.titleBar { margin-bottom: 5px!important; }

Routingproblem mit OpenVPN und Basic-Tunnel

Dieses Thema im Forum "FRITZ!Box Fon: Modifikationen" wurde erstellt von Kleo2, 29 Nov. 2006.

  1. Kleo2

    Kleo2 Neuer User

    Registriert seit:
    8 Nov. 2006
    Beiträge:
    13
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    #1 Kleo2, 29 Nov. 2006
    Zuletzt bearbeitet: 29 Nov. 2006
    Hallo,

    nachdem ich mehrere Howtos und Hinweise aus dem Forum probiert habe, muss ich jetzt doch nachfragen.

    Ich versuche zwei lokale LANs über's Internet zu verbinden und habe Schwierigkeiten beim korrekten Routen auf der einen Seite des Tunnels.

    Die angestrebte Verbindung sieht wie folgt aus.

    Code:
    	    Fritz!Box--------------[Internet]-------------08/15 Router
                192.168.2.1                                  192.168.0.1
            10.0.0.1 (VPN Server)                                |   |  
                  |    |                                         |   |
     	      |	   |                                         |   |  
           +------+    +------+                           +------+   +------+		 
           |                  |                           |                 |		 
         PC-1               PC-2                        PC-A              PC-B             
    192.168.2.250       192.168.2.200                192.168.0.11       192.168.0.10
                                                     10.0.0.2 
                                                     (VPN Client/Debian)
    Zum Einstieg habe ich es mit einem Tunnel mit preshared Key vesucht und der
    Tunnel steht auch. Ich kann die beiden Tunnelenden anpingen (10.0.01<>10.0.0.2). Das gleiche gilt für die Lan-IP's der Tunnelenden (192.168.2.1<>192.168.0.11). Darüberhinaus kann ich aus dem 192.168.2.0-Netz alle IP's im 192.168.0.0-Netz anpingen.

    Leider funktioniert die umgekehrte Richtung nicht. Also ich kann von PC-A aus die Rechner in meinem lokalen Netz nicht erreichen (PC-1/PC-2).

    Ich habe sowohl auf dem Server als auch auf dem Client ip_forward eingeschaltet und jeweils eine Route ins gegenüberliegende Netz eingerichtet.
    (route add -net 192.168.x.0 netmask 255.255.255.0 gw 10.0.0.x).
    An die Routingtabellen komme ich im Moment nicht ran, weil der VPN-Client aus ist. Gleiches gilt für die client.conf.

    Die Server-Config sieht so aus:
    Code:
    ifconfig 10.0.0.1 10.0.0.2
            local fritz.box
            secret /var/tmp/tunnel.key
            proto udp
            port 1194
            dev tun0
            tun-mtu 1500
            float
            keepalive 10 60
            verb 6
            mssfix
            route 192.168.0.0 255.255.255.0
            route-gateway 10.0.0.2
    
    Kann mir da vielleicht jemand auf die Sprünge helfen?

    Grüße, Kleo
     
  2. fant

    fant Mitglied

    Registriert seit:
    6 Mai 2005
    Beiträge:
    622
    Zustimmungen:
    0
    Punkte für Erfolge:
    16
    Es reicht meines Wissens nicht aus, nur eine Route auf den betroffenen Rechnern einzutragen, die in die lokalen Netze verweist. Es muß in der Config des OpenVPN das Routing vorgegeben werden.

    Server.conf
    Code:
    route 192.168.0.0 255.255.255.0
    iroute 192.168.0.0 255.255.255.0
    push "route 192.168.2.0 255.255.255.0"
    
    Client.conf
    Code:
    push "route 192.168.0.0 255.255.255.0"
    iroute 192.168.2.0 255.255.255.0
    
    So geht es jedenfalls bei mir. Die route-Befehle sind bei mir wirklich in der Server.conf, die iroute-Befehle mache ich per Client in einer Datei pro Client.

    Hoffe, das hilft.

    Hawedieehre.
    Fant
     
  3. Duff

    Duff Neuer User

    Registriert seit:
    18 Juni 2005
    Beiträge:
    156
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Ok, dass verstehe ich soweit und sieht auch ganz gut aus.

    Aber wofür ist das iroute, das nochmal die gleiche route wie route angibt?
     
  4. fant

    fant Mitglied

    Registriert seit:
    6 Mai 2005
    Beiträge:
    622
    Zustimmungen:
    0
    Punkte für Erfolge:
    16
    Um ehrlich zu sein: als ich das eben zusammenkopiert habe, mußte ich mich auch wundern. Dann dachte ich mir: "Never change a running system" und habe Dir einfach mein Zeugs hier aufs Auge gedrückt.

    Klappt es denn?

    Hawedieehre.
    Fant
     
  5. Kleo2

    Kleo2 Neuer User

    Registriert seit:
    8 Nov. 2006
    Beiträge:
    13
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Danke für die schnellen Hinweise. Damit hatte ich nicht gerechnet.

    Ich kann die Einstellungen im Moment nicht testen, da ich auf Arbeit bin.
    Heut abend komme ich wieder an beide beteiligten Netze ran und kann
    dann auch die Routen und die .conf des Clients posten.

    Grüße, Kleo2
     
  6. Duff

    Duff Neuer User

    Registriert seit:
    18 Juni 2005
    Beiträge:
    156
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Ja, das wäre super.

    Das ganze Szenario interessiert mich nämlich auch, da ich auch sowas plane und bisher auch schon teilweise umgesetzt habe.
     
  7. Kleo2

    Kleo2 Neuer User

    Registriert seit:
    8 Nov. 2006
    Beiträge:
    13
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    #7 Kleo2, 29 Nov. 2006
    Zuletzt bearbeitet: 29 Nov. 2006
    Wie angekündigt:

    client.conf
    Code:
    ifconfig 10.0.0.2 10.0.0.1
            float
            remote xxx.homeip.net
            secret /etc/openvpn/tunnel.key
            dev tun0
            proto udp
            port 1194
            ping 15
            ping-restart 300 # 5 minutes
            resolv-retry 300 # 5 minutes
            tun-mtu 1500
            mssfix
            persist-tun
            persist-key
            verb 6
            route 192.168.2.0 255.255.255.0
            route-gateway 10.0.0.1
            disable-occ
    
    Client-Routen:
    Code:
    Kernel IP Routentabelle
    Ziel            Router          Genmask         Flags Metric Ref    Use Iface
    localhost       *               255.255.255.255 UH    0      0        0 tun0
    192.168.2.0     localhost       255.255.255.0   UG    0      0        0 tun0
    192.168.0.0     *               255.255.255.0   U     0      0        0 eth0
    default 
    Server-Routen:
    Code:
    Kernel IP routing table
    Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
    192.168.180.1   *               255.255.255.255 UH    2      0        0 dsl
    10.0.0.2        *               255.255.255.255 UH    0      0        0 tun0
    192.168.180.2   *               255.255.255.255 UH    2      0        0 dsl
    192.168.178.0   *               255.255.255.0   U     0      0        0 lan
    192.168.2.0     *               255.255.255.0   U     0      0        0 lan
    192.168.0.0     10.0.0.2        255.255.255.0   UG    0      0        0 tun0
    default         *               0.0.0.0         U     2      0        0 dsl
    
    Vielleicht hilft's ja weiter.
    Ich werd jetzt erstmal die Tipps ausprobieren.

    EDIT: Was mich irritiert, daß auf der Fritzbox eine Route nach 10.0.0.2 vorhanden ist. Wenn ich versuche auf dem Client händisch eine ähnliche Route anzulegen, wird der gw 10.0.0.1 in der Routentabelle als localhost aufgeführt und nicht explizit mit seiner IP.
    /EDIT

    Grüße, Kleo2
     
  8. Duff

    Duff Neuer User

    Registriert seit:
    18 Juni 2005
    Beiträge:
    156
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Achso, ausprobiert hast du das ganze Szenario noch nicht.

    Kannst ja vielleicht noch mal schreiben, ob es auch funktioniert, wenn du mit deinen Test's fertig bist.

    Danke.
     
  9. Kleo2

    Kleo2 Neuer User

    Registriert seit:
    8 Nov. 2006
    Beiträge:
    13
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Hab jetzt mal schnell getestet.
    Mit folgendem Ergebnis:

    - den iroute-Parameter akzeptiert der OpenVPN-Server auf der Fritzbox nicht.
    Er meint "--iroute ist in diesem Kontext nicht erlaubt" (in der server.ovpn)

    - beim Client gibt's das gleiche Verhalten, aber scheinbar soll der Parameter auch in ein zusätzliches Skript (das hab ich jetzt nicht probiert)

    - ob ich die Routen zusätzlich vom und zum Client pushe, scheint auch keinen Unterschied zu machen. Im Prinzip sind die Routen ja beim Server und beim Client in den config-Dateien festgelegt.

    Eine weitere Frage ist: zieht der Client bei einem einfachen Tunnel mit static.key überhaupt die gepushten Optionen vom Server? Wenn ich dieses Verhalten erzwingen wollte, erhielt ich auf dem Client immer die Meldung das ein "pull" nur von einem "tls-server" möglich wäre.

    Grüße, Kleo
     
  10. flunki

    flunki Neuer User

    Registriert seit:
    13 Nov. 2006
    Beiträge:
    104
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    #10 flunki, 30 Nov. 2006
    Zuletzt bearbeitet: 30 Nov. 2006
    Hi Kleo,

    bin auch schon seit ner Weile dran, allerding FB OVPN Server auf WINXP Client. Mit Tunnel hat alles schon bei mir funktioniert. Habe auf bridging umgestellt und da fing der Spass dann an. Habs noch nicht am Laufen.

    Meinem jetzigen Kenntnisstand nach geht push/pull nur beim TLS-Client und der wiederum nur mit certificates (also nicht mit einem statischen Key). Oder ich habe das man falsch verstanden.

    Falls ich es noch ans Laufen bekomme . . . muss am Wochende funktionieren . . . dann gebe ich Bescheid. Im Moment bekommt mein Client tap noch keine GW-Adresse uebermittel, muss nochmal an den OpenVPN-Server ran.

    Und falls das alles Quatsch ist was ich hier erzaehle bitte ich um Korrektur, helfe man mir bitte auch auf die Spruenge.

    Gruss Frank
     
  11. Kleo2

    Kleo2 Neuer User

    Registriert seit:
    8 Nov. 2006
    Beiträge:
    13
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    @Frank

    Wenn Du es mit tls zum Laufen bekommst, wäre ich sehr an deinen config-Dateien interessiert. Langfristig möchte ich auch eher ohne static keys und mit mehreren Clients arbeiten.

    Grüße, Kleo
     
  12. fant

    fant Mitglied

    Registriert seit:
    6 Mai 2005
    Beiträge:
    622
    Zustimmungen:
    0
    Punkte für Erfolge:
    16
    Ich nutze hier Zertifikate, deshalb geht wohl iroute hier. Und ja, ich habe meine Parameter serverseitig in einer separaten Datei pro Client, damit ich bei jedem Client eine eigene Route und dergleichen eintragen kann.

    Aber ich nutze auch eine FritzBox als OpenVPN-Client, habe dort aber keine separaten Files zur Config verwendet. Dort sieht es so aus:

    Server.conf:
    Code:
    ...
    route 192.168.178.0 255.255.255.0
    push "route 192.168.2.29 255.255.255.0"
    ...
    
    Client.conf:
    Code:
    ...
    route 192.168.2.29 255.255.255.255
    ...
    
    Damit kann der Client auf den lokalen Rechner 192.168.2.29 zugreifen.

    Hawedieehre.
    Fant
     
  13. Kleo2

    Kleo2 Neuer User

    Registriert seit:
    8 Nov. 2006
    Beiträge:
    13
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Sooo,

    ich habe mir mittlerweile selbst beholfen und bin einen großen Schritt weiter.

    Die Firewallregeln auf der Fritz!box (VPN-Server) mussten angepasst werden,
    damit eine Weiterleitung der Pakete vom Tunneldevice (tun0) auf mein lokales LAN (192.168.2.0) stattfindet.

    Die entsprechenden Befehle sind:

    Code:
    iptables -I FORWARD -i tun0 -o lan -s 10.0.0.0/24 -d 192.168.0.0/24 -j ACCEPT
    iptables -I FORWARD -i lan -o tun0 -s 10.0.0.0/24 -d 192.168.0.0/24 -j ACCEPT
    Damit kann ich jetzt aus dem anderen Netz (192.168.0.0) auch meine Rechner anpingen.
    Ein ungelöstes Problem hab ich noch: Der Standard-Gateway
    (DLink DI-604) des anderen lokalen Netzes und ein weiterer XP-Rechner in ebendiesem erreichen mein Netz noch nicht.
    Da müssen wohl noch statische Routen eingerichtet werden. Wobei ich mir nicht sicher bin,
    ob ich diese statische Route mit "route add -net 10.0.0.0 netmask 255.255.255.255 gw 192.168.0.11" oder eher mit 192.168.2.0 statt 10.0.0.0 anlege.

    Grüße, Kleo
     
  14. flunki

    flunki Neuer User

    Registriert seit:
    13 Nov. 2006
    Beiträge:
    104
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Hi Kleo,
    ich habe mal hier http://www.ip-phone-forum.de/showpost.php?p=745641&postcount=7 meine files hingelegt. 2 Locationen, jeweils mit openvpn server tls mit certificates. Beliebige Anzahl clients welche von innen und von aussen . . .

    Gruss Frank
     
  15. maceis

    maceis Mitglied

    Registriert seit:
    9 Apr. 2006
    Beiträge:
    623
    Zustimmungen:
    1
    Punkte für Erfolge:
    18
    'route' ist zuständig für das Routing vom Kernel zum VPN Server während 'iroute' das Routing vom VPN Server zum VPN Client steuert. Und natürlich benötigt man auf dem Client noch eine Route in die andere Richtung.

    HTH
     
  16. grrrmml

    grrrmml Neuer User

    Registriert seit:
    20 Mai 2006
    Beiträge:
    50
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    hallo zusammen,
    habe auf meiner 7050 openvpn mit zertifikaten am laufen und es funktioniert alles prima - bekomme von der box eine IP ausm fritz LAN und erreiche alle geräte. sogar fax4box funktioniert damit über VPN! hab mir das aus mehreren tutorials zusammengebastelt, find die selbst garnicht mehr...

    Anleitung zum aufsetzen der CA siehe
    http://www.ip-phone-forum.de/showpost.php?p=531364&postcount=192
    Zertifikate dann auf die box per debug.cfg oder bei 7170 hab ich alles auf nem alten 64mb usb stick in nem unterordner VPN abgelegt.

    Server-Config:
    # OpenVPN v2.0.5 config:
    #
    # Grundsaetzliches
    port 1194
    proto tcp-server
    dev tap0
    dev-node /dev/misc/net/tun
    # Server-Einstellungen
    mode server
    tls-server
    # Hier kommt die IP-Adresse der FritzBox sowie start und ende vpn-dhcp
    server-bridge 192.168.178.254 255.255.255.0 192.168.178.241 192.168.178.249
    ifconfig-pool-persist hosts.ovpn
    # Authentifizierung und Verschluesselung
    ca /var/tmp/vpn/ca.crt
    cert /var/tmp/vpn/fritzbox.crt
    key /var/tmp/vpn/fritzbox.key
    dh /var/tmp/vpn/dh1024.pem
    auth SHA1
    cipher AES-256-CBC
    # Sonstiges
    ping 10
    push "ping 10"
    ping-restart 60
    push "dhcp-option DNS 192.168.178.254"
    client-to-client
    push "ping-restart 60"

    Client-Config:
    # OpenVPN v2.0.5 config:
    #
    # Grundsätzliches (Was soll der CLIENT nutzen)
    port 1194
    proto tcp-client
    dev tap
    # Client-Einstellungen
    tls-client
    ns-cert-type server
    remote xxxxxxxxxx.dyndns.org 1194
    # Authentifizierung und Verschlüsselung
    ca ca.crt
    cert client01.crt
    key client01.key
    auth SHA1
    cipher AES-256-CBC
    # Sonstiges
    pull

    In die debug.cfg muss neben den normalen openvpn-sachen noch folgendes damit es funktioniert:
    ##### Prepare Box for CA with DHCP
    ### Create TAP0 Interface
    /var/tmp/openvpn --mktun --cd /var/tmp --dev-type tap --dev-node /dev/misc/net/tun --dev tap0
    ### Backup Network config ar7.cfg
    ar7cfgfile=/var/flash/ar7.cfg
    cat $ar7cfgfile > /var/tmp/ar7.cfg.backup
    sleep 60
    ### Join TAP0 Interface to Bridge
    sed -e '/brinterfaces {$/,/}/s/"wdsdw3";/"wdsdw3", "tap0";/' < /var/tmp/ar7.cfg.backup > $ar7cfgfile
    ### restart Networking
    /etc/init.d/rc.net reload
    ### restore Network config ar7.cfg
    cat /var/tmp/ar7.cfg.backup > $ar7cfgfile

    könnt ihr ja gern mal probieren...

    EDIT: hab grad gesehen dass flunki auch schon was hinterlegt hat. glaube er hat es etwas anders, mag das jetzt aber nicht durchwühlen... wie gesagt wer will, kanns ausprobieren. :)
     
  17. doc456

    doc456 IPPF-Urgestein

    Registriert seit:
    27 Apr. 2006
    Beiträge:
    15,682
    Zustimmungen:
    2
    Punkte für Erfolge:
    38
    Hallo,

    @grrrmml: Das sieht gut aus, werde das mal Testen, Thx! ;) EDIT: mit der .254, interessant!
     
  18. Crevlon

    Crevlon Mitglied

    Registriert seit:
    21 Dez. 2006
    Beiträge:
    212
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    hallo,

    @flunki:
    ich hab deine dateien mal auspobiert.
    da ich die FFB 7170 mit dem neuen kernel 2.6 habe musste ich sie etwas ändern.

    ar7.cfg:
    Code:
     brinterfaces {
             name = "lan";
             dhcp = no;
             ipaddr = 192.168.178.1;
             netmask = 255.255.255.0;
             dstipaddr = 0.0.0.0;
             interfaces = [COLOR="Red"]"tap0"[/COLOR], "eth0", "usbrndis", "tiwlan0", "wdsup0",
                          "wdsdw0", "wdsdw1", "wdsdw2", "wdsdw3";
             dhcpenabled = yes;
             dhcpstart = 192.168.178.20;
             dhcpend = 192.168.178.100;
     }
    ....
    ....
    ....
      "udp 0.0.0.0:7086 0.0.0.0:7086",
      "udp 0.0.0.0:7087 0.0.0.0:7087",
      "udp 0.0.0.0:7089 0.0.0.0:7089",
      "udp 0.0.0.0:7090 0.0.0.0:7090",
      "udp 0.0.0.0:7091 0.0.0.0:7091",
      "udp 0.0.0.0:7092 0.0.0.0:7092",
      "udp 0.0.0.0:7093 0.0.0.0:7093",
      "udp 0.0.0.0:7094 0.0.0.0:7094",
      "udp 0.0.0.0:7095 0.0.0.0:7095",
      "udp 0.0.0.0:7096 0.0.0.0:7096",
      "udp 0.0.0.0:7097 0.0.0.0:7097",
      "tcp 0.0.0.0:8089 0.0.0.0:8089",
      [COLOR="Red"]"udp 0.0.0.0:1194 0.0.0.0:1194",[/COLOR]
      "tcp 0.0.0.0:22 0.0.0.0:22",
      "tcp 0.0.0.0:5900 192.168.178.20:5900 0 #
      "# tcp 0.0.0.0:49500 192.168.178.22:49500
      "# udp 0.0.0.0:49500 192.168.178.22:49500
    
    debug:
    Code:
     # # # # # # # # Start des telnet-daemons
    /usr/sbin/telnetd -l /sbin/ar7login
    
    # # # # # # # # # Update 1/06: Warten bis Fritz!Box den Server erreichen kann
    while !(ping -c 1 www.tecchannel.de); do
    sleep 5
    done
    ....
    ....
    ....
    #vpn server
    
    wget http://www.xx/vpn/openvpn
    wget http://www.xx/vpn/server.ovpn
    wget http://www.xx/vpn/brctl
    wget http://www.xx/vpn/vpn-ca.crt
    wget http://www.xx/vpn/servercert.crt
    wget http://www.xx/vpn/serverkey.key
    wget http://www.xx/vpn/dh1024.pem
    
    #Ausfuehrbar machen
    chmod +x openvpn
    chmod +x brctl
    
    # create tun-device
    mknod /var/tmp/tun c 10 200
    
    # start OpenVPN
    ./openvpn --config /var/tmp/server.ovpn
    
    # brctl ist nicht mehr notwendig da in der ar7.cfg tap0 zu bruecke zugefuegt worden ist
    # ./brctl show  in /var/tmp hilft jedoch eventuelle Fehler zu finden
    
    server.ovpn:
    Code:
    # Grundsaetzliches
    port 1194
    proto udp
    dev tap
    dev-node /var/tmp/tun
    
    ##########################################
    # Server-Einstellungen
    mode server
    tls-server
    server-bridge 192.168.178.1 255.255.255.0 192.168.178.140 192.168.178.150
    # IP-Adresse der 7170 (Gateway), Subnetmask 7170, Start der VPN DHCP Range, Ende der VPN DHCP Range. Die VPN DHCP Range muss ausserhalb der 7170 DHCP Range aber im selben Netz liegen
    client-to-client
    daemon  # ; nur zum debuggen (openvpn auf telnet console starten und mit Crtl-C abbrechen), wenn alles funktioniert, Semikolon entfernen
    
    ##########################################
    # IP-Bereich des FritzBox-LAN
    push "route 192.168.178.0 255.255.255.0"
    
    ##########################################
    # Authentifizierung und Verschluesselung
    ca /var/tmp/vpn-ca.crt
    cert /var/tmp/servercert.crt
    key /var/tmp/serverkey.key
    dh /var/tmp/dh1024.pem
    auth SHA1
    cipher AES-256-CBC
    
    ###########################################
    # Sonstiges, keep alive
    ping 10
    push "ping 10"
    ping-restart 60
    push "ping-restart 60"
    
    client.ovpn:
    Code:
    # Fritz.Box verwendet port 1194
    port 1194
    proto udp
    dev tap
    
    # Client-Einstellungen
    pull
    tls-client
    ns-cert-type server
    remote crevlon.homedns.org 1194
    
    # Authentifizierung und Verschlüsselung
    ca D:\\Anwendungen\\OpenVPN\\config\\vpn-ca.crt
    cert D:\\Anwendungen\\OpenVPN\\config\\clientcert.crt
    key D:\\Anwendungen\\OpenVPN\\config\\clientkey.key
    auth SHA1
    cipher AES-256-CBC
    
    # Sonstiges, zum debuggen kann es sinnvoll sein verb und mute zu erhoehen um Fehlermeldungen zu bekommen
    ;verb 3
    ;mute 8
    
    und jetzt mein problem :) openvpn.log:
    Code:
    Tue Mar 20 21:36:08 2007 OpenVPN 2.0.9 Win32-MinGW [SSL] [LZO] built on Oct  1 2006
    Tue Mar 20 21:36:08 2007 UDPv4 link local (bound): [undef]:1194
    Tue Mar 20 21:36:08 2007 UDPv4 link remote: 80.131.32.32:1194
    Tue Mar 20 21:36:09 2007 TLS_ERROR: BIO read tls_read_plaintext error: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed
    Tue Mar 20 21:36:09 2007 TLS Error: TLS object -> incoming plaintext read error
    Tue Mar 20 21:36:09 2007 TLS Error: TLS handshake failed
    Tue Mar 20 21:36:09 2007 SIGUSR1[soft,tls-error] received, process restarting
    Tue Mar 20 21:36:11 2007 UDPv4 link local (bound): [undef]:1194
    Tue Mar 20 21:36:11 2007 UDPv4 link remote: 80.131.32.32:1194
    Tue Mar 20 21:36:11 2007 TLS Error: Unroutable control packet received from 80.131.32.32:1194 (si=3 op=P_CONTROL_V1)
    Tue Mar 20 21:36:11 2007 TLS Error: Unroutable control packet received from 80.131.32.32:1194 (si=3 op=P_CONTROL_V1)
    Tue Mar 20 21:36:11 2007 TLS Error: Unroutable control packet received from 80.131.32.32:1194 (si=3 op=P_CONTROL_V1)
    Tue Mar 20 21:36:11 2007 TLS Error: Unroutable control packet received from 80.131.32.32:1194 (si=3 op=P_CONTROL_V1)
    Tue Mar 20 21:36:11 2007 TLS_ERROR: BIO read tls_read_plaintext error: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed
    Tue Mar 20 21:36:11 2007 TLS Error: TLS object -> incoming plaintext read error
    Tue Mar 20 21:36:11 2007 TLS Error: TLS handshake failed
    Tue Mar 20 21:36:11 2007 SIGUSR1[soft,tls-error] received, process restarting
    Tue Mar 20 21:36:13 2007 UDPv4 link local (bound): [undef]:1194
    Tue Mar 20 21:36:13 2007 UDPv4 link remote: 80.131.32.32:1194
    Tue Mar 20 21:36:14 2007 TLS Error: Unroutable control packet received from 80.131.32.32:1194 (si=3 op=P_CONTROL_V1)
    Tue Mar 20 21:36:14 2007 TLS Error: Unroutable control packet received from 80.131.32.32:1194 (si=3 op=P_CONTROL_V1)
    Tue Mar 20 21:36:14 2007 TLS Error: Unroutable control packet received from 80.131.32.32:1194 (si=3 op=P_CONTROL_V1)
    Tue Mar 20 21:36:14 2007 TLS Error: Unroutable control packet received from 80.131.32.32:1194 (si=3 op=P_CONTROL_V1)
    Tue Mar 20 21:36:15 2007 TLS Error: Unroutable control packet received from 80.131.32.32:1194 (si=3 op=P_CONTROL_V1)
    Tue Mar 20 21:36:15 2007 TLS Error: Unroutable control packet received from 80.131.32.32:1194 (si=3 op=P_CONTROL_V1)
    Tue Mar 20 21:36:15 2007 TLS Error: Unroutable control packet received from 80.131.32.32:1194 (si=3 op=P_CONTROL_V1)
    Tue Mar 20 21:36:15 2007 TLS Error: Unroutable control packet received from 80.131.32.32:1194 (si=3 op=P_CONTROL_V1)
    Tue Mar 20 21:36:16 2007 TLS Error: Unroutable control packet received from 80.131.32.32:1194 (si=3 op=P_CONTROL_V1)
    Tue Mar 20 21:36:16 2007 TLS Error: Unroutable control packet received from 80.131.32.32:1194 (si=3 op=P_CONTROL_V1)
    Tue Mar 20 21:36:16 2007 TLS Error: Unroutable control packet received from 80.131.32.32:1194 (si=3 op=P_CONTROL_V1)
    Tue Mar 20 21:36:16 2007 TLS Error: Unroutable control packet received from 80.131.32.32:1194 (si=3 op=P_CONTROL_V1)
    Tue Mar 20 21:36:16 2007 TLS Error: Unroutable control packet received from 80.131.32.32:1194 (si=3 op=P_ACK_V1)
    Tue Mar 20 21:36:17 2007 TLS Error: Unroutable control packet received from 80.131.32.32:1194 (si=3 op=P_CONTROL_V1)
    Tue Mar 20 21:36:17 2007 TLS Error: Unroutable control packet received from 80.131.32.32:1194 (si=3 op=P_CONTROL_V1)
    Tue Mar 20 21:36:17 2007 TLS Error: Unroutable control packet received from 80.131.32.32:1194 (si=3 op=P_CONTROL_V1)
    Tue Mar 20 21:36:17 2007 TLS Error: Unroutable control packet received from 80.131.32.32:1194 (si=3 op=P_CONTROL_V1)
    Tue Mar 20 21:36:18 2007 TLS Error: Unroutable control packet received from 80.131.32.32:1194 (si=3 op=P_CONTROL_V1)
    Tue Mar 20 21:36:18 2007 TLS Error: Unroutable control packet received from 80.131.32.32:1194 (si=3 op=P_CONTROL_V1)
    Tue Mar 20 21:36:18 2007 TLS Error: Unroutable control packet received from 80.131.32.32:1194 (si=3 op=P_CONTROL_V1)
    Tue Mar 20 21:36:18 2007 TLS Error: Unroutable control packet received from 80.131.32.32:1194 (si=3 op=P_CONTROL_V1)
    Tue Mar 20 21:36:18 2007 TLS Error: Unroutable control packet received from 80.131.32.32:1194 (si=3 op=P_ACK_V1)
    Tue Mar 20 21:36:19 2007 TLS Error: Unroutable control packet received from 80.131.32.32:1194 (si=3 op=P_CONTROL_V1)
    Tue Mar 20 21:36:19 2007 TLS Error: Unroutable control packet received from 80.131.32.32:1194 (si=3 op=P_CONTROL_V1)
    Tue Mar 20 21:36:19 2007 TLS Error: Unroutable control packet received from 80.131.32.32:1194 (si=3 op=P_CONTROL_V1)
    Tue Mar 20 21:36:19 2007 TLS Error: Unroutable control packet received from 80.131.32.32:1194 (si=3 op=P_CONTROL_V1)
    Tue Mar 20 21:36:20 2007 TLS Error: Unroutable control packet received from 80.131.32.32:1194 (si=3 op=P_CONTROL_V1)
    Tue Mar 20 21:36:20 2007 TLS Error: Unroutable control packet received from 80.131.32.32:1194 (si=3 op=P_CONTROL_V1)
    Tue Mar 20 21:36:20 2007 TLS Error: Unroutable control packet received from 80.131.32.32:1194 (si=3 op=P_CONTROL_V1)
    Tue Mar 20 21:36:20 2007 TLS Error: Unroutable control packet received from 80.131.32.32:1194 (si=3 op=P_CONTROL_V1)
    Tue Mar 20 21:36:21 2007 TLS Error: Unroutable control packet received from 80.131.32.32:1194 (si=3 op=P_CONTROL_V1)
    Tue Mar 20 21:36:21 2007 TLS Error: Unroutable control packet received from 80.131.32.32:1194 (si=3 op=P_CONTROL_V1)
    Tue Mar 20 21:36:21 2007 TLS Error: Unroutable control packet received from 80.131.32.32:1194 (si=3 op=P_CONTROL_V1)
    Tue Mar 20 21:36:21 2007 TLS Error: Unroutable control packet received from 80.131.32.32:1194 (si=3 op=P_CONTROL_V1)
    Tue Mar 20 21:36:21 2007 TLS Error: Unroutable control packet received from 80.131.32.32:1194 (si=3 op=P_CONTROL_V1)
    Tue Mar 20 21:36:21 2007 TLS Error: Unroutable control packet received from 80.131.32.32:1194 (si=3 op=P_CONTROL_V1)
    Tue Mar 20 21:36:21 2007 TLS Error: Unroutable control packet received from 80.131.32.32:1194 (si=3 op=P_CONTROL_V1)
    Tue Mar 20 21:36:21 2007 TLS Error: Unroutable control packet received from 80.131.32.32:1194 (si=3 op=P_CONTROL_V1)
    Tue Mar 20 21:36:21 2007 SIGTERM[hard,] received, process exiting
    
    meine Frage: warum bekommt der client keine verbindung zum server?
     
  19. flunki

    flunki Neuer User

    Registriert seit:
    13 Nov. 2006
    Beiträge:
    104
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Die Zeritifkate werden beim client wohl nicht gefunden . . . . da stand mal irgendwo was von "Certs in Unterverzeichnissen geht nicht (immer)".

    Probier doch mal folgendes in der client.ovpn (Dateien ins C root zu legen):

    ca C:\\ca.crt
    cert C:\\client01.crt
    key C:\\client01.key

    Da ich es unter .04.21 am Laufen habe:
    Falls du openvpn unter 04.29 oder hoeher bzw mit LZO einsetzt wuedre ich mich ueber einen Link zum executable freuen :)


    Gruss Frank
     
  20. Crevlon

    Crevlon Mitglied

    Registriert seit:
    21 Dez. 2006
    Beiträge:
    212
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    habs jetzt mal so ausprobiert...leider ohne erfolg. ich bekomme immer noch die gleiche meldung.

    vielleicht kannst es ja auch mal mit der neuen firmware 29.4.29 ausprobieren.
    mal schauen ob es bei dir klappt.

    openvpn findest du im anhang ;)
     

    Anhänge: