FB OpenVPN Server - Rechner Client mit Static Key

[carlos1001]

Hallo,

es geht wieder mal um OpenVPN auf der FB.
Ich habe die Suche bemüht und mich durch sämtliche Threads gelesen aber konnte nicht zu einem positivem Ergebnis kommen.

Ich habe eine FB 7570 VDSL mit Standard Firmware 75.04.91. Ja, ich weiß, dass diese bereits eine VPN Funktion über die Oberfläche bietet. Da ich mich aber ausschließlich von Linux Systemen verbinden möchte, habe ich keine Lust mich mit den von AVM bereitgestellten Windows Apps herumzuschlagen.

Hier meine Konfig:

Server (FB):

port 1194
proto udp
dev tap
dev-node /var/tmp/tun
push "route 192.168.178.0 255.255.255.0"
secret static.key

Ergebnis:

# ./openvpn --config server.ovpn start
Sun Jan  8 10:56:53 2012 OpenVPN 2.1_rc2 mipsel-linux [SSL] [LZO2] [EPOLL] built on Jul  9 2007
Sun Jan  8 10:56:53 2012 TUN/TAP device tap0 opened
Sun Jan  8 10:56:53 2012 UDPv4 link local (bound): [undef]:1194
Sun Jan  8 10:56:53 2012 UDPv4 link remote: [undef]

Client (Ubuntu Rechner):

proto udp
port 1194
remote dyndnsurl 1194
dev tap
secret static.key
ifconfig 192.168.178.21 255.255.255.0
route 192.168.178.0 255.255.255.0

Ergebnis:

Sun Jan  8 11:00:28 2012 OpenVPN 2.1_rc7 i486-pc-linux-gnu [SSL] [LZO2] [EPOLL] built on Dec 15 2010
Sun Jan  8 11:00:28 2012 /usr/sbin/openvpn-vulnkey -q static.key
Sun Jan  8 11:00:28 2012 WARNING: file 'static.key' is group or others accessible
Sun Jan  8 11:00:28 2012 TUN/TAP device tap0 opened
Sun Jan  8 11:00:28 2012 UDPv4 link local (bound): [undef]:1194
Sun Jan  8 11:00:28 2012 UDPv4 link remote: [undef]

Eine wirkliche Verbindung kommt also nicht zustande.

Hat jemand eine Idee?

Gruß

 

[µRaCoLi]

push klappt bei statischem key nicht.
wie hat du gemessen, dass da keine daten durchgehen?
zuguterletzt musst du noch die tap-devices mit deinen eth-devices bridgen.
moechtest du wirklich tap und nicht doch tun?

 

[carlos1001]

Ich würde gerne tun verwenden, jedoch hängt sich meine FB dann direkt nach dem Start von OpenVPN auf. Mit tap ist das nicht der Fall.

edit: Ich habe wohl bei der tun config ein ovpn Binary verwendet, welches kein lzo enthielt. In der Config habe ich aber lzo verwendet. Jetzt hängt sich die FB nicht mehr auf...

Ok, dann nochmal mit tun:

FB Server:

proto udp
port 1194
dev tun
dev-node /var/tmp/tun
ifconfig 192.168.178.100 192.168.178.21
push "route 192.168.178.0 255.255.255.0"
secret static.key
keepalive 10 60
ping-timer-rem
persist-tun
persist-key

Output:

Mon Jan  9 12:59:28 2012 OpenVPN 2.1_rc1 mipsel-linux [SSL] [LZO2] [EPOLL] built on Jan  5 2007
Mon Jan  9 12:59:28 2012 WARNING: file 'static.key' is group or others accessible
Mon Jan  9 12:59:28 2012 TUN/TAP device tun0 opened
Mon Jan  9 12:59:28 2012 /sbin/ifconfig tun0 192.168.178.100 pointopoint 192.168.178.21 mtu 1500
Mon Jan  9 12:59:28 2012 UDPv4 link local (bound): [undef]:1194
Mon Jan  9 12:59:28 2012 UDPv4 link remote: [undef]
Mon Jan  9 12:59:35 2012 Peer Connection Initiated with MYIP:1194
Mon Jan  9 12:59:35 2012 Initialization Sequence Completed

Client:

proto udp
port 1194
remote dyndnsurl.de 1194
dev tun
ifconfig 192.168.178.21 192.168.178.100
secret static.key
route 192.168.178.0 255.255.255.0
keepalive 10 60
ping-timer-rem
persist-tun
persist-key
#comp-lz

Output:

Mon Jan  9 12:59:34 2012 OpenVPN 2.1_rc7 i486-pc-linux-gnu [SSL] [LZO2] [EPOLL] built on Dec 15 2010
Mon Jan  9 12:59:34 2012 /usr/sbin/openvpn-vulnkey -q static.key
Mon Jan  9 12:59:34 2012 WARNING: file 'static.key' is group or others accessible
Mon Jan  9 12:59:34 2012 TUN/TAP device tun0 opened
Mon Jan  9 12:59:34 2012 ifconfig tun0 192.168.178.21 pointopoint 192.168.178.100 mtu 1500
Mon Jan  9 12:59:35 2012 UDPv4 link local (bound): [undef]:1194
Mon Jan  9 12:59:35 2012 UDPv4 link remote: MYIP:1194
Mon Jan  9 12:59:38 2012 Peer Connection Initiated with MYIP:1194
Mon Jan  9 12:59:38 2012 Initialization Sequence Completed

Folglich ist die Verbindung hergestellt.
Vom Client aus kann ich auch die Fritzbox unter deren IP 192.168.178.1 oder ihr tun device unter 192.168.178.100 anpingen, kann jedoch keine anderen Rechner im lokalen Netzwerk erreichen.

Ich war eigentlich der Meinung, dass das Setzen der route den Zugriff auf die Clients im lokalen FB Netzwerk ermöglichen sollte?!

route 192.168.4.0 255.255.255.0

Müsste der Client nicht nun auch in der FB Weboberfläche mit IP zu sehen sein?

Es handelt sich wohl irgendwie um ein Routing Problem...

 

[carlos1001]

Ich habe es nun hinbekommen.

Für alle die es interessiert:

FB (Server):

#daemon
proto udp
port 1194
dev tun
dev-node /var/tmp/tun
ifconfig 192.168.178.2 10.8.0.100
secret static.key
#comp-lzo
keepalive 10 60
ping-timer-rem
persist-tun
persist-key

Client Rechner mit Ubuntu:

proto udp
port 1194
remote dyndnsurl.de 1194
dev tun
ifconfig 10.8.0.100 192.168.178.2
secret static.key
route 192.168.178.0 255.255.255.0
keepalive 10 60
ping-timer-rem
persist-tun
persist-key
#comp-lz

In der Fritzbox habe ich die statische Routing Tabelle erweitert um
Netzwerk: 10.8.0.0
Subnetmask: 255.255.255.0
Gateway: 192.168.178.2