FritzBox als OpenVPN Client

[MaxMuster]

Die ar7.cfg musst du ja wenn überhaupt nur einmal auf der Serverbox anpassen. Versuche doch lieber, die Portweiterleitung über über die AVM-Firewallgui zu machen, dann brauchst du dafür schonmal kein "vi".

Oder wolltest du sonst noch was ändern?!?

Versuche doch, dich an den Ablauf im Wiki zu halten. Ansonsten hilft dir ja vielleicht auch die Anleitung hier, auch, wenn sie schon etwas älter ist...

Jörg

 

[löwenfan60]

Hallo, meinst du die Portweiterleitung 1194 auf die eigene box?

 

[MaxMuster]

Ja, die meine ich.

 

[löwenfan60]

Danke für den Hinweis, muß der port auf udp oder tcp weitzergeleitet werden?

Gruß Rainer

 

[MaxMuster]

Standard ist UDP Port 1194

 

[löwenfan60]

Hallo, wenn ich im Telnet das eingebe dann nbekomm ich not found....

cd c:\programme\openvpn\
mkdir keys
cd easy-rsa
init-config


oder das hier:

notepad vars.bat
Versuche gerade ein Zertificat zu erstellen

 

[löwenfan60]

Wenn ich Openvpn starte bekomm ich folgende Meldung....


Starting openvpn ... Mon Mar 29 16:58:58 2010 RESOLVE: Cannot parse IP address: 192.168-200.150
Options error: error parsing --ifconfig-pool parameters
Use --help for more information.
failed.

 

[MaxMuster]

Wenn du genau hinsiehst ;-) kannst du es sehen:
192.168-200.150 ist keine IP-Adresse, vermutlich meinst du
192.168.200.150

Noch eine Bitte: Wenn kein anderer Beitrag dazwischen ist, dann nutze bitte die "Ändern" Funktion und hänge die zusätzliche Information an, eventuell mit einem "EDIT" davor. So wie du es jetzt gemacht hast, ist es hier im Forum "verboten" ;-)

Jörg

 

[löwenfan60]

ok, werds beim nächsten mal editieren!

Rainer


Edit: Habe es gestern geschafft die zertifikate zu erstellen und die dateien auf die box zu laden.
Habe openvpn gestartet, klappt jetzt auch. Muß ich dir clientseite erst einrichten bevor ich im openvpn.log einträge drin stehen hab?
Im moment hab ich nur das im log stehen:

OpenVPN CLIENT LIST
Updated,Tue Mar 30 07:30:05 2010
Common Name,Real Address,Bytes Received,Bytes Sent,Connected Since
ROUTING TABLE
Virtual Address,Common Name,Real Address,Last Ref
GLOBAL STATS
Max bcast/mcast queue length,0
END

 

[MaxMuster]

Ja, dieses "Log" schreibt periodisch den Status des Servers. Wenn ein Client verbunden ist, taucht er darin auf. Wenn du die Ausgabe bein Starten usw. sehen willst, kannst du "oben" auf der Seite "debugging" einschalten. Das schreibt aber eine ständig wachsende Datei und sollte deshalb nur zur Fehlersuche genutzt werden.

Jörg

 

[löwenfan60]

Hallo Jörg, hab mal die debug ausgabe, hier steht was mit warning und error! Hat das was zu bedeuten und ist die ausgabe so korrekt? Client hab ich noch nicht eingestellt weil ich erst zu meinen eltern fahren muß. Die IP der Fritzbox habe ich die gleiche ip gegeben wie in der openvpn gui als lokale ip drin steht. Ist das so richtig?

debug.openvpn.out:

Tue Mar 30 10:28:43 2010 OpenVPN 2.1.1 mipsel-linux [SSL] [LZO2] [EPOLL] [MH] built on Mar 17 2010
Tue Mar 30 10:28:43 2010 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Tue Mar 30 10:28:43 2010 Diffie-Hellman initialized with 1024 bit key
Tue Mar 30 10:28:43 2010 WARNING: file '/tmp/flash/box.key' is group or others accessible
Tue Mar 30 10:28:43 2010 TLS-Auth MTU parms [ xxxxxxxxxxxxxxxxxxxxxxxxxxxxx ]
Tue Mar 30 10:28:43 2010 OpenVPN ROUTE: OpenVPN needs a gateway parameter for a --route option and no default was specified by either --route-gateway or --ifconfig options
Tue Mar 30 10:28:43 2010 OpenVPN ROUTE: failed to parse/resolve route for host/network: 192.168.xxx.xx
Tue Mar 30 10:28:43 2010 TUN/TAP device tap0 opened
Tue Mar 30 10:28:43 2010 TUN/TAP TX queue length set to 100
Tue Mar 30 10:28:43 2010 /sbin/ifconfig tap0 192.168.ip.fritz netmask 255.255.255.0 mtu 1500 broadcast 192.168.xxx.xxx
Tue Mar 30 10:28:43 2010 /sbin/route add -net 10.10.11.0 netmask 255.255.255.0 gw 192.168.ip.client
route: SIOCADDRT: File exists
Tue Mar 30 10:28:43 2010 ERROR: Linux route add command failed: external program exited with error status: 1
Tue Mar 30 10:28:43 2010 Data Channel MTU parms [ xxxxxxxxxxxxxxxxxxxxxxxxxxxxx ]
Tue Mar 30 08:28:43 2010 chroot to '/tmp/openvpn' and cd to '/' succeeded
Tue Mar 30 08:28:43 2010 GID set to openvpn
Tue Mar 30 08:28:43 2010 UID set to openvpn
Tue Mar 30 08:28:43 2010 Socket Buffers: R=[108544->131072] S=[108544->131072]
Tue Mar 30 08:28:43 2010 UDPv4 link local (bound): [undef]
Tue Mar 30 08:28:43 2010 UDPv4 link remote: [undef]
Tue Mar 30 08:28:43 2010 MULTI: multi_init called, r=256 v=256
Tue Mar 30 08:28:43 2010 IFCONFIG POOL: base=192.168.xxx.xxx size=51
Tue Mar 30 08:28:43 2010 Initialization Sequence Completed


Gruß Rainer

 

[MaxMuster]

Ich fange wieder mit einem Tipp an: Packe längere Ausgaben bitte in [noparse]

 und

[/noparse] (die Funktion # im grafischen Editor), dann sind sie besser lesbar.

Ohne die Config wird das schwer zu debuggen. Wenn der Ansatz wie zuvor beschrieben ist (Multiclient), sollten in der "Hauptconfig" keine Einträge für das Routing sein (nur bei den einzelnen Clients). Sowas wie "/sbin/route add ..." dürfte dann noch nicht auftauchen, erst, wenn sich ein Client verbindet.

Wenn es nicht zwingend nötig ist, eine Netz-Brücke (Bridging) zu nutzen, würde ich dir dringend zu einer Tunnel-Konfiguration raten.

Lokale IP ist die IP des VPN-Interfaces. Außer bei Bridging muss das VPN-Netz immer vom LAN verschieden sein, z.B. 192.168.200.x, wenn das LAN 192.168.178.x nutzt.

Jörg

 

[löwenfan60]

Hallo, ich brauche halt ein openvpn von meinen Eltern und auch von meinem Bruder. Das geht aber nur mit bridged, oder? TCP Tunnel wär mir natürlich lieber, aber kann sich da meine mutter und mein bruder bzw. ich zu ihnen connecten? Oh Mann, hätte nicht gedacht das ich mich da so schwer tue.
Ich hoffe das ich deine Geduld nicht zu sehr überstrapaziere?!
Wie ist das mit dem code gemeint, versteh nicht was ich da machen soll!
Entschuldige wenn ich nicht ganz folgen kann, bin noch ziemlicher Anfänger und bleibe auch deshalb meistens irgendwo jhengen weil ich die Ausdrücke nicht verstehe! Hat ja schon eine woche gedauert bis ich es mal geschafft hab schlüssel und zertifikate für s4erver und client zu erstellen.

Danke erstmal das du versuchst mir zu helfen!

Gruß Rainer

 

[MaxMuster]

Also, prinzipell geht eigentlich alles auch über "Tunnel", manche Protokolle werden aber damit "ein klein wenig schwieriger" ;-).
Ob du Tunnel oder Brücke nutzt, betrifft die Frage, wie sich dein VPN-Interface auf der Box verhält.
Ob du TCP oder UDP nutzt, betrifft die Frage, wie sich VPN-Client und VPN-Server "finden". Wenn es möglcih sit, sollte man dafür UDP nutzen, das ist performanter und ausdrücklich als Protokoll empfohlen.

So funktioniert z.B. die "Windows Netzwerkumgebung" so, dass der PC "ins Netz brüllt" (einen Broadcast macht) und so andere Geräte findet. Wenn man ein gebrücktes Netz hat, geht auch ein Broadcast da drüber. Für einen einzelnen PC kann das deshalb eine recht simple Lösung sein, der verhält sich dann "fast wie im LAN". Wenn du wirklich Netze verbindest, ist das eigentlich keine Option mehr, damit wird das VPN viel zu sehr strapaziert.

Dann solltest du auf jeden Fall mit Tunnel arbeiten, und die Netze per Routing verbinden.

Beispiel: Du lässt den Server auf 192.168.200.1 255.255.255.0 stehen, das ist der Standard bei mehr als einem Client (Max Client) und mindestens einem Eintrag bei den erweiterten Clients.

Wenn die Client-Namen bei der Zertifikatserzeugung "client1" und "client2" waren und dort die Netze 192.168.2.0 respektive 192.168.55.0 sind, dein eigenes Netz die 192.168.178.0, dann wäre die Config so wie im Bild:


Dann sollte sowohl aus den Client-Netzen ins Server-Netz, als auch zwischen den Netzen die Verbindung möglich sein (Haken für Client-to-Client).

Die "Verbindungsrichtung" geht übrigens immer nur vom Client zum Server, also wenn deine Box der Server ist, können sich Bruder und Mutter nur auf deine Box verbinden, andersrum oder untereinander geht es nicht.

Um dann mit "Tunnel-Netz" z.B. eine Windows-Freigabe im entfernten Netz zu nutzen, müsste man dann statt dem Namen die IP des Gerätes nutzen (\\192.168.2.23\Freigabe), oder aber man macht einen Eintrag in der lmhosts-Datei.

Das mit dem code bezog sich auf das Log, das bei dir im Fließtext steht. Besser ist, wenn du davor [noparse]

[/noparse] schreibst, und danach [noparse]

[/noparse], dann sieht das Ergebnis

so aus.

Wenn du hier im Forum in deinen Einstellungen für den Editor den Standard- oder WYSIWYG-Modus gewählt hast, gibt es dafür das Symbol "#".

Jörg

 

[löwenfan60]

Habs jetzt so eingestellt wie auf dem Bild. Sind aber immer noch die error einträge???

Tue Mar 30 23:16:15 2010 OpenVPN 2.1.1 mipsel-linux [SSL] [LZO2] [EPOLL] [MH] built on Mar 17 2010
Tue Mar 30 23:16:15 2010 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Tue Mar 30 23:16:15 2010 Diffie-Hellman initialized with 1024 bit key
Tue Mar 30 23:16:15 2010 [COLOR="Red"]WARNING: file '/tmp/flash/box.key' is group or others accessible[/COLOR]Tue Mar 30 23:16:15 2010 TLS-Auth MTU parms [ xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx ]
Tue Mar 30 23:16:15 2010 TUN/TAP device tun0 opened
Tue Mar 30 23:16:15 2010 TUN/TAP TX queue length set to 100
Tue Mar 30 23:16:15 2010 /sbin/ifconfig tun0 192.168.200.1 netmask 255.255.255.0 mtu 1500 broadcast 192.168.200.255
Tue Mar 30 23:16:15 2010 /sbin/route add -net 192.168.2.0 netmask 255.255.255.0 gw 192.168.200.11
route: SIOCADDRT: File exists
Tue Mar 30 23:16:15 2010 [COLOR="Red"]ERROR: Linux route add command failed: external program exited with error status: 1[/COLOR]
Tue Mar 30 23:16:15 2010 /sbin/route add -net 192.168.55.0 netmask 255.255.255.0 gw 192.168.200.12
route: SIOCADDRT: File exists
Tue Mar 30 23:16:15 2010 [COLOR="Red"]ERROR: Linux route add command failed: external program exited with error status: 1[/COLOR]
Tue Mar 30 23:16:15 2010 Data Channel MTU parms [ xxxxxxxxxxxxxxxxxxxxx ]
Tue Mar 30 21:16:15 2010 chroot to '/tmp/openvpn' and cd to '/' succeeded
Tue Mar 30 21:16:15 2010 GID set to openvpn
Tue Mar 30 21:16:15 2010 UID set to openvpn
Tue Mar 30 21:16:15 2010 Listening for incoming TCP connection on [undef]
Tue Mar 30 21:16:15 2010 Socket Buffers: R=[87380->131072] S=[16384->131072]
Tue Mar 30 21:16:15 2010 TCPv4_SERVER link local (bound): [undef]
Tue Mar 30 21:16:15 2010 TCPv4_SERVER link remote: [undef]
Tue Mar 30 21:16:15 2010 MULTI: multi_init called, r=256 v=256
Tue Mar 30 21:16:15 2010 MULTI: TCP INIT maxclients=5 maxevents=9
Tue Mar 30 21:16:15 2010 Initialization Sequence Completed

Glaube nicht das das richtig ist, oder? IP`s sind nur beispiel.ip`s

Und wenn schon, welche IP müsste ich meiner Fritzbox geben(Server) und welche IP der anderen Fritzbox(Client)?
Ich habe bei Sicherheit Zertifikate angekreuzt, muß ich auch den haken bei TLS-Authetifizierung machen?

Gruß Rainer

 

[MaxMuster]

Ja, das sind natürlich alles Beispiele, ich kenne die "echte" Situation ja nicht. Die Bezeichnungen für die Zertifikate und die drei Netze (dein lokales und die beiden bei den Clients) müsstest du anpassen.

Das "Warning" kommt immer, die Fehler sollten aber nicht kommen. Bei mir sieht das Ergebnis der oben geposteten Config (mit UDP) so aus:

Wed Mar 31 09:23:00 2010 OpenVPN 2.1.1 mipsel-linux [SSL] [LZO2] [EPOLL] [MH] built on Mar 17 2010
Wed Mar 31 09:23:00 2010 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Wed Mar 31 09:23:00 2010 Diffie-Hellman initialized with 1024 bit key
Wed Mar 31 09:23:00 2010 WARNING: file '/tmp/flash/box.key' is group or others accessible
Wed Mar 31 09:23:00 2010 TLS-Auth MTU parms [ L:1542 D:138 EF:38 EB:0 ET:0 EL:0 ]
Wed Mar 31 09:23:00 2010 TUN/TAP device tun0 opened
Wed Mar 31 09:23:00 2010 TUN/TAP TX queue length set to 100
Wed Mar 31 09:23:00 2010 /sbin/ifconfig tun0 192.168.200.1 netmask 255.255.255.0 mtu 1500 broadcast 192.168.200.255
Wed Mar 31 09:23:00 2010 /sbin/route add -net 192.168.2.0 netmask 255.255.255.0 gw 192.168.200.11
Wed Mar 31 09:23:00 2010 /sbin/route add -net 192.168.55.0 netmask 255.255.255.0 gw 192.168.200.12
Wed Mar 31 09:23:00 2010 Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:0 EL:0 AF:3/1 ]
Wed Mar 31 07:23:00 2010 chroot to '/tmp/openvpn' and cd to '/' succeeded
Wed Mar 31 07:23:00 2010 GID set to openvpn
Wed Mar 31 07:23:00 2010 UID set to openvpn
Wed Mar 31 07:23:00 2010 Socket Buffers: R=[110592->131072] S=[110592->131072]
Wed Mar 31 07:23:00 2010 UDPv4 link local (bound): [undef]
Wed Mar 31 07:23:00 2010 UDPv4 link remote: [undef]
Wed Mar 31 07:23:00 2010 MULTI: multi_init called, r=256 v=256
Wed Mar 31 07:23:00 2010 Initialization Sequence Completed

Machst du bitte mal ein "route -n" auf der Box??
Möglichst einmal ohne VPN und einmal nach dem Start?

Und postest dann bitte noch die erzeugte Config, indem du nach dem Start des VPN ein "cat /mod/etc/openvpn.conf" ausführst?

Jörg

 

[löwenfan60]

Hallo Jörg, bin gestern nicht mehr dazugekommen, bin erst spät von der Arbeit nach Hause gekommen. Ich hab mal alles angehängt was du gesagt hast!

/var/mod/root # route -n
Kernel IP routing table
Destination                                                      Gateway                              Genmask                      Flags                  Metric                 Ref             Use     Iface
87.160.61.81                                                    0.0.0.0                                255.255.255.255             UH                      2                      0                0        dsl
192.168.180.1                                                   0.0.0.0                                255.255.255.255             UH                      2                      0                0        dsl
192.168.180.2                                                   0.0.0.0                                255.255.255.255             UH                      2                      0                0        dsl
192.168.55.0                                                     192.168.200.12                    255.255.255.0                 UG                      0                      0                0        lan
192.168.2.0                                                      192.168.200.11                    255.255.255.0                 UG                       0                      0               0        lan
192.168.200.0                                                    0.0.0.0                              255.255.255.0                  U                        0                      0               0         lan
169.254.0.0                                                       0.0.0.0                               255.255.0.0                     U                        0                      0               0         lan
0.0.0.0                                                             0.0.0.0                                0.0.0.0                           U                        2                      0               0         dsl

mit start:

/var/mod/root # route -n
Kernel IP routing table
Destination                                                      Gateway                              Genmask                      Flags                  Metric                 Ref                Use     Iface
87.160.61.81                                                    0.0.0.0                                255.255.255.255             UH                      2                      0                   0        dsl                                                                       
192.168.180.1                                                  0.0.0.0                                 255.255.255.255             UH                     2                       0                  0         dsl
192.168.180.2                                                  0.0.0.0                                 255.255.255.255             UH                     2                       0                  0         dsl
192.168.55.0                                                    192.168.200.12                     255.255.255.0                UG                      0                       0                  0         lan
192.168.2.0                                                     192.168.200.11                      255.255.255.0                UG                      0                       0                  0         lan
192.168.200.0                                                  0.0.0.0                                 255.255.255.0                 U                       0                       0                  0        lan
192.168.200.0                                                  0.0.0.0                                 255.255.255.0                 U                       0                       0                  0        tun0
169.254.0.0                                                     0.0.0.0                                 255.255.0.0                    U                        0                       0                  0       lan
0.0.0.0                                                            0.0.0.0                                 0.0.0.0                          U                        2                       0                  0       dsl

openvpn.config

/var/mod/root # cat /mod/etc/openvpn.conf
#  OpenVPN 2.1 Config, Thu Apr  1 16:50:03 CEST 2010
proto tcp-server
dev tun
ca /tmp/flash/ca.crt
cert /tmp/flash/box.crt
key /tmp/flash/box.key
dh /tmp/flash/dh.pem
tls-server
port 1194
ifconfig 192.168.200.1 255.255.255.0
push "route-gateway 192.168.200.1"
mode server
client-config-dir /clients_openvpn
topology subnet
push "topology subnet"
max-clients  5
push "route 192.168.178.0 255.255.255.0 192.168.200.1"
route 192.168.2.0 255.255.255.0 192.168.200.11
route 192.168.55.0 255.255.255.0 192.168.200.12
client-to-client
tun-mtu 1500
mssfix
verb 3
daemon
cipher AES-256-CBC
comp-lzo
keepalive 10 120
status /var/log/openvpn.log
chroot /tmp/openvpn
user openvpn
group openvpn
persist-tun
persist-key

Kenn mich nicht mehr aus, ich muß ja erst mein Openvpn als Server richtig einstellen, damit ich die Clienten einstellen kann! Sonst muß ich ja wenn was nicht stimmt immer erst nach Hause fahren. Oder gibts da ne andere Möglichkeit?!

Gruß Rainer

 

[MaxMuster]

Hi,

zuerst: Ja, auf deiner Box sollte der Server sein, zu dem sich die anderen Verbinden. Denke auch dran:
- Du brauchst einen Dyndns-Account, damit die Box erreichbar ist
- Der Port muss weitergeleitet sein (wenn du unbedingt bei tcp bleiben willst, tcp 1194)

Wenn möglich/nötig solltest du dir bei der Server-Box eine "Hintertür" einbauen, um die Konfig auf der Serverbox zur Not prüfen und verändern zu können, wenn du "auf der anderen Seite" bist.
Z.B. mit dem "dropbear"-Server auf der Box, für den auch eine Portfreigabe existieren muss, um ihn extern zu erreichen.
Dann kannst du dich über die dyndns-Adresse auch per SSH auf die Box verbinden. Das SSH hat den großen Voreil, dass bei einer bestehenden Verbindung (die so wie ein Telnet ist) zugleich auch noch getunnelt auf Dinge im LAN der Box zugreifen kann, auch Dienste auf der Box selbst. So kannst du dich dann auf das Webinterface der Box und das von freetz verbinden (wie z.B. hier mit PuTTY beschrieben).

Zu deinen Logs:
Das Problem scheint übrigens zu sein, dass bereits vor dem Start
- Das Netz 192.168.200.0 vorhanden ist (im LAN)
- Die Routen zu den anderen Netzen schon existieren (zu den Beispielnetzen 192.168.20 und 192.168.55.0)

Die IP des OpenVPN-Netzes muss vom LAN verscheiden sein! Am einfachsten wäre, du änderst die Adresse im LAN auf ein anderes Netz (in den normalen AVM-Einstellungen), wenn du dich an das Beispiel halten willst, nimm z.B. die Standard-Adresse 192.168.178.1.

Wenn du aber im LAN 192.168.200.x weiter benutzt, musst du im OpenVPN die "lokale IP" auf ein anderes Netz verändern, ebenso die IPs, die du in den Client-Einstellungen zuordnest, denn die müssen zueinander passen.

Denke dran, dass die Einstellungen in der GUI schon deiner Realität entsprechen müssen:
Wenn der Client-Name im Zertifikat für deinen Bruder nicht "client1" sondern "Bruder" lautet, muss auch der Eintrag in der GUI "Bruder" heißen. Wenn dort das Netz 172.17.34.0 ist, muss das dort stehen, nicht das "Beispielnetz"!



Jörg

 

[löwenfan60]

Hallo Jörg, frohe Ostern noch! Ich hab jetzt nochmal alles probiert, ich kriegs nicht hin! Wahrscheinlich auch weil ich nicht weiß was für eine Einstellung ich nehmen soll. Ich bräuchte halt eine Verbindung wo man Daten hin und her schicken kann, nicht nur in eine Richtung. Hab die Zertifikate für die fritzbox und den 2 clienten hier weiß aber nicht was ich wie ändern soll! Ich kann auch das openvpn auf einmal nicht mehr starten, weiß nicht mehr was ich machen soll!

Gruß Rainer

 

[MaxMuster]

Als erstes: Ruhe bewahren, das wird schon!

Im Zweifel fang nochmal von vorn an:
In der GUI Standards laden, dann gehe an Hand der oben genannten Doku der Reihe nach vor, um den Server einzurichten.

Wenn der dann startet, der Reihe nach mit den Clients nachziehen.

Wenn du das VPN nicht mehr starten kannst, hilft die Aussage nichts. Die Frage ist: Was schlägt fehl? Poste bitte die Ausgabe vom Startversuch, wie auf der Wiki-Seite beschrieben.

Jörg