ovpn client modus
Hallo zusammen,
vorweg - ich versuche derzeit
exakt das Selbe umzusetzen (sowohl mit
ivacy.com / andere OVPN Gateways), scheitere jedoch an so ein paar Punkten;
@ screem
Könntest Du vielleicht deine Ivacy.conf posten und mir verraten, wie Du das "auth-user-pass" und "redirect gw" umgesetzt hast?
@ Die Spezialisten unter Euch:
Ausgangssituation :
FB WLAN 3020, FW 09.04.34 - Freetz 1.0.2; mit OpenVPN; AVM Firewall, IPTables, incl. der Libs; Dropbear SSH; (testweise noch PPTP mit drauf)
Ziel:
OpenVPN soll
bei aktiver Onlineverbindung einen
VPN Tunnel zu einem VPN Provider (z.B. ivacy.com, etc.) herstellen und
den gesammten Traffic der normalerweise über das DSL Device läuft durch den Tunnel schicken. Die VPN soll
immer aufrechterhalten bleiben und bei DSL Disconnect neu einwählen. Ferner darf nichts am VPN vorbei laufen und die FB soll das VPN, wie die DSL Seite behandeln (
kein Zugriff via VPN auf Clientbox, ohne Portfreigabe)
Problem:
1.
VPN Verbindung ist TLS Zertifiziert mit "auth-user-pass" option. D.h. Start über Freetz schlägt fehl, weil kein "User / Pass" für den Handshake vorhanden sind. "auth-user-pass pass.txt" in der ovpn.config funktioniert nicht. In der Konsole bei aufruf von "openvpn --config *** --- auth ***/pass.txt " funktioniert die Passwort übergabe und der Tunnel steht.
Frage:
Wie starte ich openvpn mit der auth-file, über das DS-Mod Webinterface? rc.openvpn modifizieren?
2.
Wenn der Tunnel steht erfolgt kein Routing des DSL Traffics via VPN Gateway. D.h. "redirect-gateway" kann nicht ausgeführt werden, weil der Client die "echte" ISP IP nicht übergibt.
(Meine Konsolenmsg ist identisch mit Post 5 , auch routing, etc. ist identisch)
Bisheriger Lösungsansatz:
Code:
route add -host [ip vom ovpn server] dev dsl # Hostroute für VPN Connect
route del default # alte default löschen
route add default gw [ip vom vpn gateway] # jetzt geht schon mal der Trafic von der Box über den Tunnel
iptables -t nat -A POSTROUTING -o tun0 -s [IP LAN/MASK] -j MASQUERADE # jetzt geht auch der LAN Traffic nach extern über den VPN Tunnel
Frage:
Geht das auch einfacher?, bzw. geht das auch über die ovpn.conf, oder sollte ich dafür lieber ein Script schreiben ?
3. Frage:
Wie verhält sich die Box bei Verbindungsanfragen vom VPN bei dieser Konfiguration?,
sind z.B. http 80, freetz 81, etc. aus dem VPN erreichbar, wenn ja - wie schalte ich diese nur für die VPN ab? (ar7.cfg modifizieren?)
4. Frage:
Wie stelle ich sicher, dass nichts am VPN vorbei läuft, wenn z.b. der Tunnel abreisst?, reicht es hier einfach nach dem Start von DSLd die default gw route zu löschen?, (wird ja bei aktivem VPN wieder neu auf den vpn gw gesetzt), oder routet die Box auch ohne default gw weiter ins DSL?
Ich danke Euch für die Anregungen und Hinweise
Grüße Lemur