Makki, wir müssen noch rausfinden, was wir falsch machen...

Beim Lintschinger scheint das nämlich zu funktionieren: https://knx-user-forum.de/knx-eib-fo...tml#post173445

VPN Bridge-Howto

Nene, deswegen mein expliziter Hinweis auf "Default" (VPN mit sep. Subnetz&Routing, was eigentlich technisch vernünftiger ist)
Beim Helmut werden die VPN's ins LAN gebridged. Sonderlocke #437..

Nachdem es nun raus ist aber per Webif nicht geht - und es hier das Problem löst - muss ich wohl rausrücken
(Trotzdem würde ich gerne die Ursache lösen, keinen Workaround schaffen)

[Wichtig]
- Nur, wenn man sich halbwegs sicher auf die Konsole traut!
-> Man kann sich leicht aussperren u.v.m.
- Weiss was eine IP-Adresse + Subnetzmaske bedeutet
- Man kann danach die IP-Einstellungen nicht mehr per normalem (User)-Webif ändern!
- VPN->Bridge ins LAN ist eigentlich eher suboptimal, weil es bedeutet das jeder VPN-Client auch z.B. unnötig mit sämtlichen Broadcasts im LAN (Win tut das gerne&oft) zugeblasen wird; in grösseren Netzten und/oder langsamen Verbindungen kann das schnell nachteilig werden.
Für reine KNX-Fernwartung ist jedoch oft einfacher.

- Wir verkaufen für sowas ggfs. auch Support-Packs, ist eine Sache von Minuten
[/Wichtig]

Aber so richtig schwierig ists auch nicht; Also:
- Anmelden per SSH als root
In der /etc/openvpn/server.conf muss man nun die IP's anpassen (geht natürlich auch per WinSCP o.ä. statt mcedit)

Also die Zeile
server-bridge 192.168.60.88 255.255.255.0 192.168.60.240 192.168.60.245

-> 192.168.60.88 255.255.255.0
ist hier die statische IP-Adresse & Subnetzmaske des WG im LAN
-> 192.168.60.240 192.168.60.245
Der IP-Bereich für VPN-Clients; diese bekommen diese IPs - nicht per DHCP - auch wenn ein DHCP-Server im LAN aktiv ist!

Nun gehts an die Netzwerk-config, ssh als root oder (Win)SCP bearbeiten wir /etc/network/interfaces

fügen oben eine Zeile ein: (verhindert nur das man aus versehen mit dem User-Webif die config lötet)
und ändert diese das sie danach an o.g. Beispiel so aussieht (Änderungen in rot&fett)

IP, Netzmaske und Gateway sind natürlich wieder anzupassen.
(Wenn man dabei Fehler macht, sollte die Auto-IP (Crossover-Kabel) immernoch gehen.)


Dann noch ein "reboot" auf der Konsole + 2 Minuten Zeit und fertig ist das Bridge-VPN.

Danach die VPN-config für den VPN-Client neu aus dem Webif laden (oder in der <clientname>.ovpn "tun" in "tap" ändern)

Makki

hab gedacht, ich hätte verstanden, was du geschrieben hast.

Hab jedenfalls das bridge-Zeug installiert und in der config entsprechend meinem fritzbox Netzes als statische IP die 192.168.178.45 fürs WG eingetrgaen (mit WinSCP).
Auch in der Fritzbox hab ich die .45 reserviert und die MAC dazu eingetragen.

Nach dem Reboot des WG zeigt die Fritzbox zwar an, dass die .45 verbunden ist, aber hinpingen kann ich nicht mehr.
K.a. warum.

Also hab ich erstmal versucht zurückzubauen. Verbindung per Crossoverkabel baut er -wie du beschrieben hast- auf und mein PC bekommt auch ne IP vom WG. Aber wie finde ich jetzt die IP des WG raus bzw. wie komme ich nun wieder auf die Konsole?

Am einfachsten ist es warscheinlich, wenn du einen Monitor und eine Tastatur am WG anschliesst und dort auf die Konsole zugreifst. Da kannst du dann auch die Datenen nochmals überarbeiten.

Mit Crossover sollte es per Browser/ssh mit wiregateXXX (Windows) bzw. wiregateXXX.local (Mac, Linux) gehen.
Sollte ich mich gerade täuschen sucht der hartgesottene mit "nmap -sP 169.254.0.0" oder wirft einen Blick in Wireshark.

Schlimmstenfalls setzen wir die Netzwerkconfig per USB-Stick auf default..
Edit: lokale Konsole ist auch ne Variante, vorher Alt+F2 drücken..

Makki

AFAIR steht auf der "Startseite" wenn man den monitor anschliesst auch die IP-Adresse des WG. Damit sollte es leicht sein eine verbinung über LAN aufzubauen.

Zeigt mein ach so toller Monitor aber nicht an...sondern immer nur "resultion out of range" - na hurra.
Wireshark log sagt mir ehrlich gesagt nicht so viel. (s. Anhang - ist ne RAR, die ich zum Hocladen hier umbenannt habe). Ich sehe immer nur die IP vom PC, aber nicht vom WG.
Aufruf über wiregatexxx klappt auch nicht.

Das Wiregate zurücksetzen geht wahrscheinlich mit nem Bootstick, oder? Was muss ich aufn Stick kopieren, damit das klappt?

aber auf die Konsole kommst du mit der Tastenkombination ALT + F2 ? Dann kannst du dort ganz normal die konfig ändern.

+ Tastatur (USB oder PS/2) und 1x Enter oder anykey, sonst ist der Screensaver (=off) an - WG ist ja total green und die Grafikkarte schläft

Makki

Danke. Ich hatte offenbar irgendwo einen Typo. K.a. - jedenfalls klappts jetzt. Ist in sofern auch super, weil man dafür nun keine statische Route mehr setzen muss, sondern die Konfig komplett im WG stattfindet!

Das "eigentliche Problem" ist -wie du schreibst- damit natürlich noch nicht gelöst...

Hmm, dazu noch ne Frage: Ich komme per OpenVPN auf den Wiregate VPN-Server (also entsprechend obiger Konfig) auf die 192.168.3.1.
Aufs Webif komme ich auch über die o.g. IP.

Über diese Adresse komme ich allerdings mit putty (ssh) nicht dran. An die eigentliche lokale Adresse des WG komme ich ja leider nicht, da der Rest der Konfig nicht passt.

Wie komme ich durch den Tunnel auf die Konsole?

Hi,

hmpf, anderes Wiregate, anderes Problem.

Ich habe WG340 nach Anleitung als "gebridged ins lokale Netzwerk" konfiguriert. Komischerweise kann ich mich genau einmal zum WG verbinden und dann mehrere Stunden nicht mehr. :-( Bleibt hängen, als wäre der Port nicht offen.

per PPTP (also mit iphone) funktioniert der Zugriff mehrmals hintereinander.

Ich kann den Fehler irgendwie nicht einkreisen - kann man das aus dem Wiregate Log rauslesen? Wartungs-Vpn ist offen, wäre nett, wenn ihr mal gucken könnt.

@Makki: Falls du auch mal auf die Routereinstellungen vor Ort gucken willst, die Daten hatte ich per Mail geschickt.

Vorab&Info, natürlich gibts ein Log Kann man unter VPN-Einstellungen ganz unten sogar auch anklicken..

Eine Menge der früheren Verbindungen (2011-11-19) deuten schlicht auf Netzwerk-Probleme hin, heute scheint alles gelaufen zu sein.

Die config sieht ok aus aber was mich nervös macht:

Das heisst entweder es gibt doppelte IP's im LAN, grob was in der Bridge falsch (aktuelle konfig ist aber i.o.) oder so eine schlimme Nummer mit Proxy-ARP oder so. Erklärt so ein Phänomen aber perfekt.

Erzähl doch mal über die Geräte aussenrum: Switches, Router usw. vielleicht kommt man dann der Sache näher.

Ein kurzer tcpdump hat nichts zu Tage gefördert aber das ist auch brutal eklig am betroffenen Gerät zu sehen, wenn's wirklich eine doppelte IP ist weil ein guter Switch nullt mir da schlicht die Pakete weg..
Aber es kommt alle 45s ein ARP-Lookup, das ist komisch, ich tippe wiegesagt auf Proxy-ARP (alte Cisco PIX machen sowas, hab da anno schnuff mal 3 Wochen den Fehler gesucht) oder eben schlicht doppelte IP's (warum PPTP dann geht, erklärt das aber nicht)

Makki

Ich habe mal die fürs VPN verwendete IP Beriech von .240-... in .250-... geändert (also in den BEreich, den das PPTP auch benutzt), aber das Phänomen tritt immer noch auf.

PPTP geht, OpenVPN geht 1x, dann nicht mehr.

Geräte:

Wir haben eine Arcor Box mit WLAN

im LAN hängen dann noch:

als WLAN Erweiterung: Range Max Wireless Access Point WPN 802v2
ein Netgear 8 port 10/100 switch FS608v3 (iMac, Netzwerdrucker, PC)
und ein Netgear 5 port Home theatre & Gaming network switch GS605AV (Blueray Player, Playstation 3)

Die ganzen Geräte können doch alle so komplexes ARP Zeugs nicht, oder?

Ich find da beim besten willen keinen Fehler..
Etwas befremdlich finde ich das die Arcor-Box alle Reverse-DNS Anfragen (wie heisst 192.168.2.X?) mit "localhost" beantwortet aber das muss absolut nichts bedeuten, einen Versuch wärs Wert, mal den externen DNS-Server des Providers direkt am WG statt der 2.1 eintragen.

Ansonsten müsste man bei aktiver Verbindung schauen, GW noch erreichbar, LAN-Hosts pingbar, scharfen Blick ob ein Client oder das WG geänderte MAC-Adressen sieht, irgendwie so in der Reihenfolge.
Kommt denn der (erfolglose) Verbindungs überhaupt noch im openvpn.log an?

Makki