pixel
13.07.05, 11:28
Hi@all,
ich habe nach dem Artikel in der CT' ein VPN-Gateway mit OpenVPN eingerichtet. Die Konstellation sieht so aus:
[OpenVPN-Gateway]
SuSE-9.1
OpenVPN-2.0-2.1
eth0 -> IP 192.168.0.10 Netz: 192.168.0.0 / 255.255.255.0
eth1 -> Mit DSL-Modem verbunden
ppp0 -> Device für Internet, IP dynamisch
tun0 -> 10.1.0.1 (Adresse die im Tunnel verwendet wird)
Das Gateway ist vom Internet her über gateway1.dyndns.org erreichbar.
Die Konfiguration von OpenVPN am Gateway sieh so aus:
port 1194
proto udp
dev tun
ca /etc/ssl/my-ca.pem
cert /etc/ssl/certs/servercert.pem
key /etc/ssl/private/serverkey.pem
dh /etc/ssl/dh1024.pem
server 10.1.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "route 192.168.0.0 255.255.255.0"
push "redirect-gateway"
push "dhcp-option DNS 192.168.0.1"
keepalive 10 120
auth SHA1
cipher AES-256-CBC
;comp-lzo
user nobody
group nobody
persist-key
persist-tun
status openvpn-status.log
verb 3
Nun versuche ich vom entfernten Windows (w2k) - Client aus zu verbinden. Hierzu habe ich mir den OpenVPN-Win-Installer von der Projekt-Homepage installiert. Die Konfiguration am Client sieht so aus:
dev tun
proto udp
remote gateway1.dyndns.org 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca my-ca.pem
cert sws-svencert.pem
key sws-svenkey.pem
auth SHA1
cipher AES-256-CBC
;comp-lzo
verb 3
Das Herstelen der Verbindung vom Windows-Client aus klapp auch. Das Protokoll des Verbindungsausbau findet der Interessierte Leser ganz unten (da ich hier keinen Fehler erkenne).
Das VPN-Gateway ist durch den Tunnel wie zu erwarten unter der 10.1.0.1 zu ereichen. Ein Pink vom externen Client aus klappt. Der Client hat auch eine dynamische IP aus diesem Bereich bekommen:
ipconfig /all am Windows Client gibt für das Device aus:
IP-Adresse: 10.1.0.6
Subnet: 255.255.255.252
Standard-Gateway: 10.1.0.5
DHCP-Server: 10.1.0.5
DNS-Server: 192.168.0.1
Mein Problem ist nun das ich das hinter dem Gateway liegende Netz:
192.168.0.0 / 24
nicht erreiche. Dort ist ein DHCP/DNS-Server unter der 192.168.0.1.
Was habe ich falsch gemacht?
Viele Grüße
pixel
[Protokoll des Verbindungsaufbau am entfernten Windows-Client]
OpenVPN 2.0 Win32-MinGW [SSL] [LZO] built on Apr 17 2005
IMPORTANT: OpenVPN's default port number is now 1194, based on an official port number assignment by IANA. OpenVPN 2.0-beta16 and earlier used 5000 as the default port.
WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
Control Channel MTU parms [ L:1557 D:138 EF:38 EB:0 ET:0 EL:0 ]
Data Channel MTU parms [ L:1557 D:1450 EF:57 EB:4 ET:0 EL:0 ]
Local Options hash (VER=V4): '2dd3fcaf'
Expected Remote Options hash (VER=V4): '8114d01c'
UDPv4 link local: [undef]
UDPv4 link remote: 84.162.255.84:1194
TLS: Initial packet from 84.162.255.84:1194, sid=03afd1b8 b145e885
VERIFY OK: depth=1, /C=DE/ST=Baden-Wuerttemberg/L=Buehl/O=Dreampixel/CN=my-ca/emailAddress=root@hades.dreampixel
VERIFY OK: depth=0, /C=DE/ST=Baden-Wuerttemberg/L=Buehl/O=Dreampixel/CN=server/emailAddress=root@hades.dreampixel
Data Channel Encrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Data Channel Decrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
[server] Peer Connection Initiated with 84.162.255.84:1194
SENT CONTROL [server]: 'PUSH_REQUEST' (status=1)
PUSH: Received control message: 'PUSH_REPLY,route 192.168.0.0 255.255.255.0,redirect-gateway,dhcp-option DNS 192.168.0.1,route 10.1.0.1,ping 10,ping-restart 120,ifconfig 10.1.0.6 10.1.0.5'
OPTIONS IMPORT: timers and/or timeouts modified
OPTIONS IMPORT: --ifconfig/up options modified
OPTIONS IMPORT: --ip-win32 and/or --dhcp-option options modified
TAP-WIN32 device [ovpn] opened: \\.\Global\{6611A651-19B1-4C20-B97A-06079B150D23}.tap
TAP-Win32 Driver Version 8.1
TAP-Win32 MTU=1500
Notified TAP-Win32 driver to set a DHCP IP/netmask of 10.1.0.6/255.255.255.252 on interface {6611A651-19B1-4C20-B97A-06079B150D23} [DHCP-serv: 10.1.0.5, lease-time: 31536000]
Successful ARP Flush on interface [2] {6611A651-19B1-4C20-B97A-06079B150D23}
TEST ROUTES: 0/0 succeeded len=2 ret=0 a=0 u/d=down
Route: Waiting for TUN/TAP interface to come up...
TEST ROUTES: 0/0 succeeded len=2 ret=0 a=0 u/d=down
Route: Waiting for TUN/TAP interface to come up...
TEST ROUTES: 0/0 succeeded len=2 ret=0 a=0 u/d=down
Route: Waiting for TUN/TAP interface to come up...
TEST ROUTES: 3/3 succeeded len=2 ret=1 a=0 u/d=up
route ADD 84.162.255.84 MASK 255.255.255.255 192.168.111.3
Route addition via IPAPI succeeded
route DELETE 0.0.0.0 MASK 0.0.0.0 192.168.111.3
Route deletion via IPAPI succeeded
route ADD 0.0.0.0 MASK 0.0.0.0 10.1.0.5
Route addition via IPAPI succeeded
route ADD 192.168.0.0 MASK 255.255.255.0 10.1.0.5
Route addition via IPAPI succeeded
route ADD 10.1.0.1 MASK 255.255.255.255 10.1.0.5
Route addition via IPAPI succeeded
Initialization Sequence Completed
ich habe nach dem Artikel in der CT' ein VPN-Gateway mit OpenVPN eingerichtet. Die Konstellation sieht so aus:
[OpenVPN-Gateway]
SuSE-9.1
OpenVPN-2.0-2.1
eth0 -> IP 192.168.0.10 Netz: 192.168.0.0 / 255.255.255.0
eth1 -> Mit DSL-Modem verbunden
ppp0 -> Device für Internet, IP dynamisch
tun0 -> 10.1.0.1 (Adresse die im Tunnel verwendet wird)
Das Gateway ist vom Internet her über gateway1.dyndns.org erreichbar.
Die Konfiguration von OpenVPN am Gateway sieh so aus:
port 1194
proto udp
dev tun
ca /etc/ssl/my-ca.pem
cert /etc/ssl/certs/servercert.pem
key /etc/ssl/private/serverkey.pem
dh /etc/ssl/dh1024.pem
server 10.1.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "route 192.168.0.0 255.255.255.0"
push "redirect-gateway"
push "dhcp-option DNS 192.168.0.1"
keepalive 10 120
auth SHA1
cipher AES-256-CBC
;comp-lzo
user nobody
group nobody
persist-key
persist-tun
status openvpn-status.log
verb 3
Nun versuche ich vom entfernten Windows (w2k) - Client aus zu verbinden. Hierzu habe ich mir den OpenVPN-Win-Installer von der Projekt-Homepage installiert. Die Konfiguration am Client sieht so aus:
dev tun
proto udp
remote gateway1.dyndns.org 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca my-ca.pem
cert sws-svencert.pem
key sws-svenkey.pem
auth SHA1
cipher AES-256-CBC
;comp-lzo
verb 3
Das Herstelen der Verbindung vom Windows-Client aus klapp auch. Das Protokoll des Verbindungsausbau findet der Interessierte Leser ganz unten (da ich hier keinen Fehler erkenne).
Das VPN-Gateway ist durch den Tunnel wie zu erwarten unter der 10.1.0.1 zu ereichen. Ein Pink vom externen Client aus klappt. Der Client hat auch eine dynamische IP aus diesem Bereich bekommen:
ipconfig /all am Windows Client gibt für das Device aus:
IP-Adresse: 10.1.0.6
Subnet: 255.255.255.252
Standard-Gateway: 10.1.0.5
DHCP-Server: 10.1.0.5
DNS-Server: 192.168.0.1
Mein Problem ist nun das ich das hinter dem Gateway liegende Netz:
192.168.0.0 / 24
nicht erreiche. Dort ist ein DHCP/DNS-Server unter der 192.168.0.1.
Was habe ich falsch gemacht?
Viele Grüße
pixel
[Protokoll des Verbindungsaufbau am entfernten Windows-Client]
OpenVPN 2.0 Win32-MinGW [SSL] [LZO] built on Apr 17 2005
IMPORTANT: OpenVPN's default port number is now 1194, based on an official port number assignment by IANA. OpenVPN 2.0-beta16 and earlier used 5000 as the default port.
WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
Control Channel MTU parms [ L:1557 D:138 EF:38 EB:0 ET:0 EL:0 ]
Data Channel MTU parms [ L:1557 D:1450 EF:57 EB:4 ET:0 EL:0 ]
Local Options hash (VER=V4): '2dd3fcaf'
Expected Remote Options hash (VER=V4): '8114d01c'
UDPv4 link local: [undef]
UDPv4 link remote: 84.162.255.84:1194
TLS: Initial packet from 84.162.255.84:1194, sid=03afd1b8 b145e885
VERIFY OK: depth=1, /C=DE/ST=Baden-Wuerttemberg/L=Buehl/O=Dreampixel/CN=my-ca/emailAddress=root@hades.dreampixel
VERIFY OK: depth=0, /C=DE/ST=Baden-Wuerttemberg/L=Buehl/O=Dreampixel/CN=server/emailAddress=root@hades.dreampixel
Data Channel Encrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Data Channel Decrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
[server] Peer Connection Initiated with 84.162.255.84:1194
SENT CONTROL [server]: 'PUSH_REQUEST' (status=1)
PUSH: Received control message: 'PUSH_REPLY,route 192.168.0.0 255.255.255.0,redirect-gateway,dhcp-option DNS 192.168.0.1,route 10.1.0.1,ping 10,ping-restart 120,ifconfig 10.1.0.6 10.1.0.5'
OPTIONS IMPORT: timers and/or timeouts modified
OPTIONS IMPORT: --ifconfig/up options modified
OPTIONS IMPORT: --ip-win32 and/or --dhcp-option options modified
TAP-WIN32 device [ovpn] opened: \\.\Global\{6611A651-19B1-4C20-B97A-06079B150D23}.tap
TAP-Win32 Driver Version 8.1
TAP-Win32 MTU=1500
Notified TAP-Win32 driver to set a DHCP IP/netmask of 10.1.0.6/255.255.255.252 on interface {6611A651-19B1-4C20-B97A-06079B150D23} [DHCP-serv: 10.1.0.5, lease-time: 31536000]
Successful ARP Flush on interface [2] {6611A651-19B1-4C20-B97A-06079B150D23}
TEST ROUTES: 0/0 succeeded len=2 ret=0 a=0 u/d=down
Route: Waiting for TUN/TAP interface to come up...
TEST ROUTES: 0/0 succeeded len=2 ret=0 a=0 u/d=down
Route: Waiting for TUN/TAP interface to come up...
TEST ROUTES: 0/0 succeeded len=2 ret=0 a=0 u/d=down
Route: Waiting for TUN/TAP interface to come up...
TEST ROUTES: 3/3 succeeded len=2 ret=1 a=0 u/d=up
route ADD 84.162.255.84 MASK 255.255.255.255 192.168.111.3
Route addition via IPAPI succeeded
route DELETE 0.0.0.0 MASK 0.0.0.0 192.168.111.3
Route deletion via IPAPI succeeded
route ADD 0.0.0.0 MASK 0.0.0.0 10.1.0.5
Route addition via IPAPI succeeded
route ADD 192.168.0.0 MASK 255.255.255.0 10.1.0.5
Route addition via IPAPI succeeded
route ADD 10.1.0.1 MASK 255.255.255.255 10.1.0.5
Route addition via IPAPI succeeded
Initialization Sequence Completed