[gelöst] OpenVPN: Zertifikat Verwaltung und IP Bereiche

Sidebar Sidebar
Upgrade 3CX to v18 and get it hosted free!
B

Benny

Neuer User
Mitglied seit
10 Jan 2007
Beiträge
157
Punkte für Reaktionen
0
Punkte
16
Hallo,

Ich möchte OpenVPN mit mehreren Laptops nutzen, also brauche ich eine Verbindung mittels Zertifikaten. Ich habe versucht nach der Wiki Anleitung vorzugehen, verstehe allerdings folgenden Punkt nicht:

Static Key | wird generiert | muss auf Server und Client gleich sein

Diesen Static Key muss man ja dann auch nochmal in der Konfiguration angeben:
(in der Beispielconf.)
tls-auth "D:\\Eigene Dateien\\OpenVPN\\static.key" 1

Wie aber erstelle ich diesen static.key? Ich habe die Zertifikate nach dieser Anleitung erstellt, kann nun aber im Verzeichnis keys einen static.key nicht finden.
 
Zuletzt bearbeitet:
Okay, habe grad gesehen, dass ein Key in der Box erzeugt wird und dann bei static.key drinn steht. Diesen hab ich also lokal nochmal gespeichert und versucht damit zu connecten. Leider gehts noch nicht.

Die Verbindung kann nicht erstellt werden und das ist die Logdatei dazu:
Code: 
Wed Jan 09 07:12:32 2008 OpenVPN 2.0.9 Win32-MinGW [SSL] [LZO] built on Oct  1 2006
Wed Jan 09 07:12:32 2008 IMPORTANT: OpenVPN's default port number is now 1194, based on an official port number assignment by IANA.  OpenVPN 2.0-beta16 and earlier used 5000 as the default port.
Wed Jan 09 07:12:32 2008 Control Channel Authentication: using 'C:\Dokumente und Einstellungen\benny\Eigene Dateien\Konfiguration\Zertifikate\fritzbox\static.key' as a OpenVPN static key file
Wed Jan 09 07:12:32 2008 Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed Jan 09 07:12:32 2008 Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed Jan 09 07:12:32 2008 Control Channel MTU parms [ L:1573 D:166 EF:66 EB:0 ET:0 EL:0 ]
Wed Jan 09 07:12:32 2008 Data Channel MTU parms [ L:1573 D:1450 EF:41 EB:4 ET:32 EL:0 ]
Wed Jan 09 07:12:32 2008 Local Options hash (VER=V4): '1a647362'
Wed Jan 09 07:12:32 2008 Expected Remote Options hash (VER=V4): '47de3ccc'
Wed Jan 09 07:12:32 2008 UDPv4 link local: [undef]
Wed Jan 09 07:12:32 2008 UDPv4 link remote: 99.99.99.99:1194
 
Zuletzt bearbeitet:
Okay, eine Verbindung bekomme ich grundsätzlich hin. Allerdings habe ich noch nicht ganz verstanden wie das ganze zusammen wirkt bzw. wie ich das jetzt richtig handeln muss.

Da ist zum einen die Sache mit den Zertifikaten bzw. keys:
Den Static.key brauche ich offensichtlich nur dann, wenn ich in der Box unter "Sicherheit" den Punkt "TLS-Authentifizierung (nur mit Zertifikaten)" aktiviere. Wobei das wohl noch eine zusätzliche Absicherung ist oder wie? Jedefalls kann ich den Static.key in meiner Config des Notebooks weg lassen, sobald ich diese TLS-Authentifizierung im Server deaktiviert habe.

Wie aber funktioniert das jetzt mit den Zertifikaten. Ich habe ja insgesammt drei Zertifikate erstellt:
  • FritzBox
  • Notebook 1
  • Notebook 2
In die Box habe ich unter "BoxCert" und "Private Key" das Zertifikat und den Key der Box gepackt. in der Konfigurationsdatei bei Notebook 1 habe ich das Zertifikat und den Key des Notebooks 1 gepackt.
Wo aber besteht da der Zusammenhang zwischen diesen beiden sachen? Bzw. wie könnte ich das Zertifikat des Notebooks 1 wieder zurück ziehen, wenn das notwendig ist?

Zum anderen die IP Adressen, die anzugeben sind:
Ich möchte eigentlich den Notebook 1 und 2 von außerhalb genauso nutzen können, wie von intern (also wie wenn sie im LAN sind). Deshalb hatte ich erst versucht alle IPs im gleichen Adressbereich zu lassen (der bei mir im LAN 10.5.2.x ist). Leider hat das so nicht geklappt und der Server ist gar nicht erst gestartet. Erst als ich drei unterschiedliche Bereiche angegeben habe, konnte ich die Verbindung aufbauen.

Hier meine jetzige Konfiguration
 

Anhänge

  • konfiguration.jpg
    konfiguration.jpg
    69.5 KB · Aufrufe: 35
Im Prinzip hat rcb natürlich recht, aber ich denke, ein paar Stichworte wonach du etwas genauer schauen solltest könnten helfen ;-)

  • Der "Zusammenhang" zwischen den Zertifikaten/Keys besteht in der "Zertifizierungsstelle", also dem "CA-Cert".
  • Mit der "CRL" könntest du auch Zertifikate "zurückziehen"
  • Zu den IP-Adressen und der Erreichbarkeit solltest du dir den Unterschied zwischen Tunnel- und Brückenmodus ansehen. Mit "Bridging" ist vermutlich genau das erreichbar, was du willst.

Vielleicht ist dir ja auch meine kleine "Doku" eine gewisse Hilfe...

Jörg
 
Zuletzt bearbeitet:
Vielen Dank für die Anleitungen.
Das mit den Zertifikaten hab ich jetzt verstanden und schon ausprobiert wieder welche zurück zu ziehen - klappt alles soweit. Ich hab das ganze jetzt auch mal mit der grafische Oberfläche XCA - zu der es auch ein gutes Tutorial gibt - ausprobiert: klappt hervorragend (und man hat die ganze Konfiguration in einer Datenbankdatei, die man sich so sichern kann).
Die Verbindung kann nun also immer schön aufgebaut werden.

Womit ich allerdings noch ein Problem hab, ist die IP-Verwaltung: Ob ich das nun Tunnel oder Überbrücke:
  • ich kann weder den Notebook, welcher über VPN eingewählt ist, von den Rechnern im LAN oder der Fritzbox aus anpingen
  • noch kann ich vom Notebook aus die Fritzbox oder einen Rechner im Lan anpingen
Ich hab mir mal mit ipconfig im Windows die Konfiguration angeschaut, da stimmt doch was nicht - die Netzmaske ist zum Beispiel totaler Käse und woher der die Nummern nimmt weiß ich auch nicht.
Code: 
DHCP aktiviert: ja
Autokonfiguration aktiviert: ja
IP-Adresse: 10.5.3.10
Subnetzmaske: 10.5.3.9
Standardgateway:
SHCP-Server: 10.5.3.8
DNS-Server: 10.5.2.254

Meine VPN Konfiguration (im Webinterface) sieht folgendermaßen aus:
  • Modus: TUN
  • Authentifizierungsmethode: Zertifikate
  • Lokaler Endpunkt:
    IP Adresse:     10.5.2.254 (die IP meiner Box)
    Subnetzmaske: 255.255.255.0
  • Entfernter Endpunkt:
    IP Adresse:     10.5.3.254 (die IP meiner Box)
    Subnetzmaske: 255.255.255.0
  • Netzwerksegment: 10.5.3.0 255.255.255.0
  • Routing:
    Lokales Netzwerk:     10.5.2.0 255.255.255.0
    Entferntes Netzwerk: 10.5.3.0 255.255.255.0
  • Client Adressbereiche: 10.5.3.10 10.5.3.20
  • DNS Server: 10.5.2.254
  • Client Traffic umleiten (aktiv)
  • Clients dürfen untereinader kommunizieren (aktiv)
  • Verbindung aufrechterhalten (aktiv)
  • LZO Komprimierung aktivieren (aktiv)

Die /etc/default.openvpn-lzo/openvpn-lzo.cfg sieht dagegen so aus (die kann ich ja nicht beschreiben):
Code: 
export OPENVPN_LZO_ENABLED="no"
export OPENVPN_LZO_LOCAL=""
export OPENVPN_LZO_MODE="server"
export OPENVPN_LZO_REMOTE=""
export OPENVPN_LZO_PORT="1194"
export OPENVPN_LZO_PROTO="udp"
export OPENVPN_LZO_TYPE="tun"
export OPENVPN_LZO_BOX_IP="192.168.200.1"
export OPENVPN_LZO_BOX_MASK="255.255.255.0"
export OPENVPN_LZO_REMOTE_IP="192.168.200.2"
export OPENVPN_LZO_DHCP_RANGE="192.168.200.4 192.168.200.251"
export OPENVPN_LZO_VPN_NET="192.168.200.0 255.255.255.0"
export OPENVPN_LZO_LOCAL_NET="192.168.178.0 255.255.255.0"
export OPENVPN_LZO_REMOTE_NET=""
export OPENVPN_LZO_DHCP_CLIENT=""
export OPENVPN_LZO_MTU="1500"
export OPENVPN_LZO_AUTH_TYPE="static"
export OPENVPN_LZO_CIPHER="BF-CBC"
export OPENVPN_LZO_TLS_AUTH=""
export OPENVPN_LZO_FLOAT=""
export OPENVPN_LZO_KEEPALIVE="yes"
export OPENVPN_LZO_KEEPALIVE_PING="10"
export OPENVPN_LZO_KEEPALIVE_TIMEOUT="120"
export OPENVPN_LZO_COMPLZO="yes"
export OPENVPN_LZO_MAXCLIENTS="5"
export OPENVPN_LZO_CLIENT2CLIENT=""
export OPENVPN_LZO_PUSH_DNS=""
export OPENVPN_LZO_PUSH_WINS=""
export OPENVPN_LZO_PUSH_REDIRECT=""
export OPENVPN_LZO_VERBOSE="3"
export OPENVPN_LZO_SHAPER=""
export OPENVPN_LZO_PULL=""
export OPENVPN_LZO_LOGFILE=""
export OPENVPN_LZO_MGMNT=""

Kann ich die eigentlich auch irgendwie noch in der Box ändern?

Wo finde ich denn die openvpn-lzo.cfg, die über das Webinterface erstellt wurde?
 
Hi, die "fertige" Config liegt in /mod/etc/openvpn[-lzo].conf (je nachdem, ob mit oder ohne lzo). Kannst du die mal bitte posten? Und die "zugehörige" Client-Config bitte auch.

Die IPs passen noch nicht. Die Adressen "lokaler" und "entfernter" Endpunkt sind nicht deine "echten" IPs, sondern die zusätzlichen IPs des Tunnels. Der sollte/muss unabhängig von deinen normalen LAN IPs sein und diese beiden IPs müssen in einem Netz sein, also z.B. 10.5.5.1 "lokal" und 10.5.5.2 "entfernt".

Jörg
 
die "fertige" Config liegt in /mod/etc/openvpn[-lzo].conf (je nachdem, ob mit oder ohne lzo). Kannst du die mal bitte posten?
Zum Vergrößern anklicken....
Code: 
# OpenVPN 2.1 Config
proto udp
port 1194
dev tun
ca /tmp/flash/ca.crt
cert /tmp/flash/box.crt
key /tmp/flash/box.key
mode server
tls-server
dh /tmp/flash/dh.pem
crl-verify /tmp/flash/crl.pem
ifconfig-pool 10.5.3.10 10.5.3.20
ifconfig 10.5.2.254 10.5.3.254
route 10.5.3.0 255.255.255.0
push "route 10.5.3.0 255.255.255.0"
push "route 10.5.2.0 255.255.255.0"
push "dhcp-option DNS 10.5.2.254"
push "redirect-gateway"
max-clients 2
tun-mtu 1500
mssfix

daemon
verb 3

cipher BF-CBC
route 10.5.3.0 255.255.255.0
comp-lzo
keepalive 10 120
status /var/log/openvpn.log

Und die "zugehörige" Client-Config bitte auch.
Zum Vergrößern anklicken....
Code: 
remote domain.dyndns.org
proto udp
dev tap
tls-client
ns-cert-type server
pkcs12 OpenVPN_Client_1.p12
tun-mtu 1500
mssfix
nobind
pull
verb 3
 
Okay, hab jetzt weiter daran rumgespielt undauch noch etwas entdeckt. Trotzdem funktioniert es noch nicht so richtig.

Also erstmal meine jetzige Konfiguration (sorry, die Config, die ich vorhin gepostet hatte, war ja noch die alte):
Code: 
# OpenVPN 2.1 Config
proto udp
port 1194
dev tun
ca /tmp/flash/ca.crt
cert /tmp/flash/box.crt
key /tmp/flash/box.key
mode server
tls-server
dh /tmp/flash/dh.pem
crl-verify /tmp/flash/crl.pem
ifconfig-pool 10.5.4.10 10.5.4.20
ifconfig 10.5.3.1 10.5.3.2
route 10.5.3.0 255.255.255.0
push "route 10.5.3.0 255.255.255.0"
push "route 10.5.2.0 255.255.255.0"
push "dhcp-option DNS 10.5.2.254"
push "redirect-gateway"
max-clients 2
tun-mtu 1500
mssfix

daemon
verb 3

cipher BF-CBC
route 10.5.3.0 255.255.255.0
comp-lzo
keepalive 10 120
status /var/log/openvpn.log

und dann hab ich auch noch gesehen, dass ich in der Client Konfiguration noch das Überbrücken eingestellt hab. Darum hier jetzt noch mal meine Client Konfiguration, die ebenfalls auf Tunneln gestellt ist:
Code: 
remote domain.dyndns.org
proto udp
dev tun
tls-client
ns-cert-type server
pkcs12 OpenVPN_Client_1.p12
tun-mtu 1500
mssfix
nobind
pull
verb 3

Damit bekam ich nun auch eine gescheite Subnetzmaske (die aber immernoch nicht die richtige zu sein scheint, da ich dachte, ich müsste die 255.255.255.0 bekommen).
Allerdings stimmt da trotzdem noch was nicht, denn der Gateway, den ich gesetzt bekomme ist (vermutlich wegen der falschen subnetzmaske) nicht erreichbar.

Hier mal die Angaben, die ich jetzt auf dem Client mit ipconfig bekomme:
Code: 
DHCP aktiviert: ja
Autokonfiguration aktiviert: ja
IP-Adresse: 10.5.4.10
Subnetzmaske: 255.255.255.252
Standardgateway: 10.5.4.9
DHCP-Server: 10.5.4.9
DNS-Server: 10.5.2.254

Was mich aber noch immer wundert: Woher bekommt der die 10.5.4.9 als Gateway bzw. DHCP Server? wo ist das konfiguriert?
Steht nicht in der Konfig, dass 10.5.3.1 bzw. 10.5.3.2 die End/Anfangspunkte vom Tunnel sind (hab ich auch nicht richtig verstanden, was die zwei IPs jetzt genau machen - die hängen doch irgendwie einfach nur in der Luft - also sind wohl nur virtuelle Adressen, über die die Kommunikation mit dem 10.5.2er Netz und dem 10.5.4er Netz abgewickelt wird)
Nun gut, aber immerhin kann ich von der Fritzbox auf die 10.5.3.1 pingen (die 10.5.3.2 ist dagegen von der Fritzbox NICHT erreichbar - wahrscheinlich müsste sie von dem Client aus erreichbar sein, was sie aber nicht ist)

Die 10.5.4.9 muss es ja aber geben, denn das ist ja (laut angaben von ipconfig auf dem Client) der DHCP Server. Und eine IP samt anderen DHCP Daten wie Gateway und DNS Server hab ich ja bekommen...
Allerdings läßt sich der (10.5.4.9) weder vom Client (vermutlich wieder wegen der falschen Netzmaske) noch von der Fritzbox aus anpingen.

---

Eben hab ich noch ein bisschen rumgespielt:
  • Ich kann von einem Rechner inerhalb des LANs ebenfalls auf die 10.5.3.1 aber nicht auf die 10.5.3.2 pingen (auch wenn ich in der Fritzbox mit ifconfig mal kein (virtuelles) Interface mit dieser IP finden konnte, ist es doch offensichtlich da...)
  • Ich hab jetzt x-verschiedene Kombinationen (vor allen Dingen mit Angaben zum Routing und der Angabe "Netzwerksegment") ausprobiert; leider ohne Erfolg (die Subnetzmaske am Client bleibt unverändert und die Erreichbarkeit von der Fritzbox auf die beteiligten IPs (10.5.3.2, 10.5.4.9, 10.5.4.10) bleibt unverändert - nämlich "nicht möglich")
  • Auch wenn ich nicht ganz verstanden habe, was genau die Angabe in "Netzwerksegment" macht, hab ich grad bei einer Einstellung, nämlich des IP Bereichs meines eigenen LANs (10.5.2.0 255.255.255.0), mein LAN von der Fritzbox abgehängt. Ich konnte sie nur noch übers Internet wieder erreichen und zurückstellen
  • Ich hab mal in der Konfig eben aktiviert "Erlaube IP-Änderungen für entfernte Hosts" und dann beim Client die Netzmaske manuell auf 255.255.255.0 gesetzt. Als ich dann wieder neu übers VPN Verbunden hab, wurde die aber wieder überschrieben. Also hab ich sie erneut überschrieben (dabei die VPN Verbindung nicht getrennt) und nun ist sie (laut ipconfig) auch eingestellt. Dennoch kann ich nicht auf 10.5.4.9 pingen

Ich hab keine Ahnung mehr, was ich noch probieren könnte und warte jetzt erstmal auf Hilfe oder einen neuen Denkanstoß... In den Beispielen im Wiki stehen ja leider nicht alle Optionen, so dass ich da mal abkupfern könnte. Und das Tutorial, was du (MaxMuster) mir vorhin gegeben hattest nutzt Überbrückung. Ich wollt mich aber jetzt erstmal mit dem (nach Aussage anderer) einfacheren Tunneln zufrieden geben - und bin jetzt zu müde noch das Überbrücken durch zu probieren...
 
Dein "Problem" ist, dass für das OpenVPN deine IP-Angaben "sich widersprechen":

"ifconfig 10.5.3.1 10.5.3.2"
besagt: Benutze für dei Tunneladresse zwei "Punkt zu Punkt" Adressen, "ich" habe die .1 die Gegenseite nutzt die .2

"ifconfig-pool 10.5.4.10 10.5.4.20"
besagt: Gib der Gegenseite eine IP aus diesem Bereich, beginnend mit der .10

Das tut das OpenVPN denn nun auch, und ein Client bekommt die 10.5.4.10, was aber deine oben gemachten Angabe, die Gegenseite habe die 10.5.3.2 widerspricht (die "falschen" Einträge für Subbnetzmaske und DHCP-Server beruhen auf dem Default des Windows Tunnel-Adapters, der von einem Netz mit einer 30-Bit Maske [255.255.255.252] ausgeht. Einer eigenen IP 10.5.4.10 entspricht dann auf der Gegenseite die 10.5.4.9 und das zugehörige Netz ist 10.5.4.8 ).

Mit einem "ifconfig-pool 10.5.3.2 10.5.3.2" könntest du das beheben, oder mit dem "Weglassen" des "ifconfig-pool" und einem "ifconfig 10.5.3.2 10.5.3.1" in der Client-Konfig.

Und: Genau, diese Tunnel-IPs sollen von den anderen IP-s verschieden sein, in diesem "Netz" sollen nur die beiden Tunnelendpunkte sein, die sich gegenseitig sehen und damit sind dann Server und Client verbunden.

Jörg
 
Mit einem "ifconfig-pool 10.5.3.2 10.5.3.2" könntest du das beheben
Zum Vergrößern anklicken....
Gut, hab ich so gemacht. Neue Einstellungen sind wiefolgt:
Code: 
# OpenVPN 2.1 Config
proto udp
port 1194
dev tun
ca /tmp/flash/ca.crt
cert /tmp/flash/box.crt
key /tmp/flash/box.key
mode server
tls-server
dh /tmp/flash/dh.pem
crl-verify /tmp/flash/crl.pem
ifconfig-pool 10.5.3.2 10.5.3.2
ifconfig 10.5.3.1 10.5.3.2
route 10.5.3.0 255.255.255.0
push "route 10.5.3.0 255.255.255.0"
push "route 10.5.2.0 255.255.255.0"
push "dhcp-option DNS 10.5.2.254"
push "redirect-gateway"
max-clients 2
tun-mtu 1500
mssfix

daemon
verb 3

cipher BF-CBC
route 10.5.3.0 255.255.255.0
comp-lzo
float
keepalive 10 120
status /var/log/openvpn.log
Jetzt hab ich am Client die 10.5.3.2 mit der Subnetzmaske 255.255.255.252 und dem Gateway 10.5.3.2 (also der Client selbst)

Den Client selbst kann ich wieder vom Client aus anpingen. Aber den daneben (10.5.3.1) nicht mehr. Allerdings kann der nach wievor von der Fritzbox aus angesprochen werden - nur auch von der Fritzbox aus ist die 10.5.3.2 nicht erreichbar.

Was mach ich noch falsch? Ich hab doch jetzt die von dir genannten Fehler behoben.

Wobei ich mir jetzt überhaupt nicht mehr vorstellen kann, was ich mache, wenn ich dann den zweiten Notebook mit dazu hängen will. Denn der hat ja dann ebenfalls die 10.5.3.2 ... eigentlich kann das dann ja gar nicht mehr funktionieren, oder?

Vielen Dank übrigens für deine Geduld - ich hab noch Hoffnung, dass ich das mit deiner Hilfe früher oder später hinbekomme...
 
wiseguy-bike schrieb:
Was mach ich noch falsch? Ich hab doch jetzt die von dir genannten Fehler behoben.
Zum Vergrößern anklicken....
Habe ich jetzt erst gesehen: Beim Client fehlt noch ein "comp-lzo"

wiseguy-bike schrieb:
Wobei ich mir jetzt überhaupt nicht mehr vorstellen kann, was ich mache, wenn ich dann den zweiten Notebook mit dazu hängen will. Denn der hat ja dann ebenfalls die 10.5.3.2 ... eigentlich kann das dann ja gar nicht mehr funktionieren, oder?
Zum Vergrößern anklicken....
Ja, in der Tat, dann muss es anders werden, wenn du mehrere verschiedene Clients hast. Dann muss der größere "ifconfig-pool " reaktivert werden.

Ich muss gerade weg, schreibe gleich weiter...

Jörg
 
Beim Client fehlt noch ein "comp-lzo"
Zum Vergrößern anklicken....
Danke, DAS war der entscheidende Hinweiß. Und jetzt seh ichs auch in der Beschreibung, steht ja extra markannt direkt unter dieser Option "Muss auf Server und Client identisch sein". Ich bin davon ausgegangen, dass es jetz genauso wie bei dem static.key gehen sollte - nur da hatte ich diese Option noch nicht ausgewählt ;-)

Demnach hab ich jetzt meinen ursprünglichen Ansatz wieder aufgenommen und die Server Konfig wiefolgt zurück geändert:
Code: 
# OpenVPN 2.1 Config
proto udp
port 1194
dev tun
ca /tmp/flash/ca.crt
cert /tmp/flash/box.crt
key /tmp/flash/box.key
mode server
tls-server
dh /tmp/flash/dh.pem
crl-verify /tmp/flash/crl.pem
ifconfig-pool 10.5.2.10 10.5.2.20
ifconfig 10.5.2.1 10.5.2.2
route 10.5.2.0 255.255.255.0
push "route 10.5.2.0 255.255.255.0"
push "dhcp-option DNS 10.5.1.254"
push "redirect-gateway"
max-clients 2
tun-mtu 1500
mssfix

daemon
verb 3

cipher BF-CBC
comp-lzo
float
keepalive 10 120
status /var/log/openvpn.log

Soweit scheint das jetzt alles zu laufe - super!

Vielen Dank an dich und deine Geduld mit mir! :groesste:
 
Hallo,

Benny schrieb:
Soweit scheint das jetzt alles zu laufe - super!
Zum Vergrößern anklicken....

kannst Du evtl. jetzt nochmal deine Client-Config posten. Ich probiere seit Tagen bzw. Nächten das Gleiche aufzusetzen und bin nahezu am verzweifeln....

Ich hatte bisher 2 Netze mit Static-Key, was sehr gut lief.
Jetzt wollte ich noch weitere Netze hinzunehmen.
Zertifikate war kein Problem, aber Multiclient... :spocht:

Hast Du nur über des WebIF vom dsmod konfiguriert, oder hast du die Konfig-Datein manuell angepasst? Alle halbwegs passablen Ergebnisse hate ich aus div. HowTos, die ich jedoch nicht wirklich mit dem WebIF konfigurieren konnte.
 
Die Konfiguration im WebInterface hab ich unten angehängt.
(Das "Erlaube IP-Änderungen für entfernte Hosts" hab ich bei mir eben deaktiviert - will ich ja nicht ;-))

Hier nochmal meine Client Konfiguration:
Code: 
remote mydomain.dyndns.org
proto udp
dev tun
tls-client
comp-lzo
ns-cert-type server
pkcs12 OpenVPN_Client_1.p12
tun-mtu 1500
mssfix
nobind
pull
verb 3

IP Einstellungen der Fritzbox im LAN: 10.5.1.254 255.255.255.0
(logischer weise ist dann der LAN IP Bereich: 10.5.1.0)

mfg Benny
 

Anhänge

  • konfiguration.jpg
    konfiguration.jpg
    77.9 KB · Aufrufe: 21
sweetie-pie schrieb:
Jetzt wollte ich noch weitere Netze hinzunehmen.
...
Alle halbwegs passablen Ergebnisse hate ich aus div. HowTos, die ich jedoch nicht wirklich mit dem WebIF konfigurieren konnte.
Zum Vergrößern anklicken....

... mit der OpenVPN Version vom ds26-15.2 ist TUN-Multiclient noch (vorsichtig ausgedrückt) "ziemlich schwierig" ;-), bzw. "unmöglich", wenn du Netze hinter den Clients hast.

Schau dir doch mal die neuere Version davon an, die benötigt allerdings momentan noch eine etwas veränderte make-Datei "make\openvpn\openvpn.mk", die ich mal anhänge...


Jörg
 

Anhänge

  • openvpn.zip
    1.4 KB · Aufrufe: 6
Zuletzt bearbeitet:
mit der OpenVPN Version vom ds26-15.2 ist TUN-Multiclient noch (vorsichtig ausgedrückt) "ziemlich schwierig" , bzw. "unmöglich", wenn du Netze hinter den Clients hast.
Zum Vergrößern anklicken....
Ist (dann auch nur) damit folgendes Szenario realisierbar:
Ich habe mein LAN (1) hier hinter der FritzBox und ein entferntes LAN (2). Diese beiden LANs würde ich gern miteinander verbinden. So, dass ich sowohl mit allen Rechnern von dem entfernten LAN (2) auf alle Rechner meines LANs (1), als auch umgekehrt von meinem LAN (1) mit allen Rechnern auf die Rechner des entfernten LANs (2) zugreifen kann. Aber zusätzlich soll in meinem LAN (1) meine bisherige Konfiguration bleiben (also ich mein, ich will trotz allem nach wie vor mit meinem Notebook von entfernt in mein LAN per VPN einwählen können, so wie es jetzt ist, OHNE dass alle Rechner in dem LAN, wo sich mein Notebok dann befindet, diese VPN Verbindung mitbenutzen können).

Ich hoffe, es ist rüber gekommen, was mir vorschwebt... (wobei das erstmal nur Teil 2 meines Plans ist. Teil 3 währe dann der nächste Schritt, aber dazu später)

Außerdem noch die Frage: Mit jeder neuen VPN Verbindung, die aktuell besteht lastet sich der RAM weiter aus, richtig? Wie stark ist denn die Auslastung pro VPN Verbindung? Und ändert sich diese Auslastung nach abhängigkeit des Transferes darüber? Also die Frage ziehlt darauf ab, ob ich damit auch schon bei 3 bzw. 4 gleichzeitigen Verbindungen mit einem Absturz rechnen muss, oder ob die Fritzbox das problemlos schaffen sollte.

mfg Benny
 
MaxMuster schrieb:
die benötigt allerdings momentan noch eine etwas veränderte make-Datei "make\openvpn\openvpn.mk", die ich mal anhänge...
Zum Vergrößern anklicken....

Nur mal der Sicherheit halber:
Ich lade mir jetzt die Version 0.7 herunter und entpacke diese in packages/openvpn-lzo-2.1_rc4, dann tausche ich das Make-File unter unter make/openvpn.

Ein Verständnisproblem habe ich noch:
In meinem aktuellen Make-File steht 0.6d
In Make-File aus dem Anhang steht 0.6f
Das Paket heißt 0.7.
Auf dem Server liegen beide Pakete...

Das pass auch alles zusammen, bevor ich mir hier was zerschieße... :confused:
 
bevor ich mir hier was zerschieße...
Zum Vergrößern anklicken....
Kleiner Tip am Rande: Kopier einfach deinen ganzen ds-26-15.2 Ordner nochmal als Sicherheitskopie und probier dann aus...
 
Um antworten zu können musst du eingeloggt sein.

Zurzeit aktive Besucher

Gesamt: 632 (Mitglieder: 14, Gäste: 618)

Neueste Beiträge

Statistik des Forums

Themen
246,167
Beiträge
2,247,305
Mitglieder
373,705
Neuestes Mitglied
brunomuehl
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
Ihr E-Mail-Adresse verifizieren

Ihr E-Mail-Adresse verifizieren

Wir haben Ihnen eine E-Mail geschickt. Klicken Sie auf die Schaltfläche im E-Mail-Text, um Ihre E-Mail-Adresse zu verifizieren – (Können Sie diese nicht finden können, dann überprüfen Sie Ihren Spam-Ordner).

IPPF im Überblick

Neueste Beiträge

Direktlinks Telefonanlage

Website-Sponsoren

3CX sponsor
KONTAKTIEREN SIE UNS BEI INTERESSE
| Style by ThemeHouse
XenPorta 2 PRO © Jason Axelrod of 8WAYRUN
Oben Unten
Zurück