(gelöst) VPN mit OpenVPN Gui erstellen

[Fraggle]

Hallo zusammen,

auf der NAS läuft DSM 4.1, VPN-Server ist aktiviert. Die Konfiguration habe ich dort auch exportiert und in den Config Ordner von OpenVPN GUI kopiert. OpenVPNgui.exe ist in der Firewall freigegeben (win7).
Im Konfigurationsfile (siehe code unten), ist meine dyndns-Adresse eingetragen. Der Port 1194 wird daheim weitergeleitet. Er ist auch auf der Arbeit als "nach draußen erlaubt" geschaltet. Dyndns Adresse ist funktionell, Dienste wie Putty-SSH sind kein Problem.

Problem:
Wenn ich versuche zu verbinden, erhalte ich folgenden Fehler:
Erst meldet Windows, daß bekannte Kompatibilitätsprobleme mit dem Treiber vorliegen (win7 64 bit), ich kann aber auf weiter nutzen klicken.
Danach meldet OpenVPNgui:
Options error: Unrecognized option or missing parameter(s) in openvpn.ovpn:30: script-security (2.0.9)
Use --help for more information.

Google half mir bislang nicht, außer, daß so Fehler in den Config Files beschrieben werden.
Erlaubt auf der NAS sind nur verschlüsselte Verbindungen. ist das die Ursache? Oder was könnte der Grund sein und wie behebe ich das Problem?

Besten Danke für Ratschläge

Konfigurationsdatei:

dev tun
tls-client

remote meinnutzername.dyndns.org 1194

# The "float" tells OpenVPN to accept authenticated packets from any address, 
# not only the address which was specified in the --remote option. 
# This is useful when you are connecting to a peer which holds a dynamic address 
# such as a dial-in user or DHCP client.
# (Please refer to the manual of OpenVPN for more information.)

#float

# If redirect-gateway is enabled, the client will redirect it's
# default network gateway through the VPN.
# It means the VPN connection will firstly connect to the VPN Server
# and then to the internet.
# (Please refer to the manual of OpenVPN for more information.)

redirect-gateway

# dhcp-option DNS: To set primary domain name server address.
# Repeat this option to set secondary DNS server addresses.

#dhcp-option DNS DNS_IP_ADDRESS

pull

proto udp
script-security 2

ca ca.crt

comp-lzo

reneg-sec 0

auth-user-pass

 

[jahlives]

bist du sicher dass du den aktuellsten Windows Client für OVPN hast? script-security wird von aktuellen Clients definitiv untersützt

 

[Fraggle]

Laut HP ( http://openvpn.se/ ) ja:

Latest stable release: 1.0.3 with OpenVPN 2.0.9 (2006-10-17).

Von dort habe ich es geladen, ich habe OpenVPN 2.0.9 installiert.

 

[jahlives]

also aktuell ist aber 2.3.1 (Release 29.3.2013) --> http://openvpn.net/index.php/download.html

 

[Fraggle]

Alles klar, teste ich direkt und melde mich danach sofort wieder.

 

[Fraggle]

Besten Dank, das war die Lösung.

 

[Fraggle]

Nun hat sich noch eine weitere Frage ergeben.

Kann ich bestimmte IPorts vom tunneln ausklammern? Wenn ja wie? mir geht es dabei um die parallele Verwendung von Synergy (Port 24800) und dem Zugriff vom Windowsrechner vom Arbeitslan auf Freigaben im Mac wie z.B. Drucker und bestimmte Ordner.

 

[jahlives]

dann darfst du keinen redirect-gateway machen. Der führt dazu dass der gesamte Traffic durch den Tunnel gejagt wird

 

[Fraggle]

Jein. Hab gerade gemerkt woran es lag bei Synergy. Ich hatte auf dem Win Rechner noch ein Admin Fenster auf, deswegen ging es nicht.
Synergy und Zugriff auf die Freigaben des Macs funktionieren ohne weiteres Zutun auch mit dem Redirect Gateway. Ich denke mal, weil die verwendeten Ports nicht zum Internettraffic zählen. Denn laut Config Bemerkung bewirkt der Redirect-Gateway das tunneln aller Internetverbindungen. Lokale Netzwerkverbindungen sind nicht betroffen.

 

[Fraggle]

Kleine Korrektur. Wie mir gerade aufgefallen ist, hatte ich, als es angeblich doch ging, OpenVPN Gui nicht als Admin gestartet. Daher wirkte es so, als ginge es. jahlives hat also natürlich recht.

 

[Fraggle]

Vielleicht kann mir jemand folgende Kuriosität erklären:

Verbindung mit redirect gateway erstellt, es sollte also sämtlich Traffic über VPN laufen.
Geprüft mittels wie ist meine ip Webseite und meine Heim IP als IP angezeigt.
Audiostation wird im Browser aufgerufen. Audiostation ist nur im LAN verfügbar, per dyndns Eintrag ist die Audiostation nicht erreichbar.
Synergy funktioniert nicht, wie erwartet wird (wird ja alles redirected).
Verwendet wird Firefox 20.0.1

Nach einer Weile - OpenVPN GUI zeigt immer noch mit grün die Verbindung an und Audiostation läuft und ist steuerbar - bemerke ich, daß Synergy wieder geht, trotz redirect. Teste ich erneut mit "wie ist meine IP", habe ich auch wieder eine IP Adresse von der Arbeit anstatt von zuhause.
Aber die Audiostation kann ich weiterhin kontrollieren. Zumindest in diesem Reiter scheint also die VPN Verbindung zu bestehen, nicht aber in anderen Reitern desselben Browsers.

Wie ist das technisch möglich?

 

[jahlives]

bist du sicher, dass dein VPN Client die default Route via VPN Tunnel auch übernommen hat? Geprüft mit route auf der lokalen Kiste?

 

[Fraggle]

Wie mache ich das mit dem Route Befehl?

Ich habe es nur so getestet:
OpenVPN gestartet. http://www.wieistmeineip.de/ aufgerufen und IP abgelesen. Ergebnis: IP Adresse von zuhause. Dazu auch auf Dienste des NAS zugegriffen, die nur im lokalen Netz aufrufbar sind.
Nach einer Weile (kein standby beim Rechner, da ich ihn nutzte) erneut http://www.wieistmeineip.de/ aufgerufen, nun die IP von der Arbeit.

 

[jahlives]

route ist ein Kommando zur Anzeige der Routen. Gibt es bei Linux und bei Windows. Handhabung ist halt einfach etwas unterschiedlich

#Linux
route -n
#Win
route print

dann die default Route raussuchen in dem Moment wo du eine IP von der Arbeit hast. Gucken ob die immer noch in den VPN Tunnel zeigt, was ich mir eigentlich fast nicht vorstellen kann

 

[Fraggle]

Fehlende Info:
Der Winrechner geht über einen Mac ins Internet und bekommt von diesem die IP 10.0.2.4 zugewiesen. Der Mac selber hat eine IP mit 134.x.x.x. (LAN), WLAN 169.x.x.x (dient der Verbindung Win Rechner mit Mac Rechner und funktioniert)
Das VPN Log zeigt für die VPN Verbindung am Windowsrechner diese IP: 10.8.0.6
Das NAS geht mit der IP 94.x.x.x ins Internet.
Im weiteren Verlauf spreche ich immer vom Windows Rechner.

Route Ausgabe vor VPN Verbindung Synergy funktioniert, IP wird mit 134.x.x.x angegeben:

IPv4-Routentabelle
===========================================================================
Aktive Routen:
     Netzwerkziel    Netzwerkmaske          Gateway    Schnittstelle Metrik
          0.0.0.0          0.0.0.0         10.0.2.1         10.0.2.4     25
         10.0.2.0    255.255.255.0   Auf Verbindung          10.0.2.4    281
         10.0.2.4  255.255.255.255   Auf Verbindung          10.0.2.4    281
       10.0.2.255  255.255.255.255   Auf Verbindung          10.0.2.4    281
        127.0.0.0        255.0.0.0   Auf Verbindung         127.0.0.1    306
        127.0.0.1  255.255.255.255   Auf Verbindung         127.0.0.1    306
  127.255.255.255  255.255.255.255   Auf Verbindung         127.0.0.1    306
        224.0.0.0        240.0.0.0   Auf Verbindung         127.0.0.1    306
        224.0.0.0        240.0.0.0   Auf Verbindung          10.0.2.4    281
  255.255.255.255  255.255.255.255   Auf Verbindung         127.0.0.1    306
  255.255.255.255  255.255.255.255   Auf Verbindung          10.0.2.4    281
===========================================================================

Route Ausgabe wenn OpenVPN frisch erstellt wurde und Synergy nicht funktioniert, IP wir mit 94.x.x.x angegeben:

IPv4-Routentabelle
===========================================================================
Aktive Routen:
     Netzwerkziel    Netzwerkmaske          Gateway    Schnittstelle Metrik
          0.0.0.0          0.0.0.0         10.8.0.5         10.8.0.6     30
         10.0.2.0    255.255.255.0   Auf Verbindung          10.0.2.4    281
         10.0.2.4  255.255.255.255   Auf Verbindung          10.0.2.4    281
       10.0.2.255  255.255.255.255   Auf Verbindung          10.0.2.4    281
         10.8.0.0    255.255.255.0         10.8.0.5         10.8.0.6     30
         10.8.0.1  255.255.255.255         10.8.0.5         10.8.0.6     30
         10.8.0.4  255.255.255.252   Auf Verbindung          10.8.0.6    286
         10.8.0.6  255.255.255.255   Auf Verbindung          10.8.0.6    286
         10.8.0.7  255.255.255.255   Auf Verbindung          10.8.0.6    286
   94.xxx.xxx.xxx 255.255.255.255         10.0.2.1         10.0.2.4     25
        127.0.0.0        255.0.0.0   Auf Verbindung         127.0.0.1    306
        127.0.0.1  255.255.255.255   Auf Verbindung         127.0.0.1    306
  127.255.255.255  255.255.255.255   Auf Verbindung         127.0.0.1    306
      192.168.1.0    255.255.255.0         10.8.0.5         10.8.0.6     30
        224.0.0.0        240.0.0.0   Auf Verbindung         127.0.0.1    306
        224.0.0.0        240.0.0.0   Auf Verbindung          10.8.0.6    286
        224.0.0.0        240.0.0.0   Auf Verbindung          10.0.2.4    281
  255.255.255.255  255.255.255.255   Auf Verbindung         127.0.0.1    306
  255.255.255.255  255.255.255.255   Auf Verbindung          10.8.0.6    286
  255.255.255.255  255.255.255.255   Auf Verbindung          10.0.2.4    281
===========================================================================

Route Ausgabe zum Zeitpunkt OpenVPN läuft, ich kann sogar mit lokaler Adresse lokal begrenzte Dienste wie NAS Backend aufrufen und mich einloggen (allerdings nicht immer, wie es scheint, vorhin ging dies nicht, aber da hatte ich auch mal Pause bei Audiostation gedrückt), wie-ist-meine-IP liefert aber als IP wieder die Arbeits-IP-Adresse (194.x.x.x)

IPv4-Routentabelle
===========================================================================
Aktive Routen:
     Netzwerkziel    Netzwerkmaske          Gateway    Schnittstelle Metrik
          0.0.0.0          0.0.0.0         10.8.0.5         10.8.0.6     30
          0.0.0.0          0.0.0.0         10.0.2.1         10.0.2.4     25
         10.0.2.0    255.255.255.0   Auf Verbindung          10.0.2.4    28
         10.0.2.4  255.255.255.255   Auf Verbindung          10.0.2.4    28
       10.0.2.255  255.255.255.255   Auf Verbindung          10.0.2.4    28
         10.8.0.0    255.255.255.0         10.8.0.5         10.8.0.6     30
         10.8.0.1  255.255.255.255         10.8.0.5         10.8.0.6     30
         10.8.0.4  255.255.255.252   Auf Verbindung          10.8.0.6    28
         10.8.0.6  255.255.255.255   Auf Verbindung          10.8.0.6    28
         10.8.0.7  255.255.255.255   Auf Verbindung          10.8.0.6    28
   94.xxx.xxx.xxx  255.255.255.255         10.0.2.1         10.0.2.4     25
        127.0.0.0        255.0.0.0   Auf Verbindung         127.0.0.1    30
        127.0.0.1  255.255.255.255   Auf Verbindung         127.0.0.1    30
  127.255.255.255  255.255.255.255   Auf Verbindung         127.0.0.1    30
      192.168.1.0    255.255.255.0         10.8.0.5         10.8.0.6     30
        224.0.0.0        240.0.0.0   Auf Verbindung         127.0.0.1    30
        224.0.0.0        240.0.0.0   Auf Verbindung          10.8.0.6    28
        224.0.0.0        240.0.0.0   Auf Verbindung          10.0.2.4    28
  255.255.255.255  255.255.255.255   Auf Verbindung         127.0.0.1    30
  255.255.255.255  255.255.255.255   Auf Verbindung          10.8.0.6    28
  255.255.255.255  255.255.255.255   Auf Verbindung          10.0.2.4    28
===========================================================================

Bevor ich dies schrieb, war der letzte Stand Aufbau und Route Befehl für frische Verbindung mit OpenVPN. Synergy funktionierte nicht. Jetzt, nachdem ich alle Informationen zusammengetragen habe, ist der Zustand wie beim letzten Route Protokoll. Ich kann also nun wieder die am Mac angeschlossene Maus per Synergy auf dem Win Rechner nutzen, was zuvor nicht ging.

 

[jahlives]

du hast 2 default Routen auf unterschiedliche Gateways. zumindest im letzten print. Da kann nicht wirklich gut gehen Default Routen erkennst du am Netzwerkziel 0.0.0.0 Ich nehme an Synergy wird über die 94-er IP angesprochen. Im mittleren print kann diese IP nicht erreichbar sein, weil du hast zwar eine explizite Route für 94 auf den Gateway 10.0.2.1 Du hast zwar auch eine Interface Route dür das 10.0.2.0/24-er Netz, aber wenn du dir den mittleren print anschaust dann ist die Metrik für diese Route bei 281 d.h. er wird via Default Route rausgehen. Kleinere Metrik gewinnt grundsätzlich. Im letzten Fall dürfte es dann klappen weil es zwar immer noch über die default Route rausgeht die default Route auf den Gateway 10.0.2.1 aber die tiefere Metrik hat als die default Route via 10.8.0.5.

 

[Fraggle]

Besten Dank für die Erläuterungen.
Eigentlich ist es mir so sogar ganz recht. Denn so kann ich meine Audiostation von der Arbeit nutzen und gleichzeitig komfortable Maus und Tastatur nutzen sowie den Drucker.
Aber vielleicht sollte ich besser OpenVPN auf dem Mac nutzen. Dann geht zwar der Drucker nicht, aber der Rest auch.