openvpnbridge.py: error: Invalid ip or netmask

MrXfree11

Moin,

nach dem die 2.4er Release raus ist wollte ich mich nochmal mit efw beschäftigen. Ich habe folgendes Setup:

Ein Sternförmiges VPN mit einem Rootserver als Knoten.
Rootserver (bei einem Hoster) als OpenVpn-Server eingerichtet Hört auf TCP:443
5 Ubuntu basierte Clients die sich dort "einwählen". Die Clients routen jeweils Ihre Netze ins VPN nicht aber das Default GW obowhl zusätlich auf dem Rootserver auch ein Sqiud läuft. Hauptsächlich nutzen wir aber den Sambaserver für gemeinsamen Datenaustausch.
Dieses Setup läuft schon sehr lange, ( >2 Jahre )und äußerst stabil. Jetzt habe ich meinen Ubuntu VPN-Router hier in der Firma durch die aktuelle efw abgelöst. Hat ein bissche Zeit gekostet, die crt und key files in pem zu konvertieren, hier der Befehl falls es jemand braucht:

Code

openssl pkcs12 -export -in client001.crt -inkey client001.key -certfile ca.crt -out client001.pkcs12
Progamm                Client Zertifikat          Client Key       CA-Zertifikat           Endprodukt

Wichtig ist, das Zertifikat der CA mit reinzupacken

Die efw kann die Verbindung zum VPN-Server aufbauen, aber wenn der Server den Client eine IP zuweisen will, scheint die efw es nicht zu verstehen, beziehungsweise die Syntax ist falsch. Hier ist der Logauszug, vielleicht ist es offensichtlich und ich sehe nur den Wald vor laute Bäumen nicht mehr. Ich bin für Tipps echt dankbar:

Code

OpenVPN 
2010-09-27 15:49:58 
rootserver[32579]: Mon Sep 27 15:49:58 2010 [vpn.meinrootserver.de] Peer Connection Initiated with 192.168.xx.xx:8080 
OpenVPN 
2010-09-27 15:49:59 
rootserver[32579]: Mon Sep 27 15:49:59 2010 TUN/TAP device openvpntun0 opened 
OpenVPN 
2010-09-27 15:49:59 
rootserver[32579]: Mon Sep 27 15:49:59 2010 /sbin/ip link set dev openvpntun0 up mtu 1500 
OpenVPN 
2010-09-27 15:49:59 
rootserver[32579]: Mon Sep 27 15:49:59 2010 /sbin/ip addr add dev openvpntun0 local 192.168.27.18 peer 192.168.27.17 
OpenVPN 
2010-09-27 15:49:59 
[color=#FF0000]rootserver[32579]: Mon Sep 27 15:49:59 2010 /usr/local/bin/dir.d-exec /etc/openvpn/ifup.client.d/ openvpntun0 1500 1544 192.168.27.18 192.168.27.17 init 
System 
2010-09-27 15:49:59 
kernel: [12175.392631] openvpntun0 Disabled Privacy Extensions 
[init|restart]" log_type="openvpn" linecolor="#fff" 
OpenVPN 
2010-09-27 15:50:00 
rootserver[32579]: usage: openvpnbridge.py <options> <device> <mtu> <mru> <local_ip> <local_netmask|remote_ip> [init|restart] 
OpenVPN 
2010-09-27 15:50:00 
rootserver[32579]: 
OpenVPN 
2010-09-27 15:50:00 
rootserver[32579]: openvpnbridge.py: error: Invalid ip or netmask "192.168.27.18 192.168.27.17" 
OpenVPN 
2010-09-27 15:50:00 
rootserver[32579]: run-parts: /etc/openvpn/ifup.client.d//00bridge exited with return code 2 
System 
2010-09-27 15:50:00 
sudo: nobody TTY=unknown ; PWD=/ ; USER=root ; COMMAND=/usr/local/bin/setrouting.py 
OpenVPN 
2010-09-27 15:50:01 
rootserver[32579]: Mon Sep 27 15:50:01 2010 Initialization Sequence Completed 
System 
2010-09-27 15:50:10 
fetchipac (473) segfault at 1 ip b76e2e16 sp bfea5448 error 4 in libc-2.3.4.so[b768f000+114000] 
OpenVPN 
2010-09-27 15:50:12 
rootserver[32579]: Mon Sep 27 15:50:12 2010 Authenticate/Decrypt packet error: cipher final failed 
OpenVPN 
2010-09-27 15:50:12 
rootserver[32579]: Mon Sep 27 15:50:12 2010 Fatal decryption error (process_incoming_link), restarting 
OpenVPN 
2010-09-27 15:50:12 
rootserver[32579]: Mon Sep 27 15:50:12 2010 /usr/local/bin/dir.d-exec /etc/openvpn/ifdown.client.d/ openvpntun0 1500 1544 192.168.27.18 192.168.27.17 init 
[init|restart]" log_type="openvpn" linecolor="#fff" 
OpenVPN 
2010-09-27 15:50:12 
rootserver[32579]: usage: openvpnbridge.py <options> <device> <mtu> <mru> <local_ip> <local_netmask|remote_ip> [init|restart] 
OpenVPN 
2010-09-27 15:50:13 
rootserver[32579]: 
OpenVPN 
2010-09-27 15:50:13 
rootserver[32579]: openvpnbridge.py: error: Invalid ip or netmask "192.168.27.18 192.168.27.17" 
OpenVPN 
2010-09-27 15:50:13 
rootserver[32579]: Mon Sep 27 15:50:13 2010 /sbin/ip addr del dev openvpntun0 local 192.168.27.18 peer 192.168.27.17 
OpenVPN 
2010-09-27 15:50:13 
rootserver[32579]: run-parts: /etc/openvpn/ifdown.client.d//00bridge exited with return code 2 
OpenVPN 
2010-09-27 15:50:13 
rootserver[32579]: Mon Sep 27 15:50:13 2010 SIGUSR1[soft,decryption-error] received, process restarting

Alles anzeigen

Konfiguration von efw (Client)

Code

# Begin Additional configuration:
# (This is to cause the process to restart whenever
#  such a configuration value changes)
# NAT: 
# Routetype: routed
# Block DHCP: 
# End Additional configuration


client
pull


comp-lzo yes


nobind
resolv-retry infinite
script-security 2 system


dev openvpntun0
dev-type tun


pkcs12 /var/efw/openvpnclients/rootserver/certs.p12
ns-cert-type server


tls-auth /var/efw/openvpnclients/rootserver/tls.key 1


proto tcp


remote xx.xx.xx.xx 443 tcp


http-proxy 192.168.xx.xx 8080
http-proxy-retry








writepid /var/run/openvpn/client_rootserver.pid


up-delay
up "/usr/local/bin/dir.d-exec /etc/openvpn/ifup.client.d/"
down-pre
down "/usr/local/bin/dir.d-exec /etc/openvpn/ifdown.client.d/"

Alles anzeigen

L

Beste Grüße

MrXfree11

MrXfree11

Sooo viele Antworten

Na dann will ich mal meine "Forschungsergebnisse" vermelden. Im Log hat mich die Meldung

Code

rootserver[32579]: openvpnbridge.py: error: Invalid ip or netmask "192.168.27.18 192.168.27.17"

irritiert. Als ich dann unter

Code

/etc/openvpn/ifup.client.d/

das "00bridge" file temporär aus dem Verzeichnis verschoben habe konnte dem Client eine IP zugewiesen werden. Offensichtlich hatte die EFW immer angenommen es handle sich um ein "Bridge-Setup" und versuchte daher der Bridge eine IP zu geben.

Der Tunnel ist dann aber einen Schritt später wieder eingebrochen. Hat jemand eine Idee wie bei der EFW der Chipher eingestellt wird?

Wenn ich entweder in der client.cnf der EFW folgendes eintrage:
cipher AES-256-CBC

oder den entsprechenden Eintrag auf dem Server auskommentiere dann geht der Tunnel. Jedoch möchte auch auf den Chipher nicht verzichten.

Beste Grüße

MrXfree11