I had problems to reach the green network after connecting to the OpenVPN Server,
because the routings pushed by the server don't work.
So i had to find a workaround by letting the user execute a batch sctipt after the connection has been established.
Is there any posiblity to change the routing informations pushed by the OpenVPN Server?
What i've done:
Routing tabel prior to connecting:
C:\Windows\system32>route print -4
===========================================================================
Schnittstellenliste
20...00 ff d0 54 45 eb ......TAP-Win32 Adapter V9
12...d4 3d 7e 95 c1 de ......Controller der Familie Realtek PCIe GBE
16...00 50 56 c0 00 01 ......VMware Virtual Ethernet Adapter for VMnet1
18...00 50 56 c0 00 08 ......VMware Virtual Ethernet Adapter for VMnet8
24...08 00 27 00 40 0b ......VirtualBox Host-Only Ethernet Adapter
1...........................Software Loopback Interface 1
14...00 00 00 00 00 00 00 e0 Teredo Tunneling Pseudo-Interface
15...00 00 00 00 00 00 00 e0 Microsoft-ISATAP-Adapter #2
17...00 00 00 00 00 00 00 e0 Microsoft-ISATAP-Adapter #3
19...00 00 00 00 00 00 00 e0 Microsoft-ISATAP-Adapter #4
21...00 00 00 00 00 00 00 e0 Microsoft-ISATAP-Adapter #5
===========================================================================
IPv4-Routentabelle
===========================================================================
Aktive Routen:
Netzwerkziel Netzwerkmaske Gateway Schnittstelle Metrik
0.0.0.0 0.0.0.0 192.168.254.254 192.168.254.241 276
127.0.0.0 255.0.0.0 Auf Verbindung 127.0.0.1 306
127.0.0.1 255.255.255.255 Auf Verbindung 127.0.0.1 306
127.255.255.255 255.255.255.255 Auf Verbindung 127.0.0.1 306
192.168.56.0 255.255.255.0 Auf Verbindung 192.168.56.101 276
192.168.56.101 255.255.255.255 Auf Verbindung 192.168.56.101 276
192.168.56.255 255.255.255.255 Auf Verbindung 192.168.56.101 276
192.168.117.0 255.255.255.0 Auf Verbindung 192.168.117.1 276
192.168.117.1 255.255.255.255 Auf Verbindung 192.168.117.1 276
192.168.117.255 255.255.255.255 Auf Verbindung 192.168.117.1 276
192.168.137.0 255.255.255.0 Auf Verbindung 192.168.137.1 276
192.168.137.1 255.255.255.255 Auf Verbindung 192.168.137.1 276
192.168.137.255 255.255.255.255 Auf Verbindung 192.168.137.1 276
192.168.254.0 255.255.255.0 Auf Verbindung 192.168.254.241 276
192.168.254.241 255.255.255.255 Auf Verbindung 192.168.254.241 276
192.168.254.255 255.255.255.255 Auf Verbindung 192.168.254.241 276
224.0.0.0 240.0.0.0 Auf Verbindung 127.0.0.1 306
224.0.0.0 240.0.0.0 Auf Verbindung 192.168.137.1 276
224.0.0.0 240.0.0.0 Auf Verbindung 192.168.117.1 276
224.0.0.0 240.0.0.0 Auf Verbindung 192.168.254.241 276
224.0.0.0 240.0.0.0 Auf Verbindung 192.168.56.101 276
255.255.255.255 255.255.255.255 Auf Verbindung 127.0.0.1 306
255.255.255.255 255.255.255.255 Auf Verbindung 192.168.137.1 276
255.255.255.255 255.255.255.255 Auf Verbindung 192.168.117.1 276
255.255.255.255 255.255.255.255 Auf Verbindung 192.168.254.241 276
255.255.255.255 255.255.255.255 Auf Verbindung 192.168.56.101 276
===========================================================================
Ständige Routen:
Netzwerkadresse Netzmaske Gatewayadresse Metrik
0.0.0.0 0.0.0.0 192.168.254.254 Standard
===========================================================================
Connection Log:
Thu Jan 09 09:49:11 2014 OpenVPN 2.2.2 Win32-MSVC++ [SSL] [LZO2] [PKCS11] built on Dec 15 2011
Thu Jan 09 09:49:20 2014 WARNING: No server certificate verification method has been enabled. See h*ttp://openvpn.net/howto.html#mitm for more info.
Thu Jan 09 09:49:20 2014 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Thu Jan 09 09:49:20 2014 LZO compression initialized
Thu Jan 09 09:49:20 2014 Control Channel MTU parms [ L:1574 D:138 EF:38 EB:0 ET:0 EL:0 ]
Thu Jan 09 09:49:20 2014 Socket Buffers: R=[65536->65536] S=[65536->65536]
Thu Jan 09 09:49:20 2014 Data Channel MTU parms [ L:1574 D:1450 EF:42 EB:135 ET:32 EL:0 AF:3/1 ]
Thu Jan 09 09:49:20 2014 Local Options hash (VER=V4): 'd79ca330'
Thu Jan 09 09:49:20 2014 Expected Remote Options hash (VER=V4): 'f7df56b8'
Thu Jan 09 09:49:20 2014 UDPv4 link local: [undef]
Thu Jan 09 09:49:20 2014 UDPv4 link remote: 192.168.254.253:1194
Thu Jan 09 09:49:20 2014 TLS: Initial packet from 192.168.254.253:1194, sid=e0a9bd63 1544ae38
Thu Jan 09 09:49:20 2014 WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
Thu Jan 09 09:49:20 2014 VERIFY OK: depth=1, /C=IT/O=efw/CN=efw_CA
Thu Jan 09 09:49:20 2014 VERIFY OK: depth=0, /C=IT/O=efw/CN=127.0.0.1
Thu Jan 09 09:49:21 2014 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Thu Jan 09 09:49:21 2014 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Thu Jan 09 09:49:21 2014 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Thu Jan 09 09:49:21 2014 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Thu Jan 09 09:49:21 2014 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
Thu Jan 09 09:49:21 2014 [127.0.0.1] Peer Connection Initiated with 192.168.254.253:1194
Thu Jan 09 09:49:23 2014 SENT CONTROL [127.0.0.1]: 'PUSH_REQUEST' (status=1)
Thu Jan 09 09:49:23 2014 PUSH: Received control message: 'PUSH_REPLY,route-gateway 192.168.100.253,route-gateway 192.168.100.253,ping 8,ping-restart 30,ifconfig 192.168.100.10 255.255.255.0'
Thu Jan 09 09:49:23 2014 OPTIONS IMPORT: timers and/or timeouts modified
Thu Jan 09 09:49:23 2014 OPTIONS IMPORT: --ifconfig/up options modified
Thu Jan 09 09:49:23 2014 OPTIONS IMPORT: route-related options modified
Thu Jan 09 09:49:23 2014 TAP-WIN32 device [tap] opened: \\.\Global\{D05445EB-8CF1-4811-B6DC-D59F3F7B83FA}.tap
Thu Jan 09 09:49:23 2014 TAP-Win32 Driver Version 9.9
Thu Jan 09 09:49:23 2014 TAP-Win32 MTU=1500
Thu Jan 09 09:49:23 2014 Notified TAP-Win32 driver to set a DHCP IP/netmask of 192.168.100.10/255.255.255.0 on interface {D05445EB-8CF1-4811-B6DC-D59F3F7B83FA} [DHCP-serv: 192.168.100.0, lease-time: 31536000]
Thu Jan 09 09:49:23 2014 Successful ARP Flush on interface [20] {D05445EB-8CF1-4811-B6DC-D59F3F7B83FA}
Thu Jan 09 09:49:31 2014 TEST ROUTES: 0/0 succeeded len=-1 ret=1 a=0 u/d=up
Thu Jan 09 09:49:31 2014 Initialization Sequence Completed
Routing table after connecting:
C:\Windows\system32>route print -4 192.168.100.*
===========================================================================
Schnittstellenliste
20...00 ff d0 54 45 eb ......TAP-Win32 Adapter V9
12...d4 3d 7e 95 c1 de ......Controller der Familie Realtek PCIe GBE
16...00 50 56 c0 00 01 ......VMware Virtual Ethernet Adapter for VMnet1
18...00 50 56 c0 00 08 ......VMware Virtual Ethernet Adapter for VMnet8
24...08 00 27 00 40 0b ......VirtualBox Host-Only Ethernet Adapter
1...........................Software Loopback Interface 1
14...00 00 00 00 00 00 00 e0 Teredo Tunneling Pseudo-Interface
15...00 00 00 00 00 00 00 e0 Microsoft-ISATAP-Adapter #2
17...00 00 00 00 00 00 00 e0 Microsoft-ISATAP-Adapter #3
19...00 00 00 00 00 00 00 e0 Microsoft-ISATAP-Adapter #4
21...00 00 00 00 00 00 00 e0 Microsoft-ISATAP-Adapter #5
45...00 00 00 00 00 00 00 e0 Microsoft-ISATAP-Adapter #7
===========================================================================
IPv4-Routentabelle
===========================================================================
Aktive Routen:
Netzwerkziel Netzwerkmaske Gateway Schnittstelle Metrik
192.168.100.0 255.255.255.0 Auf Verbindung 192.168.100.10 286
192.168.100.10 255.255.255.255 Auf Verbindung 192.168.100.10 286
192.168.100.253 255.255.255.255 Auf Verbindung 192.168.100.10 31
192.168.100.255 255.255.255.255 Auf Verbindung 192.168.100.10 286
===========================================================================
Ständige Routen:
Keine
Pinging
C:\Windows\system32>ping 192.168.100.10
Ping wird ausgeführt für 192.168.100.10 mit 32 Bytes Daten:
Antwort von 192.168.100.10: Bytes=32 Zeit<1ms TTL=128
Antwort von 192.168.100.10: Bytes=32 Zeit<1ms TTL=128
Antwort von 192.168.100.10: Bytes=32 Zeit<1ms TTL=128
Antwort von 192.168.100.10: Bytes=32 Zeit<1ms TTL=128
Ping-Statistik für 192.168.100.10:
Pakete: Gesendet = 4, Empfangen = 4, Verloren = 0
(0% Verlust),
Ca. Zeitangaben in Millisek.:
Minimum = 0ms, Maximum = 0ms, Mittelwert = 0ms
C:\Windows\system32>ping 192.168.100.253
Ping wird ausgeführt für 192.168.100.253 mit 32 Bytes Daten:
Antwort von 192.168.100.253: Bytes=32 Zeit=1ms TTL=64
Antwort von 192.168.100.253: Bytes=32 Zeit<1ms TTL=64
Antwort von 192.168.100.253: Bytes=32 Zeit<1ms TTL=64
Antwort von 192.168.100.253: Bytes=32 Zeit<1ms TTL=64
Ping-Statistik für 192.168.100.253:
Pakete: Gesendet = 4, Empfangen = 4, Verloren = 0
(0% Verlust),
Ca. Zeitangaben in Millisek.:
Minimum = 0ms, Maximum = 1ms, Mittelwert = 0ms
C:\Windows\system32>ping 192.168.100.210
Ping wird ausgeführt für 192.168.100.210 mit 32 Bytes Daten:
Antwort von 192.168.100.10: Zielhost nicht erreichbar.
Zeitüberschreitung der Anforderung.
Zeitüberschreitung der Anforderung.
Zeitüberschreitung der Anforderung.
Ping-Statistik für 192.168.100.210:
Pakete: Gesendet = 4, Empfangen = 1, Verloren = 3
(75% Verlust),
So it seems the system is doing a false routing.
When i do the following it works:
C:\Windows\system32>route delete 192.168.100.0
OK!
C:\Windows\system32>route delete 192.168.100.10
OK!
C:\Windows\system32>route delete 192.168.100.253
OK!
C:\Windows\system32>route add 192.168.100.0 mask 255.255.255.0 192.168.100.253 if 20 metric 1
OK!
C:\Windows\system32>route add 192.168.100.253 mask 255.255.255.255 192.168.100.10
OK!
New routing table:
C:\Windows\system32>route print -4 192.168.100.*
===========================================================================
Schnittstellenliste
20...00 ff d0 54 45 eb ......TAP-Win32 Adapter V9
12...d4 3d 7e 95 c1 de ......Controller der Familie Realtek PCIe GBE
16...00 50 56 c0 00 01 ......VMware Virtual Ethernet Adapter for VMnet1
18...00 50 56 c0 00 08 ......VMware Virtual Ethernet Adapter for VMnet8
24...08 00 27 00 40 0b ......VirtualBox Host-Only Ethernet Adapter
1...........................Software Loopback Interface 1
14...00 00 00 00 00 00 00 e0 Teredo Tunneling Pseudo-Interface
15...00 00 00 00 00 00 00 e0 Microsoft-ISATAP-Adapter #2
17...00 00 00 00 00 00 00 e0 Microsoft-ISATAP-Adapter #3
19...00 00 00 00 00 00 00 e0 Microsoft-ISATAP-Adapter #4
21...00 00 00 00 00 00 00 e0 Microsoft-ISATAP-Adapter #5
45...00 00 00 00 00 00 00 e0 Microsoft-ISATAP-Adapter #7
===========================================================================
IPv4-Routentabelle
===========================================================================
Aktive Routen:
Netzwerkziel Netzwerkmaske Gateway Schnittstelle Metrik
192.168.100.0 255.255.255.0 192.168.100.253 192.168.100.10 31
192.168.100.253 255.255.255.255 Auf Verbindung 192.168.100.10 31
===========================================================================
Ständige Routen:
Keine
Pinging:
C:\Windows\system32>ping 192.168.100.253
Ping wird ausgeführt für 192.168.100.253 mit 32 Bytes Daten:
Antwort von 192.168.100.253: Bytes=32 Zeit=1ms TTL=64
Antwort von 192.168.100.253: Bytes=32 Zeit<1ms TTL=64
Antwort von 192.168.100.253: Bytes=32 Zeit<1ms TTL=64
Antwort von 192.168.100.253: Bytes=32 Zeit<1ms TTL=64
Ping-Statistik für 192.168.100.253:
Pakete: Gesendet = 4, Empfangen = 4, Verloren = 0
(0% Verlust),
Ca. Zeitangaben in Millisek.:
Minimum = 0ms, Maximum = 1ms, Mittelwert = 0ms
C:\Windows\system32>ping 192.168.100.210
Ping wird ausgeführt für 192.168.100.210 mit 32 Bytes Daten:
Antwort von 192.168.100.210: Bytes=32 Zeit<1ms TTL=128
Antwort von 192.168.100.210: Bytes=32 Zeit<1ms TTL=128
Antwort von 192.168.100.210: Bytes=32 Zeit<1ms TTL=128
Antwort von 192.168.100.210: Bytes=32 Zeit<1ms TTL=128
Ping-Statistik für 192.168.100.210:
Pakete: Gesendet = 4, Empfangen = 4, Verloren = 0
(0% Verlust),
Ca. Zeitangaben in Millisek.:
Minimum = 0ms, Maximum = 0ms, Mittelwert = 0ms
So i created a batch script to run after the connection is estblished.
So my question:
Is there any posiblity to change the routing informations pushed by the OpenVPN Server?
Setup:
WS1 (Machine trying to connect (Roadwarrior)) OS: Windows 8
Windows-IP-Konfiguration
Hostname . . . . . . . . . . . . : WS001
Primäres DNS-Suffix . . . . . . . :
Knotentyp . . . . . . . . . . . . : Hybrid
IP-Routing aktiviert . . . . . . : Nein
WINS-Proxy aktiviert . . . . . . : Nein
Ethernet-Adapter tap:
Medienstatus. . . . . . . . . . . : Medium getrennt
Verbindungsspezifisches DNS-Suffix:
Beschreibung. . . . . . . . . . . : TAP-Win32 Adapter V9
Physische Adresse . . . . . . . . : 00-FF-D0-54-45-EB
DHCP aktiviert. . . . . . . . . . : Ja
Autokonfiguration aktiviert . . . : Ja
Ethernet-Adapter Ethernet:
Verbindungsspezifisches DNS-Suffix:
Beschreibung. . . . . . . . . . . : Controller der Familie Realtek PCIe GBE
Physische Adresse . . . . . . . . : D4-3D-7E-95-C1-DE
DHCP aktiviert. . . . . . . . . . : Nein
Autokonfiguration aktiviert . . . : Ja
Verbindungslokale IPv6-Adresse . : fe80::607b:e133:cf81:ce1f%12(Bevorzugt)
IPv4-Adresse . . . . . . . . . . : 192.168.254.241(Bevorzugt)
Subnetzmaske . . . . . . . . . . : 255.255.255.0
Standardgateway . . . . . . . . . : 192.168.254.254
DHCPv6-IAID . . . . . . . . . . . : 265567614
DHCPv6-Client-DUID. . . . . . . . : 00-01-00-01-19-9D-BA-EA-D4-3D-7E-95-C1-DE
DNS-Server . . . . . . . . . . . : 192.168.254.254
62.26.26.62
NetBIOS über TCP/IP . . . . . . . : Aktiviert
EFW:
| Red Interface | 192.168.254.253 |
| Green Interface | 192.168.100.253 |
WS2 (Machine to reach (Windows XP)
IP: 192.168.100.210
Windows-IP-Konfiguration
Hostname. . . . . . . . . . . . . : vws001
Primäres DNS-Suffix . . . . . . . :
Knotentyp . . . . . . . . . . . . : Unbekannt
IP-Routing aktiviert. . . . . . . : Nein
WINS-Proxy aktiviert. . . . . . . : Nein
DNS-Suffixsuchliste . . . . . . . : localdomain
Ethernetadapter LAN-Verbindung:
Verbindungsspezifisches DNS-Suffix: localdomain
Beschreibung. . . . . . . . . . . : Ethernetadapter der AMD-PCNET-Famili
e
Physikalische Adresse . . . . . . : 08-00-27-5C-AB-64
DHCP aktiviert. . . . . . . . . . : Ja
Autokonfiguration aktiviert . . . : Ja
IP-Adresse. . . . . . . . . . . . : 192.168.100.210
Subnetzmaske. . . . . . . . . . . : 255.255.255.0
Standardgateway . . . . . . . . . : 192.168.100.253
DHCP-Server . . . . . . . . . . . : 192.168.100.253
DNS-Server. . . . . . . . . . . . : 192.168.100.254
62.26.26.62
Lease erhalten. . . . . . . . . . : Donnerstag, 9. Januar 2014 08:24:08
Lease läuft ab. . . . . . . . . . : Donnerstag, 9. Januar
I disabled the firewall on both machines
Settings on EFW:
OpenVPN server:Server configuration:
| OpenVPN Server enabled | (checked) |
| Bridged | (checked) |
| Bridged to | GREEN |
| Dyn ip pool start adress: | 192.168.100.150 |
| Dyn ip pool end adress: | 192.186.100.160 |
Accounts| Username | test |
| Password | testpass |
| Verify password | testpass |
| Direct all traffic through the VPN Server | (unchecked) |
| Push only global options to this client: | (checked) |
| Network behind client: | (empty) |
| Push only these networks: | (empty) |
| Static ip address: | 192.168.100.10 |
| Push these nameservers: | (unchecked) |
| Push domain: | (unchecked) |
Advanced| Port: | 1194 |
| Protocol: | UDP |
| Block DHCP responses coming from tunnel: | (unchecked) |
| Don't block Traffice between clients: | (checked) |
| Allow multiple connections from one account: | (unchecked) |
| Push these networks: | (unchecked) |
| Push these nameservers: | (unchecked) |
| Push domains: | (unchecked) |
Authentication type:
PSKFirewall:Source NAT:
| Source | ALL (Open VPN User) |
| Destination | Green |
| Service | <ANY> |
| NAT to | 192.168.100.253 |
VPN Firewall (enabled):
| Source | ALL (Open VPN User) |
| Destination | Green + OPENVPN |
| Service | <ANY> |
| Policy | Allow |
You should let the XP comp reply thru Endian GW (and alow conection)
Or Add NAT (but in that case you had to have separate network segment usable for NAT)
Source Network Address Translation-->Source NAT
1 192.168.100.10 (This is VPN network, or use your IP x.x.x.10
GREEN
Interface 1
<ANY> 192.168.100.X (This Is Endian Local IP, didnt read what is your)
WPN Firewall can be turn OFF
So Two RULES
ADD GATEWAY TO MACHINE YOU WANT PING
OR
USE NET NAT --- The shown by AllOpenVpn User for mi didnt work either....