freetz + iPredator

Sidebar Sidebar
Upgrade 3CX to v18 and get it hosted free!
F

freesbie42

Neuer User
Mitglied seit
26 Dez 2013
Beiträge
3
Punkte für Reaktionen
0
Punkte
0
Hallo zusammen,

ich möchte den Dienst von ipredator.se direkt auf meiner freetz verwenden, so dass alle Clients im Heimnetz den Tunnel automatisch nutzen.
Meiner Box habe ich openvpn spendiert. Jedoch habe ich keinen blassen Schimmer wie ich die Config von IPredator in die freetz verwursten kann.
Wenn mir dabei jemand helfen könnte wäre ich mehr als dankbar !!

Was hab ich bis Dato gemacht:

in /var/mod/etc die Dateien openvpn.cfg und auth.cfg angelegt. In der auth.cfg ist nur Name+Pass drin.

Hier was in der openvpn.cfg steht
Code: 
#  OpenVPN 2.1 Config, Thu Dec 26 16:50:42 CET 2013

script-security 2

client
dev tun0
proto udp
remote pw.openvpn.ipredator.se 1194
resolv-retry infinite
nobind

auth-user-pass /var/mod/etc/auth.conf
auth-retry nointeract

ca [inline]

tls-client
tls-auth [inline]
ns-cert-type server

keepalive 10 30
cipher AES-256-CBC
tls-cipher TLSv1:!ADH:!SSLv2:!NULL:!EXPORT:!DES:!LOW:!MEDIUM:@STRENGTH
persist-key
persist-tun
comp-lzo
tun-mtu 1500
mssfix
passtos
verb 3

<ca>
-----BEGIN CERTIFICATE-----
<cut>
-----END CERTIFICATE-----
</ca>

<tls-auth>
-----BEGIN OpenVPN Static key V1-----
<cut>
-----END OpenVPN Static key V1-----
</tls-auth>

Dann das ganze getestet mit:
# openvpn --config ./openvpn.conf

und scheint auch zu funktionieren. Hier mal der Output:

Code: 
Thu Dec 26 17:50:15 2013 OpenVPN 2.3.1 mips-unknown-linux-gnu [SSL (OpenSSL)] [LZO] [IPv6] built on Dec 26 2013
Thu Dec 26 17:50:15 2013 WARNING: file '/var/mod/etc/auth.conf' is group or others accessible
Thu Dec 26 17:50:15 2013 NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
Thu Dec 26 17:50:15 2013 No valid translation found for TLS cipher 'TLSv1'
Thu Dec 26 17:50:15 2013 No valid translation found for TLS cipher '!ADH'
Thu Dec 26 17:50:15 2013 No valid translation found for TLS cipher '!SSLv2'
Thu Dec 26 17:50:15 2013 No valid translation found for TLS cipher '!NULL'
Thu Dec 26 17:50:15 2013 No valid translation found for TLS cipher '!EXPORT'
Thu Dec 26 17:50:15 2013 No valid translation found for TLS cipher '!DES'
Thu Dec 26 17:50:15 2013 No valid translation found for TLS cipher '!LOW'
Thu Dec 26 17:50:15 2013 No valid translation found for TLS cipher '!MEDIUM'
Thu Dec 26 17:50:15 2013 No valid translation found for TLS cipher '@STRENGTH'
Thu Dec 26 17:50:15 2013 Control Channel Authentication: tls-auth using INLINE static key file
Thu Dec 26 17:50:15 2013 Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Thu Dec 26 17:50:15 2013 Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Thu Dec 26 17:50:15 2013 Socket Buffers: R=[178176->131072] S=[178176->131072]
Thu Dec 26 17:50:15 2013 UDPv4 link local: [undef]
Thu Dec 26 17:50:15 2013 UDPv4 link remote: [AF_INET]46.246.39.2:1194
Thu Dec 26 17:50:15 2013 TLS: Initial packet from [AF_INET]46.246.39.2:1194, sid=00e3f6b0 63d5a356
Thu Dec 26 17:50:15 2013 WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
Thu Dec 26 17:50:15 2013 VERIFY OK: depth=1, C=SE, ST=Bryggland, L=Oeldal, O=Royal Swedish Beer Squadron, OU=Internetz, CN=Royal Swedish Beer Squadron CA, [email protected]
Thu Dec 26 17:50:15 2013 VERIFY OK: nsCertType=SERVER
Thu Dec 26 17:50:15 2013 VERIFY OK: depth=0, C=SE, ST=Bryggland, L=Oeldal, O=Royal Swedish Beer Squadron, OU=Internetz, CN=pw.openvpn.ipredator.se, [email protected]
Thu Dec 26 17:50:17 2013 Data Channel Encrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
Thu Dec 26 17:50:17 2013 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Thu Dec 26 17:50:17 2013 Data Channel Decrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
Thu Dec 26 17:50:17 2013 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Thu Dec 26 17:50:17 2013 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 2048 bit RSA
Thu Dec 26 17:50:17 2013 [pw.openvpn.ipredator.se] Peer Connection Initiated with [AF_INET]46.246.39.2:1194
Thu Dec 26 17:50:19 2013 SENT CONTROL [pw.openvpn.ipredator.se]: 'PUSH_REQUEST' (status=1)
Thu Dec 26 17:50:19 2013 PUSH: Received control message: 'PUSH_REPLY,route 46.246.39.2 255.255.255.255 net_gateway,route-gateway 46.246.39.1,redirect-gateway def1,topology subnet,dhcp-option DOMAIN ipredator.se,dhcp-option DNS 46.246.46.46,dhcp-option DNS 194.132.32.23,ip-win32 dynamic,ping 10,ping-restart 60,auth-retry nointeract,ifconfig 46.246.39.73 255.255.255.0'
Thu Dec 26 17:50:19 2013 Options error: Unrecognized option or missing parameter(s) in [PUSH-OPTIONS]:8: ip-win32 (2.3.1)
Thu Dec 26 17:50:19 2013 Options error: option 'auth-retry' cannot be used in this context ([PUSH-OPTIONS])
Thu Dec 26 17:50:19 2013 OPTIONS IMPORT: timers and/or timeouts modified
Thu Dec 26 17:50:19 2013 OPTIONS IMPORT: --ifconfig/up options modified
Thu Dec 26 17:50:19 2013 OPTIONS IMPORT: route options modified
Thu Dec 26 17:50:19 2013 OPTIONS IMPORT: route-related options modified
Thu Dec 26 17:50:19 2013 OPTIONS IMPORT: --ip-win32 and/or --dhcp-option options modified
Thu Dec 26 17:50:19 2013 WARNING: --remote address [46.246.39.2] conflicts with --ifconfig subnet [46.246.39.73, 255.255.255.0] -- local and remote addresses cannot be inside of the --ifconfig subnet. (silence this warning with --ifconfig-nowarn)
Thu Dec 26 17:50:19 2013 TUN/TAP device tap0 opened
Thu Dec 26 17:50:19 2013 TUN/TAP TX queue length set to 100
Thu Dec 26 17:50:19 2013 do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
Thu Dec 26 17:50:19 2013 /sbin/ifconfig tap0 46.246.39.73 netmask 255.255.255.0 mtu 1500 broadcast 46.246.39.255
Thu Dec 26 17:50:19 2013 /sbin/route add -net 46.246.39.2 netmask 255.255.255.255 dev dsl
Thu Dec 26 17:50:19 2013 /sbin/route add -net 0.0.0.0 netmask 128.0.0.0 gw 46.246.39.1
Thu Dec 26 17:50:19 2013 /sbin/route add -net 128.0.0.0 netmask 128.0.0.0 gw 46.246.39.1
Thu Dec 26 17:50:19 2013 /sbin/route add -net 46.246.39.2 netmask 255.255.255.255 gw 0.0.0.0
route: SIOCADDRT: Invalid argument
Thu Dec 26 17:50:19 2013 ERROR: Linux route add command failed: external program exited with error status: 1
Thu Dec 26 17:50:19 2013 Initialization Sequence Completed

und ifconfig tun0
Code: 
tun0      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00  
          inet addr:*.*.*.*  P-t-P:*.*.*.*  Mask:255.255.255.0
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1500  Metric:1
          RX packets:49 errors:0 dropped:0 overruns:0 frame:0
          TX packets:626 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100 
          RX bytes:18023 (17.6 KiB)  TX bytes:42829 (41.8 KiB)

Und noch route
Code: 
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
94.218.152.83   *               255.255.255.255 UH    3      0        0 dsl
192.168.180.1   *               255.255.255.255 UH    2      0        0 dsl
46.246.47.2     *               255.255.255.255 UH    0      0        0 dsl
192.168.180.2   *               255.255.255.255 UH    2      0        0 dsl
92.75.67.249    *               255.255.255.255 UH    2      0        0 dsl
192.168.178.201 *               255.255.255.255 UH    2      0        0 dsl
192.168.179.0   *               255.255.255.0   U     0      0        0 guest
192.168.1.0     *               255.255.255.0   U     0      0        0 lan
46.246.47.0     *               255.255.255.0   U     0      0        0 tun0
169.254.0.0     *               255.255.0.0     U     0      0        0 lan
default         46.246.47.1     128.0.0.0       UG    0      0        0 tun0
128.0.0.0       46.246.47.1     128.0.0.0       UG    0      0        0 tun0
default         *               0.0.0.0         U     2      0        0 dsl

Leider funktioniert ein ping auf google.de nicht. Clients im Netzwerk können auch nicht surfen..

Was muss ich denn nun noch alles machen damit die config auch nach einem reboot der Freetz bestehen bleibt und das openvpn diese auch ließt und startet.
Und was muss ich machen damit die Clients im Netzwerk in den genuss des VPNs kommen? Denke mal irgendwas bridgen, oder?


Gruß Freesbie
 
Zuletzt bearbeitet:
Moin alle zusammen...

Hallo Freesbie, bist Du schon weiter gekommen ?
Ich stehe zur Zeit auch vor dem Problem ->Ich weiß nicht was ich wo eintragen muß.
Zugangsdaten habe ich bekommen....es hatte auch bisher funktioniert das ich hier jeden PC einzeln als Client "angemeldet" hatte.
Auf der IPredator Seite gibt es ein kleinen Guide für Ubuntu.
Nur jetzt wollte ich auch die Fritzbox regeln lassen....kurz um Fritzbox ist gefreetzt, und nu weiß ich nicht weiter.
Wohin muß die....
VPN-IPredator-ovpn
...mit dem Inhalt...
client
dev tun0
proto udp
remote pw.openvpn.ipredator.se 1194
resolv-retry infinite
nobind

auth-user-pass

ca /path/to/openvpn/config/keys/IPredator.se.ca.crt

tls-client
tls-auth /path/to/openvpn/config/keys/IPredator.se.ta.key
ns-cert-type server

keepalive 10 30
cipher AES-256-CBC
tls-cipher TLSv1:!ADH:!SSLv2:!NULL:!EXPORT:!DES:!LOW:!MEDIUM:mad:STRENGTH
persist-key
persist-tun
comp-lzo
tun-mtu 1500
mssfix
passtos
verb 3

Könnte büddebüdde jemand Licht ins dunkel bringen ?

LG
Andre
 
Zuletzt bearbeitet:
Hallo Uhlstone,

leider nein.. kein Stück. Ich bin immer noch auf dem Stand, dass ich zwar auf der Konsole eine Verbindung hinbekomme.. ich aber nicht weiß wie ich diese Rebootsicher machen kann. Und, das wichtigste, das routing.
IPTables hab ich in der freetz. jetzt fehlt es mir an KnowHow um das umzusetzen..
Ich hoffe auch auf einen Lichtbringer

LG, Freesbie
 
Es gibt gefühlte 100 Themen hier zu der Frage, wie man die FB mit dem OpenVPN-Dienst beim Anbieter XY verbindet.
Zunächst muss die Konfig möglichst genau übernommen werden, wegen der meist benötigten User-Authentifizierung mit einem "auth-user-pass <Datei>".


Das Ergebnis eines erfolgreichen Aufbaus der Verbindung ist aber, dass genau nur die FB mit dem OpenVPN verbunden ist. Der VPN-Dienst "weiß nichts" davon, dass noch ein ganzes Netz "hinter" der FB hängt und auch das VPN nutzen soll. Um das hinzubekommen muss das lokale Netz hinter der VPN-IP-Adresse der FB versteckt werden (es sei denn, ihr könntet die Server-Konfiguration ändern, was bei VPN-Anbietern normalerweise nicht der Fall ist).

Das ist in etwa so, wie bei eurem Internetzugang: Nur die FB hat eine "öffentliche" IP, und alle Geräte werden beim Zugriff auf das Internet dahinter versteckt.

Um für das VPN eine solche Adressübersetzung (NAT) machen zu können, muss auf der FB "iptables" genutzt werden. Es ist stark von der genutzten FB und deren Firmware abhängig, ob das funktioniert...
 
Danke für deine Erklärung, aber ich vertsehe im Moment nur Bahnhof.

Gibt es denn kein HOWTO dafür ?

LG
Andre
 
Ok, da bin ich wohl einfach zu blöde zu....
Ich hatte mir das so vorgestellt das man die Daten von Ipredator....
Configuration overview
General settings
Server name: pw.openvpn.ipredator.se
Standard port: 1194
Protocol: UDP (default) / TCP
User authentication: credentials (auth-user-pass)
Encryption settings
Encryption: AES-256-CBC
Auth hash: SHA1
CA: IPredator.se.ca.crt
TLS auth key: yes (IPredator.se.ta.key)
Key direction: not set
Compression: yes (comp-lzo)
Assigned DNS servers
DNS 1: 46.246.46.46
DNS 2: 194.132.32.23
Zum Vergrößern anklicken....

...einfach in die Eingabemaske vom freetz-Openvpn eingibt und gut ist.
Bei LinuxMint 13 war es ja auch recht einfach...Openvpn nachinstalliert, Daten eingegeben und gut.
OK, zwar mit einer kleinen Anleitung, aber das war einfach.

@MaxMuster
Das heißt dann -> Ich brauche auch noch "iptables" in meinem Image ?
Und das muß ich dann auch noch einrichten ?

Ochnööö, gibt es denn kein einfacheren Weg, das ich mit meinen 4 PC's und 3 VDR's in den "Tunnel" komme ?

LG
Andre
 
Es gibt eine "neue GUI" für OpenVPN im Freetz Trunk, mit der das so "einfach" geht, dort gibt man die komplette Config in ein Textfeld ein, siehe auch hier im Wiki zum OpenVPN Paket.

Wenn du von Geräten "hinter" dem VPN-Client das VPN mitnutzen willst, wirst du um iptables nicht herum kommen (sofern du den Server nicht ändern kannst, so dass er "dein LAN" mit "deiner VPN-Client Instanz" verbindet).
Einzige Alternative, die mir spontan einfällt, wäre ggf. ein "Proxy" auf der FB, dann werden alle Zugriffe von der FB selbst ausgeführt. Und diese IP kennt der VPN-Server ja.
 
Um antworten zu können musst du eingeloggt sein.

Zurzeit aktive Besucher

Gesamt: 445 (Mitglieder: 29, Gäste: 416)

Neueste Beiträge

Statistik des Forums

Themen
246,756
Beiträge
2,256,945
Mitglieder
374,783
Neuestes Mitglied
SoapWater
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
Ihr E-Mail-Adresse verifizieren

Ihr E-Mail-Adresse verifizieren

Wir haben Ihnen eine E-Mail geschickt. Klicken Sie auf die Schaltfläche im E-Mail-Text, um Ihre E-Mail-Adresse zu verifizieren – (Können Sie diese nicht finden können, dann überprüfen Sie Ihren Spam-Ordner).

IPPF im Überblick

Neueste Beiträge

Direktlinks Telefonanlage

Website-Sponsoren

3CX sponsor
KONTAKTIEREN SIE UNS BEI INTERESSE
| Style by ThemeHouse
XenPorta 2 PRO © Jason Axelrod of 8WAYRUN
Oben Unten
Zurück