[Problem] OpenVPN Server/Client Konfiguration

dragonorb

Neuer User
Mitglied seit
4 Jul 2009
Beiträge
29
Punkte für Reaktionen
0
Punkte
0
Hallo Leute!

Der Verbindungsaufbau zur FB klappt soweit. Jedoch habe ich keinen Zugriff auf das interne Heimnetzwerk noch wird das Internet über VPN geleitet!

Welche OpenVPN Einstellungen sind bei mir nicht korrekt?

Vielen Dank im Voraus!
------
Ich habe folgende Einstellungen auf meiner Fritz!Box 7240 hinterlegt:

Code:
proto udp
dev tap0
ca /tmp/flash/openvpn/ca.crt
cert /tmp/flash/openvpn/box.crt
key /tmp/flash/openvpn/box.key
dh /tmp/flash/openvpn/dh.pem
tls-server
tls-auth /tmp/flash/openvpn/static.key 0
port 1194
push "redirect-gateway"
mode server
ifconfig-pool 192.168.200.20 192.168.200.25
push "route 192.168.200.0 255.255.255.0"
route 192.168.200.0 255.255.255.0
ifconfig 192.168.200.1 255.255.255.0
push "route-gateway 192.168.200.1"
push "route 192.168.178.0 255.255.255.0"
max-clients 1
client-to-client
tun-mtu 1500
mssfix
verb 3
daemon
cipher AES-128-CBC
comp-lzo
keepalive 10 120
chroot /tmp/openvpn
user openvpn
group openvpn
persist-tun
persist-key

Ich habe folgende Einstellungen auf meinem Windows 7 (64bit) Rechner hinterlegt:

Code:
tls-client
pull

redirect-gateway def1

dev tap0
proto udp

remote myDynDNS 1194

resolv-retry infinite

nobind

persist-tun
persist-key

ca keys/ca.crt
cert keys/client_work.crt
key keys/client_work.key

ns-cert-type server

tls-auth keys/static.key 1

cipher AES-128-CBC
comp-lzo

verb 3

Logdatei des OpenVPN Clients zeigt:

Code:
Mon Apr 04 17:52:15 2011 OpenVPN 2.1.4 i686-pc-mingw32 [SSL] [LZO2] [PKCS11] built on Nov  8 2010
Mon Apr 04 17:52:15 2011 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Mon Apr 04 17:52:15 2011 Control Channel Authentication: using 'keys/static.key' as a OpenVPN static key file
Mon Apr 04 17:52:15 2011 Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Mon Apr 04 17:52:15 2011 Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Mon Apr 04 17:52:15 2011 LZO compression initialized
Mon Apr 04 17:52:15 2011 Control Channel MTU parms [ L:1590 D:166 EF:66 EB:0 ET:0 EL:0 ]
Mon Apr 04 17:52:15 2011 Socket Buffers: R=[8192->8192] S=[8192->8192]
Mon Apr 04 17:52:15 2011 Data Channel MTU parms [ L:1590 D:1450 EF:58 EB:135 ET:32 EL:0 AF:3/1 ]
Mon Apr 04 17:52:15 2011 Local Options hash (VER=V4): 'a7133b47'
Mon Apr 04 17:52:15 2011 Expected Remote Options hash (VER=V4): 'c5677ab3'
Mon Apr 04 17:52:15 2011 UDPv4 link local: [undef]
Mon Apr 04 17:52:15 2011 UDPv4 link remote: xx.xx.xx.xx:1194
Mon Apr 04 17:52:15 2011 TLS: Initial packet from xx.xx.xx.xx:1194, sid=2be7818f fe553a46
Mon Apr 04 17:52:16 2011 VERIFY OK: depth=1, /C=country/ST=zip/L=city/O=org/CN=org_CA/[email protected]
Mon Apr 04 17:52:16 2011 VERIFY OK: nsCertType=SERVER
Mon Apr 04 17:52:16 2011 VERIFY OK: depth=0, /C=country/ST=zip/L=city/O=org/CN=server/[email protected]
Mon Apr 04 17:52:16 2011 Data Channel Encrypt: Cipher 'AES-128-CBC' initialized with 128 bit key
Mon Apr 04 17:52:16 2011 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Mon Apr 04 17:52:16 2011 Data Channel Decrypt: Cipher 'AES-128-CBC' initialized with 128 bit key
Mon Apr 04 17:52:16 2011 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Mon Apr 04 17:52:16 2011 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
Mon Apr 04 17:52:16 2011 [server] Peer Connection Initiated with xx.xx.xx.xx:1194
Mon Apr 04 17:52:18 2011 SENT CONTROL [server]: 'PUSH_REQUEST' (status=1)
Mon Apr 04 17:52:18 2011 PUSH: Received control message: 'PUSH_REPLY,redirect-gateway,route 192.168.200.0 255.255.255.0,route-gateway 192.168.200.1,route 192.168.178.0 255.255.255.0,ping 10,ping-restart 120,ifconfig 192.168.200.20 255.255.255.0'
Mon Apr 04 17:52:18 2011 OPTIONS IMPORT: timers and/or timeouts modified
Mon Apr 04 17:52:18 2011 OPTIONS IMPORT: --ifconfig/up options modified
Mon Apr 04 17:52:18 2011 OPTIONS IMPORT: route options modified
Mon Apr 04 17:52:18 2011 OPTIONS IMPORT: route-related options modified
Mon Apr 04 17:52:18 2011 ROUTE default_gateway=10.42.1.254
Mon Apr 04 17:52:18 2011 TAP-WIN32 device [VPN Home Network] opened: \\.\Global\{B61A03A0-891E-45CD-8B45-9FE0A1985BA8}.tap
Mon Apr 04 17:52:18 2011 TAP-Win32 Driver Version 9.7 
Mon Apr 04 17:52:18 2011 TAP-Win32 MTU=1500
Mon Apr 04 17:52:18 2011 Notified TAP-Win32 driver to set a DHCP IP/netmask of 192.168.200.20/255.255.255.0 on interface {B61A03A0-891E-45CD-8B45-9FE0A1985BA8} [DHCP-serv: 192.168.200.0, lease-time: 31536000]
Mon Apr 04 17:52:18 2011 Successful ARP Flush on interface [17] {B61A03A0-891E-45CD-8B45-9FE0A1985BA8}
Mon Apr 04 17:52:23 2011 TEST ROUTES: 3/3 succeeded len=2 ret=1 a=0 u/d=up
Mon Apr 04 17:52:23 2011 C:\WINDOWS\system32\route.exe ADD xx.xx.xx.xx MASK 255.255.255.255 10.42.1.254
Mon Apr 04 17:52:23 2011 ROUTE: CreateIpForwardEntry succeeded with dwForwardMetric1=20 and dwForwardType=4
Mon Apr 04 17:52:23 2011 Route addition via IPAPI succeeded [adaptive]
Mon Apr 04 17:52:23 2011 C:\WINDOWS\system32\route.exe ADD 0.0.0.0 MASK 128.0.0.0 192.168.200.1
Mon Apr 04 17:52:23 2011 ROUTE: CreateIpForwardEntry succeeded with dwForwardMetric1=30 and dwForwardType=4
Mon Apr 04 17:52:23 2011 Route addition via IPAPI succeeded [adaptive]
Mon Apr 04 17:52:23 2011 C:\WINDOWS\system32\route.exe ADD 128.0.0.0 MASK 128.0.0.0 192.168.200.1
Mon Apr 04 17:52:23 2011 ROUTE: CreateIpForwardEntry succeeded with dwForwardMetric1=30 and dwForwardType=4
Mon Apr 04 17:52:23 2011 Route addition via IPAPI succeeded [adaptive]
Mon Apr 04 17:52:23 2011 C:\WINDOWS\system32\route.exe ADD 192.168.200.0 MASK 255.255.255.0 192.168.200.1
Mon Apr 04 17:52:23 2011 ROUTE: CreateIpForwardEntry succeeded with dwForwardMetric1=30 and dwForwardType=4
Mon Apr 04 17:52:23 2011 Route addition via IPAPI succeeded [adaptive]
Mon Apr 04 17:52:23 2011 C:\WINDOWS\system32\route.exe ADD 192.168.178.0 MASK 255.255.255.0 192.168.200.1
Mon Apr 04 17:52:23 2011 ROUTE: CreateIpForwardEntry succeeded with dwForwardMetric1=30 and dwForwardType=4
Mon Apr 04 17:52:23 2011 Route addition via IPAPI succeeded [adaptive]
Mon Apr 04 17:52:23 2011 Initialization Sequence Completed
 
Vom Log her sieht das soweit ganz gut aus. Wie sieht denn die Routingtabelle nach dem Aufbau des VPN aus?
Ist der VPN-Server auch im deinem Heimnetz das Default-Gateway? Nur so wird von dort das VPN-Netz auch "zurück" gefunden.
Sind auch in deinem LAN die Firewalls entsprechend konfiguriert, dass aus den VPN-Netz zugegriffen werden kann? Bster Test, ob es funktioniert ist, ob die 192.168.178.x der FB (meist x=1) zu ereichen ist.

Wegen des Internet-Zugriffs: Geht der weiterhin oder garnicht mehr?
Geht die Namensauflösung ("ping heise.de")?
Was ergibt ein Traceroute ("tracert -d -w 1 heise.de" bzw. "tracert -d -w 1 84.246.123.237")?

Jörg
 
@MaxMuster
Erstmal danke für deine schnelle Antwort.

Ich hoffe nachfolgende Ausgaben helfen weiter bei der Fehlerbehebung!?

Auf deine folgenden Fragen weiß ich zur Zeit nicht, wie ich dies überprüfen kann!
Ist der VPN-Server auch im deinem Heimnetz das Default-Gateway?
Sind auch in deinem LAN die Firewalls entsprechend konfiguriert, dass aus den VPN-Netz zugegriffen werden kann?

"ping 192.168.178.1":
Code:
Pinging 192.168.178.1 with 32 bytes of data:
Request timed out.
Request timed out.
Request timed out.
Request timed out.

Ping statistics for 192.168.178.1:
    Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),

Routingtabelle ohne aktiviertem VPN:
Code:
IPv4 Route Table
===========================================================================
Active Routes:
Network Destination        Netmask          Gateway       Interface  Metric
          0.0.0.0          0.0.0.0      10.42.1.254       10.42.1.25     20
        10.42.1.0    255.255.255.0         On-link        10.42.1.25    276
       10.42.1.25  255.255.255.255         On-link        10.42.1.25    276
      10.42.1.255  255.255.255.255         On-link        10.42.1.25    276
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
      169.254.0.0      255.255.0.0         On-link    169.254.124.87    276
   169.254.124.87  255.255.255.255         On-link    169.254.124.87    276
  169.254.255.255  255.255.255.255         On-link    169.254.124.87    276
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link    169.254.124.87    276
        224.0.0.0        240.0.0.0         On-link        10.42.1.25    276
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
  255.255.255.255  255.255.255.255         On-link    169.254.124.87    276
  255.255.255.255  255.255.255.255         On-link        10.42.1.25    276
===========================================================================

Routingtabelle mit aktiviertem VPN:
Code:
IPv4 Route Table
===========================================================================
Active Routes:
Network Destination        Netmask          Gateway       Interface  Metric
          0.0.0.0          0.0.0.0      10.42.1.254       10.42.1.25     20
          0.0.0.0        128.0.0.0    192.168.200.1   192.168.200.20     30
        10.42.1.0    255.255.255.0         On-link        10.42.1.25    276
       10.42.1.25  255.255.255.255         On-link        10.42.1.25    276
      10.42.1.255  255.255.255.255         On-link        10.42.1.25    276
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
        128.0.0.0        128.0.0.0    192.168.200.1   192.168.200.20     30
      169.254.0.0      255.255.0.0         On-link    169.254.124.87    276
   169.254.124.87  255.255.255.255         On-link    169.254.124.87    276
  169.254.255.255  255.255.255.255         On-link    169.254.124.87    276
     188.23.2.107  255.255.255.255      10.42.1.254       10.42.1.25     20
    192.168.178.0    255.255.255.0    192.168.200.1   192.168.200.20     30
    192.168.200.0    255.255.255.0         On-link    192.168.200.20    286
    192.168.200.0    255.255.255.0    192.168.200.1   192.168.200.20     30
   192.168.200.20  255.255.255.255         On-link    192.168.200.20    286
  192.168.200.255  255.255.255.255         On-link    192.168.200.20    286
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link    169.254.124.87    276
        224.0.0.0        240.0.0.0         On-link    192.168.200.20    286
        224.0.0.0        240.0.0.0         On-link        10.42.1.25    276
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
  255.255.255.255  255.255.255.255         On-link    169.254.124.87    276
  255.255.255.255  255.255.255.255         On-link    192.168.200.20    286
  255.255.255.255  255.255.255.255         On-link        10.42.1.25    276
===========================================================================

"ping heise.de":
Code:
Pinging heise.de [193.99.144.80] with 32 bytes of data:
Reply from 193.99.144.80: bytes=32 time=32ms TTL=239
Reply from 193.99.144.80: bytes=32 time=32ms TTL=239
Reply from 193.99.144.80: bytes=32 time=31ms TTL=239
Reply from 193.99.144.80: bytes=32 time=31ms TTL=239

Ping statistics for 193.99.144.80:
    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
    Minimum = 31ms, Maximum = 32ms, Average = 31ms

"tracert -d -w 1 heise.de":
Code:
Tracing route to heise.de [193.99.144.80]
over a maximum of 30 hops:

  1    <1 ms    <1 ms    <1 ms  10.42.1.253
  2    <1 ms    <1 ms    <1 ms  10.42.254.250
  3    <1 ms    <1 ms    <1 ms  193.170.125.218
  4     6 ms     3 ms     3 ms  172.16.10.2
  5     7 ms     7 ms     8 ms  172.16.100.2
  6    11 ms    13 ms     9 ms  193.171.22.21
  7    13 ms    12 ms    13 ms  193.171.15.1
  8    16 ms    14 ms    14 ms  193.171.23.98
  9    15 ms    15 ms    14 ms  195.113.179.149
 10    33 ms    32 ms    36 ms  195.69.144.161
 11    31 ms    31 ms    31 ms  82.98.98.106
 12    31 ms    34 ms    32 ms  193.99.144.80

Trace complete.

"tracert -d -w 1 84.246.123.237":
Code:
Tracing route to 84.246.123.237 over a maximum of 30 hops

  1    <1 ms    <1 ms    <1 ms  10.42.1.253
  2    <1 ms    <1 ms    <1 ms  10.42.254.250
  3    <1 ms    <1 ms    <1 ms  193.170.125.218
  4     4 ms     5 ms     3 ms  172.16.10.2
  5     7 ms     7 ms     8 ms  172.16.100.2
  6     9 ms    10 ms    12 ms  193.171.22.21
  7    11 ms     9 ms     *     193.171.15.1
  8    13 ms    13 ms    11 ms  193.171.23.98
  9    13 ms    11 ms    14 ms  193.203.0.40
 10    32 ms    32 ms    31 ms  62.154.43.134
 11    41 ms    39 ms    39 ms  217.243.219.132
 12    41 ms    39 ms    39 ms  89.107.64.114
 13    39 ms    41 ms    41 ms  84.246.123.237

Trace complete.
 
Sieht eigentlich gut aus, die Frage ist, warum der Client die "spezielleren" Routen (0.0.0.0/1 und 128.0.0.0/1) nicht nutzt, sondern die "alte" Default-Route??

Code:
IPv4 Route Table
===========================================================================
Active Routes:
Network Destination        Netmask          Gateway       Interface  Metric
          0.0.0.0          0.0.0.0      10.42.1.254       10.42.1.25     20
          0.0.0.0        128.0.0.0    192.168.200.1   192.168.200.20     30
[...]
        128.0.0.0        128.0.0.0    192.168.200.1   192.168.200.20     30
[...]
    192.168.178.0    255.255.255.0    192.168.200.1   192.168.200.20     30
    192.168.200.0    255.255.255.0         On-link    192.168.200.20    286
    192.168.200.0    255.255.255.0    192.168.200.1   192.168.200.20     30
   192.168.200.20  255.255.255.255         On-link    192.168.200.20    286
  192.168.200.255  255.255.255.255         On-link    192.168.200.20    286
[...]
 
@MaxMuster
Okay! o0
Was bzw. Wo kann man dies abändern?

Ich habe keine Internetverbindung wenn ich diese beiden Befehle in die "client.ovpn" hinzufüge:
Code:
...
route-method exe
route-delay 2
...

Ergab folgende Routingtabelle:

Code:
IPv4 Route Table
===========================================================================
Active Routes:
Network Destination        Netmask          Gateway       Interface  Metric
          0.0.0.0          0.0.0.0    192.168.200.1   192.168.200.20     31
        10.42.1.0    255.255.255.0         On-link        10.42.1.25    276
       10.42.1.25  255.255.255.255         On-link        10.42.1.25    276
      10.42.1.255  255.255.255.255         On-link        10.42.1.25    276
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
      169.254.0.0      255.255.0.0         On-link    169.254.124.87    276
   169.254.124.87  255.255.255.255         On-link    169.254.124.87    276
  169.254.255.255  255.255.255.255         On-link    169.254.124.87    276
      188.23.3.20  255.255.255.255      10.42.1.254       10.42.1.25     21
    192.168.178.0    255.255.255.0    192.168.200.1   192.168.200.20     31
    192.168.200.0    255.255.255.0         On-link    192.168.200.20    286
    192.168.200.0    255.255.255.0    192.168.200.1   192.168.200.20     31
   192.168.200.20  255.255.255.255         On-link    192.168.200.20    286
  192.168.200.255  255.255.255.255         On-link    192.168.200.20    286
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link    169.254.124.87    276
        224.0.0.0        240.0.0.0         On-link    192.168.200.20    286
        224.0.0.0        240.0.0.0         On-link        10.42.1.25    276
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
  255.255.255.255  255.255.255.255         On-link    169.254.124.87    276
  255.255.255.255  255.255.255.255         On-link    192.168.200.20    286
  255.255.255.255  255.255.255.255         On-link        10.42.1.25    276
===========================================================================

Weiters ergab dies folgende Ausgaben in der Logdatei:

Code:
Tue Apr 05 16:02:38 2011 OpenVPN 2.1.4 i686-pc-mingw32 [SSL] [LZO2] [PKCS11] built on Nov  8 2010
Tue Apr 05 16:02:38 2011 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Tue Apr 05 16:02:38 2011 Control Channel Authentication: using 'keys/static.key' as a OpenVPN static key file
Tue Apr 05 16:02:38 2011 Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Tue Apr 05 16:02:38 2011 Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Tue Apr 05 16:02:38 2011 LZO compression initialized
Tue Apr 05 16:02:38 2011 Control Channel MTU parms [ L:1590 D:166 EF:66 EB:0 ET:0 EL:0 ]
Tue Apr 05 16:02:38 2011 Socket Buffers: R=[8192->8192] S=[8192->8192]
Tue Apr 05 16:02:38 2011 Data Channel MTU parms [ L:1590 D:1450 EF:58 EB:135 ET:32 EL:0 AF:3/1 ]
Tue Apr 05 16:02:38 2011 Local Options hash (VER=V4): 'a7133b47'
Tue Apr 05 16:02:38 2011 Expected Remote Options hash (VER=V4): 'c5677ab3'
Tue Apr 05 16:02:38 2011 UDPv4 link local: [undef]
Tue Apr 05 16:02:38 2011 UDPv4 link remote: xxx.xx.x.xx:1194
Tue Apr 05 16:02:38 2011 TLS: Initial packet from xxx.xx.x.xx:1194, sid=8474a0ad 4461a41c
Tue Apr 05 16:02:39 2011 VERIFY OK: depth=1, ...
Tue Apr 05 16:02:39 2011 VERIFY OK: nsCertType=SERVER
Tue Apr 05 16:02:39 2011 VERIFY OK: depth=0, ...
Tue Apr 05 16:02:40 2011 Data Channel Encrypt: Cipher 'AES-128-CBC' initialized with 128 bit key
Tue Apr 05 16:02:40 2011 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Tue Apr 05 16:02:40 2011 Data Channel Decrypt: Cipher 'AES-128-CBC' initialized with 128 bit key
Tue Apr 05 16:02:40 2011 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Tue Apr 05 16:02:40 2011 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
Tue Apr 05 16:02:40 2011 [server] Peer Connection Initiated with xxx.xx.x.xx:1194
Tue Apr 05 16:02:42 2011 SENT CONTROL [server]: 'PUSH_REQUEST' (status=1)
Tue Apr 05 16:02:42 2011 PUSH: Received control message: 'PUSH_REPLY,redirect-gateway,route 192.168.200.0 255.255.255.0,route-gateway 192.168.200.1,route 192.168.178.0 255.255.255.0,ping 10,ping-restart 120,ifconfig 192.168.200.20 255.255.255.0'
Tue Apr 05 16:02:42 2011 OPTIONS IMPORT: timers and/or timeouts modified
Tue Apr 05 16:02:42 2011 OPTIONS IMPORT: --ifconfig/up options modified
Tue Apr 05 16:02:42 2011 OPTIONS IMPORT: route options modified
Tue Apr 05 16:02:42 2011 OPTIONS IMPORT: route-related options modified
Tue Apr 05 16:02:42 2011 ROUTE default_gateway=10.42.1.254
Tue Apr 05 16:02:42 2011 TAP-WIN32 device [OpenVPN] opened: \\.\Global\{B61A03A0-891E-45CD-8B45-9FE0A1985BA8}.tap
Tue Apr 05 16:02:42 2011 TAP-Win32 Driver Version 9.7 
Tue Apr 05 16:02:42 2011 TAP-Win32 MTU=1500
Tue Apr 05 16:02:42 2011 Notified TAP-Win32 driver to set a DHCP IP/netmask of 192.168.200.20/255.255.255.0 on interface {B61A03A0-891E-45CD-8B45-9FE0A1985BA8} [DHCP-serv: 192.168.200.0, lease-time: 31536000]
Tue Apr 05 16:02:42 2011 Successful ARP Flush on interface [17] {B61A03A0-891E-45CD-8B45-9FE0A1985BA8}
Tue Apr 05 16:02:44 2011 TEST ROUTES: 3/3 succeeded len=2 ret=1 a=0 u/d=up
Tue Apr 05 16:02:44 2011 C:\WINDOWS\system32\route.exe ADD 188.23.3.20 MASK 255.255.255.255 10.42.1.254
 OK!
Tue Apr 05 16:02:44 2011 C:\WINDOWS\system32\route.exe DELETE 0.0.0.0 MASK 0.0.0.0 10.42.1.254
 OK!
Tue Apr 05 16:02:44 2011 C:\WINDOWS\system32\route.exe ADD 0.0.0.0 MASK 0.0.0.0 192.168.200.1
 OK!
Tue Apr 05 16:02:44 2011 WARNING: potential route subnet conflict between local LAN [192.168.200.0/255.255.255.0] and remote VPN [192.168.200.0/255.255.255.0]
Tue Apr 05 16:02:44 2011 C:\WINDOWS\system32\route.exe ADD 192.168.200.0 MASK 255.255.255.0 192.168.200.1
 OK!
Tue Apr 05 16:02:44 2011 C:\WINDOWS\system32\route.exe ADD 192.168.178.0 MASK 255.255.255.0 192.168.200.1
 OK!
Tue Apr 05 16:02:44 2011 Initialization Sequence Completed
 
Zuletzt bearbeitet:
Beides sieht eigentlich "richtig" aus, das erste ist "redirect-gateway def1", was die Defaultroute mit zwei Routen "überladt", die, weil sie "spezieller" sind, eigentlich greifen sollten.

Die zweite Situation entspricht "redirect-gateway" (ohne "def1"), dort wird die alte Route gelöscht und eine auf das VPN eingetragen.

Geht denn in der Situation "garnichts" oder eventuell nur die Namensauflösung nicht (wie oben Ping/Trace auf Namen oder IP).

Wie gesagt, "eigentlich" sehen beide Varianten so aus, dass sie gleich reagieren sollten. Hast du eine Möglichkeit, mal ohne Win7 zu testen?

Als was wird denn das "neue Netz" erkannt/eingestuft? Da gibt es doch jetzt solche Einteilungen in Heim-, Arbeitsplatz- oder öffentliches Netz (oder so ähnlich ;-))

Kannst du die Box über die VPN-IP (192.168.200.1) ansprechen?

Jörg
 
Wenn ich in der Client Konfiguration "redirect-gateway def1" auskommentieren bekomme ich keine Internetverbindung und ping ergibt:
Code:
Pinging 192.168.200.1 with 32 bytes of data:
Reply from 192.168.200.20: Destination host unreachable.
Reply from 192.168.200.20: Destination host unreachable.
Reply from 192.168.200.20: Destination host unreachable.
Reply from 192.168.200.20: Destination host unreachable.

Ping statistics for 192.168.200.1:
    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),

Wenn ich in der Client Konfiguration "redirect-gateway def1" aktiviere bekomme ich eine Internetverbindung und ping ergibt:
Code:
Pinging 192.168.200.1 with 32 bytes of data:
Request timed out.
Request timed out.
Request timed out.
Request timed out.

Ping statistics for 192.168.200.1:
    Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),

Ohne Win7 --> hätte Virtualbox mit Ubuntu probiert aber keinen vernünftigen Client gefunden!

Das Netz wird als "unidentified network" erkannt.
 
Hast du im Server irgendwo noch das Netz "192.168.200.0 255.255.255.0" als zu routen eingetragen? Wenn ja, nimm das bitte mal raus. Kannst du das Netz als "Heimnetz" oder so "umstellen"?

EDIT: Hab gerade mal nachgesehen, die zusätzliche Route kommt wohl direkt vom OpenVPN-Paket. Du könntest testweise mal "client-to-client" in der GUI abwählen.
 
Zuletzt bearbeitet:
Jene Zeile in fett rausnehmen?
Code:
...
push "route 192.168.200.0 255.255.255.0"
[B]route 192.168.200.0 255.255.255.0[/B]
ifconfig 192.168.200.1 255.255.255.0
push "route-gateway 192.168.200.1"
push "route 192.168.178.0 255.255.255.0"
...

Wenn du mir sagst wie ich auf meine FB remote hinkomme gerne! (Dropbear ist installiert und wäre konfiguriert aber mittels PuTTy komme ich von außen nicht rauf!)

Ansonsten kann ich erst übermorgen wieder auf meine FB zugreifen, bin gerade nicht zu Hause!

Die Kategorie von Netzwerk lässt sich leider nicht umstellen!

Abwählen von "client-to-client" geht wo!
Der Eintrag steht doch in meiner Server Konfiguration oder?
 
Ja, die Zeile meine ich, die wird in die Konfig geschrieben, wenn in der OpenVPN-GUI auf der Box "Client-zu-Client" (oder so ähnlich) angehakt wird. Ist aber bei "tap" unnötig.

Wenn du nicht auf die Box kommst, kannst du es natürlich nicht ändern; dropbear benötigt von draußen auch eine Portweiterleitung, vielleicht fehlt die?

Was du versuchen könntest, wäre die Route "von Hand" zu löschen ("route delete 192.168.200.0 mask 255.255.255.0 192.168.200.1"), aber ob das hilft...
Ich vermute irgendwie, dass das mit den WIN7 "Einordnungen" der Netze zu tun hat.

Jörg

EDIT: Noch eine Frage: Wie ist den auf der Fritzbox die Portweiterleitung gemacht? Als Ziel auf 0.0.0.0 oder vielleicht auf eine "virtuelle IP"??
 
Zuletzt bearbeitet:
Portweiterleitung wurde in der ar7.cfg wie folgt eingetragen:
Code:
"udp 0.0.0.0:1194 0.0.0.0:1194"

Bzgl. Dropbear und PuTTy was müsste ich hierfür berücksichtigen?
 
So ist es gut. Für Dropbear müsste das analog dazu "tcp" und Port 22 sein:

"tcp 0.0.0.0:22 0.0.0.0:22"

Ich würde sogar noch "von außen" immer einen Nicht-Standard Port nehmen, dann gib es weniger Versuche, auf die Box zu kommen. Wenn du mit PuTTY SSH auf Port 2222 machst, wäre das auf der Box:

"tcp 0.0.0.0:2222 0.0.0.0:22"

Den Beitrag oben muss ich noch leicht korrigieren, in der Server-Konfig sollte die Route nicht zum Client "gepushed" weerden, es geht also um die Zeile

push "route 192.168.200.0 255.255.255.0"

(es sind eigentlich beide überflüssig , also die von dir genannte und die "push-Route", denn das Routing ist ja schon über die Verabe der IP mit der Netzmaske klar...)

Jörg
 
Wollte deine Tipps umsetzen aber nach einem Neustart der FB sind die Eintragungen wieder drin!

Eintragungen wurden von mir unter /var/mod/etc/openvpn.conf vorgenommen!
Die Datei wird aber erst nach dem Start von OpenVPN erstellt!

Wo wird die Konfiguration noch abgelegt?

-----

Danke für die Einstellungen für putty und dropbear, wenigstens das funktioniert jetzt auch remote! :D
 
Zuletzt bearbeitet:
Die Dateien werden bei jedem Start vom OpenVPN aus den Einstellungen in der GUI neu erstellt, und damit wird /var/mod/etc/openvpn.conf überschrieben...

Also entweder in der GUI ändern (Haken weg bei "Client-zu-Client"), oder die Änderungen sind nur temporär...

EDIT: Was du auch versuchen kannst:
Nimm die anhängende Datei und bring sie auf die Box (z.B. mit scp, sofern du das nicht beim dropbear abgewählt hast ;-))

<putty-Verzeichnis>pscp openvpn_conf.gz root@<deineBox>:/tmp

(ggf. noch den geänderten Port nehmen, wenn du von extern kommst, musst du mal in der Hilfe schauen)
Dann in das Verzeichnis "/tmp/" gehen und die auspacken und übermounten:
Code:
cd /tmp
gzip -d openvpn_conf.gz 
mount -o bind /tmp/openvpn_conf /etc/default.openvpn/openvpn_conf
Danach sollten die beiden Einträge beim erneuten Starten des OpenVPN von der GUI aus nicht mehr drin sein...

Ist aber nur bis zum nächsten Reboot "fest", du kannst die Datei aber auch im Freetz-Flash "resetfest zwischenlagern", wenn dort genug Platz ist:

Code:
cp /tmp/openvpn_conf /tmp/flash/
modsave

Wenn die Datei /tmp/flash/openvpn_conf existiert, wird die genommen...
 

Anhänge

  • openvpn_conf.gz
    2.4 KB · Aufrufe: 6
Zuletzt bearbeitet:
Hab gestern noch ein neues freetz-image erstellt (stable 1.1 revision 6701).
Dort sieht die OpenVPN-GUI ein kleinwenig anders aus!

Hab dort nun folgende Einstellungen getroffen:
OpenVPN-GUI.jpg

Dies erzeugt folgende server.ovpn:
Code:
#  OpenVPN 2.1 Config, Thu Apr  7 23:26:21 CEST 2011
proto udp
dev tap0
#Helperline for rc.openvpn to add tap0 to lan bridge
ca /tmp/flash/openvpn/ca.crt
cert /tmp/flash/openvpn/box.crt
key /tmp/flash/openvpn/box.key
dh /tmp/flash/openvpn/dh.pem
tls-server
tls-auth /tmp/flash/openvpn/static.key 0
port 1194
push "redirect-gateway"
ifconfig 192.168.180.1 255.255.255.0
push "route-gateway 192.168.180.1"
push "route 192.168.178.0 255.255.255.0"
max-clients 1
tun-mtu 1500
mssfix
verb 3
daemon
cipher AES-128-CBC
comp-lzo
keepalive 10 120
chroot /tmp/openvpn
user openvpn
group openvpn
persist-tun
persist-key

Ging mit dem alten freetz-image (revision 5796) nicht! o0

----------------

Dies führt zu folgender Routingtabelle:
Code:
IPv4 Route Table
===========================================================================
Active Routes:
Network Destination        Netmask          Gateway       Interface  Metric
          0.0.0.0          0.0.0.0    192.168.178.1   192.168.178.21     30
          0.0.0.0          0.0.0.0    192.168.180.1   192.168.178.21     31
        10.42.1.0    255.255.255.0         On-link        10.42.1.25    276
       10.42.1.25  255.255.255.255         On-link        10.42.1.25    276
      10.42.1.255  255.255.255.255         On-link        10.42.1.25    276
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
      169.254.0.0      255.255.0.0         On-link    169.254.124.87    276
   169.254.124.87  255.255.255.255         On-link    169.254.124.87    276
  169.254.255.255  255.255.255.255         On-link    169.254.124.87    276
    188.23.13.254  255.255.255.255      10.42.1.254       10.42.1.25     20
    192.168.178.0    255.255.255.0         On-link    192.168.178.21    286
    192.168.178.0    255.255.255.0    192.168.180.1   192.168.178.21     31
   192.168.178.21  255.255.255.255         On-link    192.168.178.21    286
  192.168.178.255  255.255.255.255         On-link    192.168.178.21    286
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link    169.254.124.87    276
        224.0.0.0        240.0.0.0         On-link    192.168.178.21    286
        224.0.0.0        240.0.0.0         On-link        10.42.1.25    276
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
  255.255.255.255  255.255.255.255         On-link    169.254.124.87    276
  255.255.255.255  255.255.255.255         On-link    192.168.178.21    286
  255.255.255.255  255.255.255.255         On-link        10.42.1.25    276
===========================================================================

Weiters die sehr lange log Datei:
Code:
Fri Apr 08 10:19:24 2011 OpenVPN 2.2-RC2 Win32-MSVC++ [SSL] [LZO2] built on Mar 25 2011
Fri Apr 08 10:19:24 2011 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Fri Apr 08 10:19:24 2011 Control Channel Authentication: using 'keys/static.key' as a OpenVPN static key file
Fri Apr 08 10:19:24 2011 Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Fri Apr 08 10:19:24 2011 Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Fri Apr 08 10:19:24 2011 LZO compression initialized
Fri Apr 08 10:19:24 2011 Control Channel MTU parms [ L:1590 D:166 EF:66 EB:0 ET:0 EL:0 ]
Fri Apr 08 10:19:24 2011 Socket Buffers: R=[8192->8192] S=[8192->8192]
Fri Apr 08 10:19:24 2011 Data Channel MTU parms [ L:1590 D:1450 EF:58 EB:135 ET:32 EL:0 AF:3/1 ]
Fri Apr 08 10:19:24 2011 Local Options hash (VER=V4): 'a7133b47'
Fri Apr 08 10:19:24 2011 Expected Remote Options hash (VER=V4): 'c5677ab3'
Fri Apr 08 10:19:24 2011 UDPv4 link local: [undef]
Fri Apr 08 10:19:24 2011 UDPv4 link remote: xxx.xx.xx.xxx:1194
Fri Apr 08 10:19:24 2011 TLS: Initial packet from xxx.xx.xx.xxx:1194, sid=9b72a416 7efc244e
Fri Apr 08 10:19:25 2011 VERIFY OK: depth=1, /C=AT/ST=CU/L=CY/O=OG/CN=OG_CA/[email protected]
Fri Apr 08 10:19:25 2011 VERIFY OK: nsCertType=SERVER
Fri Apr 08 10:19:25 2011 VERIFY OK: depth=0, /C=AT/ST=CU/L=CY/O=OG/CN=server/[email protected]
Fri Apr 08 10:19:25 2011 Data Channel Encrypt: Cipher 'AES-128-CBC' initialized with 128 bit key
Fri Apr 08 10:19:25 2011 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Fri Apr 08 10:19:25 2011 Data Channel Decrypt: Cipher 'AES-128-CBC' initialized with 128 bit key
Fri Apr 08 10:19:25 2011 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Fri Apr 08 10:19:25 2011 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
Fri Apr 08 10:19:25 2011 [server] Peer Connection Initiated with xxx.xx.xx.xxx:1194
Fri Apr 08 10:19:27 2011 SENT CONTROL [server]: 'PUSH_REQUEST' (status=1)
Fri Apr 08 10:19:27 2011 PUSH: Received control message: 'PUSH_REPLY,redirect-gateway,route-gateway 192.168.180.1,route 192.168.178.0 255.255.255.0'
Fri Apr 08 10:19:27 2011 OPTIONS IMPORT: route options modified
Fri Apr 08 10:19:27 2011 OPTIONS IMPORT: route-related options modified
Fri Apr 08 10:19:27 2011 ROUTE default_gateway=10.42.1.254
Fri Apr 08 10:19:27 2011 TAP-WIN32 device [OpenVPN Connection] opened: \\.\Global\{BE226553-A1A0-4801-969A-459BD8BC4CB0}.tap
Fri Apr 08 10:19:27 2011 TAP-Win32 Driver Version 9.8 
Fri Apr 08 10:19:27 2011 TAP-Win32 MTU=1500
Fri Apr 08 10:19:27 2011 Successful ARP Flush on interface [17] {BE226553-A1A0-4801-969A-459BD8BC4CB0}
Fri Apr 08 10:19:32 2011 TEST ROUTES: 0/2 succeeded len=1 ret=0 a=0 u/d=up
Fri Apr 08 10:19:32 2011 Route: Waiting for TUN/TAP interface to come up...
Fri Apr 08 10:19:37 2011 TEST ROUTES: 0/2 succeeded len=1 ret=0 a=0 u/d=up
Fri Apr 08 10:19:37 2011 Route: Waiting for TUN/TAP interface to come up...
Fri Apr 08 10:19:38 2011 TEST ROUTES: 0/2 succeeded len=1 ret=0 a=0 u/d=up
Fri Apr 08 10:19:38 2011 Route: Waiting for TUN/TAP interface to come up...
Fri Apr 08 10:19:39 2011 TEST ROUTES: 0/2 succeeded len=1 ret=0 a=0 u/d=up
Fri Apr 08 10:19:39 2011 Route: Waiting for TUN/TAP interface to come up...
Fri Apr 08 10:19:40 2011 TEST ROUTES: 0/2 succeeded len=1 ret=0 a=0 u/d=up
Fri Apr 08 10:19:40 2011 Route: Waiting for TUN/TAP interface to come up...
Fri Apr 08 10:19:41 2011 TEST ROUTES: 0/2 succeeded len=1 ret=0 a=0 u/d=up
Fri Apr 08 10:19:41 2011 Route: Waiting for TUN/TAP interface to come up...
Fri Apr 08 10:19:42 2011 TEST ROUTES: 0/2 succeeded len=1 ret=0 a=0 u/d=up
Fri Apr 08 10:19:42 2011 Route: Waiting for TUN/TAP interface to come up...
Fri Apr 08 10:19:43 2011 TEST ROUTES: 0/2 succeeded len=1 ret=0 a=0 u/d=up
Fri Apr 08 10:19:43 2011 Route: Waiting for TUN/TAP interface to come up...
Fri Apr 08 10:19:44 2011 TEST ROUTES: 0/2 succeeded len=1 ret=0 a=0 u/d=up
Fri Apr 08 10:19:44 2011 Route: Waiting for TUN/TAP interface to come up...
Fri Apr 08 10:19:45 2011 TEST ROUTES: 0/2 succeeded len=1 ret=0 a=0 u/d=up
Fri Apr 08 10:19:45 2011 Route: Waiting for TUN/TAP interface to come up...
Fri Apr 08 10:19:46 2011 TEST ROUTES: 0/2 succeeded len=1 ret=0 a=0 u/d=up
Fri Apr 08 10:19:46 2011 Route: Waiting for TUN/TAP interface to come up...
Fri Apr 08 10:19:47 2011 TEST ROUTES: 0/2 succeeded len=1 ret=0 a=0 u/d=up
Fri Apr 08 10:19:47 2011 Route: Waiting for TUN/TAP interface to come up...
Fri Apr 08 10:19:48 2011 TEST ROUTES: 0/2 succeeded len=1 ret=0 a=0 u/d=up
Fri Apr 08 10:19:48 2011 Route: Waiting for TUN/TAP interface to come up...
Fri Apr 08 10:19:49 2011 TEST ROUTES: 0/2 succeeded len=1 ret=0 a=0 u/d=up
Fri Apr 08 10:19:49 2011 Route: Waiting for TUN/TAP interface to come up...
Fri Apr 08 10:19:50 2011 TEST ROUTES: 0/2 succeeded len=1 ret=0 a=0 u/d=up
Fri Apr 08 10:19:50 2011 Route: Waiting for TUN/TAP interface to come up...
Fri Apr 08 10:19:51 2011 TEST ROUTES: 0/2 succeeded len=1 ret=0 a=0 u/d=up
Fri Apr 08 10:19:51 2011 Route: Waiting for TUN/TAP interface to come up...
Fri Apr 08 10:19:52 2011 TEST ROUTES: 0/2 succeeded len=1 ret=0 a=0 u/d=up
Fri Apr 08 10:19:52 2011 Route: Waiting for TUN/TAP interface to come up...
Fri Apr 08 10:19:53 2011 TEST ROUTES: 0/2 succeeded len=1 ret=0 a=0 u/d=up
Fri Apr 08 10:19:53 2011 Route: Waiting for TUN/TAP interface to come up...
Fri Apr 08 10:19:54 2011 TEST ROUTES: 0/2 succeeded len=1 ret=0 a=0 u/d=up
Fri Apr 08 10:19:54 2011 Route: Waiting for TUN/TAP interface to come up...
Fri Apr 08 10:19:55 2011 TEST ROUTES: 0/2 succeeded len=1 ret=0 a=0 u/d=up
Fri Apr 08 10:19:55 2011 Route: Waiting for TUN/TAP interface to come up...
Fri Apr 08 10:19:56 2011 TEST ROUTES: 0/2 succeeded len=1 ret=0 a=0 u/d=up
Fri Apr 08 10:19:56 2011 Route: Waiting for TUN/TAP interface to come up...
Fri Apr 08 10:19:57 2011 TEST ROUTES: 0/2 succeeded len=1 ret=0 a=0 u/d=up
Fri Apr 08 10:19:57 2011 Route: Waiting for TUN/TAP interface to come up...
Fri Apr 08 10:19:58 2011 TEST ROUTES: 0/2 succeeded len=1 ret=0 a=0 u/d=up
Fri Apr 08 10:19:58 2011 Route: Waiting for TUN/TAP interface to come up...
Fri Apr 08 10:19:59 2011 TEST ROUTES: 0/2 succeeded len=1 ret=0 a=0 u/d=up
Fri Apr 08 10:19:59 2011 Route: Waiting for TUN/TAP interface to come up...
Fri Apr 08 10:20:00 2011 TEST ROUTES: 0/2 succeeded len=1 ret=0 a=0 u/d=up
Fri Apr 08 10:20:00 2011 Route: Waiting for TUN/TAP interface to come up...
Fri Apr 08 10:20:01 2011 TEST ROUTES: 0/2 succeeded len=1 ret=0 a=0 u/d=up
Fri Apr 08 10:20:01 2011 Route: Waiting for TUN/TAP interface to come up...
Fri Apr 08 10:20:02 2011 TEST ROUTES: 0/2 succeeded len=1 ret=0 a=0 u/d=up
Fri Apr 08 10:20:02 2011 [B]C:\WINDOWS\system32\route.exe ADD xxx.xx.xx.xxx MASK 255.255.255.255 10.42.1.254[/B]
Fri Apr 08 10:20:02 2011 ROUTE: CreateIpForwardEntry succeeded with dwForwardMetric1=20 and dwForwardType=4
Fri Apr 08 10:20:02 2011 Route addition via IPAPI succeeded [adaptive]
Fri Apr 08 10:20:02 2011 [B]C:\WINDOWS\system32\route.exe DELETE 0.0.0.0 MASK 0.0.0.0 10.42.1.254 [/B]
Fri Apr 08 10:20:02 2011 Route deletion via IPAPI succeeded [adaptive]
Fri Apr 08 10:20:02 2011 [B]C:\WINDOWS\system32\route.exe ADD 0.0.0.0 MASK 0.0.0.0 192.168.180.1 [/B]
Fri Apr 08 10:20:02 2011 [B]Warning: route gateway is not reachable on any active network adapters: 192.168.180.1[/B]
Fri Apr 08 10:20:02 2011 Route addition via IPAPI failed [adaptive]
Fri Apr 08 10:20:02 2011 Route addition fallback to route.exe
 OK!
Fri Apr 08 10:20:02 2011 [B]WARNING: potential route subnet conflict between local LAN [192.168.178.0/255.255.255.0] and remote VPN [192.168.178.0/255.255.255.0][/B]
Fri Apr 08 10:20:02 2011  [B]C:\WINDOWS\system32\route.exeADD 192.168.178.0 MASK 255.255.255.0 192.168.180.1[/B]
Fri Apr 08 10:20:02 2011 [B]Warning: route gateway is not reachable on any active network adapters: 192.168.180.1[/B]
Fri Apr 08 10:20:02 2011 Route addition via IPAPI failed [adaptive]
Fri Apr 08 10:20:02 2011 Route addition fallback to route.exe
 OK!
SYSTEM ROUTING TABLE
0.0.0.0 0.0.0.0 192.168.178.1 p=0 i=17 t=4 pr=3 a=35354 h=0 m=30/0/0/0/0
0.0.0.0 0.0.0.0 192.168.180.1 p=0 i=17 t=4 pr=3 a=0 h=0 m=31/0/0/0/0
10.42.1.0 255.255.255.0 10.42.1.25 p=0 i=10 t=3 pr=3 a=40646 h=0 m=276/0/0/0/0
10.42.1.25 255.255.255.255 10.42.1.25 p=0 i=10 t=3 pr=3 a=40646 h=0 m=276/0/0/0/0
10.42.1.255 255.255.255.255 10.42.1.25 p=0 i=10 t=3 pr=3 a=40646 h=0 m=276/0/0/0/0
127.0.0.0 255.0.0.0 127.0.0.1 p=0 i=1 t=3 pr=3 a=40661 h=0 m=306/0/0/0/0
127.0.0.1 255.255.255.255 127.0.0.1 p=0 i=1 t=3 pr=3 a=40661 h=0 m=306/0/0/0/0
127.255.255.255 255.255.255.255 127.0.0.1 p=0 i=1 t=3 pr=3 a=40661 h=0 m=306/0/0/0/0
169.254.0.0 255.255.0.0 169.254.124.87 p=0 i=15 t=3 pr=3 a=40644 h=0 m=276/0/0/0/0
169.254.124.87 255.255.255.255 169.254.124.87 p=0 i=15 t=3 pr=3 a=40644 h=0 m=276/0/0/0/0
169.254.255.255 255.255.255.255 169.254.124.87 p=0 i=15 t=3 pr=3 a=40644 h=0 m=276/0/0/0/0
xxx.xx.xx.xxx 255.255.255.255 10.42.1.254 p=0 i=10 t=4 pr=3 a=0 h=0 m=20/0/0/0/0
192.168.178.0 255.255.255.0 192.168.178.21 p=0 i=17 t=3 pr=3 a=35354 h=0 m=286/0/0/0/0
192.168.178.0 255.255.255.0 192.168.180.1 p=0 i=17 t=4 pr=3 a=0 h=0 m=31/0/0/0/0
192.168.178.21 255.255.255.255 192.168.178.21 p=0 i=17 t=3 pr=3 a=35354 h=0 m=286/0/0/0/0
192.168.178.255 255.255.255.255 192.168.178.21 p=0 i=17 t=3 pr=3 a=35354 h=0 m=286/0/0/0/0
224.0.0.0 240.0.0.0 127.0.0.1 p=0 i=1 t=3 pr=3 a=40661 h=0 m=306/0/0/0/0
224.0.0.0 240.0.0.0 169.254.124.87 p=0 i=15 t=3 pr=3 a=40654 h=0 m=276/0/0/0/0
224.0.0.0 240.0.0.0 192.168.178.21 p=0 i=17 t=3 pr=3 a=40654 h=0 m=286/0/0/0/0
224.0.0.0 240.0.0.0 10.42.1.25 p=0 i=10 t=3 pr=3 a=40654 h=0 m=276/0/0/0/0
255.255.255.255 255.255.255.255 127.0.0.1 p=0 i=1 t=3 pr=3 a=40661 h=0 m=306/0/0/0/0
255.255.255.255 255.255.255.255 169.254.124.87 p=0 i=15 t=3 pr=3 a=40654 h=0 m=276/0/0/0/0
255.255.255.255 255.255.255.255 192.168.178.21 p=0 i=17 t=3 pr=3 a=40654 h=0 m=286/0/0/0/0
255.255.255.255 255.255.255.255 10.42.1.25 p=0 i=10 t=3 pr=3 a=40654 h=0 m=276/0/0/0/0
SYSTEM ADAPTER LIST
TAP-Win32 Adapter V9
  Index = 17
  GUID = {BE226553-A1A0-4801-969A-459BD8BC4CB0}
  IP = 192.168.178.21/255.255.255.0 
  MAC = 00:ff:be:22:65:53
  GATEWAY = 192.168.178.1/255.255.255.255 192.168.180.1/255.255.255.255 
  DHCP SERV = 192.168.178.1/255.255.255.255 
  DHCP LEASE OBTAINED = Fri Apr 08 10:19:27 2011
  DHCP LEASE EXPIRES  = Thu Jan 01 01:00:00 1970
  DNS SERV = 192.168.178.1/255.255.255.255 
Broadcom NetXtreme 57xx Gigabit Controller
  Index = 10
  GUID = {A44310A3-FEBE-4120-98D3-6D601818FFA1}
  IP = 10.42.1.25/255.255.255.0 
  MAC = 00:22:19:33:f4:f1
  GATEWAY = 0.0.0.0/255.255.255.255 
  DHCP SERV = 10.40.0.101/255.255.255.255 
  DHCP LEASE OBTAINED = Thu Apr 07 23:02:36 2011
  DHCP LEASE EXPIRES  = Thu Jan 01 01:00:00 1970
  DNS SERV = 10.42.0.101/255.255.255.255 10.41.0.11/255.255.255.255 
VirtualBox Host-Only Ethernet Adapter
  Index = 15
  GUID = {B08CAF41-AAEB-434D-8468-9740B3E449EE}
  IP = 169.254.124.87/255.255.0.0 
  MAC = 08:00:27:00:cc:f7
  GATEWAY = 0.0.0.0/255.255.255.255 
  DNS SERV =  
Fri Apr 08 10:20:02 2011 Initialization Sequence Completed With Errors ( see http://openvpn.net/faq.html#dhcpclientserv )
Fri Apr 08 10:20:08 2011 Replay-window backtrack occurred [9]

Trotz einiger Warnings, führt diese Konfiguration erfreulicherweise zu einer Internet- und Netzwerkverbindung! :)
Windows 7 erkennt diese aufgebaute VPN Verbindung sogar als ein vertrauenswürdiges Heimnetzwerk an! :)

--> Der VPN-Client erhält jedoch eine IP vom DHCP der FB zugeteilt!
--> Erwartet hätte ich 192.168.180.x bekam jedoch 192.168.178.x!

----------------

Sobald ich jedoch folgende Änderungen DHCP-Range für Clients: 192.168.180.20 192.168.180.90 eintrage, entstehen die von dir beanstandeten Zusatz-Einträge in der server.ovpn und nichts geht mehr! :mad:

----------------

Weiters ist mir aufgefallen, dass die FB sich rebootet sobald das WLAN an ist und ich eine VPN-Verbindung aufbauen möchte! :argh:
 
Also...
Um die "überflüssigen Einträge" zu vermeiden, muss entweder die oben genannte Änderung angewendet werden, oder "client-to-client" muss AUS sein!
Bitte um Rückmeldung, wenn das trotz der Änderung oder ohne dem Client-to-Client drin ist.

ABER:
Wenn du zwei konkurierende DHCPs nutzt ist das nicht so gut ;-):
Du hast das LAN mit dem VPN verbunden (Haken bei "mit LAN brücken"). Damit wird der DHCP der Box für die VPN-Clients erreichbar (siehst du an der Client-IP).
Wenn du wirklich ein gebrücktes VPN nutzen willst, müssen die IPs dort dem LAN entsprechend gewählt werden..

Der Reboot liegt an einem Kernel-BUG im AVM, der aber nur auftritt bei WLAN+TAP. Momentan gibt es m.W. keine Lösung dafür.
Brauchst du wirklich ein gebrücktes Netz??

Jörg
 
Mit dem neuen Image sind die Einträge bei deaktiviertem Client-to-Client weg! Aber bei Eingabe einer DHCP-Range sind die Einträge auch drinnen trotz deativiertem Client-to-Client wieder drinnen! o0

Hab versucht von tap auf tun umzustellen kein Erfolg! Kein Internet kein Netzwerk!

Welche Kästchen muss ich also bei "tun" mit welchen Werten wirklich befüllen?
 
Das einfachste wäre:
Defaults wiederherstellen ("Standard"), dann zusätzlich wählen/eintragen:

* "Zertifikate"
Cipher: AES-128-CBC
* Jedes Paket des Clients umleiten
(ggf: * "TLS-Authentifizierung").

Die Config dazu
Code:
tls-client
pull
dev tun
remote myDynDNS 1194
resolv-retry infinite
nobind
persist-tun
persist-key
ca keys/ca.crt
cert keys/client_work.crt
key keys/client_work.key
ns-cert-type server
cipher AES-128-CBC
comp-lzo
verb 3

#
# eventuell noch (je nach Server-Einstellung )
#
#tls-auth keys/static.key 1
#
 
Super, danke!

Folgenden Eintrag auf Clientseite musste ich hinzufügen:
Code:
...
ifconfig 192.168.200.2 192.168.200.1
...

Folgenden Eintrag auf Serverseite musste ich hinzufügen:
Code:
...
push "dhcp-option DNS 8.8.4.4"
...

Ohne kam keine VPN- bzw. Internetverbindung zustande!

Ein Pingen zur FB mit IP (192.168.178.1) und (192.168.200.1) geht!

Folgendes funktioniert leider noch nicht:
Ein ping vom lokalen PC (192.168.178.x) zum VPN Client (192.168.200.x) und vice versa!

Der VPN-Server ließ sich nicht starten, wenn zusätzlich der Haken für "Client-zu-Client" gesetzt ist!

Erst nach Eingabe einer "DHCP-Range für Clients" (192.168.178.20 192.168.178.30) ging das Starten wieder.

Was müsste ich nun zusätzlich an der Client-Konfiguration ändern?

Vielen Dank im Voraus! :D
 
Das mit dem Ping liegt aller Wahrscheinlichkeit nach an den Firewalls der Systeme. Wenn der Client 192.168.178.1 erreichen kann, dann sollte das auch mit einem beliebigen anderen Gerät in dem Netz gehen (sagen wir mal 192.168.178.123).

Geht das nicht, antwortet der PC 192.168.178.123 nicht (z.B wegen einer Firewall), oder die Antwort "findet den Weg nicht zurück", das wäre aber nur der Fall, wenn die VPN-Server FritzBox nicht als "Standardgateway" in deinem Netz eingetragen ist. Wenn der Internetverkehr über diese Box geht, wird das aber wohl o.k. sein.

Gleiches gilt für den Weg andersrum: Ich vermute, die Pakete kommen aus deinem LAN beim VPN-Client an, aber dieser antwortet nicht (wegen Firewall).

Willst du denn mehrere Clients betreiben?


Jörg
 
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.