Config Hilfe für OpenVPN Client mit User/Password

Sidebar Sidebar
Upgrade 3CX to v18 and get it hosted free!
Schade, Schade auf der Zielgerade nochmal gescheitert :mad:

Code: 
Mon Jul 26 20:16:23 2010 [127.0.0.1] Peer Connection Initiated with [AF_INET]87.173.146.219:1194
Mon Jul 26 20:16:25 2010 TUN/TAP device tap0 opened
Mon Jul 26 20:16:25 2010 /sbin/ifconfig tap0 192.168.0.155 netmask 255.255.255.0 mtu 1500 broadcast 192.168.0.255
Mon Jul 26 20:16:25 2010 /tmp/openvpn/up-script tap0 1500 1574 192.168.0.155 255.255.255.0 init
Mon Jul 26 20:16:25 2010 openvpn_execve: external program may not be called unless '--script-security 2' or higher is enabled.  Use '--script-security 3 system' for backward compatibility with 2.1_rc8 and earlier.  See --help text or man page for detailed info.
Mon Jul 26 20:16:25 2010 script failed: external program fork failed
Mon Jul 26 20:16:25 2010 Exiting
 
Roadmap123 schrieb:
... external program may not be called unless '--script-security 2' or higher is enabled....
Zum Vergrößern anklicken....
Glücksfrage: Was könnte in der Config noch fehlen? Komm schon, etwas darfst du auch selbst "mitdenken" ;-)

Jörg
 
Aufgegeben? Erfolgreich hinbekommen?? Keine Rückmeldung find ich "blöd" ;-)
 
Jein :D Sorry für "noch" keine Rückmeldung, aber ich bin noch dran. Ich habe zur Zeit das Netzwerk am VPN Server gepusht, was aber keine Dauerlösung ist, da auch andere VPN Clients connecten bei denen das momentan auch mein Netzwerk gepusht wird :rolleyes: Ich will deine Lösung also noch unbedingt umsetzen und melde mich dann nochmal!
 
Guten Abend. Habe vor einigen Tagen erfolgreich mein W920 erneut mit einer avm Firmware versehen, diesmal aber mit OpenVPN. Benutze zur Zeit an meinem PC OpenVPN mit folgender Config. Darüber hinaus wird ein Username/Password abgefragt und ein entsprechendes ca xxx.crt File erhalten.

Meine Config für den PC sieht zur Zeit wie folgt aus.

Code: 
client
dev tun
auth-user-pass
proto udp
remote xxx.xxxxx.xx 1194
resolv-retry infinite
nobind
persist-key
persist-tun
comp-lzo
ca xxxx.crt
verb 3

Meine folgenden Configs habe ich folgt vorgefunden.

in /mod/etc/ liegt die openvpn.conf (diese überschreibt sich nach jeder Änderung im WebGui aber leider auch mit entsprechendem "echo 2 > /tmp/flash/security"
in /tmp/flash/ lag nichts betreffend openvpn ausser einer *.diff Datei
in /tmp/flash/openvpn lag auch nichts, dort habe ich meine ca *.crt File vom Anbieter abgelegt

Hier meine openvpn.conf

Code: 
#  OpenVPN 2.1 Config, Sun Jan  6 20:36:48 CET 2013
proto udp
dev tun
ca /tmp/flash/openvpn/ca.crt
#cert /tmp/flash/openvpn/box.crt
#key /tmp/flash/openvpn/box.key
tls-client
ns-cert-type server
remote xxxxx.xxx.xx 1194
nobind
route 192.168.200.1 255.255.255.0
ifconfig 192.168.200.1 192.168.200.2
tun-mtu 1500
mssfix
verb 3
daemon
cipher AES-256-CBC
comp-lzo
keepalive 10 120
resolv-retry infinite
chroot /tmp/openvpn
user openvpn
group openvpn
persist-tun
persist-key
auth-user-pass /tmp/flash/openvpn/passfile

- Leider überschreibt sich anscheinend immer diese Config.File, und fordert anschliessen von mir eine box.crt und box.key
- Habe ich das so verstanden, dass ich die "openvpn_conf" aus dem Ordner "/mod/etc/default.openvpn" nach deinen Vorgaben entsprechend komplett abändern soll? Damit würde über das WebGui in OpenVPN nichts mehr geändert werden?

Der Fehler Log sieht so aus, da ja mein File überschrieben wird.

Code: 
Jan  6 20:36:20 fritz authpriv.info dropbear[17811]: Child connection from ::ffff:192.xxx.xxx.xxx:55432
Jan  6 20:36:28 fritz authpriv.notice dropbear[17811]: Password auth succeeded for 'root' from ::ffff:192.xxxx.xxxx.xxx:55432
Jan  6 20:36:48 fritz daemon.notice openvpn[17888]: OpenVPN 2.1.4 mipsel-linux [SSL] [LZO2] [EPOLL] [MH] [PF_INET6] built on Jan  4 2013
Jan  6 20:36:48 fritz daemon.warn openvpn[17888]: NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Jan  6 20:36:48 fritz daemon.err openvpn[17888]: Cannot load certificate file /tmp/flash/openvpn/box.crt: error:02001002:lib(2):func(1):reason(2): error:20074002:lib(32):func(116):reason(2): error:140AD002:lib(20):func(173):reason(2)
Jan  6 20:36:48 fritz daemon.notice openvpn[17888]: Exiting

Ich danke Dir/Euch schon mal im voraus für die Hilfe.
 
Ich bin heute Morgen einen großen Schritt weitergekommen. Nun fehlt es wohl an den IPtables, die ich nun noch nachfügen und das neue kernel.img auf die Box laden werden.

Nach aktuellen Stand werde ich mit dem Server verbunden :) Führe den Start des Server nicht über die WebGui aus sondern direkt über die Shell.

own_openvpn.conf

Code: 
client
dev tun
#auth-user-pass
tls-client
ns-cert-type server
proto udp
remote mein.server.com 1194
resolv-retry infinite
nobind
persist-key
persist-tun
comp-lzo
ca /tmp/flash/ca.crt
auth-user-pass /tmp/flash/openvpn/passfile
route 192.168.80.1 255.255.255.0
redirect-gateway
ifconfig 192.168.180.1 192.168.180.2
verb 3

Hier der Log Auszug (mit den oben angegeben IPs)

Code: 
Mon Jan  7 10:24:01 2013 OpenVPN 2.1.4 mipsel-linux [SSL] [LZO2] [EPOLL] [MH] [PF_INET6] built on Jan  4 2013
Mon Jan  7 10:24:01 2013 WARNING: file '/tmp/flash/openvpn/passfile' is group or others accessible
Mon Jan  7 10:24:01 2013 WARNING: using --pull/--client and --ifconfig together is probably not what you want
Mon Jan  7 10:24:01 2013 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Mon Jan  7 10:24:01 2013 LZO compression initialized
Mon Jan  7 10:24:01 2013 Control Channel MTU parms [ L:1542 D:138 EF:38 EB:0 ET:0 EL:0 ]
Mon Jan  7 10:24:01 2013 Socket Buffers: R=[108544->131072] S=[108544->131072]
Mon Jan  7 10:24:01 2013 Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:0 EL:0 AF:3/1 ]
Mon Jan  7 10:24:01 2013 UDPv4 link local: [undef]
Mon Jan  7 10:24:01 2013 UDPv4 link remote: [AF_INET]xx.xx.xx.xx.xx
Mon Jan  7 10:24:01 2013 TLS: Initial packet from [AF_INET]xx.xx.xx.xx.xx, sid=4512e864 d7
Mon Jan  7 10:24:01 2013 WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
Mon Jan  7 10:24:02 2013 VERIFY OK: depth=1, /C=NV/ST=NV/L=/O=/CN=_CA/emailAddress=
Mon Jan  7 10:24:02 2013 VERIFY OK: nsCertType=SERVER
Mon Jan  7 10:24:02 2013 VERIFY OK: depth=0, /C=NV/ST=NV/L=/O=/CN=server/emailAddress=
Mon Jan  7 10:24:02 2013 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Mon Jan  7 10:24:02 2013 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Mon Jan  7 10:24:02 2013 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Mon Jan  7 10:24:02 2013 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Mon Jan  7 10:24:02 2013 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
Mon Jan  7 10:24:02 2013 [server] Peer Connection Initiated with [AF_INET]xx.xx.xx.xx.xx
Mon Jan  7 10:24:04 2013 SENT CONTROL [server]: 'PUSH_REQUEST' (status=1)
Mon Jan  7 10:24:04 2013 PUSH: Received control message: 'PUSH_REPLY,redirect-gateway def1,dhcp-option DNS xx.xx.xx.xx.xx 9,dhcp-option DNS xx.xx.xx.xx.xx ,route xx.xx.xx.xx.xx,topology net30,ping 10,ping-restart 120,ifconfig xx.xx.xx.xx.xx  xx.xx.xx.xx.xx'
Mon Jan  7 10:24:04 2013 OPTIONS IMPORT: timers and/or timeouts modified
Mon Jan  7 10:24:04 2013 OPTIONS IMPORT: --ifconfig/up options modified
Mon Jan  7 10:24:04 2013 OPTIONS IMPORT: route options modified
Mon Jan  7 10:24:04 2013 OPTIONS IMPORT: --ip-win32 and/or --dhcp-option options modified
Mon Jan  7 10:24:04 2013 TUN/TAP device tun0 opened
Mon Jan  7 10:24:04 2013 TUN/TAP TX queue length set to 100
Mon Jan  7 10:24:04 2013 /sbin/ifconfig tun0 xx.xx.xx.xx.xx pointopoint xx.xx.xx.xx.xx mtu 1500
Mon Jan  7 10:24:04 2013 NOTE: unable to redirect default gateway -- Cannot read current default gateway from system
Mon Jan  7 10:24:04 2013 /sbin/route add -net 192.168.180.1 netmask 255.255.255.0 gw xx.xx.xx.xx.xx
route: netmask and route address conflict
Mon Jan  7 10:24:04 2013 ERROR: Linux route add command failed: external program exited with error status: 1
Mon Jan  7 10:24:04 2013 /sbin/route add -net xx.xx.xx.xx.xx netmask 255.255.255.255 gw xx.xx.xx.xx.xx
Mon Jan  7 10:24:04 2013 Initialization Sequence Completed

Ehrlich gesagt, bei Route/ifconfig/redirect-gateway bin ich zur Zeit ein wenig ratlos :) Was die Werte betrifft. Aber ich denke ich bin auf dem richtigen Weg, oder?
 
Zuletzt bearbeitet:
Ja, du bist auf dem richtigen Weg. Durch die Art, wie AVM das Default-Gateway setzt, kann openvpn in dieser Version das nicht auslesen (das neue 2.3-er müsste das können).
Da gibt es einige Work-Arounds zu, suche mal nach redirect-gateway...
 
Habe mir etliche Seiten bezüglich redirect-gateway (def1) durchgelesen, leider will es bei mir einfach nicht funktionieren. Ich erhalte von meinem vpn Anbieter immer die selbe IP zugewiesen

Meine zugewiesene virtuelle IP am PC per OpenVPN Client --> 10.xxx.xxx.52
Die virtuelle IP DHCP Server VPN Anbieter --> 10.xxx.xx.51

Habe hier deinen Hinweis beachtet. a) Gehe ich richtig davon aus hier (dns.name.des.Servers) die IP Adresse einzugeben, mit der ich mich später im Internet bewegen werde? hmm

Code: 
route add dns.name.des.Servers dev dsl
route add -net 0.0.0.0/1 dev tun0
route add -net 128.0.0.0/1 dev tun0

Folgenden Befehl in iptables eingeben liefert im WebGui die Hinweismeldung "loading table list ... iptables-restore: line 15 failed"

Code: 
iptables -t nat -A POSTROUTING -o tun0 -j MASQUERADE

Den Befehl (auch mit Variante def1) habe ich mit o.g Befehlen ebenfalls probiert. Auch hier kein Erfolg, leider.

Code: 
redirect-gateway

Über jeden Hinweis wäre ich dankbar.




Ich weiß nur nicht, wie ich die ganzen Daten in der FritzBox unterbringen soll. Am Win Clienten läuft natürlich alles bestens :)
 
3-ranger schrieb:
Gehe ich richtig davon aus hier (dns.name.des.Servers) die IP Adresse einzugeben, mit der ich mich später im Internet bewegen werde? hmm
Zum Vergrößern anklicken....
Jau, so sollte es sein. Wenn du das oben genannte in ein "up-script" schreibst, was bei jedem Start ausgeführt wird, solltest du ohne "redirect-gateway" auskommen (denn die drei Route machen genau das gleiche).
3-ranger schrieb:
Folgenden Befehl in iptables eingeben liefert im WebGui die Hinweismeldung "loading table list ... iptables-restore: line 15 failed"
Zum Vergrößern anklicken....
Wo eingegeben? Console oder im "Rules" Fenster? Im letzeren müssen die Befehle nach meiner Erinnerung ohne das führende "iptables" rein, also so in der Art
Code: 
-t nat -A POSTROUTING -o tun0 -j MASQUERADE
 
Danke Jörg für die ganze Mühe.
[OT]
Um das ganze noch komplizierter zu machen habe ich mir einen günstigen, fast neuen, Netgear wndr3700v2 zugelegt und der wird heute mit dd-wrt ausgestattet. Darauf kommt dann später der VPN Client. Die vorgeschaltete Fritz.Box kann ihre CPU Leistung für VoIP und IPTV begrenzen, muss sich dann nicht um VPN Entschlüsselung kümmern, 2 Subnetze (FritzBox + Netgear) sollten einfacher für mich einzurichten sein.
[/OT]
 
Um antworten zu können musst du eingeloggt sein.

Zurzeit aktive Besucher

Gesamt: 750 (Mitglieder: 26, Gäste: 724)

Neueste Beiträge

Statistik des Forums

Themen
246,193
Beiträge
2,247,791
Mitglieder
373,748
Neuestes Mitglied
fanti88
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
Ihr E-Mail-Adresse verifizieren

Ihr E-Mail-Adresse verifizieren

Wir haben Ihnen eine E-Mail geschickt. Klicken Sie auf die Schaltfläche im E-Mail-Text, um Ihre E-Mail-Adresse zu verifizieren – (Können Sie diese nicht finden können, dann überprüfen Sie Ihren Spam-Ordner).

IPPF im Überblick

Neueste Beiträge

Direktlinks Telefonanlage

Website-Sponsoren

3CX sponsor
KONTAKTIEREN SIE UNS BEI INTERESSE
| Style by ThemeHouse
XenPorta 2 PRO © Jason Axelrod of 8WAYRUN
Oben Unten
Zurück