Open VPN Problem

[kleinerspast]

Hi und frohes neues Jahr an alle erstmal!

habe ein kleines OpenVPN Problem: In meiner Openvpn.log sehe ich folgende kleine Problemchen:

Code: Alles auswählen

Fri Jan  1 19:14:19 2016 NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
Fri Jan  1 19:14:19 2016 NOTE: --script-security method='system' is deprecated due to the fact that passed parameters will be subject to shell expansion
sh: 1: /etc/openvpn/server1.sh: not found
Fri Jan  1 19:14:20 2016 WARNING: Failed running command (--route-up): could not execute external program

Der Rest des Logs ist sauber, deshalb hier konzentriert das Problem. Also ich will eigentlich aus meiner OpenVPN Server Config Routen beim Start adden lassen (durch eine .sh) mit dem Inhalt:

Code: Alles auswählen

#!/bin/bash
route add -net 192.168.178.0 netmask 255.255.255.0 gw 10.1.0.2

Obwohl diese .sh unter /etc/openvpn liegt, steht im Log sh: 1: /etc/openvpn/server1.sh: not found. Ich weiß durch google das man dem OpenVPN durch den System Security Parameter in der Server Conf erlauben muss externe Skripte aufzurufen, also habe ich auch script-security 3 system in meine Conf getan.

Obwohl am Log Ende Initialisation Complete steht funktioniert die vpn Verbindung nicht (kein Ping geht durch, auch ohne FW nicht).
Dummerweise geht es trotzdem nicht, weiß jemand Rat?

[TomL]

habe ein kleines OpenVPN Problem: In meiner Openvpn.log sehe ich folgende kleine Problemchen:

Code: Alles auswählen

sh: 1: /etc/openvpn/server1.sh: not found

Der Rest des Logs ist sauber, deshalb hier konzentriert das Problem. Also ich will eigentlich aus meiner OpenVPN Server Config Routen beim Start adden lassen (durch eine .sh) mit dem Inhalt:

Code: Alles auswählen

#!/bin/bash
route add -net 192.168.178.0 netmask 255.255.255.0 gw 10.1.0.2

Dummerweise geht es trotzdem nicht, weiß jemand Rat?

Ich verstehe nicht so richtig den Sinn, warum Du das überhaupt über ein Script erledigen lassen möchtest, anstatt die Route direkt in die entsprechende OpenVPN-Conf einzutragen. Gibt es einen Grund, dass nicht in die VPN-Conf einzutragen und dafür auf das Script zu verzichten?

[kleinerspast]

Naja, sagen wir mal so ich hab das so in 1,2 Tutorials gelesen und dachte das sei halt Standard so.

Ich vermute mal ich werde das route Kommando nicht in exakt dem gleichen Format da einfach reinkopieren können oder?

[TomL]

Das ist nicht so kompliziert. Die OpenVPN-Seite sagt dazu:

For the purpose of this example, we will assume that the server-side LAN uses a subnet of 10.66.0.0/24 and the VPN IP address pool uses 10.8.0.0/24 as cited in the server directive in the OpenVPN server configuration file.

First, you must advertise the 10.66.0.0/24 subnet to VPN clients as being accessible through the VPN. This can easily be done with the following server-side config file directive:

push "route 10.66.0.0 255.255.255.0"

Das bedeutet, dass diese "push route"-Zeile im gleichen Format in Deiner Server-Conf eingetragen werden muss, natürlich um die IP Deines Netzes (vom Router repäsentiert) korrigiert. Bezogen auf das Beispiel wäre mein Heimnetz 10.66.0/24.... mein Router hätte vermutlich die IP 10.66.0.1. Also teile ich jetzt dem VPN-Server mit dieser Zeile mit, wie er in mein Netz reinkommt. Und in meinem Netz (stellvertretend im Router) trage ich eine Route zu meinen VPN-Server ein, hier also vermutlich 10.8.0.2, der seinerseits das VPN-Netz (10.8.0/24) repräsentiert und gleichzeitig auch Gateway für das VPN ist.

Bezogen auf Dein Beispiel (und ohne Gewähr) müsstest Du wahrscheinlich diese Zeile in Deine Server-Conf einsetzen:

Code: Alles auswählen

 push "route 192.168.178.0 255.255.255.0"

... und natürlich den Script-Aufruf entfernen.

Und in Deinem Router 192.168.178.??? muss Du noch eine statische Route für das VPN-Netz 10.1.0/24 auf dem VPN-Server 192.168.178.??? eintragen. Dann sollte das alles funktionieren.

[dufty2]

mein Heimnetz 10.66.0/24

Nur zu meinem Verständnis

Also bei "Heimnetz" denke ich an das eigene Zuhause.
Typischerweise sind dort die VPN-Clients und weniger VPN-Server angesiedelt.

Die "push"-Direktive, die in conf des VPN-Servers steht, teilt den VPN-clients mit:
"Hi guys, das 10.66.0.0/24 könnt Ihr über mich erreichen."
Der VPN-Server braucht typischerweise selbst keine extra-route für 10.66.0.0/24, da er entweder selbst im 10.66.0.0/24 steht oder auch ohne VPN-Service jene schon vorher kennt.
Aber die VPN-Clients wissen es nicht, weil sie sonst ohne Anweisung vom VPN-Server (push) dächten,
das 10.66.0.0/24 wäre über ihr default-gateway (meist DSL-Router) zu erreichen.

[TomL]

mein Heimnetz 10.66.0/24

Nur zu meinem Verständnis

Also bei "Heimnetz" denke ich an das eigene Zuhause.
Typischerweise sind dort die VPN-Clients und weniger VPN-Server angesiedelt.

Nun ja, bei mir sind die Clients Zuhause typischerweise keine VNP-Clients, sondern reguläre LAN-Clients. Und als solche weiss keiner von denen irgendetwas über den (auf einem der Clients existierenden) VPN-Server und sie "nutzen" den auch nicht als Gateway ... was ja imho für meine Betrachtung auch völlig unnötig ist. Denn bei mir dient das VPN nicht dazu "raus" zu kommen, sondern von einem/mehreren Roadwarrior von außen "rein" zu kommen.... entweder nur ins Netz oder auch zur Nutzung des sicheren heimischen Routers. Von dem Szenario bin ich ausgegangen und dann ist mein Beispiel korrekt.

Die "push"-Direktive, die in conf des VPN-Servers steht, teilt den VPN-clients mit:
"Hi guys, das 10.66.0.0/24 könnt Ihr über mich erreichen."

Genau darum ging es mir .... denn meine Roadwarrior (die VPN-Clients) "draußen" kennen das Heimnetz erst mal nicht.

Wenn der TE natürlich was anderes beabsichtigt, kann ich falsch liegen. Dann hätte er aber mehr Infos geben müssen .... und dann hätte ich auch nicht helfen können.

[kleinerspast]

Danke sehr für eure vielen Bemühungen!

Ich bin etwas weiter und fast durch, aber nur fast^^

Site to Site VPN läuft und ich kann pingen wie folgt:

Site 1 PI zu Site 2 FritzBox
Site 1 PI zu Site 2 PI

also kann ich von Seite 1 die beiden angeschlossenen Geräte auf Seite 2 erreichen (super!)

Site 2 PI nach Site 1 PI
Site 2 PI auf Site 1 FritzBox geht aber nicht! Auch geht der Ping auf kein anderes angeschlossenes Gerät auf Site 1 durch von Site 2 (Firewall temporär auf beiden PIs deaktiviert)

ip_forward ist auf beiden PIs aktiviert und geprüft. Die statischen Routen sind absolut korrekt in beiden Fritzboxen eingerichtet. Auf Seite 1 ist UDP port 1025 in der Fritzbox auf mein PI (Server) geforwarded. Zu gut deutsch: Ich habe einfach nix vergessen, soweit ich das weiß. Ich kann die erfolgreichen Pings immer nur vom PI absetzen, aber nicht von den dahinterliegenden Geräten wie z.b. mein Handy/PC.

Dementsprechend müsste man denken, dass der PI die Routen nicht forwarded, aber das Forwarding ist ja im Linux Kernel aktiviert und in der FB sind dafür die statischen Routen gesetzt.

Ich glaube ich übersehe gerade etwas ganz wichtiges... nur was !?!

[dufty2]

IP_FORWARDING heisst nicht, dass die Routen ge-forwardet werden, sondern lediglich die Pakete.

Eine Beispiel-Config für Deine site-to-site wäre z. B. http://wiki.openvpn.eu/index.php/Config ... _ClientNET

[Lolek]

Hallo "kleinerspast",

Site to Site VPN läuft und ich kann pingen wie folgt:
Site 1 PI zu Site 2 FritzBox
Site 1 PI zu Site 2 PI
also kann ich von Seite 1 die beiden angeschlossenen Geräte auf Seite 2 erreichen (super!)
Site 2 PI nach Site 1 PI
Site 2 PI auf Site 1 FritzBox geht aber nicht! Auch geht der Ping auf kein anderes angeschlossenes Gerät auf Site 1 durch von Site 2 (Firewall temporär auf beiden PIs deaktiviert)

Du mußt auf den beiden Fritzboxen eine route hinzufügen. Wenn Du von Site 2 PI auf Site 1 FritzBox pingst, dann steht im header des echo request Paketes als Absenderadresse die IP von Site 2 PI.

Nun denkt sich die Fritzbox Aaaah; hier will jemand aus einem anderem Netz wissen ob ich da bin. Weil der Request aus einem anderem Netz kommt muß ich den echo replay über mein default Gateway senden. Das ist aber im Internet (Provider).

Du mußt der Fritzbox sagen, daß Site 1 PI den Weg in das Netz Site 2 kennt. Also eine Route ins Netz Site 2 mit Site 1 PI als Gateway in der Fritzbox hinterlegen. Das gleiche mußt du auf Site 1 FritzBox auch tun.