Diese Website existiert nur weil wir Werbung mit AdSense ausliefern.
Bitte den AdBlocker daher auf dieser Website ausschalten! Danke.

[gelöst] OpenVPN Routing Problem SuSE 11.1

Alles rund um das Internet, Internet-Anwendungen (E-Mail, Surfen, Cloud usw.) und das Einrichten von Netzwerken einschl. VPN unter Linux

Moderator: Moderatoren

Antworten
tgx480
Newbie
Newbie
Beiträge: 6
Registriert: 14. Jan 2010, 20:34

[gelöst] OpenVPN Routing Problem SuSE 11.1

Beitrag von tgx480 »

Hallo, bin letztens von SuSE 10.1 auf 11.1 umgestiegen und jetzt macht OpenVPN Probleme.
Habe die komplette Konfiguration von 10.1 übernommen (Firewall, Routing, usw.), mit der konnte ich vorher das komplette LAN hinter dem OVPN Server erreichen.
Doch seit 11.1 funktioniert das jetzt nicht mehr. IP-Forwarding ist an... Firewall ist auch aktiv...
Die Verbindung wird zwar aufgebaut aber mehr geht nicht. Hat sich da bei 11.1 sonst noch irgendwas geändert ? Oder hab ich irgendwas anderes übersehen ?
Kann mir da vielleicht jemand helfen ? Hab keine Ahnung wo ich jetzt ansetzen soll.

Code: Alles auswählen

eth0      Link encap:Ethernet  HWaddr 00:A0:CC:DA:AE:79
          inet addr:192.168.66.1  Bcast:192.168.66.255  Mask:255.255.255.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:50415 errors:1 dropped:0 overruns:0 frame:0
          TX packets:44510 errors:5 dropped:0 overruns:3 carrier:2
          collisions:0 txqueuelen:1000
          RX bytes:36818793 (35.1 Mb)  TX bytes:9314204 (8.8 Mb)
          Interrupt:19 Base address:0xe100

eth1      Link encap:Ethernet  HWaddr 00:50:DA:3F:AD:0C
          inet addr:192.168.0.1  Bcast:192.168.0.255  Mask:255.255.255.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:81412 errors:0 dropped:0 overruns:0 frame:0
          TX packets:106929 errors:2 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:10701191 (10.2 Mb)  TX bytes:69460143 (66.2 Mb)
          Interrupt:18 Base address:0xe000

lo        Link encap:Local Loopback
          inet addr:127.0.0.1  Mask:255.0.0.0
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:114346 errors:0 dropped:0 overruns:0 frame:0
          TX packets:114346 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:13073088 (12.4 Mb)  TX bytes:13073088 (12.4 Mb)

tun0      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
          inet addr:192.168.99.1  P-t-P:192.168.99.2  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:2951 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100
          RX bytes:0 (0.0 b)  TX bytes:247884 (242.0 Kb)


route sagt folgendes :

Code: Alles auswählen

192.168.99.2    *               255.255.255.255 UH    0      0        0 tun0
192.168.99.0    192.168.99.2    255.255.255.0   UG    0      0        0 tun0
192.168.0.0     *               255.255.255.0   U     0      0        0 eth1
192.168.66.0    *               255.255.255.0   U     0      0        0 eth0
link-local      *               255.255.0.0     U     0      0        0 eth0
loopback        *               255.0.0.0       U     0      0        0 lo
default         192.168.66.1    0.0.0.0         UG    0      0        0 eth0
mir scheint als ob OVPN die Route irgendwie falsch setzt... sollte ja eigentlich die 99.1 sein und nicht die 99.2 ????

iptables -nvL FORWARD gibt folgendes aus :

Code: Alles auswählen


 pkts bytes target     prot opt in     out     source               destination
 2398  127K TCPMSS     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp flags:0x06/0x02 TCPMSS clamp to PMTU
15866 3398K forward_int  all  --  eth1   *       0.0.0.0/0            0.0.0.0/0
19997   18M forward_ext  all  --  eth0   *       0.0.0.0/0            0.0.0.0/0
    0     0 forward_ext  all  --  tun0   *       0.0.0.0/0            0.0.0.0/0
    0     0 LOG        all  --  *      *       0.0.0.0/0            0.0.0.0/0           limit: avg 3/min burst 5 LOG flags 6 level 4 prefix `SFW2-FWD-ILL-ROUTING '
    0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0
Zuletzt geändert von tgx480 am 19. Jan 2010, 14:32, insgesamt 1-mal geändert.
spoensche
Moderator
Moderator
Beiträge: 7539
Registriert: 30. Okt 2004, 23:53
Wohnort: Siegen

Re: OpenVPN Routing Problem SuSE 11.1

Beitrag von spoensche »

Was sagen die Logfiles? Poste mal bitte deine Firewall Konfiguration.
Welches Protokoll bzw. Verfahren verwendest du bei deinem VPN? (IPSec o.ä?)
tgx480 hat geschrieben: [code
15866 3398K forward_int all -- eth1 * 0.0.0.0/0 0.0.0.0/0
19997 18M forward_ext all -- eth0 * 0.0.0.0/0 0.0.0.0/0
[/code]
Das sind keine guten FORWARD- Regeln. Genauere Forward Regeln wären besser.
tgx480
Newbie
Newbie
Beiträge: 6
Registriert: 14. Jan 2010, 20:34

Re: OpenVPN Routing Problem SuSE 11.1

Beitrag von tgx480 »

also wenn ich versuche bei aufgebauter VPN Verbindung einen Rechner im LAN zu pingen kommt nichts von wegen DROP oder REJECT im Log an....
Hier mal die Config der FW :

Code: Alles auswählen

FW_DEV_EXT="eth0"
FW_DEV_INT="eth1 tun0"
FW_DEV_DMZ=""
FW_ROUTE="yes"
FW_MASQUERADE="yes"
FW_MASQ_DEV="zone:ext"
FW_MASQ_NETS="192.168.0.0/24"
FW_NOMASQ_NETS="192.168.99.0/24"
FW_PROTECT_FROM_INT="no"
FW_SERVICES_EXT_TCP="2298 9999"
FW_SERVICES_EXT_UDP="1194"
FW_SERVICES_EXT_IP=""
FW_SERVICES_EXT_RPC=""
FW_CONFIGURATIONS_EXT="bind"
FW_SERVICES_DMZ_TCP=""
FW_SERVICES_DMZ_UDP=""
FW_SERVICES_DMZ_IP=""
FW_SERVICES_DMZ_RPC=""
FW_CONFIGURATIONS_DMZ=""
FW_SERVICES_INT_TCP=""
FW_SERVICES_INT_UDP=""
FW_SERVICES_INT_IP=""
FW_SERVICES_INT_RPC=""
FW_CONFIGURATIONS_INT=""
FW_SERVICES_DROP_EXT=""
FW_SERVICES_DROP_DMZ=""
FW_SERVICES_DROP_INT=""
FW_SERVICES_REJECT_EXT=""
FW_SERVICES_REJECT_DMZ=""
FW_SERVICES_REJECT_INT=""
FW_ALLOW_INCOMING_HIGHPORTS_TCP=""
FW_ALLOW_INCOMING_HIGHPORTS_UDP=""
FW_FORWARD=""
FW_FORWARD_REJECT=""
FW_FORWARD_DROP=""
FW_FORWARD_MASQ=""
FW_REDIRECT=""
FW_LOG_DROP_CRIT="yes"
FW_LOG_DROP_ALL="yes"
FW_LOG_ACCEPT_CRIT="yes"
FW_LOG_ACCEPT_ALL="no"
FW_LOG_LIMIT=""
FW_LOG=""
FW_KERNEL_SECURITY="yes"
FW_STOP_KEEP_ROUTING_STATE="yes"
FW_ALLOW_PING_FW="yes"
FW_ALLOW_PING_DMZ="yes"
FW_ALLOW_PING_EXT="yes"
FW_ALLOW_FW_SOURCEQUENCH=""
FW_ALLOW_FW_BROADCAST_EXT=""
FW_ALLOW_FW_BROADCAST_INT=""
FW_ALLOW_FW_BROADCAST_DMZ=""
FW_IGNORE_FW_BROADCAST_EXT="yes"
FW_IGNORE_FW_BROADCAST_INT="no"
FW_IGNORE_FW_BROADCAST_DMZ="no"
FW_ALLOW_CLASS_ROUTING="yes"
FW_CUSTOMRULES="/etc/sysconfig/scripts/SuSEfirewall2-custom"
FW_REJECT=""
FW_REJECT_INT="no"
FW_HTB_TUNE_DEV=""
FW_IPv6=""
FW_IPv6_REJECT_OUTGOING=""
FW_IPSEC_TRUST="no"
FW_ZONES=""
FW_USE_IPTABLES_BATCH=""
FW_LOAD_MODULES="nf_conntrack_netbios_ns"
FW_FORWARD_ALWAYS_INOUT_DEV=""
FW_FORWARD_ALLOW_BRIDGING=""
FW_SERVICES_ACCEPT_RELATED_EXT=""
FW_SERVICES_ACCEPT_RELATED_INT=""
FW_SERVICES_ACCEPT_RELATED_DMZ=""
FW_SERVICES_ACCEPT_EXT=""
FW_SERVICES_ACCEPT_INT=""
FW_SERVICES_ACCEPT_DMZ=""
Und hier noch die OVPN Config :

Code: Alles auswählen

port 1194
proto udp
dev tun0
ca keys/server/ca.crt
cert keys/server/server.crt
key keys/server/server.key
dh keys/server/dh2048.pem
server 192.168.99.0 255.255.255.0
crl-verify keys/server/crl.pem
ifconfig-pool-persist servers/server/logs/ipp.txt
cipher DES-CBC
user nobody
group nogroup
status servers/server/logs/openvpn-status.log
log-append servers/server/logs/openvpn.log
verb 2
mute 20
max-clients 100
management 127.0.0.1 1194
keepalive 10 120
client-config-dir /etc/openvpn/servers/server/ccd
client-to-client
comp-lzo
persist-key
persist-tun
float
ccd-exclusive
push "route 192.168.0.0 255.255.255.0"
push "route 192.168.66.0 255.255.255.0"
push "redirect-gateway"
kannst du mir nen Tip geben wie ich die FORWARD Regeln genauer anpasse ?

Ist schon komisch das ganze, unter 10.1 hab ich nur OVPN installiert, die Routen gesetzt und schon hats funktioniert...
Zuletzt geändert von tgx480 am 16. Jan 2010, 02:09, insgesamt 3-mal geändert.
Benutzeravatar
framp
Moderator
Moderator
Beiträge: 4317
Registriert: 6. Jun 2004, 20:57
Wohnort: bei Stuttgart
Kontaktdaten:

Re: OpenVPN Routing Problem SuSE 11.1

Beitrag von framp »

Rufe das noch mal auf

Code: Alles auswählen

egrep -v "^#|^[ ]*$" /etc/sysconfig/SuSEfirewall2

und editiere bitte Dein Posting und stelle dieses Ergebnis da rein (wird eine Menge kürzer und übersichtlicher - und eher gelesen ;-) )
tgx480
Newbie
Newbie
Beiträge: 6
Registriert: 14. Jan 2010, 20:34

Re: OpenVPN Routing Problem SuSE 11.1

Beitrag von tgx480 »

So, hab das ganze jetzt mal editiert :ops:
komisch ist auch das ich den Client der eine VPN Verbindung aufgebaut hat vom Server aus nicht anpingen kann... Das sollte ja zumindest funktionieren oder ? :???:
Auch vom Client aus kann ich den Server nicht pingen....
Wenn ich von einem anderen Rechner im LAN das tun Interface (99.1) anpinge, funktioniert das. Frage mich nur warum OVPN die Route auf die 99.2 setzt ?
spoensche
Moderator
Moderator
Beiträge: 7539
Registriert: 30. Okt 2004, 23:53
Wohnort: Siegen

Re: OpenVPN Routing Problem SuSE 11.1

Beitrag von spoensche »

tgx480 hat geschrieben:

Code: Alles auswählen

server 192.168.99.0 255.255.255.0
Die IP- Adresse für den Server stimmt in deiner VPN Konfiguration nicht.
tgx480 hat geschrieben: kannst du mir nen Tip geben wie ich die FORWARD Regeln genauer anpasse ?
In dem du beispielsweise für Source und destination die Adressbereiche deiner Netze angibst, statt von 0.0.0.0 nach 0.0.0.0.
tgx480
Newbie
Newbie
Beiträge: 6
Registriert: 14. Jan 2010, 20:34

Re: OpenVPN Routing Problem SuSE 11.1

Beitrag von tgx480 »

wenn ich das jetzt in

Code: Alles auswählen

server 192.168.99.1 255.255.255.0
ändere, dann sagt er

Code: Alles auswählen

openvpn[13860]: Options error: --server directive network/netmask combination is invalid
:???:
In dem du beispielsweise für Source und destination die Adressbereiche deiner Netze angibst, statt von 0.0.0.0 nach 0.0.0.0.
wo und wie mach ich das denn ? :???:

Hab nochmal die Kiste wo 10.1 drauf läuft angeklemmt, also die configs sind absolut identisch, route und iptables -nvL FORWARD geben auch genau das gleiche aus...
Kann ja nicht sein das auf 10.1 alles funktioniert und auf 11.1 nicht...

Hab den kompletten OVPN Ordner vom Alten auf den Neuen Rechner kopiert, also schliesse ich Fehler in der Config schonmal aus. Die lief ja schlieslich unter 10.1....

Irgendwo muss da woanders im System die Säge klemmen... Nur wo ?

Gibts vielleicht ne gute Alternative zu OpenVPN ?
tgx480
Newbie
Newbie
Beiträge: 6
Registriert: 14. Jan 2010, 20:34

Re: OpenVPN Routing Problem SuSE 11.1

Beitrag von tgx480 »

im Log vom Client steht was von

Code: Alles auswählen

UDPv4 link local: [undef]
UDPv4 link remote: 79.199.222.78:1194
kann das was damit zu tun haben das da nix geht ?
tgx480
Newbie
Newbie
Beiträge: 6
Registriert: 14. Jan 2010, 20:34

Re: OpenVPN Routing Problem SuSE 11.1

Beitrag von tgx480 »

Hab wohl die Lösung... :D
Also am Linux liegts schonmal nicht... Hab mit nem nem Notebook versucht zu connecten wo Windows 7 drauf ist, mit OVPN 2.1... Damit gehts NICHT....
Habs dann mal mit Vista versucht und siehe da, damit funtionierts....
Ist dann somit wohl ne andere Baustelle....

Trotzdem Danke für die Hilfe....

und wenn du mir das mit den FORWARD Regeln nochnmal erklärst wär echt top ;)
spoensche
Moderator
Moderator
Beiträge: 7539
Registriert: 30. Okt 2004, 23:53
Wohnort: Siegen

Re: OpenVPN Routing Problem SuSE 11.1

Beitrag von spoensche »

tgx480 hat geschrieben: Ist dann somit wohl ne andere Baustelle....
Dann auf zur Baustelle und den Preslufthammer auspacken. ;)
tgx480 hat geschrieben: Trotzdem Danke für die Hilfe....
Gern geschehen.
tgx480 hat geschrieben: und wenn du mir das mit den FORWARD Regeln nochnmal erklärst wär echt top ;)

Gut, aber nur kurz mit anschließenden Links zu einem Buch und weiteren Informationen.

0.0.0.0 (auch 0/0 und Any) steht für irgendeine IP oder auch irgendein Netz bzw. Subnetz. Bei deinen Regeln wird von irgendwo, irgendwer, nach irgendwo anders weitergeleitet, also alles. Bei den internen Netzen, nicht VPN, sieht die Weiterleitung dann so aus:

Von Netz A (192.168.1.x/24) nach Netz B (192.168.2.x/24)
Von Netz A (192.168.1.x/24) nach Internet (0/0)

etc.

Weitere Informationen unter: http://www.linupedia.org/opensuse/Netzwerk
Openbook von Oreily: Linux Firewalls 2. Auflage


Wenn dein Problem gelöst ist, dann markiere den Thread bitte noch als gelöst. Ersten Beitrag editieren und ein [gelöst] im Titel einfügen.
Antworten