Hi Liste, animiert durch den Artikel in der C't 9/2005 habe ich auf meinem PC OpenVPN unter Suse9.2 installiert. Ich habe mich genau an die Anweisung dieses Artikels gehalten. Ursprünglich hatte ich in meinem TestPC (VPN-Server) nur eine Netzwerkkarte (192.168.1.6). Mit meinem anderen PC WindowsXP (192.168.1.2) konnte ich einen VPN-Tunnel aufbauen und den VPN-Server (10.12.34.1) durch diesen Tunnel erfolgreich pingen. Da dies funktionierte, wollte ich eine Stufe weiter gehen und ein Routing versuchen. Dazu habe ich eine 2.Netzwerkkarte (192.168.10.1) in den Server eingebaut und einen dritten PC mit WindowsXP per crossover direkt an diese Netzwerkkarte angeschlossen. Ein Ping von diesem PC auf 192.168.10.1 ist erfolgreich. Der VPN-Tunnel wird auch erfolgreich aufgebaut. Leider werden aber keine Pakete zum Server übertragen. Ein Ping durch den Tunnel ergibt ein Timeout. Da keine Fehlermeldungen erscheinen (auch nicht mit Verbose 9) stehe ich etwas im Dunkeln. Kann mir jemand auf die Sprünge helfen? Zu erwähnen wäre noch, dass 'tcpdump -n -i tun0' als auch 'ethereal' bei einem Ping vom Client auf den Server keine durch den Tunnel übertragene Pakete anzeigen. Grüsse Jörg ________________________________________________ EDV-Service Joerg Reece, http://www.edv-reece.de
Am Dienstag, 21. Juni 2005 00:42 schrieb Linux1:
Hi Liste,
animiert durch den Artikel in der C't 9/2005 habe ich auf meinem PC OpenVPN unter Suse9.2 installiert. Ich habe mich genau an die Anweisung dieses Artikels gehalten. Ursprünglich hatte ich in meinem TestPC (VPN-Server) nur eine Netzwerkkarte (192.168.1.6). Mit meinem anderen PC WindowsXP (192.168.1.2) konnte ich einen VPN-Tunnel aufbauen und den VPN-Server (10.12.34.1) durch diesen Tunnel erfolgreich pingen. Da dies funktionierte, wollte ich eine Stufe weiter gehen und ein Routing versuchen. Dazu habe ich eine 2.Netzwerkkarte (192.168.10.1) in den Server eingebaut und einen dritten PC mit WindowsXP per crossover direkt an diese Netzwerkkarte angeschlossen. Ein Ping von diesem PC auf 192.168.10.1 ist erfolgreich. Der VPN-Tunnel wird auch erfolgreich aufgebaut. Leider werden aber keine Pakete zum Server übertragen. Ein Ping durch den Tunnel ergibt ein Timeout.
Da keine Fehlermeldungen erscheinen (auch nicht mit Verbose 9) stehe ich etwas im Dunkeln. Kann mir jemand auf die Sprünge helfen?
Zu erwähnen wäre noch, dass 'tcpdump -n -i tun0' als auch 'ethereal' bei einem Ping vom Client auf den Server keine durch den Tunnel übertragene Pakete anzeigen.
hm...WindowsXP....vielleicht noch mit SP2? Schau mal nach, ob da nicht irgendwo noch ne Firewall aktiv ist, die sowas vielleicht blockt. OpenVPN erstellt ja meist ein neues Interface, für das die Firewall ja erst mal konfiguriert werden muss. Mfg, thomas
Am Dienstag, 21. Juni 2005 12:36 schrieb Thomas Gräber:
Am Dienstag, 21. Juni 2005 00:42 schrieb Linux1:
Hi Liste,
[...]
Zu erwähnen wäre noch, dass 'tcpdump -n -i tun0' als auch 'ethereal' bei einem Ping vom Client auf den Server keine durch den Tunnel übertragene Pakete anzeigen.
hm...WindowsXP....vielleicht noch mit SP2? Schau mal nach, ob da nicht irgendwo noch ne Firewall aktiv ist, die sowas vielleicht blockt. OpenVPN erstellt ja meist ein neues Interface, für das die Firewall ja erst mal konfiguriert werden muss.
Danke für den Tipp, SP2 ist installiert, aber die Firewall habe ich komplett deaktiviert. Gruss Jörg
Mfg, thomas
Am Dienstag, 21. Juni 2005 13:20 schrieb Maximilian Steinbauer:
Danke für den Tipp, SP2 ist installiert, aber die Firewall habe ich > > komplett deaktiviert.
Auch in den Diensten? Die Einstellung "deaktiviert" lügt manchmal. It's not a bug, it's a feature!
*grins* diesen Dienst habe ich sicherheitshalber nun auch noch deaktiviert. Ergebnis: es geht trotzdem kein Ping durch. Dieser Testpc wurde frisch mit WindowsXP installiert. Erst als kein Verbindung funktionierte, habe ich durchs googeln den Hinweis zu SP2 erhalten. Danach habe ich also erst SP2 installiert. Danke Jörg
Max
Guten Tag Thomas Gräber, Am Dienstag, 21. Juni 2005 um 12:36 schrieb Thomas Gräber:
Am Dienstag, 21. Juni 2005 00:42 schrieb Linux1:
Zu erwähnen wäre noch, dass 'tcpdump -n -i tun0' als auch 'ethereal' bei einem Ping vom Client auf den Server keine durch den Tunnel übertragene Pakete anzeigen.
und die andere Richtung? Ausserdem: warum sollte die FW das blocken, wenns doch vom XP aus weggeht; erst der umgekehrte Weg wird dann von der XP FW geblockt... Nochmal für mich: XP1 - VPN - XP2 XP1: 192.168.1.2 VPN.1: 192.168.1.6 + VPN.2: 10.12.34.1 + VPN.3: 192.168.10.1 XP2: 192.168.10.x (schätze mal .2) ein ping von ... nach 192.168.1.2 -> 192.168.1.6 : geht 192.168.1.2 -> 10.12.34.1 : geht 192.168.1.2 -> 192.168.10.1 : ? 192.168.1.2 -> 192.168.10.2 : ? 192.168.1.6 -> 192.168.1.2 : geht 192.168.10.1 -> 192.168.10.2 : ? 192.168.10.2 -> 192.168.10.1 : ? 192.168.10.2 -> 10.12.34.1 : ? 192.168.10.2 -> 192.168.1.6 : ? 192.168.10.2 -> 192.168.1.2 : ? bitte mal versuchen, ob du für jede Verbindung, die nicht geht, einen "tcpdump -n -i tun0" bzw. "tcpdump -n -i ethX" machen kannst. eventl. hilft von den Rechner aus auch ein tracert (bzw. traceroute), dann sieht man, ob der XP es auch wirklich in den Tunnel schiebt. Das ist so, was mir bei deiner Fehlermeldung auffällt. Nochwas: läuft auf dem VPN _Server_ eventl. eine FW? Das war nämlich mal bei mir das Problem... cu, Stefan
Am Mittwoch, 22. Juni 2005 00:16 schrieb Stefan Schilling:
Guten Tag Thomas Gräber,
Danke für die ausführlichen Fragen - werde sie gerne beantworten.
Am Dienstag, 21. Juni 2005 um 12:36 schrieb Thomas Gräber:
Am Dienstag, 21. Juni 2005 00:42 schrieb Linux1:
Zu erwähnen wäre noch, dass 'tcpdump -n -i tun0' als auch 'ethereal' bei einem Ping vom Client auf den Server keine durch den Tunnel übertragene Pakete anzeigen.
und die andere Richtung? Ausserdem: warum sollte die FW das blocken, wenns doch vom XP aus weggeht; erst der umgekehrte Weg wird dann von der XP FW geblockt...
Nochmal für mich:
XP1 - VPN - XP2
XP1: 192.168.1.2 VPN.1: 192.168.1.6 + VPN.2: 10.12.34.1 + VPN.3: 192.168.10.1 XP2: 192.168.10.x (schätze mal .2)
genau so. XP1 (192.168.1.2) an eth0 mit 192.168.1.6 XP2 (192.168.10.2) an eth1 mit 192.168.10.1
ein ping von ... nach 192.168.1.2 -> 192.168.1.6 : geht
ja
192.168.1.2 -> 10.12.34.1 : geht ja 192.168.1.2 -> 192.168.10.1 : ? geht 192.168.1.2 -> 192.168.10.2 : ? geht 192.168.1.6 -> 192.168.1.2 : geht ja 192.168.10.1 -> 192.168.10.2 : ? geht 192.168.10.2 -> 192.168.10.1 : ? geht 192.168.10.2 -> 10.12.34.1 : ? geht nicht 192.168.10.2 -> 192.168.1.6 : ? geht 192.168.10.2 -> 192.168.1.2 : ? geht
bitte mal versuchen, ob du für jede Verbindung, die nicht geht, einen "tcpdump -n -i tun0" bzw. "tcpdump -n -i ethX" machen kannst. eventl. hilft von den Rechner aus auch ein tracert (bzw. traceroute), dann sieht man, ob der XP es auch wirklich in den Tunnel schiebt.
'tcpdump -n -i tun0' zeigt genau wie 'ethereal' nichts an - also keine übertragenen Datenpakete an tun0 bei einem Ping von 192.168.10.2 an 10.12.34.1
Das ist so, was mir bei deiner Fehlermeldung auffällt. Nochwas: läuft auf dem VPN _Server_ eventl. eine FW? Das war nämlich mal bei mir das Problem...
Nein, nirgends eine Firewall aktiviert.
cu, Stefan
participants (5)
-
Joerg Ries -
Linux1
-
Maximilian Steinbauer -
Stefan Schilling -
Thomas Gräber