OPEN VPN Problem nach update auf pfSense 2.2.6



  • Hallo Zusammen,
    ich habe ein Problem mit OpenVPN seit dem update auf pfSense 2.2.6.
    Vor dem update hat mein VPN Tunnel prima funktioniert.
    Nach dem Update baut es zwar eine Verbindung zwischen Client und pfSense auf, ich kann allerdings nichts mehr anpingen bzw. erreichen.
    pfSense und Dienste habe ich mehrfach neugestartet.
    Hat jemand eine Idee???

    Client Config:
    dev tun
    persist-tun
    persist-key
    cipher AES-256-CBC
    auth SHA1
    tls-client
    client
    resolv-retry infinite
    remote xxx.xxx.xxx.xxx 1194 udp
    lport 0
    verify-x509-name "SC-diakonie-vpn" name
    auth-user-pass
    pkcs12 pfSense-udp-1194-vpn.p12
    tls-auth pfSense-udp-1194-vpn-tls.key 1
    ns-cert-type server
    comp-lzo adaptive

    Im Client sieht es folgendermaßen aus:
    Tue Jan 05 14:45:02 2016 OpenVPN 2.3.8 x86_64-w64-mingw32 [SSL (OpenSSL)] [LZO] [PKCS11] [IPv6] built on Aug  4 2015
    Tue Jan 05 14:45:02 2016 library versions: OpenSSL 1.0.1p 9 Jul 2015, LZO 2.08
    Tue Jan 05 14:45:22 2016 Control Channel Authentication: using 'pfSense-udp-1194-haas-tls.key' as a OpenVPN static key file
    Tue Jan 05 14:45:22 2016 UDPv4 link local (bound): [undef]
    Tue Jan 05 14:45:22 2016 UDPv4 link remote: [AF_INET]217.7.238.32:1194
    Tue Jan 05 14:45:22 2016 WARNING: this configuration may cache passwords in memory – use the auth-nocache option to prevent this
    Tue Jan 05 14:45:23 2016 [SC-diakonie-vpn] Peer Connection Initiated with [AF_INET]217.7.238.32:1194
    Tue Jan 05 14:45:25 2016 Options error: route parameter gateway 'push' must be a valid address
    Tue Jan 05 14:45:25 2016 do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
    Tue Jan 05 14:45:25 2016 open_tun, tt->ipv6=0
    Tue Jan 05 14:45:25 2016 TAP-WIN32 device [Ethernet 2] opened: \.\Global{ED03BCEE-8322-4086-921D-2DFBD191E4A7}.tap
    Tue Jan 05 14:45:25 2016 Notified TAP-Windows driver to set a DHCP IP/netmask of 172.16.0.6/255.255.255.252 on interface {ED03BCEE-8322-4086-921D-2DFBD191E4A7} [DHCP-serv: 172.16.0.5, lease-time: 31536000]
    Tue Jan 05 14:45:25 2016 Successful ARP Flush on interface [8] {ED03BCEE-8322-4086-921D-2DFBD191E4A7}
    Tue Jan 05 14:45:30 2016 Warning: address 192.168.20.0 is not a network address in relation to netmask 0.0.0.0
    Tue Jan 05 14:45:30 2016 ROUTE: route addition failed using CreateIpForwardEntry: Falscher Parameter.  [status=87 if_index=8]
    Tue Jan 05 14:45:30 2016 env_block: add PATH=C:\Windows\System32;C:\WINDOWS;C:\WINDOWS\System32\Wbem
    Tue Jan 05 14:45:30 2016 Initialization Sequence Completed

    Ich bräuchte dringend Hilfe



  • Der Client beklagt sich über falsche push Parameter. Liegt wohl am Server.
    Poste die Server-Konfig.



  • Hab die Screenshots der Server config angehängt.










  • Schau mal im Server unten bei Advanced configuration

    Enter any additional options you would like to add to the OpenVPN server configuration here, separated by a semicolon
    EXAMPLE: push "route 10.0.0.0 255.255.255.0"; 
    

    Da stehen die ganze push route einfach so hintereinander. Sollten aber durch ein ; getrennt sein.
    und einmal steht da push route dann wieder push route add
    reicht aber
    push "route 192.168.20.0 255.255.255.0";
    und für die bessere Übersicht kann auch jede Route in eine eigene Zeile also so:

    
    push "route 192.168.20.0 255.255.255.0";
    
    

    Das tunnel Netzwerk 172.16.0.0 brauchst du nicht pushen.

    Kann sogar sein das du ganz ohne Advanced configuration auskommst.
    Hast ja bei IPv4 Local Network/s schon die Netze drin stehen die sollte dann automatisch gepush werden.
    Wenn nicht reicht ein

    
    push "route 192.168.20.0 255.255.255.0";
    
    

    den Rest würde ich weg machen



  • Super daran lag es, seltsam dass es vor dem update auf 2.2.6 funktioniert hat.
    Danke für die schnelle Hilfe


  • Rebel Alliance

    Wenn du als Netz 192.168.20.0/0 angibst ist das 0/0 :) (siehe 3.png)

    In der Konfig 192.168.20.0/24 war wohl gemeint?


  • Rebel Alliance Moderator

    Und um das zu ergänzen: 0/0 ist dann natürlich alles bzw. die Default Route :)


Log in to reply