Hallo liebe Debian-Freunde,
wie ihr ober sicherlich gelesen habt, habe ich ein Problem mit meinem kleinen VPN Server. Kurz: Ich bekomme ihn zum laufen, aber ich schaffe es nicht das sich ein Client (in diesem Falle mein Laptop) darauf verbinden kann. Ich poste euch ab hier einfach alles was ich denke was nützlich sein könnte, währe schön wenn jemand einen Lösungsvorschlag hat.
Server-Config
pastebin.php?mode=view&s=37998
Client-Config
pastebin.php?mode=view&s=37999
Server-Log
pastebin.php?mode=view&s=38000
Client-Log
pastebin.php?mode=view&s=38001
Nun hie noch einige Daten zum Netzwerk:
Router: 192.168.2.1
VPN: 192.168.2.100
Die Clientes sollen nach Möglichkeit dann den Adressbereich ab 192.168.2.101 bekommen.
Ich hoffe ihr könnt mir helfen.
Danke schonmal im Vorraus!
--Jemx/Tobi
OpenVPN Probleme mit TAP
Re: OpenVPN Probleme mit TAP
Code: Alles auswählen
tobi@Ideabrett:/etc/openvpn$ openvpn client.conf
…
Mon Sep 8 16:38:17 2014 ERROR: Cannot open TUN/TAP dev OpenVPN: No such file or directory (errno=2)Unix is user-friendly; it's just picky about who its friends are.
Re: OpenVPN Probleme mit TAP
Aso, natürlich 
So habe nun etwas weiter probiert, es wird sich erstmal ordentlich Verbunden zum Server. Nun mein Problem: Nach kurzer Zeit schmeißt der Server die Fehlermeldung: read UDPv4 [EHOSTUNREACH]: No route to host (code=113)
Hier mal der Log:
Jetzt noch alles was ich senke was nützlich währe:
ifconfig
Route
Ich hoffe ihr könnt mir helfen.
Danke im Vorraus!
--Jemx/Tobi
So habe nun etwas weiter probiert, es wird sich erstmal ordentlich Verbunden zum Server. Nun mein Problem: Nach kurzer Zeit schmeißt der Server die Fehlermeldung: read UDPv4 [EHOSTUNREACH]: No route to host (code=113)
Hier mal der Log:
Code: Alles auswählen
root@vpn:/etc/openvpn# openvpn server.conf
Tue Sep 9 19:11:28 2014 OpenVPN 2.2.1 x86_64-linux-gnu [SSL] [LZO2] [EPOLL] [PKCS11] [eurephia] [MH] [PF_INET6] [IPv6 payload 20110424-2 (2.2RC2)] built on Jun 18 2013
Tue Sep 9 19:11:28 2014 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Tue Sep 9 19:11:28 2014 Control Channel Authentication: using '/etc/openvpn/easy-rsa2/keys/ta.key' as a OpenVPN static key file
Tue Sep 9 19:11:28 2014 TUN/TAP device tap1 opened
Tue Sep 9 19:11:28 2014 UDPv4 link local (bound): [AF_INET]192.168.2.100:31183
Tue Sep 9 19:11:28 2014 UDPv4 link remote: [undef]
Tue Sep 9 19:11:28 2014 Initialization Sequence Completed
Tue Sep 9 19:16:06 2014 192.168.2.40:31183 Re-using SSL/TLS context
Tue Sep 9 19:16:06 2014 192.168.2.40:31183 [client1] Peer Connection Initiated with [AF_INET]192.168.2.40:31183
Tue Sep 9 19:16:06 2014 client1/192.168.2.40:31183 MULTI: no dynamic or static remote --ifconfig address is available for client1/192.168.2.40:31183
Tue Sep 9 19:16:08 2014 client1/192.168.2.40:31183 send_push_reply(): safe_cap=960
Tue Sep 9 19:16:18 2014 read UDPv4 [EHOSTUNREACH]: No route to host (code=113)
Tue Sep 9 19:16:27 2014 read UDPv4 [EHOSTUNREACH]: No route to host (code=113)
Tue Sep 9 19:16:37 2014 read UDPv4 [EHOSTUNREACH]: No route to host (code=113)
Tue Sep 9 19:16:43 2014 read UDPv4 [EHOSTUNREACH]: No route to host (code=113)
Tue Sep 9 19:16:53 2014 read UDPv4 [EHOSTUNREACH]: No route to host (code=113)
Tue Sep 9 19:17:03 2014 read UDPv4 [EHOSTUNREACH]: No route to host (code=113)
^CTue Sep 9 19:17:06 2014 event_wait : Interrupted system call (code=4)
Tue Sep 9 19:17:06 2014 SIGINT[hard,] received, process exitingifconfig
Code: Alles auswählen
root@vpn:/etc/openvpn# ifconfig
br0 Link encap:Ethernet Hardware Adresse 00:21:85:0f:8e:00
inet Adresse:192.168.2.100 Bcast:192.168.2.255 Maske:255.255.255.0
inet6-Adresse: fe80::221:85ff:fe0f:8e00/64 Gültigkeitsbereich:Verbindung
UP BROADCAST RUNNING MULTICAST MTU:1500 Metrik:1
RX packets:14184 errors:0 dropped:0 overruns:0 frame:0
TX packets:5685 errors:0 dropped:0 overruns:0 carrier:0
Kollisionen:0 Sendewarteschlangenlänge:0
RX bytes:1588967 (1.5 MiB) TX bytes:891589 (870.6 KiB)
eth0 Link encap:Ethernet Hardware Adresse 00:21:85:0f:8e:00
inet6-Adresse: fe80::221:85ff:fe0f:8e00/64 Gültigkeitsbereich:Verbindung
UP BROADCAST RUNNING PROMISC MULTICAST MTU:1500 Metrik:1
RX packets:17136 errors:0 dropped:0 overruns:0 frame:0
TX packets:5866 errors:0 dropped:0 overruns:0 carrier:0
Kollisionen:0 Sendewarteschlangenlänge:1000
RX bytes:2697466 (2.5 MiB) TX bytes:910772 (889.4 KiB)
Interrupt:42 Basisadresse:0xe000
lo Link encap:Lokale Schleife
inet Adresse:127.0.0.1 Maske:255.0.0.0
inet6-Adresse: ::1/128 Gültigkeitsbereich:Maschine
UP LOOPBACK RUNNING MTU:16436 Metrik:1
RX packets:82 errors:0 dropped:0 overruns:0 frame:0
TX packets:82 errors:0 dropped:0 overruns:0 carrier:0
Kollisionen:0 Sendewarteschlangenlänge:0
RX bytes:10415 (10.1 KiB) TX bytes:10415 (10.1 KiB)
tap0 Link encap:Ethernet Hardware Adresse 62:ce:13:ec:6d:18
inet6-Adresse: fe80::60ce:13ff:feec:6d18/64 Gültigkeitsbereich:Verbindung
UP BROADCAST PROMISC MULTICAST MTU:1500 Metrik:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:4 overruns:0 carrier:0
Kollisionen:0 Sendewarteschlangenlänge:100
RX bytes:0 (0.0 B) TX bytes:0 (0.0 B)Code: Alles auswählen
root@vpn:/etc/openvpn# route
Kernel-IP-Routentabelle
Ziel Router Genmask Flags Metric Ref Use Iface
default my.router 0.0.0.0 UG 0 0 0 br0
192.168.2.0 * 255.255.255.0 U 0 0 0 br0
Ich hoffe ihr könnt mir helfen.
Danke im Vorraus!
--Jemx/Tobi
Re: OpenVPN Probleme mit TAP
Hi,
das kann so nicht funktionieren, wenn Du für Dein LAN und den VPN-Tunnel das gleiche Netz benutzt (192.168.2.0/24).
Änder das mal z.B. so....
LAN 192.168.2.0/24
VPN 10.10.5.0/24
Weiter...
...wenn Du nicht zwingend das TAP-Device benötigst, solltest Du das TUN-Device nutzen.
Das Routing also dem Bridging vorziehen.
Gruß orcape
das kann so nicht funktionieren, wenn Du für Dein LAN und den VPN-Tunnel das gleiche Netz benutzt (192.168.2.0/24).
Änder das mal z.B. so....
LAN 192.168.2.0/24
VPN 10.10.5.0/24
Weiter...
...wenn Du nicht zwingend das TAP-Device benötigst, solltest Du das TUN-Device nutzen.
Das Routing also dem Bridging vorziehen.
Gruß orcape
Re: OpenVPN Probleme mit TAP
Hey,
Kannst du mir vielleicht genau sagen welche Configeinträge ich änder muss, ich bin dort absoluter Noob...
Ich würde schon gerne Bridging benutzen da ich gerne auch auf meine NAS zugreifen würde.
--Jemx/Tobi
Kannst du mir vielleicht genau sagen welche Configeinträge ich änder muss, ich bin dort absoluter Noob...
Ich würde schon gerne Bridging benutzen da ich gerne auch auf meine NAS zugreifen würde.
--Jemx/Tobi
Re: OpenVPN Probleme mit TAP
Hi,
Hier mal eine config eines pfSense VPN-Servers....
Hier die Client.config eines DD-WRT Routers...
Das ist eine LAN-to-LAN config.
Du kannst das natürlich nicht 1 zu 1 übernehmen, da z.B. die Pfade der einzelnen OS-Typen unterschiedlich sind.
Diese solltest Du auf jeden Fall auf Deine Verhältnisse anpassen.
Gruß orcape
...wieso sollte denn das mit Routing nicht gehen. Ein "push route" Eintrag in der OpenVPN-Server Config sollte da ausreichen.Ich würde schon gerne Bridging benutzen da ich gerne auch auf meine NAS zugreifen würde.
Hier mal eine config eines pfSense VPN-Servers....
Code: Alles auswählen
dev ovpns1
dev-type tun
tun-ipv6
dev-node /dev/tun1
writepid /var/run/openvpn_server1.pid
#user nobody
#group nobody
script-security 3
daemon
keepalive 10 60
ping-timer-rem
persist-tun
persist-key
proto udp
cipher AES-128-CBC
up /usr/local/sbin/ovpn-linkup
down /usr/local/sbin/ovpn-linkdown
local 78.55.176.80 # WAN-IP wird bei der pfSense automatisch eingetragen
engine cryptodev
tls-server
server 10.10.8.0 255.255.255.0 # VPN-Netz
client-config-dir /var/etc/openvpn-csc
ifconfig 10.10.8.1 10.10.8.2 # VPN-Server/Client-IP
tls-verify /var/etc/openvpn/server1.tls-verify.php
lport 1194
management /var/etc/openvpn/server1.sock unix
max-clients 15
push "route 192.168.155.0 255.255.255.0" # Route ins interne LAN
route 192.168.55.0 255.255.255.0 # Route ins remote LAN
ca /var/etc/openvpn/server1.ca # Pfade anpassen
cert /var/etc/openvpn/server1.cert # - " -
key /var/etc/openvpn/server1.key # - " -
dh /etc/dh-parameters.1024 # - " -
crl-verify /var/etc/openvpn/server1.crl-verify
tls-auth /var/etc/openvpn/server1.tls-auth 0
Code: Alles auswählen
ca /tmp/openvpncl/ca.crt
cert /tmp/openvpncl/client.crt
key /tmp/openvpncl/client.key
management 127.0.0.1 16
management-log-cache 100
verb 3
mute 3
syslog
writepid /var/run/openvpncl.pid
client
resolv-retry infinite
nobind
persist-key
persist-tun
script-security 2
dev tun1
proto udp
cipher aes-128-cbc
auth sha1
remote xxxxxxxxx.no-ip.org 1194 # DynDNS des WAN vom Serverrouter
comp-lzo yes
tls-client
tun-mtu 1500
mtu-disc yes
fast-io
tun-ipv6
tls-auth /tmp/openvpncl/ta.key 1
tls-cipher TLS-RSA-WITH-AES-128-CBC-SHADu kannst das natürlich nicht 1 zu 1 übernehmen, da z.B. die Pfade der einzelnen OS-Typen unterschiedlich sind.
Diese solltest Du auf jeden Fall auf Deine Verhältnisse anpassen.
Gruß orcape