(Gelöst) OpenVPN route addition failed using service
-
Hallo zusammen,
wir haben bei uns intern seit kurzem Probleme mit dem VPN Client auf unseren Clients. Client Version on Packages Manager ist 1.4.14 and the export Version is (2.4.4-Ix01) aber auch bei Version 2.3.18 tritt es auf. Der Client stellt die Verbindung her und sagt auch er ist "connected".
Genau diese Konstellation hat vorher schon funktioniert ohne Änderungen an der Konfiguration der pfsense Firewall. Nur Windows Updates beim Client könnten was verändert haben. Wir haben das Problem bei mehreren Clients.
Im Log steht folgendes als Error:
ROUTE: route addition failed using service: Falscher Parameter. [status=87 if_index=20]
In Version 2.3.18 steht:
ROUTE: route addition failed using CreateIpForwardEntry: Falscher Parameter. [status=87 if_index=10]Here is the complete log:
Wed Jul 04 10:38:59 2018 OpenVPN 2.4.4 x86_64-w64-mingw32 [SSL (OpenSSL)] [LZO] [LZ4] [PKCS11] [AEAD] built on Sep 26 2017
Wed Jul 04 10:38:59 2018 Windows version 6.2 (Windows 8 or greater) 64bit
Wed Jul 04 10:38:59 2018 library versions: OpenSSL 1.0.2l 25 May 2017, LZO 2.10
Enter Management Password:
Wed Jul 04 11:13:36 2018 TCP/UDP: Preserving recently used remote address: [AF_INET]46.xx.xx.xx:1194
Wed Jul 04 11:13:36 2018 UDP link local (bound): [AF_INET][undef]:1194
Wed Jul 04 11:13:36 2018 UDP link remote: [AF_INET]46.xx.xx.xxx:1194
Wed Jul 04 11:13:36 2018 WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
Wed Jul 04 11:13:36 2018 [fw-remote-vpn1.domain.de] Peer Connection Initiated with [AF_INET]46.xx.xx.xx:1194
Wed Jul 04 11:13:38 2018 open_tun
Wed Jul 04 11:13:38 2018 TAP-WIN32 device [Ethernet 2] opened: .\Global{C4E784BD-1C82-436E-A8FD-0E03941211E9}.tap
Wed Jul 04 11:13:38 2018 Notified TAP-Windows driver to set a DHCP IP/netmask of 10.10.220.86/255.255.255.252 on interface {C4E784BD-1C82-436E-A8FD-0E03941211E9} [DHCP-serv: 10.10.220.85, lease-time: 31536000]
Wed Jul 04 11:13:38 2018 Successful ARP Flush on interface [20] {C4E784BD-1C82-436E-A8FD-0E03941211E9}
Wed Jul 04 11:13:38 2018 do_ifconfig, tt->did_ifconfig_ipv6_setup=0
Wed Jul 04 11:13:43 2018 ROUTE: route addition failed using service: Falscher Parameter. [status=87 if_index=20]
Wed Jul 04 11:13:43 2018 Initialization Sequence Completed
Wed Jul 04 11:13:43 2018 Register_dns request sent to the serviceIch hoffe ihr könnt mir hier weiterhelfen.
Danke und viele Grüße
David -
Hallo,
wie sieht die Server Konfig aus?
Wie sieht die Routing Tabelle des Clients aus?Grüße
-
Moin,
die GUI mal als Administrator ausführen. Das sieht nach einem Rechteproblem aus.
-
@viragomann said in OpenVPN route addition failed using service:
wie sieht die Server Konfig aus?
dev tun
persist-tun
persist-key
cipher AES-256-CBC
auth SHA512
tls-client
client
resolv-retry infinite
remote 46.xxx.xxx.xxx 1194 udp
auth-user-pass
ca fw-xxx-vpn1-UDP4-1194-ca.crt
tls-auth fw-xxx-vpn1-UDP4-1194-tls.key 1
remote-cert-tls server@bahsig habe ich schon probiert, bringt keine Besserung. Selbst als Admin direkt auf der Kiste. Scheint also nichts einem Berechtigungsproblem zu sein.
-
Das ist wohl eher die Client Konfig.
Interessant wären die Server Konfig und die Routing Table des Clients (bei Verbindung) um weiterhelfen zu können.
-
General Information
Server mode: Remote Access (User Auth)
Backend for authentication: dcLocal Database
Protocol: UDP on IPv4 only
Device mode: tun - Layer 3 Tunnel Mode
Interface: WAN
Local port: 1194TLS Configuration: Use a TLS Key
TLS Key Usage Mode: TLS Authentication
DH Parameter Length: 4096
ECDH Curve: Use Default
Encryption Algorithm: AES-256-CBC
Enable NCP: ja
Auth digest algorithm: Intel RDRAND engine - RAND
Certificate Depth: OneIPv4 Tunnel Network: 10.10.220.0/24
IPv6 Tunnel Network: -
Redirect IPv4 Gateway: -
Redirect IPv6 Gateway: -
IPv4 Local network(s): 10.226.238.0/23, 10.226.239.0/23, 10.226.232.0/23
IPv6 Local network(s) -
Concurrent connections: -
Push Compression:
Type-of-Service: -
Inter-client communication: -
Duplicate Connection: -Dynamic IP: yes
Topology: net30 - Isolated /30 network per ClientDNS Default Domain: yes
DNS Default Domain: "mydomain.de"
DNS server enable: yes
DNS Server 1: "my dns Server IP Adress"
Block Outside DNS: -
Force DNS cache update: yes
NTP Server enable: -
NetBIOS enable: -Gateway creation: Both
Verbosity level: defaultEr scheint wohl die 10.226.239.0 Route nicht mehr mit rein zu nehmen. Was ich trotzdem komisch finde ist das er mich dann bei aktiver Route trotzdem nicht eine 10.226.238.x IP Adresse pingen lässt.
-
Dann sind wohl die "Local Networks" in der Server Konfig das Problem. Die beiden 10.226.238.0/23 u. 10.226.239.0/23 sind genau dasselbe. Es darf da keine Überschneidungen geben.
Wenn das beide /24er sind, kannst du das zweite weglassen, oder du gibst eben beide als /24er an. -
@genesis_mp said in OpenVPN route addition failed using service:
Was ich trotzdem komisch finde ist das er mich dann bei aktiver Route trotzdem nicht eine 10.226.238.x IP Adresse pingen lässt
Das sollte schon funktionieren. Sind die Pings erlaubt? Auf der pfSense am OpenVPN Interface und am Zielgerät?
-
@viragomann Man, manchmal sieht man den Fehler einfach nicht obwohl es so offensichtlich ist ^^
Ja hast recht, das .239 kann ich mir sparen. Jetzt kommt der Fehler nicht mehr!
Jetzt habe ich nur noch iwi das Problem das er mich manche Server pingen lässt und erreichen und manche nicht, obwohl die im selben Netz sind.
Auflösen tut er es anständig von name zu IP Adresse.Beispiel:
Server 10.226.238.2 -> Ping ok, Namensauflösung ok
Server 10.226.238.3 -> Zeitüberschreitung, Namensauflösung ok -
Wie erwähnt, es ist dafür oft die Firewall am Zielgerät selbst verantwortlich, die standardmäßig Zugriff aus anderen Netzen blockt.
Aber nachdem du im Remote-Netzwerk ohnehin mehrere Subnetze hast, kannst du das ja auch lokal testen.Die Firewall-Regel auf der pfSense erlaubt ja vermutlich den Zugriff.
Wichtig ist hier auch noch, dass die pfSense, auf der der VPN Server läuft das Standard-Gateway am Zielgerät ist.