Re: OpenVPN, aber kein Ping
Michael Hierweck [EMAIL PROTECTED] wrote: Udo Mueller wrote: openvpn.up: --- #!/bin/bash route add -net 10.0.0.0 netmask 255.255.255.0 gw $5 Wozu? Das ist eh nur ein Point-to-Point link. Du brauchst keine Netzroute auf 10.0.0.0/24, sondern eine zu 192.168.200.0/24 (wenn das das Netz auf der anderen Seite ist) Werden denn beim Ping auf dem äußeren Device überhaupt Pakte ausgetauscht? (Per Default UDP auf Port 5000) S° -- BOFH excuse #230: Lusers learning curve appears to be fractal -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: OpenVPN, aber kein Ping - geloest, aber: Routing
Sven Hartge wrote: Michael Hierweck [EMAIL PROTECTED] wrote: Udo Mueller wrote: openvpn.up: --- #!/bin/bash route add -net 10.0.0.0 netmask 255.255.255.0 gw $5 Wozu? Das ist eh nur ein Point-to-Point link. Du brauchst keine Netzroute auf 10.0.0.0/24, sondern eine zu 192.168.200.0/24 (wenn das das Netz auf der anderen Seite ist) Werden denn beim Ping auf dem äußeren Device überhaupt Pakte ausgetauscht? (Per Default UDP auf Port 5000) Ich hatte das aus dem OpenVPN-HowTo übernommen, um Fehler auszuschließen. Der Fehler war übrigens ein ziemlich dummer: ich muss irgendwann bei den Tests (es gab Anfangs noch Ärger mit dem Port-Forwarding des Routers) die Zeilen remote peer gelöscht haben, quasi Copy Paste-Fehler, aber aus dem syslog ging das nicht wirklich hervor... Danke erstmal an alle Beteiligten. Nun gibt es nurnochein Problemchen mit dem Routing, also: 192.168.100.0 - Standort 1 192.168.100.100 - Standort 1 Server 192.168.200.0 - Standort 2 192.168.200.100 - Standort 1 Server 192.168.168.0 - VPN 192.168.168.100 - VPN Ende 1 192.168.168.200 - VPN Ende 2 Wenn der Tunnel steht, sieht es so aus: Standort 1 Server: Destination Gateway Genmask Flags Metric RefUse Iface 192.168.168.200 0.0.0.0 255.255.255.255 UH0 00 tun0 192.168.100.0 0.0.0.0 255.255.255.0 U 0 00 eth0 192.168.200.0 192.168.168.200 255.255.255.0 UG0 00 tun0 0.0.0.0 192.168.100.200 0.0.0.0 UG0 00 eth0 Standort 2 Server: 192.168.168.100 0.0.0.0 255.255.255.255 UH0 00 tun0 192.168.100.0 192.168.168.100 255.255.255.0 UG0 00 tun0 192.168.200.0 0.0.0.0 255.255.255.0 U 0 00 eth0 0.0.0.0 192.168.200.200 0.0.0.0 UG0 00 eth0 Man kann nun von jeweils beliebigen Hosts über den lokalen Server (default gw aller Clients) ins Internet (default gw des Servers) oder den entfernten Server (route über VPN) anpingen. Clients im entfernten Netz kann man nicht anpingen. traceroute erreicht den entfernten Server und gibt dann nur noch Sternchen. ipforwarding ist auf beiden Servern aktiv (sonst würde auch nicht ins Inet geroutet werden können). Ein schönes Wochenende wünscht Michael -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: OpenVPN, aber kein Ping
Udo Mueller wrote: Hallo Michael, begin * Michael Hierweck schrieb [27-10-04 20:55]: Nimm für das VPN doch 10.0.0.1 und 10.0.0.2 dann hast du eine schön klare Trennung zum normalen LAN. Und dann funktioniert der Ping auch. Mit obigen Einstellungen bekommst du klare Routing-Probleme. Und: Falls du transparent auf das andere Netz zugreifen willst, musst du die Routen, entsprechend dem anderen Netz, anpassen. Hallo Udo, also, neuer Versuch (ip-fowarding ist übrigens auf beiden Hosts aktiviert): Host 2: === openvpn.conf: - dev tun ifconfig 10.0.0.1 10.0.0.2 up ./openvpn.up secret secret.key port 5000 user nobody group nogroup comp-lzo ; ping 15 ; ping-restart 45 ; ping-timer-rem ; persist-tun ; persist-key verb 9 openvpn.up: --- #!/bin/bash route add -net 10.0.0.0 netmask 255.255.255.0 gw $5 Routing-Tabelle: Destination Gateway Genmask Flags Metric RefUse Iface 10.0.0.20.0.0.0 255.255.255.255 UH0 00 tun0 192.168.100.0 0.0.0.0 255.255.255.0 U 0 00 eth0 10.0.0.010.0.0.2255.255.255.0 UG0 00 tun0 0.0.0.0 192.168.100.200 0.0.0.0 UG0 00 eth0 Host 2: === openvpn.conf: - dev tun ifconfig 10.0.0.2 10.0.0.1 up ./openvpn.up secret secret.key port 5000 user nobody group nogroup comp-lzo ; ping 15 ; ping-restart 45 ; ping-timer-rem ; persist-tun ; persist-key verb 3 openvpn.up: --- #!/bin/bash route add -net 10.0.0.0 netmask 255.255.255.0 gw $5 Routing-Tabelle: 10.0.0.10.0.0.0 255.255.255.255 UH0 00 tun0 10.0.0.010.0.0.1255.255.255.0 UG0 00 tun0 192.168.200.0 0.0.0.0 255.255.255.0 U 0 00 eth0 0.0.0.0 192.168.200.200 0.0.0.0 UG0 00 eth0 Ping auf 10.0.0.x (lokales Ende) klappt, auf 10.0.0.y (entferntes Ende) klappt nicht... Beide Hosts verwenden natürlich den gleichen Key. Danke. Michael -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: OpenVPN, aber kein Ping
Hallo allerseits, die beschriebene Konfiguraion läuft jetzt ohne Modifikation - aber nur im TCP-, nicht wie gewünscht im UDP-Modus. Nun frage ich mich: warum? Die beiden Netze werden über zwei DSL-Router mit dem Internet verbunden, die eingehend nur Port 22 und 5000 (UDP und TCP) an die VPN-Rechner forwarden. Ich habe mit einem Python-Skript (Socket-Demo UDP bzw. TCP) auch UDP- und TCP-Verbindungen auf Port 5000 getestet. Die auf den Port 5000 eingehenden Verbindungen werden durchgelassen - der Austausch von Zeichenketten über UDP und TCP klappt. Wie beschrieben läuft auch OpenVPN per TCP. Worin kann das Problem bestehen? Benötigt OpenVPN etwa noch weitere Ports? Viele Grüße Michael -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: OpenVPN, aber kein Ping
Michael Hierweck wrote: Hallo allerseits, die beschriebene Konfiguraion läuft jetzt ohne Modifikation - aber nur im TCP-, nicht wie gewünscht im UDP-Modus. Nun frage ich mich: warum? Die beiden Netze werden über zwei DSL-Router mit dem Internet verbunden, die eingehend nur Port 22 und 5000 (UDP und TCP) an die VPN-Rechner forwarden. Ich habe mit einem Python-Skript (Socket-Demo UDP bzw. TCP) auch UDP- und TCP-Verbindungen auf Port 5000 getestet. Die auf den Port 5000 eingehenden Verbindungen werden durchgelassen - der Austausch von Zeichenketten über UDP und TCP klappt. Wie beschrieben läuft auch OpenVPN per TCP. Worin kann das Problem bestehen? Benötigt OpenVPN etwa noch weitere Ports? OpenVPN benötigt nur UDP Port 5000 nach deiner Konfiguration... Stefan -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
OpenVPN, aber kein Ping
Hallo, auf Tipp aus der Liste, habe ich versucht OpenVPN auf zwei Hosts einzurichten. Hach dem Herstellen der Verbindung sieht die Lage so aus: Host 1 eth0 Link encap:Ethernet HWaddr 00:E0:7D:7C:9E:EB inet addr:192.168.100.100 Bcast:192.168.100.255 Mask:255.255.255.0 UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:1475808 errors:0 dropped:0 overruns:0 frame:0 TX packets:2295850 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:342588426 (326.7 MiB) TX bytes:591773737 (564.3 MiB) Interrupt:11 Base address:0x7c00 tun0 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00 inet addr:192.168.100.250 P-t-P:192.168.200.250 Mask:255.255.255.255 UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1 RX packets:0 errors:0 dropped:0 overruns:0 frame:0 TX packets:9 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:100 RX bytes:0 (0.0 b) TX bytes:756 (756.0 b) Kernel IP routing table Destination Gateway Genmask Flags Metric RefUse Iface 192.168.200.250 0.0.0.0 255.255.255.255 UH0 00 tun0 192.168.100.0 0.0.0.0 255.255.255.0 U 0 00 eth0 192.168.200.0 192.168.200.250 255.255.255.0 UG0 00 tun0 0.0.0.0 192.168.100.200 0.0.0.0 UG0 00 eth0 Host 2 eth0 Link encap:Ethernet HWaddr 00:07:E9:F4:14:DA inet addr:192.168.200.100 Bcast:192.168.200.255 Mask:255.255.255.0 UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:500440 errors:0 dropped:0 overruns:0 frame:0 TX packets:525239 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:59749504 (56.9 MiB) TX bytes:213792847 (203.8 MiB) Interrupt:20 Base address:0xdc80 Memory:ff8fc000-ff8fc038 tun0 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00 inet addr:192.168.200.250 P-t-P:192.168.100.250 Mask:255.255.255.255 UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1 RX packets:0 errors:0 dropped:0 overruns:0 frame:0 TX packets:11 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:100 RX bytes:0 (0.0 b) TX bytes:924 (924.0 b) Kernel IP routing table Destination Gateway Genmask Flags Metric RefUse Iface 192.168.100.250 0.0.0.0 255.255.255.255 UH0 00 tun0 192.168.100.0 192.168.100.250 255.255.255.0 UG0 00 tun0 192.168.200.0 0.0.0.0 255.255.255.0 U 0 00 eth0 0.0.0.0 192.168.200.200 0.0.0.0 UG0 00 eth0 Leider sind von beiden Seiten aus weder ein Ping an den gegenüberliegenden Host noch in das gegenüberliegende Netz möglich, m.a.W. weder die Hostroute noch die Netroute funktionieren. Gemäß syslog steht die Verbindung aber... leider sehe ich den Fehler nicht. Danke für Tipps, Michael -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: OpenVPN, aber kein Ping
Michael Hierweck wrote: [...] Leider sind von beiden Seiten aus weder ein Ping an den gegenüberliegenden Host noch in das gegenüberliegende Netz möglich, m.a.W. weder die Hostroute noch die Netroute funktionieren. Pings an die eigenen Tunnelenden funktionieren? Setz mal die tun-Devices in andere Netze, die nichts mit deinen eth-Devices zu tun haben... Der Parameter --verb könnte übrigens auch weiterhelfen... Stefan -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: OpenVPN, aber kein Ping
Weinzierl Stefan wrote: Michael Hierweck wrote: [...] Leider sind von beiden Seiten aus weder ein Ping an den gegenüberliegenden Host noch in das gegenüberliegende Netz möglich, m.a.W. weder die Hostroute noch die Netroute funktionieren. Pings an die eigenen Tunnelenden funktionieren? Setz mal die tun-Devices in andere Netze, die nichts mit deinen eth-Devices zu tun haben... Der Parameter --verb könnte übrigens auch weiterhelfen... Stefan Hallo Stefan, ja, alle Hosts im lokalen Subnet und auch die eigenen Tunnelenden lassen sich anpingen. Ich hatte zwischenzeitlich auch mal 192.168.168.1 und 192.168.168.2 ausprobiert und entsprechend das Routing verbogen. An der Symptomatik ändert dies aber (leider) nichts. Viele Grüße Michael -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: OpenVPN, aber kein Ping
Weinzierl Stefan wrote: Michael Hierweck wrote: Der Parameter --verb könnte übrigens auch weiterhelfen... verb 9 liefert im Syslog-Meldungen, wenn man ins entfernte Netz/Tunnelende pingt: TCP/UDP: No outgoing address to send packet Google liefert nur den OpenVPN-SourceCode. Viele Grüße Michael -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: OpenVPN, aber kein Ping
Hallo Michael, begin * Michael Hierweck schrieb [27-10-04 20:55]: auf Tipp aus der Liste, habe ich versucht OpenVPN auf zwei Hosts einzurichten. Hach dem Herstellen der Verbindung sieht die Lage so aus: Host 1 eth0 inet addr:192.168.100.100 tun0 inet addr:192.168.100.250 P-t-P:192.168.200.250 Host 2 eth0 inet addr:192.168.200.100 tun0 inet addr:192.168.200.250 P-t-P:192.168.100.250 Grundsatz: 2 Interfaces für 2 verschiedene Netze. = 2 verschiedene IP-Subnetze = du kannst nicht die gleichen IP-Subnetze für beide benutzen. Nimm für das VPN doch 10.0.0.1 und 10.0.0.2 dann hast du eine schön klare Trennung zum normalen LAN. Und dann funktioniert der Ping auch. Mit obigen Einstellungen bekommst du klare Routing-Probleme. Und: Falls du transparent auf das andere Netz zugreifen willst, musst du die Routen, entsprechend dem anderen Netz, anpassen. end Gruss Udo -- Ohne Signatur! -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)