OpenVPN Problem

[Kingme]

Hey,

vielleicht könnt ihr mir bei meiner aktuellen Problemstellung helfen. Ich habe schon länger einen V-Server, auf dem habe ich gestern OpenVPN zum Laufen gebracht. Die Verbindung zwischen dem Server und Client funktioniert einwandfrei, nur wenn ich mit dem Client über den Server ins Internet möchte, funktioniert es leider nicht. Tracroute hört genau nach dem Server auf.Hier ein paar mehr Details dazu:

Server.conf

port 1194
proto udp
dev tun

ca ./keys/ca.crt
cert ./keys/server.crt
key ./keys/server.key 
dh ./keys/dh1024.pem

server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt

push "redirect-gateway"

push "dhcp-option DNS 208.67.222.222"
push "dhcp-option DNS 208.67.222.222"

keepalive 10 120

comp-lzo
persist-key
persist-tun
status openvpn-status.log
verb 3

client.conf

client
dev tun
proto udp

remote [Öffentliche Server IP] 1194

resolv-retry infinite

nobind

persist-key
persist-tun

ca ca.crt
cert client01.crt
key client01.key

ns-cert-type server
comp-lzo
verb 3

traceroute auf eine externe Website/IP geht bis zur internen IP des Servers:

1  39 ms 39 ms 39 ms 10.8.0.1
2   * 	*	*	Zeitüberschreitung
3   * 	*	*	Zeitüberschreitung
4   * 	*	*	Zeitüberschreitung

Das daemon.log sagt folgendes:

May 26 21:54:43 s15757825 ovpn-server[20101]: OpenVPN 2.1.3 x86_64-pc-linux-gnu [SSL] [LZO2] [EPOLL] [PKCS11] [MH] [PF_INET6] [eurephia] built on Feb 21 2012
May 26 21:54:43 s15757825 ovpn-server[20101]: NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
May 26 21:54:43 s15757825 ovpn-server[20101]: Diffie-Hellman initialized with 1024 bit key
May 26 21:54:43 s15757825 ovpn-server[20101]: WARNING: file './keys/server.key' is group or others accessible
May 26 21:54:43 s15757825 ovpn-server[20101]: /usr/bin/openssl-vulnkey -q -b 1024 -m <modulus omitted>
May 26 21:54:43 s15757825 ovpn-server[20101]: TLS-Auth MTU parms [ L:1542 D:138 EF:38 EB:0 ET:0 EL:0 ]
May 26 21:54:43 s15757825 ovpn-server[20101]: Socket Buffers: R=[137216->131072] S=[137216->131072]
May 26 21:54:43 s15757825 ovpn-server[20101]: ROUTE default_gateway=191.255.255.1
May 26 21:54:43 s15757825 ovpn-server[20101]: TUN/TAP device tun0 opened
May 26 21:54:43 s15757825 ovpn-server[20101]: TUN/TAP TX queue length set to 100
May 26 21:54:43 s15757825 ovpn-server[20101]: /sbin/ifconfig tun0 10.8.0.1 pointopoint 10.8.0.2 mtu 1500
May 26 21:54:43 s15757825 ovpn-server[20101]: /sbin/route add -net 10.8.0.0 netmask 255.255.255.0 gw 10.8.0.2
May 26 21:54:43 s15757825 ovpn-server[20101]: Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:0 EL:0 AF:3/1 ]
May 26 21:54:43 s15757825 ovpn-server[20105]: UDPv4 link local (bound): [undef]
May 26 21:54:43 s15757825 ovpn-server[20105]: UDPv4 link remote: [undef]
May 26 21:54:43 s15757825 ovpn-server[20105]: MULTI: multi_init called, r=256 v=256
May 26 21:54:43 s15757825 ovpn-server[20105]: IFCONFIG POOL: base=10.8.0.4 size=62
May 26 21:54:43 s15757825 ovpn-server[20105]: IFCONFIG POOL LIST
May 26 21:54:43 s15757825 ovpn-server[20105]: client01,10.8.0.4
May 26 21:54:43 s15757825 ovpn-server[20105]: Initialization Sequence Completed
May 26 21:54:49 s15757825 ovpn-server[20105]: MULTI: multi_create_instance called
May 26 21:54:49 s15757825 ovpn-server[20105]: 78.53.209.70:3854 Re-using SSL/TLS context
May 26 21:54:49 s15757825 ovpn-server[20105]: 78.53.209.70:3854 LZO compression initialized
May 26 21:54:49 s15757825 ovpn-server[20105]: 78.53.209.70:3854 Control Channel MTU parms [ L:1542 D:138 EF:38 EB:0 ET:0 EL:0 ]
May 26 21:54:49 s15757825 ovpn-server[20105]: 78.53.209.70:3854 Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:0 EL:0 AF:3/1 ]
May 26 21:54:49 s15757825 ovpn-server[20105]: 78.53.209.70:3854 Local Options hash (VER=V4): '530fdded'
May 26 21:54:49 s15757825 ovpn-server[20105]: 78.53.209.70:3854 Expected Remote Options hash (VER=V4): '41690919'
May 26 21:54:49 s15757825 ovpn-server[20105]: 78.53.209.70:3854 TLS: Initial packet from [AF_INET]78.53.209.70:3854, sid=8ebd04da 574954d1
May 26 21:54:49 s15757825 ovpn-server[20105]: 78.53.209.70:3854 VERIFY OK: depth=1, /C=DE/ST=CA/L=SanFrancisco/O=Fort-Funston/CN=Fort-Funston_CA/emailAddress=me@myhost.mydomain
May 26 21:54:49 s15757825 ovpn-server[20105]: 78.53.209.70:3854 VERIFY OK: depth=0, /C=US/ST=CA/L=SanFrancisco/O=Fort-Funston/CN=client01/emailAddress=me@myhost.mydomain
May 26 21:54:49 s15757825 ovpn-server[20105]: 78.53.209.70:3854 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
May 26 21:54:49 s15757825 ovpn-server[20105]: 78.53.209.70:3854 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
May 26 21:54:49 s15757825 ovpn-server[20105]: 78.53.209.70:3854 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
May 26 21:54:49 s15757825 ovpn-server[20105]: 78.53.209.70:3854 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
May 26 21:54:49 s15757825 ovpn-server[20105]: 78.53.209.70:3854 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
May 26 21:54:49 s15757825 ovpn-server[20105]: 78.53.209.70:3854 [client01] Peer Connection Initiated with [AF_INET]78.53.209.70:3854
May 26 21:54:49 s15757825 ovpn-server[20105]: client01/78.53.209.70:3854 MULTI: Learn: 10.8.0.6 -> client01/78.53.209.70:3854
May 26 21:54:49 s15757825 ovpn-server[20105]: client01/78.53.209.70:3854 MULTI: primary virtual IP for client01/78.53.209.70:3854: 10.8.0.6
May 26 21:54:51 s15757825 ovpn-server[20105]: client01/78.53.209.70:3854 PUSH: Received control message: 'PUSH_REQUEST'
May 26 21:54:51 s15757825 ovpn-server[20105]: client01/78.53.209.70:3854 SENT CONTROL [client01]: 'PUSH_REPLY,redirect-gateway,dhcp-option DNS 208.67.222.222,dhcp-option DNS 208.67.220.220,route 10.8.0.1,topology net30,ping 10,ping-restart 120,ifconfig 10.8.0.6 10.8.0.5' (status=1)

 

[Lord Gurke]

Du musst iptables auch sagen, dass er Verbindungen von tun0 (?) zu deinem externen Netzwerkinterface NATen soll und das IP-Forwarding aktivieren

 

[Kingme]

Du musst iptables auch sagen, dass er Verbindungen von tun0 (?) zu deinem externen Netzwerkinterface NATen soll und das IP-Forwarding aktivieren

Das Problem ich kann IP-Forwarding auf dem V-Server nicht aktivieren, da ich für die entsprechende Datei auch als Root keine berechtigung habe. Konnte es bei einem Rootserver testen da hat es ohne Probleme funktioniert.

root:/ # cat /proc/sys/net/ipv4/ip_forward
0
nicht aktiv.
--------------------------------------------------------
root:/ # echo 1 > /proc/sys/net/ipv4/ip_forward
-bash: /proc/sys/net/ipv4/ip_forward: Read-only file system
nicht bescheibbar.
--------------------------------------------------------
Hab es versucht noch hier einzutragen  /etc/sysctl.conf aber es greift nicht.

# Disable response to broadcasts.
# You don't want yourself becoming a Smurf amplifier.
net.ipv4.icmp_echo_ignore_broadcasts = 1
# enable route verification on all interfaces
net.ipv4.conf.all.rp_filter = 1
# disable IPv6 completely
#net.ipv6.conf.all.disable_ipv6 = 1
# enable IPv6 forwarding
#net.ipv6.conf.all.forwarding = 1
# increase the number of possible inotify(7) watches
fs.inotify.max_user_watches = 65536
# avoid deleting secondary IPs on deleting the primary IP
net.ipv4.conf.default.promote_secondaries = 1
net.ipv4.conf.all.promote_secondaries = 1
net.ipv4.ip_forward = 1
-----------------------------------------------------------------------

Die rechte lassen sich auch nicht ändern.

vielleicht habt ihr noch eine idee.

 

[vb-server]

Musst du dem Hoster sagen, er soll IPv4 Forwarding auf 1 setzen.

 

[Kingme]

Musst du dem Hoster sagen, er soll IPv4 Forwarding auf 1 setzen.

Werde ich mal versuchen ob die das machen können, möglicherweise wurde diese Einstellung mit absicht auf 0 gesetzt. Wie gesagt bei einem Testserver (Root) funktioniert es ohne Probleme. Dieser ist allerdings nicht über das Internet erreichbar nur intern.

 

[vb-server]

Bei gewissen Virtualisierungstechnologien kann man am /proc/ nix ändern. Die Änderung wäre bei Shared-Kernel bei allenm vServern gültig. Aber bis jetzt ging es immer mit OpenVPN

 

[Kingme]

Bei gewissen Virtualisierungstechnologien kann man am /proc/ nix ändern. Die Änderung wäre bei Shared-Kernel bei allenm vServern gültig. Aber bis jetzt ging es immer mit OpenVPN

VPN Funktioniert ja, aber ich will über den V-Server surfen das geht nicht.

 

[vb-server]

Ja, ich meinte natürlich, dass es bis jetzt immer ging mit IP Forwarding.

 

[svenr]

Zur Not kannste dir ja noch nen squid draufpacken und den local lauschen lassen.

Gruss Sven

 

[Kingme]

Zur Not kannste dir ja noch nen squid draufpacken und den local lauschen lassen.

Gruss Sven

Der tipp ist nicht schlecht, habe mit squid noch nicht gearbeitet. Kurz zu dem was ich machen möchte. Mein Server hat eine IP Range die als zugelassene IPAdresse Zählt für die weiteren Rootserver, darüber möchte ich Linux als auch Windows Server erreichen. Linux Server stellen nicht das Problem dar, hier spring ich einfach von meinem Server via ssh root@IP-Server. Aber eine remote desktop verbindung lässt sich logischerweise so nicht realisieren. Dachte mir das so:

Windows Client <VPN> V-Server > Internes Netz mit Linux/Windows Server

Wäre das auch mit squid möglich?

Windows Client > V-Server als Proxy > Rootserver mit IP Filter

 

[svenr]

Ne dafür ist der Squid dann nicht geeignet.
Gruß Sven

 

[vb-server]

RemoteDesktop geht super über einen SSH Tunnel.

 

[Kingme]

Okay bin immernoch keinen Schritt weiter. Ip Forwarding konnte ich aktivieren lag an einem Plesk Bug das ipv4.ip_forward Schreibgeschützt war. Hat jemand noch einen Idee?

 

[Kingme]

Okay konnte das Problem nun selbst lösen mit viel Geduld.
Zuerst musste IP Forwarding aktiviert werden mit:

echo "1" > /proc/sys/net/ipv4/ip_forward

Da es sich um einen V-Server handelt musste ich es so lösen:

iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -j SNAT --to <ServerIP>

Vielen dank für eure hilfe. Wie gesagt es scheint einen Bug zu geben mit Plesk wenn man IP Forwarding aktivieren möchte.