openvpn bei verbindung kein ping durch tunnel möglich!!

[erti]

Hallo !

Ich habe versucht openvpn mit einer ethernet bridge zu installieren, irgendetwas dürfte aber noch falsch sein.

für den aufbau der bridge habe ich folgendes Script verwendet:

Code: Alles auswählen

#!/bin/bash

#################################
# Set up Ethernet bridge on Linux
# Requires: bridge-utils
#################################

# Define Bridge Interface
br="br0"

# Define list of TAP interfaces to be bridged,
# for example tap="tap0 tap1 tap2".
tap="tap0 tap1"

# Define physical ethernet interface to be bridged
# with TAP interface(s) above.
eth="eth0"
eth_ip="85.xx.xx.68"
eth_netmask="255.255.255.192"
eth_broadcast="85.xx.xx.127"

for t in $tap; do
    openvpn --mktun --dev $t
done

brctl addbr $br
brctl addif $br $eth

for t in $tap; do
    brctl addif $br $t
done

for t in $tap; do
    ifconfig $t 0.0.0.0 promisc up
done

ifconfig $eth 0.0.0.0 promisc up

ifconfig $br $eth_ip netmask $eth_netmask broadcast $eth_broadcast

route add default gw 85.236.61.65

ifconfig gibt folgendes aus:

vpn@root:~# ifconfig
br0 Protokoll:Ethernet Hardware Adresse 00:21:9B:FB:4E:84
inet Adresse:85.xx.xx.68 Bcast:85.xx.xx.127 Maske:255.255.255.192
inet6 Adresse: fe80::221:9bff:fefb:4e84/64 Gültigkeitsbereich:Verbindung
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:10240 errors:0 dropped:0 overruns:0 frame:0
TX packets:11833 errors:0 dropped:0 overruns:0 carrier:0
Kollisionen:0 Sendewarteschlangenlänge:0
RX bytes:878549 (857.9 KiB) TX bytes:3447443 (3.2 MiB)

eth0 Protokoll:Ethernet Hardware Adresse 00:21:9B:FB:4E:84
inet6 Adresse: fe80::221:9bff:fefb:4e84/64 Gültigkeitsbereich:Verbindung
UP BROADCAST RUNNING PROMISC MULTICAST MTU:1500 Metric:1
RX packets:11721 errors:0 dropped:0 overruns:0 frame:0
TX packets:13351 errors:0 dropped:0 overruns:0 carrier:0
Kollisionen:0 Sendewarteschlangenlänge:1000
RX bytes:1242775 (1.1 MiB) TX bytes:4002893 (3.8 MiB)
Interrupt:169

lo Protokoll:Lokale Schleife
inet Adresse:127.0.0.1 Maske:255.0.0.0
inet6 Adresse: ::1/128 Gültigkeitsbereich:Maschine
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:12 errors:0 dropped:0 overruns:0 frame:0
TX packets:12 errors:0 dropped:0 overruns:0 carrier:0
Kollisionen:0 Sendewarteschlangenlänge:0
RX bytes:1746 (1.7 KiB) TX bytes:1746 (1.7 KiB)

tap0 Protokoll:Ethernet Hardware Adresse AA:BA:36:AF:B0:D9
inet6 Adresse: fe80::a8ba:36ff:feaf:b0d9/64 Gültigkeitsbereich:Verbindung
UP BROADCAST RUNNING PROMISC MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:5400 errors:0 dropped:0 overruns:0 carrier:0
Kollisionen:0 Sendewarteschlangenlänge:100
RX bytes:0 (0.0 b) TX bytes:601344 (587.2 KiB)

tap1 Protokoll:Ethernet Hardware Adresse AE:47:32:22:83:4F
inet6 Adresse: fe80::ac47:32ff:fe22:834f/64 Gültigkeitsbereich:Verbindung
UP BROADCAST RUNNING PROMISC MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:5401 overruns:0 carrier:0
Kollisionen:0 Sendewarteschlangenlänge:0
RX bytes:0 (0.0 b) TX bytes:0 (0.0 b)

venet0 Protokoll:UNSPEC Hardware Adresse 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
UP BROADCAST PUNKTZUPUNKT RUNNING NOARP MTU:1500 Metric:1
RX packets:4374 errors:0 dropped:0 overruns:0 frame:0
TX packets:4045 errors:0 dropped:0 overruns:0 carrier:0
Kollisionen:0 Sendewarteschlangenlänge:0
RX bytes:2171091 (2.0 MiB) TX bytes:315490 (308.0 KiB)

danach starte ich openvpn Server mit folgender config

Code: Alles auswählen

server-bridge 85.xx.xx.65 255.255.255.192 85.xx.xx.120 85.xx.xx.126
port 1194 # Auf Port 1194 horchen
proto udp # Protokoll UDP, fuer TCP: proto tcp-server
dev tap0 # evtl. tun0 unter Linux
ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/server01.crt
key /etc/openvpn/keys/server01.key
dh /etc/openvpn/keys/dh1024.pem

client-to-client # Daten von VPN-Client zu VPN-Client wird direkt in OpenVPN weitergeleitet

push "route 85.xx.xx.64 255.255.255.192" # Den Client über das Server-LAN informieren (wichtig!)

ping-timer-rem
keepalive 20 3600 # Alle 20 Sekunden pingen. 3 Minuten Timeout fuer CLientverbindung

comp-lzo

#persist-key
#persist-tun

verb 3 # Zum Debugging erhöhen
mute 50 # Zum Debugging auskommentieren

#push "redirect-gateway"
#push "dhcp-option DEFAULT GATEWAY 85.xx.xx.65"
#push "dhcp-option DNS 62.xx.xx.126"
#push "dhcp-option DOMAIN xxx.co.uk"

der client wird gestartet mit folgender config

Code: Alles auswählen

client # entspricht den Direktiven: tls-client und pull

remote 85.xx.xx.68 1194 # Hostname/externe IP des Servers/Routers, Port entsprechend anpassen
proto udp # Protokoll UDP, für TCP: proto tcp-client
dev tap # evtl. tun0 unter Linux

# Hier die Pfade anpassen um auf die erstellten Keys zu verweisen
ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/client02.crt
key /etc/openvpn/keys/client02.key
ns-cert-type server # Eine Sicherheitsmaßnahme

#tls-client

comp-lzo

verb 3 # Zum Debugging erhöhen
#mute 50 # Zum Debugging auskommentieren

root@client:/etc/openvpn#

der client bekommt die IP 85.xx.xx.120 in tap0

hier der auszug der ifconfig vom client

router.ge-network.ltd.uk:/etc/openvpn# ifconfig
eth1 Protokoll:Ethernet Hardware Adresse 00:0E:2E:56:DC:68
inet Adresse:213.xx.xx.4 Bcast:213.xx.xx.127 Maske:255.255.255.128
inet6 Adresse: fe80::20e:2eff:fe56:dc68/64 Gültigkeitsbereich:Verbindung
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:2693857 errors:0 dropped:0 overruns:0 frame:0
TX packets:1808891 errors:0 dropped:0 overruns:0 carrier:0
Kollisionen:0 Sendewarteschlangenlänge:1000
RX bytes:1245617196 (1.1 GiB) TX bytes:441328019 (420.8 MiB)
Interrupt:5 Basisadresse:0xc400

eth2 Protokoll:Ethernet Hardware Adresse 00:0A:E6:21:86:6F
inet Adresse:192.168.2.254 Bcast:192.168.2.255 Maske:255.255.255.0
inet6 Adresse: fe80::20a:e6ff:fe21:866f/64 Gültigkeitsbereich:Verbindung
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:3539325 errors:0 dropped:0 overruns:0 frame:0
TX packets:3908899 errors:0 dropped:0 overruns:0 carrier:0
Kollisionen:363658 Sendewarteschlangenlänge:1000
RX bytes:1030712858 (982.9 MiB) TX bytes:2588138166 (2.4 GiB)
Interrupt:5 Basisadresse:0xc800

lo Protokoll:Lokale Schleife
inet Adresse:127.0.0.1 Maske:255.0.0.0
inet6 Adresse: ::1/128 Gültigkeitsbereich:Maschine
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:236813 errors:0 dropped:0 overruns:0 frame:0
TX packets:236813 errors:0 dropped:0 overruns:0 carrier:0
Kollisionen:0 Sendewarteschlangenlänge:0
RX bytes:22340763 (21.3 MiB) TX bytes:22340763 (21.3 MiB)

tap0 Protokoll:Ethernet Hardware Adresse DA:AC:AC:93:0D:17
inet Adresse:85.xx.xx.120 Bcast:85.xx.xx.127 Maske:255.255.255.192
inet6 Adresse: fe80::d8ac:acff:fe93:d17/64 Gültigkeitsbereich:Verbindung
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:870 errors:0 dropped:0 overruns:0 carrier:0
Kollisionen:0 Sendewarteschlangenlänge:100
RX bytes:0 (0.0 b) TX bytes:36756 (35.8 KiB)


der client kann jedoch nicht mehr den Server pingen und vom Internet ist auch der client nicht direkt zu erreichen das restliche Internet ist noch erreichbar

wenn ich jedoch an der server config die zeilen

#push "redirect-gateway"
#push "dhcp-option DEFAULT GATEWAY 85.xx.xx.65"
#push "dhcp-option DNS 62.xx.xx.126"
#push "dhcp-option DOMAIN xxx.co.uk"

einschalte ist am client nichts mehr zu erreichen (pingbar) weder der server noch das Internet bis die openvpn verbindung wieder getrennt wird !

was mach ich da falsch ???
Bitte um Hilfe !!


mfg.erti

[erti]

Hallo !

schätze das es irgendwie am fehlenden routing liegt !

wenn ich am server der hat die IP 85.xx.xx.68 einen ping ausführe bekomme ich folgendes:

Code: Alles auswählen

root@vpn:/etc/openvpn# ping 85.xx.xx.123
PING 85.xx.xx.123 (85.xx.xx.123) 56(84) bytes of data.
From 85.xx.xx.68 icmp_seq=2 Destination Host Unreachable
From 85.xx.xx.68 icmp_seq=3 Destination Host Unreachable
From 85.xx.xx.68 icmp_seq=4 Destination Host Unreachable

wenn ich am client der hat die IP 85.xx.xx.123 einen ping ausführe bekomme ich folgendes:

Code: Alles auswählen

root@vpn:/etc/openvpn# ping 85.xx.xx.68
PING 85.xx.xx.68 (85.xx.xx.68) 56(84) bytes of data.
From 85.xx.xx.123 icmp_seq=2 Destination Host Unreachable
From 85.xx.xx.123 icmp_seq=3 Destination Host Unreachable
From 85.xx.xx.123 icmp_seq=4 Destination Host Unreachable

Server [85.xx.xx.68]

Code: Alles auswählen

Kernel IP Routentabelle
Ziel            Router          Genmask         Flags Metric Ref    Use Iface
85.xx.x.64    *               255.255.255.192 U     0      0        0 br0
default         85.xx.x.65  0.0.0.0              UG    0      0        0 br0

Client [85.xx.xx.123]

Code: Alles auswählen

Kernel IP Routentabelle
Ziel            Router          Genmask         Flags Metric Ref    Use Iface
85.xx.x.64    *               255.255.255.192 U     0      0        0 tap0
192.168.2.0  *               255.255.255.0    U      0      0        0 eth0
default       192.168.2.254  0.0.0.0           UG    0      0        0 eth0

der Router hat die IP: 85.xx.xx.65

ins Inet vom client aus komme ich ohne probleme
ausser ich aktiviere am server push "redirect-gateway def1" dann kann ich vom client aus den Server pingen aber komme nicht mehr ins Inet raus !

die Bridge gibt folgendes aus:

Code: Alles auswählen

root@vpn:/etc/openvpn# brctl show br0
bridge name     bridge id               STP enabled     interfaces
br0             8000.00219bfb4e84       no              eth0
                                                        tap0
                                                        tap1

mfg.erti

[erti]

Hallo !

Schade das mir hier anscheinend keiner helfen kann obwohl andere openvpn postings weiter diskutiert werden !

oder mach ich irgend etwas so gravierendes falsch das sich jeder denkt der soll selber draufkommen ???

mfg.erti

[DynaBlaster]

http://openvpn.net/index.php/documentat ... dging.html

Da läuft nicht zufällig ein iptables-Script?

Das die VPN-Verbindung bei den "push redirect-gateway"-Einträgen zusammenbricht ist jedenfalls logisch, weil du in dem Fall deinem VPN-Client seine Standard-Route über 192.168.2.254 "wegnimmst" und der Client dann den VPN-Server mangels Route ins Internet nicht mehr erreichen kann.

Lass die ganzen zusätzlichen Routing-Einträge für das LAN hinter dem OpenVPN-Server erstmal weg. Zuerst solltest du eine Config basteln, bei der ein Ping vom VPN-Client zum VPN-Server und umgekehrt klappt.