SOS OpenVPN will nicht

[pdaladin]

Hallo,

ich bin langsam verzweifelt, vielleicht kann mir jemand helfen:

Habe Openvpn auf dem SP 900 (gefritzt ) installiert, ebenso auf dem client (XP-Rechner), Zertifikate erzeugt, .... . Habe mich an das Wiki hier im Forum gehalten.

Beim Connect von außen auf die Box mit meinem Client bekomme ich immer im
client.log folgenden Eintrag, bevor er aussteigt:

...
...
...
Mon Jan 07 16:31:29 2008 us=107395 SENT CONTROL [fritzbox]: 'PUSH_REQUEST' (status=1)
Mon Jan 07 16:31:29 2008 us=251047 PUSH: Received control message: 'PUSH_REPLY,route 192.168.178.0 255.255.255.0,redirect-gateway,ping 15,ping-restart 60,resolv-retry infinite,route-gateway 10.0.0.1,ifconfig 10.0.0.2 255.255.255.0'
Mon Jan 07 16:31:29 2008 us=251156 Options error: option 'resolv-retry' cannot be used in this context
Mon Jan 07 16:31:29 2008 us=251183 OPTIONS IMPORT: timers and/or timeouts modified
Mon Jan 07 16:31:29 2008 us=251199 OPTIONS IMPORT: --ifconfig/up options modified
Mon Jan 07 16:31:29 2008 us=251211 OPTIONS IMPORT: route options modified
Mon Jan 07 16:31:29 2008 us=285189 TAP-Win32 adapter '/var/tmp/tun' not found
Mon Jan 07 16:31:29 2008 us=285245 Exiting

In der server.conf habe ich

dev-node /var/tmp/tun

eingetragen wg. 2.6er Kernel;

ebenso
mknod /var/tmp/tun c 10 200

vor dem Start des openvpn.

Wie kriege ich das vpn zum laufen? Woran kann es noch liegen?

Grüße und ein erfolgreiches 2008
pdaladin

 

[MaxMuster]

Hi,

ich glaube, da ist was durcheinander gegangen. Die Logs kommen von Windows-Client, wenn ich das richtig sehe?
Bei dem ist dann der "dev-node" Befehl nicht einzugeben, der gehört zur Box-Config und irritiert hier den Client, denn "/var/tmp/tun" kennt der nicht....

Jörg

 

[pdaladin]

Die Logs kommen von Windows-Client, wenn ich das richtig sehe?
Bei dem ist dann der "dev-node" Befehl nicht einzugeben, der gehört zur Box-Config und irritiert hier den Client, denn "/var/tmp/tun" kennt der nicht....

Danke, Jörg. Daran hats gelegen. Jetzt springt die Ampel des Clients auf grün.

 

[pdaladin]

Desperation part II: Openvpn will nicht

Hallo,

nun ist endlich die Ampel meines clients auf "grün". Ich kann also auf meine Box von außen (mit Windows XP Client) mit Openvpn. Aber wie geht es weiter? Ich kann keinen Rechner sehen.

Meine server.conf:

####################################################
# Authentifizierung und Verschluesselung
ca ca.crt
cert fritzbox.crt
key fritzbox.key
dh dh1024.pem

auth SHA1
cipher AES-256-CBC

####################################################
# Grundsaetzliches
port 1194
proto udp
dev tap
# insert onto shell: mknod /var/tmp/tun c 10 200
dev-node /var/tmp/tun


####################################################
# Server-Einstellungen
mode server
tls-server
client-to-client
server 10.0.0.0 255.255.255.0

ifconfig-pool-persist ipp.txt # assign right IP-Addresses (optional)
mssfix


#server:
#Routen setzen, bei route Subnetz des Clients
# bei push Subnetz des eigenen Servers eintragen
route 192.168.2.0 255.255.255.0 10.0.0.5
push "route 192.168.178.0 255.255.255.0"
push "redirect-gateway"


#client:
#Routen setzen, bei route Subnetz der Server-Box
# bei push Subnetz der eignen Client-Box eintragen
;route 192.168.178.0 255.255.255.0
;push "route 192.168.2.0 255.255.255.0"


# Don't close and reopen TUN/TAP device or run up/down
# scripts across SIGUSR1 or --ping-restart restarts.
persist-tun

# Change process priority after initialization
# n>0 : lower priority; n<0 : higher priority).
nice 1

####################################################
# Verbindung aufrecht halten
#-- Server:
ping 10
ping-restart 60

#-- Client:
push "ping 15" # keep firewall open
push "ping-restart 60" # 1 minute
push "resolv-retry infinite"

####################################################
## Enable compression
## server & client entry must be the same!
comp-lzo

####################################################
# Protokollierungseinstellung
verb 4

####################################################
# Daemon (Wenn alles funktioniert)
daemon

####################################################
#Allow remote peer to change its IP address and/or port number, such as due to DHCP
# float tells OpenVPN to accept authenticated packets from any address, not only the
# address which was specified in the --remote option.
float

Die client.ovpn:

# OpenVPN v2.0.5 config:
####################################################
# Authentifizierung und Verschluesselung
cd c:\\programme\\openvpn\\config # Pfadanpassung; bzw. /etc/keys/...
ca ca.crt
cert client01.crt
key client01.key

auth SHA1
cipher AES-256-CBC

####################################################
# Grundsaetzliches
dev tap
proto udp
#for 2.4: dev-node /dev/misc/net/tun
# for 2.6:
#do not forget to insert onto shell: mknod /var/tmp/tun c 10 200
# dev-node /var/tmp/tun

nobind


####################################################
# Client-Einstellungen
tls-client
ns-cert-type server #for OVP2.0 and below: check the server.crt
pull # Fetch configuration from Server


####################################################
# Server-Einstellungen
remote arminw.homedns.org 1194 #Server IP/URI und evtl. port anpassen

####################################################
## Enable compression
## server & client entry must be equal!
comp-lzo

####################################################
# Protokollierungseinstellung
verb 4

####################################################
# Daemon
;daemon #ausführung im Hintergrund


#server:
#Routen setzen, bei route Subnetz des Clients
# bei push Subnetz des eigenen Servers eintragen
;route 192.168.xx.0 255.255.255.0
;push "route 192.168.yy.0 255.255.255.0"


#client:
#Routen setzen, bei route Subnetz der Server-Box
# bei push Subnetz der eignen Client-Box eintragen
route 192.168.178.0 255.255.255.0 10.0.0.1
push "route 192.168.1.0 255.255.255.0"



# Don't close and reopen TUN/TAP device or run up/down
# scripts across SIGUSR1 or --ping-restart restarts.
persist-tun


# Don't re-read key files on reconnect
persist-key

# Change process priority after initialization
# n>0 : lower priority; n<0 : higher priority).
nice 1


####################################################
# Verbindung aufrecht halten
ping 10
ping-restart 60

Help appreciated
pdaladin

 

[MaxMuster]

Wenn du keinen Rechner "siehst", dann liegt vermutlich daran, dass dein Rechner "falsch geguckt" hat ;-)

Nee, Spaß beiseite: Du bist jetzt eben "nur" mit der Box verbunden, hast damit zwar den Zugang zum Netz, bist aber nicht "im" Netz. Für dich bedeutet dass, das die Rechner im Netz "hinter" der Fritzbox eigentlich nur über ihre IP-Adresse erreichbar sind.
Es gibt also für den Zugriff die Möglichkeit über IP zuzugreifen in der Art "\\192.168.178.123\Freigabe" oder über Einträge in der "lmhosts" Datei, in der du dann 129.168.178.123 dem Namen "meinPCzuHause" geben kannst, um dann "normal" den Aufruf über "\\meinPCzuHause\Freigabe" zu machen. In deiner "Netzwerkumgebung" werden die Rechner so nicht auftauchen.

Wenn das ein wichtiges Ziel wäre und nicht zu viele Clients verbunden sind, könntest du deine Konfig vom "Tunnel-Modus" auf den Brückenmodus (mit "TAP"s) umstellen. Damit könnte der Client-PC dann tatsächlich ein "virtueller Teil" des Netztes hinter der Box werden.

Da müsstest du dann aber nochmal in die ar7.cfg eingreifen (um das Brückeninterface mit dem LAN zu "verbinden") und deine IP-Adressen dementsprechend umstellen. Bei Bedarf "können wir ja nochmal drüber reden...

Jörg