Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    (Gelöst) OpenVPN route addition failed using service

    Scheduled Pinned Locked Moved Deutsch
    10 Posts 3 Posters 6.3k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • G
      genesis_mp
      last edited by genesis_mp

      Hallo zusammen,

      wir haben bei uns intern seit kurzem Probleme mit dem VPN Client auf unseren Clients. Client Version on Packages Manager ist 1.4.14 and the export Version is (2.4.4-Ix01) aber auch bei Version 2.3.18 tritt es auf. Der Client stellt die Verbindung her und sagt auch er ist "connected".

      Genau diese Konstellation hat vorher schon funktioniert ohne Änderungen an der Konfiguration der pfsense Firewall. Nur Windows Updates beim Client könnten was verändert haben. Wir haben das Problem bei mehreren Clients.

      Im Log steht folgendes als Error:

      ROUTE: route addition failed using service: Falscher Parameter. [status=87 if_index=20]

      In Version 2.3.18 steht:
      ROUTE: route addition failed using CreateIpForwardEntry: Falscher Parameter. [status=87 if_index=10]

      Here is the complete log:

      Wed Jul 04 10:38:59 2018 OpenVPN 2.4.4 x86_64-w64-mingw32 [SSL (OpenSSL)] [LZO] [LZ4] [PKCS11] [AEAD] built on Sep 26 2017
      Wed Jul 04 10:38:59 2018 Windows version 6.2 (Windows 8 or greater) 64bit
      Wed Jul 04 10:38:59 2018 library versions: OpenSSL 1.0.2l 25 May 2017, LZO 2.10
      Enter Management Password:
      Wed Jul 04 11:13:36 2018 TCP/UDP: Preserving recently used remote address: [AF_INET]46.xx.xx.xx:1194
      Wed Jul 04 11:13:36 2018 UDP link local (bound): [AF_INET][undef]:1194
      Wed Jul 04 11:13:36 2018 UDP link remote: [AF_INET]46.xx.xx.xxx:1194
      Wed Jul 04 11:13:36 2018 WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
      Wed Jul 04 11:13:36 2018 [fw-remote-vpn1.domain.de] Peer Connection Initiated with [AF_INET]46.xx.xx.xx:1194
      Wed Jul 04 11:13:38 2018 open_tun
      Wed Jul 04 11:13:38 2018 TAP-WIN32 device [Ethernet 2] opened: .\Global{C4E784BD-1C82-436E-A8FD-0E03941211E9}.tap
      Wed Jul 04 11:13:38 2018 Notified TAP-Windows driver to set a DHCP IP/netmask of 10.10.220.86/255.255.255.252 on interface {C4E784BD-1C82-436E-A8FD-0E03941211E9} [DHCP-serv: 10.10.220.85, lease-time: 31536000]
      Wed Jul 04 11:13:38 2018 Successful ARP Flush on interface [20] {C4E784BD-1C82-436E-A8FD-0E03941211E9}
      Wed Jul 04 11:13:38 2018 do_ifconfig, tt->did_ifconfig_ipv6_setup=0
      Wed Jul 04 11:13:43 2018 ROUTE: route addition failed using service: Falscher Parameter. [status=87 if_index=20]
      Wed Jul 04 11:13:43 2018 Initialization Sequence Completed
      Wed Jul 04 11:13:43 2018 Register_dns request sent to the service

      Ich hoffe ihr könnt mir hier weiterhelfen.

      Danke und viele Grüße
      David

      1 Reply Last reply Reply Quote 0
      • V
        viragomann
        last edited by

        Hallo,

        wie sieht die Server Konfig aus?
        Wie sieht die Routing Tabelle des Clients aus?

        Grüße

        G 1 Reply Last reply Reply Quote 0
        • nodauN
          nodau
          last edited by

          Moin,

          die GUI mal als Administrator ausführen. Das sieht nach einem Rechteproblem aus.

          Norman

          virtualized pfSense 2.7.2 HA-Cluster on vsphere 8

          1 Reply Last reply Reply Quote 0
          • G
            genesis_mp @viragomann
            last edited by genesis_mp

            @viragomann said in OpenVPN route addition failed using service:

            wie sieht die Server Konfig aus?

            dev tun
            persist-tun
            persist-key
            cipher AES-256-CBC
            auth SHA512
            tls-client
            client
            resolv-retry infinite
            remote 46.xxx.xxx.xxx 1194 udp
            auth-user-pass
            ca fw-xxx-vpn1-UDP4-1194-ca.crt
            tls-auth fw-xxx-vpn1-UDP4-1194-tls.key 1
            remote-cert-tls server

            @bahsig habe ich schon probiert, bringt keine Besserung. Selbst als Admin direkt auf der Kiste. Scheint also nichts einem Berechtigungsproblem zu sein.

            1 Reply Last reply Reply Quote 0
            • V
              viragomann
              last edited by

              Das ist wohl eher die Client Konfig.

              Interessant wären die Server Konfig und die Routing Table des Clients (bei Verbindung) um weiterhelfen zu können.

              G 1 Reply Last reply Reply Quote 0
              • G
                genesis_mp @viragomann
                last edited by genesis_mp

                @viragomann

                General Information

                Server mode: Remote Access (User Auth)
                Backend for authentication: dcLocal Database
                Protocol: UDP on IPv4 only
                Device mode: tun - Layer 3 Tunnel Mode
                Interface: WAN
                Local port: 1194

                TLS Configuration: Use a TLS Key
                TLS Key Usage Mode: TLS Authentication
                DH Parameter Length: 4096
                ECDH Curve: Use Default
                Encryption Algorithm: AES-256-CBC
                Enable NCP: ja
                Auth digest algorithm: Intel RDRAND engine - RAND
                Certificate Depth: One

                IPv4 Tunnel Network: 10.10.220.0/24
                IPv6 Tunnel Network: -
                Redirect IPv4 Gateway: -
                Redirect IPv6 Gateway: -
                IPv4 Local network(s): 10.226.238.0/23, 10.226.239.0/23, 10.226.232.0/23
                IPv6 Local network(s) -
                Concurrent connections: -
                Push Compression:
                Type-of-Service: -
                Inter-client communication: -
                Duplicate Connection: -

                Dynamic IP: yes
                Topology: net30 - Isolated /30 network per Client

                DNS Default Domain: yes
                DNS Default Domain: "mydomain.de"
                DNS server enable: yes
                DNS Server 1: "my dns Server IP Adress"
                Block Outside DNS: -
                Force DNS cache update: yes
                NTP Server enable: -
                NetBIOS enable: -

                Gateway creation: Both
                Verbosity level: default

                0_1531139481214_Screen Shot 2018-07-09 at 14.31.07.png

                Er scheint wohl die 10.226.239.0 Route nicht mehr mit rein zu nehmen. Was ich trotzdem komisch finde ist das er mich dann bei aktiver Route trotzdem nicht eine 10.226.238.x IP Adresse pingen lässt.

                V 1 Reply Last reply Reply Quote 0
                • V
                  viragomann
                  last edited by

                  Dann sind wohl die "Local Networks" in der Server Konfig das Problem. Die beiden 10.226.238.0/23 u. 10.226.239.0/23 sind genau dasselbe. Es darf da keine Überschneidungen geben.
                  Wenn das beide /24er sind, kannst du das zweite weglassen, oder du gibst eben beide als /24er an.

                  G 1 Reply Last reply Reply Quote 1
                  • V
                    viragomann @genesis_mp
                    last edited by

                    @genesis_mp said in OpenVPN route addition failed using service:

                    Was ich trotzdem komisch finde ist das er mich dann bei aktiver Route trotzdem nicht eine 10.226.238.x IP Adresse pingen lässt

                    Das sollte schon funktionieren. Sind die Pings erlaubt? Auf der pfSense am OpenVPN Interface und am Zielgerät?

                    1 Reply Last reply Reply Quote 0
                    • G
                      genesis_mp @viragomann
                      last edited by

                      @viragomann Man, manchmal sieht man den Fehler einfach nicht obwohl es so offensichtlich ist ^^

                      Ja hast recht, das .239 kann ich mir sparen. Jetzt kommt der Fehler nicht mehr!

                      Jetzt habe ich nur noch iwi das Problem das er mich manche Server pingen lässt und erreichen und manche nicht, obwohl die im selben Netz sind.
                      Auflösen tut er es anständig von name zu IP Adresse.

                      Beispiel:
                      Server 10.226.238.2 -> Ping ok, Namensauflösung ok
                      Server 10.226.238.3 -> Zeitüberschreitung, Namensauflösung ok

                      1 Reply Last reply Reply Quote 0
                      • V
                        viragomann
                        last edited by

                        Wie erwähnt, es ist dafür oft die Firewall am Zielgerät selbst verantwortlich, die standardmäßig Zugriff aus anderen Netzen blockt.
                        Aber nachdem du im Remote-Netzwerk ohnehin mehrere Subnetze hast, kannst du das ja auch lokal testen.

                        Die Firewall-Regel auf der pfSense erlaubt ja vermutlich den Zugriff.

                        Wichtig ist hier auch noch, dass die pfSense, auf der der VPN Server läuft das Standard-Gateway am Zielgerät ist.

                        1 Reply Last reply Reply Quote 0
                        • First post
                          Last post
                        Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.