**SOLVED** OpenVPN tunnelt/routet nix!

DiscoBoy · Beitrag von **DiscoBoy** » 28.05.2007 02:32:58

Habe mir inzwischen jeweils OpenVPN auf 2 Severn (die miteinander verbunden werden sollen) installiert. Server 0, und Server1 sollen aber nicht nur miteinander verbunden werden, sondern auch noch für weitere lokale WLAN Clients VPN Zugang bieten sollen. Auf beiden Seiten wurde OpenVPN daher als Server konfiguriert. Ich wollte zuerst die Verbindung zwischen den beiden Servern hinbekommen, aber das hakt schon. Eine Verbindung wird aufgebaut, siehe hier:

Mon May 28 02:22:35 2007 IMPORTANT: OpenVPN's default port number is now 1194, based on an official port number assignment by IANA. OpenVPN 2.0-beta16 and earlier used 5000 as the default port.
Mon May 28 02:22:35 2007 LZO compression initialized
Mon May 28 02:22:35 2007 Control Channel MTU parms [ L:1554 D:138 EF:38 EB:0 ET:0 EL:0 ]
Mon May 28 02:22:35 2007 Data Channel MTU parms [ L:1554 D:1450 EF:54 EB:135 ET:0 EL:0 AF:3/1 ]
Mon May 28 02:22:35 2007 Local Options hash (VER=V4): '4d1bd89e'
Mon May 28 02:22:35 2007 Expected Remote Options hash (VER=V4): '4e0f8044'
Mon May 28 02:22:35 2007 UDPv4 link local: [undef]
Mon May 28 02:22:35 2007 UDPv4 link remote: 192.168.40.3:443
Mon May 28 02:22:35 2007 TLS: Initial packet from 192.168.40.3:443, sid=b474102d 1aed6d18
Mon May 28 02:22:36 2007 VERIFY OK: depth=1, /C=XX/ST=Some-State/L=XXXXX/O=XXXXXXXXXX/OU=VPN/CN=VPN
Mon May 28 02:22:36 2007 VERIFY X509NAME OK: /C=XX/ST=Some-State/L=XXXX/O=XXXX/OU=Administration/CN=server1
Mon May 28 02:22:36 2007 VERIFY OK: depth=0, /C=XX/ST=Some-State/L=XXXX/O=XXXX/OU=Administration/CN=server1
Mon May 28 02:22:36 2007 Data Channel Encrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
Mon May 28 02:22:36 2007 Data Channel Encrypt: Using 128 bit message hash 'MD5' for HMAC authentication
Mon May 28 02:22:36 2007 Data Channel Decrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
Mon May 28 02:22:36 2007 Data Channel Decrypt: Using 128 bit message hash 'MD5' for HMAC authentication
Mon May 28 02:22:36 2007 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 2048 bit RSA
Mon May 28 02:22:36 2007 [slave1] Peer Connection Initiated with 192.168.40.3:443
Mon May 28 02:22:37 2007 SENT CONTROL [server1]: 'PUSH_REQUEST' (status=1)
Mon May 28 02:22:37 2007 PUSH: Received control message: 'PUSH_REPLY,route 192.168.11.0 255.255.255.0,ping 10,ping-restart 120,ifconfig 192.168.50.10 192.168.50.9'
Mon May 28 02:22:37 2007 OPTIONS IMPORT: timers and/or timeouts modified
Mon May 28 02:22:37 2007 OPTIONS IMPORT: --ifconfig/up options modified
Mon May 28 02:22:37 2007 OPTIONS IMPORT: route options modified
Mon May 28 02:22:37 2007 TUN/TAP device tun1 opened
Mon May 28 02:22:37 2007 /sbin/ifconfig tun1 192.168.50.10 pointopoint 192.168.50.9 mtu 1500
Mon May 28 02:22:37 2007 /sbin/route add -net 192.168.11.0 netmask 255.255.255.0 gw 192.168.50.9
Mon May 28 02:22:37 2007 Initialization Sequence Completed

Aber zwischen den beiden Servern funktioniert kein Verkehr: Es erscheint bisher auch nur ein tun device auf Seite des Clients:

tun1 Protokoll:UNSPEC Hardware Adresse 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
inet Adresse:192.168.50.10 P-z-P:192.168.50.9 Maske:255.255.255.255
UP PUNKTZUPUNKT RUNNING NOARP MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
Kollisionen:0 SendewarteschlangenlÃ¤nge:100
RX bytes:0 (0.0 b) TX bytes:0 (0.0 b)

192.168.50.10 (lokal ist pingbar), P-z-P:192.168.50.9 aber nicht, obwohl das Routing passt und auch keine Firewall dazwischen funkt. Komm echt nicht mehr weiter, und frage mich, warum auf Seiten des Client nicht auch ein tun-device erscheint (nach Verbindungsaufabau des eines Servers), auch mit den selben IP-Adressen, also:

inet Adresse:192.168.50.9 P-z-P:192.168.50.10 Maske:255.255.255.255

Zumindest kenn ich das so noch von Poptop! Ist das normal, dass es dass bei OpenVPN nicht gibt, oder liegt daran evtl. der Fehler? Ich verstehe auch den Unterschied zwischen

ifconfig 192.168.50.1 192.168.50.2
ifconfig-pool 192.168.50.10 192.168.50.200

nicht ganz! ...ifconfig 192.168.50.1 192.168.50.2 erstellt mir lokal auch ohne Verbindung so ein tun-device, über das aber genausoweing datenfliessen. Meine Configs schauen so aus:

server.conf
# General
port 443
proto udp
mode server 192.168.50.0 255.255.255.0
tls-server
dev tun0
ifconfig 192.168.50.1 192.168.50.2
ifconfig-pool 192.168.50.10 192.168.50.200
ifconfig-pool-persist /etc/openvpn/ipp.txt

# Authentification
ca /etc/ssl/certs/vpn.pem
cert /etc/ssl/certs/server.pem
key /etc/ssl/private/server.key
auth MD5
client-cert-not-required
username-as-common-name
plugin /usr/lib/openvpn/openvpn-auth-pam.so login

# Connection
#tun-mtu 1492
#fragment 1300
mssfix
keepalive 10 120
comp-lzo
connect-freq 1 10
persist-key
persist-tun

# User
user nobody
group nogroup

# Encryption
dh /etc/ssl/certs/dh1024.pem
cipher AES-256-CBC

#Routes
route 192.168.10.0 255.255.255.0
push "route 192.168.11.0 255.255.255.0"

#Logging
verb 0

die client.conf auf der anderen seite:

# General
client
dev tun
proto udp

# Connection
tls-remote server0
remote 192.168.40.2 443
#tun-mtu 1492
#fragment 1300
mssfix
nobind
comp-lzo
persist-key
persist-tun
explicit-exit-notify 1

# Authentification
ca /etc/openvpn/certs/vpn_server0.pem
auth-user-pass
auth MD5

# Encryption
cipher AES-256-CBC

#Logging
verb 6

DiscoBoy · Beitrag von **DiscoBoy** » 30.05.2007 19:00:53

Using the p2p peer mode of OpenVPN with a shared secret helped to solve my problem with my both servers. now they connect 2 subnets and routing between the 2 tun0 devices!

debianforum.de

SOLVED OpenVPN tunnelt/routet nix!

SOLVED OpenVPN tunnelt/routet nix!