GeminiOpenvpn verbindet nur bei manuellem Start

  • Hallo,


    ich hab seit einer Neuinstallation meiner Box ein Problem mit GeminiOpenvpn, dass mich nun schon seit Stunden beschäftigt...:-(!


    Und zwar wie folgt:


    Konfiguration:
    - DM8000 mit aktuellstem experimental + Gemini Plugin
    - Box hängt an einer Fritzbox
    - GeminiOpenvpn installiert, Box soll als Client betrieben werden
    - Zertifikate und conf-Datei liegen in /etc/openvpn
    - im BluePanel unter "Daemon"->"Openvpn-Klient" wird verbunden angezeigt.


    Problem:
    Wenn ich mit dem Web-Browser bspw. unter "wasistmeineip.de" meine externe IP prüfe, wird nicht die IP meines VPN-Servers angezeigt, sondern die IP der Box. D. h. offensichtlich besteht die VPN-Verbindung, aber der Traffic wird nicht entsprechend gerouted.


    Wenn ich allerdings per Telnet im Verzeichnis "/etc/openvpn" mit dem Befehl "openvpn --config xyz.conf &" openvpn manuell starte, dann funktionierts...! Einen entsprechenden Log hab ich angehängt. Darin steht was von "potential route subnet conflict...".


    Hoffe, dass mir jmd. helfen kann..!!


    VG, ww

    Files

    • Openvpn.jpg

      (393.26 kB, downloaded 468 times, last: )

    Edited once, last by wiwnet ().

  • Die Frage die du dir stellen solltest:
    Warum soll aller Traffic der Dream über das VPN laufen?


    Insbesondere warum willst du 'nen russischen Server erreichen?


    Wenn übrigens was von "possible subnet conflict" kommt, dann heißt das soviel wie:
    Du versuchst 'ne Route für ein Netzwerk zu setzen, an welchem du direkt dranhängst und/oder du versuchst 'ne Route für ein Netz einzutragen, welches den selben Adressblock verwendet wie du lokal.


    Beispiel:
    Du verwendest für die Fritz das Netzwerk 192.168.178.0/255.255.255.0...
    Der Remote-Endpunkt verwendet für sein LAN ebenfalls 192.168.178.0/255.255.255.0...
    Dann kannst du zwar den Remote-Server pingen, aber sobald du eine Route für das fremde LAN hinzufügst, kannst du im lokalen LAN gar nichts mehr machen...

  • ReneRomann:


    vielen Dank für die schnelle Antwort:-)!!


    Die einzige Frage, die ich mir stelle, ist, weshalb alles so funktioniert wie es soll, wenn ich Openvpn manuell über Telnet starte, aber bei Start über BluePanel nicht (trotz das dann unter Daemons auch "verbunden" angezeigt wird)...?


    Muss ich bei den sonstigen Netzwerkeinstellungen noch was berücksichtigen? Habe eine "Lan Verbindung 1" und eine "Lan Verbindung 2" unter "System"->"Netzwerk". "Lan Verbindung 1" weist vermutlich die VPN Verbindung aus (IP: 1.xxx.xxx.xxx), "Lan Verbindung 2" scheint eine weitere interne Verbindung zu sein (IP: 192.168.0.25)?!? Muss ich bspw. eine bestimmte Lan-Verbindung (mit gelber Taste) als Standard definieren? (Hab beide als Standard ausprobiert = hilft nix..) Ist es zudem möglich in den Configs irgendwo ein Log-File zu aktivieren? Habe ansonsten nur die Ausgabe beim Start über Telnet..


    Grüße, ww

  • Nein musst keine weiteren Schnittstelle oder so definieren.
    Läuft den der openvpn client, wenn du die Prozesse der Box ankuckst,
    wenn du die Box neu startetst?


    Und wie schon von ReneRomann angesprichen, hast du ein Problem mit
    deinem Setup, welches du beheben musst, damit folgende Nachricht nicht kommt.
    WARNING: potential route subnet conflict....

  • Zu den Schnittstellen:
    Zwei Schnittstellen in der Netzwerkconfig sind richtig...
    Eine ist die TUN-Schnittstelle für OpenVPN und die andere die "reguläre" Netzwerkverbindung.


    Dein Problem wird jedoch sein, dass evtl. die reguläre Netzwerkverbindung noch nicht aufgebaut ist, während OpenVPN startet.
    Was deinen IP-Subnet-Konflikt betrifft: Ist wirklich NUR eine Instanz von OpenVPN gestartet?

  • Also wenn ich "ps -fx" eingebe, finde ich als untersten Punkt Openvpn...

  • Hier auch noch die xyz.conf und im Anhang die Ausgabe von "ifconfig":


  • Quote

    Original von ReneRomann
    Dein Problem wird jedoch sein, dass evtl. die reguläre Netzwerkverbindung noch nicht aufgebaut ist, während OpenVPN startet.
    Was deinen IP-Subnet-Konflikt betrifft: Ist wirklich NUR eine Instanz von OpenVPN gestartet?


    Das könnte gut sein...! Wie kann ich das denn verhindern?

  • Quote

    Original von mfgeg
    Und wie schon von ReneRomann angesprichen, hast du ein Problem mit
    deinem Setup, welches du beheben musst, damit folgende Nachricht nicht kommt.
    WARNING: potential route subnet conflict....


    Versteh ich das richtig, dass ich unter "Netzwerk" eine andere IP einstellen muss?!?

  • Quote

    Original von wiwnet


    Versteh ich das richtig, dass ich unter "Netzwerk" eine andere IP einstellen muss?!?


    Nein - bloß nicht...


    Die IP wird dir vom Server per DHCP zugeteilt...
    Was mich gerade wundert:
    Der Server weist dir die IP mit 1.x.x.115 zu und eine Subnetzmaske mit 255.255.252.0... Ergo braucht der Server dir gar keine Route schicken, die mit 1.x.x.0 und 'ner Subnetzmaske von 255.255.255.0 anfängt... Ich glaub du hast den Server vollkommen falsch konfiguriert (wenn's denn dein Server ist).


    Zumal: Ich würde NIE einen VPN-Server mit ÖFFENTLICH ROUTBAREN(!) IP-Adressen ausstatten. Für die VPN-Verbindungen nutzt man (eigentlich) immer nicht öffentlich routbare Adressen (z.B. 192.168.0.0/255.255.0.0 oder wenn's ein paar mehr Adressen sein sollen dann 10.0.0.0/255.0.0.0).
    Routen brauchst du auf dem Server nur dann, wenn die Subnetzmaske der Verbindung das nicht hergibt (bspw. die VPN-Verbindung über 10.0.0.0/255.0.0.0 läuft aber auf das angeschlossene LAN zugegriffen werden soll, welches unter 192.168.5.0/255.255.255.0 läuft). Erst dann(!) braucht man überhaupt Routen-Einträge.
    Und genau daher kommen auch deine Probleme: Du versuchst vom VPN-Server eine Route zu senden, welche über die Subnetzeinstellungen des VPNs bereits abgedeckt ist. Und da kommt hinten nur Schrott bei raus.


    Und was immer noch im Raum steht:
    Warum willst du die redirect-gateway-Anweisung nutzen?
    redirect-gateway nutzt man nur dann, wenn man allen Verkehr von der Box über's VPN tunneln will. Das macht aber nur dann Sinn, wenn du mit der Box von dir aus nicht direkt ins Internet kommst oder die Policy direkte Verbindungen unterbindet. Solange du aber einen "normalen" DSL-Anschluss oder vergleichbar hast, über den du selbst die Kontrolle hast, macht ein redirect-gateway gar keinen Sinn.
    Versuch am besten mal den ganzen Spaß ohne redirect-gateway und schau, ob's dann funktioniert.


    Zumal:
    Wenn ich mir das Server-Zertifikat so ansehe, gehe ich eher davon aus, dass du versuchst, irgendwelche illegalen Sachen darüber zu betreiben...
    Denn das /C=RU/ST=MR/L=Moscow sieht mir schon sehr verdächtig aus.


    Deshalb nochmal mein Rat:
    Versuch erst mal eine 1:1-Verbindung zwischen Box und Server aufzubauen und dann ganz langsam weitermachen. So wie deine Konfig aussieht, hast du entweder keinen blassen Schimmer was du da machst und versuchst hier gerade Hilfe für irgendwelchen halblegalen Kram zu bekommen oder die Konfig ist so verhunzt, dass da ein Neuaufsetzen schneller ist.

  • wiwnet


    sag jetzt mal klip und klar auf was für ein server du da verbinden willst


    weil ich glaube nicht das es halbwegs legal ist


    und wenn keine befriedigende antwort kommt entferne ich den thread auch
    die board regeln sinddeutlich

  • Also ich benutze auch VPN unter 1.6 ..


    Ich wüsste nicht wozu ich eine Verbindung nach Russland brauchen könnte.


    Sorry aber das musste auch mal raus


    Jake

    | 920 ULTRA HD | 7080 HD| 8000 HD | 2 x 7020 HD V2 | 2 x 800 HD SE V2 | 525 S2 |
    |GP 4 & GP 3.2 & GP 3 @ DREAMOS & DMM-Experimental | on all Boxes
    | Hdd : | 2 x 4 TB || 1 TB | Qnap - 8 TB |... and some more space everywhere

    WaveFrontier T 90 : | Hotbird 13 ° | Astra 19,2° | Astra 23,5° | Astra/Eurobird 28,2°/28,5° |
    ........... and happy ;)


    Hier werden Sie geholfen : Gemini Project WIKI sowie Video Tutorials

  • @all:


    Zur Aufklärung: Mein Inet-Anschluss wird mir über ein Netzwerkanschluss durch meinen Vermieter zur Verfügung gestellt. Die Fritzbox dient nur als Netzwerkverteiler, für Voip und Wlan. Ich möchte von außen per App auf die Box zugreifen können, kann aber kein Portforwarding einstellen. Habe daher zur Lösung einen VPN Anbieter (aus der Schweiz...ohne Werbung machen zu wollen) gefunden, der Portforwarding ermöglicht. Das hat bis zur Neuaufsetzung der Box auch wunderbar geklappt...


    D. h. ich habe auf die Serverkonfiguration keinen Einfluss, sondern nur auf meine Box...

  • Schön ....


    aber "/C=RU/ST=MR/L=Moscow " sieht komisch aus.


    Auch für mich als Laien


    J ;)ke

    | 920 ULTRA HD | 7080 HD| 8000 HD | 2 x 7020 HD V2 | 2 x 800 HD SE V2 | 525 S2 |
    |GP 4 & GP 3.2 & GP 3 @ DREAMOS & DMM-Experimental | on all Boxes
    | Hdd : | 2 x 4 TB || 1 TB | Qnap - 8 TB |... and some more space everywhere

    WaveFrontier T 90 : | Hotbird 13 ° | Astra 19,2° | Astra 23,5° | Astra/Eurobird 28,2°/28,5° |
    ........... and happy ;)


    Hier werden Sie geholfen : Gemini Project WIKI sowie Video Tutorials

    Edited once, last by Jake_Worf ().