• Categories
  • Recent
  • Tags
  • Popular
  • Users
  • Search
  • Register
  • Login
Netgate Discussion Forum
  • Categories
  • Recent
  • Tags
  • Popular
  • Users
  • Search
  • Register
  • Login

openvpn site 2 site klappt nicht. ERROR: FreeBSD route add command failed

Scheduled Pinned Locked Moved Deutsch
14 Posts 4 Posters 714 Views
Loading More Posts
  • Oldest to Newest
  • Newest to Oldest
  • Most Votes
Reply
  • Reply as topic
Log in to reply
This topic has been deleted. Only users with topic management privileges can see it.
  • A
    achim55
    last edited by achim55 Jul 12, 2022, 10:45 AM Jul 12, 2022, 10:44 AM

    Hallo,
    ich möchte eine site2site Verbindung aufbauen, per openvpn , mit zwei PfSenses. Habe das schon öfter gemacht und ist auch recht einfach. Jedoch klappt es diesmal nicht.
    Der Client, hinter einer Fritzbox mit Exposed Host, verbindet sich einfach nicht mit dem Server.

    Kann es an diesem Fehler liegen, der beim Client kommt?

    ERROR: FreeBSD route add command failed: external program exited with error status: 1

    VG

    Conf Server:
    server1.png server_2.png server3.png server4.png

    Conf Client:
    client.png client2.png client3.png client4.png

    V 1 Reply Last reply Jul 12, 2022, 11:05 AM Reply Quote 0
    • V
      viragomann @achim55
      last edited by Jul 12, 2022, 11:05 AM

      @achim55 said in openvpn site 2 site klappt nicht. ERROR: FreeBSD route add command failed:

      Kann es an diesem Fehler liegen, der beim Client kommt?
      ERROR: FreeBSD route add command failed: external program exited with error status: 1

      Ja. Überschneidet sich ein Remote-Netzwerk mit einem lokalen?

      BTW: Peer-to-peer pre-shared Key hat bereits ein Ablaufdatum und sollte daher nicht mehr in Neukonfigurationen verwendet werden.

      A J 2 Replies Last reply Jul 12, 2022, 12:59 PM Reply Quote 1
      • A
        achim55 @viragomann
        last edited by Jul 12, 2022, 12:59 PM

        @viragomann
        Danke werde mir das LAN mal anschauen.

        Welche Verschlüsselung sollte man nutzen ?

        V 1 Reply Last reply Jul 12, 2022, 1:16 PM Reply Quote 0
        • V
          viragomann @achim55
          last edited by Jul 12, 2022, 1:16 PM

          @achim55
          Verschlüsselung? Pre-shared Key ist eine Authentifizierungsmethode.
          Da sollte man nun Zertifikate nutzen mit oder ohne zusätzlicher User Auth.

          Eine Verschlüsselungsempfehlung hängt von deiner Hard- und Software (OpenVPN- / pfSense-Version) ab.
          Aber ich könnte mir jedenfalls gut vorstellen, dass OpenVPN auf deiner Hardware mit einem GCM Algorithmus (bspw. AES-256-GCM) performanter laufen würde als mit CBC, wenn sie nicht uralt ist.

          A 1 Reply Last reply Jul 13, 2022, 5:08 AM Reply Quote 1
          • A
            achim55 @viragomann
            last edited by achim55 Jul 13, 2022, 5:12 AM Jul 13, 2022, 5:08 AM

            @viragomann
            Ich habe das Netzwerk angepasst, geht leider immer noch nicht. Das stimmt etwas mit dem Routing nicht!

            PfSense Server:
            LAN 10.1.1.1
            WAN 194.X.X.X

            PfSense Clint:
            LAN 192.168.0.254
            WAN 192.167.1.60 per DHCP von der Fritzbox 192.167.1.60

            Log Client

            Jul 13 06:18:49 	php-fpm 	84578 	OpenVPN terminate old pid: 71333
Jul 13 06:18:49 	kernel 		ovpnc1: link state changed to DOWN
Jul 13 06:18:49 	check_reload_status 	397 	Reloading filter
Jul 13 06:18:49 	php-fpm 	84578 	/status_services.php: Das Kommando '/sbin/route -q delete 192.168.10.2' gab den Exitcode '1' zurück', das Ergebnis war 'route: route has not been found'
Jul 13 06:18:49 	kernel 		ovpnc1: link state changed to UP
Jul 13 06:18:49 	php-fpm 	84578 	OpenVPN PID written: 89732
Jul 13 06:18:49 	check_reload_status 	397 	Reloading filter

            Log Server

            Jul 13 06:25:35	check_reload_status	395	Syncing firewall
Jul 13 06:25:35	php-fpm	357	OpenVPN terminate old pid: 12636
Jul 13 06:25:35	kernel		ovpns1: link state changed to DOWN
Jul 13 06:25:35	check_reload_status	395	Reloading filter
Jul 13 06:25:35	kernel		ovpns1: link state changed to UP
Jul 13 06:25:35	php-fpm	357	OpenVPN PID written: 81387
Jul 13 06:25:35	check_reload_status	395	Reloading filter
Jul 13 06:25:35	check_reload_status	395	rc.newwanip starting ovpns1
Jul 13 06:25:36	php-fpm	40741	/rc.newwanip: rc.newwanip: Info: starting on ovpns1.
Jul 13 06:25:36	php-fpm	40741	/rc.newwanip: rc.newwanip: on (IP address: 10.0.8.1) (interface: []) (real interface: ovpns1).
Jul 13 06:25:36	php-fpm	40741	/rc.newwanip: rc.newwanip called with empty interface.
Jul 13 06:25:36	php-fpm	40741	/rc.newwanip: pfSense package system has detected an IP change or dynamic WAN reconnection - -> 10.0.8.1 - Restarting packages.
Jul 13 06:25:36	check_reload_status	395	Reloading filter
Jul 13 06:25:36	check_reload_status	395	Starting packages
Jul 13 06:25:37	php-fpm	40741	/rc.start_packages: Restarting/Starting all packages.
Jul 13 06:28:31	php-fpm	40741	OpenVPN terminate old pid: 81387
Jul 13 06:28:31	kernel		ovpns1: link state changed to DOWN
Jul 13 06:28:31	check_reload_status	395	Reloading filter
Jul 13 06:28:31	kernel		ovpns1: link state changed to UP
Jul 13 06:28:31	php-fpm	40741	OpenVPN PID written: 76237
Jul 13 06:28:31	check_reload_status	395	Reloading filter
Jul 13 06:28:31	check_reload_status	395	rc.newwanip starting ovpns1
Jul 13 06:28:32	php-fpm	357	/rc.newwanip: rc.newwanip: Info: starting on ovpns1.
Jul 13 06:28:32	php-fpm	357	/rc.newwanip: rc.newwanip: on (IP address: 10.0.8.1) (interface: []) (real interface: ovpns1).
Jul 13 06:28:32	php-fpm	357	/rc.newwanip: rc.newwanip called with empty interface.
Jul 13 06:28:32	php-fpm	357	/rc.newwanip: pfSense package system has detected an IP change or dynamic WAN reconnection - -> 10.0.8.1 - Restarting packages.
Jul 13 06:28:32	check_reload_status	395	Reloading filter
Jul 13 06:28:32	check_reload_status	395	Starting packages
Jul 13 06:28:33	php-fpm	358	/rc.start_packages: Restarting/Starting all packages.
Jul 13 06:39:00	sshguard	1032	Exiting on signal.
Jul 13 06:39:00	sshguard	72818	Now monitoring attacks.

            route.png route-server.png

            V 1 Reply Last reply Jul 13, 2022, 7:29 AM Reply Quote 0
            • V
              viragomann @achim55
              last edited by Jul 13, 2022, 7:29 AM

              @achim55
              Die Routen sind aber nun auf beiden Seiten korrekt gesetzt.

              Ist der Zugriff auch auf beiden Seiten in den Firewall Regeln-erlaubt?

              Beide Endpunkte sind das Standardgateway im jeweiligen Netzwerk?

              1 Reply Last reply Reply Quote 1
              • R
                Rico LAYER 8 Rebel Alliance
                last edited by Jul 13, 2022, 12:10 PM

                Fritzbox 192.167.1.60 ? 😵
                Ich würde erst mal die Netzbereiche regelkonform setzen, bevor ich mir über die Routen Gedanken mache.

                -Rico

                1 Reply Last reply Reply Quote 0
                • R
                  Rico LAYER 8 Rebel Alliance
                  last edited by Jul 13, 2022, 12:22 PM

                  Wieso am Client Remote Network 192.168.1.0/24 wenn du weiter unten schreibst LAN IP auf der Server Seite ist 10.1.1.1 ?

                  -Rico

                  A 1 Reply Last reply Jul 13, 2022, 12:32 PM Reply Quote 0
                  • A
                    achim55 @Rico
                    last edited by Jul 13, 2022, 12:32 PM

                    @rico
                    Warum sollte man in dem LAN hinter dem Server und dem Client nicht unterschiedlich IPs
                    setzen und der FRITZ!Box nicht die IP geben?
                    Die dient doch nur als Modem und für die Telefonie?

                    Läuft mittlerweile seit einer Stunde alles.

                    Vg

                    V 1 Reply Last reply Jul 13, 2022, 1:03 PM Reply Quote 0
                    • V
                      viragomann @achim55
                      last edited by Jul 13, 2022, 1:03 PM

                      @achim55 said in openvpn site 2 site klappt nicht. ERROR: FreeBSD route add command failed:

                      Warum sollte man in dem LAN hinter dem Server und dem Client nicht unterschiedlich IPs

                      Soll man. Aber du verwendest einen öffentlichen Adressraum: 192.167.1.0/24.

                      Das macht es unmöglich, auf diesen öffentlichen Adressbereich zu routen, auch wenn das lokale nur als Transitnetz genutzt wird.
                      Folglich kannst nicht mit dem 192.167.1.0/24 Bereich kommunizieren.

                      Es gäbe noch ausreichend private Adressräume für diesen Zweck.

                      A 1 Reply Last reply Jul 13, 2022, 2:15 PM Reply Quote 2
                      • A
                        achim55 @viragomann
                        last edited by Jul 13, 2022, 2:15 PM

                        @viragomann
                        Okay danke, dann werde ich die
                        172.16.2.1 nehmen.

                        1 Reply Last reply Reply Quote 0
                        • J
                          JeGr LAYER 8 Moderator @viragomann
                          last edited by Jul 18, 2022, 8:14 AM

                          Die 2 wichtigen Statements von @viragomann sollte man aber nochmals betonen!

                          @viragomann said in openvpn site 2 site klappt nicht. ERROR: FreeBSD route add command failed:

                          BTW: Peer-to-peer pre-shared Key hat bereits ein Ablaufdatum und sollte daher nicht mehr in Neukonfigurationen verwendet werden.

                          KEINE Neuinstallation sollte aktuell mehr auf P2P Shared Key Setups mit OpenVPN bauen, da das definitiv abgekündigt wurde. Ihr baut damit in ca. einem Jahr nochmal neu!

                          @viragomann said in openvpn site 2 site klappt nicht. ERROR: FreeBSD route add command failed:

                          Aber ich könnte mir jedenfalls gut vorstellen, dass OpenVPN auf deiner Hardware mit einem GCM Algorithmus (bspw. AES-256-GCM) performanter laufen würde als mit CBC, wenn sie nicht uralt ist.

                          Mit Shared Key könnt ihr auch keine -GCM Cipher nutzen - daher doppelte Empfehlung das nicht mehr zu nutzen!

                          Cheers

                          Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

                          If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

                          A 1 Reply Last reply Jul 18, 2022, 8:34 PM Reply Quote 0
                          • A
                            achim55 @JeGr
                            last edited by Jul 18, 2022, 8:34 PM

                            @jegr
                            Heißt das, das die jetzigen P2P Shared Key in einem Jahr nicht mehr funktionieren?

                            J 1 Reply Last reply Jul 22, 2022, 2:31 PM Reply Quote 0
                            • J
                              JeGr LAYER 8 Moderator @achim55
                              last edited by Jul 22, 2022, 2:31 PM

                              @achim55 Eine definierte Dauer gibts nicht, aber OpenVPN hat bereits jetzt klar angekündigt, dass S2S mit Shared Key in OpenVPN 2.6 deprecated wird (also mit Warnung noch geht aber klar ist, dass das stirbt) und mit 2.7 rausfliegt. Da wir gefühlt recht wahrscheinlich bald 2.6 sehen könnten, ist das nicht mehr weit weg. Wie lang dann 2.7 dauert kann ich nicht sagen, aber am Ende: Ja wenn es aus OVPN 2.7 rausfliegt wird es nicht mehr funktionieren. Gar nicht. Egal wie mans dreht oder wendet. Darum steht die Ankündigung im OpenVPN Unterforum hier auch als große angepinnte Nachricht drin, dass man bitte keine S2S Tunnel mehr bauen soll.

                              Es wird eine Alternative zu S2S-SK geben, die S2S-Cert Variante wird es aber weiterhin geben und darauf sollte man wechseln wenn man jetzt was Neues baut, da die Alternative/Nachfolge für S2S-SK noch nicht 100% feststeht. Das grobe Konstrukt ist zwar klar, aber es ist noch nichts, was man testen kann.

                              Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

                              If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

                              1 Reply Last reply Reply Quote 0
                              14 out of 14
                              • First post
                                14/14
                                Last post
                              Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.
                                This community forum collects and processes your personal information.
                                consent.not_received