29.04.29 und openvpn

[MaxMuster]

Du kannst die Dateien von der "debug.cfg" erstellen lassen. Das steht im Wiki beschrieben. In Kürze:

# kopiere die jetzige Datei nach /var/tmp
cat /var/flash/debug.cfg > /var/tmp/debug.cfg

# Vorspann vor die Config zum Anlegen
echo 'cat << EOSERVER > /var/tmp/myserver.ovpn' >> /var/tmp/debug.cfg
# die Config selbst hineinbringen
cat /var/tmp/wieauchimmer.deine.config.heißt  >> /var/tmp/debug.cfg
# Nachspann hinter die Config
echo '### Ende Config ###' >> /var/tmp/debug.cfg
echo 'EOSERVER' >> /var/tmp/debug.cfg

# kopiere die neue Datei zurück nach /var/flash/debug.cfg
cat  /var/tmp/debug.cfg > /var/flash/debug.cfg

Deine Client-Config enthält aber noch immer sowohl Server-Einträge (z.B. "dh dh1024.pem" , "ifconfig-pool", diverse "push"-Befehle oder "tls-server" statt "tls-client") als auch Dinge, die außerhalb der Fritzbox nicht erforderlich sind ("dev-node /var/tmp/tun")


Jörg

 

[imaljko4]

Deine Client-Config enthält aber noch immer sowohl Server-Einträge (z.B. "dh dh1024.pem" , "ifconfig-pool", diverse "push"-Befehle oder "tls-server" statt "tls-client") als auch Dinge, die außerhalb der Fritzbox nicht erforderlich sind ("dev-node /var/tmp/tun")


Jörg

Sorry ich habe im beitrag ausversehen 2 mahl die server.ovpn angegeben, jezt habe ich es verender und der zweite code ist jezt die client.ovpn datei.

 

[imaljko4]

Hallo,
Ich habe die Client.ovpn und Server.conf dateien genau wie in der Wiki gemacht, die ovpn verbindung wird jezt erfolgreich hergestellt, aber noch immer kriege ich im log file diese fehelr meldungen:

Thu May 07 13:52:57 2009 us=982904 WARNING: 'version' is used inconsistently, local='version V4', remote='version V0 UNDEF'
Thu May 07 13:52:57 2009 us=982919 WARNING: 'dev-type' is present in local config but missing in remote config, local='dev-type tap'
Thu May 07 13:52:57 2009 us=982949 WARNING: 'link-mtu' is present in local config but missing in remote config, local='link-mtu 1590'
Thu May 07 13:52:57 2009 us=982964 WARNING: 'tun-mtu' is present in local config but missing in remote config, local='tun-mtu 1532'
Thu May 07 13:52:57 2009 us=982979 WARNING: 'proto' is present in local config but missing in remote config, local='proto UDPv4'
Thu May 07 13:52:57 2009 us=982991 WARNING: 'comp-lzo' is present in local config but missing in remote config, local='comp-lzo'
Thu May 07 13:52:57 2009 us=983009 WARNING: 'cipher' is present in local config but missing in remote config, local='cipher AES-256-CBC'
Thu May 07 13:52:57 2009 us=983023 WARNING: 'auth' is present in local config but missing in remote config, local='auth SHA1'
Thu May 07 13:52:57 2009 us=983036 WARNING: 'keysize' is present in local config but missing in remote config, local='keysize 256'
Thu May 07 13:52:57 2009 us=983093 WARNING: 'key-method' is present in local config but missing in remote config, local='key-method 2'
Thu May 07 13:52:57 2009 us=983111 WARNING: 'tls-server' is present in local config but missing in remote config, local='tls-server'
Thu May 07 13:52:57 2009 us=983292 Data Channel Encrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
Thu May 07 13:52:57 2009 us=983310 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Thu May 07 13:52:57 2009 us=983323 Data Channel Decrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
Thu May 07 13:52:57 2009 us=983335 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Thu May 07 13:52:57 2009 us=983580 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA

Noch eine Frage: Muss ich diese files
ca.crt
fritzbox.crt
dh1024.pem
auch auf meinen webserver nachladen, und einstellen dass die FB die dan herunerladet beim start?

Die server.conf und die secret.key kann ich in die debug.cfg einsreben oder?

Danke für die hilfe

 

[bus_bauen]

Hallo

ich habe folgendes Problem: Ich habe bei Cyberghost nen Account und versuche den in freetz zu konfigurieren.
Kann mir da jemand weiterhelfen: https://board.cyberghostvpn.com/cyb...berghost5-mit-openvpn-in-freetz-konfigurieren ?

Liegt das an verschiedenen Versionen von open VPN? Kann ich einfach das normale openVPN-binary auf die Box spielen? Kann man die 3 Befehle einfach syntaktisch umschreiben?

Danke

Meine config

client
remote de.openvpn.cyberghostvpn.com 9081
dev tun 
proto udp
auth-user-pass

dhcp-renew 
dhcp-release

resolv-retry infinite 
redirect-gateway def1
persist-key
persist-tun
nobind
cipher AES-256-CBC
auth MD5
ping 5
ping-exit 60
ping-timer-rem
explicit-exit-notify 2
script-security 2
remote-cert-tls server
route-delay 5
tun-mtu 1500 
fragment 1300
mssfix
verb 4
comp-lzo

 

[MaxMuster]

Auch/gerade wenn du neu im Forum bist, neben dem "Willkommen" ein paar Bitten/Anregungen:

Ich glaube kaum, dass du wirklich noch eine 7170 mit der Firmware-Version 29.04.29 hast?!? Dann wäre das der falsche Thread.

Bitte beschreibe auch hier dein Problem "komplett", es ist nicht nett, wenn man sich die Informationen "zusammensuchen" muss (nämlich dass nach dem Start des VPN die Geräte an der FB nicht mehr ins Internet kommen) ;-)

Das Verhalten ist vollkommen korrekt, denn nach dem Start des VPNs ist die Box mit dem VPN verbunden. Und es ist nur die Box damit verbunden und auch nur die Box kann durch das VPN ins Internet. Alle an der FB angeschlossenen PCs gehen zwar auch durch den VPN-Tunnel, aber der VPN-Server des Anbieters hat nur die FB verbunden. Er weiß nichts von irgendwelchen Netzen "hinter" der FB und kann/wird deshalb alle Anfragen von dort verwerfen. Solange der VPN-Anbieter nicht dein Heim-Netz routet (und das wird er nicht tun), kann nur die FB das VPN nutzen.

Kurz gesagt: Wenn du das LAN nicht hinter der VPN-IP-Adresse der FB versteckst (NAT per iptables) geht das nicht. Und iptables geht in dieser Form nur mit "älteren" Firmwares (keine xx.05.yy).

Es gibt aber gefühlt bereits 100 Beiträge zum Thema "FB mit VPN-Anbietern nutzen", suche dir einen oder mehrere raus und lies dort Details nach.

 

[bus_bauen]

okay danke - muss mal schauen ob es da n paket in freetz gibt. habe die 7330

 

[MaxMuster]

Das sieht aus der Erinnerung schlecht aus. Oder gibt es für die 7330 ein Firmware mit 04 in der Mitte (107.04.xx)? Ohne die kann auf den Boxen kein NAT mit iptables gemacht werden.

 

[bus_bauen]

ich weiß nicht. habe nichts gefunden

EDIT: Es wundert mich halt, dass Freetz die Möglichkeit gibt nen vpnclient einzurichten, den man dann aber nicht gleich nutzen kann...Ist doch eig. normal, dass die Clients dahinter den VPN nutzen wollen..

Funktioniert das mit nem open-wrt router?
btw: ich hab mei meinem freetz nen usb stick mit eingebunden. Kann ich den nicht dafür nutzen?

 

[MaxMuster]

Du kannst doch den VPN-Client nutzen?!? Die Box selbst ist aber der Client und alles andere wird eben, wie im Netzwerk üblich, per Routing gemacht. Das ist auch, wie schon oben geschrieben, bei einer "normalen" Konfiguration von Server und Client ohne Probleme möglich. Der Server hat für Netze beim Client einen Eintrag in seiner Konfiguration und schickt dann alle Pakete zu deinem LAN zu deinem VPN-Client.
Du willst/musst ja einen Spezialfall nutzen, und willst dem VPN-Server "verheimlichen", dass du ein ganzes Netz hinter einem Client versteckt hast. Das "Verstecken" ist aber durch Änderungen von AVM in der Firmware nicht mehr immer möglich.

Vermutlich wird es mit einem OpenWRT-Router funktionieren, dabei hat man ja nicht wie bei Freetz die Einschränkung, zur Nutzung der AVM-Dienste auf deren Kernel angewiesen zu sein.

Was soll/kann der USB-Stick damit zu tun haben? Das ist mir nicht ganz klar.

 

[bus_bauen]

ich nutze bislang nen vorgefertigtes freetz image. Wenn ich mir selber eins baue mit openVPN + iptables; Wäre das dann realisierbar?

 

[MaxMuster]

Nur, wenn du eine Firmware XX.04.YY hättest, und ich kenne keine solche Firmware. Im Freetz sind auch nur XX.05.-er Firmwares. Und mit den 05-er Firmware Versionen funktioniert das NATten mit iptables nicht mehr.

 

[bus_bauen]

Bin am überlegen an meine Fritzbox nen billigen openWrt-Router dranzuhängen. Und dann openVPN zu konfigurieren. Sollte gehen oder?

 

[MaxMuster]

Sollte gehen. Wichtig ist dann, das das Gerät, was das OpenVPN aufbaut, auch "Default-Gateway" in dem Netz ist.

 

[bus_bauen]

Das ist wiederrum nicht so schön. Da ich meine Fritzbox nicht "nur als Router" nutzen kann. soweit ich weiß. auserdem würde halt über die 20 euro kiste dann alles laufen...hm

 

[MaxMuster]

Naja, wenn das OpenVPN quasi dein "Internetzugang durchs VPN" sein soll, müssen es auch alle nutzen. Und dafür nutzt man das Default-Gateway.

 

[bus_bauen]

Es müssen nicht alle durchs VPN - Receiver reicht mir eig.

 

[MaxMuster]

Dann muss der Receiver so eingestellt sein, dass er durch den "VPN-Router" ins Internet geht. Als Default-Gateway des Receivers muss der Router eingestellt sein, der als OpenVPN-Client arbeitet.