SSL VPN nichts im Zielnetzt erreichbar

Allgemeine Fragen zu Problemen. Keine Fehlerberichte oder Feature-Anfragen

Moderator: Securepoint

c-fritz
Beiträge: 1
Registriert: Mi 21.11.2012, 20:02

SSL VPN nichts im Zielnetzt erreichbar

Beitrag von c-fritz »

Hallo Gibt es ein Howto für die Einrichtung eines SSL-VPN Roadwarrior.
Ich habe die Einrichtung soweit hinbekommen das der VPN-Client eine VPN Verbindung aufbaut aber es ist nicht möglich auf etwas im Ziel Netz zuzugreifen.

folgendes habe ich eingerichtet:

-Zertifikate (Root, Server, User) angelegt.
- Roadwarrior-Server eingerichtet (Pool 192.168.250.0/24)
- Lokale Gruppe angelegt und die Berechtigung für SSL-VPN erteilt
- Lokalen Benutzer angelegt, der Gruppe zugeteilt, "SSL-VPN Client Download" aktiviert und User-Zertifikat ausgewählt
- Netzwerk-Gruppe angelegt: SSL-VPN
- Netzwerkobjekt angelegt:
Name: SSL-VPN Netzwerk
Typ: Netzwerk (Adresse)
Adresse: 192.168.250.0/24
Zone: vpn-openvpn-Server
Gruppe: SSL-VPN
- Portfilter-Regel angelegt: SSL-VPN -> Internes Netzwerk -> any = akzeptiert
Ich habe auch auf dem Roadwarrior-Server bei Subnetze übermitteln das Ziel Netz eingetragen damit die Route richtig gesetzt wird eingetragen.

Wo kann der Fehler liegen?

Benutzeravatar
Erik
Securepoint
Beiträge: 1479
Registriert: Fr 07.11.2008, 11:50

Beitrag von Erik »

Wird die Route auf dem Client denn auch korrekt gesetzt? Sehen Sie im Log nach dem Verbindungsaufbau.

andydld
Beiträge: 69
Registriert: Mi 26.09.2012, 10:10
Wohnort: Haibach
Kontaktdaten:

Beitrag von andydld »

Nutzt du den Portable oder den installierten Client?
Mit dem Portable (zumindest bei v10) passiert es relativ oft, das die Route nicht gesetzt wird.

Benutzeravatar
Erik
Securepoint
Beiträge: 1479
Registriert: Fr 07.11.2008, 11:50

Beitrag von Erik »

"relativ oft" = genau dann, wenn der User, der ihn startet keine ausreichenden Berechtigungen auf dem Client hat

andydld
Beiträge: 69
Registriert: Mi 26.09.2012, 10:10
Wohnort: Haibach
Kontaktdaten:

Beitrag von andydld »

Ist mir auch mit Admin- bzw. im Windows-Sprech mit "erhöhten" Rechten begegnet und zwar unter anderem bei mir selbst.
Das Thema hatten wir auch bei der Securepoint-Schulung in Stuttgart neulich.
Bei einem Teilnehmer trat es dort auch auf.

Benutzeravatar
Erik
Securepoint
Beiträge: 1479
Registriert: Fr 07.11.2008, 11:50

Beitrag von Erik »

Und ließ es sich irgendwie auf was anderes eingrenzen? Antiviren-Software oder sowas?

andydld
Beiträge: 69
Registriert: Mi 26.09.2012, 10:10
Wohnort: Haibach
Kontaktdaten:

Beitrag von andydld »

Sowohl bei mir als auch bei der Schulung haben wir dann einfach die installierbare Version genommen.
Ironischerweise ging es bei mir meist beim zweiten Versuch, also Portable Client beenden und wieder starten.
Das mag aber evtl. daran liegen, das ich den Portable Client auf einem Netzlaufwerk liegen hatte.

Fosphatic
Beiträge: 5
Registriert: Fr 03.08.2012, 02:09
Kontaktdaten:

Beitrag von Fosphatic »

Vielen Dank andydld!

ich war schon langsam am verzweifeln, aber durch deinen Tipp mit dem zweiten mal anstarten ging es ohne Konfigurationsänderungen sofort weiter! Vielen, vielen Dank nochmal.

Viele Grüße aus Verl

p.s. hat es von euch auch schon jemand hinbekommen dass DNS Anfragen an eingewählte VPN Benutzer weitergeleitet werden? Ich hab zwar den hacken gesetzt nur irgendwie scheint es keine Auswirkungen zu haben.
Zuletzt geändert von Fosphatic am Fr 23.11.2012, 16:21, insgesamt 1-mal geändert.

LSassl
Beiträge: 97
Registriert: Sa 23.06.2012, 22:43
Kontaktdaten:

Beitrag von LSassl »

Ich hab übrigens ebenfalls oben genannte Probleme. Getestet wurde es mit Windows 7 und Windows 8. IP-Adresse, DNS und WINS werden korrekt gesetzt. Gateway wird nicht gesetzt. Anbei mal mein Client Log:
Try to start OpenVPN connection 5p. GmbH & Co. KG
Sun Dec 02 18:00:52 2012 OpenVPN 2.2.2 Win32-MSVC++ [SSL] [LZO2] [PKCS11] built on Dec 15 2011
Sun Dec 02 18:00:58 2012 WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
Sun Dec 02 18:00:58 2012 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Sun Dec 02 18:00:58 2012 LZO compression initialized
Sun Dec 02 18:00:58 2012 Control Channel MTU parms [ L:1542 D:138 EF:38 EB:0 ET:0 EL:0 ]
Sun Dec 02 18:00:58 2012 Socket Buffers: R=[65536->65536] S=[65536->65536]

Sun Dec 02 18:00:58 2012 Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:0 EL:0 AF:3/1 ]
Sun Dec 02 18:00:58 2012 Local Options hash (VER=V4): '41690919'
Sun Dec 02 18:00:58 2012 Expected Remote Options hash (VER=V4): '530fdded'
Sun Dec 02 18:00:58 2012 UDPv4 link local: [undef]
Sun Dec 02 18:00:58 2012 UDPv4 link remote: external_ip:1194
Sun Dec 02 18:00:58 2012 TLS: Initial packet from external_ip:1194, sid=8dc68e6d dc24c11f
Sun Dec 02 18:00:58 2012 WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
Sun Dec 02 18:00:59 2012 VERIFY OK: depth=1, /C=DE/ST=Rheinland-Pfalz/L=Stadt/O=Company/OU=IT/CN=5partner_firewall_ca/emailAddress=info@domain.de
Sun Dec 02 18:00:59 2012 VERIFY OK: depth=0, /C=DE/ST=Rheinland-Pfalz/L=Stadt/O=Company/OU=IT/CN=gateway_cert01/emailAddress=gateway@domain.de
Sun Dec 02 18:01:08 2012 WARNING: 'link-mtu' is used inconsistently, local='link-mtu 1542', remote='link-mtu 1541'
Sun Dec 02 18:01:08 2012 WARNING: 'comp-lzo' is present in local config but missing in remote config, local='comp-lzo'
Sun Dec 02 18:01:08 2012 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Sun Dec 02 18:01:08 2012 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Sun Dec 02 18:01:08 2012 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Sun Dec 02 18:01:08 2012 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Sun Dec 02 18:01:08 2012 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
Sun Dec 02 18:01:08 2012 [gateway_cert01] Peer Connection Initiated with external_ip:1194
Sun Dec 02 18:01:10 2012 SENT CONTROL [gateway_cert01]: 'PUSH_REQUEST' (status=1)
Sun Dec 02 18:01:10 2012 PUSH: Received control message: 'PUSH_REPLY,dhcp-option DNS 192.168.100.5,dhcp-option DNS 192.168.100.10,dhcp-option WINS 192.168.100.10,dhcp-option WINS 192.168.100.5,route-gateway 192.168.250.1,topology subnet,ping 10,ping-restart 120,ifconfig 192.168.250.2 255.255.255.255'
Sun Dec 02 18:01:10 2012 OPTIONS IMPORT: timers and/or timeouts modified
Sun Dec 02 18:01:10 2012 OPTIONS IMPORT: --ifconfig/up options modified
Sun Dec 02 18:01:10 2012 OPTIONS IMPORT: route-related options modified
Sun Dec 02 18:01:10 2012 OPTIONS IMPORT: --ip-win32 and/or --dhcp-option options modified
Sun Dec 02 18:01:10 2012 TAP-WIN32 device [LAN-Verbindung] opened: \\\\.\\Global\\{3F1B1AB0-4918-47E3-8A39-FE97660C87A0}.tap
Sun Dec 02 18:01:10 2012 TAP-Win32 Driver Version 9.9
Sun Dec 02 18:01:10 2012 TAP-Win32 MTU=1500
Sun Dec 02 18:01:10 2012 Set TAP-Win32 TUN subnet mode network/local/netmask = 192.168.250.2/192.168.250.2/255.255.255.255 [SUCCEEDED]
Sun Dec 02 18:01:10 2012 Notified TAP-Win32 driver to set a DHCP IP/netmask of 192.168.250.2/255.255.255.255 on interface {3F1B1AB0-4918-47E3-8A39-FE97660C87A0} [DHCP-serv: 0.0.0.0, lease-time: 31536000]
Sun Dec 02 18:01:10 2012 Successful ARP Flush on interface [51] {3F1B1AB0-4918-47E3-8A39-FE97660C87A0}
Sun Dec 02 18:01:12 2012 TEST ROUTES: 0/0 succeeded len=-1 ret=1 a=0 u/d=up
Sun Dec 02 18:01:12 2012 Initialization Sequence Completed
Sun Dec 02 18:01:10 2012 PUSH: Received control message: 'PUSH_REPLY,dhcp-option DNS 192.168.100.5,dhcp-option DNS 192.168.100.10,dhcp-option WINS 192.168.100.10,dhcp-option WINS 192.168.100.5,route-gateway 192.168.250.1,topology subnet,ping 10,ping-restart 120,ifconfig 192.168.250.2 255.255.255.255'
Sun Dec 02 18:01:10 2012 OPTIONS IMPORT: timers and/or timeouts modified
Sun Dec 02 18:01:10 2012 OPTIONS IMPORT: --ifconfig/up options modified
Sun Dec 02 18:01:10 2012 OPTIONS IMPORT: route-related options modified
Sun Dec 02 18:01:10 2012 OPTIONS IMPORT: --ip-win32 and/or --dhcp-option options modified
Sun Dec 02 18:01:10 2012 TAP-WIN32 device [LAN-Verbindung] opened: \\\\.\\Global\\{3F1B1AB0-4918-47E3-8A39-FE97660C87A0}.tap
Sun Dec 02 18:01:10 2012 TAP-Win32 Driver Version 9.9
Sun Dec 02 18:01:10 2012 TAP-Win32 MTU=1500
Sun Dec 02 18:01:10 2012 Set TAP-Win32 TUN subnet mode network/local/netmask = 192.168.250.2/192.168.250.2/255.255.255.255 [SUCCEEDED]
Sun Dec 02 18:01:10 2012 Notified TAP-Win32 driver to set a DHCP IP/netmask of 192.168.250.2/255.255.255.255 on interface {3F1B1AB0-4918-47E3-8A39-FE97660C87A0} [DHCP-serv: 0.0.0.0, lease-time: 31536000]
Sun Dec 02 18:01:10 2012 Successful ARP Flush on interface [51] {3F1B1AB0-4918-47E3-8A39-FE97660C87A0}
Sun Dec 02 18:01:20 2012 Bad LZO decompression header byte: 42
Sun Dec 02 18:01:30 2012 Bad LZO decompression header byte: 42
Hmm, wo ist denn die Any-Key-Taste? Naja, ich bestell mir ersteinmal ein Bier! - Homer Simpson

Benutzeravatar
Erik
Securepoint
Beiträge: 1479
Registriert: Fr 07.11.2008, 11:50

Beitrag von Erik »

Code: Alles auswählen

Sun Dec 02 18:01:20 2012 Bad LZO decompression header byte: 42
Sun Dec 02 18:01:30 2012 Bad LZO decompression header byte: 42
Deaktivieren Sie einfach auf Server und Client die LZO-Compression

LSassl
Beiträge: 97
Registriert: Sa 23.06.2012, 22:43
Kontaktdaten:

Beitrag von LSassl »

Die Compression wurde deaktiviert (sowohl Client- als auch Serverseitig). Das Problem besteht jedoch weiterhin. ipconfig /all zeigt, dass IP-Adresse, DNS und WINS gesetzt wurden. Gateway fehlt jedoch. Anbei der aktuelle Log.
Try to start OpenVPN connection 5p. GmbH & Co. KG
Mon Dec 03 12:51:55 2012 OpenVPN 2.2.2 Win32-MSVC++ [SSL] [LZO2] [PKCS11] built on Dec 15 2011
Mon Dec 03 12:52:02 2012 WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
Mon Dec 03 12:52:02 2012 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables

Mon Dec 03 12:52:02 2012 Control Channel MTU parms [ L:1541 D:138 EF:38 EB:0 ET:0 EL:0 ]
Mon Dec 03 12:52:02 2012 Socket Buffers: R=[65536->65536] S=[65536->65536]
Mon Dec 03 12:52:02 2012 Data Channel MTU parms [ L:1541 D:1450 EF:41 EB:4 ET:0 EL:0 ]
Mon Dec 03 12:52:02 2012 Local Options hash (VER=V4): '3514370b'
Mon Dec 03 12:52:02 2012 Expected Remote Options hash (VER=V4): '239669a8'
Mon Dec 03 12:52:02 2012 UDPv4 link local: [undef]
Mon Dec 03 12:52:02 2012 UDPv4 link remote: external_ip:1194
Mon Dec 03 12:52:03 2012 TLS: Initial packet from external_ip:1194, sid=5d83356a 3c1294c3
Mon Dec 03 12:52:03 2012 WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
Mon Dec 03 12:52:03 2012 VERIFY OK: depth=1, /C=DE/ST=Rheinland-Pfalz/L=Stadt/O=Company/OU=IT/CN=5partner_firewall_ca/emailAddress=info@domain.de
Mon Dec 03 12:52:03 2012 VERIFY OK: depth=0, /C=DE/ST=Rheinland-Pfalz/L=Stadt/O=Company/OU=IT/CN=gateway_cert01/emailAddress=gateway@domain.de
Mon Dec 03 12:52:05 2012 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Mon Dec 03 12:52:05 2012 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Mon Dec 03 12:52:05 2012 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Mon Dec 03 12:52:05 2012 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Mon Dec 03 12:52:05 2012 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
Mon Dec 03 12:52:05 2012 [gateway_cert01] Peer Connection Initiated with external_ip:1194
Mon Dec 03 12:52:07 2012 SENT CONTROL [gateway_cert01]: 'PUSH_REQUEST' (status=1)
Mon Dec 03 12:52:08 2012 PUSH: Received control message: 'PUSH_REPLY,dhcp-option DNS 192.168.100.5,dhcp-option DNS 192.168.100.10,dhcp-option WINS 192.168.100.10,dhcp-option WINS 192.168.100.5,route-gateway 192.168.250.1,topology subnet,ping 10,ping-restart 120,ifconfig 192.168.250.2 255.255.255.255'
Mon Dec 03 12:52:08 2012 OPTIONS IMPORT: timers and/or timeouts modified
Mon Dec 03 12:52:08 2012 OPTIONS IMPORT: --ifconfig/up options modified
Mon Dec 03 12:52:08 2012 OPTIONS IMPORT: route-related options modified
Mon Dec 03 12:52:08 2012 OPTIONS IMPORT: --ip-win32 and/or --dhcp-option options modified
Mon Dec 03 12:52:08 2012 TAP-WIN32 device [LAN-Verbindung] opened: \\\\.\\Global\\{3F1B1AB0-4918-47E3-8A39-FE97660C87A0}.tap
Mon Dec 03 12:52:08 2012 TAP-Win32 Driver Version 9.9
Mon Dec 03 12:52:08 2012 TAP-Win32 MTU=1500
Mon Dec 03 12:52:08 2012 Set TAP-Win32 TUN subnet mode network/local/netmask = 192.168.250.2/192.168.250.2/255.255.255.255 [SUCCEEDED]
Mon Dec 03 12:52:08 2012 Notified TAP-Win32 driver to set a DHCP IP/netmask of 192.168.250.2/255.255.255.255 on interface {3F1B1AB0-4918-47E3-8A39-FE97660C87A0} [DHCP-serv: 0.0.0.0, lease-time: 31536000]
Mon Dec 03 12:52:08 2012 Successful ARP Flush on interface [26] {3F1B1AB0-4918-47E3-8A39-FE97660C87A0}
Mon Dec 03 12:52:10 2012 TEST ROUTES: 0/0 succeeded len=-1 ret=1 a=0 u/d=up
Mon Dec 03 12:52:10 2012 Initialization Sequence Completed
Mon Dec 03 12:52:08 2012 TAP-WIN32 device [LAN-Verbindung] opened: \\\\.\\Global\\{3F1B1AB0-4918-47E3-8A39-FE97660C87A0}.tap
Mon Dec 03 12:52:08 2012 TAP-Win32 Driver Version 9.9
Mon Dec 03 12:52:08 2012 TAP-Win32 MTU=1500
Mon Dec 03 12:52:08 2012 Set TAP-Win32 TUN subnet mode network/local/netmask = 192.168.250.2/192.168.250.2/255.255.255.255 [SUCCEEDED]
Mon Dec 03 12:52:08 2012 Notified TAP-Win32 driver to set a DHCP IP/netmask of 192.168.250.2/255.255.255.255 on interface {3F1B1AB0-4918-47E3-8A39-FE97660C87A0} [DHCP-serv: 0.0.0.0, lease-time: 31536000]
Mon Dec 03 12:52:08 2012 Successful ARP Flush on interface [26] {3F1B1AB0-4918-47E3-8A39-FE97660C87A0}
Hmm, wo ist denn die Any-Key-Taste? Naja, ich bestell mir ersteinmal ein Bier! - Homer Simpson

Benutzeravatar
Erik
Securepoint
Beiträge: 1479
Registriert: Fr 07.11.2008, 11:50

Beitrag von Erik »

Code: Alles auswählen

Mon Dec 03 12:52:08 2012 PUSH: Received control message: 'PUSH_REPLY,dhcp-option DNS 
192.168.100.5,dhcp-option DNS 192.168.100.10,
dhcp-option WINS 192.168.100.10,dhcp-option WINS 192.168.100.5,route-gateway 192.168.250.1,topology 
subnet,ping 10,
ping-restart 120,ifconfig 192.168.250.2 255.255.255.255'
Zum einen wird da keine Route gepusht (in den VPN-Einstellungen für diesen Tunnel eingetragen? Ist in der 11er nicht mehr an die Regel gebunden).
Zum anderen gibt es unter Windows 8 einen Dienst "Network Connections" (NetMan). Dieser muss laufen, damit die Routen gesetzt werden. In der nächsten Version des CLients wird der unter Win8 dann automagisch mit gestartet.
Zuletzt geändert von Erik am Mo 03.12.2012, 17:25, insgesamt 1-mal geändert.

LSassl
Beiträge: 97
Registriert: Sa 23.06.2012, 22:43
Kontaktdaten:

Beitrag von LSassl »

Hallo Erik,

der Dienst "Netzwerkverbindungen" ist aktiv. In der VPN-Konfiguration ist bei "Subnetze übermitteln" die Netzadresse eingetragen. Die Route wird jedoch nach wie vor nicht gesetzt. Mit erhöhten Rechten und bei Verwendung der "Portable Edition" besteht das Problem ebenfalls.
Hmm, wo ist denn die Any-Key-Taste? Naja, ich bestell mir ersteinmal ein Bier! - Homer Simpson

LSassl
Beiträge: 97
Registriert: Sa 23.06.2012, 22:43
Kontaktdaten:

Beitrag von LSassl »

Nachtrag: Das Problem scheint wirklich Windows 8 zu sein. Ich habe die Verbindung nochmal neu auf einem Windows 7 System eingerichtet und dort funktioniert soweit nun alles.
LSassl hat geschrieben: Hallo Erik,

der Dienst "Netzwerkverbindungen" ist aktiv. In der VPN-Konfiguration ist bei "Subnetze übermitteln" die Netzadresse eingetragen. Die Route wird jedoch nach wie vor nicht gesetzt. Mit erhöhten Rechten und bei Verwendung der "Portable Edition" besteht das Problem ebenfalls.
Hmm, wo ist denn die Any-Key-Taste? Naja, ich bestell mir ersteinmal ein Bier! - Homer Simpson

Fosphatic
Beiträge: 5
Registriert: Fr 03.08.2012, 02:09
Kontaktdaten:

Beitrag von Fosphatic »

Hallo LSassl,

das Problem mit Windows 8 kann ich leider nicht bestätigen. Mit der Version 1.0 des Securepoint VPN Clients klappt es wunderbar ebenfalls aus Windows 8. Wobei das selbst mit der vorletzten Version und der UTM v11 sehr gut ging.

Patrick Fischer
Beiträge: 51
Registriert: So 06.12.2009, 00:49

Beitrag von Patrick Fischer »

Ich habe auch das Problem, dass das Gateway nicht gesetzt wird. Wo stelle ich denn ein, dass das Gateway gesetzt werden soll. Ich benutze die Portable Edition. Verbindung klappt, aber ich kann auf Grund des fehlenden Gateways im Zielnetz nichts machen.

Patrick Fischer
Beiträge: 51
Registriert: So 06.12.2009, 00:49

Beitrag von Patrick Fischer »

Subnetz ist eingetragen: http://www.securepoint.de/support/topic.php?id=1918
Aber es wird kein Standardgateway übergeben. Reboot natürlich auch gemacht :-)
Zuletzt geändert von Patrick Fischer am Sa 29.12.2012, 11:40, insgesamt 1-mal geändert.

Benutzeravatar
Erik
Securepoint
Beiträge: 1479
Registriert: Fr 07.11.2008, 11:50

Beitrag von Erik »

Schauen Sie bitte mal ins Log des Clients. Sort sehen Sie zu einen, ob die Subnetze korrekt gepushed werden (PUSH REPLY ...) und zum anderen, ob der Client die übergebenen Routen korrekt setzt.
Ich würde Ihnen davon abraten, ein Default-Gateway durch den Tunnel zu setzen.

Patrick Fischer
Beiträge: 51
Registriert: So 06.12.2009, 00:49

Beitrag von Patrick Fischer »

Das kann ich erst morgen wieder schauen. Musste wieder meine BD V10 dran hängen, sonst können die externen nicht mehr arbeiten. Was tun, falls es nicht gepusht wird?
Erik hat geschrieben: Ich würde Ihnen davon abraten, ein Default-Gateway durch den Tunnel zu setzen.
Was meinen Sie damit genau? Ich verstehe den Satz nicht. Ich habe das SSL VPN nach ihrem Howto eingerichtet. Verbindung klappt, aber ich erreiche im Zielnetz keinen Rechner. Mit ipconfig /all sehe ich, dass kein Standard-Gateway gesetzt ist. Standard-Route ist doch gleich Standard-Gateway oder?

Benutzeravatar
Erik
Securepoint
Beiträge: 1479
Registriert: Fr 07.11.2008, 11:50

Beitrag von Erik »

"Standard-Gateway" (oder Standard-Route, Default-Gateway) meint, dass das Ziel der Route 0.0.0.0/0 - also "das Internet" ist. Sie KÖNNEN natürlich solch eine Route zu verbundenen Clients pushen. Das bedeutet aber, dass die dann auch über den Tunnel mit dem Rest des Internets kommunizieren möchten. Jeglicher Traffic geht also zwei Mal durch ihre Internet-Verbindung. Da sie dort nur eine BD stehen haben, wollen sie das nicht.
Im Normalfall werden nur genau die Netze gepusht, die auch hinter der Firewall verfügbar sind.

Was Sie tun können hängt davon ab, wo das Problem ist. Und DAS wiederum steht vielleicht im Log.

Patrick Fischer
Beiträge: 51
Registriert: So 06.12.2009, 00:49

Beitrag von Patrick Fischer »

Jetzt habe ich es verstanden. Klar, ich will keine Default Route durch den Tunnel setzen. Ich will ja nur, dass eine Route für die Netzwerke hinter dem Tunnel gesetzt wird. Der Wert bei Standardgateway sollte am Tunnneladapter immer leer sein. Lediglich bei "route print" muss die entsprechende Route gesetzt sein. Korrekt?

Patrick Fischer
Beiträge: 51
Registriert: So 06.12.2009, 00:49

Beitrag von Patrick Fischer »

Hier das Log:

Code: Alles auswählen

Sun Dec 30 08:36:07 2012 OpenVPN 2.2.2 Win32-MSVC++ [SSL] [LZO2] [PKCS11] built on Dec 15 2011


Sun Dec 30 08:36:13 2012 WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
Sun Dec 30 08:36:13 2012 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables





Sun Dec 30 08:36:14 2012 Control Channel MTU parms [ L:1541 D:138 EF:38 EB:0 ET:0 EL:0 ]
Sun Dec 30 08:36:14 2012 Socket Buffers: R=[8192->8192] S=[8192->8192]
Sun Dec 30 08:36:14 2012 Data Channel MTU parms [ L:1541 D:1450 EF:41 EB:4 ET:0 EL:0 ]
Sun Dec 30 08:36:14 2012 Local Options hash (VER=V4): '3514370b'
Sun Dec 30 08:36:14 2012 Expected Remote Options hash (VER=V4): '239669a8'
Sun Dec 30 08:36:14 2012 UDPv4 link local: [undef]
Sun Dec 30 08:36:14 2012 UDPv4 link remote: 188.194.89.162:1194


Sun Dec 30 08:36:14 2012 TLS: Initial packet from 188.194.89.162:1194, sid=d42a6ae2 ca62f09c
Sun Dec 30 08:36:14 2012 WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this


Sun Dec 30 08:36:14 2012 VERIFY OK: depth=1, /C=DE/ST=Bayern/L=Karlstadt/O=SOLOX/OU=SOLOX/CN=SOLOX_Cert/emailAddress=team@solox.de
Sun Dec 30 08:36:14 2012 VERIFY OK: depth=0, /C=DE/ST=Bayern/L=Karlstadt/O=SOLOX/OU=SOLOX/CN=Server_Cert/emailAddress=team@solox.de


Sun Dec 30 08:36:15 2012 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Sun Dec 30 08:36:15 2012 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Sun Dec 30 08:36:15 2012 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Sun Dec 30 08:36:15 2012 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Sun Dec 30 08:36:15 2012 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
Sun Dec 30 08:36:15 2012 [Server_Cert] Peer Connection Initiated with 188.194.89.162:1194


Sun Dec 30 08:36:17 2012 SENT CONTROL [Server_Cert]: 'PUSH_REQUEST' (status=1)


Sun Dec 30 08:36:17 2012 PUSH: Received control message: 'PUSH_REPLY,route 192.168.37.0 255.255.255.0,dhcp-option DNS 192.168.37.1,dhcp-option DNS ,route-gateway 192.168.250.1,topology subnet,ping 10,ping-restart 120,ifconfig 192.168.250.2 255.255.255.0'
Sun Dec 30 08:36:17 2012 Options error: --dhcp-option: unknown option type 'DNS' or missing parameter
Sun Dec 30 08:36:17 2012 OPTIONS IMPORT: timers and/or timeouts modified
Sun Dec 30 08:36:17 2012 OPTIONS IMPORT: --ifconfig/up options modified
Sun Dec 30 08:36:17 2012 OPTIONS IMPORT: route options modified
Sun Dec 30 08:36:17 2012 OPTIONS IMPORT: route-related options modified
Sun Dec 30 08:36:17 2012 OPTIONS IMPORT: --ip-win32 and/or --dhcp-option options modified
Sun Dec 30 08:36:17 2012 ROUTE default_gateway=192.168.178.1
Sun Dec 30 08:36:17 2012 TAP-WIN32 device [LAN-Verbindung 2] opened: \\\\.\\Global\\{FDE65AE7-3EA4-4075-B6DC-4B04A526335F}.tap
Sun Dec 30 08:36:17 2012 TAP-Win32 Driver Version 9.9 
Sun Dec 30 08:36:17 2012 TAP-Win32 MTU=1500
Sun Dec 30 08:36:17 2012 Set TAP-Win32 TUN subnet mode network/local/netmask = 192.168.250.0/192.168.250.2/255.255.255.0 [SUCCEEDED]
Sun Dec 30 08:36:17 2012 Notified TAP-Win32 driver to set a DHCP IP/netmask of 192.168.250.2/255.255.255.0 on interface {FDE65AE7-3EA4-4075-B6DC-4B04A526335F} [DHCP-serv: 192.168.250.254, lease-time: 31536000]
Sun Dec 30 08:36:17 2012 Successful ARP Flush on interface [17] {FDE65AE7-3EA4-4075-B6DC-4B04A526335F}


Sun Dec 30 08:36:19 2012 TEST ROUTES: 1/1 succeeded len=1 ret=1 a=0 u/d=up
Sun Dec 30 08:36:19 2012 C:\\WINDOWS\\system32\\route.exe ADD 192.168.37.0 MASK 255.255.255.0 192.168.250.1
 OK!
Sun Dec 30 08:36:19 2012 Initialization Sequence Completed

Ich habe mir auch mal den VPN Client installiert (Installer Version), aber da finde ich kein Log. Das Menü beim Trayicon fehlt.
Zuletzt geändert von Patrick Fischer am So 30.12.2012, 09:42, insgesamt 1-mal geändert.

Patrick Fischer
Beiträge: 51
Registriert: So 06.12.2009, 00:49

Beitrag von Patrick Fischer »

Sorry für die "mehreren" Posts. Lang an den verschiedenen Rechnern.

Jetzt bin ich aber wirklich verwirrt. Ich habe gestern Abend meine BD V10 dran gemacht, damit die Buchhaltung arbeiten kann. Heute morgen schließe ich meine RC100 V11 wieder an, um das Log zu erstellen und siehe da, es geht alles. Hat jemand eine Erklärung oder Ähnliches erlebt. Ich bin echt verwirrt ....

Schön wäre es noch, wenn man dem Client noch ein Domänen-Suffix mitgeben könnte.
Zuletzt geändert von Patrick Fischer am So 30.12.2012, 09:48, insgesamt 1-mal geändert.

Benutzeravatar
Erik
Securepoint
Beiträge: 1479
Registriert: Fr 07.11.2008, 11:50

Beitrag von Erik »

Ist das Log jetzt von einem erfolgreichen Versuch? Wenn alles geht kann man immer schlecht sagen, warum es irgendwann mal nicht funktioniert hat.
Ob man die Domain übergeben können wird, kann ich nicht sagen. In der Vergangenheit gab es da aufgrund der... kreativen... Implementierung der DHCP-Optionen seitens Microsoft einige Probleme.

Patrick Fischer
Beiträge: 51
Registriert: So 06.12.2009, 00:49

Beitrag von Patrick Fischer »

Ja, das ist von dem erfolgreichen Versuch heute früh. Gestern die BD ran, heute früh die RC100 und es ging. Ich lass es jetzt meine Buchhalterin noch testen. Die hat noch den Client von der BD V10. Aber das sollte ja alles kein Problem darstellen. Das einzige was ich verändert hatte war, dass ich mal den Client installiert habe. Ich kann jetzt noch mal an einem anderen Gerät, wo der Client noch nie drauf war testen, ob es da auch sofort geht.

Antworten