Routingproblem mit OpenVPN und Basic-Tunnel

flunki

Neuer User
Mitglied seit
13 Nov 2006
Beiträge
104
Punkte für Reaktionen
0
Punkte
16
Danke fuer die Datei!

Setzt beim client doch mal verb und mute hoch damit das log mehr plappert. Eventuell findest du dann den Fehler leichter. Wuerde mal die Zertifikate komplett neu (nach Anleitung) erstellen. An der Stelle hatte ich mich mal verrannt:)
 

Crevlon

Mitglied
Mitglied seit
21 Dez 2006
Beiträge
212
Punkte für Reaktionen
0
Punkte
0
so hab die zertifikate nochmal neu gemacht. leider ohne erfolg:

openvpn log:
HTML:
Thu Mar 22 20:18:53 2007 OpenVPN 2.0.9 Win32-MinGW [SSL] [LZO] built on Oct  1 2006
Thu Mar 22 20:18:53 2007 Control Channel MTU parms [ L:1589 D:138 EF:38 EB:0 ET:0 EL:0 ]
Thu Mar 22 20:18:53 2007 Data Channel MTU parms [ L:1589 D:1450 EF:57 EB:4 ET:32 EL:0 ]
Thu Mar 22 20:18:53 2007 Local Options hash (VER=V4): '7778e742'
Thu Mar 22 20:18:53 2007 Expected Remote Options hash (VER=V4): '3c42a582'
Thu Mar 22 20:18:53 2007 UDPv4 link local (bound): [undef]:1194
Thu Mar 22 20:18:53 2007 UDPv4 link remote: 80.131.33.55:1194
Thu Mar 22 20:18:53 2007 TLS: Initial packet from 80.131.33.55:1194, sid=3718fcd6 adde9567
Thu Mar 22 20:18:54 2007 VERIFY OK: depth=1, /C=DE/ST=NRW/L=Neuss/O=Mumm_Authority/CN=Sebastian_Mumm/[email protected]
Thu Mar 22 20:18:54 2007 VERIFY nsCertType ERROR: /C=DE/ST=NRW/L=Krefeld/O=Behrens_House/CN=fritzbox/[email protected], require nsCertType=SERVER
Thu Mar 22 20:18:54 2007 TLS_ERROR: BIO read tls_read_plaintext error: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed
Thu Mar 22 20:18:54 2007 TLS Error: TLS object -> incoming plaintext read error
Thu Mar 22 20:18:54 2007 TLS Error: TLS handshake failed
Thu Mar 22 20:18:54 2007 TCP/UDP: Closing socket
Thu Mar 22 20:18:54 2007 SIGUSR1[soft,tls-error] received, process restarting
Thu Mar 22 20:18:54 2007 Restart pause, 2 second(s)
Thu Mar 22 20:18:56 2007 Control Channel MTU parms [ L:1589 D:138 EF:38 EB:0 ET:0 EL:0 ]
Thu Mar 22 20:18:56 2007 Data Channel MTU parms [ L:1589 D:1450 EF:57 EB:4 ET:32 EL:0 ]
Thu Mar 22 20:18:56 2007 Local Options hash (VER=V4): '7778e742'
Thu Mar 22 20:18:56 2007 Expected Remote Options hash (VER=V4): '3c42a582'
Thu Mar 22 20:18:56 2007 UDPv4 link local (bound): [undef]:1194
Thu Mar 22 20:18:56 2007 UDPv4 link remote: 80.131.33.55:1194
Thu Mar 22 20:18:56 2007 TLS Error: Unroutable control packet received from 80.131.33.55:1194 (si=3 op=P_CONTROL_V1)
Thu Mar 22 20:18:56 2007 TLS Error: Unroutable control packet received from 80.131.33.55:1194 (si=3 op=P_CONTROL_V1)
Thu Mar 22 20:18:56 2007 TLS Error: Unroutable control packet received from 80.131.33.55:1194 (si=3 op=P_CONTROL_V1)
Thu Mar 22 20:18:56 2007 TLS Error: Unroutable control packet received from 80.131.33.55:1194 (si=3 op=P_CONTROL_V1)
Thu Mar 22 20:18:56 2007 TLS: Initial packet from 80.131.33.55:1194, sid=1971e1b7 78bb15d6
Thu Mar 22 20:18:57 2007 VERIFY OK: depth=1, /C=DE/ST=NRW/L=Neuss/O=Mumm_Authority/CN=Sebastian_Mumm/[email protected]
Thu Mar 22 20:18:57 2007 VERIFY nsCertType ERROR: /C=DE/ST=NRW/L=Krefeld/O=Behrens_House/CN=fritzbox/[email protected], require nsCertType=SERVER
Thu Mar 22 20:18:57 2007 TLS_ERROR: BIO read tls_read_plaintext error: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed
Thu Mar 22 20:18:57 2007 TLS Error: TLS object -> incoming plaintext read error
Thu Mar 22 20:18:57 2007 TLS Error: TLS handshake failed
Thu Mar 22 20:18:57 2007 TCP/UDP: Closing socket
Thu Mar 22 20:18:57 2007 SIGUSR1[soft,tls-error] received, process restarting

@flunki: könntest du mir eventuell mal zertifikate zum testen erstellen? vielleicht stell ich mich ja nur zu blöd an :)
 

flunki

Neuer User
Mitglied seit
13 Nov 2006
Beiträge
104
Punkte für Reaktionen
0
Punkte
16
Das faellt mir nur noch ein:

- Stimmt die Uhrzeit auf beiden Maschinen ?
Ich hatte mal gegen eine FB getestet welche nicht am DSL hing. Die hatte dann keine Uhrzeit und das cert war somit noch nicht gueltig.

- hast du hast ./build-key und NICHT ./build-key-server bei der Erstellung der client certs verwendent. = Nochmal mit ./build-key-server machen.

Ich grab mal wo/wie ich meine certs erstellt habe und melde mich wieder

Gruss Frank
 
Zuletzt bearbeitet:

Crevlon

Mitglied
Mitglied seit
21 Dez 2006
Beiträge
212
Punkte für Reaktionen
0
Punkte
0

risaer

Neuer User
Mitglied seit
25 Apr 2005
Beiträge
169
Punkte für Reaktionen
0
Punkte
16
Schau mal im WIKI unter:
http://wiki.ip-phone-forum.de/gateways:avm:howtos:mods:openvpn

Falls du dort schon mal geschaut hast: Ich hab heute mal die Konfigurationsdateien geändert. Damit sollte das laufen, denk ich.

Wenn nicht, sag mal bescheid

BTW: du versuchst, 2 LANs zu verbinden? Also box2box? oder VPN-client verbindet mit "Home-LAN", wie auf der Skizze
unter "angestrebte Verbindung"?
 

Duff

Neuer User
Mitglied seit
18 Jun 2005
Beiträge
157
Punkte für Reaktionen
0
Punkte
16
Jetzt muss ich doch auch noch mal was nachfragen.

Ich habe auch openvpn auf meiner fritzbox und auf meinem Rechner. Das ganze funktioniert eigentlich auch, da ich z.B. in beide Richtungen auf die IP-Adressen 10.0.0.1 bzw. 2 am Ende pingen kann.

Was mir allerdings aufgefallen ist, ist dass die Datei secret.key auf beiden Maschinen komplett identisch ist.

Das ist doch falsch, oder?
Theoretisch müsste doch auf dem Server ein public-key sein und auf dem Client der private-key.
 

maceis

Mitglied
Mitglied seit
9 Apr 2006
Beiträge
678
Punkte für Reaktionen
4
Punkte
18
Hast Du überhaupt eine Server/Client Konfiguration?
 

Duff

Neuer User
Mitglied seit
18 Jun 2005
Beiträge
157
Punkte für Reaktionen
0
Punkte
16
Eigentlich schon, denke ich.

Also vom Client aus rufe ich folgendes auf:
Code:
daniel-laptop:/home/daniel/fritzbox# openvpn --config client.ovpn

Vom Server(fritzbox) rufe ich dann das hier auf (unter /var/tmp):
Code:
./openvpn --config server.ovpn --dev-node /dev/misc/net/tun

Ok, eventuell noch mit der Option -daemon, damit das ganze auch im Hintergrund läuft.
 

Crevlon

Mitglied
Mitglied seit
21 Dez 2006
Beiträge
212
Punkte für Reaktionen
0
Punkte
0
risaer schrieb:
Schau mal im WIKI unter:
http://wiki.ip-phone-forum.de/gateways:avm:howtos:mods:openvpn

Falls du dort schon mal geschaut hast: Ich hab heute mal die Konfigurationsdateien geändert. Damit sollte das laufen, denk ich.

Wenn nicht, sag mal bescheid

BTW: du versuchst, 2 LANs zu verbinden? Also box2box? oder VPN-client verbindet mit "Home-LAN", wie auf der Skizze
unter "angestrebte Verbindung"?


habs jetzt mal nach deiner anleitung gemacht.
du gibst diese seite als quelle für die Binary für die Fritz!Box an:
http://www.ip-phone-forum.de/showpost.php?p=527338&postcount=180
dort gibt es inzwischen zwei verschiedene versionen.
beide zeigen mir nachdem ich den server damit starten will folgendes an:
Code:
# /var/tmp/ovpn/openvpn --cd /var/tmp/ovpn --config server.conf
/var/tmp/ovpn/openvpn: can't resolve symbol '__uClibc_start_main'

das bedeutet ja, dass das die falsche openvpn-version für die firmware 29.4.29 ist. wenn ich aber die Binary von mir (die ist die richtige für 29.04.29) benuzte kommt folgendes:
Code:
# /var/tmp/ovpn/openvpn --cd /var/tmp/ovpn --config server.conf
Options error: Unrecognized option or missing parameter(s) in server.conf:74: comp-lzo (2.1_rc1)
Use --help for more information.

was bedeutet das? welches binary benutzt du dafür?

edit:
hab jetzt einfach mal das "comp-lzo" beim server und beim client weg gelassen. jetzt startet der server und der client kann sich auch verbinden.
wenn ich per telnet auf der fritbox bin und der client sich verbindet kommt folgende meldung:
Code:
Apr  1 17:34:32 usermand[866]: 0.0.0.0:2076: connect to 10.0.0.2:14013 failed -
No route to host (148)
welche einstellung kann jetzt noch falsch sein?
 
Zuletzt bearbeitet:

maceis

Mitglied
Mitglied seit
9 Apr 2006
Beiträge
678
Punkte für Reaktionen
4
Punkte
18
Was steht denn in Zeile 74 der server.conf?
 

Crevlon

Mitglied
Mitglied seit
21 Dez 2006
Beiträge
212
Punkte für Reaktionen
0
Punkte
0
na: "comp-lzo!
 

Crevlon

Mitglied
Mitglied seit
21 Dez 2006
Beiträge
212
Punkte für Reaktionen
0
Punkte
0
wäre nett, wenn jemand mal sein openvpn binary für die fritzbox 7170 (29.4.29) hier posten bzw. verlinken könnte. ich glaube es die fehlermeldung kommt nur weil ich das falsche binary habe:
Code:
Options error: Unrecognized option or missing parameter(s) in server.conf:74: comp-lzo (2.1_rc1)
 

Crevlon

Mitglied
Mitglied seit
21 Dez 2006
Beiträge
212
Punkte für Reaktionen
0
Punkte
0
hat keiner eine Lösung für mein problem oder ein geeignetes Binary?
 

schaudelc

Neuer User
Mitglied seit
7 Apr 2007
Beiträge
10
Punkte für Reaktionen
0
Punkte
1
Hallo !

Na, wenn dein binary kein comp-lzo mag dann würde ich das doch erst mal aus der konfig nehmen .....
 

Crevlon

Mitglied
Mitglied seit
21 Dez 2006
Beiträge
212
Punkte für Reaktionen
0
Punkte
0
ja hab ich. dann klappts auch. aber ich dachte das comp-lzo wird eventuell dringend gebraucht. wofür ist das eigentlich :) ?
 

flunki

Neuer User
Mitglied seit
13 Nov 2006
Beiträge
104
Punkte für Reaktionen
0
Punkte
16
Wenn die Datenuebertragung komprimiert sein soll . . .
 
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.