donkey81 Geschrieben 5. Mai 2011 Geschrieben 5. Mai 2011 Hallo, ich hoffe ihr könnt mir helfen, ich versuche vergeblich eine VPN Verbindung zwischen zwei Netzwerken aufzubauen. Raum: Netzwerk A: Netz1:192.168.2.0 mask: 255.255.255.0 Gateway: 192.168.2.1 (Rechner1(Wndows XP):192.168.2.151 ; Rechner 2(Windows XP):192.168.2.152; Rechner 3(VPN Server)Windows Server 2008: 192.168.2.150 so nun zu mir zu hause(Windows 7): Netz: 192.168.0.0 mask: 255.255.232.0 gateway: 192.168.0.1 mein Rechner: 192.168.0.74 hier ist meine config datei vom client: client dev tun proto udp remote 192.168.2.1 1194 resolv-retry infinite nobind persist-key persist-tun ca "C:\\Program Files (x86)\\OpenVPN\\config\\ca.crt" cert "C:\\Program Files (x86)\\OpenVPN\\config\\client1.crt" key "C:\\Program Files (x86)\\OpenVPN\\config\\client1.key" comp-lzo verb 3 Hier vom Server: local 192.168.2.150 port 1194 proto udp dev tun ca ca.crt cert server1.crt key server1.key dh dh1024.pem # In dieser Datei speichert der Server die Client-IPs ifconfig-pool-persist ipp.txt # Zwingt die Clients, alle Anfragen außer DHCP über den Tunnel zu schicken push "redirect-gateay def1 bypass-dhcp" keepalive 10 120 #Reset ohne tun-Neustart und Schlüsselaustausch persist-tun persist-key push "persist-tun" push "persist-key" #Kompression comp-lzo push "comp-lzo" 'Loglevel verb 3 push "verb 3" danke für eure Hilfe. Zitieren
Crash2001 Geschrieben 5. Mai 2011 Geschrieben 5. Mai 2011 (bearbeitet) Wie sind die Rechner untereinander verbunden? Da du von Rechner zu Hause sprichst, gehe ich einfach mal davon aus, dass der per Internet verbunden ist, oder? Hängt eine Firewall dazwischen? Falls ja, ist der entsprechende Traffic erlaubt? Und hast du einen bzw zwei dynDNS Namen, den du verwenden kannst? Die interne IP bringt dir in diesem Falle ja absolut nichts, da es private IP Adressen sind und du darunter nicht im Internet erreichbar bist. Ist eine entsprechende Portweiterleitung auf den Routern eingerichtet, so dass der Rechner auch von außen erreicht werden kann? Was genau geht bisher und was nicht? welche Fehlermeldung erhältst du? Was sagt das Log-File?... Bearbeitet 5. Mai 2011 von Crash2001 Zitieren
donkey81 Geschrieben 5. Mai 2011 Autor Geschrieben 5. Mai 2011 Hallo, ja es ist über das Internet Verbunden. Ja es hängt eine Firewall dazwischen, ich habe den Port freigegeben bzw. das Programm hab ich zugelassen. Ich habe kein dyndns namen, wie muss ich das den machen? bin absoluter Neuling in dem Gebiet. Ich weiß leider auch nicht wie ich eine Portweiterleitung auf den Router einstellen soll. Also muss ich die öffentliche IP wissen oder wie? Wenn ich connection möchte kommt diese Fehlermeldung: Connecting to client1 has failed. Zitieren
Crash2001 Geschrieben 5. Mai 2011 Geschrieben 5. Mai 2011 Um eine Verbindung über Internet herstellen zu können, musst du die öffentliche IP Adresse der Gegenstelle, mit der du dich verbinden willst, kennen, oder halt eine entsprechende DynDNS-Adresse haben, die jeweils auf die aktuell gültige öffentliche IP-Adresse verweist. dynamische DNS-Adressen gibt es z.B. bei Managed DNS, Domain Names and more! - DynDNS.com (da habe ich meine z.B. her). Aber aufpassen. Es gibt dort den Service einmal kostenlos, und es gibt ihn einmal mit mehr Service kostenpflichtig. Zur Aktualisierung gibt es dann entweder Clients, die das machen, manuelles updaten über deren Seite, oder aber dein Router bietet dies an. Die drei Möglichkeiten hast du dann jeweils. Zitieren
donkey81 Geschrieben 5. Mai 2011 Autor Geschrieben 5. Mai 2011 im Log file steht das hier: Thu May 05 16:05:06 2011 NOTE: --group option is not implemented on Windows Thu May 05 16:05:06 2011 OpenVPN 2.1.3 i686-pc-mingw32 [sSL] [LZO2] [PKCS11] built on Sep 6 2010 Thu May 05 16:05:06 2011 WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info. Thu May 05 16:05:06 2011 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables Thu May 05 16:05:07 2011 LZO compression initialized Thu May 05 16:05:07 2011 Control Channel MTU parms [ L:1542 D:138 EF:38 EB:0 ET:0 EL:0 ] Thu May 05 16:05:07 2011 Socket Buffers: R=[8192->8192] S=[8192->8192] Thu May 05 16:05:07 2011 Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:0 EL:0 AF:3/1 ] Thu May 05 16:05:07 2011 Local Options hash (VER=V4): '41690919' Thu May 05 16:05:07 2011 Expected Remote Options hash (VER=V4): '530fdded' Thu May 05 16:05:07 2011 UDPv4 link local: [undef] Thu May 05 16:05:07 2011 UDPv4 link remote: 212.201.18.32:1194 ich hoffe es hilft weiter. Zitieren
Crash2001 Geschrieben 6. Mai 2011 Geschrieben 6. Mai 2011 In welchem Log File und auf welcher Maschine? Ich gehe mal vom Server aus, oder? Hast du etwas an der Config verändert? Falls ja, was? Bekommst du auf dem Client mittlerweile eine andere Fehlermeldung, oder noch immer die gleiche? Zitieren
donkey81 Geschrieben 6. Mai 2011 Autor Geschrieben 6. Mai 2011 hallo, Das ist das Log File vom Client. nein ich habe an der config nichts verändert. Zitieren
donkey81 Geschrieben 6. Mai 2011 Autor Geschrieben 6. Mai 2011 Heute kam noch diese Fehlermeldung hinzu (Client): Fri May 06 09:14:35 2011 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity) Fri May 06 09:14:35 2011 TLS Error: TLS handshake failed Fri May 06 09:14:35 2011 TCP/UDP: Closing socket Fri May 06 09:14:35 2011 SIGUSR1[soft,tls-error] received, process restarting Fri May 06 09:14:35 2011 Restart pause, 2 second(s) Zitieren
Crash2001 Geschrieben 6. Mai 2011 Geschrieben 6. Mai 2011 Also hast du die externe IP / dynDNS-Name noch nicht eingetragen beim Client? Da steht doch schon was mit 212.201.18.32... ist das eine statische IP, oder war das die aktuelle IP des Servers oder des Clients zum Testzeitpunkt? Zitieren
donkey81 Geschrieben 6. Mai 2011 Autor Geschrieben 6. Mai 2011 also die 212.201.18.32 ist ja die externe IP vom Server und das habe ich beim Client config eingetragen. Zitieren
Crash2001 Geschrieben 9. Mai 2011 Geschrieben 9. Mai 2011 Naja, da steht ja, was schiefgelaufen ist. Fri May 06 09:14:35 2011 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity) Fri May 06 09:14:35 2011 TLS Error: TLS handshake failed Also mal Schlüssel überprüfen, ob richtiger angegeben, ob er an der richtigen Stelle liegt auf beiden Seite, u.s.w. ... ...oder ob gar keiner überhaupt erst versucht wurde. Eventuell mag die Config auch einfach keine Leerzeichen oder so... Zitieren
donkey81 Geschrieben 13. Mai 2011 Autor Geschrieben 13. Mai 2011 Hallo, nun steht folgendes im Log: Fri May 13 08:21:59 2011 OpenVPN 2.1.4 i686-pc-mingw32 [sSL] [LZO2] [PKCS11] built on Nov 8 2010 Fri May 13 08:21:59 2011 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables Fri May 13 08:21:59 2011 Static Encrypt: Cipher 'BF-CBC' initialized with 128 bit key Fri May 13 08:21:59 2011 Static Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication Fri May 13 08:21:59 2011 Static Decrypt: Cipher 'BF-CBC' initialized with 128 bit key Fri May 13 08:21:59 2011 Static Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication Fri May 13 08:21:59 2011 Socket Buffers: R=[8192->8192] S=[8192->8192] Fri May 13 08:21:59 2011 WARNING: potential conflict between --local address [10.8.0.74] and --ifconfig address pair [10.8.0.2, 10.8.0.1] -- this is a warning only that is triggered when local/remote addresses exist within the same /24 subnet as --ifconfig endpoints. (silence this warning with --ifconfig-nowarn) Fri May 13 08:21:59 2011 WARNING: potential conflict between --remote address [10.8.0.74] and --ifconfig address pair [10.8.0.2, 10.8.0.1] -- this is a warning only that is triggered when local/remote addresses exist within the same /24 subnet as --ifconfig endpoints. (silence this warning with --ifconfig-nowarn) Fri May 13 08:21:59 2011 WARNING: potential TUN/TAP adapter subnet conflict between local LAN [10.8.0.0/255.255.248.0] and remote VPN [10.8.0.2/255.255.255.255] Fri May 13 08:21:59 2011 TAP-WIN32 device [LAN-Verbindung 4] opened: \\.\Global\{7375E5B3-F318-4AAB-9D09-DC2F2A5FB42D}.tap Fri May 13 08:21:59 2011 TAP-Win32 Driver Version 9.7 Fri May 13 08:21:59 2011 TAP-Win32 MTU=1500 Fri May 13 08:21:59 2011 Notified TAP-Win32 driver to set a DHCP IP/netmask of 10.8.0.2/255.255.255.252 on interface {7375E5B3-F318-4AAB-9D09-DC2F2A5FB42D} [DHCP-serv: 10.8.0.1, lease-time: 31536000] Fri May 13 08:21:59 2011 NOTE: FlushIpNetTable failed on interface [34] {7375E5B3-F318-4AAB-9D09-DC2F2A5FB42D} (status=5) : Zugriff verweigert Fri May 13 08:21:59 2011 Data Channel MTU parms [ L:1544 D:1450 EF:44 EB:4 ET:0 EL:0 ] Fri May 13 08:21:59 2011 Local Options hash (VER=V4): 'd3880969' Fri May 13 08:21:59 2011 Expected Remote Options hash (VER=V4): 'c41bf3b8' Fri May 13 08:21:59 2011 UDPv4 link local (bound): 10.8.0.74:1194 Fri May 13 08:21:59 2011 UDPv4 link remote: 10.8.0.74:1194 Fri May 13 08:22:09 2011 Peer Connection Initiated with 10.8.0.74:1194 Fri May 13 08:22:09 2011 WARNING: 'ifconfig' is used inconsistently, local='ifconfig 10.8.0.2 10.8.0.1', remote='ifconfig 10.8.0.1 10.8.0.2' Fri May 13 08:22:15 2011 TEST ROUTES: 0/0 succeeded len=-1 ret=1 a=0 u/d=up Fri May 13 08:22:15 2011 Initialization Sequence Completed ist es somit geschafft oder irre ich mich? Zitieren
Crash2001 Geschrieben 17. Mai 2011 Geschrieben 17. Mai 2011 Das wirst ja wohl am besten du beurteilen können, indem du einfach testest, ob es geht oder nicht. Wenn es geht, war es erfolgreich. Wenn nicht, dann fehlt noch was... Vielleicht solltest du aber lokal und im VPN noch andere Addressen verwenden und routen. Dann meckert der auch nicht rum. Zitieren
Empfohlene Beiträge
Dein Kommentar
Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.