Configproblem - openvpn

[gTux]

Tach. Ich habe vor durch einen eigenen Suse 11.3 Server zu surfen, damit stets die gleich IP vorhanden ist. Ich habe jetzt OpenVPN installiert und konfiguriert. Die Verbindung wird problemlos aufgebaut.

Da ich durch VPN surfen will von meinem Windows XP PC, musste ich an meiner alten Konfiguration einiges verändern, das klappt aber leider nicht. Ich will, daß der sämtliche Traffic über das VPN durchgeht.

Hier meine config Dateien:

SERVER

;local a.b.c.d
port 1194
;proto tcp
proto udp
dev tap
;dev tun
;dev-node MyTap
ca /etc/openvpn/easy-rsa/2.0/keys/ca.crt
cert /etc/openvpn/easy-rsa/2.0/keys/server.crt
key /etc/openvpn/easy-rsa/2.0/keys/server.key  # This file should be kept secret
dh /etc/openvpn/easy-rsa/2.0/keys/dh1024.pem
;server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
server-bridge 192.168.60.1 255.255.255.0 192.168.60.50 192.168.60.100
;server-bridge
;push "route 192.168.10.0 255.255.255.0"
;push "route 192.168.20.0 255.255.255.0"
;client-config-dir ccd
;route 192.168.40.128 255.255.255.248
;client-config-dir ccd
;route 10.9.0.0 255.255.255.252
;learn-address ./script
;push "redirect-gateway def1 bypass-dhcp"
;push "dhcp-option DNS 208.67.222.222"
;push "dhcp-option DNS 208.67.220.220"
;client-to-client
;duplicate-cn
keepalive 10 120
;tls-auth ta.key 0 # This file is secret
cipher DES-EDE3-CBC  # Triple-DES
comp-lzo
;max-clients 100
;user nobody
;group nobody
persist-key
persist-tun
status openvpn-status.log
;log         openvpn.log
;log-append  openvpn.log
verb 3
;mute 20

CLIENT

client

dev tap
;dev tun
;dev-node MyTap
;proto tcp
proto udp
remote 12.34.56.789 1194
;remote-random
resolv-retry infinite
nobind
;user nobody
;group nobody
persist-key
persist-tun
;http-proxy-retry # retry on connection failures
;http-proxy [proxy server] [proxy port #]
;mute-replay-warnings
ca d:\\VPN\\ca.crt
cert d:\\VPN\\vpnhost1.crt
key d:\\VPN\\vpnhost1.key
ns-cert-type server
;tls-auth ta.key 1
cipher DES-EDE3-CBC
comp-lzo
verb 3
;mute 20

Auf dem Client (Windows XP Pro SP3) habe ich "LAN-Verbindung 1" und den "TAP-32 WIN Adapter" von Openvpn durch eine Netzwerkbrücke verbunden - leider ohne Erfolg !? Sowohl die "LAN-Verbindung 1" wie auch "TAP-32 WIN Adapter" sind vollständig ohne Eintragungen bei IP, Subnetz, DNS und Gateway.

Kann mir jemand sagen was ich falsch mache ? Wieso wird der VPN Tunnel aufgebaut, aber die Internet Verbindung nicht getunnelt?

 

[spoensche]

Poste doch mal die Ausgabe von

route -n

unter linux und von

route

 

[gTux]

route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
xx.xx.xx.224    0.0.0.0         255.255.255.224 U     0      0        0 eth0
169.254.0.0     0.0.0.0         255.255.0.0     U     0      0        0 eth0
127.0.0.0       0.0.0.0         255.0.0.0       U     0      0        0 lo
0.0.0.0         xx.xx.xx.225    0.0.0.0         UG    0      0        0 eth0

route
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
static.224.xx.x *               255.255.255.224 U     0      0        0 eth0
link-local      *               255.255.0.0     U     0      0        0 eth0
loopback        *               255.0.0.0       U     0      0        0 lo
default         static.225.xx.x 0.0.0.0         UG    0      0        0 eth0

Auf dem Windows XP PC:
LAN-Verbindung 1 - 192.168.40.10 255.255.255.0 gw 192.168.40.1 (Router)
TAP-32 Device - keine feste IP oder GW

Sollte ich etwa für die LAN Verbindung 1 eine IP aus dem gleichen Bereich wie der TAP Device 192.168.60.0 wählen? Ich meine, die beiden Adapter (TAP-32 und LAN1) sind ja gebridget.

Sobald ich die beiden Adapter unter Windows überbrücke, verliere ich die Verbindung ins Internet.

 

[gTux]

Ich habe das Problem eingegrenzt. Es sieht so aus, daß es an den folgenden Zeilen in der Server config liegt:

# If enabled, this directive will configure
# all clients to redirect their default
# network gateway through the VPN, causing
# all IP traffic such as web browsing and
# and DNS lookups to go through the VPN
# (The OpenVPN server machine may need to NAT
# or bridge the TUN/TAP interface to the internet
# in order for this to work properly).
;push "redirect-gateway def1 bypass-dhcp"
;push "redirect-gateway local def1"

Schalte ich eine davon frei, dann gibt es keine Verbindung mehr - alles ist tot. Ich kann nicht surfen. Wenn ich es ausschalte, dann läuft es wieder, allerdings am Tunnel vorbei - ich habe weiterhin meine IP wie sie der Router bezog.

Die aktuelle server.conf

;local a.b.c.d

port 443

proto tcp-server
;proto udp

dev tap
;dev tun

;dev-node MyTap

ca /etc/openvpn/easy-rsa/2.0/keys/ca.crt
cert /etc/openvpn/easy-rsa/2.0/keys/server.crt
key /etc/openvpn/easy-rsa/2.0/keys/server.key  # This file should be kept secret

dh /etc/openvpn/easy-rsa/2.0/keys/dh1024.pem

;server 10.8.0.0 255.255.255.0

;ifconfig-pool-persist ipp.txt

server-bridge 192.168.60.1 255.255.255.0 192.168.60.50 192.168.60.60

;server-bridge

;push "route 192.168.10.0 255.255.255.0"
;push "route 192.168.20.0 255.255.255.0"
;push "route 192.168.60.0 255.255.255.0 192.168.60.1"

;client-config-dir ccd
;route 192.168.40.128 255.255.255.248

;client-config-dir ccd
;route 10.9.0.0 255.255.255.252

;learn-address ./script

;push "redirect-gateway def1 bypass-dhcp"
;push "redirect-gateway local def1"

push "dhcp-option DNS 208.67.222.222"
;push "dhcp-option DNS 208.67.220.220"

;client-to-client

;duplicate-cn

keepalive 10 120

;tls-auth ta.key 0 # This file is secret

;cipher BF-CBC        # Blowfish (default)
;cipher AES-128-CBC   # AES
cipher DES-EDE3-CBC  # Triple-DES

comp-lzo

;max-clients 100

;user nobody
;group nobody

persist-key
persist-tun

status openvpn-status.log

;log         openvpn.log
;log-append  openvpn.log

verb 3

;mute 20

Meine Netzwerkkonfiguration ist:
PC 192.168.40.10 (feste IP), Maske 255.255.255.0, default GW 192.168.40.1, DNS Server 192.168.40.1
Router 192.168.40.1
Netzwerk 192.168.40.0/24


Kann mir bitte jemand helfen?

 

[drboe]

remote 12.34.56.789 1194

Hast Du wirklich in der Client-Konfiguration eine Server IP-Adresse mit 789 konfiguriert? Das wird nämlich unter keinen Umständen klappen. Wenn Du das Default-Gateway des Clients zum Server umgebogen hast (auf den Endpunkt des Tunnels), fehlt es u. U. an einem erreichbaren DNS-Server. Oder der Server selbst routet nicht zwischen der tun/tap-Schnittstelle und ethx. Der VPN-Endpunkt muss das IP-Routing aktiviert haben. D. h. auf dem Server muss das Forwarding aktiviert sein, damit die Packete auch weitergeleitet werden. Im Zweifelsfall einschalten mit echo "1" > /proc/sys/net/ipv4/ip_forward. Prüfen, ob ggf. eine aktive Firewall auf dem Server Pakete aus dem Tunnel blockt.

M. Boettcher