[Frage] OpenVPN Zertifikate Problem

Sidebar Sidebar
Upgrade 3CX to v18 and get it hosted free!
D

duffy6

Mitglied
Mitglied seit
24 Dez 2007
Beiträge
309
Punkte für Reaktionen
2
Punkte
18
Hallo zusammen,

die ganze Zeit lief mein OpenVPN eigentlich astrein, bis ich mir aufgefallen ist, dass die freetz-OpenVPN GUI anders als erwartet aussieht:

Ich benuutze Zertifikate, und da sollte doch normalerweise im GUI.Bereich "VPN IP-Adressen und Routing im VPN" die Option "Netzmaske" auftauchen (wie im Wiki hier).

Tut es bei mir aber nicht!

Bei mir sieht das so aus wie im Anhang, d.h. es setht weiterhin "Remote IP" statt Netzmaske in der GUI.

Trage ich unter Remote-IP: "192.168.200.2" ein funktioniert der OpenVPN Connect.
Trage ich die Netzmaske "255.255.255.0" kommt es zur Fehlermeldung:

OpenVPN 2.1.1 i686-pc-mingw32 [SSL] [LZO2] [PKCS11] built on Dec 11 2009
Sat Jun 04 12:39:48 2011 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Sat Jun 04 12:39:49 2011 Control Channel Authentication: using 'static.key' as a OpenVPN static key file
Sat Jun 04 12:39:49 2011 Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Sat Jun 04 12:39:49 2011 Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Sat Jun 04 12:39:49 2011 Control Channel MTU parms [ L:1591 D:168 EF:68 EB:0 ET:0 EL:0 ]
Sat Jun 04 12:39:49 2011 Data Channel MTU parms [ L:1591 D:1450 EF:59 EB:4 ET:32 EL:0 ]
Sat Jun 04 12:39:49 2011 Local Options hash (VER=V4): '369e8339'
Sat Jun 04 12:39:49 2011 Expected Remote Options hash (VER=V4): '706b5732'
Sat Jun 04 12:39:49 2011 Attempting to establish TCP connection with 192.168.0.1:1194
Sat Jun 04 12:39:50 2011 TCP: connect to 192.168.0.1:1194 failed, will try again in 5 seconds: Connection refused (WSAECONNREFUSED)
Zum Vergrößern anklicken....

Meine client.ovpn sieht so aus:
remote 192.168.0.1
proto tcp-client
dev tap
tls-client
ns-cert-type server
ca ca.crt
cert laptop.crt
key "laptop.key"
tls-auth "static.key" 1
tun-mtu 1500
mssfix
nobind
pull
cipher AES-128-CBC
verb 3
Zum Vergrößern anklicken....

Mein Netzwerk:
Fritzbox-IP: 192.168.0.1

Wieso funktioniert der Connect nicht?

Danke und Gruß
duffy6
 

Anhänge

  • 04.06.jpg
    04.06.jpg
    90.9 KB · Aufrufe: 11
Zuletzt bearbeitet:
>>Bei mir sieht das so aus wie im Anhang, d.h. es setht weiterhin "Remote IP" statt Netzmaske in der GUI.

Leider fehlt der Anhang.
Das von Dir beschriebene steuert oben die option TUN/TAP.
Ist da abei Dir das richtige ausgewählt?
 
Ups!!! Asche auf mein Haupt! Jetzt geht der Connect!

Aber ich komm nicht ins private LAN...hmmm

Fehlermeldung:
Sat Jun 04 13:10:21 2011 OpenVPN 2.1.1 i686-pc-mingw32 [SSL] [LZO2] [PKCS11] built on Dec 11 2009
Sat Jun 04 13:10:21 2011 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Sat Jun 04 13:10:21 2011 Control Channel Authentication: using 'static.key' as a OpenVPN static key file
Sat Jun 04 13:10:21 2011 Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Sat Jun 04 13:10:21 2011 Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Sat Jun 04 13:10:21 2011 Control Channel MTU parms [ L:1591 D:168 EF:68 EB:0 ET:0 EL:0 ]
Sat Jun 04 13:10:23 2011 Data Channel MTU parms [ L:1591 D:1450 EF:59 EB:4 ET:32 EL:0 ]
Sat Jun 04 13:10:23 2011 Local Options hash (VER=V4): '369e8339'
Sat Jun 04 13:10:23 2011 Expected Remote Options hash (VER=V4): '706b5732'
Sat Jun 04 13:10:23 2011 Attempting to establish TCP connection with 79.227.177.178:444
Sat Jun 04 13:10:23 2011 TCP connection established with 79.227.177.178:444
Sat Jun 04 13:10:23 2011 Socket Buffers: R=[8192->8192] S=[49152->49152]
Sat Jun 04 13:10:23 2011 TCPv4_CLIENT link local: [undef]
Sat Jun 04 13:10:23 2011 TCPv4_CLIENT link remote: 79.227.177.178:444
Sat Jun 04 13:10:24 2011 TLS: Initial packet from 79.227.177.178:444, sid=e7691bad 2abda774
Sat Jun 04 13:10:34 2011 VERIFY OK: depth=1, /C=DE/ST=BW/L=Karlsruhe/O=OpenVPN/CN=ca/emailAddress=XXXXX
Sat Jun 04 13:10:34 2011 VERIFY OK: nsCertType=SERVER
Sat Jun 04 13:10:34 2011 VERIFY OK: depth=0, /C=DE/ST=BW/O=OpenVPN/CN=fritzbox/emailAddress=XXXXX
Sat Jun 04 13:10:43 2011 Data Channel Encrypt: Cipher 'AES-128-CBC' initialized with 128 bit key
Sat Jun 04 13:10:43 2011 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Sat Jun 04 13:10:43 2011 Data Channel Decrypt: Cipher 'AES-128-CBC' initialized with 128 bit key
Sat Jun 04 13:10:43 2011 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Sat Jun 04 13:10:43 2011 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
Sat Jun 04 13:10:43 2011 [fritzbox] Peer Connection Initiated with 79.227.177.178:444
Sat Jun 04 13:10:45 2011 SENT CONTROL [fritzbox]: 'PUSH_REQUEST' (status=1)
Sat Jun 04 13:10:45 2011 PUSH: Received control message: 'PUSH_REPLY,route 192.168.200.1 ,route-gateway 192.168.200.1,route 192.168.0.0 255.255.255.0,ping 10,ping-restart 120,ifconfig 192.168.200.100 255.255.255.0'
Sat Jun 04 13:10:45 2011 OPTIONS IMPORT: timers and/or timeouts modified
Sat Jun 04 13:10:45 2011 OPTIONS IMPORT: --ifconfig/up options modified
Sat Jun 04 13:10:45 2011 OPTIONS IMPORT: route options modified
Sat Jun 04 13:10:45 2011 OPTIONS IMPORT: route-related options modified
Sat Jun 04 13:10:45 2011 ROUTE default_gateway=10.142.53.96
Sat Jun 04 13:10:45 2011 TAP-WIN32 device [LAN-Verbindung 4] opened: \\.\Global\{C2CE3D27-B374-4EA6-AD28-2B9E2DFAB66B}.tap
Sat Jun 04 13:10:45 2011 TAP-Win32 Driver Version 9.8
Sat Jun 04 13:10:45 2011 TAP-Win32 MTU=1500
Sat Jun 04 13:10:45 2011 Notified TAP-Win32 driver to set a DHCP IP/netmask of 192.168.200.100/255.255.255.0 on interface {C2CE3D27-B374-4EA6-AD28-2B9E2DFAB66B} [DHCP-serv: 192.168.200.0, lease-time: 31536000]
Sat Jun 04 13:10:45 2011 Successful ARP Flush on interface [262148] {C2CE3D27-B374-4EA6-AD28-2B9E2DFAB66B}
Sat Jun 04 13:10:50 2011 TEST ROUTES: 2/2 succeeded len=2 ret=1 a=0 u/d=up
Sat Jun 04 13:10:50 2011 OpenVPN ROUTE: omitted no-op route: 192.168.200.1/255.255.255.255 -> 192.168.200.1
Sat Jun 04 13:10:50 2011 C:\WINDOWS\system32\route.exe ADD 192.168.0.0 MASK 255.255.255.0 192.168.200.1
Sat Jun 04 13:10:50 2011 Route addition via IPAPI succeeded [adaptive]
Sat Jun 04 13:10:50 2011 Initialization Sequence Completed
Sat Jun 04 13:14:46 2011 Connection reset, restarting [0]
Sat Jun 04 13:14:46 2011 TCP/UDP: Closing socket
Sat Jun 04 13:14:46 2011 C:\WINDOWS\system32\route.exe DELETE 192.168.0.0 MASK 255.255.255.0 192.168.200.1
Sat Jun 04 13:14:46 2011 Route deletion via IPAPI succeeded [adaptive]
Sat Jun 04 13:14:46 2011 Closing TUN/TAP interface
Sat Jun 04 13:14:46 2011 SIGUSR1[soft,connection-reset] received, process restarting
Sat Jun 04 13:14:46 2011 Restart pause, 5 second(s)
Sat Jun 04 13:14:51 2011 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Sat Jun 04 13:14:51 2011 Control Channel Authentication: using 'static.key' as a OpenVPN static key file
Sat Jun 04 13:14:51 2011 Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Sat Jun 04 13:14:51 2011 Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Sat Jun 04 13:14:51 2011 Control Channel MTU parms [ L:1591 D:168 EF:68 EB:0 ET:0 EL:0 ]
Sat Jun 04 13:14:52 2011 Data Channel MTU parms [ L:1591 D:1450 EF:59 EB:4 ET:32 EL:0 ]
Sat Jun 04 13:14:52 2011 Local Options hash (VER=V4): '369e8339'
Sat Jun 04 13:14:52 2011 Expected Remote Options hash (VER=V4): '706b5732'
Sat Jun 04 13:14:52 2011 Attempting to establish TCP connection with 79.227.177.178:444
Sat Jun 04 13:14:52 2011 TCP connection established with 79.227.177.178:444
Sat Jun 04 13:14:52 2011 Socket Buffers: R=[8192->8192] S=[49152->49152]
Sat Jun 04 13:14:52 2011 TCPv4_CLIENT link local: [undef]
Sat Jun 04 13:14:52 2011 TCPv4_CLIENT link remote: 79.227.177.178:444
Sat Jun 04 13:14:53 2011 TLS: Initial packet from 79.227.177.178:444, sid=4dc29065 d0326d9e
Sat Jun 04 13:15:03 2011 VERIFY OK: depth=1, /C=DE/ST=BW/L=Karlsruhe/O=OpenVPN/CN=ca/emailAddress=XXXXX
Sat Jun 04 13:15:03 2011 VERIFY OK: nsCertType=SERVER
Sat Jun 04 13:15:03 2011 VERIFY OK: depth=0, /C=DE/ST=BW/O=OpenVPN/CN=fritzbox/emailAddress=XXXXX
Sat Jun 04 13:15:37 2011 Data Channel Encrypt: Cipher 'AES-128-CBC' initialized with 128 bit key
Sat Jun 04 13:15:37 2011 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Sat Jun 04 13:15:37 2011 Data Channel Decrypt: Cipher 'AES-128-CBC' initialized with 128 bit key
Sat Jun 04 13:15:37 2011 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Sat Jun 04 13:15:37 2011 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
Sat Jun 04 13:15:37 2011 [fritzbox] Peer Connection Initiated with 79.227.177.178:444
Sat Jun 04 13:15:39 2011 SENT CONTROL [fritzbox]: 'PUSH_REQUEST' (status=1)
Sat Jun 04 13:15:40 2011 PUSH: Received control message: 'PUSH_REPLY,route 192.168.200.1 ,route-gateway 192.168.200.1,route 192.168.0.0 255.255.255.0,ping 10,ping-restart 120,ifconfig 192.168.200.100 255.255.255.0'
Sat Jun 04 13:15:40 2011 OPTIONS IMPORT: timers and/or timeouts modified
Sat Jun 04 13:15:40 2011 OPTIONS IMPORT: --ifconfig/up options modified
Sat Jun 04 13:15:40 2011 OPTIONS IMPORT: route options modified
Sat Jun 04 13:15:40 2011 OPTIONS IMPORT: route-related options modified
Sat Jun 04 13:15:40 2011 ROUTE default_gateway=10.142.53.96
Sat Jun 04 13:15:40 2011 TAP-WIN32 device [LAN-Verbindung 4] opened: \\.\Global\{C2CE3D27-B374-4EA6-AD28-2B9E2DFAB66B}.tap
Sat Jun 04 13:15:40 2011 TAP-Win32 Driver Version 9.8
Sat Jun 04 13:15:40 2011 TAP-Win32 MTU=1500
Sat Jun 04 13:15:40 2011 Notified TAP-Win32 driver to set a DHCP IP/netmask of 192.168.200.100/255.255.255.0 on interface {C2CE3D27-B374-4EA6-AD28-2B9E2DFAB66B} [DHCP-serv: 192.168.200.0, lease-time: 31536000]
Sat Jun 04 13:15:40 2011 Successful ARP Flush on interface [262148] {C2CE3D27-B374-4EA6-AD28-2B9E2DFAB66B}
Sat Jun 04 13:15:45 2011 TEST ROUTES: 2/2 succeeded len=2 ret=1 a=0 u/d=up
Sat Jun 04 13:15:45 2011 OpenVPN ROUTE: omitted no-op route: 192.168.200.1/255.255.255.255 -> 192.168.200.1
Sat Jun 04 13:15:45 2011 C:\WINDOWS\system32\route.exe ADD 192.168.0.0 MASK 255.255.255.0 192.168.200.1
Sat Jun 04 13:15:45 2011 Route addition via IPAPI succeeded [adaptive]
Sat Jun 04 13:15:45 2011 Initialization Sequence Completed
Zum Vergrößern anklicken....
 
Zuletzt bearbeitet:
Grundsätzlich sieht der Verbindungsaufbau schon o.k. aus. Wie weit kommst du denn ins LAN? Erreichst du die Box ("ping 192.168.0.1")?
Bedenke, dass der Client "aus einem anderen Netz" kommt, ein "normaler Windows-PC" lässt dann keinen Ping zu.

Noch zwei weitere Hinweise:
- Packe solche Ausgaben bitte als "Code" und nicht als "Quote" in den Beitrag (sonst wird der unnötig lang)
- Ist TAP (Brücke) wirklich erforderlich? Wenn immer möglich, ist der Tunnel "TUN" vorzuziehen.

Jörg
 
Okay, nächstes mal schreib ich den Code als Code -Macht ja auch Sinn :)

Zum Thema TAP / TUN bin ich mir nicht sicher, ob ich das richtig verstanden hab.

Auszug freetz-Wiki:
Zertifikate

Wenn man mehrere gleichzeitige Verbindungen ermöglichen will, muss man mit Zertifikaten arbeiten.

es können sich mehrere Clients gleichzeitig mit dem Server verbinden
Zertifikate müssen erstellt und auf Server und Client hinterlegt werden
Die Zertifikate werden über "Einstellungen" eingetragen (Zuordnung siehe weiter unten)
die IP-Zuweisung erfolgt dynamisch durch den Server
einfache Konfiguration der Clients durch Push/Pull?
Zum Vergrößern anklicken....

Bin etwas verwirrt: Wenn ich mit mehr als einem CLient gleichzeitig connecten will, brauche ich dann zwangsläufig Zertifikate UND TAP?
Oder funktioniert auch Zertifikate UND TUN?
Und wie sähe dann eine Zertifikate/TUN Konfiguration für Server und Client aus?
 
Für mehrere User gleichzeitig brauchst du nur Zertifikate. Die Entscheidung, ob man Tunnel- oder Brücken-Interfaces nutzt, ist davon unabhängig.

Bei TUN mit mehreren Clients nutzt die GUI "topology subnet", bei der alle Clients in das gleiche Netz kommen (ähnlich wie bei TAP, aber es wird nicht gebrückt, sondern "geroutet").

Beim Server finde ich es immer sinnvoll, die "erweiterte Clientkonfig" zu nutzen. Damit kannst du jedem User(Zertifikat) immer eine feste IP zuweisen und sogar Netze zu einzelnen Clients schicken (wenn der CLient z.B. auch ein Router ist). Der Rest bleibt im Großen und Ganzen so, wie es jetzt auch ist. Der Client sollte sich möglichst viel per "pull" vom Server holen, dann wird die Config dort schön klein und beschränkt sich auf die Einträge für "remote", Cert- und Key-Files, sowie ggf. cipher, lzo usw.


Jörg
 
Okay, danke für die Erklärung, das ist mir jetzt klar!

Ich habe jetzt auf TUN mit Zertifikaten umgestellt.

Server (via GUI konfiguriert):
Code: 
#  OpenVPN 2.1 Config, Sat Jun  4 15:21:09 CEST 2011
proto tcp-server
dev tun
ca /tmp/flash/ca.crt
cert /tmp/flash/box.crt
key /tmp/flash/box.key
dh /tmp/flash/dh.pem
tls-server
tls-auth /tmp/flash/static.key 0
port 1194
mode server
ifconfig-pool 192.168.200.100 192.168.200.129
push "route 192.168.200.1 "
ifconfig 192.168.200.1 192.168.200.2
push "route 192.168.0.0 255.255.255.0"
tun-mtu 1500
mssfix
verb 3
daemon
cipher AES-128-CBC
keepalive 10 120
status /var/log/openvpn.log

Client (OpenVPN2.2, Win XP SP3):
Code: 
remote XXXX.dyndns.org
  proto tcp-client
  port 444
  dev tun
  tls-client
  ns-cert-type server
  ca ca.crt
  cert laptop.crt
  key "laptop.key"
  tls-auth "static.key" 1
  tun-mtu 1500
  mssfix
  nobind
  pull
  cipher AES-128-CBC
  verb 3

Die Verbindung wird aufgebaut, IP wird dem CLient zugewiesen (192.168.200.102), aber ich kann 192.168.0.1 (bzw. das ganze Subnetz) nicht pingen.
Hab ich einen Config-Fehler?
Edit: Port 444 wird in der Fritzbox auf 1194 geforwarded!

Danke und Gruß
duffy6
 
Wie wird das Forwarding gemacht? Es ist wichtig, dass das auf die Ziel-IP "0.0.0.0" erfolgt.

Wird denn die Route beim Client passend eingerichtet (Log bzw. "route print")?
Ist die "VPN-IP" der Box erreichbar (die 192.168.200.1)?

Und weiter: Versuchst du das auch "von extern"? Aus dem LAN selbst ist das nicht so sinnig, weil dann das Netz direkt angebunden und über VPN erreichbar wäre.

Jörg
 
Wie wird das Forwarding gemacht? Es ist wichtig, dass das auf die Ziel-IP "0.0.0.0" erfolgt.
Zum Vergrößern anklicken....
Ja, das hab ich gemacht. Der Connect funktioniert ja, nur der Ping/Zugriff aufs Fritzbox-Netz nicht.

Wird denn die Route beim Client passend eingerichtet (Log bzw. "route print")?
Zum Vergrößern anklicken....
Verstehe nicht genau, was Du damit meinst. Der CLient holt sich doch (siehe config) per pull die Route.

Ist die "VPN-IP" der Box erreichbar (die 192.168.200.1)?
Zum Vergrößern anklicken....
Nein!

Und weiter: Versuchst du das auch "von extern"? Aus dem LAN selbst ist das nicht so sinnig, weil dann das Netz direkt angebunden und über VPN erreichbar wäre.
Zum Vergrößern anklicken....
Ja, ich versuche es über ein Netbook mit UMTS Modem.

Vielleicht helfen meine Anmerkungen meinem Config-Fehler auf die Schliche zu kommen.


Gruß
duffy6
 
LZO nur auf einer Seite an? War der Fehler bei mir...Tunnel stand, ping ging nicht...check this...
 
Schau bitte im Log nach, ob der Client die per “pull“ gezogenen Dinge auch anwendet.
Besonders neuere Windows Versionen sind da etwas wählerisch (Stichwort route-method und route-delay, die Suche hilft da auch...)

Jörg
 
LZO ist auf beiden Seiten deaktiviert.

Ich poste hier mal den Log und die Ausgabe von Route -print von dem XP Rechner - für mich sieht alles normal aus.

Log:
Code: 
Sun Jun 05 11:29:57 2011 PUSH: Received control message: 'PUSH_REPLY,route 192.168.200.1 ,route 192.168.0.0 255.255.255.0,ping 10,ping-restart 120,ifconfig 192.168.200.102 192.168.200.101'
Sun Jun 05 11:29:57 2011 OPTIONS IMPORT: timers and/or timeouts modified
Sun Jun 05 11:29:57 2011 OPTIONS IMPORT: --ifconfig/up options modified
Sun Jun 05 11:29:57 2011 OPTIONS IMPORT: route options modified
Sun Jun 05 11:29:57 2011 ROUTE default_gateway=10.138.60.2
Sun Jun 05 11:29:57 2011 TAP-WIN32 device [LAN-Verbindung 5] opened: \\.\Global\{E5CDE62C-E298-4269-B3F3-A97B3127752D}.tap
Sun Jun 05 11:29:58 2011 TAP-Win32 Driver Version 9.8 
Sun Jun 05 11:29:58 2011 TAP-Win32 MTU=1500
Sun Jun 05 11:29:58 2011 Notified TAP-Win32 driver to set a DHCP IP/netmask of 192.168.200.102/255.255.255.252 on interface {E5CDE62C-E298-4269-B3F3-A97B3127752D} [DHCP-serv: 192.168.200.101, lease-time: 31536000]
Sun Jun 05 11:29:58 2011 Successful ARP Flush on interface [4] {E5CDE62C-E298-4269-B3F3-A97B3127752D}
Sun Jun 05 11:30:03 2011 TEST ROUTES: 2/2 succeeded len=2 ret=1 a=0 u/d=up
Sun Jun 05 11:30:03 2011 C:\WINDOWS\system32\route.exe ADD 192.168.200.1 MASK 255.255.255.255 192.168.200.101
Sun Jun 05 11:30:03 2011 Route addition via IPAPI succeeded [adaptive]
Sun Jun 05 11:30:03 2011 C:\WINDOWS\system32\route.exe ADD 192.168.0.0 MASK 255.255.255.0 192.168.200.101
Sun Jun 05 11:30:03 2011 Route addition via IPAPI succeeded [adaptive]
Sun Jun 05 11:30:03 2011 Initialization Sequence Completed


routes:
Code: 
===========================================================================
Aktive Routen:
     Netzwerkziel    Netzwerkmaske          Gateway   Schnittstelle  Anzahl
          0.0.0.0          0.0.0.0      10.138.60.2     10.138.60.2	  1
      10.138.60.2  255.255.255.255        127.0.0.1       127.0.0.1	  50
   10.255.255.255  255.255.255.255      10.138.60.2     10.138.60.2	  50
        127.0.0.0        255.0.0.0        127.0.0.1       127.0.0.1	  1
      192.168.0.0    255.255.255.0  192.168.200.101  192.168.200.102	  1
    192.168.200.1  255.255.255.255  192.168.200.101  192.168.200.102	  1
  192.168.200.100  255.255.255.252  192.168.200.102  192.168.200.102	  30
  192.168.200.102  255.255.255.255        127.0.0.1       127.0.0.1	  30
  192.168.200.255  255.255.255.255  192.168.200.102  192.168.200.102	  30
        224.0.0.0        240.0.0.0  192.168.200.102  192.168.200.102	  30
        224.0.0.0        240.0.0.0      10.138.60.2     10.138.60.2	  1
  255.255.255.255  255.255.255.255      10.138.60.2               2	  1
  255.255.255.255  255.255.255.255      10.138.60.2               3	  1
  255.255.255.255  255.255.255.255      10.138.60.2     10.138.60.2	  1
  255.255.255.255  255.255.255.255  192.168.200.102  192.168.200.102	  1
Standardgateway:       10.138.60.2
===========================================================================
St„ndige Routen:
  Keine

Nicht mal der Ping auf 192.168.200.101 funktioniert :confused:
Wie könnte ich weiter forschen woran es liegt?

gruß
duffy6
 
Zuletzt bearbeitet:
Da scheint wirklich alles genau so zu sein, wie es zu erwarten ist.
Es könnte jetzt noch an der Port-Weiterleitung der Box liegen, obwohl ich das für wenig wahrscheinlich halte. Du könntest es mit dem "echten" Port vom OpenVPN versuchen. Oder mal statt TCP UDP nehmen.

Ansonsten fiele mir, wenn auch der Blick in das Log des Servers keine Fehler zeigt, nur noch ein "verb" hochzusetzen (erstmal auf 6, evtl sogar auf 9), um mehr Ausgaben zu bekommen.

Alternativ könntest du dich "langsam zurückarbeiten", also z.B. mal ohne tls-auth, oder sogar erstmal nur mit Schlüssel versuchen.

Jörg
 
Ja Kruzifix nochmol ;-)

Komisch, komisch. Anbei mal ein Client Verb9 Log. Vielleicht bringt das Licht ins Dunkel.
UDP statt TCP brachte nix. TLS auth deaktivieren brachte auch nix. *kopfkratz*
 

Anhänge

  • log.zip
    125.5 KB · Aufrufe: 1
Ich sehe darin auch keine Probleme. Vor allem, wenn es auch ohne tls-auth nicht geht, sonst wäre da noch ein falsch übertragener Key möglich gewesen...

Um eventuelle Verbindungseinschränkungen im UMTS auszuschließen (MTU, Filter...) oder die Portweiterleitung, versuche es doch wenn möglich mal im gleichen Netz, nimm dafür beim Server die Route fürs LAN (lokales Netz) raus und prüfe, ob du dann vom Client die VPN-IP erreichen kannst (als "remote" dann natürlich die LAN-IP des Routers nehmen ;-)).
 
Ich werde mich mal langsam zurückarbeiten, aber was mir gerade auffiel:

ping 192.168.200.2

ergibt

"Antwort von 192.168.1.1: Zielhost nicht erreichbar."

Wieso denn bitte 192.168.1.1?

Mein Heimnetz ist doch 192.168.0.1!

Wie kommt denn das zustande?

---------------
Edit: Sorry für die Verwirrung: aber ich bin mir jetzt nicht mehr so sicher, ob ich wirklich TLS deaktiviert hatte. Wie muss ich denn die Config hierfür anpassen?
Ich denke ich hatte da einen Fehler drin...
 
Zuletzt bearbeitet:
Ohne TLS:
In der GUI den Haken weg bei "tls-Authentifizierung", in der Config die entsprechende Zeile löschen/auskommentieren (tls-auth "static.key" 1)

Jörg
 
Um antworten zu können musst du eingeloggt sein.

Zurzeit aktive Besucher

Gesamt: 490 (Mitglieder: 31, Gäste: 459)

Neueste Beiträge

Statistik des Forums

Themen
246,512
Beiträge
2,253,340
Mitglieder
374,331
Neuestes Mitglied
darkgeta1973
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
Ihr E-Mail-Adresse verifizieren

Ihr E-Mail-Adresse verifizieren

Wir haben Ihnen eine E-Mail geschickt. Klicken Sie auf die Schaltfläche im E-Mail-Text, um Ihre E-Mail-Adresse zu verifizieren – (Können Sie diese nicht finden können, dann überprüfen Sie Ihren Spam-Ordner).

IPPF im Überblick

Neueste Beiträge

Direktlinks Telefonanlage

Website-Sponsoren

3CX sponsor
KONTAKTIEREN SIE UNS BEI INTERESSE
| Style by ThemeHouse
XenPorta 2 PRO © Jason Axelrod of 8WAYRUN
Oben Unten
Zurück