[gelöst]probleme mit vpn verbindung und knetworkmanager

spoensche · 7 Nov. 2011

Überprüfe mal die Zugriffsrechte der Datei.

Conax · 8 Nov. 2011

War ne gute Idee aber von den Zugriffsrechten her passt alles.
Ich habe auch schon daran gedacht das mögliche Pakete hier auf dem notebook fehlen aber openssl ist instaliert.

Sehr seltsam das ganze.

spoensche · 8 Nov. 2011

Starte OpenVPN mal mit dem Parameter --script-security 2 und poste die Ausgabe.

Code:

openvpn --script-security 2 --verb 6  /home/stefan/src/Stefan-TO-IPFire.ovpn

Du musst opevpn mit Rootrechten ausführen.

Conax · 8 Nov. 2011

Code:

linux-cd6z:/home/stefan # openvpn --script-security 2 --verb 6  /home/stefan/src/Stefan-TO-IPFire.ovpn 
Options error: You must define TUN/TAP device (--dev)
Use --help for more information.
linux-cd6z:/home/stefan #

Ich habe es immer als root ausgeführt.

Conax · 20 Nov. 2011

Also es lag an der p12 Datei. Jetzt habe ich die richtige und das ganze sieht so aus:

Code:

linux-cd6z:/home/stefan # openvpn /home/stefan/src/Stefan-TO-IPFire.ovpn
Sun Nov 20 00:47:22 2011 OpenVPN 2.1.4 x86_64-unknown-linux-gnu [SSL] [LZO2] [EPOLL] [PKCS11] built on Nov  4 2010
Sun Nov 20 00:47:22 2011 IMPORTANT: OpenVPN's default port number is now 1194, based on an official port number assignment by IANA.  OpenVPN 2.0-beta16 and earlier used 5000 as the default port.
Sun Nov 20 00:47:22 2011 WARNING: Make sure you understand the semantics of --tls-remote before using it (see the man page).
Sun Nov 20 00:47:22 2011 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Enter Private Key Password:
Sun Nov 20 00:47:24 2011 WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
Sun Nov 20 00:47:24 2011 WARNING: file 'Stefan.p12' is group or others accessible
Sun Nov 20 00:47:24 2011 Control Channel MTU parms [ L:1557 D:138 EF:38 EB:0 ET:0 EL:0 ]
Sun Nov 20 00:47:24 2011 Socket Buffers: R=[126976->131072] S=[126976->131072]
Sun Nov 20 00:47:24 2011 Data Channel MTU parms [ L:1557 D:1450 EF:57 EB:4 ET:0 EL:0 ]
Sun Nov 20 00:47:24 2011 Local Options hash (VER=V4): '2dd3fcaf'
Sun Nov 20 00:47:24 2011 Expected Remote Options hash (VER=V4): '8114d01c'
Sun Nov 20 00:47:24 2011 UDPv4 link local (bound): [undef]:1194
Sun Nov 20 00:47:24 2011 UDPv4 link remote: 77.XX.XXX.193:1194
Sun Nov 20 00:47:24 2011 TLS: Initial packet from 77.XX.XXX.193:1194, sid=66ffb052 99876d2a
Sun Nov 20 00:47:25 2011 VERIFY OK: depth=1, /C=CH/ST=Privat/L=Privat/O=Privat/OU=Privat/CN=Privat_CA/emailAddress=no@no.com
Sun Nov 20 00:47:25 2011 VERIFY OK: nsCertType=SERVER
Sun Nov 20 00:47:25 2011 VERIFY X509NAME OK: /C=CH/ST=Privat/O=Privat/OU=Privat/CN=77-XX-XXX-193.dclient.hispeed.ch
Sun Nov 20 00:47:25 2011 VERIFY OK: depth=0, /C=CH/ST=Privat/O=Privat/OU=Privat/CN=77-XX-XXX-193.dclient.hispeed.ch
Sun Nov 20 00:47:25 2011 Data Channel Encrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
Sun Nov 20 00:47:25 2011 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Sun Nov 20 00:47:25 2011 Data Channel Decrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
Sun Nov 20 00:47:25 2011 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Sun Nov 20 00:47:25 2011 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
Sun Nov 20 00:47:25 2011 [77-58-125-193.dclient.hispeed.ch] Peer Connection Initiated with 77.XX.XXX.193:1194
Sun Nov 20 00:47:28 2011 SENT CONTROL [77-XX-XXX-193.dclient.hispeed.ch]: 'PUSH_REQUEST' (status=1)
Sun Nov 20 00:47:28 2011 PUSH: Received control message: 'PUSH_REPLY,route 192.168.1.0 255.255.255.0,route 10.0.10.1,topology net30,ifconfig 10.0.10.6 10.0.10.5'
Sun Nov 20 00:47:28 2011 OPTIONS IMPORT: --ifconfig/up options modified
Sun Nov 20 00:47:28 2011 OPTIONS IMPORT: route options modified
Sun Nov 20 00:47:28 2011 ROUTE default_gateway=192.168.100.1
Sun Nov 20 00:47:28 2011 TUN/TAP device tun0 opened
Sun Nov 20 00:47:28 2011 TUN/TAP TX queue length set to 100
Sun Nov 20 00:47:28 2011 /bin/ip link set dev tun0 up mtu 1500
Sun Nov 20 00:47:28 2011 /bin/ip addr add dev tun0 local 10.0.10.6 peer 10.0.10.5
Sun Nov 20 00:47:28 2011 /bin/ip route add 192.168.1.0/24 via 10.0.10.5
Sun Nov 20 00:47:28 2011 /bin/ip route add 10.0.10.1/32 via 10.0.10.5
Sun Nov 20 00:47:28 2011 Initialization Sequence Completed

Ich sollte ja mal ein paar Befehle drüber laufen lassen das ganze sieht dann so aus:

Code:

linux-cd6z:/home/stefan # ip a s
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 16436 qdisc noqueue state UNKNOWN 
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 brd 127.255.255.255 scope host lo
    inet6 ::1/128 scope host 
       valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP qlen 1000
    link/ether 00:1e:68:f8:af:49 brd ff:ff:ff:ff:ff:ff
    inet 192.168.100.187/23 brd 192.168.101.255 scope global eth0
    inet6 fe80::21e:68ff:fef8:af49/64 scope link 
       valid_lft forever preferred_lft forever
3: wlan0: <BROADCAST,MULTICAST> mtu 1500 qdisc noop state DOWN qlen 1000
    link/ether 00:21:5d:67:3f:82 brd ff:ff:ff:ff:ff:ff
4: vboxnet0: <BROADCAST,MULTICAST> mtu 1500 qdisc noop state DOWN qlen 1000
    link/ether 0a:00:27:00:00:00 brd ff:ff:ff:ff:ff:ff
6: tun0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN qlen 100
    link/none 
    inet 10.0.10.6 peer 10.0.10.5/32 scope global tun0
linux-cd6z:/home/stefan # ip route show
10.0.10.5 dev tun0  proto kernel  scope link  src 10.0.10.6 
10.0.10.1 via 10.0.10.5 dev tun0 
192.168.1.0/24 via 10.0.10.5 dev tun0 
192.168.100.0/23 dev eth0  proto kernel  scope link  src 192.168.100.187  metric 1 
default via 192.168.100.1 dev eth0  proto static 
linux-cd6z:/home/stefan # ifconfig
eth0      Link encap:Ethernet  Hardware Adresse 00:1E:68:F8:AF:49  
          inet Adresse:192.168.100.187  Bcast:192.168.101.255  Maske:255.255.254.0
          inet6 Adresse: fe80::21e:68ff:fef8:af49/64 Gültigkeitsbereich:Verbindung
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:691890 errors:0 dropped:0 overruns:0 frame:0
          TX packets:564152 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 Sendewarteschlangenlänge:1000 
          RX bytes:400952937 (382.3 Mb)  TX bytes:68821490 (65.6 Mb)
          Interrupt:17 

lo        Link encap:Lokale Schleife  
          inet Adresse:127.0.0.1  Maske:255.0.0.0
          inet6 Adresse: ::1/128 Gültigkeitsbereich:Maschine
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:2374 errors:0 dropped:0 overruns:0 frame:0
          TX packets:2374 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 Sendewarteschlangenlänge:0 
          RX bytes:87112 (85.0 Kb)  TX bytes:87112 (85.0 Kb)

tun0      Link encap:UNSPEC  Hardware Adresse 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00  
          inet Adresse:10.0.10.6  P-z-P:10.0.10.5  Maske:255.255.255.255
          UP PUNKTZUPUNKT RUNNING NOARP MULTICAST  MTU:1500  Metric:1
          RX packets:3948 errors:0 dropped:0 overruns:0 frame:0
          TX packets:4140 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 Sendewarteschlangenlänge:100 
          RX bytes:406413 (396.8 Kb)  TX bytes:786868 (768.4 Kb)

linux-cd6z:/home/stefan # ifconfig
eth0      Link encap:Ethernet  Hardware Adresse 00:1E:68:F8:AF:49  
          inet Adresse:192.168.100.187  Bcast:192.168.101.255  Maske:255.255.254.0
          inet6 Adresse: fe80::21e:68ff:fef8:af49/64 Gültigkeitsbereich:Verbindung
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:716500 errors:0 dropped:0 overruns:0 frame:0
          TX packets:591303 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 Sendewarteschlangenlänge:1000 
          RX bytes:406718865 (387.8 Mb)  TX bytes:78334479 (74.7 Mb)
          Interrupt:17 

lo        Link encap:Lokale Schleife  
          inet Adresse:127.0.0.1  Maske:255.0.0.0
          inet6 Adresse: ::1/128 Gültigkeitsbereich:Maschine
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:2374 errors:0 dropped:0 overruns:0 frame:0
          TX packets:2374 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 Sendewarteschlangenlänge:0 
          RX bytes:87112 (85.0 Kb)  TX bytes:87112 (85.0 Kb)

tun0      Link encap:UNSPEC  Hardware Adresse 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00  
          inet Adresse:10.0.10.6  P-z-P:10.0.10.5  Maske:255.255.255.255
          UP PUNKTZUPUNKT RUNNING NOARP MULTICAST  MTU:1500  Metric:1
          RX packets:25843 errors:0 dropped:0 overruns:0 frame:0
          TX packets:29307 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 Sendewarteschlangenlänge:100 
          RX bytes:2970049 (2.8 Mb)  TX bytes:7696952 (7.3 Mb)

linux-cd6z:/home/stefan #

Obwohl da anscheinend Daten hin und her geschickt werden (RX bytes:2970049 (2.8 Mb) TX bytes:7696952 (7.3 Mb)) habe ich im Firefox keine schweizer ip adresse. Wo ist da der Fehler?

spoensche · 22 Nov. 2011

Du hast als Default Route deinen Router angegeben und das sorgt dafür, dass der Verkehr auch an dem VPN vorbei ins Internet kann.

Conax · 22 Nov. 2011

Ich habe jetzt auch noch einmal kvpnc instaliert um es damit zu testen. kvpnc spuckt dabei folgendes aus:

Code:

Debug: OpenVPN-Import: Datei: /home/stefan/src/Stefan-TO-IPFire.ovpn
Debug: OpenVPN-Import: Push vom Server deaktivieren: Nein
Debug: OpenVPN-Import: Tunnelgerätetyp: tun
Debug: OpenVPN-Import: UDP benutzen
Debug: OpenVPN-Import: benutzerdefinierten MTU benutzen: 1500
Debug: OpenVPN-Import: benutzerdefinierten entfernten Port benutzen: 1 194
Debug: OpenVPN-Import: Gateway: 7x-xx-xxx-xxx.dxxxxt.hxxxxx.xx
Debug: OpenVPN-Import: PKCS12-Datei gefunden: Stefan.p12
Debug: OpenVPN-Import: benutzerdefinierten Verschlüsselungsalgorithmus benutzen
Debug: OpenVPN-Import: NS-Zertifikatstyp benutzen: server
Debug: OpenVPN-Import: entfernten TLS-Rechner benutzen: 7x-xx-xxx-xxx.dxxxxt.hxxxxx.xx
Debug: type: 0
Debug: type: 3
Debug: Prozess openssl gestartet.
Debug: Zertifikatimport: Importpasswort wurde angefordert, es wird gesendet ...
Debug: Importpasswort wurde akzeptiert.
Debug: Zertifikatimport: Das CA-Zertifikat wurde erfolgreich importiert.
Debug: Zertifikatimport: Hash wurde erfolgreich erstellt.
Debug: Zertifikatimport: exit()
Debug: Zertifikatimport: Link wurde erfolgreich erstellt.
Debug: Zertifikatimport: exit()
Debug: Zertifikatimport: Link wurde erfolgreich erstellt.
Debug: Zertifikatimport: Das Zertifikat wurde erfolgreich importiert.
Debug: Zertifikatimport: Das Zertifikat wurde erfolgreich importiert.
Info: OpenVPN-Import: Der Import der PKCS12-Zertifikatsdatei Stefan.p12 war erfolgreich.
Info: Import von _home_stefan_src_Stefan-TO-IPFire (OpenVPN) war erfolgreich.
Info: Profil _home_stefan_src_Stefan-TO-IPFire gespeichert.
Debug: openvpn: /usr/sbin/openvpn
Debug: Laden von Modul tun war erfolgreich.
Debug: Keine Standardschnittstelle gefunden, es wird „lo“ benutzt.
Debug: Keine IP für Standardschnittstelle gefunden, es wird 127.0.0.1 benutzt.
Info: Es wird versucht, zu Server „7x-xx-xxx-xxx.dxxxxt.hxxxxx.xx“ zu verbinden ... 
Debug: DNS_UPDATE „Yes“ wird gesetzt.
Debug: Openvpn-Managementhandler wird gestartet ...
Fehler: OpenvpnManagementHandler: Verbindung abgelehnt
Debug: [openvpn] Thu Nov 24 14:55:03 2011 NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
Debug: [openvpn] 
Fehler: OpenvpnManagementHandler: Es kam kein Banner innerhalb von 3 Sekunden von der Managementschnittstelle, es wird erneut versucht.
Debug: [openvpn] Thu Nov 24 14:55:08 2011 WARNING: potential route subnet conflict between local LAN [10.0.10.0/255.255.255.0] and remote VPN [10.0.10.1/255.255.255.255]
Debug: [openvpn] 
Debug: Trennen angefordert
Debug: Trennen angefordert, Status: Verbindungsaufbau
Debug: Es wird Prozess während des Verbindens beendet. 
Erfolg: Erfolgreicher Verbindungsversuch wurde abgebrochen.
Debug: Getrennt.
Debug: openvpn: /usr/sbin/openvpn
Debug: Unterstützung für TUN/TAP gefunden (einkompiliert in Kernel oder Kernelmodul bereits geladen).
Debug: Keine Standardschnittstelle gefunden, es wird „lo“ benutzt.
Debug: Keine IP für Standardschnittstelle gefunden, es wird 127.0.0.1 benutzt.
Info: Es wird versucht, zu Server „7x-xx-xxx-xxx.dxxxxt.hxxxxx.xx“ zu verbinden ... 
Debug: DNS_UPDATE „Yes“ wird gesetzt.
Debug: Openvpn-Managementhandler wird gestartet ...
Debug: [openvpn] Thu Nov 24 14:56:56 2011 NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
Debug: [openvpn] 
Debug: [openvpn] Thu Nov 24 14:56:59 2011 NOTE: unable to redirect default gateway -- Cannot read current default gateway from system
Debug: [openvpn] 
Debug: Trennen angefordert
Debug: Trennen angefordert, Status: Verbindungsaufbau
Debug: Es wird Prozess während des Verbindens beendet. 
Erfolg: Erfolgreicher Verbindungsversuch wurde abgebrochen.
Debug: Getrennt.

Ich habe mich auch mit dem admin hier in Verbindung gesetzt und der meinte vpn wäre hier erlaubt.

Leider kenne ich mich mit der Netzwerktechnik nicht so richtig aus weswegen das wohl auch so lange dauert bis es mal läuft.

spoensche · 25 Nov. 2011

Gib dem Client mal eine Standardschnittstelle mit. (z.B. eth0)

Conax · 25 Nov. 2011

Es läuft jetzt endlich das problem lag am Server.
Danke für eure Hilfe.