Routing für OpenVPN

[ubuntulinux]

Also.

Von meinem Netbook, mit OpenVPN kann ich:

- Auf sämtliche IP's in meinem Netzwerk verbinden (192.168.5.**)
- Auf andere OpenVPN Clients zugreifen
- Im Internet surfen etc


Von den PC's in meinem LAN kann ich:

- Auf sämtliche OpenVPN Clients verbinden (vorausgesetzt Firewall ist aus am Client), als wären sie im internen LAN (einziger Unterschied: IP aus anderem Pool)



Ich kann also meine OpenVPN Clients von meinem lokalen Netzwerk aus erreichen, ganz ohne OpenVPN Client. Dafür sorgt die statische Route im Router.


EDIT: Kann ich Dir auch gerne mal mit einem anderen Zertifikat auf Deinem PC per TeamViewer zeigen wenn ich mal Zeit habe


gruss ubuntulinux

 

[jahlives]

Hm echt komsich. Bei dir scheint genau das was bei mir ned geht automatisch und ohne Routen im Client zu funzen
Es liegt bei mir eindeutig an den fehlenden routing Einträgen auf den Zielsystemen der OpenVPN Verbindung.
Hast du denn auf deinem Netbook einen "ganzen" OpenVPN Server am laufen oder schon nur den Client?

Du siehst ich in etwas verwirrt, weil ich dafür echt gerne eine Erklärung finden würde. Und ich kann es mir aus meinem Verständnis von OpenVPN heraus nicht erklären, warum das bei dir funzt so ganz ohne die Route

Gruss

tobi

 

[ubuntulinux]

Ich hab den OpenVPN:

http://swupdate.openvpn.net/community/releases/openvpn-2.2-beta3-install.exe

Den schmeiss ich ganz drauf (einfach immer weiter klicken ), die Keys irgendwo in einen Ordner, die Konfigurationsdatei in c:\programme\openvpn\conf\ erstellen, keys richtig angeben, Client unter Vista / 7 mit !!ADMIN!! Rechten starten, connecten, das wars. Die Routen legt das Teil selber an.


Da Du aber bei den DSen die Route anlegen musstest, geh ich davon aus, dass an deinem Static Routing im Router etwas nicht stimmt.


gruss ubuntulinux

 

[jahlives]

.
Da Du aber bei den DSen die Route anlegen musstest, geh ich davon aus, dass an deinem Static Routing im Router etwas nicht stimmt.

Den Eintrag habe ich ganz analog zu deiner Beschreibug gemacht. Der haut auch hin, sonst könnte ich die interne IP des Routers nicht erreichen.
Der einzige Unterschied wäre jetzt noch, dass du scheinbar die Community Version des Clients installiert hast (ich habe die "offizielle" installiert)

Sorry, dass ich dir hier deine Zeit klaue. Eigentlich könnten wir hier auch Schluss machen, weil bei dir funzt es wie gewünscht und bei mir auch. Von dem her könnte es uns auch egal sein, warum das so ist

Gruss

tobi

 

[ubuntulinux]

Du klaust mir keine Zeit. Das Problem interessiert mich

Aber was ist für dich der offizielle Client?

Ich meine, der Router hat irgend ein Problem.

Was passiert dann wenn Du die IP vom OpenVPN Client von einem PC im LAN des OpenVPN Servers anpingst?


Ich würde auch sagen, dass der Router für die Geschwindigkeit verantwortlich ist - vielleicht Firewall oder so. Bei mir isses jedenfalls schnell


Viele Grüsse,
Patrick

 

[jahlives]

Was passiert dann wenn Du die IP vom OpenVPN Client von einem PC im LAN des OpenVPN Servers anpingst?

Ich habe das mal auf einer DS probiert bei der ich erst die Route entfernt habe. 192.168.254.6 ist die OpenVPN-IP meines Windows Clients an dem ich gerade sitze. Eigentlich ist das Ergebnis wie erwartet

webserver> route
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
192.168.200.0   *               255.255.255.0   U     0      0        0 eth0
default         gateway         0.0.0.0         UG    0      0        0 eth0
webserver> ping 192.168.254.6
PING 192.168.254.6 (192.168.254.6): 56 data bytes
--- 192.168.254.6 ping statistics ---
4 packets transmitted, 0 packets received, 100% packet loss
webserver> route add -net 192.168.254.0 netmask 255.255.255.0 gw 192.168.200.2
webserver> ping 192.168.254.6
PING 192.168.254.6 (192.168.254.6): 56 data bytes
64 bytes from 192.168.254.6: icmp_seq=0 ttl=63 time=10.866 ms
64 bytes from 192.168.254.6: icmp_seq=1 ttl=63 time=19.821 ms
64 bytes from 192.168.254.6: icmp_seq=2 ttl=63 time=19.896 ms
64 bytes from 192.168.254.6: icmp_seq=3 ttl=63 time=19.801 ms
--- 192.168.254.6 ping statistics ---
4 packets transmitted, 4 packets received, 0% packet loss
round-trip min/avg/max/stddev = 10.866/17.596/19.896/3.886 ms

 

[ubuntulinux]

backup> route
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
192.168.5.0     *               255.255.255.0   U     0      0        0 eth0
default         router.lan.vb-s 0.0.0.0         UG    0      0        0 eth0
backup> ping 10.8.0.1
PING 10.8.0.1 (10.8.0.1): 56 data bytes
64 bytes from 10.8.0.1: seq=0 ttl=64 time=0.736 ms
64 bytes from 10.8.0.1: seq=1 ttl=64 time=0.660 ms
64 bytes from 10.8.0.1: seq=2 ttl=64 time=0.190 ms
64 bytes from 10.8.0.1: seq=3 ttl=64 time=0.175 ms
^C
--- 10.8.0.1 ping statistics ---
4 packets transmitted, 4 packets received, 0% packet loss
round-trip min/avg/max = 0.175/0.440/0.736 ms

backup>

Dann routet dein Router etwas nicht richtig Was für einer ist das?



EDIT: Gerade Routing Tabelle am Router angeschaut:

root@router:~# route
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
192.168.5.0     *               255.255.255.0   U     0      0        0 br0
10.8.0.0        vb-server.lan.v 255.255.255.0   UG    2      0        0 br0
217.162.178.0   *               255.255.254.0   U     0      0        0 vlan1
169.254.0.0     *               255.255.0.0     U     0      0        0 br0
127.0.0.0       *               255.0.0.0       U     0      0        0 lo
default         217-162-***-1.d 0.0.0.0         UG    0      0        0 vlan1
root@router:~#

Kannst Du auch mit SSH auf den Router? Wenn ja, wie sieht da die Route aus?


gruss patrick

 

[jahlives]

Dann routet dein Router etwas nicht richtig Was für einer ist das?

Ein Netgear FVS318G Teil.
Wenn ich anstelle des OpenVPN Server bei der gateway ip diejenige vom Router angebe, geht ebenfalls nichts mehr (192.168.200.1 ist der Router)

route add -net 192.168.254.0 netmask 255.255.255.0 gw 192.168.200.1
webserver> ping 192.168.254.6
PING 192.168.254.6 (192.168.254.6): 56 data bytes
--- 192.168.254.6 ping statistics ---
7 packets transmitted, 0 packets received, 100% packet loss

 

[ubuntulinux]

Das erhärtet meine Meinung dass der Router nicht alles routet. Habe gerade meinen Beitrag editiert wegen Routing Tabelle am Router


gruss patrick

 

[jahlives]

Kannst Du auch mit SSH auf den Router? Wenn ja, wie sieht da die Route aus?

Nicht per ssh aber gemäss Webinterface schaut die Tabelle z.Z. so aus

 

[jahlives]

Ich wollte zwecks Gechwindigkeitsvergleich OpenVPN mal auf einer der DS109+ mit FW 1141 installieren. Aber ich kriege OpenVPN auf beiden DS109+ nicht gestartet. Verabschiedet sich mit einem exit in den Logs.
Weiss hier jemand ob es es für eine DS109+ einen Trick gibt? Oder geht es nur mit einer aktuelleren Firmware?
So wie's jetzt ist muss ich den OpenVPN auf der 107 lassen und das läuft einfach nicht besonders schnell.

Gute Nacht

tobi

 

[jahlives]

A propos Speed: Habe gestern, weil es mit dem Zügeln des OpenVPN ned klappte, mal den Proxy (Squid) und den DNS Server (dnsmasq) von der Maschine mit OpenVPN weg auf eine eigene DS geschoben. Das Ganze ich schon merklich schneller geworden
Perfekt wäre es wohl wenn ich den OpenVPN, der wohl am meisten Rechenpower braucht, auf eine der beiden DS109+ bringen könnte. Aber dort legt sich die DS quer (siehe obiger Beitrag)

 

[ubuntulinux]

tun.ko drin?

 

[jahlives]

tun.ko drin?

Jep ist drin. Ich habe alle Schritte wie bei der 107+ 1:1 wiederholt.
wie gesagt sagen die Logs auch nicht mehr als exit. Warum der Prozess abschmiert erschliesst sich mir aus den Logs ned. Habe das Logging auch mal so hochgedreht wie ich konnte (verb 100)
Die beiden DS109+ laufen noch mit Firmware 1141. Könnte es an dem liegen?

 

[goetz]

Hallo,
welches tun hast Du am laufen, ipkg oder Firmware eigenes?

Gruß Götz

 

[jahlives]

@goetz
afaik dasjenige der Firmware. Verzeichnis des Moduls ist auf jeden Fall unter /lib und ned unter /opt
Mich deutch eben, dass ich vor längerer Zeit mal mit OpenVPN auf den beiden DSsen rumexperimentiert habe. Kriegte es schon damals nicht zum Laufen. Könnte es sein, dass irgendwelche Überreste der damaligen Experimente, sich heute als Problem erweisen? Würde es etwas bringen die DS erstmal firmwaremässig zu aktualisieren und dann nochmals OpenVPN probieren?

 

[goetz]

Hallo,
habe jetzt auch 2 Tage rumgebastelt bis es auf beiden DS lief. Gerade 107+ zickte wegen lzo rum. Das OpenVPN-Paket mußte ich händische aktualisieren, upgrade machte nichts. Gib mal die Ausgaben von

ipkg list_installed|grep vpn
ipkg list_installed|grep lzo

Gruß Götz

 

[jahlives]

@goetz
Die sind installiert

webserver> ipkg list_installed | grep vpn
openvpn - 2.1.3-1 - SSL based VPN server with Windows client support
webserver> ipkg list_installed | grep lzo
lzo - 2.03-1 - Compression library

Ich habe zwichenzeitlich die neuste Firmware aufgespielt. Was erstaunlich schnell ging
Jedoch ist die Symptomatik dieselbe: OpenVPN verabschiedet sich einfach mit exit. Hier mal die letzten Logzeilen

Oct  4 21:03:44 webserver openvpn[3293]: PRNG init md=SHA1 size=36
Oct  4 21:03:44 webserver openvpn[3293]: MTU DYNAMIC mtu=0, flags=1, 0 -> 138
Oct  4 21:03:44 webserver openvpn[3293]: TLS-Auth MTU parms [ L:1542 D:138 EF:38 EB:0 ET:0 EL:0 ]
Oct  4 21:03:44 webserver openvpn[3293]: MTU DYNAMIC mtu=1450, flags=2, 1542 -> 1450
Oct  4 21:03:44 webserver openvpn[3293]: Socket Buffers: R=[108544->131072] S=[108544->131072]
Oct  4 21:03:44 webserver openvpn[3293]: Exiting

Ich habe das Log mal nach openvpn+(error|failure|permission) durchsucht. Nix nada niente. Das Log ist ellenlang, aber da ist imho nichts verdächtiges drin.
Es macht auch keinen Unterschied ob ich da Startscript verwende oder gleich openvpn direkt aus der Konsole starten will. Das exit bleibt

Da sehe ich gerade, dass mit der neusten Firmware "mein" Problem behoben ist, dass jede syslog Zeile doppelt vorkam

 

[ubuntulinux]

Sicher dass alle config-sachen stimmen? Zertifikate vorhanden?

Sieht nach einem Fehler in der config aus.


gruss ubuntulinux

 

[goetz]

Hallo,
Deine Pakete sind aktuell. Es sieht mir auch nach einem config Fehler aus. Bei mir erscheinen nach Socket Buffers:

Mon Oct  4 21:24:10 2010 us=664257 GDG: route[1] 192.168.1.0/255.255.255.0/0.0.0.0 m=0
Mon Oct  4 21:24:10 2010 us=664581 GDG: route[2] 0.0.0.0/0.0.0.0/192.168.1.1 m=0
Mon Oct  4 21:24:10 2010 us=664806 GDG: best=192.168.1.1[2] lm=0
Mon Oct  4 21:24:10 2010 us=665356 GDG: route[1] 192.168.1.0/255.255.255.0/0.0.0.0 m=0
Mon Oct  4 21:24:10 2010 us=665575 GDG: route[2] 0.0.0.0/0.0.0.0/192.168.1.1 m=0
Mon Oct  4 21:24:10 2010 us=665787 GDG: best=192.168.1.1[2] lm=0
Mon Oct  4 21:24:10 2010 us=665983 ROUTE default_gateway=192.168.1.1
Mon Oct  4 21:24:10 2010 us=686460 TUN/TAP device tun0 opened
Mon Oct  4 21:24:10 2010 us=686699 TUN/TAP TX queue length set to 100
...

Gruß Götz