Openvpn Routing-Problem

Sidebar Sidebar
Upgrade 3CX to v18 and get it hosted free!
C

chaosworld

Neuer User
Mitglied seit
15 Mai 2007
Beiträge
7
Punkte für Reaktionen
0
Punkte
0
Hi

habe folgende Daten:

Box: Fritzbox 7170
ds-mod ds26-15.2
basierend auf der Fritzbox Labor mit AB

Auf der Weboberfläche habe ich folgendes eingegeben:
Code: 
Starttyp: Manuell
OpenVPN als Server oder als Client?: Server
UDP oder TCP Protokoll?: UDP
Port: 1194
Modus: Tunnel(TUN)
Authentifizierungsmethode Zertifikate
Cipher: AES 256
TLS-Authentifizierung (nur mit Zertifikaten):  NEIN

IP-Adressen
Lokaler Endpunkt
IP-Adresse: 10.0.0.1
Subnetzmaske: 255.255.255.0
Entfernter Endpunkt (nur für TUN) 10.0.0.2
Netzwerksegment (nur für TUN-Server): 10.0.0.0 255.255.255.0

Routing (optional)
Lokales Netzwerk:192.168.178.0 255.255.255.0
Entferntes Netzwerk: 192.168.200.0 255.255.255.0

Server-Einstellungen
Client Adressbereich (nur mit Zertifikaten):
192.168.200.4 192.168.200.251
Max. Clients: 5
Client Traffic umleiten NEIN
Clients dürfen untereinader kommunizieren NEIN
Verbindung aufrechterhalten JA
LZO Komprimierung aktivieren JA
Erlaube IP-Änderungen für entfernte Hosts NEIN
Verbindungen protokollieren NEIN

das ergibt dann folgende Datei:
/var/mod/etc/openvpn-lzo.conf
Code: 
# OpenVPN 2.1 Config
proto udp
port 1194
dev tun
ca /tmp/flash/ca.crt
cert /tmp/flash/box.crt
key /tmp/flash/box.key
mode server
tls-server
dh /tmp/flash/dh.pem
ifconfig-pool 192.168.200.4 192.168.200.251
ifconfig 10.0.0.1 10.0.0.2 
route 10.0.0.0 255.255.255.0
push "route 10.0.0.0 255.255.255.0"
push "route 192.168.178.0 255.255.255.0"
max-clients 5
tun-mtu 1500
mssfix

daemon
verb 3

cipher AES-256-CBC
route 192.168.200.0 255.255.255.0
comp-lzo
keepalive 10 120

Auf dem Client habe ich folgende Config-Datei:
Code: 
# OpenVPN v2.0.5 config:
####################################################
# Authentifizierung und Verschluesselung
cd d:\\programme\\openvpn\\config # Pfadanpassung; bzw. /etc/keys/...
ca ca.crt
cert client.crt
key client.key

auth SHA1
cipher AES-256-CBC

####################################################
# Grundsaetzliches
dev tun0
ifconfig 10.0.0.2 10.0.0.1
proto udp
#for 2.4: dev-node /dev/misc/net/tun 
# for 2.6:
#do not forget to insert onto shell: mknod /var/tmp/tun c 10 200
#dev-node tap

nobind


####################################################
# Client-Einstellungen
tls-client
ns-cert-type server #for OVP2.0 and below: check the server.crt
pull	# Fetch configuration from Server


####################################################
# Server-Einstellungen
remote irgendeine.dyndns.org 1194    #Server IP/URI und evtl. port anpassen

####################################################
## Enable compression
## server & client entry must be equal!
comp-lzo

####################################################
# Protokollierungseinstellung
verb 3

####################################################
# Daemon
;daemon #ausführung im Hintergrund


#server:
#Routen setzen, bei route Subnetz des Clients
# bei push Subnetz des eigenen Servers eintragen
;route 192.168.xx.0 255.255.255.0
;push "route 192.168.yy.0 255.255.255.0"


#client:
#Routen setzen, bei route Subnetz der Server-Box
# bei push Subnetz der eignen Client-Box eintragen
route 192.168.178.0 255.255.255.0 192.168.200.1
#route 192.168.178.0 255.255.255.0 10.0.0.1
push "route 192.168.200.0 255.255.255.0"


# Don't close and reopen TUN/TAP device or run up/down 
# scripts across SIGUSR1 or --ping-restart restarts.
persist-tun 

# Don't re-read key files on reconnect
persist-key

# Change process priority after initialization 
# n>0 : lower priority; n<0 : higher priority).
nice 1
    

####################################################
# Verbindung aufrecht halten
ping 10
ping-restart 60

und hier die log-Datei
Code: 
Thu Aug 30 18:16:43 2007 OpenVPN 2.0.9 Win32-MinGW [SSL] [LZO] built on Oct  1 2006
Thu Aug 30 18:16:43 2007 IMPORTANT: OpenVPN's default port number is now 1194, based on an official port number assignment by IANA.  OpenVPN 2.0-beta16 and earlier used 5000 as the default port.
Thu Aug 30 18:16:43 2007 WARNING: using --pull/--client and --ifconfig together is probably not what you want
Thu Aug 30 18:16:43 2007 LZO compression initialized
Thu Aug 30 18:16:43 2007 Control Channel MTU parms [ L:1558 D:138 EF:38 EB:0 ET:0 EL:0 ]
Thu Aug 30 18:16:43 2007 Data Channel MTU parms [ L:1558 D:1450 EF:58 EB:135 ET:0 EL:0 AF:3/1 ]
Thu Aug 30 18:16:43 2007 Local Options hash (VER=V4): '22188c5b'
Thu Aug 30 18:16:43 2007 Expected Remote Options hash (VER=V4): 'a8f55717'
Thu Aug 30 18:16:43 2007 WARNING: nice 1 failed (function not implemented)
Thu Aug 30 18:16:43 2007 UDPv4 link local: [undef]
Thu Aug 30 18:16:43 2007 UDPv4 link remote: 88.70.159.9:1194
Thu Aug 30 18:16:43 2007 TLS: Initial packet from 88.70.159.9:1194, sid=1ad1df28 b238f3bb
Thu Aug 30 18:16:44 2007 VERIFY OK: depth=1, /C=De/ST=ND/L=MyCity/O=firma/CN=ca/[email protected]
Thu Aug 30 18:16:44 2007 VERIFY OK: nsCertType=SERVER
Thu Aug 30 18:16:44 2007 VERIFY OK: depth=0, /C=De/ST=ND/O=firma/CN=fritzbox/[email protected]
Thu Aug 30 18:16:45 2007 Data Channel Encrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
Thu Aug 30 18:16:45 2007 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Thu Aug 30 18:16:45 2007 Data Channel Decrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
Thu Aug 30 18:16:45 2007 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Thu Aug 30 18:16:45 2007 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
Thu Aug 30 18:16:45 2007 [fritzbox] Peer Connection Initiated with 88.70.159.9:1194
Thu Aug 30 18:16:46 2007 SENT CONTROL [fritzbox]: 'PUSH_REQUEST' (status=1)
Thu Aug 30 18:16:46 2007 PUSH: Received control message: 'PUSH_REPLY,route 10.0.0.0 255.255.255.0,route 192.168.178.0 255.255.255.0,ping 10,ping-restart 120,ifconfig 192.168.200.6 192.168.200.5'
Thu Aug 30 18:16:46 2007 OPTIONS IMPORT: timers and/or timeouts modified
Thu Aug 30 18:16:46 2007 OPTIONS IMPORT: --ifconfig/up options modified
Thu Aug 30 18:16:46 2007 OPTIONS IMPORT: route options modified
Thu Aug 30 18:16:46 2007 TAP-WIN32 device [Tap] opened: \\.\Global\{1988004F-E3E4-4FD6-ABE7-9157E4A0E90E}.tap
Thu Aug 30 18:16:46 2007 TAP-Win32 Driver Version 8.4 
Thu Aug 30 18:16:46 2007 TAP-Win32 MTU=1500
Thu Aug 30 18:16:46 2007 Notified TAP-Win32 driver to set a DHCP IP/netmask of 192.168.200.6/255.255.255.252 on interface {1988004F-E3E4-4FD6-ABE7-9157E4A0E90E} [DHCP-serv: 192.168.200.5, lease-time: 31536000]
Thu Aug 30 18:16:46 2007 Successful ARP Flush on interface [131075] {1988004F-E3E4-4FD6-ABE7-9157E4A0E90E}
Thu Aug 30 18:16:46 2007 TEST ROUTES: 0/0 succeeded len=3 ret=0 a=0 u/d=down
Thu Aug 30 18:16:46 2007 Route: Waiting for TUN/TAP interface to come up...
Thu Aug 30 18:16:47 2007 TEST ROUTES: 0/0 succeeded len=3 ret=0 a=0 u/d=down
Thu Aug 30 18:16:47 2007 Route: Waiting for TUN/TAP interface to come up...
Thu Aug 30 18:16:48 2007 TEST ROUTES: 0/0 succeeded len=3 ret=0 a=0 u/d=down
Thu Aug 30 18:16:48 2007 Route: Waiting for TUN/TAP interface to come up...
Thu Aug 30 18:16:49 2007 TEST ROUTES: 0/0 succeeded len=3 ret=0 a=0 u/d=down
Thu Aug 30 18:16:49 2007 Route: Waiting for TUN/TAP interface to come up...
Thu Aug 30 18:16:50 2007 TEST ROUTES: 0/0 succeeded len=3 ret=0 a=0 u/d=down
Thu Aug 30 18:16:50 2007 Route: Waiting for TUN/TAP interface to come up...
Thu Aug 30 18:16:51 2007 TEST ROUTES: 0/0 succeeded len=3 ret=0 a=0 u/d=down
Thu Aug 30 18:16:51 2007 Route: Waiting for TUN/TAP interface to come up...
Thu Aug 30 18:16:52 2007 TEST ROUTES: 2/3 succeeded len=3 ret=0 a=0 u/d=up
Thu Aug 30 18:16:52 2007 Route: Waiting for TUN/TAP interface to come up...
Thu Aug 30 18:16:53 2007 TEST ROUTES: 2/3 succeeded len=3 ret=0 a=0 u/d=up
Thu Aug 30 18:16:53 2007 Route: Waiting for TUN/TAP interface to come up...
Thu Aug 30 18:16:54 2007 TEST ROUTES: 2/3 succeeded len=3 ret=0 a=0 u/d=up
Thu Aug 30 18:16:54 2007 Route: Waiting for TUN/TAP interface to come up...
Thu Aug 30 18:16:55 2007 TEST ROUTES: 2/3 succeeded len=3 ret=0 a=0 u/d=up
Thu Aug 30 18:16:55 2007 Route: Waiting for TUN/TAP interface to come up...
Thu Aug 30 18:16:56 2007 TEST ROUTES: 2/3 succeeded len=3 ret=0 a=0 u/d=up
Thu Aug 30 18:16:56 2007 Route: Waiting for TUN/TAP interface to come up...
Thu Aug 30 18:16:57 2007 TEST ROUTES: 2/3 succeeded len=3 ret=0 a=0 u/d=up
Thu Aug 30 18:16:57 2007 Route: Waiting for TUN/TAP interface to come up...
Thu Aug 30 18:16:58 2007 TEST ROUTES: 2/3 succeeded len=3 ret=0 a=0 u/d=up
Thu Aug 30 18:16:58 2007 Route: Waiting for TUN/TAP interface to come up...
Thu Aug 30 18:16:59 2007 TEST ROUTES: 2/3 succeeded len=3 ret=0 a=0 u/d=up
Thu Aug 30 18:16:59 2007 Route: Waiting for TUN/TAP interface to come up...
Thu Aug 30 18:17:00 2007 TEST ROUTES: 2/3 succeeded len=3 ret=0 a=0 u/d=up
Thu Aug 30 18:17:00 2007 Route: Waiting for TUN/TAP interface to come up...
Thu Aug 30 18:17:02 2007 TEST ROUTES: 2/3 succeeded len=3 ret=0 a=0 u/d=up
Thu Aug 30 18:17:02 2007 Route: Waiting for TUN/TAP interface to come up...
Thu Aug 30 18:17:03 2007 TEST ROUTES: 2/3 succeeded len=3 ret=0 a=0 u/d=up
Thu Aug 30 18:17:03 2007 Route: Waiting for TUN/TAP interface to come up...
Thu Aug 30 18:17:04 2007 TEST ROUTES: 2/3 succeeded len=3 ret=0 a=0 u/d=up
Thu Aug 30 18:17:04 2007 Route: Waiting for TUN/TAP interface to come up...
Thu Aug 30 18:17:05 2007 TEST ROUTES: 2/3 succeeded len=3 ret=0 a=0 u/d=up
Thu Aug 30 18:17:05 2007 Route: Waiting for TUN/TAP interface to come up...
Thu Aug 30 18:17:06 2007 TEST ROUTES: 2/3 succeeded len=3 ret=0 a=0 u/d=up
Thu Aug 30 18:17:06 2007 Route: Waiting for TUN/TAP interface to come up...
Thu Aug 30 18:17:07 2007 TEST ROUTES: 2/3 succeeded len=3 ret=0 a=0 u/d=up
Thu Aug 30 18:17:07 2007 Route: Waiting for TUN/TAP interface to come up...
Thu Aug 30 18:17:08 2007 TEST ROUTES: 2/3 succeeded len=3 ret=0 a=0 u/d=up
Thu Aug 30 18:17:08 2007 Route: Waiting for TUN/TAP interface to come up...
Thu Aug 30 18:17:10 2007 TEST ROUTES: 2/3 succeeded len=3 ret=0 a=0 u/d=up
Thu Aug 30 18:17:10 2007 Route: Waiting for TUN/TAP interface to come up...
Thu Aug 30 18:17:11 2007 TEST ROUTES: 2/3 succeeded len=3 ret=0 a=0 u/d=up
Thu Aug 30 18:17:11 2007 Route: Waiting for TUN/TAP interface to come up...
Thu Aug 30 18:17:12 2007 TEST ROUTES: 2/3 succeeded len=3 ret=0 a=0 u/d=up
Thu Aug 30 18:17:12 2007 Route: Waiting for TUN/TAP interface to come up...
Thu Aug 30 18:17:13 2007 TEST ROUTES: 2/3 succeeded len=3 ret=0 a=0 u/d=up
Thu Aug 30 18:17:13 2007 Route: Waiting for TUN/TAP interface to come up...
Thu Aug 30 18:17:14 2007 TEST ROUTES: 2/3 succeeded len=3 ret=0 a=0 u/d=up
Thu Aug 30 18:17:14 2007 Route: Waiting for TUN/TAP interface to come up...
Thu Aug 30 18:17:15 2007 TEST ROUTES: 2/3 succeeded len=3 ret=0 a=0 u/d=up
Thu Aug 30 18:17:15 2007 Route: Waiting for TUN/TAP interface to come up...
Thu Aug 30 18:17:16 2007 TEST ROUTES: 2/3 succeeded len=3 ret=0 a=0 u/d=up
Thu Aug 30 18:17:16 2007 route ADD 192.168.178.0 MASK 255.255.255.0 192.168.200.1
Thu Aug 30 18:17:16 2007 Warning: route gateway is not reachable on any active network adapters: 192.168.200.1
Thu Aug 30 18:17:16 2007 Route addition via IPAPI failed
Thu Aug 30 18:17:16 2007 route ADD 10.0.0.0 MASK 255.255.255.0 192.168.200.5
Thu Aug 30 18:17:16 2007 Route addition via IPAPI succeeded
Thu Aug 30 18:17:16 2007 route ADD 192.168.178.0 MASK 255.255.255.0 192.168.200.5
Thu Aug 30 18:17:16 2007 Route addition via IPAPI succeeded
Thu Aug 30 18:17:16 2007 Initialization Sequence Completed With Errors ( see http://openvpn.net/faq.html#dhcpclientserv )

Der Log-In funktioniert, ich komme vom Client (von ausserhalb) auf die Fritzbox drauf (Config-Menü der Fritzbox) die von aussen sonst nicht erreichbar ist und dann über die IP 192.168.178.1. Jedoch geht kein Ping an die anderen PCs im netzwerk hinter der Fritzbox.

Ich habe mitlerweile dutzende Konfigs hier im Forum ausprobiert und irgendwie hat es nie geklappt.

Ich hoffe jemand sieht meinen Fehler.

Danke für jede Antwort

Chaosworld
 
Hi,

da sind gleich mehrere Dinge drin die überflüssig oder falsch sind:

- Wenn du einen Client hast benötigst du keinen "Client Adressbereich"
- Du gibst Client und Server "explizite" Adressen (10.0.0.1 und 10.0.0.2) und vergibst danach dann per DHCP (mit dem "Client-Adressbereich" nochmal ganz andere (aus dem Netz 192.168.200.x )
- deine Client-Config ist dann auch "verkehrt": Die Route
route 192.168.178.0 255.255.255.0 192.168.200.1
soll natürlich auf die "Gegenstelle" und das ist nunmal die 10.0.0.1 oder die 192.168.200.5 aber nicht die 192.168.200.1. Wenn du die Route sowieso vom Server schicken läßt ("Lokales Netzwerk" was dann zum "push route " wird) brauchst du lokal auf dem Client keine Route einzutragen.

Also, fang nochmal "klein" an: Trage lokale und entfernte IPs ein (die 10.0.0.1 bzw .2), nimm den "Client-Adressbereich" raus und lasse im Server die beiden Einträge für lokales und entferntes Netz.

Beim Client reicht dann das "ifconfig 10.0.0.2 10.0.0.1" sowie das "pull", aber weder "push" noch "route"-Einträge.

Dann musst du Bedenken, dass du vom Client mit der Adresse des Tunnel-Interfaces in das Netz der Fritzbox kommst, das heißt alle Geräte dort müssen der 10.0.0.2 antworten.

Falls es noch nicht klappt, mache bitte auf beiden Seiten mal ein "netstat -rn" um die Routingtabelle anzuschauen.

Jörg
 
Um antworten zu können musst du eingeloggt sein.

Zurzeit aktive Besucher

Gesamt: 834 (Mitglieder: 26, Gäste: 808)

Neueste Beiträge

Statistik des Forums

Themen
244,869
Beiträge
2,219,844
Mitglieder
371,588
Neuestes Mitglied
Was weißich
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
Ihr E-Mail-Adresse verifizieren

Ihr E-Mail-Adresse verifizieren

Wir haben Ihnen eine E-Mail geschickt. Klicken Sie auf die Schaltfläche im E-Mail-Text, um Ihre E-Mail-Adresse zu verifizieren – (Können Sie diese nicht finden können, dann überprüfen Sie Ihren Spam-Ordner).

IPPF im Überblick

Neueste Beiträge

Direktlinks Telefonanlage

Website-Sponsoren

3CX sponsor
KONTAKTIEREN SIE UNS BEI INTERESSE
| Style by ThemeHouse
XenPorta 2 PRO © Jason Axelrod of 8WAYRUN
Oben Unten
Zurück