Ankündigung

Einklappen
Keine Ankündigung bisher.

- √ - openVPN auf Wiregate

Einklappen
Dieses Thema ist geschlossen.
X
X
Einklappen
 
  • Seite von 1
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge
Vorherige template Weiter
    #1

    [wiregate] - √ - openVPN auf Wiregate

    Hallo,
    offensichtlich stelle ich mich zu doof an. Bekomme das openVPN via Wiregate nicht ans fliegen.

    Wiregate: wiregate560 (WartungsVPN läuft) - generell läuft VPN also!

    Was habe ich gemacht:

    1. Wiregate: VPN Verbindung konfiguriert
    2. Client
      client
      proto udp
      dev tun
      ca ca.crt
      dh dh1024.pem
      cert XXX.crt
      key XXX.key
      remote MEINEADRESSE.dyndns.info 1194
      tls-auth ta.key 1
      cipher AES-128-CBC
      verb 2
      mute 20
      keepalive 10 120
      comp-lzo
      persist-key
      persist-tun
      float
      resolv-retry infinite
      nobind
      ns-cert-type server
      push "route 192.168.178.0 255.255.255.0"
      push "dhcp-option DNS 192.168.178.1"
      * MEINEADRESSE.dyndns.info ist in FritzBox hinterlegt und funktioniert auch
    3. Server: default gelassen
    4. openVPN GUI von openvpn-2.2.2-install.exe installiert
    5. Wiregate-openVPN Konfig in openVPN/config kopiert
    6. in FritzBox Statische Route mit
      172.24.254.0 (Netzwerk)
      255.255.255.0 (Subnetz)
      192.168.178.38 (Gateway - interne Wiregate-Adresse)
      eingerichtet
    7. Portweiterleitung TCP/UDP in Fritzbox eingerichtet
    8. Ping auf 172.24.254.1 aus Lan ist erfolgreich
    9. VPN Server neugestartet (wie in https://knx-user-forum.de/244875-post3.html empfohlen)
    10. alle Netzwerbverbindungen beendet und UMTS-Verbindung aufgebaut
    11. Log von openVPN
      Sun Sep 09 11:20:42 2012 OpenVPN 2.2.2 Win32-MSVC++ [SSL] [LZO2] [PKCS11] built on Dec 15 2011
      Sun Sep 09 11:20:42 2012 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
      Sun Sep 09 11:20:42 2012 Control Channel Authentication: using 'ta.key' as a OpenVPN static key file
      Sun Sep 09 11:20:42 2012 Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
      Sun Sep 09 11:20:42 2012 Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
      Sun Sep 09 11:20:42 2012 LZO compression initialized
      Sun Sep 09 11:20:42 2012 Control Channel MTU parms [ L:1558 D:166 EF:66 EB:0 ET:0 EL:0 ]
      Sun Sep 09 11:20:43 2012 Data Channel MTU parms [ L:1558 D:1450 EF:58 EB:135 ET:0 EL:0 AF:3/1 ]
      Sun Sep 09 11:20:43 2012 Local Options hash (VER=V4): '272f1b58'
      Sun Sep 09 11:20:43 2012 Expected Remote Options hash (VER=V4): 'a2e63101'
      Sun Sep 09 11:20:43 2012 UDPv4 link local: [undef]
      Sun Sep 09 11:20:43 2012 UDPv4 link remote: 90.153.XX.XX:1194
      Sun Sep 09 11:20:46 2012 VERIFY OK: depth=1, /C=DE/O=WireGate/OU=WireGate_VPN_Server_wiregate560/CN=server/emailAddress=admin@wiregate560.local
      Sun Sep 09 11:20:46 2012 VERIFY OK: nsCertType=SERVER
      Sun Sep 09 11:20:46 2012 VERIFY OK: depth=0, /C=DE/O=WireGate/OU=WireGate_VPN_Server_wiregate560/CN=server/emailAddress=admin@wiregate560.local
      Sun Sep 09 11:20:52 2012 Data Channel Encrypt: Cipher 'AES-128-CBC' initialized with 128 bit key
      Sun Sep 09 11:20:52 2012 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
      Sun Sep 09 11:20:52 2012 Data Channel Decrypt: Cipher 'AES-128-CBC' initialized with 128 bit key
      Sun Sep 09 11:20:52 2012 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
      Sun Sep 09 11:20:52 2012 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 2048 bit RSA
      Sun Sep 09 11:20:52 2012 [server] Peer Connection Initiated with 90.153.36.162:1194
      Sun Sep 09 11:20:55 2012 TAP-WIN32 device [LAN-Verbindung 2] opened: \\.\Global\{9D5B3C68-D0A3-45C1-9B50-1DBF061DDD58}.tap
      Sun Sep 09 11:20:55 2012 TAP-Win32 MTU=1500
      Sun Sep 09 11:20:55 2012 Notified TAP-Win32 driver to set a DHCP IP/netmask of 172.24.254.6/255.255.255.252 on interface {9D5B3C68-D0A3-45C1-9B50-1DBF061DDD58} [DHCP-serv: 172.24.254.5, lease-time: 31536000]
      Sun Sep 09 11:20:55 2012 Successful ARP Flush on interface [43] {9D5B3C68-D0A3-45C1-9B50-1DBF061DDD58}
      Sun Sep 09 11:21:00 2012 Initialization Sequence Completed
    12. Zugriff auf andere Netzwerkteilnehmer (fritz.box oder 192.168.178.1, wiregate560 oder 192.168.178.38) funktioniert nicht

    Was mache ich falsch?
    Angehängte Dateien
    Gruß
    alexbeer
    Stichworte: openvpn, wiregate
    #2
    Nun, das sieht eigentlich alles wunderbar aus..

    Geht ein Ping auf 172.24.254.1 ?
    Ansonsten sagt die das es evtl. ein Problemchen von (meist 3rd-Party) Windows-Firewalls oder ein Rechteproblem am Client ist.
    Ein Win+R -> cmd -> "ipconfig /all" und "route -an" bei verbundem VPN wär evtl. noch hilfreich.

    Makki
    EIB/KNX & WireGate & HS3, Russound,mpd,vdr,DM8000, DALI, DMX
    -> Bitte KEINE PNs!

    Kommentar

      #3
      Zitat von alexbeer Beitrag anzeigen
      8. Ping auf 172.24.254.1 aus Lan ist erfolgreich
      Der Ping war erfolgreich.
      Das Deaktivieren jeglicher Firewalls etc werde ich heute Abend nochmals testen.
      Gruß
      alexbeer

      Kommentar

        #4
        Kurze Zwischenfrage:Cmd > route -an
        Gibt es bei mir nicht.
        Hilft auch ein route print?
        Gruß
        alexbeer

        Kommentar

          #5
          Ich meinte den Ping auf 172.24.254.1 vom Client aus, die Route an der Fritzi stimmt ja..

          Zitat von alexbeer Beitrag anzeigen
          Kurze Zwischenfrage:Cmd > route -an
          Gibt es bei mir nicht.
          Hilft auch ein route print?
          Ja, sorry, mal wieder die OS verwechselt

          Makki
          EIB/KNX & WireGate & HS3, Russound,mpd,vdr,DM8000, DALI, DMX
          -> Bitte KEINE PNs!

          Kommentar

            #6
            Hallo,
            habe die beiden Screnshots mal angehängt.

            Edit: DA man die Screenshots so <irony-mode>wunderbar</irony-mode> lesen kann - hier nochmal als Text.

            1. Nachdem die VPN Verbindung aufgebaut wurde der Ping auf die 172.24.254.1
            C:\Users\XXXXX>ping 172.24.254.1

            Ping wird ausgeführt für 172.24.254.1 mit 32 Bytes Daten:
            Antwort von 172.24.254.1: Bytes=32 Zeit=116ms TTL=64
            Antwort von 172.24.254.1: Bytes=32 Zeit=108ms TTL=64
            Antwort von 172.24.254.1: Bytes=32 Zeit=287ms TTL=64
            Antwort von 172.24.254.1: Bytes=32 Zeit=125ms TTL=64

            Ping-Statistik für 172.24.254.1:
            Pakete: Gesendet = 4, Empfangen = 4, Verloren = 0
            (0% Verlust),
            Ca. Zeitangaben in Millisek.:
            Minimum = 108ms, Maximum = 287ms, Mittelwert = 159ms
            2. Ipconfig -all
            Microsoft Windows [Version 6.1.7601]
            Copyright (c) 2009 Microsoft Corporation. Alle Rechte vorbehalten.

            C:\Users\XXXXX>ipconfig -all

            Windows-IP-Konfiguration

            Hostname . . . . . . . . . . . . : XXXX
            Primäres DNS-Suffix . . . . . . . : XXXXX.org
            Knotentyp . . . . . . . . . . . . : Hybrid
            IP-Routing aktiviert . . . . . . : Nein
            WINS-Proxy aktiviert . . . . . . : Nein
            DNS-Suffixsuchliste . . . . . . . : XXXXX.org

            Ethernet-Adapter LAN-Verbindung 2:

            Verbindungsspezifisches DNS-Suffix:
            Beschreibung. . . . . . . . . . . : TAP-Win32 Adapter V9
            Physikalische Adresse . . . . . . : 00-FF-9D-5B-3C-68
            DHCP aktiviert. . . . . . . . . . : Ja
            Autokonfiguration aktiviert . . . : Ja
            Verbindungslokale IPv6-Adresse . : fe80::693b:441e:274d:86c5%34(Bevorzugt)
            IPv4-Adresse . . . . . . . . . . : 172.24.254.6(Bevorzugt)
            Subnetzmaske . . . . . . . . . . : 255.255.255.252
            Lease erhalten. . . . . . . . . . : Dienstag, 11. September 2012 20:53:57
            Lease läuft ab. . . . . . . . . . : Mittwoch, 11. September 2013 20:53:56
            Standardgateway . . . . . . . . . :
            DHCP-Server . . . . . . . . . . . : 172.24.254.5
            DHCPv6-IAID . . . . . . . . . . . : 721485725
            DHCPv6-Client-DUID. . . . . . . . : 00-01-00-01-15-8A-30-E4-5C-26-0A-49-94-88

            DNS-Server . . . . . . . . . . . : fec0:0:0:ffff::1%1
            fec0:0:0:ffff::2%1
            fec0:0:0:ffff::3%1
            NetBIOS über TCP/IP . . . . . . . : Aktiviert

            Ethernet-Adapter Bluetooth-Netzwerkverbindung 6:

            Medienstatus. . . . . . . . . . . : Medium getrennt
            Verbindungsspezifisches DNS-Suffix:
            Beschreibung. . . . . . . . . . . : Bluetooth-Gerät (PAN) #6
            Physikalische Adresse . . . . . . : 08-ED-B9-DD-4F-93
            DHCP aktiviert. . . . . . . . . . : Ja
            Autokonfiguration aktiviert . . . : Ja

            Mobiler Breitbandadapter Mobile Breitbandverbindung:

            Verbindungsspezifisches DNS-Suffix:
            Beschreibung. . . . . . . . . . . : Dell Wireless 5550 HSPA+ Mini-Card Networ
            k Adapter
            Physikalische Adresse . . . . . . : 02-80-37-EC-02-00
            DHCP aktiviert. . . . . . . . . . : Nein
            Autokonfiguration aktiviert . . . : Ja
            Verbindungslokale IPv6-Adresse . : fe80::3911:468e:19bc:d6d7%20(Bevorzugt)
            IPv4-Adresse . . . . . . . . . . : XXX.XX.82.120(Bevorzugt)
            Subnetzmaske . . . . . . . . . . : 255.255.255.0
            Standardgateway . . . . . . . . . : XXX.XX2.206.82.114
            DHCPv6-IAID . . . . . . . . . . . : 503480375
            DHCPv6-Client-DUID. . . . . . . . : 00-01-00-01-15-8A-30-E4-5C-26-0A-49-94-88

            DNS-Server . . . . . . . . . . . : XXX.XX.30.125
            XXX.XX.30.126
            NetBIOS über TCP/IP . . . . . . . : Aktiviert

            Ethernet-Adapter LAN-Verbindung:

            Medienstatus. . . . . . . . . . . : Medium getrennt
            Verbindungsspezifisches DNS-Suffix: XXXXX.org
            Beschreibung. . . . . . . . . . . : Intel(R) 82579LM Gigabit Network Connecti
            on
            Physikalische Adresse . . . . . . : D4-BE-D9-39-78-6C
            DHCP aktiviert. . . . . . . . . . : Ja
            Autokonfiguration aktiviert . . . : Ja

            Tunneladapter isatap.{9D5B3C68-D0A3-45C1-9B50-1DBF061DDD58}:

            Medienstatus. . . . . . . . . . . : Medium getrennt
            Verbindungsspezifisches DNS-Suffix:
            Beschreibung. . . . . . . . . . . : Microsoft-ISATAP-Adapter
            Physikalische Adresse . . . . . . : 00-00-00-00-00-00-00-E0
            DHCP aktiviert. . . . . . . . . . : Nein
            Autokonfiguration aktiviert . . . : Ja

            Tunneladapter isatap.{008F7938-3400-4755-BA9A-DDA0EC82FC0C}:

            Medienstatus. . . . . . . . . . . : Medium getrennt
            Verbindungsspezifisches DNS-Suffix:
            Beschreibung. . . . . . . . . . . : Microsoft-ISATAP-Adapter #2
            Physikalische Adresse . . . . . . : 00-00-00-00-00-00-00-E0
            DHCP aktiviert. . . . . . . . . . : Nein
            Autokonfiguration aktiviert . . . : Ja

            Tunneladapter isatap.{312DE043-44C8-49FD-83FE-63B0FAAE99DA}:

            Medienstatus. . . . . . . . . . . : Medium getrennt
            Verbindungsspezifisches DNS-Suffix:
            Beschreibung. . . . . . . . . . . : Microsoft-ISATAP-Adapter #3
            Physikalische Adresse . . . . . . : 00-00-00-00-00-00-00-E0
            DHCP aktiviert. . . . . . . . . . : Nein
            Autokonfiguration aktiviert . . . : Ja

            Tunneladapter isatap.itelligence.org:

            Medienstatus. . . . . . . . . . . : Medium getrennt
            Verbindungsspezifisches DNS-Suffix:
            Beschreibung. . . . . . . . . . . : Microsoft-ISATAP-Adapter #4
            Physikalische Adresse . . . . . . : 00-00-00-00-00-00-00-E0
            DHCP aktiviert. . . . . . . . . . : Nein
            Autokonfiguration aktiviert . . . : Ja

            Tunneladapter Teredo Tunneling Pseudo-Interface:

            Verbindungsspezifisches DNS-Suffix:
            Beschreibung. . . . . . . . . . . : Teredo Tunneling Pseudo-Interface
            Physikalische Adresse . . . . . . : 00-00-00-00-00-00-00-E0
            DHCP aktiviert. . . . . . . . . . : Nein
            Autokonfiguration aktiviert . . . : Ja
            IPv6-Adresse. . . . . . . . . . . : 2001:0:5ef5:73b8:15:e9:fd31:ad87(Bevorzug
            t)
            Verbindungslokale IPv6-Adresse . : fe80::15:e9:fd31:ad87%31(Bevorzugt)
            Standardgateway . . . . . . . . . :
            NetBIOS über TCP/IP . . . . . . . : Deaktiviert

            Tunneladapter 6TO4 Adapter:

            Verbindungsspezifisches DNS-Suffix:
            Beschreibung. . . . . . . . . . . : Microsoft-6zu4-Adapter
            Physikalische Adresse . . . . . . : 00-00-00-00-00-00-00-E0
            DHCP aktiviert. . . . . . . . . . : Nein
            Autokonfiguration aktiviert . . . : Ja
            IPv6-Adresse. . . . . . . . . . . : 2002:2ce:5278::2ce:5278(Bevorzugt)
            Standardgateway . . . . . . . . . : 2002:c058:6301::c058:6301
            DNS-Server . . . . . . . . . . . : XXX.XX.30.125
            XXX.XX.30.126
            NetBIOS über TCP/IP . . . . . . . : Deaktiviert
            und zu guter Letzt noch route print
            Microsoft Windows [Version 6.1.7601]
            Copyright (c) 2009 Microsoft Corporation. Alle Rechte vorbehalten.

            C:\Users\XXXXX>route print
            ================================================== =========================
            Schnittstellenliste
            34...00 ff 9d 5b 3c 68 ......TAP-Win32 Adapter V9
            30...08 ed b9 dd 4f 93 ......Bluetooth-Gerät (PAN) #6
            20...02 80 37 ec 02 00 ......Dell Wireless 5550 HSPA+ Mini-Card Network Adapter

            13...d4 be d9 39 78 6c ......Intel(R) 82579LM Gigabit Network Connection
            1...........................Software Loopback Interface 1
            11...00 00 00 00 00 00 00 e0 Microsoft-ISATAP-Adapter
            15...00 00 00 00 00 00 00 e0 Microsoft-ISATAP-Adapter #2
            16...00 00 00 00 00 00 00 e0 Microsoft-ISATAP-Adapter #3
            35...00 00 00 00 00 00 00 e0 Microsoft-ISATAP-Adapter #4
            31...00 00 00 00 00 00 00 e0 Teredo Tunneling Pseudo-Interface
            32...00 00 00 00 00 00 00 e0 Microsoft-6zu4-Adapter
            ================================================== =========================

            IPv4-Routentabelle
            ================================================== =========================
            Aktive Routen:
            Netzwerkziel Netzwerkmaske Gateway Schnittstelle Metrik
            0.0.0.0 0.0.0.0 X.XXX.82.114 X.XXX.82.120 296
            X.XXX.82.0 255.255.255.0 Auf Verbindung X.XXX.82.120 296
            X.XXX.82.120 255.255.255.255 Auf Verbindung X.XXX.82.120 296
            X.XXX.82.255 255.255.255.255 Auf Verbindung X.XXX.82.120 296
            127.0.0.0 255.0.0.0 Auf Verbindung 127.0.0.1 306
            127.0.0.1 255.255.255.255 Auf Verbindung 127.0.0.1 306
            127.255.255.255 255.255.255.255 Auf Verbindung 127.0.0.1 306
            172.24.254.1 255.255.255.255 172.24.254.5 172.24.254.6 30
            172.24.254.4 255.255.255.252 Auf Verbindung 172.24.254.6 286
            172.24.254.6 255.255.255.255 Auf Verbindung 172.24.254.6 286
            172.24.254.7 255.255.255.255 Auf Verbindung 172.24.254.6 286
            224.0.0.0 240.0.0.0 Auf Verbindung 127.0.0.1 306
            224.0.0.0 240.0.0.0 Auf Verbindung 172.24.254.6 286
            224.0.0.0 240.0.0.0 Auf Verbindung X.XXX.82.120 296
            255.255.255.255 255.255.255.255 Auf Verbindung 127.0.0.1 306
            255.255.255.255 255.255.255.255 Auf Verbindung 172.24.254.6 286
            255.255.255.255 255.255.255.255 Auf Verbindung XXX.XX.82.120 296
            ================================================== =========================
            Ständige Routen:
            Keine

            IPv6-Routentabelle
            ================================================== =========================
            Aktive Routen:
            If Metrik Netzwerkziel Gateway
            32 1140 ::/0 2002:c058:6301::c058:6301
            1 306 ::1/128 Auf Verbindung
            31 58 2001::/32 Auf Verbindung
            31 306 2001:0:5ef5:73b8:15:e9:fd31:ad87/128
            Auf Verbindung
            32 1040 2002::/16 Auf Verbindung
            32 296 2002:2ce:5278::2ce:5278/128
            Auf Verbindung
            34 286 fe80::/64 Auf Verbindung
            20 296 fe80::/64 Auf Verbindung
            31 306 fe80::/64 Auf Verbindung
            31 306 fe80::15:e9:fd31:ad87/128
            Auf Verbindung
            20 296 fe80::3911:468e:19bc:d6d7/128
            Auf Verbindung
            34 286 fe80::693b:441e:274d:86c5/128
            Auf Verbindung
            1 306 ff00::/8 Auf Verbindung
            31 306 ff00::/8 Auf Verbindung
            34 286 ff00::/8 Auf Verbindung
            20 296 ff00::/8 Auf Verbindung
            ================================================== =========================
            Ständige Routen:
            Keine
            Ich kann daraus nicht erkennen, wo es hakt.
            Die Windows Firewall ist deaktiviert - es bestehen jedoch Gruppenrichtlinien, die ich nicht beeinflussen kann...
            Angehängte Dateien
            Gruß
            alexbeer

            Kommentar

              #7
              Es gibt weder eine Route für
              172.24.254.0/24 (VPN-Subnetz)
              noch für
              192.168.178.0/24 (LAN)

              -> da läuft was schief!

              Die Auswirkungen von GPO's ohne deren Kenntniss zu beurteilen ist jedoch unmöglich..
              IPv6 ist durchgehend aktiviert, das macht nur Probleme, sofern nicht absichtlich und richtig eingerichtet.

              Makki
              EIB/KNX & WireGate & HS3, Russound,mpd,vdr,DM8000, DALI, DMX
              -> Bitte KEINE PNs!

              Kommentar

                #8
                Hallo Makki,
                Verbindung läuft jetzt.
                Eine Frage habe ich noch:
                Via http://172.24.254.1 komme ich via openVPN auf das Wiregate.
                Wie komme ich denn auf die anderen Teilnehmer meines Netzwerkes?
                Trotz
                push "dhcp-option DNS 192.168.178.1"
                komme ich per http://wiregateXXX nicht auf das Web-IF.

                Hintergrund:
                Nach einem kurzen Gespräch mit den Admins bestand folgende Situation:
                In unserer Firma werden IP6 Adressen bereits verwendet (warum auch immer). Zudem ist via AD gesteuert, dass die Gruppenrichtlinien nur innerhalb der Domäne aktiv sind. Außerhalb der Domäne kann ich die Firewall beeinflussen.
                Beim letzten Versuch hatte ich den Rechner in der Firma nur in den Ruhemodus geschickt und danach nicht neu gestartet, so dass die Gruppenrichtlinien noch irgendwie aktiv waren.

                DANKE nochmals für den Support.
                Gruß
                alexbeer

                Kommentar

                  #9
                  Warum machst du VPN nicht mit "bridge" ???

                  Kommentar

                    #10
                    Habe auf die Schnelle nur Ethernet Bridging gefunden. Welche Vorteile hätte ich davon?
                    Gruß
                    alexbeer

                    Kommentar

                      #11
                      Technisch ist bridging "ungünstig" (böse zungen sagen; FALSCH)
                      Aber möglich: hier

                      Makki
                      EIB/KNX & WireGate & HS3, Russound,mpd,vdr,DM8000, DALI, DMX
                      -> Bitte KEINE PNs!

                      Kommentar

                        #12
                        ah ja - das werde ich mir mal in Ruhe zu Gemüte führen.
                        Gruß
                        alexbeer

                        Kommentar

                        Vorherige template Weiter
                        Lädt...
                        X

                        Wir verarbeiten personenbezogene Daten über die Nutzer unserer Website mithilfe von Cookies und anderen Technologien, um unsere Dienste bereitzustellen. Weitere Informationen findest Du in unserer Datenschutzerklärung.

                        Indem Du unten auf "ICH stimme zu" klickst, stimmst Du unserer Datenschutzerklärung und unseren persönlichen Datenverarbeitungs- und Cookie-Praktiken zu, wie darin beschrieben. Du erkennst außerdem an, dass dieses Forum möglicherweise außerhalb Deines Landes gehostet wird und bist damit einverstanden, dass Deine Daten in dem Land, in dem dieses Forum gehostet wird, gesammelt, gespeichert und verarbeitet werden.

                        Ich stimme zu