch doch mal die, aus meinem Link im Post oben.

 

[MaxMuster]

Hi,

Also um genau zu sein, ich kann garnichts aus dem VPN Netz erreichen, außer der FritzBox selbst. Genau das gleiche auch in anderer Richtung Sever -> Box. Und genau das kann ich leider auch nicht verstehen, denn der Client bekommt die IP ja vom Server zugewiesen.

Also der Ping auf die jeweils andere Seite ist o.k.? Sprich die "Client-FritzBox" erreicht den VPN-Server und umgekehrt? Dann scheint das Routing nicht o.k. zu sein. Poste doch mal die Routing-Tabelle der Client-Box...
(Was alles mit dem Befehl "Server a.b.c.d" erschlagen wird habe ich nie so richtig durchblickt.)
Falls das das Problem ist bin ich mir nicht sicher ob in der Config der "pull" Befehl reichen würde, ansonsten könnte ein "route 10.29.0.0 255.255.255.0" helfen...

Jörg

 

[deusr]

Nene, nachdem ich "fragment 1300" in die Client Config eingefügt habe, funktioniert alles. Nur ist jetzt die Frage, wie ich die ganzen Sachen dauerhaft auf der Box sichern kann, nicht dass die nach einem Reboot weg sind...

 

[MaxMuster]

... z.B. siehe http://www.ip-phone-forum.de/showpost.php?p=862225&postcount=2

Ergänzung: ... oder du versuchst es nochmal mit dem ds-mod, da hast du dann alles zusammen und noch 'nen schönes Interface dazu:
Der "TLS-Fehler" könnte an fehlerhaft kompilierten openssl-libs liegen (siehe dazu z.B.: hier oder hier )
Jörg