OpenVPN - Tunnel aufgebaut - kein Zugriff

csg · Beitrag von **csg** » Fr 15.04.2011, 11:16

Hallo zusammen,

auf unserer neuen RC300 10.5.1 habe ich die Zertifikatskonfig und das Anlegen eines SSL-VPN-Users gem. Anleitung durchgeführt.
Auch die IP 192.168.250.10 hat eine Firewallregel, um alles im internen Netz zu dürfen.

Der Tunnel wird vom entfernten Standort aufgebaut und gilt als OK.

Allerdings kann ich im Zielnetz keine Maschinen erreichen. Das Zielnetz hat 10.4.0.0/17.

Log anbei. Irgendwas habe ich sicher vergessen. Aberda es mit den alten Appliances und OpenVPN so simpel war kann ich mir nciht vorstellen, dass es etwas wahnsinnig kompliziertes ist.

Kann mir jemand helfen?

Danke und Gruss

Jan

Code: Alles auswählen

Fri Apr 15 11:08:14 2011 OpenVPN 2.1.1 i386-pc-mingw32 [SSL] [LZO2] built on Apr 14 2010


Fri Apr 15 11:08:24 2011 WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
Fri Apr 15 11:08:24 2011 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables





Fri Apr 15 11:08:24 2011 Control Channel MTU parms [ L:1541 D:138 EF:38 EB:0 ET:0 EL:0 ]
Fri Apr 15 11:08:24 2011 Data Channel MTU parms [ L:1541 D:1450 EF:41 EB:4 ET:0 EL:0 ]
Fri Apr 15 11:08:24 2011 Local Options hash (VER=V4): '3514370b'
Fri Apr 15 11:08:24 2011 Expected Remote Options hash (VER=V4): '239669a8'
Fri Apr 15 11:08:24 2011 Socket Buffers: R=[8192->8192] S=[8192->8192]
Fri Apr 15 11:08:24 2011 UDPv4 link local: [undef]
Fri Apr 15 11:08:24 2011 UDPv4 link remote: WANIP:1194


Fri Apr 15 11:08:24 2011 TLS: Initial packet from WANIP:1194, sid=9c9c6da2 33a3c06d
Fri Apr 15 11:08:24 2011 WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this


Fri Apr 15 11:08:24 2011 VERIFY OK: depth=1, /C=DE/ST=Deutschland/L=ORT/O=FIRMA/OU=IT/CN=FIRMA_ORT/emailAddress=EMAIL
Fri Apr 15 11:08:24 2011 VERIFY OK: depth=0, /C=DE/ST=Deutschland/L=ORT/O=FIRMA/OU=IT/CN=SSL_Server_ORT/emailAddress=EMAIL


Fri Apr 15 11:08:25 2011 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Fri Apr 15 11:08:25 2011 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Fri Apr 15 11:08:25 2011 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Fri Apr 15 11:08:25 2011 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Fri Apr 15 11:08:25 2011 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
Fri Apr 15 11:08:25 2011 [SSL_Server_ORT] Peer Connection Initiated with WAN_IP:1194


Fri Apr 15 11:08:27 2011 SENT CONTROL [SSL_Server_ORT]: 'PUSH_REQUEST' (status=1)
Fri Apr 15 11:08:27 2011 PUSH: Received control message: 'PUSH_REPLY,dhcp-option DNS 10.4.0.1,route 192.168.250.1,topology net30,ping 10,ping-restart 120,ifconfig 192.168.250.10 192.168.250.9'
Fri Apr 15 11:08:27 2011 OPTIONS IMPORT: timers and/or timeouts modified
Fri Apr 15 11:08:27 2011 OPTIONS IMPORT: --ifconfig/up options modified
Fri Apr 15 11:08:27 2011 OPTIONS IMPORT: route options modified
Fri Apr 15 11:08:27 2011 OPTIONS IMPORT: --ip-win32 and/or --dhcp-option options modified
Fri Apr 15 11:08:27 2011 ROUTE default_gateway=192.168.178.253
Fri Apr 15 11:08:27 2011 TAP-WIN32 device [LAN-Verbindung] opened: \\\\.\\Global\\{8E1FB8D3-BDAC-44EA-B99B-C82EA4C50090}.tap
Fri Apr 15 11:08:27 2011 TAP-Win32 Driver Version 9.6 
Fri Apr 15 11:08:27 2011 TAP-Win32 MTU=1500
Fri Apr 15 11:08:27 2011 Notified TAP-Win32 driver to set a DHCP IP/netmask of 192.168.250.10/255.255.255.252 on interface {8E1FB8D3-BDAC-44EA-B99B-C82EA4C50090} [DHCP-serv: 192.168.250.9, lease-time: 31536000]
Fri Apr 15 11:08:27 2011 Successful ARP Flush on interface [28] {8E1FB8D3-BDAC-44EA-B99B-C82EA4C50090}


Fri Apr 15 11:08:29 2011 TEST ROUTES: 1/1 succeeded len=1 ret=1 a=0 u/d=up


Fri Apr 15 11:08:29 2011 C:\\WINDOWS\\system32\\route.exe ADD 192.168.250.1 MASK 255.255.255.255 192.168.250.9
Fri Apr 15 11:08:29 2011 Initialization Sequence Completed

Petasch · Beitrag von **Petasch** » Fr 15.04.2011, 16:06

das Problem liegt darin so wie ich das sehe das gar keine Route ins Zielnetz gesetzt wird. Existiert denn eine Regel openvpn Netz zu Zielnetz ?? Wenn ja den openVPN Dienst neugestartet?

csg · Beitrag von **csg** » Sa 16.04.2011, 09:09

OK, danke für die Info.
Jetzt mal zum Verständnis: Wo muss ich die Route setzen. In der SP-Appliance oder manuell am Client (was ja unschön wäre)?
Sowohl das 10.4.0.0/17 Netz ist nicht pingbar als auch 192.168.250.1 .

Beitrag von **Erik** » Sa 16.04.2011, 12:20

Wenn Sie das hier machen, "pusht" der openVPN-Server beim Verbindungsaufbau eine Route in entsprechende Netz. Kein "unschönes" Editieren der Client-Config notwendig.

csg · Beitrag von **csg** » Sa 16.04.2011, 16:10

@Erik: Ich habe es soeben nochmals nach dem Wiki komplett neu konfiguriert.
Test unter Win7 Pro 32bit mit dem portablen Client (inkl. "Ausführen als Administrator") schlägt mit folgendem Fehler beim Versuch des Verbindungsaufbaues fehl:

Code: Alles auswählen

Options error: Bad protocol: '1194'.  Allowed protocols with --proto option: [udp] [tcp-server] [tcp-client] [tcp]
Use --help for more information.

csg · Beitrag von **csg** » Sa 16.04.2011, 16:36

Ergänzung: Auch mit der Installer-Version erhalte ich die selbe Fehlermeldung.

Info: Zu einem anderen Kunden nutzen wir einen anderen OpenVPN-Client OpenVPN 2.1.1 i686-pc-mingw32 [SSL] [LZO2] [PKCS11] mit GUI V1.0.3. Der Aufbau klappt wunderbar ohne Probleme. Auch dort wird UDP 1194 mit Zertifikat und PSK verwendet.

Beitrag von **Erik** » Sa 16.04.2011, 16:45

Schauen Sie sich mal die Server-Config auf der Firewall an. Ist da unter VPN -> SSL VPN -> Protokoll vielleicht was komisches ausgewählt? Gültige Werte sind "tcp" und "udp"

csg · Beitrag von **csg** » Sa 16.04.2011, 18:21

Ich würde sagen nein.

Port 1194
UDP
lokale Authentifizierung
SSL Zertifikat ist ausgewählt
es ist an ALLE Schnittstellen gebunden
keine Kompression
VPN IP 192.168.250.1
Maske 255.255.255.255/24

Beitrag von **Erik** » Sa 16.04.2011, 19:09

Aber er openVPN Server ist gestartet? Die Fehlermeldung sieht verdammt danach aus, dass in die Protokoll-Variable der Port eingetragen ist.
Führen Sie unter Extras -> CLI mal aus:

Code: Alles auswählen

show extc_value openvpn PROTO

Code: Alles auswählen

show extc_value openvpn PORT

Was steht in der Ausgabe?

csg · Beitrag von **csg** » So 17.04.2011, 11:19

17.4.2011-11:18 <- udp
17.4.2011-11:19 <- 1194

Beitrag von **Erik** » So 17.04.2011, 13:43

Also das:

Code: Alles auswählen

Options error: Bad protocol: '1194'.  Allowed protocols with --proto option: [udp] [tcp-server] [tcp-client] [tcp]

und das:

Code: Alles auswählen

show extc_value openvpn PROTO
17.4.2011-11:18 <- udp

passt ja mal überhaupt nicht zusammen.
Sie können sich ja mal Ihre Client-Config anschauen. Da muss in der Zeile "proto ..." Unfug drinstehen.

csg · Beitrag von **csg** » Mo 18.04.2011, 10:06

Code: Alles auswählen

client
dev tun
tun-mtu 1500
# fragment 1300
mssfix
proto 1194
float

remote VPN WAN-IP
nobind
persist-key
persist-tun

ca ".cert"

cert "CSG_SSL.cert"
key "CSG_SSL.key"

#comp-lzo
verb 3
mute 20
#auth-nocache
auth-user-pass

%23comp-lzo

route-method exe
route-delay 2

#http-proxy server_IP port
#http-proxy-retry

Beitrag von **Erik** » Mo 18.04.2011, 10:18

Enthält Ihre CA evtl ein Leerzeichen im Namen (CN-Feld)? Das wäre schlecht und sollten Sie beheben.

csg · Beitrag von **csg** » Mo 18.04.2011, 17:22

So langsam macht es keinen Spass mehr. Mit den gewohnten OpenVPN-Clients hatte ich nie Probleme.
Ich habe jetzt die Zertifikate alle gelöscht und neu angelegt. Dabei darauf geachtet, dass weder Sonderzeichen noch Leerzeichen oder Umlaute vorkommen.
Anschliessend habe ich dem VPN-User sein eigenes neues Zertifikat zugwiesen, diese Einstellung gespeichert und daraufhin den Client-Installer heruntergeladen.
Nach der Installation habe ich den Client gestartet und nach einem Doppelklick öffnet sich der Client, aber der Inhalt des Fensters bleibt leer. Es wird keine Verbindung zur Auswahl angezeigt.
Dies passiert sowohl im Kompatibilitätsmodus XP SP3 als auch regulär unter Win7 SP1 64Bit oder bei "Ausführen als Administrator".
Auch die Deinstallation verläuft nicht sauber. Die TAP-Devices bleiben bestehen und müssen manuell nach einem Neustart über den Gerätemanager Deaktiviert und Deinstalliert werden.

csg · Beitrag von **csg** » Mo 18.04.2011, 18:28

OK, den Fehler mit dem Support zusammen gefunden.
Punkt 1: Der Diffie-Hellman-Key war intern nicht sauber generiert. Nochmaliges Speichern unter "VPN -> SSL-VPN" brachte die erste Lösung und der Tunnel wurde aufgebaut.
Punkt 2: die Router zum Zielnetz wurde nicht automatisch korrekt in der RC300 gesetzt. Einfaches hinzufügen der Router "tun0 | 192.168.250.0 | 24 | 1" erlaubt nun auch den Ping ins Zielnetz.

Aber folgende Frage noch. Per IP komme ich ins Zielnetz. Jedopch werden Namen im Zielnetz nicht aufgelöst, obwohl unter "VPN -> SSL-VPN -> DNS" die Nameserver am Zielstandort angegeben sind. Setze ich zusätzlich beim VPN-Benutzer den Haken "Standardgateway für das Remotenetzwerk verwenden" und lade die Clients erneut herunter, bekomme ich nicht mal mehr einen Ping auf die IP-Adressen durch. Wie also ist es möglich, ohne lokal am Client-PC die Netzwerkeinstellungen modifizieren zu müssen, dass die Namensauflösung über den entfernten DNS-Server erfolgt?