(Gelöst) OpenVPN route addition failed using service



  • Hallo zusammen,

    wir haben bei uns intern seit kurzem Probleme mit dem VPN Client auf unseren Clients. Client Version on Packages Manager ist 1.4.14 and the export Version is (2.4.4-Ix01) aber auch bei Version 2.3.18 tritt es auf. Der Client stellt die Verbindung her und sagt auch er ist "connected".

    Genau diese Konstellation hat vorher schon funktioniert ohne Änderungen an der Konfiguration der pfsense Firewall. Nur Windows Updates beim Client könnten was verändert haben. Wir haben das Problem bei mehreren Clients.

    Im Log steht folgendes als Error:

    ROUTE: route addition failed using service: Falscher Parameter. [status=87 if_index=20]

    In Version 2.3.18 steht:
    ROUTE: route addition failed using CreateIpForwardEntry: Falscher Parameter. [status=87 if_index=10]

    Here is the complete log:

    Wed Jul 04 10:38:59 2018 OpenVPN 2.4.4 x86_64-w64-mingw32 [SSL (OpenSSL)] [LZO] [LZ4] [PKCS11] [AEAD] built on Sep 26 2017
    Wed Jul 04 10:38:59 2018 Windows version 6.2 (Windows 8 or greater) 64bit
    Wed Jul 04 10:38:59 2018 library versions: OpenSSL 1.0.2l 25 May 2017, LZO 2.10
    Enter Management Password:
    Wed Jul 04 11:13:36 2018 TCP/UDP: Preserving recently used remote address: [AF_INET]46.xx.xx.xx:1194
    Wed Jul 04 11:13:36 2018 UDP link local (bound): [AF_INET][undef]:1194
    Wed Jul 04 11:13:36 2018 UDP link remote: [AF_INET]46.xx.xx.xxx:1194
    Wed Jul 04 11:13:36 2018 WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
    Wed Jul 04 11:13:36 2018 [fw-remote-vpn1.domain.de] Peer Connection Initiated with [AF_INET]46.xx.xx.xx:1194
    Wed Jul 04 11:13:38 2018 open_tun
    Wed Jul 04 11:13:38 2018 TAP-WIN32 device [Ethernet 2] opened: .\Global{C4E784BD-1C82-436E-A8FD-0E03941211E9}.tap
    Wed Jul 04 11:13:38 2018 Notified TAP-Windows driver to set a DHCP IP/netmask of 10.10.220.86/255.255.255.252 on interface {C4E784BD-1C82-436E-A8FD-0E03941211E9} [DHCP-serv: 10.10.220.85, lease-time: 31536000]
    Wed Jul 04 11:13:38 2018 Successful ARP Flush on interface [20] {C4E784BD-1C82-436E-A8FD-0E03941211E9}
    Wed Jul 04 11:13:38 2018 do_ifconfig, tt->did_ifconfig_ipv6_setup=0
    Wed Jul 04 11:13:43 2018 ROUTE: route addition failed using service: Falscher Parameter. [status=87 if_index=20]
    Wed Jul 04 11:13:43 2018 Initialization Sequence Completed
    Wed Jul 04 11:13:43 2018 Register_dns request sent to the service

    Ich hoffe ihr könnt mir hier weiterhelfen.

    Danke und viele Grüße
    David



  • Hallo,

    wie sieht die Server Konfig aus?
    Wie sieht die Routing Tabelle des Clients aus?

    Grüße



  • Moin,

    die GUI mal als Administrator ausführen. Das sieht nach einem Rechteproblem aus.



  • @viragomann said in OpenVPN route addition failed using service:

    wie sieht die Server Konfig aus?

    dev tun
    persist-tun
    persist-key
    cipher AES-256-CBC
    auth SHA512
    tls-client
    client
    resolv-retry infinite
    remote 46.xxx.xxx.xxx 1194 udp
    auth-user-pass
    ca fw-xxx-vpn1-UDP4-1194-ca.crt
    tls-auth fw-xxx-vpn1-UDP4-1194-tls.key 1
    remote-cert-tls server

    @bahsig habe ich schon probiert, bringt keine Besserung. Selbst als Admin direkt auf der Kiste. Scheint also nichts einem Berechtigungsproblem zu sein.



  • Das ist wohl eher die Client Konfig.

    Interessant wären die Server Konfig und die Routing Table des Clients (bei Verbindung) um weiterhelfen zu können.



  • @viragomann

    General Information

    Server mode: Remote Access (User Auth)
    Backend for authentication: dcLocal Database
    Protocol: UDP on IPv4 only
    Device mode: tun - Layer 3 Tunnel Mode
    Interface: WAN
    Local port: 1194

    TLS Configuration: Use a TLS Key
    TLS Key Usage Mode: TLS Authentication
    DH Parameter Length: 4096
    ECDH Curve: Use Default
    Encryption Algorithm: AES-256-CBC
    Enable NCP: ja
    Auth digest algorithm: Intel RDRAND engine - RAND
    Certificate Depth: One

    IPv4 Tunnel Network: 10.10.220.0/24
    IPv6 Tunnel Network: -
    Redirect IPv4 Gateway: -
    Redirect IPv6 Gateway: -
    IPv4 Local network(s): 10.226.238.0/23, 10.226.239.0/23, 10.226.232.0/23
    IPv6 Local network(s) -
    Concurrent connections: -
    Push Compression:
    Type-of-Service: -
    Inter-client communication: -
    Duplicate Connection: -

    Dynamic IP: yes
    Topology: net30 - Isolated /30 network per Client

    DNS Default Domain: yes
    DNS Default Domain: "mydomain.de"
    DNS server enable: yes
    DNS Server 1: "my dns Server IP Adress"
    Block Outside DNS: -
    Force DNS cache update: yes
    NTP Server enable: -
    NetBIOS enable: -

    Gateway creation: Both
    Verbosity level: default

    0_1531139481214_Screen Shot 2018-07-09 at 14.31.07.png

    Er scheint wohl die 10.226.239.0 Route nicht mehr mit rein zu nehmen. Was ich trotzdem komisch finde ist das er mich dann bei aktiver Route trotzdem nicht eine 10.226.238.x IP Adresse pingen lässt.



  • Dann sind wohl die "Local Networks" in der Server Konfig das Problem. Die beiden 10.226.238.0/23 u. 10.226.239.0/23 sind genau dasselbe. Es darf da keine Überschneidungen geben.
    Wenn das beide /24er sind, kannst du das zweite weglassen, oder du gibst eben beide als /24er an.



  • @genesis_mp said in OpenVPN route addition failed using service:

    Was ich trotzdem komisch finde ist das er mich dann bei aktiver Route trotzdem nicht eine 10.226.238.x IP Adresse pingen lässt

    Das sollte schon funktionieren. Sind die Pings erlaubt? Auf der pfSense am OpenVPN Interface und am Zielgerät?



  • @viragomann Man, manchmal sieht man den Fehler einfach nicht obwohl es so offensichtlich ist ^^

    Ja hast recht, das .239 kann ich mir sparen. Jetzt kommt der Fehler nicht mehr!

    Jetzt habe ich nur noch iwi das Problem das er mich manche Server pingen lässt und erreichen und manche nicht, obwohl die im selben Netz sind.
    Auflösen tut er es anständig von name zu IP Adresse.

    Beispiel:
    Server 10.226.238.2 -> Ping ok, Namensauflösung ok
    Server 10.226.238.3 -> Zeitüberschreitung, Namensauflösung ok



  • Wie erwähnt, es ist dafür oft die Firewall am Zielgerät selbst verantwortlich, die standardmäßig Zugriff aus anderen Netzen blockt.
    Aber nachdem du im Remote-Netzwerk ohnehin mehrere Subnetze hast, kannst du das ja auch lokal testen.

    Die Firewall-Regel auf der pfSense erlaubt ja vermutlich den Zugriff.

    Wichtig ist hier auch noch, dass die pfSense, auf der der VPN Server läuft das Standard-Gateway am Zielgerät ist.