OpenVPN - UDP - tap - scp/ftp stalled

[brockz]

Hallo mal wieder

habe folgendes schwerwiegendes Problem mit openvpn und hoffe ihr könnt mir helfen
Also:

Folgende Netzwerksituation stellt sich bei mir dar:

vpn server
<root-server>tap0>--------<-<dsl-router>->-<tap0<firewall>--<heimnetz>

ich habe so den root server(debian) dicht gemacht das man auf die kiste blos noch per vpn tunnel draufkommt von meinem heimnetz aus. Die Config läuft sehr gut ssh funtzt problemlos! Ein problem das ich aber weiterhin habe ist das aus dem heimnetz auf den root server sowie vom root server ins heimnetzt nichts scpen kann. Bekomme bei scp nach 192 kb stalled und fahrt dann auf 0kb runter. Egal ob von root auf heim oder heim auf root. Jetzt ist die Frage liegt hier ein iptables problem oder vpn problem vor ? Oder ist der Dsl Router schuld der eine ppoe aufmacht ? Wobei ich vpn Problem normal auschliesse (obwohl viele das problem haben mit udp in openvpn ,ich will aber nicht auf tcp umsteigen weil es nicht so günstig ist da es verbindungsorientiert arbeitet ) . Habe sehr viel mit der openvpn MTU und mssfix herumgespielt alles ohne erfolg (füge die configs unten an) Was mir dann noch zusätzlich aufgefallen ist das wenn ich vom root server per ncftp auf meinen bakcup ftp gehe und was getten will bekomme ich auch ein stalled ? Ist das doch eher ein iptables Prob ? Muss ich auf dem externen Interface doch ftp port und High Ports 1024>aufmachen ? Dachte das durch den openvpn verbindung die auf einem tieferm layer sitzt alles durchschleusen kann , oder habe ich hier einen denkfehler.

Vielleicht weis jemand Ra und kann mir helfen.

Hier VPN Confs:

Client

Code: Alles auswählen

client
float
dev tap
tun-mtu 1500
mssfix
proto udp
remote der.server.de1194
tls-remote strato-root
ca certs/ca.crt
cert certs/client.crt
key certs/client.key
auth SHA1
nobind
comp-lzo
persist-key
persist-tun
verb 2
log openvpn.log
pull

Server:

Code: Alles auswählen

port 1194
proto udp
mode server
tls-server
dev tap
ifconfig 10.0.0.1 255.255.255.0
ifconfig-pool 10.0.0.2 10.0.0.5
tun-mtu 1500
mssfix
ca certs/ca.crt
cert certs/servert.crt
key certs/server.key
dh certs/dh1024.pem
ifconfig-pool-persist ipp.txt
keepalive 10 120
auth SHA1
comp-lzo
user nobody
group nogroup.
persist-key
persist-tun
verb 3
log openvpn.log
up ./up

Das up script das aufgerufen wird setzt nur route für heimnetzwerk über tunnel

[roland]

ssh über den openvpn-Tunnel ist doppelt verschlüsselt, das bringt nichts, macht aber auch nichts. Und extra ports brauchst Du nicht aufzumachen, das ist ja der Witz von openvpn (und allen anderen VPNs), das die Pakete verschlüsselt über den Tunnel gehen und nicht daran vorbei.

Wie sehen die Routen aus? Leitest Du alle Pakete um oder nur eine bestimmte Route? Versuche mal ein redirect-gateway und route 0.0.0.0 0.0.0.0 in der client-config.

Mache mal folgendes: Lasse ein ping vom Client zum Server laufen und öffne dann den ftp-Kanal. Bricht das Ping ein?

roland

[brockz]

mir ist schon klar das ich auch über vpn telenten könnte doch leider will ich den root server auch vom internen netzt schützen und habe deshal im sshd PAM no gesetzt und dann publixkey verfahren. Das wirklich nur ich drauf kann . Ich arbeite halt generell im netzwerk mit ssh.

jetzt zu der ping sache

also wenn ich den server pinge und dannnebenher einen scp mache lauft der Ping weiter! Scp kackt ab !-stalled-
ftp das gleiche

[roland]

Ganz verstehe ich Dein Setup noch nicht. Du hast einen root-Server irgendwo stehen. Und Du hast dort nur einen einzigen Port offen, für OpenVPN. Richtig?

Was ist mit den Routen? Wie sind die auf dem Client gesetzt, nachdem der Tunnel aufgebaut ist?

roland

[brockz]

richtig ich lasse dann von der kiste tap0 als internes interface laufen und sperre alles auf eth0 auf dem root server. Baue eine Verbindung von meiner heimfirewall auf und greife dann nür über den vpn tunel auf den root server zu. ssh usw.

Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
10.0.0.0 0.0.0.0 255.255.255.0 U 0 0 0 tap0
192.168.2.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
192.168.0.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1
169.254.0.0 0.0.0.0 255.255.0.0 U 0 0 0 eth0
127.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 lo
0.0.0.0 192.168.2.2 0.0.0.0 UG 0 0 0 eth0

Edit by Snoopy:
Tags für die Leserlichkeit eingefügt.

[roland]

Gibt es einen Grund, warum Du bridging (tap) und nicht routing (tun) verwendest?

Hast Du die obigen Einträge (gateway, route) in die Client-Config ausprobiert?

roland