.titleBar { margin-bottom: 5px!important; }

Problem mit OpenVPN auf Fritzbox 7240 (Kernel 2.6)

Dieses Thema im Forum "FRITZ!Box Fon: Modifikationen" wurde erstellt von funlike, 14 Dez. 2011.

  1. funlike

    funlike Neuer User

    Registriert seit:
    12 Dez. 2011
    Beiträge:
    4
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    #1 funlike, 14 Dez. 2011
    Zuletzt bearbeitet: 15 Dez. 2011
    Hallo, ich sitze jetzt schon 3 Tage dran und hab das ganze Internet leer gelesen ;) und keine Lösung gefunden. Hoffe Ihr könnt mir helfen.

    Mein Ansatz war eine Kombination aus:

    http://www.ip-phone-forum.de/showthread.php?t=65863&page=10&highlight=openvpn
    und
    http://www.cswpro.de/Howto/FritzBox_OpenVPN.aspx

    So sehen meine Configs aus:

    server.conf
    #
    # Grundsaetzliches
    #proto tcp-server
    local 192.168.5.253
    port 1194
    proto udp
    dev tap0
    #dev-node /var/tmp/tun
    # Server-Einstellungen
    mode server
    tls-server
    server 10.0.0.0 255.255.255.0
    client-to-client
    # Dies ist der IP-Bereich von eurem FritzBox-LAN
    push "route 192.168.5.0 255.255.255.0"
    # Authentifizierung und Verschluesselung
    ca /var/usb/vpn/ca.crt
    cert /var/usb/vpn/fritzbox.crt
    key /var/usb/vpn/fritzbox.key
    dh /var/usb/vpn/dh1024.pem
    auth SHA1
    cipher AES-256-CBC
    # Sonstiges
    push "redirect-gateway"
    keepalive 10 60


    Verbindung zu meiner FritzBox.ovpn (client)
    #
    # Grundsätzliches (Was soll der CLIENT nutzen)
    port 1194
    proto udp
    dev tap0
    dev tap
    # Client-Einstellungen
    tls-client
    #ns-cert-type server
    remote-cert-tls server
    remote XXXXXXXX 1194
    # Authentifizierung und Verschlüsselung
    ca ca.crt
    cert client01.crt
    key client01.key
    auth SHA1
    cipher AES-256-CBC
    # Sonstiges
    pull


    startup.sh (auf server)
    #
    # Start des telnet-daemons
    echo Starting telnetd
    /usr/sbin/telnetd -l /sbin/ar7login
    # warten, bis das DSL da ist
    echo Waiting for internet connection
    while !(ping -c 1 www.google.de); do
    sleep 5
    done
    # tun-Device anlegen, falls noch nicht vorhanden
    echo Creating TUN device
    mknod /var/tmp/tun c 10 200
    # Sonstiges
    ifconfig eth0:1 192.168.5.253 netmask 255.255.255.0 broadcast 192.168.5.255 up
    #cp /var/usb/vpn/ar7.cfg /var/flash/ar7.cfg
    #ar7cfgchanged
    chmod +x /var/usb/vpn/openvpn
    chmod 600 /var/usb/vpn/fritzbox.key
    chmod 600 /var/usb/vpn/server.conf
    # start OpenVPN (Dateinamen ggf. anpassen)
    echo Starting OpenVPN
    cd /var/usb/vpn
    ./openvpn --config server.conf --daemon


    Portfreigabe in der Weboberfläche der Fritzbox:
    VPN-Server UDP 1194 PC-192-168-5-253 1194


    Output beim server:

    # ./openvpn --config server.conf
    Wed Dec 14 11:41:54 2011 OpenVPN 2.1_rc1 mipsel-linux [SSL] [LZO2] [EPOLL] built on Jan 5 2007
    Wed Dec 14 11:41:54 2011 WARNING: file '/var/usb/vpn/fritzbox.key' is group or others accessible
    Wed Dec 14 11:41:54 2011 TUN/TAP device tap0 opened
    Wed Dec 14 11:41:54 2011 /sbin/ifconfig tap0 10.0.0.1 netmask 255.255.255.0 mtu 1500 broadcast 10.0.0.255
    Wed Dec 14 11:41:54 2011 UDPv4 link local (bound): 192.168.5.253:1194
    Wed Dec 14 11:41:54 2011 UDPv4 link remote: [undef]
    Wed Dec 14 11:41:54 2011 Initialization Sequence Completed


    Folgende Fehlermeldung beim Windows7 client:

    TLS Error: client->client or server->server connection attempted from XX.XX.XXX.XXX:1194


    Ich bin mit meinem Latein am Ende. Wäre super wenn mir jemand weiterhelfen könnte.
     
  2. PsychoMantis

    PsychoMantis Aktives Mitglied

    Registriert seit:
    18 Dez. 2005
    Beiträge:
    2,486
    Zustimmungen:
    1
    Punkte für Erfolge:
    38
    Beruf:
    Schüler
    Ort:
    Ingolstadt
    Vielleicht hilft dir das weiter. Ich hatte mal OpenVPN-Server aufgesetzt und dann den Client in einer 7270er und alles funktionierte auf Anhieb.
     
  3. MaxMuster

    MaxMuster IPPF-Promi

    Registriert seit:
    1 Feb. 2005
    Beiträge:
    6,919
    Zustimmungen:
    0
    Punkte für Erfolge:
    36
    Moin,

    erstmal ein paar grundsätzliche Dinge: Portforwarding auf eine "virtuelle IP" von neuren Firmwares wird nicht mehr (so richtig) unterstützt. Du solltest unbedingt eine Freigabe auf die "0.0.0.0" einrichten...
    Beim Server würde ich das Binden an eine IP entfernen ("local 192.168.5.253") .

    Bringt dich das schon weiter??
     
  4. funlike

    funlike Neuer User

    Registriert seit:
    12 Dez. 2011
    Beiträge:
    4
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Danke für eure Antworten!

    @PsychoMantis:
    Konnte ich leider nicht viel mit anfangen. Will ja n Fritzbox VPN Server und keinen Client.

    @PsychoMantis:
    Das war mein erster Lösungsansatz die ar7.cfg zu bearbeiten. Ging aber irgendwie nicht. Beim Neustart waren die Änderungen weg. Auf deine Antwort hin hab ich nochmal geschaut und folgende Anleitung gefunden:
    http://www.wehavemorefun.de/fritzbox/OpenVPN

    nvi /var/flash/ar7.cfg
    "tcp 0.0.0.0:1194 0.0.0.0:1194 0 # OpenVPNserverbox",
    "udp 0.0.0.0:1194 0.0.0.0:1194 0 # OpenVPNserverbox", (hielt ich für sinnvoller)
    tap0 hinzufügen
    beenden
    ar7cfgchanged


    local 192.168.5.253 entfernt
    Soweit so gut. OpenVPN Server starten.
    Kommt folgendes:

    TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)


    Und auf der Clientseite diese Fehlermeldung:

    TLS Error: Unroutable control packet received from


    Was will mir das sagen?
     
  5. MaxMuster

    MaxMuster IPPF-Promi

    Registriert seit:
    1 Feb. 2005
    Beiträge:
    6,919
    Zustimmungen:
    0
    Punkte für Erfolge:
    36
    "TLS Error: Unroutable control packet received from..":

    Ist da vorher ein anderer Fehler?
    Z.B. was in Richtung ungültiges Zertifikat, noch nicht oder nicht mehr gültiges Zertifikat (Stimmen Datum und Uhrzeit)??
     
  6. funlike

    funlike Neuer User

    Registriert seit:
    12 Dez. 2011
    Beiträge:
    4
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    "TLS_ERROR: BIO read tls_read_plaintext error: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed"

    Sollte ich die Zertifikate mal neu erstellen? Sind eigentlich ganz frisch und sauber.

    PS: Hab zwischenzeitlich einen Apache zum laufen gebracht. Die Fritz ist n geiles Stück ;)
     
  7. MaxMuster

    MaxMuster IPPF-Promi

    Registriert seit:
    1 Feb. 2005
    Beiträge:
    6,919
    Zustimmungen:
    0
    Punkte für Erfolge:
    36
    Steht kurz davor noch was zu dem Zert, z.B. in der Art "not yet valid" oder so??

    Auf jeden Fall die Zeiten beachten (Uhrzeit auf dem Gerät, wo die Zerts gebaut werden, die Gültigkeitsdauer der Zertifikate und Zeit auf der Box müssen passen)...
     
  8. funlike

    funlike Neuer User

    Registriert seit:
    12 Dez. 2011
    Beiträge:
    4
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Komplette Fehlermeldung vom Client:

    Fri Dec 16 23:17:35 2011 OpenVPN 2.2.1 Win32-MSVC++ [SSL] [LZO2] built on Jul 1 2011
    Fri Dec 16 23:17:35 2011 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
    Fri Dec 16 23:17:35 2011 UDPv4 link local (bound): [undef]:1194
    Fri Dec 16 23:17:35 2011 UDPv4 link remote: XX.XXX.XXX.XX:1194
    Fri Dec 16 23:17:36 2011 TLS_ERROR: BIO read tls_read_plaintext error: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed
    Fri Dec 16 23:17:36 2011 TLS Error: TLS object -> incoming plaintext read error
    Fri Dec 16 23:17:36 2011 TLS Error: TLS handshake failed
    Fri Dec 16 23:17:36 2011 SIGUSR1[soft,tls-error] received, process restarting
    Fri Dec 16 23:17:38 2011 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
    Fri Dec 16 23:17:38 2011 UDPv4 link local (bound): [undef]:1194
    Fri Dec 16 23:17:38 2011 UDPv4 link remote: XX.XXX.XXX.XX:1194
    Fri Dec 16 23:17:38 2011 TLS Error: Unroutable control packet received from

    Server und Client haben die selbe Zeit, Zeitzone und Datum.
    Die Gültigkeitsdauer der Zertifikate habe ich nicht eingeschränkt. Wüsste jetzt aber auch nicht wie sich das prüfen lässt.
    Ansonsten erstelle ich die Zertifikate für beide Seiten die nächsten Tage nochmal bzw. wohl erst im neuen Jahr. Die nächste Zeit muss ich mich um andere Sachen kümmern. Aber vielen Dank für deine Mühe vorab und schöne Feiertage und guten Rutsch. Im neuen Jahr gerne mehr Input zu dem Thema :)