Wir hatten hier Win7, richtig? Hab da was im Hinterkopf, das man als user keine routen setzen kann -> versuch doch mal bitte den OpenVPN-Client als Administrator auszuführen.
(wenn das geht und praktikabel ist - gut. wenn nicht muss man sehen wie man drumherum kommt, das MS im Jahre 2010 auf einmal echt an Security denkt )

Im Prinzip schon, man kann das ganze auch als Bridge ins LAN einrichten, aber derzeit nur ziemlich "händisch". Und eigentlich ist das zwar aus Anwendersicht die einfachste aber technisch bei weitem nicht die beste Alternative (weil dann eben alles vom LAN zum Client rübergeblasen wird..)
Machen wir in diversen Sonderfällen auch schon, aber eben händisch, kann ich morgen auch gerne mal rauskramen. Nur das gehts ein bisschen ans eingemachte, dazu gibts dann kein einfaches&hübsches Webinterface..

Makki

Hallo makki,
komme leider erst jetzt wieder dazu an dem Problem weiterzumachen. Meine ovpn sieht genauso aus ausser cert, key und remote natürlich. Oder ist es möglich direkt in den IP adressbereich von meinem Netzwerk zu springen? Den Eintrag mit der Route habe ich auch ausprobiert, einmal nur auf dem Server und einmal nur auf dem Client. Aber ohne erfolg.

Das push route fehlt hier irgendwie komplett, nachdem es in der Server-config lt. Screenshot stimmt evtl. stört das doppelte in der Client-config oder da steht was anderes drin, was das verhindert.

Daher mal die zum letzten Screenshot passende .ovpn:
Makki

Hallo Makki,
hier meine logs

Log Client

Fri Dec 17 18:34:36 2010 OpenVPN 2.1.4 i686-pc-mingw32 [SSL] [LZO2] [PKCS11] built on Nov 8 2010
Fri Dec 17 18:34:36 2010 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Fri Dec 17 18:34:40 2010 WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
Fri Dec 17 18:34:40 2010 Control Channel Authentication: using 'ta.key' as a OpenVPN static key file
Fri Dec 17 18:34:40 2010 Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Fri Dec 17 18:34:40 2010 Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Fri Dec 17 18:34:40 2010 LZO compression initialized
Fri Dec 17 18:34:40 2010 Control Channel MTU parms [ L:1558 D:166 EF:66 EB:0 ET:0 EL:0 ]
Fri Dec 17 18:34:40 2010 Data Channel MTU parms [ L:1558 D:1450 EF:58 EB:135 ET:0 EL:0 AF:3/1 ]
Fri Dec 17 18:34:40 2010 Local Options hash (VER=V4): '272f1b58'
Fri Dec 17 18:34:40 2010 Expected Remote Options hash (VER=V4): 'a2e63101'
Fri Dec 17 18:34:40 2010 UDPv4 link local: [undef]
Fri Dec 17 18:34:40 2010 UDPv4 link remote: 78.43.92.235:1194
Fri Dec 17 18:34:40 2010 VERIFY OK: depth=1, /C=DE/O=WireGate/OU=WireGate_VPN_Server_wiregate292/CN=server/emailAddress=admin@wiregate292.local
Fri Dec 17 18:34:40 2010 VERIFY OK: nsCertType=SERVER
Fri Dec 17 18:34:40 2010 VERIFY OK: depth=0, /C=DE/O=WireGate/OU=WireGate_VPN_Server_wiregate292/CN=server/emailAddress=admin@wiregate292.local
Fri Dec 17 18:34:41 2010 Data Channel Encrypt: Cipher 'AES-128-CBC' initialized with 128 bit key
Fri Dec 17 18:34:41 2010 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Fri Dec 17 18:34:41 2010 Data Channel Decrypt: Cipher 'AES-128-CBC' initialized with 128 bit key
Fri Dec 17 18:34:41 2010 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Fri Dec 17 18:34:41 2010 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 2048 bit RSA
Fri Dec 17 18:34:41 2010 [server] Peer Connection Initiated with 78.43.92.235:1194
Fri Dec 17 18:34:43 2010 TAP-WIN32 device [LAN-Verbindung 2] opened: \\.\Global\{EA7D3B45-DE39-47A9-9D87-DD6304E4439B}.tap
Fri Dec 17 18:34:43 2010 TAP-Win32 MTU=1500
Fri Dec 17 18:34:43 2010 Notified TAP-Win32 driver to set a DHCP IP/netmask of 172.24.254.6/255.255.255.252 on interface {EA7D3B45-DE39-47A9-9D87-DD6304E4439B} [DHCP-serv: 172.24.254.5, lease-time: 31536000]
Fri Dec 17 18:34:43 2010 Successful ARP Flush on interface [131075] {EA7D3B45-DE39-47A9-9D87-DD6304E4439B}
Fri Dec 17 18:34:49 2010 Initialization Sequence Completed

Log Server

Fri Dec 17 18:34:58 2010 80.153.77.222:3576 Re-using SSL/TLS context
Fri Dec 17 18:34:58 2010 80.153.77.222:3576 LZO compression initialized
Fri Dec 17 18:34:58 2010 80.153.77.222:3576 Control Channel MTU parms [ L:1558 D:166 EF:66 EB:0 ET:0 EL:0 ]
Fri Dec 17 18:34:58 2010 80.153.77.222:3576 Data Channel MTU parms [ L:1558 D:1450 EF:58 EB:135 ET:0 EL:0 AF:3/1 ]
Fri Dec 17 18:34:58 2010 80.153.77.222:3576 Local Options hash (VER=V4): 'a2e63101'
Fri Dec 17 18:34:58 2010 80.153.77.222:3576 Expected Remote Options hash (VER=V4): '272f1b58'
Fri Dec 17 18:34:58 2010 80.153.77.222:3576 CRL CHECK OK: /C=DE/O=WireGate/OU=WireGate_VPN_Server_wiregate292/CN=server/emailAddress=admin@wiregate292.local
Fri Dec 17 18:34:58 2010 80.153.77.222:3576 VERIFY OK: depth=1, /C=DE/O=WireGate/OU=WireGate_VPN_Server_wiregate292/CN=server/emailAddress=admin@wiregate292.local
Fri Dec 17 18:34:58 2010 80.153.77.222:3576 CRL CHECK OK: /C=DE/ST=Bundesland/L=Stadt/O=WireGate/OU=VPN_Server_wiregate292/CN=walpertshofen/emailAddress=user@wiregate292
Fri Dec 17 18:34:58 2010 80.153.77.222:3576 VERIFY OK: depth=0, /C=DE/ST=Bundesland/L=Stadt/O=WireGate/OU=VPN_Server_wiregate292/CN=walpertshofen/emailAddress=user@wiregate292
Fri Dec 17 18:34:59 2010 80.153.77.222:3576 Data Channel Encrypt: Cipher 'AES-128-CBC' initialized with 128 bit key
Fri Dec 17 18:34:59 2010 80.153.77.222:3576 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Fri Dec 17 18:34:59 2010 80.153.77.222:3576 Data Channel Decrypt: Cipher 'AES-128-CBC' initialized with 128 bit key
Fri Dec 17 18:34:59 2010 80.153.77.222:3576 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Fri Dec 17 18:34:59 2010 80.153.77.222:3576 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
Fri Dec 17 18:34:59 2010 80.153.77.222:3576 [walpertshofen] Peer Connection Initiated with 80.153.77.222:3576

Dann gib doch mal das komplette log von Client&Server (da stehen keine Kennwörter o.ä. drin), dann kommen wir vielleicht dahinter wo hier das Problem liegt

Makki

So sieht meine config aus. Bis auf deinen anderen IP Adressraum sehe ich keinen Unterschied

David

Ich häng mal vorsichtshalber nen Screenshot an, wie das aussehen muss..
push "route ..."

Makki

Hab jetzt mal den Clientconfig nochmal neu erstellt und jetzt keine Fehlermeldungen mehr. Allerdings wird im log auch nichts mit der route angezeigt.
Habe den befehl "route 192.168.128.0 255.255.255.0" im Server und im Client eingetragen. Oder auch nur mal in einem von beiden.
Aber es tut sich komischerweise nichts.

Gruß David

Da war mal was mit Rechteproblemen unter Win7 -> OpenVPN Client evtl. mal als Administrator starten.
Das log hört sich aber eher (komplettes Log am Client?) danach an, als würde ein Parameter nicht stimmen.
Das push "route 192.168.128.0 255.255.255.0" in die Servereinstellungen?

Edit: und natürlich richtig, für Win7 muss man den aktuellen Client von der OpenVPN-Seite nehmen!

Makki

Hallo Makki,
hab den Fehler gefunden. Hab die Openvpn Software vom Wiregate genommen (2.0.9) und mit dieser Funktioniert es unter Windows 7 nicht. Mit der Aktuellen 2.1 R19 hat es einwandfrei Funktioniert. Jetzt habe ich allerdings das Problem das ich nicht in meinen IP Adressraum komme. Habe im Client zwar mit Push Route auf meinen IP Adressraum verwiesen (push "route 192.168.128.0 255.255.255.0") aber komme nigends drauf und kann auch kein Gerät anpingen.

Tue Dec 14 20:29:22 2010 Notified TAP-Win32 driver to set a DHCP IP/netmask of 172.24.254.6/255.255.255.252 on interface {0ADBC7F7-440C-4AE4-8B5A-1B0BF62A56AA} [DHCP-serv: 172.24.254.5, lease-time: 31536000]
Tue Dec 14 20:29:22 2010 Successful ARP Flush on interface [22] {0ADBC7F7-440C-4AE4-8B5A-1B0BF62A56AA}
Tue Dec 14 20:29:27 2010 ROUTE: route addition failed using CreateIpForwardEntry: Ein oder mehrere Argumente sind ungültig. [status=160 if_index=22]
OK!
Tue Dec 14 20:29:27 2010 ROUTE: route addition failed using CreateIpForwardEntry: Ein oder mehrere Argumente sind ungültig. [status=160 if_index=22]
OK!
Tue Dec 14 20:29:27 2010 Initialization Sequence Completed


Gruß David

Auch Port 1194/UDP weitergeleitet ?

Die MEldung sagt letztlich nur "kann nicht kommunizieren", also Firewall, Portweiterleitung, VPN-Server nicht gestartet, keine Internetverbindung etc.

Makki

VPN Verbindungsproblem

Hallo zusammen,
ich versuche gerade das erste mal ne VPN Verbindung mit meinem Wiregate herzustellen. Die Einrichtung hat auch soweit geklappt jedoch bekomme ich immer folgende Fehlermeldung.

Mon Dec 13 22:02:00 2010 read UDPv4: Net dropped connection or reset (WSAENETRESET) (code=10052)
Mon Dec 13 22:02:00 2010 read UDPv4: Net dropped connection or reset (WSAENETRESET) (code=10052)
Mon Dec 13 22:02:02 2010 read UDPv4: Net dropped connection or reset (WSAENETRESET) (code=10052)
Mon Dec 13 22:02:06 2010 read UDPv4: Net dropped connection or reset (WSAENETRESET) (code=10052)
Mon Dec 13 22:02:14 2010 read UDPv4: Net dropped connection or reset (WSAENETRESET) (code=10052)

Die Auflösung der DNS Adresse funktioniert einwandfrei. Auch die Portweiterleitung auf das Wiregate ist eingerichtet. Jedoch bekomme ich keine Verbindung.

Gruß David

Vielen Dank!!!

Hab mich für die 2. Methode entschieden, weil mein Router keine statische Route unterstützt und es funktioniert.

Hab vor lauter Lesen im Internet echt garnichts mehr gerafft...

Du musst an Deinem Gateway/Router (oder auf jedem Host) eine statische Route eintragen, die dann abstrakt geschrieben so aussieht:
192.168.3.0 255.255.255.0 -> 192.168.0.170
Das kann man bei den meisten DSL-Routern machen.

Zweite Alternative: Das WireGate (192.168.0.170) auf allen internen als Default-Gateway eintragen - und nur am WireGate selbst das "richtige" Default-GW.

Makki