VPN läuft nicht.

[pfannkuchen2001]

Hallo, ich habe einen mac. bei einem freund steht ein Winrechner.
auf diesem winrechner ist in eine virtuelle Maschine win2003Server installiert.
sein router hat die ip 192.168.2.1 sein rechner 192.168.2.x (weis jetzt nicht ganz genau) und seine vm hat die ip 192.168.2.5.
mein mac hat 192.168.0.11 und mein router (Winrechner) ist 192.168.0.1

diese vm kann ich immer rundumdieUhr erreichen. und nun wollt ich eine vpn verbindung zwischen vm und mac machen. also openvpn für win gelaaden. tunnelblick für mac installiert. un dnach tutorial alles schön installiert.
nach ewiger frickelei kommt sogar eine verbindung zustande, die aber insofern komisch ist, als dass sie besteht, aber garnichts passieren kann (es passiert auch nichts), denn ifconfig sagt mir:

tun0: flags=8850<POINTOPOINT,RUNNING,SIMPLEX,MULTICAST> mtu 1500
open (pid 29923)

also: es gibt keine ip?! seh ich da was falsch?
muss das so sein? bestimmt nich. was muss ich tun?
achso, und was muss ich machen, damit mein ganzer internetverkehr über die vpnleiung geht?

ich will also überall, wo ich bin (im netz zu dieser vm tunneln, und von dort aus ins netz.


Ich hoffe auf antworten...
Hannes

EDIT:
Tunelblick sagt mir immer folgendes:

Fri 11/03/06 12:35 AM: WARNING: 'dev-type' is used inconsistently
Fri 11/03/06 12:35 AM: WARNING: 'link-mtu' is used inconsistently
Fri 11/03/06 12:35 AM: WARNING: 'tun-mtu' is used inconsistently

muss ich mir da gedanken machen?

und nochwas: meine kosole spuckt folgendes aus:

Nov  2 23:48:59 MB openvpn[18834]: write to TUN/TAP : Input/output error (code=5)
Nov  2 23:49:00 MB openvpn[18834]: write to TUN/TAP : Input/output error (code=5)

und

Nov  3 00:03:43 MB /usr/sbin/AppleFileServer: AFPServer::AbnormalATListenerShutDown - clear listener
Nov  3 00:17:47 MB mDNSResponder: mDNS_SetPrimaryInterfaceInfo V4 address - incorrect type.  Discarding.
Nov  3 00:17:47 MB mDNSResponder: mDNS_SetPrimaryInterfaceInfo V4 address - incorrect type.  Discarding.
2006-11-03 00:17:48.142 Tunnelblick[6444] Problem with notification token. Please check!
Nov  3 00:17:48 MB configd[40]: ip6config: bad or no ip4 address for 6to4
2006-11-03 00:17:48.150 Tunnelblick[6444] Problem with notification token. Please check!
kextload: extension /Applications/Tunnelblick.app/Contents/Resources/tap.kext is already loaded

muss ich mir darüber gedanken machen???

Hilfe bitte!

 

[xymos]

hi,


für mich sieht das ganze nach einem MTU Problem aus.

_xymos.

 

[falkgottschalk]

Hallo, ich habe einen mac. bei einem freund steht ein Winrechner.
auf diesem winrechner ist in eine virtuelle Maschine win2003Server installiert.
sein router hat die ip 192.168.2.1 sein rechner 192.168.2.x (weis jetzt nicht ganz genau) und seine vm hat die ip 192.168.2.5.
mein mac hat 192.168.0.11 und mein router (Winrechner) ist 192.168.0.1

diese vm kann ich immer rundumdieUhr erreichen. und nun wollt ich eine vpn verbindung zwischen vm und mac machen.

Wenn Du über das Internet zugeifen willst, dann kannst Du das natürlich nicht mit der LAN-IP machen, die Du von Deinem eigenen Router bzw. die Dein Kumpel von seinem Router (DHCP) bekommen hast. Er muss an seinem Router NAT aktivieren, Forwarding auf seinen Rechner, muss Dir seine ISP-IP geben und über die musst Du dann zugreifen.

 

[walfrieda]

wenn ihr beide über einen "normalen" Provider im Netz seid, dann ändert sich die IP-Adresse bei jeder Einwahl. Das einzige was dagegen hilft ist ein Service wie dyndns, damit man immer die Adresse des Gegenübers rausfinden kann. Wie man dyndns nutzt hab ich grad in nem anderen Thread zum Thema Apple Remote Desktop beschrieben - so müsstet ihr es auch machen.

 

[Ultimate]

und nun wollt ich eine vpn verbindung zwischen vm und mac machen. also openvpn für win gelaaden. tunnelblick für mac installiert. un dnach tutorial alles schön installiert.

Grundsätzliche Frage: Wieso benutzt du ueberhaupt noch extras Software für den VPN-Server? Win2003 bringt mit RAS/Routing die Funktionalität doch schon mit.

Auf dem Router müssen uebringens die entsprechenden Ports, je nach benutztem Protokoll zur VM geportwarded (das wort gibts glaub ich nicht) werden.

PTPP: 1723 TCP, 47 GRE
L2TP over IPSEC: 1701 TCP, 500 UDP

 

[pfannkuchen2001]

wenn ihr beide über einen "normalen" Provider im Netz seid, dann ändert sich die IP-Adresse bei jeder Einwahl. Das einzige was dagegen hilft ist ein Service wie dyndns, damit man immer die Adresse des Gegenübers rausfinden kann. Wie man dyndns nutzt hab ich grad in nem anderen Thread zum Thema Apple Remote Desktop beschrieben - so müsstet ihr es auch machen.

also der server ist über dyndns immer erreichbar.
ich kann ja auch immer über remotedesktop/vnc auf meine vm zugreifen...

für mich sieht das ganze nach einem MTU Problem aus.

hmm klingt interessant, aber 1. was ist das? und 2. wie würdest du das (mögliche) problem lösen?

Auf dem Router müssen uebringens die entsprechenden Ports, je nach benutztem Protokoll zur VM geportwarded (das wort gibts glaub ich nicht) werden.

PTPP: 1723 TCP, 47 GRE
L2TP over IPSEC: 1701 TCP, 500 UDP

hmm also was ist geportwarden


vielen dank für die antworten bis jetzt...

Hannes

 

[pfannkuchen2001]

EDIT:
Ich hab mal einen anderen Weg probiert: ich habe auf meiner 2003server vm einen VPN server gestartet.(Netzwerkverbindungen-->Neue Verbindung -->erweiterte Verbindung-->eingehende verbindungen zulassen-->VPN_verbindungen zulassen-->benutzer angelegt-->TCP/IP auf DHCP gelassen.)

nun hab ich auf meinem mac Internet-Verbindung geöffnet. und bin da auf den Reiter VPN gegangen.
PPTP eingestellt-->serverIP (die von dem rechner auf dem die VM installiert ist) eingegeben--> den im VPN server eingetragenen benutzernamen und passwort eingegeben.

>> Der server antwortete nicht.
Bitte überprüfen sie die Server-Adresse und versuchen sie es erneut <<


was hab ich da jetzt falsch gemacht? welche ports müssen da jetzt wo geforwardet werden? etc.?

Hannes

 

[maceis]

...
PTPP: 1723 TCP, 47 GRE
L2TP over IPSEC: 1701 TCP, 500 UDP

OpenVPN unterstützt weder PPTP noch L2TP.
Auch der in Windows integrierte VPN Server wird mW nicht unterstützt.

Das ganze Thema ist relativ komplex und lässt sich wohl nicht in wenigen Worten erläutern, zumal es eine Vielzahl von unterschiedlichen Konfigurationsmöglichkeiten gibt.

Am besten geht man entsprechend der Anleitung auf openvpn.net bzw. der manpage von openvpn vor vor.
Wenn man aber unbedingt so etwas wie Tunnelblick einsetzen möchte geht das nicht so ohne weiteres. Dann muss man sich halt damit beschäftigen.

 

[pfannkuchen2001]

mir ist es im endeffekt relativ egal, WOMIT ich die vpn verbindung nun mache, aber sie soll hat stehen!

ich will einfach "nur" einen VPN-server auf der vm laufen lassen, und mit meinem mac darüber surfen, und auf das lokale netzwerk von der vm haben!!!

das kann doch nicht sooo komplex sein?!

Hannes

 

[maceis]

...
ich will einfach "nur" einen VPN-server auf der vm laufen lassen, und mit meinem mac darüber surfen, und auf das lokale netzwerk von der vm haben!!!

das kann doch nicht sooo komplex sein?!
...

Wo ist dann das Problem.
Du musst dich halt entscheiden,
- welche Software Du benutzen möchtest
- welche Verschlüsselung Du benutzen möchtest,
- ob Du TCP oder UDP benutzen möchtest
- ob Du eine Client-Client oder eine serverbasierte Konfiguration benutzen möchtest
- ob Du auf der Kommandozeile oder mithilfe eine grafischenWerkzeugs arbeiten möchtest
etc.

Wenn Du diese Entscheidungen getroffen hast (oder besser schon davor), liest Du entsprechende Anleitungen und handelst danach.
Wenn es dann immer noch nicht klappt, kanns Du jederzeit wieder konkret fragen, solltest dann aber die erforderlichen Informationen zu Deiner Umgebung liefern, beschreiben, was Du genau gemacht hast und an welcher Stelle Du hängst.

 

[xymos]

hi


zum Thema MTU/VPN

http://www.uni-dsl.de/wiki/index.php/MTU-Problem

Hoffe es Hilft weiter.

_xymos.

 

[pfannkuchen2001]

Wo ist dann das Problem.
Du musst dich halt entscheiden,
- welche Software Du benutzen möchtest
- welche Verschlüsselung Du benutzen möchtest,
- ob Du TCP oder UDP benutzen möchtest
- ob Du eine Client-Client oder eine serverbasierte Konfiguration benutzen möchtest
- ob Du auf der Kommandozeile oder mithilfe eine grafischenWerkzeugs arbeiten möchtest
etc.

Wenn Du diese Entscheidungen getroffen hast (oder besser schon davor), liest Du entsprechende Anleitungen und handelst danach.
Wenn es dann immer noch nicht klappt, kanns Du jederzeit wieder konkret fragen, solltest dann aber die erforderlichen Informationen zu Deiner Umgebung liefern, beschreiben, was Du genau gemacht hast und an welcher Stelle Du hängst.

Aber hab ich nicht genau das gemacht?
Ich habe mich entschieden openVPN (UDP) zu nutzen. Das ganze soll client-server basiert sein!
ob das ganze nun mit GUI daherkommt oder nur komandozeilenbasiert ist, ist mir wirklich egal!

und mein Problem hab ich ja wohl auch relativ ausführlich beschrieben?!
als Anleitung hab ich: http://www.openvpn-forum.de/viewtopic.php?t=467 genommen!

Hannes

 

[maceis]

Aber hab ich nicht genau das gemacht?
...

Nein.
Deinem Ausgangsposting sind im Grunde genommen kaum relevante Informatioenen zu entnehmen. Die sickern jetzt wenigstens ansatzweise durch .

...
Ich habe mich entschieden openVPN (UDP) zu nutzen.

Warum UDP? Hat das einen relevanten Grund.
Falls ja, musst Du mit einem tap Interface arbeiten (damit wären dann schon einige der von Dir genannten fehlermeldungen erklärt.).
Falls nein, würde ich Dir empfehlen TCP zu benutzen, da das mE einfacher und in den meisten Fällen ausreichend ist.

...
Das ganze soll client-server basiert sein!
...

Warum? hast Du mehrere Clients? Möchtest Du mit Zertifikaten arbeiten. Hast Du überhaupt Zertifikate erstelle?

...
ob das ganze nun mit GUI daherkommt oder nur komandozeilenbasiert ist, ist mir wirklich egal!
...

Egal hamm wer nicht .

...
und mein Problem hab ich ja wohl auch relativ ausführlich beschrieben?!
...

Eigentlich nicht, ist aber auch nicht immer ganz einfach.

Ich kann Dir wärmstens empfehlen, Dich intensiv mit den Anleitungen auf openvpn.net auseinander zu setzen und mit einfachsten Basiskonfigurationen anzufangen.

Viel Erfolg.

 

[pfannkuchen2001]

ok, dann eine konkrete Frage:
was bedeutet:

Sun 11/05/06 07:12 PM: write to TUN/TAP : Input/output error (code=5)

Das ist eine meldung aus dem Tunnelblick-log, nachdem ich nun ein Tap anstatt Tun Device genutzt hab. (einfach übersehen)

Hannes

 

[pfannkuchen2001]

oh mein gott - nachdem ich das alles nochmal von vorn gemacht (nach der eigendlich sehr guten anleitung von http://www.openvpn-forum.de/viewtopic.php?t=1891 ) hab hier das ergebnis: es klappt immernochnicht

und die Console (am mac) spuckt folgendes aus:

===== Montag, 6. November 2006 17:13 Uhr Europe/Berlin =====
2006-11-06 17:14:02.185 Tunnelblick[6907] File /Users/hannes/Library/openvpn/kugelvpn.conf has permissions: 644, is owned by 501 and needs repair...
Nov  6 17:14:05 MB authexec: executing /bin/chmod
2006-11-06 17:14:05.859 Tunnelblick[6907] File /Users/hannes/Library/openvpn/kugelvpn.conf has permissions: 644, is owned by 501 and needs repair...
Nov  6 17:14:05 MB authexec: executing /usr/sbin/chown
kextload: extension /Applications/Tunnelblick.app/Contents/Resources/tap.kext is already loaded
kextload: extension /Applications/Tunnelblick.app/Contents/Resources/tun.kext is already loaded
Nov  6 17:14:07 MB openvpn[9532]: Options error: port number associated with host kgl.hopto.org is out of range

was soll das mit den permissions??? Ich hab da nix geändert?!
kann damit jemand etwas anfangen?
clientconfig:

remote kgl.hopto.org
port 1194
dev tap
dev-node tap0
ca //Users//hannes//Library//openvpn//keys//ca.crt
key //Users//hannes//Library//openvpn//keys//client1.key
cert //Users//hannes//Library//openvpn//keys//client1.crt
ns-cert-type server
comp-lzo
pull
tun-mtu 1500
tun-mtu-extra 32
verb 3
mute 50
persist-key
persist-tun

Hat jemand eine Ahnung, woran es nun liegen könnte?

 

[maceis]

tun und tap kann man nicht mischen; das ist das Eine.

Das Andere ist, dass Du offensichtlich nicht Willensbbist, die manpage und/oder die Anleitungen auf openvpn.net zu lesen und mit einer einfachen Basiskonfiguration anzufangen.
Wenn Du weiter so beratungsresistent bist, seh' ich schwarz für Dein Vorhaben .

 

[pfannkuchen2001]

offensichtlich nicht Willensbbist, die manpage und/oder die Anleitungen auf openvpn.net zu lesen und mit einer einfachen Basiskonfiguration anzufangen.
Wenn Du weiter so beratungsresistent bist, seh' ich schwarz für Dein Vorhaben .

Vorhaben geglückt
nachdem ich nochmal von vorn angefangen hab, klappte es auf einmal!

aber da hab ich schonwieder einpaar fragen:
ich will nun meinen kompletten internetverkehr über diesen VPN server abwickeln.

meine idee war, einfach den server als gateway eintragen und los gehts. allerdings ist mein gateway im moment 192.168.0.1 (rechner mit isdn im Lan)
wenn ich da nun einen anderen gateway eintrage (10.0.0.1) komm ich doch
nicht mehr ins netz?!

kommt jetzt die Antwort "lies das How.To"? dann weis ich auch nicht weiter...


Hannes

PS.: Mein Vorschlag:
gateway vom tap0 ändern!
kann man das so machen?:
mb:~ hannes$ route add tap0 gw 10.0.0.1
??
is das richtig? kann ich das irgendwie rückgängig machen?

 

[pfannkuchen2001]

huch, sehe grad, das ich was vergessen habe:
nach der Anleitung auf openvpn.net (!) soll man um den gesamten webtraffic vom client über den server laufen zu lassen folgendes in die config vom server eintragen:

push "redirect-gateway def1"

allerding funzt des nicht!
was muss ich tun, damit das klappt?


EDIT: danke für die netten Antworten... nun hab ich das auch selber hinbekommen...

 

[davidbuehn]

Hey,

ich hab genau das gleiche Problem:

write to TUN/TAP : Input/output error (code=5)

wie hast du es denn gelöst? Bzw. wie sieht deine openvpn.conf aus?

Bis jetzt habe ich folgendes eingestellt:

# Version: 0.3
client
dev tun
proto tcp
remote ***.***.org 1194
resolv-retry infinite
nobind
persist-key
persist-tun
mute-replay-warnings
ca ca.crt
key ***.key
cert ***.crt
ns-cert-type server
verb 3
#auth-user-pass
float
#up "vpn-up.sh"

Kurze Antwort wäre super nett!

Grüße, David