Guten Morgen

wir setzen hier in der Firma OPENVPN ein. Unsere MA können sich auch ohne Probleme am Server anmelden und kommen auf den FileServer. Wir haben hier einen MS SQL Server im Netz hängen, diesen verwendet unser Chef ab und zu via RemoteDesktopverbinung. Alles funktionierte problemlos, aber seit unser Chef sein (privates) Internet auf Telekom VDSL umgestellt hat, kann er sich nicht mehr auf den FileServer verbinden und auch keine RemoteDesktopverbindung aufbauen. Wenn er sich vom heimische Netz trennt und sich vie UMTS verbindet, geht alles wunderbar. Habe ihn schon gebeten den MTU Wert zu verringern, aber es half nicht.

Er verwendet Win 7 Prof.

VG
Uli

und jetzt? sollen wir raten?
was _genau_ geht nicht?

egal, ich rate gerne, ich tippe auf netzüberschneidung.

//richard

Hallo Richard,

mein Chef, kann sowohl auf den FileServer nicht mehr zugreifen und auch nicht mehr via RemoteDesktop auf den MS SQL Server verbinden. Openvpn sagt zwar er wäre Connectet, aber wenn er die URL zum FileServer aufruft, passiert nichts.

Das aber nur dann, wenn er über LAN von zu Hause ins Internet geht (VDSL von Telekom), wenn er über UMTS ins Internet geht, funktioniert alles wunderbar. Nun suche ich den Grund dafür.

VG

mit "_genau_" meinte ich weniger prosa und mehr harte fakten. ;-)
ip-addressen, netze, routen, ....

//richard

Die Infos werde ich morgen wahrscheinlich bekommen, vom log. die anderen routen und config werde ich morgen reinstellen.

So nun habe ich hoffentlich alle benötigten Infos:

Server.Conf:

local IP des Servers
management 127.0.0.1 11940
port 1194
proto udp
dev tun
ca keys/ca.crt
cert keys/fw.domain.crt
key keys/fw.domain.key
dh keys/dh2048.pem
server 10.10.0.0 255.255.255.0
ifconfig-pool-persist ipp_udp.txt
push "route 192.168.123.0 255.255.255.0"
client-config-dir ccd
push "dhcp-option DNS 192.168.123.1"
push "dhcp-option DNS 192.168.123.5"
push "dhcp-option WINS 192.168.123.1"
keepalive 10 120
persist-key
persist-tun
verb 3
mute 10


Hier nun die Client.conf:
#^M
# Config for Firma VPN Access^M
#^M
^M
# SSL-Parameter^M
# Hier private PKCS12 Datei angeben^M
pkcs12 namedesSchluessels.p12^M

^M
client^M
dev tun^M
proto udp^M
remote URL zum Server 1194^M
resolv-retry infinite^M
^M
# Sinvolle Defaults^M
nobind^M
persist-key^M
persist-tun^M
ns-cert-type server^M
verb 3^M
mute 20^M
^M
# Kompression (optional, auf Server zur Zeit deaktiviert)^M
;comp-lzo^M

Hier das Log von der Verbindung:

Wed Jun 06 21:20:16 2012 OpenVPN 2.2-beta5 i686-pc-mingw32 [SSL] [LZO2] [PKCS11] built on Nov 30 2010
Wed Jun 06 21:20:16 2012 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Wed Jun 06 21:20:20 2012 WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
Wed Jun 06 21:20:20 2012 Control Channel MTU parms [ L:1541 D:138 EF:38 EB:0 ET:0 EL:0 ]
Wed Jun 06 21:20:20 2012 Socket Buffers: R=[8192->8192] S=[8192->8192]
Wed Jun 06 21:20:20 2012 Data Channel MTU parms [ L:1541 D:1450 EF:41 EB:4 ET:0 EL:0 ]
Wed Jun 06 21:20:20 2012 Local Options hash (VER=V4): '3514370b'
Wed Jun 06 21:20:20 2012 Expected Remote Options hash (VER=V4): '239669a8'
Wed Jun 06 21:20:20 2012 UDPv4 link local: [undef]
Wed Jun 06 21:20:20 2012 UDPv4 link remote: IPDesServers:1194
Wed Jun 06 21:20:20 2012 TLS: Initial packet from IPDesServer:1194, sid=8de4a0fb 5e1f7a32
Wed Jun 06 21:20:21 2012 VERIFY OK: depth=1, /C=DE/ST=NRW/L=Koeln/O=Firma_GmbH/CN=Firma_GmbH_CA/emailAddress=info@domain.de
Wed Jun 06 21:20:21 2012 VERIFY OK: nsCertType=SERVER
Wed Jun 06 21:20:21 2012 VERIFY OK: depth=0, /C=DE/ST=NRW/L=Koeln/O=Firma_GmbH/CN=Domain.de/emailAddress=info@Domain.de
Wed Jun 06 21:20:22 2012 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Wed Jun 06 21:20:22 2012 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed Jun 06 21:20:22 2012 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Wed Jun 06 21:20:22 2012 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed Jun 06 21:20:22 2012 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 2048 bit RSA
Wed Jun 06 21:20:22 2012 Domain.de] Peer Connection Initiated with IP-des VPN Servers:1194
Wed Jun 06 21:20:24 2012 SENT CONTROL [Domain.de]: 'PUSH_REQUEST' (status=1)
Wed Jun 06 21:20:24 2012 PUSH: Received control message: 'PUSH_REPLY,route 192.168.123.0 255.255.255.0,dhcp-option DNS 192.168.123.1,dhcp-option DNS 192.168.123.5,dhcp-option WINS 192.168.123.1,route 10.10.0.1,topology net30,ping 10,ping-restart 120,ifconfig 10.10.0.6 10.10.0.5'
Wed Jun 06 21:20:24 2012 OPTIONS IMPORT: timers and/or timeouts modified
Wed Jun 06 21:20:24 2012 OPTIONS IMPORT: --ifconfig/up options modified
Wed Jun 06 21:20:24 2012 OPTIONS IMPORT: route options modified
Wed Jun 06 21:20:24 2012 OPTIONS IMPORT: --ip-win32 and/or --dhcp-option options modified
Wed Jun 06 21:20:24 2012 ROUTE default_gateway=192.168.2.1
Wed Jun 06 21:20:24 2012 TAP-WIN32 device [LAN-Verbindung 2] opened: \\.\Global\{C7E45E43-5C38-4B1C-881C-BA37CE286D60}.tap
Wed Jun 06 21:20:24 2012 TAP-Win32 Driver Version 9.7
Wed Jun 06 21:20:24 2012 TAP-Win32 MTU=1450
Wed Jun 06 21:20:24 2012 Notified TAP-Win32 driver to set a DHCP IP/netmask of 10.10.0.6/255.255.255.252 on interface {C7E45E43-5C38-4B1C-881C-BA37CE286D60} [DHCP-serv: 10.10.0.5, lease-time: 31536000]
Wed Jun 06 21:20:24 2012 Successful ARP Flush on interface [17] {C7E45E43-5C38-4B1C-881C-BA37CE286D60}
Wed Jun 06 21:20:29 2012 TEST ROUTES: 2/2 succeeded len=2 ret=1 a=0 u/d=up
Wed Jun 06 21:20:29 2012 C:\WINDOWS\system32\route.exe ADD 192.168.123.0 MASK 255.255.255.0 10.10.0.5
Wed Jun 06 21:20:29 2012 ROUTE: CreateIpForwardEntry succeeded with dwForwardMetric1=30 and dwForwardType=4
Wed Jun 06 21:20:29 2012 Route addition via IPAPI succeeded [adaptive]
Wed Jun 06 21:20:29 2012 C:\WINDOWS\system32\route.exe ADD 10.10.0.1 MASK 255.255.255.255 10.10.0.5
Wed Jun 06 21:20:29 2012 ROUTE: CreateIpForwardEntry succeeded with dwForwardMetric1=30 and dwForwardType=4
Wed Jun 06 21:20:29 2012 Route addition via IPAPI succeeded [adaptive]
Wed Jun 06 21:20:29 2012 Initialization Sequence Completed


Wir haben es schon mit 4 MTU Werten versucht (1450/1460/1492/1500)

Die interne IP des Chefs bei ihm zu Hause: 192.168.2.100

Der VPN Zugriff funktioniert in der Regel, ich und andere MA haben keine Probleme, nur mein Chef, und nur, wenn er mit VDSL sich verbindet hat er Probeme, via UMTS funktioniert es auch bei ihm.
Ich hoffe, ich habe alle benötigten Daten drin.

VG
Uli

Hier der Eintrag vom Zeitpunkt von syslog:

Jun 6 21:20:58 server ovpn-server_udp[6376]: read UDPv4 [ECONNREFUSED]: Connection refused (code=111)
Jun 6 21:21:08 server ovpn-server_udp[6376]: read UDPv4 [ECONNREFUSED]: Connection refused (code=111)
Jun 6 21:21:09 server ovpn-server_udp[6376]: MULTI: multi_create_instance called
Jun 6 21:21:09 server ovpn-server_udp[6376]: IP-Client:63186 Re-using SSL/TLS context
Jun 6 21:21:09 server ovpn-server_udp[6376]: IP-Client:63186 Control Channel MTU parms [ L:1541 D:138 EF:38 EB:0 ET:0 EL:0 ]
Jun 6 21:21:09 server ovpn-server_udp[6376]: IP-Client:63186 Data Channel MTU parms [ L:1541 D:1450 EF:41 EB:4 ET:0 EL:0 ]
Jun 6 21:21:09 server ovpn-server_udp[6376]: IP-Client:63186 Local Options hash (VER=V4): '239669a8'
Jun 6 21:21:09 server ovpn-server_udp[6376]: IP-Client:63186 Expected Remote Options hash (VER=V4): '3514370b'
Jun 6 21:21:09 server ovpn-server_udp[6376]: IP-Client:63186 TLS: Initial packet from IP-Client:63186, sid=4a796ae0 4e734c3f
Jun 6 21:21:10 server ovpn-server_udp[6376]: IP-Client:63186 VERIFY OK: depth=1, /C=DE/ST=NRW/L=Koeln/O=firma_GmbH/CN=firma_GmbH_CA/emailAddress=info@domain.de
Jun 6 21:21:10 server ovpn-server_udp[6376]: IP-Client:63186 VERIFY OK: depth=0, /C=DE/ST=NRW/L=Koeln/O=firma_GmbH/CN=name@domain.de/emailAddress=info@domain.de
Jun 6 21:21:10 server ovpn-server_udp[6376]: IP-Client:63186 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Jun 6 21:21:10 server ovpn-server_udp[6376]: IP-Client:63186 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Jun 6 21:21:10 server ovpn-server_udp[6376]: IP-Client:63186 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Jun 6 21:21:10 server ovpn-server_udp[6376]: IP-Client:63186 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Jun 6 21:21:10 server ovpn-server_udp[6376]: IP-Client:63186 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 2048 bit RSA
Jun 6 21:21:10 server ovpn-server_udp[6376]: IP-Client:63186 [name@domain.de] Peer Connection Initiated with Client-IP:63186
Jun 6 21:21:10 server ovpn-server_udp[6376]: MULTI: new connection by client 'name@domain.de' will cause previous active sessions by this client to be dropped. Remember to use the --duplicate-cn option if you want multiple clients using the same certificate or username to concurrently connect.
Jun 6 21:21:10 server ovpn-server_udp[6376]: MULTI: Learn: 10.10.0.6 -> name@domain.de/IP-Client:63186
Jun 6 21:21:10 server ovpn-server_udp[6376]: MULTI: primary virtual IP for name@domain.de/IP-Client:63186: 10.10.0.6
Jun 6 21:21:12 server ovpn-server_udp[6376]: name@firma.de/IP-Vom-Client:63186 PUSH: Received control message: 'PUSH_REQUEST'
Jun 6 21:21:12 server ovpn-server_udp[6376]: name@firma.de/IP-Vom-Client:63186 SENT CONTROL [Name@Firma.de]: 'PUSH_REPLY,route 192.168.123.0 255.255.255.0,dhcp-option DNS 192.168.123.1,dhcp-option DNS 192.168.123.5,dhcp-option WINS 192.168.123.1,route 10.10.0.1,topology net30,ping 10,ping-restart 120,ifconfig 10.10.0.6 10.10.0.5' (status=1)

hi!

naja, was genau geht nun nicht?
dass die vpn-verbindung steht ist klar.

schau mal mit tcpdump und co. nach was genau passiert.

//richard

Es funktionieren 2 sachen nicht.

Zugriff auf den Fileserver und er kann keine RemoteDesktop-Verbindung aufbauen.

Und das auch nur, wenn mein Chef sich via VDSL verbindet.

VG

hast du gelesen was ich geschrieben habe?

//richard

hast du gelesen was ich geschrieben habe?

//richard

Ja, habe ich. Habe mich auf folgendes bezogen:

"naja, was genau geht nun nicht?"

tcdump und co, kann ich erst am Mo machen bzw. ich muss mich Cheffe wahrscheinlich abends absprechen, da die VPN Verbindung ja stehen muss, oder?

VG

Ja, habe ich. Habe mich auf folgendes bezogen:

"naja, was genau geht nun nicht?"

tcdump und co, kann ich erst am Mo machen bzw. ich muss mich Cheffe wahrscheinlich abends absprechen, da die VPN Verbindung ja stehen muss, oder?

VG

betonung liegt auf "genau".
schau nach wo genau die pakete verloren gehen.
und vor allem welche verloren gehen.

//richard

Vielen Dank für Deine Hilfe, könntest Du mir Tipps geben, wie ich am Besten daran gehen kann?

z.B. tcpdump -i br0 -q -w test.dump '(udp port 1194)'

starte tcpdump auf dem server und dem client.
lass es am tun bzw. tap interface hören und schau was gesendet wird und was ankommt.
ebefalls würde ich den verbose-modus von openvpn starten.

//richard

Guten Morgen,

leider konnte ich noch keinen Test mit tcpdump durchführen, evtl. morgen.

Ich habe meinem Chef einen openvpn Zugang zu meinen Server eingerichtet, hier funktioniert die VPN Verbindung ganz normal.

Von der Server Konf. unterscheiden sich beide Systeme eigentlich nicht groß.
Nur die OPENVPN Versionen unterscheiden sich:

Openvpn-Version auf Server auf Arbeit: 2.1~rc7-ubuntu3.6
Openvpn-Version Homeserver: 2.2.1-8ubuntu1

Und der Netzanbieter unterscheiden sich:

Arbeit: Netcologne (DSL 16000)
Home: TCOM (DSL 16000)

Innerhalb des TCOM Netzes funktioniert es. Kann es sein, dass Netcologne dazwischen funkt?

Kann ich auf einen Ubuntu Systen 8.04 LTS manuell die neuste Version von OPENVPN installieren?

VG
Uli

die ratestunde ist vorbei :)
ohne genauere informationen kann man dazu nicht viel sagen.

//richard