PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : OpenVPN - Gateway



AllOnline
24.03.12, 09:42
Hallo,

leider bekomme ich es (obwohl es die config von meinem altem Server kopiert habe wo es ging)

Mein Windwos-Client gibt folgendes aus:


IPv4-Routentabelle
================================================== =========================
Aktive Routen:
Netzwerkziel Netzwerkmaske Gateway Schnittstelle Metrik
0.0.0.0 0.0.0.0 172.16.121.2 172.16.121.42 25
0.0.0.0 128.0.0.0 10.8.0.5 10.8.0.6 31
10.8.0.0 255.255.255.0 10.8.0.5 10.8.0.6 31
10.8.0.4 255.255.255.252 Auf Verbindung 10.8.0.6 286
10.8.0.6 255.255.255.255 Auf Verbindung 10.8.0.6 286
10.8.0.7 255.255.255.255 Auf Verbindung 10.8.0.6 286
127.0.0.0 255.0.0.0 Auf Verbindung 127.0.0.1 306
127.0.0.1 255.255.255.255 Auf Verbindung 127.0.0.1 306
127.255.255.255 255.255.255.255 Auf Verbindung 127.0.0.1 306
128.0.0.0 128.0.0.0 10.8.0.5 10.8.0.6 31
169.254.0.0 255.255.0.0 Auf Verbindung 172.16.121.42 306
169.254.0.0 255.255.0.0 Auf Verbindung 10.8.0.6 306
169.254.255.255 255.255.255.255 Auf Verbindung 172.16.121.42 281
169.254.255.255 255.255.255.255 Auf Verbindung 10.8.0.6 286
172.16.121.0 255.255.255.0 Auf Verbindung 172.16.121.42 281
172.16.121.42 255.255.255.255 Auf Verbindung 172.16.121.42 281
172.16.121.255 255.255.255.255 Auf Verbindung 172.16.121.42 281
176.9.137.27 255.255.255.255 172.16.121.2 172.16.121.42 26
224.0.0.0 240.0.0.0 Auf Verbindung 127.0.0.1 306
224.0.0.0 240.0.0.0 Auf Verbindung 10.8.0.6 286
224.0.0.0 240.0.0.0 Auf Verbindung 172.16.121.42 281
255.255.255.255 255.255.255.255 Auf Verbindung 127.0.0.1 306
255.255.255.255 255.255.255.255 Auf Verbindung 10.8.0.6 286
255.255.255.255 255.255.255.255 Auf Verbindung 172.16.121.42 281
================================================== =========================
Ständige Routen:
Netzwerkadresse Netzmaske Gatewayadresse Metrik
169.254.0.0 255.255.0.0 192.168.178.23 1
169.254.0.0 255.255.0.0 192.168.178.40 1
================================================== =========================


176.9.137.27 ist der Server

Auf dem Server ist als folgendes eingetragen


push "redirect-gateway"
push "redirect-gateway def1"


und auf dem Clienten, die mit einem anderem server 100%tig funktioniert:


client
dev tun
proto tcp-client
;remote 85.114.132.61 3389

remote 176.9.137.27
port 1723
nobind

;http-proxy-option AGENT Mozilla/5.0+(Windows;+U;+Windows+NT+5.0;+en-GB;+rv:1.7.6)+Gecko/20050226+Firefox/1.0.1

ca ca.crt
cert xyz.crt
key xyz.key
comp-lzo
verb 3
route-method exe
route-delay 2


Hier noch mal:
IP-Conf-Client-WIn7 : http://www.fpaste.org/JOL3/
OpenVPN-Log Client: http://www.fpaste.org/SdDr/
Server-Conf: http://fpaste.org/dpVQ/
Client-Conf:http://fpaste.org/x2bP/

derRichard
24.03.12, 10:50
_was_ geht nicht?
aber ich rate einfach mal, du hast net und/oder ip_forward nicht eingeschaltet.

hth,
//richard

AllOnline
24.03.12, 10:51
Sry, in Windows ist kein default Gateway eingetragen, die routing tabellen stehen ob.
Er vergibt komischer weise die Subnetzmaske 255.255.255.252 und somit ist 10.8.0.1 nicht einzutragen.
Ip Forward ist an! net forward?!?

derRichard
24.03.12, 10:58
wirf mal einen blick in die openvpn-manpage und schaue nach was "redirect-gateway def1" macht.
und warum pusht du vorher "redirect-gateway"?
beides macht keinen sinn.

//richard

AllOnline
24.03.12, 11:14
Wirf mal bitte einen Blick, in die angehängte Datein:
Probiere eben meheres aus

route-gateway 10.8.0.1
push "redirect-gateway def1"

derRichard
24.03.12, 11:16
push "redirect-gateway def1"

in deiner routingtabelle steht genau das, was def1 machen soll.
was genau ist nun das problem?

//richard

AllOnline
24.03.12, 11:22
Es hat mit gleichem Client und gleichem Conf auf einem anderen Server funktioniert.
Wie sollte es den deiner Meinung nach richtig sein. Ich wiederhole ist Windows 7 ;-)

derRichard
24.03.12, 11:24
Es hat mit gleichem Client und gleichem Conf auf einem anderen Server funktioniert.
Wie sollte es den deiner Meinung nach richtig sein. Ich wiederhole ist Windows 7 ;-)

ich frage nochmal, was _genau_ geht nicht?

//richard

AllOnline
24.03.12, 11:27
Kein default Gateway auf dem Clienten!
Subnetztmaske von 255.255.255.252 mit IP 10.8.0.6 auf Clienten.
Somit ist ein Gateway von 10.8.0.1 nicht möglich.

FEHLER: KEIN DEFAULT GATEWAY
und somit kein Internet für den Client.
Warum, falsche Subnetzmaske, falsches Gateay??? das ist die Frage

Danke für deine Hilfe!

derRichard
24.03.12, 11:35
0.0.0.0 128.0.0.0 10.8.0.5 10.8.0.6 31
128.0.0.0 128.0.0.0 10.8.0.5 10.8.0.6 31

das ist ein default gateway.
genau wie es in der openvpn-manpage steht (die du offensichtlich nicht gelesen hast).
sehe def1.

10.8.0.5 wird der endpunkt vom tunnel sein.

//richard

AllOnline
24.03.12, 11:38
Eben nicht:
10.8.0.1
10.8.0.5 anscheinend DHCP <--- Keine Ahnung warum wieso
10.8.0.6 IP-Client

Deswegen die Frage warum Subnetzmaske mit ende 252 statt wie konfiguriert .0
Gateway und Client IP sind somit nicht im gleichem Netz, das ist dir bewusst.
Ich frag mich aber wieso?

derRichard
24.03.12, 11:46
wie gesagt, 10.8.0.5 wird der endpunkt vom tunnel sein.
10.8.0.6 ist die seite, die windows sieht.
die routingtabelle von openvpn unter windows ist etwas haarig zu lesen. :ugly:

liest du nur die tablle und bist verwirrt oder _was_genau_ geht nicht?
wie schaut dein test aus?

du kannt ja mal am vpn-server mit tcpdump nachsehen was ankommt...

//richard

AllOnline
24.03.12, 11:57
10.8.0.5 NICHT pingbar
10.8.0.6 Client selfping
10.8.0.1 pingbar

Windowsclient:
Verbindungsspezifisches DNS-Suffix:
Beschreibung: TAP-Win32 Adapter V9
DHCP-aktiviert: Ja
IPv4-Adresse: 10.8.0.6
IPv4-Subnetzmaske: 255.255.255.252
IPv4-Standardgateway:
IPv4-DHCP-Server: 10.8.0.5
IPv4-DNS-Server: 217.79.186.148, 62.141.32.3
IPv4-WINS-Server:
NetBIOS über TCPIP aktiviert: Ja

Es ist kein default Gateway möglich, somit kein Internet, kein ping, kein dns,...

derRichard
24.03.12, 12:01
warum?
du hast ja einen default gw.
und wenn 10.8.0.1 erreichbar ist, dann geht das auch sauber über 10.8.0.5.

ich wette am server kommt alles an.
wie gesagt, schau mit tcpdump nach.

//richard

AllOnline
24.03.12, 12:39
Sry aber ich glaube du hast default Gateway nicht verstanden, oder ich hab nen brett vor nem Kopf. Der weiß doch garnicht wohin er was routen soll, woher soll der das an den Server senden?

Und an der Aussage ändert sich nicht:

10.8.0.5 NICHT pingbar
10.8.0.6 Client selfping
10.8.0.1 pingbar

Kannst du mir sagen wie ich tcpdump am besten nutze, weil über ssh füllt der sich selbst...

derRichard
24.03.12, 12:46
ich fürchte es läuft auf das brett hinaus. :)

du kannst bei tcpdump ja einfach angeben, dass port 22 nicht haben willst.
siehe manpage zu pcap-filter.

//richard

AllOnline
24.03.12, 13:02
Es tut mir fürchterlich leid das ich dich so lange beschäftigt habe.
Aufgrund von tcpdump habe ich gesehen, das in msaq der Firewall noch ne alte IP eingetragen war.

DANKE DIR

close

derRichard
24.03.12, 14:05
Es tut mir fürchterlich leid das ich dich so lange beschäftigt habe.
Aufgrund von tcpdump habe ich gesehen, das in msaq der Firewall noch ne alte IP eingetragen war.


dann hab ich ja fast richtig geraten :-)

//richard