OpenVpn & update der resolv.conf

[roli]

Hi,

OpenVPN bringt mich noch um den Verstand, aber wahrscheinlich sehe ich den Wald vor lauter Baeumen nicht.
Auf meinem Server pushe ich einen DNS. Mit Windows Clients klapt's wunderbar. Fuer Linux muss man ja was mehr machen, also die Konfig /root/my.ovpn angepasst:

Code: Alles auswählen

### Anfang: /etc/openvpn/xxx-RW.conf ###
# VPN-Client mit Zertifikat (RoadWarrior)

# client - Client-Modus
client
float

# dev - Schnittstelle
dev tun

# proto - Protokollfamilie
proto tcp

# erweiterte Konfiguration fr die Schnittstelle
tun-mtu 1500
mssfix
#dev-node VPN-Tap
dev tun

# remote - Gegenstelle (Server:Port)
remote XYZ.de 1194

# Server-Identifikation ber CN
tls-remote cqcsuvpn

# "Pfad" fr Zertifikate
ca "/root/.vpn/cert/vpn-ca.pem"
cert "/root/.vpn/cert/my.pem"
key "/root/.vpn/cert/vpnmykey.pem"

# auth - Die Authentifizierungsmethode
auth SHA1

# cipher - Die Verschlsselungsmethode
cipher AES-256-CBC

# Kompression
comp-lzo

# Verbindungseinstellungen
nobind
persist-key
persist-tun

# Protokollierung
verb 3

# DNS Einträge mit den vom VPN-Server gepushten einträgen aktualisieren
script-security 2
up /etc/openvpn/update-resolv-conf
down /etc/openvpn/update-resolv-conf

Ohne die Zeile "script-security 2" bekomme ich:

Code: Alles auswählen

/usr/sbin/openvpn --config /root/my.ovpn &

...

Fri Mar 20 11:29:01 2009 PUSH: Received control message: 'PUSH_REPLY,route 10.1.2.0 255.255.255.0,route 10.1.1.0 255.255.255.0,dhcp-option DNS 10.1.1.2,route 10.1.11.1,topology net30,ping 10,ping-restart 120,ifconfig 10.1.11.70 10.1.11.69'
Fri Mar 20 11:29:01 2009 OPTIONS IMPORT: timers and/or timeouts modified
Fri Mar 20 11:29:01 2009 OPTIONS IMPORT: --ifconfig/up options modified
Fri Mar 20 11:29:01 2009 OPTIONS IMPORT: route options modified
Fri Mar 20 11:29:01 2009 OPTIONS IMPORT: --ip-win32 and/or --dhcp-option options modified
Fri Mar 20 11:29:01 2009 ROUTE default_gateway=192.168.1.1
Fri Mar 20 11:29:01 2009 TUN/TAP device tun0 opened
Fri Mar 20 11:29:01 2009 TUN/TAP TX queue length set to 100
Fri Mar 20 11:29:01 2009 /sbin/ifconfig tun0 10.1.11.70 pointopoint 10.1.11.69 mtu 1500
Fri Mar 20 11:29:01 2009 /etc/openvpn/update-resolv-conf tun0 1500 1560 10.1.11.70 10.1.11.69 init
Fri Mar 20 11:29:01 2009 openvpn_execve: external program may not be called due to setting of --script-security level
Fri Mar 20 11:29:01 2009 script failed: external program fork failed
Fri Mar 20 11:29:01 2009 Exiting

Wenn ich sie reinnehme kommt:

Code: Alles auswählen

Fri Mar 20 11:30:56 2009 PUSH: Received control message: 'PUSH_REPLY,route 10.1.2.0 255.255.255.0,route 10.1.1.0 255.255.255.0,dhcp-option DNS 10.1.1.2,route 10.1.11.1,topology net30,ping 10,ping-restart 120,ifconfig 10.1.11.70 10.1.11.69'
Fri Mar 20 11:30:56 2009 OPTIONS IMPORT: timers and/or timeouts modified
Fri Mar 20 11:30:56 2009 OPTIONS IMPORT: --ifconfig/up options modified
Fri Mar 20 11:30:56 2009 OPTIONS IMPORT: route options modified
Fri Mar 20 11:30:56 2009 OPTIONS IMPORT: --ip-win32 and/or --dhcp-option options modified
Fri Mar 20 11:30:56 2009 ROUTE default_gateway=192.168.1.1
Fri Mar 20 11:30:56 2009 TUN/TAP device tun0 opened
Fri Mar 20 11:30:56 2009 TUN/TAP TX queue length set to 100
Fri Mar 20 11:30:56 2009 /sbin/ifconfig tun0 10.1.11.70 pointopoint 10.1.11.69 mtu 1500
Fri Mar 20 11:30:56 2009 /etc/openvpn/update-resolv-conf tun0 1500 1560 10.1.11.70 10.1.11.69 init
Fri Mar 20 11:30:56 2009 /sbin/route add -net 10.1.2.0 netmask 255.255.255.0 gw 10.1.11.69
Fri Mar 20 11:30:56 2009 /sbin/route add -net 10.1.1.0 netmask 255.255.255.0 gw 10.1.11.69
Fri Mar 20 11:30:56 2009 /sbin/route add -net 10.1.11.1 netmask 255.255.255.255 gw 10.1.11.69
Fri Mar 20 11:30:56 2009 Initialization Sequence Completed

Nur ist die resolv.conf nach wie vor die selbe, also nix is mit Namensaufloesung!

[chroiss]

wenns nur um einen dns geht, warum benutzt du nicht einfach :

Code: Alles auswählen

push "dhcp-option DNS 123.123.123.123"

Funktioniert bei mir einwandfrei - sowohl unter linux, als auch windows.

gruss chroiss

[roli]

Hi,

der Push ist in der Server-Conf drinnen. Letztenendes sieht man in den beiden Outputs des Verbindungsaufbaus ja auch "dhcp-option DNS 10.1.1.2", sprich von Server kommt's, aber der Linux Client nimmt's nicht an. Auf Windows ist's kein Problem. Das ist auch eigentlich das erste mal, das was unter Windows besser funktioniert wie unter Linux
Koenntest du mal in deine Linux-Client Konfig Datei schauen, oder sie halt hier posten?

[chroiss]

logo , falls es hilft ....
ich benutze tap nicht tun. mit tun scheinen mehrere leute probleme zu haben - komisch.

Code: Alles auswählen

client
float
dev tap

#MTU
tun-mtu 1500
#fragment 1300
mssfix

#tcp oder udp
proto udp

#Server IP
remote 123.123.123.123 1194

#force authentication
tls-remote server

ca /etc/openvpn/certs/vpn-ca.pem
cert /etc/openvpn/certs/eike_cert.pem
key /etc/openvpn/certs/eike_key.pem

auth SHA1
#cipher aes-256-cbc
nobind
comp-lzo
persist-key
persist-tun
verb 3

[roli]

Hi,

der einzigste Unterschied scheint ja auf den ersten Blick wirklich Tun - Tap zu sein, ich werd's morgen checken.

Danke

[roli]

Hi,

wen ich tap anstelle von tun nehme wird der Tunnel nicht aufgebaut ...

[roli]

Hi,

die Namensaufloesung funktioniert jetzt! Leider ist mir selber nicht klar warum jetzt, und vorher nicht. Wenn ich's finde poste ich's hier noch.