OpenVPN-Paket

lord-of-linux · 23 Apr 2006

Hallöchen.

Ich habe nun ein OpenVPN-Paket erstellt. Die erste Beta des Packets basierte auf OpenVPN 2.0.6. Die aktuelle Version nutzt OpenVPN 2.1 Beta 14.
Inzwischen ist eine neute Beta von knox verfügbar. Diese basiert auf OpenVPN 2.1_rc1 und das Paket ermöglicht nun verschiedene Neuerungen. Hier der Link zu dem Download: http://www.ip-phone-forum.de/showthread.php?p=770747#172

Hinweis:
Das übliche: Ich übernehme keine Garantie für Probleme mit dem Paket.
Es wurde getestet und hat bei mir funktioniert. Ich denke und hoffe, das es nicht nur bei mir funktioniert.

Mit [BETA] markierte Einträge sind ab der neuesten Version von knox (siehe oben) verfügbar.

Bisher eignet sich das Webinterface zum Aufsetzen folgender Verbindungen:

Box zu Box
Client zu Box
Multiclient zu Box [BETA]
Box zu Server

Bisher ist die Verschlüsselung nur mit static.key möglich, Zertifikate folgen.

Hier mal die bisherigen Möglichkeiten des Webinterfaces:

Bearbeiten der static.key
Auswahl: "OpenVPN als Client oder als Server nutzen"
Definieren von IP-Routung
Wahl zwischen TCP und UDP-Übertragung
und noch ein paar Sachen mehr.

Zertifikate [BETA]
Multi-Client [BETA]
TAP / TUN (Bridging / Tunneling) [BETA]

Was einstellbar ist, das ist in den Angehängten Screenshots sichtbar.

Installation

Da openvpn in zwischen im menuconfig auswählbar ist, ist die Installation unproblematisch.

Todo

Ja, es gibt noch einiges zu tun. Dies ist ja erst die erste Beta.
Vorschläge und Wunsche könnt ihr gerne äußern.

Was ich bisher als nächstes in Angriff nehmen möchte:

Zertifikate
Multi-Client-Server
Auswahl zwischen Routing oder Bridging

Vorschläge für die Todoliste sind gerne gesehen.

Was ich für die Zukunft geplant habe

Gehört zwar auch mehr oder weniger zu Todo, bekommt aber hier halt seinen Extra Bereich.

Ich habe viel geplant. Zur Zeit warte ich allerdings die Entwicklung von ipkg und mini_fo (siehe http://www.ip-phone-forum.de/showthread.php?t=102000) ab.

Geplant habe ich folgendes:

Zertifikate / Static-Key Auswahl [Ist in meiner Entwicklungsversion schon möglich] [BETA]
Zertifikatsverwaltung [Daran arbeite ich gerade]
Multiclient-Möglichkeit [Wird im zusammenhang mit Zertifikaten möglich werden] [BETA]
TUN / TAP auswahl [BETA]
Routing-/Bridging-Einstellung verfeinern [BETA]
Und bestimmt noch einiges mehr

Mal schauen, wie es weitergeht.

Bekannte Bugs

Hier mal eine Liste bekannter Bugs:

OpenVPN läuft Amok und müllt den Arbeitsspeicher zu [in arbeit]
Dieser Bug ist bei mir noch nicht aufgetreten, weshalb ich auch nichts genaues weiß
Ist dies schon mal jemandem passiert?
Ich gehe davon aus, dass das Problem mit der aktuellen OpenSSL-Lib nicht mehr besteht.
Das Routing funktioniert Anfangs, bei dauerhaften Verbinungen kann es aber zu Routingproblemen kommen.
Bisher keine Beserung! Problem besteht weiter.

Also dann:
Viel Spaß

heini66 · 23 Apr 2006

boah

thxs!

danisahne · 23 Apr 2006

Das OpenVPN Paket hat lord-of-linux freundlicherweise übernommen und ist im gegenseitigen Dialog konzipiert worden. Es wird in der nächsten Version des ds-mod in ca einer Woche integriert sein. Danke für die Arbeit!

lord-of-linux · 23 Apr 2006

danisahne schrieb:
Das OpenVPN Paket hat lord-of-linux freundlicherweise übernommen und ist im gegenseitigen Dialog konzipiert worden. Es wird in der nächsten Version des ds-mod in ca einer Woche integriert sein. Danke für die Arbeit!

Danke auch dir für die Hilfe und für das nette Webframework des Modds. Nun verstehe ich aber den Mod (insbesondere das Webinterface) ziemlich gut. So kann ich in Zukunft auch einfacher einen Mod basteln. (Ich arbeite ja noch an transmission)

Novize · 24 Apr 2006

Vielen Dank auch von mir für diese Arbeit.
Aufgrund der immer wiederkehrenden Fragen zu diesem Thema von mir gerne ein "Wichtig" dazu 8)

dl9ekd · 24 Apr 2006

Hi,
klasse dass sich jemand dem ding angenommen hat ...
das todo hört sich auch gut an ...
was mir noch fehlt ist die auswahl routing oder bridging ... damit würde es perfekt werden.
hab das openvpn hier im mom im bridge-mode laufen, und so soll es auch bei mir sein. hatte mir das alte startscript, welches hier mal von dksoft glaub ich war, etwas umgebaut. allerdings nichts an der oberfläche verändert.
kann auch gerne helfen beim testen oder wenn es sonst ne schwierigkeit gibt, was halt im rahmen des mir möglichen ist.
jetzt ist aber erstmal pennen im rahmen des möglichen

gute nacht
mfg daniel

lord-of-linux · 24 Apr 2006

edit Rocky512
Vollzitat von Beitrag #6 enfernt
_______________

@dl9ekd: Kennst du dich gut mit dem Routing/Bridging aus?
Ich kenne den genauen unterschied nicht und habe auch die Beschreibungen nicht 100%ig verstanden. Bisher habe ich halt nur das Routing, da es einfach läuft. Werde das auf alle Fälle in die Todo schreiben.
Am einfachsten kannst mir helfen, wenn du mir kurz ne PN mit dem Routing/Bridging Unterschied und dem Einrichten des Brdigings (kurz zusammengefasst) schickst.

@Novize: Das ist spitze.

dl9ekd · 24 Apr 2006

ok, hast pn ...
bridging soll etwas weniger performant sein, hab aber keine probleme damit ...

sterkel · 27 Apr 2006

OpenVPN-Verständnisfrage Box-->Server-->VoIP

Hallo,

kann man die Box dazu bringen, eine SIP/VoIP-Verbindung durch den VPN-Tunnel zu orgeln?
Also, der HomeOfficebenutzer soll über die Box einen Account auf einem Asterisk-Server in der Firma haben und mit seinem PC über VPN der Box im Firmennetz sein. Und eben auch das Telefon dadrüber.

Danke!

lord-of-linux · 27 Apr 2006

sterkel schrieb:
kann man die Box dazu bringen, eine SIP/VoIP-Verbindung durch den VPN-Tunnel zu orgeln?

Normal ist das gar kein Problem. Wenn OpenVPN angewiesen wird, die IP des Servers oder den IP-Adressebreich, in dem sich der Server befindet, zu tunneln, dann geht auch VoIP automatisch dadurch.

sterkel schrieb:
Also, der HomeOfficebenutzer soll über die Box einen Account auf einem Asterisk-Server in der Firma haben und mit seinem PC über VPN der Box im Firmennetz sein. Und eben auch das Telefon dadrüber.

Wenn du im Firmennetz einen Rechner mit einem OpenVPN-Server/-Client hast, dann ist das kein Problem.

lord-of-linux · 2 Mai 2006

Hallo Leute,

ich werde mit der Zertifikats-Änderung und anderen Features noch ein paar Tage warten. Dafür gibt es folgende Gründe:

Ich will warten, wie es mit ipkg und mini_fo aussieht: http://www.ip-phone-forum.de/showthread.php?t=102000
Ich habe jetzt Prüfungen

Wenn es neues gibt, dann melde ich mich aber wieder.

glonn · 8 Mai 2006

Ich habe ein paar Probleme mit dem Openvpn Paket bezüglich des Routings. Und zwar habe ich Subnetz A (Serverseite, tun ip 10.0.0.1): 192.168.10.0 und Subnetz B (Clientseite, Winclient, tun ip 10.0.0.2) und zwar muss ich hierbei feststellen das ich von der server box aus alle clients im 192.168.2.0er Subnetz erreiche jedoch bekomme ich dieses nicht bis auf die clients zu routen die an der Box dranhängen. Habe ich die Fritzbox als default gateway eingetragen so kann ich zwar auf die 10.0.0.1 pingen jedoch kann ich nicht auf die 10.0.0.2 pingen trotz aktiver verbindung. Muss ich hierzu vlt. noch etwas in den iptables ändern?
Vielleicht geht das ganze dann schon in Richtung Postrouting was ich benötige. Könnte mir jemand dabei weiter helfen? Ich steh damit im Moment sehr auf den Schlauch. Das Problem stellt dabei wohl die Point to Point verbindung des Open VPNs dar, da nur die eine Stelle erreichbar ist und die andere nicht. Wäre es denn denkbar das sich das Problem mit tap Devices leichter lösen lassen könnte?

lord-of-linux · 8 Mai 2006

glonn schrieb:
Wäre es denn denkbar das sich das Problem mit tap Devices leichter lösen lassen könnte?

Poste uns doch zuerst mal die Server-Config (Screenshot?) und die Config der WinClients.

hermann72pb · 8 Mai 2006

OpenVPN und 7050

Soweit ich es überblicke, ist es kaum möglich, OpenVPN in 7050 ins Flash zu kompilieren. Ich benutze bei mir immer noch die altbewerte Lösung mit downloaden der Bin-Datei vom Server. Die Einrichtung nach dieser Methode (noch von Mod4.28-Zeiten) ist jedoch relativ kompliziert, vor allem die Schlüssel, die in debug.cfg mit "echo" geschrieben werden müssen. Es wäre nicht schlecht, wenn man
1. OpenVPN auch so in ds-mod implementieren könnte, dass die bin-datei nicht einkompliliert sondern runtergeladen wird (übrigens wäre generell auch eine Option für andere Packete).
2. Selbst wenn das Downloaden in den Webeinstellungen noch nicht implementiert ist, zumindest das vorhandene Web-Interface zu nutzen um die Schlüssel und andere Parameter einzugeben.

Wenn jemand schon jetzt eine Lösung parat hat, würde gerne ausprobieren.

dl9ekd · 9 Mai 2006

hi
http://www.ip-phone-forum.de/showpost.php?p=574563&postcount=14
evtl. ist dass das was du suchst?
also ich komm damit immernoch gut klar.
config kannste natürlich auch für die gute alte routing-regel lassen, dann brauchst du in dem vorabpacket auch nix umzubauen...

mfg daniel

glonn · 9 Mai 2006

So hier wären dann mal meine configs:

Server:

dev-type tun
dev-node /dev/misc/net/tun

daemon
verb 4

proto tcp-server
port 1194
ifconfig 10.0.0.1 10.0.0.2

tun-mtu 1500
mssfix

secret /tmp/flash/static.key

float
route 192.168.2.0 255.255.255.0
push "route 192.168.10.0 255.255.255.0"
ping 15
ping-restart 120
push "ping 15"
push "ping-restart 120"

(Win)client:

dev tun
ifconfig 10.0.0.2 10.0.0.1
dev-node vpn1
proto tcp-client
remote xxx.xxx.xxx.xxx 1194
persist-key
secret c:\\Programme\\OpenVPN\\config\\client.key

verb 3

route 192.168.10.0 255.255.255.0
push "route 192.168.2.0 255.255.255.0"
mute 20

Der Client läuft auf windows XP und es sei dazugesagt die Firewall ist deaktiviert. Der WinXp client hat mit dieser Config vollen Zugriff in das
Servernetz (Fritzbox) jedoch gibt es umgedreht schwierigkeiten und zwar haben die lanclients der fritzbox keinen zugriff auf das andere Netz des Clients bzw. auf den client selbst. Man kommt zwar von den lan clients aus mit pings bis auf das vpn interface der fritzbox jedoch nicht auf das des Vpn clienten. Irgendwie scheint es so als die fritzbox diese anfragen aus noch ungeklärter Ursache abwehrt.

glonn · 9 Mai 2006

Mein Problem mit OpenVPN hat sich geklärt es lag an der Kerio Firewall die unterschätzt wurde auf client Seite

hermann72pb · 19 Mai 2006

proto: TCP

Hi lord-of-linux,

hab gestern auf einem 7170 mit ds2.0.6 OpenVPN als Server zum starten gebracht (vorkompiliert integriert). Jetzt kann ich vom Windows als Client mich nicht drauf verbinden (was mir auch völlig klar ist). Die Untersuchung der Konfiguration zeigte, dass MTU und andere Parameter bei mir und auf der Box total anders lagen. Ok, auf der Client-Seite angepasst. Den Wunder hatte ich erlebt, als ich proto: tcp-server sah.

1. Gibt es bestimmte Gründe TCP zu verwenden? Auf den OpenVPN-Seiten im Netz wird es als reine Notlösung angesehen und es wird dringend davon abgeraten.
2. Wie kann man eigentlich openvpn.conf auf der Box editieren? Ich hatte die datei dort irgendwo gefunden (glaube mod/etc oder so), mit mc editiert, danach openvpn-dienst per ds-mod-web-interface gestartet. Und... alle Änderungen waren weg. Vermutlich war's kein flash, sondern ram. Danach habe ich dort paar Skripte gesehen die irgendwas gerade mit proto-parameter machen und irgendwo schreiben. Allerdings wird dort UDP gar nicht behandelt!

Bitte paar Hinweise und comments dazu geben oder (wenn ich so blöd bin und alles bereits beschrieben wurde) links geben.

lord-of-linux · 19 Mai 2006

hermann72pb schrieb:
1. Gibt es bestimmte Gründe TCP zu verwenden? Auf den OpenVPN-Seiten im Netz wird es als reine Notlösung angesehen und es wird dringend davon abgeraten.

TCP scheint auf der Box probleme zu machen. Werde es, wenn ich Zeit habe testen. Im Forum habe ich jedenfalls von den Problemen gelesen und dann einfach die tecchannel-Konfiguration als Grundlage verwendet.

hermann72pb schrieb:
2. Wie kann man eigentlich openvpn.conf auf der Box editieren? Ich hatte die datei dort irgendwo gefunden (glaube mod/etc oder so), mit mc editiert, danach openvpn-dienst per ds-mod-web-interface gestartet. Und... alle Änderungen waren weg. Vermutlich war's kein flash, sondern ram. Danach habe ich dort paar Skripte gesehen die irgendwas gerade mit proto-parameter machen und irgendwo schreiben. Allerdings wird dort UDP gar nicht behandelt!

Das ist ein bisschen kompliziert. Dazu müsstest du die Skripte ändern, da der Mod so funktioniert, dass er die Konfiguration erst beim rc.openvpn aufruf startet.

hermann72pb schrieb:
Bitte paar Hinweise und comments dazu geben oder (wenn ich so blöd bin und alles bereits beschrieben wurde) links geben.

Ist kein Problem. Freue mich über jeden Hinweis.

Bitte beachte, dass dieses Paket erst die erste Version ist. Vor der Weiterarbeit werde ich mich allerdings mit danisahne in Verbindung setzen. Falls es bald mini_fo (http://www.ip-phone-forum.de/showthread.php?t=102000) geben sollte, dann wird sich wohl einiges ändern. Dass will ich vor dem Weiterarbeiten abwarten.

hermann72pb · 19 Mai 2006

du meinst UDP scheint probleme zu machen, deswegen verwendest du TCP?

Bei mir läuft als UDP auf 7050 mit ds-0.2.6 allerdings nach der alten Methode mit download (ins Flash passt es eher nicht rein, deswegen wird dein Paket leider beim kompilieren für 7050 deaktiviert). Mag sein, dass mein binary etwas anders ist, als deins, deswegen tut es auch mit UDP.

Zu den skripten. Warum erzeugst du die config-datei mit den Skripten? Warum kann man die openvpn.conf Datei nicht einfach ins Flash schreiben? Vorausgesetzt, die ist schlank. Und dann im ds-mod-web-interface ähnlich, wie für keys eine Maske machen? Passt doch locker rein?

OpenVPN-Paket

Mitglied

Anhänge

Gesperrt

Aktives Mitglied

Mitglied

Moderator

Neuer User

Mitglied

Neuer User

Mitglied

Mitglied

Mitglied

Neuer User

Mitglied

IPPF-Promi

Neuer User

Neuer User

Neuer User

IPPF-Promi

Mitglied

IPPF-Promi

Statistik des Forums