Via OpenVPN auf Samba connecten

bastians · Dec 28, 2008

Hallo,

habe via Webmin ein OpenVPN-Server aufgesetzt, und auch eine Verbindung hergestellt:

Code:

Sun Dec 28 17:40:49 2008 OpenVPN 2.1_rc15 i686-pc-mingw32 [SSL] [LZO2] [PKCS11] built on Nov 19 2008
Sun Dec 28 17:40:49 2008 WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
Sun Dec 28 17:40:49 2008 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Sun Dec 28 17:40:49 2008 Control Channel Authentication: using 'ta.key' as a OpenVPN static key file
Sun Dec 28 17:40:49 2008 Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Sun Dec 28 17:40:49 2008 Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Sun Dec 28 17:40:49 2008 LZO compression initialized
Sun Dec 28 17:40:49 2008 Control Channel MTU parms [ L:1542 D:166 EF:66 EB:0 ET:0 EL:0 ]
Sun Dec 28 17:40:49 2008 Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:0 EL:0 AF:3/1 ]
Sun Dec 28 17:40:49 2008 Local Options hash (VER=V4): '9a12df14'
Sun Dec 28 17:40:49 2008 Expected Remote Options hash (VER=V4): '2e9b59da'
Sun Dec 28 17:40:49 2008 UDPv4 link local: [undef]
Sun Dec 28 17:40:49 2008 UDPv4 link remote: 212.223.229.59:1194
Sun Dec 28 17:40:49 2008 VERIFY OK: depth=1, /C=DE/ST=BW/L=Loechgau/O=FV_Loechgau_e.V./emailAddress=administrator@fvloechgau.de
Sun Dec 28 17:40:49 2008 VERIFY OK: depth=0, /C=DE/ST=BW/L=Loechgau/O=FV_Loechgau_e.V./OU=Office/CN=server/emailAddress=administrator@fvloechgau.de
Sun Dec 28 17:40:50 2008 Data Channel Encrypt: Cipher 'DES-CBC' initialized with 64 bit key
Sun Dec 28 17:40:50 2008 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Sun Dec 28 17:40:50 2008 Data Channel Decrypt: Cipher 'DES-CBC' initialized with 64 bit key
Sun Dec 28 17:40:50 2008 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Sun Dec 28 17:40:50 2008 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 2048 bit RSA
Sun Dec 28 17:40:50 2008 [server] Peer Connection Initiated with xxx.xxx.xxx.xx:1194
Sun Dec 28 17:40:52 2008 TAP-WIN32 device [LAN-Verbindung 3] opened: \\.\Global\{6BB7A98E-EE33-4CB1-A0A9-22CF7995CEBA}.tap
Sun Dec 28 17:40:52 2008 TAP-Win32 MTU=1500
Sun Dec 28 17:40:52 2008 Notified TAP-Win32 driver to set a DHCP IP/netmask of 10.8.0.6/255.255.255.252 on interface {6BB7A98E-EE33-4CB1-A0A9-22CF7995CEBA} [DHCP-serv: 10.8.0.5, lease-time: 31536000]
Sun Dec 28 17:40:57 2008 ROUTE: route addition failed using CreateIpForwardEntry: Zugriff verweigert   [status=5 if_index=49]
Sun Dec 28 17:40:57 2008 ERROR: Windows route add command failed [adaptive]: returned error code 1
Sun Dec 28 17:40:57 2008 Initialization Sequence Completed

Letzte Zeile zeigt mir eine erfolgreiche Verbindung, davor ist aber ein Error, den ich nicht näher definieren kann.

Auszug aus meiner Samba-Konfig:

Code:

interfaces = 10.8.0.0/255.255.255.255
bind interfaces only = true

ifconfig auf meinem Debian vServer ergibt:

lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:16 errors:0 dropped:0 overruns:0 frame:0
TX packets:16 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:860 (860.0 b) TX bytes:860 (860.0 b)

tun0 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
inet addr:10.8.0.1 P-t-P:10.8.0.2 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1
RX packets:4 errors:0 dropped:0 overruns:0 frame:0
TX packets:323 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:500
RX bytes:240 (240.0 b) TX bytes:36317 (35.4 KiB)

venet0 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
inet addr:127.0.0.1 P-t-P:127.0.0.1 Bcast:0.0.0.0 Mask:255.255.255.255
UP BROADCAST POINTOPOINT RUNNING NOARP MTU:1500 Metric:1
RX packets:83662 errors:0 dropped:0 overruns:0 frame:0
TX packets:27511 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:113058950 (107.8 MiB) TX bytes:5695020 (5.4 MiB)

venet0:0 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
inet addr:xxx.xxx.xxx.xx P-t-P:xxx.xxx.xxx.xx Bcast:0.0.0.0 Mask:255.255.255.255
UP BROADCAST POINTOPOINT RUNNING NOARP MTU:1500 Metric:1

Habe ich bei der Samba-Konfiguration etwas falsch eingestellt?

Vielen Dank für eure Hilfe

Armadillo · Dec 28, 2008

Ein Auszug aus "route print" deines Windows-Rechners wäre mal interessant.

bastians · Dec 28, 2008

Code:

Schnittstellenliste
 49 ...00 ff 6b b7 a9 8e ...... TAP-Win32 Adapter V9
 45 ...00 ff e3 97 5a b4 ...... TeamViewer VPN Adapter
 33 ...00 ff 82 84 36 ec ...... VirtualBox TAP Adapter #4
 27 ...00 ff 09 bc 89 0f ...... VirtualBox TAP Adapter #3
 26 ...00 ff 1c d4 fe fa ...... VirtualBox TAP Adapter #2
 25 ...00 ff 0a 86 a1 19 ...... VirtualBox TAP Adapter
  9 ...00 1f 3a b0 d0 ca ...... Atheros AR5007 802.11b/g WiFi Adapter
  8 ...00 1e 68 49 2d b5 ...... NVIDIA nForce Networking Controller
  1 ........................... Software Loopback Interface 1
 44 ...00 00 00 00 00 00 00 e0  Microsoft-ISATAP-Adapter
 35 ...00 00 00 00 00 00 00 e0  isatap.{7DFA8138-F1C7-4989-8DE2-F5FF3480A373}
 48 ...00 00 00 00 00 00 00 e0  Microsoft-ISATAP-Adapter #3
 10 ...02 00 54 55 4e 01 ...... Teredo Tunneling Pseudo-Interface
 42 ...00 00 00 00 00 00 00 e0  isatap.{1CD4FEFA-8C34-437B-91FD-102E49B92D90}
 41 ...00 00 00 00 00 00 00 e0  isatap.{09BC890F-E7EB-42E4-91B6-454A481545CF}
 43 ...00 00 00 00 00 00 00 e0  isatap.{828436EC-1656-44F7-BBC9-AC0EA1DA495D}
 47 ...00 00 00 00 00 00 00 e0  isatap.{E3975AB4-9724-4B22-BDEF-37B1ED69D879}
 51 ...00 00 00 00 00 00 00 e0  isatap.{6BB7A98E-EE33-4CB1-A0A9-22CF7995CEBA}
===========================================================================

IPv4-Routentabelle
===========================================================================
Aktive Routen:
     Netzwerkziel    Netzwerkmaske          Gateway    Schnittstelle Metrik
          0.0.0.0          0.0.0.0      192.168.2.1    192.168.2.102     25
         10.8.0.4  255.255.255.252   Auf Verbindung          10.8.0.6    286
         10.8.0.6  255.255.255.255   Auf Verbindung          10.8.0.6    286
         10.8.0.7  255.255.255.255   Auf Verbindung          10.8.0.6    286
        127.0.0.0        255.0.0.0   Auf Verbindung         127.0.0.1    306
        127.0.0.1  255.255.255.255   Auf Verbindung         127.0.0.1    306
  127.255.255.255  255.255.255.255   Auf Verbindung         127.0.0.1    306
      169.254.0.0      255.255.0.0   Auf Verbindung          10.8.0.6    306
  169.254.255.255  255.255.255.255   Auf Verbindung          10.8.0.6    286
      192.168.2.0    255.255.255.0   Auf Verbindung     192.168.2.102    281
    192.168.2.102  255.255.255.255   Auf Verbindung     192.168.2.102    281
    192.168.2.255  255.255.255.255   Auf Verbindung     192.168.2.102    281
        224.0.0.0        240.0.0.0   Auf Verbindung         127.0.0.1    306
        224.0.0.0        240.0.0.0   Auf Verbindung          10.8.0.6    286
        224.0.0.0        240.0.0.0   Auf Verbindung     192.168.2.102    281
  255.255.255.255  255.255.255.255   Auf Verbindung         127.0.0.1    306
  255.255.255.255  255.255.255.255   Auf Verbindung          10.8.0.6    286
  255.255.255.255  255.255.255.255   Auf Verbindung     192.168.2.102    281
===========================================================================
Ständige Routen:
  Keine

IPv6-Routentabelle
===========================================================================
Aktive Routen:
 If Metrik Netzwerkziel             Gateway
  1    306 ::1/128                  Auf Verbindung
 49    286 fe80::/64                Auf Verbindung
  9    281 fe80::/64                Auf Verbindung
  9    281 fe80::6cf5:79ed:c700:d89d/128
                                    Auf Verbindung
 49    286 fe80::84be:910e:67b4:ee8e/128
                                    Auf Verbindung
  1    306 ff00::/8                 Auf Verbindung
 49    286 ff00::/8                 Auf Verbindung
  9    281 ff00::/8                 Auf Verbindung
===========================================================================
Ständige Routen:
  Keine

Armadillo · Dec 29, 2008

Hi,

was mir grad erst aufgefallen ist, dein interfaces Abschnitt in der Samba-Conf ist völlig falsch.

Das müsste in etwa so aussehen:

Code:

interfaces = 10.8.0.6/255.255.255.0

Zuerst musst du die IP-Adresse des Netzwerkadapters eingeben, über den der Traffic kommt. Und hinten solltest du eine sinnvolle Subnetzmaske eingeben. Mit 255.255.255.255 können keine Clients in deinem Subnetz sein, das kan also keine richtige Einstellung sein.

bastians · Dec 29, 2008

Hmm, aber die IP des OpenVPN-Servers ist doch 10.8.0.0, die 10.8.0.6 ist die, die ich als Client bekomme beim connecten.
Oder muss ich bei den Interfaces alle IPs der Clients eintragen?

EDIT: Habe es jetzt mal geändert in der config, route print ergibt aber dasselbe?!

Armadillo · Dec 29, 2008

Ja an route print sollte sich nichts verändern. Bei der IP musst du natürlich die IP des Servers im VPN angeben, vermutlich die 10.8.0.1, das mit der 10.8.0.6 war nur ein Beispiel, war vielleicht blöd gewählt, sorry.

Allerdings benötigst du dann auch noch eine Route für die IP des Servers, ansonsten kommst du ja nciht auf die Sambafreigabe, weil der Verkehr nciht entsprechend ins VPN geroutet wird. Da stimmt vermutlich was in der vpn config nciht, die solltest du am besten auch mal posten. Vermutlich hängt das mit dem Error im VPN-Log vom ersten Post zusammen.

bastians · Dec 29, 2008

Hab ich getan, nichts...oh man.

Hier mal meine OpenVPN Konfigs:
Server.conf

Code:

port 1194
proto udp
dev tun0
ca keys/fvlvpn/ca.crt
cert keys/fvlvpn/server.crt
key keys/fvlvpn/server.key
dh keys/fvlvpn/dh2048.pem
server 10.8.0.0 255.255.255.0
crl-verify keys/fvlvpn/crl.pem
tls-auth servers/ovpn-fvl/ta.key 0
cipher DES-CBC
user nobody
group nogroup
status servers/ovpn-fvl/logs/openvpn-status.log
log-append servers/ovpn-fvl/logs/openvpn.log
verb 2
mute 20
max-clients 100
tun-mtu 1500
keepalive 10 120
client-config-dir /etc/openvpn/servers/ovpn-fvl/ccd
client-to-client
comp-lzo
persist-key
persist-tun
ccd-exclusive
route 127.0.0.1 255.255.255.255

client.conf

Code:

client
proto udp
dev tun
ca ca.crt
dh dh2048.pem
cert client01.crt
key client01.key
remote [meine Server-IP] 1194
tls-auth ta.key 1
cipher DES-CBC
verb 2
mute 20
keepalive 10 120
comp-lzo
persist-key
persist-tun
float
resolv-retry infinite
nobind

Armadillo · Dec 29, 2008

route 127.0.0.1 255.255.255.255

Das kannst du aus der Server-Conf rauslöschen.

Und dann versuchs nochmal.

bastians · Dec 29, 2008

Kann nicht auf das Netzlaufwerk zugreifen. Irgendetwas stimmt noch nicht.
Müsst ich unter Vista nicht auch in der Netzwerkumgebung den Server sehen?

Armadillo · Dec 29, 2008

Kommt denn jetzt noch ne Fehlermeldung?

Vermutlich fehlt noch die Route zu dem Server, die wahrscheinlich nciht hinzugefügt werden kann, warum auch immer.

bastians · Dec 29, 2008

Vista sagt, dass es das Netzlaufwerk nicht findet. Mehr nicht. Hmm. Und nun?

Armadillo · Dec 29, 2008

Kannst du die VPN-IP deines Servers (sollte 10.8.0.1 sein) pingen? Wie sehen die Routen (route print) jetzt aus?

bastians · Dec 30, 2008

Leider kein Ping möglich, weder auf 10.8.0.0 noch auf 10.8.0.1

Route print:

Code:

===========================================================================
Schnittstellenliste
 47 ...00 ff 6b b7 a9 8e ...... TAP-Win32 Adapter V9
 44 ...00 ff e3 97 5a b4 ...... TeamViewer VPN Adapter
 33 ...00 ff 82 84 36 ec ...... VirtualBox TAP Adapter #4
 27 ...00 ff 09 bc 89 0f ...... VirtualBox TAP Adapter #3
 26 ...00 ff 1c d4 fe fa ...... VirtualBox TAP Adapter #2
 25 ...00 ff 0a 86 a1 19 ...... VirtualBox TAP Adapter
  9 ...00 1f 3a b0 d0 ca ...... Atheros AR5007 802.11b/g WiFi Adapter
  8 ...00 1e 68 49 2d b5 ...... NVIDIA nForce Networking Controller
  1 ........................... Software Loopback Interface 1
 51 ...00 00 00 00 00 00 00 e0  isatap.Speedport_W_700V
 35 ...00 00 00 00 00 00 00 e0  isatap.{7DFA8138-F1C7-4989-8DE2-F5FF3480A373}
 50 ...00 00 00 00 00 00 00 e0  isatap.{0A86A119-0267-4845-A7A3-BE828D89115C}
 10 ...02 00 54 55 4e 01 ...... Teredo Tunneling Pseudo-Interface
 42 ...00 00 00 00 00 00 00 e0  isatap.{1CD4FEFA-8C34-437B-91FD-102E49B92D90}
 41 ...00 00 00 00 00 00 00 e0  isatap.{09BC890F-E7EB-42E4-91B6-454A481545CF}
 43 ...00 00 00 00 00 00 00 e0  isatap.{828436EC-1656-44F7-BBC9-AC0EA1DA495D}
 46 ...00 00 00 00 00 00 00 e0  isatap.{E3975AB4-9724-4B22-BDEF-37B1ED69D879}
 49 ...00 00 00 00 00 00 00 e0  isatap.{6BB7A98E-EE33-4CB1-A0A9-22CF7995CEBA}
===========================================================================

IPv4-Routentabelle
===========================================================================
Aktive Routen:
     Netzwerkziel    Netzwerkmaske          Gateway    Schnittstelle Metrik
          0.0.0.0          0.0.0.0      192.168.2.1    192.168.2.102     25
         10.8.0.4  255.255.255.252   Auf Verbindung          10.8.0.6    286
         10.8.0.6  255.255.255.255   Auf Verbindung          10.8.0.6    286
         10.8.0.7  255.255.255.255   Auf Verbindung          10.8.0.6    286
        127.0.0.0        255.0.0.0   Auf Verbindung         127.0.0.1    306
        127.0.0.1  255.255.255.255   Auf Verbindung         127.0.0.1    306
  127.255.255.255  255.255.255.255   Auf Verbindung         127.0.0.1    306
      169.254.0.0      255.255.0.0   Auf Verbindung          10.8.0.6    306
  169.254.255.255  255.255.255.255   Auf Verbindung          10.8.0.6    286
      192.168.2.0    255.255.255.0   Auf Verbindung     192.168.2.102    281
    192.168.2.102  255.255.255.255   Auf Verbindung     192.168.2.102    281
    192.168.2.255  255.255.255.255   Auf Verbindung     192.168.2.102    281
        224.0.0.0        240.0.0.0   Auf Verbindung         127.0.0.1    306
        224.0.0.0        240.0.0.0   Auf Verbindung          10.8.0.6    286
        224.0.0.0        240.0.0.0   Auf Verbindung     192.168.2.102    281
  255.255.255.255  255.255.255.255   Auf Verbindung         127.0.0.1    306
  255.255.255.255  255.255.255.255   Auf Verbindung          10.8.0.6    286
  255.255.255.255  255.255.255.255   Auf Verbindung     192.168.2.102    281
===========================================================================
Ständige Routen:
  Keine

IPv6-Routentabelle
===========================================================================
Aktive Routen:
 If Metrik Netzwerkziel             Gateway
  1    306 ::1/128                  Auf Verbindung
 47    286 fe80::/64                Auf Verbindung
  9    281 fe80::/64                Auf Verbindung
  9    281 fe80::6cf5:79ed:c700:d89d/128
                                    Auf Verbindung
 47    286 fe80::84be:910e:67b4:ee8e/128
                                    Auf Verbindung
  1    306 ff00::/8                 Auf Verbindung
 47    286 ff00::/8                 Auf Verbindung
  9    281 ff00::/8                 Auf Verbindung
===========================================================================
Ständige Routen:
  Keine

bastians · Feb 2, 2009

Sorry, dass ich das Thema wieder hochhole. Aber habe leider immer noch keine Lösung meines Problems. Fakten sind im bisherigen Verlauf des Threads einzusehen.

Mich wundert eins:
In der server.conf habe ich das einegtragen

Code:

server 10.8.0.0 255.255.255.0

ifconfig zeigt mir aber dies bei tun0 an:

Code:

inet addr:10.8.0.1 P-t-P:10.8.0.2 Mask:255.255.255.255

Muss das Subnetz nicht gleich sein?

Via OpenVPN auf Samba connecten

bastians

New Member

Armadillo

Registered User

bastians

New Member

Armadillo

Registered User

bastians

New Member

Armadillo

Registered User

bastians

New Member

Armadillo

Registered User

bastians

New Member

Armadillo

Registered User

bastians

New Member

Armadillo

Registered User

bastians

New Member

bastians

New Member

We value your privacy