[gelöst] OpenVPN: Zertifikat Verwaltung und IP Bereiche

Sidebar Sidebar
Upgrade 3CX to v18 and get it hosted free!
MaxMuster schrieb:
Schau dir doch mal die neuere Version davon an, die benötigt allerdings momentan noch eine etwas veränderte make-Datei "make\openvpn\openvpn.mk", die ich mal anhänge...
Zum Vergrößern anklicken....

Okay, jetzt läuft es fast...
Standort A und B verbinden sich miteinander (siehe Signatur).:)
Als Besonderheit wäre zu erwähnen, dass ich am Standort B die etwas seltsam anmutenden Einstellungen machen musste, damit es richtig in config auftaucht:
Code: 
[I]Lokaler Endpunkt[/I]
IP-Adresse: 192.168.200.3 Subnetzmaske:[bleibt leer]

[I]Entfernter Endpunkt (nur für TUN)[/I]
IP-Adresse: 255.255.255.0
Dies führt dann zu ifconfig 192.168.200.3 255.255.255.0 in dem Config-File. Alle anderen IP-Adressen bleiben leer. Damit läuft es jetzt, alternativ kann man in der Config auch ifconfig ganz auskommentieren, aber diese Änderungen werden ja i.d.R. wieder überschrieben.

Das Laptop zick noch ein bißchen.
Ich bekomme eine Fehlermeldung, dass auf Grund des TAP-Adapters die Konfiguration beim TUN-Modus dirkete Nachbar-IP haben muss.
Also habe ich als Server 192.168.200.1 gewählt und das Laptop als ersten Client mit der IP 192.168.200.2 eingerichtet.
Weiterhin kann der Adapter keine Subnetze bei der Konfiguration der virtuellen Netzwerkkarte ab, also habe ich bei der Client-Konfiguration noch eine Änderung vorgenommen:

Orginal:
Code: 
ifconfig-push 192.168.200.2 255.255.255.0
push "topology subnet"
iroute 192.168.3.0 255.255.255.0
push "route 192.168.1.0 255.255.255.0 192.168.200.3"
Geändert:
Code: 
ifconfig-push 192.168.200.2 192.168.200.1
push "topology subnet"
iroute 192.168.3.0 255.255.255.0
push "route 192.168.1.0 255.255.255.0 192.168.200.3"
Das läuft jetzt auch soweit, allerdings wird dies ja bei jedem Neustart von OpenVPN überschrieben... kann ich das irgendwie verhindern?

So... gute Nacht....
 
also habe ich bei der Client-Konfiguration noch eine Änderung vorgenommen
Zum Vergrößern anklicken....
allerdings wird dies ja bei jedem Neustart von OpenVPN überschrieben... kann ich das irgendwie verhindern?
Zum Vergrößern anklicken....
Schonmal probiert diese Konfigurationsdatei mit einem schreibschutz zu versehen
Code: 
chmod 444 openvpn[-lzo].conf
 
sweetie-pie schrieb:
Als Besonderheit wäre zu erwähnen, dass ich am Standort B die etwas seltsam anmutenden Einstellungen machen musste, damit es richtig in config auftaucht:....
Dies führt dann zu ifconfig 192.168.200.3 255.255.255.0 in dem Config-File.
Zum Vergrößern anklicken....
Vielleicht war ich da etwas "zu genau", aber diese Konstellation ist nur bei der Standasr-Einstellung "Max. Clients: 1" möglich (ich wollte den "Normal-User" nicht verwirren, indem da beim Tunnel IP und Maske statt zwei PtP-IPs auftauchen) sprich: Setze "Max. Clients:" mal auf > 1, dann sollte es so sein, wie du denkst (hoffe ich).

sweetie-pie schrieb:
Ich bekomme eine Fehlermeldung, dass auf Grund des TAP-Adapters die Konfiguration beim TUN-Modus dirkete Nachbar-IP haben muss.
Zum Vergrößern anklicken....
Ja, das ist die Standard-Einstellung beim Windows. Mit einem neueren Client ("This option exists in OpenVPN 2.1 or higher.") sollte aber "topology-subnet" möglich sein. Die muss der Client dann per "pull" mit abholen, oder du musst den Befehl selbst im Client eintragen.

sweetie-pie schrieb:
... allerdings wird dies ja bei jedem Neustart von OpenVPN überschrieben... kann ich das irgendwie verhindern?
Zum Vergrößern anklicken....

So direkt nicht, dazu müsstest du das Programm, dass bei jedem Starten die Config erzeugt, anpassen und in /var/tmp/flash unterbringen. Das sollte aber (s.o.) eigentlich nicht unbedingt nötig sein, hoffe ich.

Jörg
 
MaxMuster schrieb:
Ja, das ist die Standard-Einstellung beim Windows. Mit einem neueren Client ("This option exists in OpenVPN 2.1 or higher.") sollte aber "topology-subnet" möglich sein. Die muss der Client dann per "pull" mit abholen, oder du musst den Befehl selbst im Client eintragen.
Zum Vergrößern anklicken....

:D Okay, mit der Kombination OpenVPN 2.1_beta7 & OpenVPN GUI 1.0.3 auf dem WinXP-Client funktionierts dann auch...
 
... geht denn der Rest auch "wie erwartet/gewünscht"?
Für Rück-/Fehlermeldungen bin ich immer offen...

Jörg
 
Openvpn Traffic Frage

wenn ich mich nun an meinen Arbeitsplatz mit einen Laptop und Softphone per Openvpn
zuhause auf der fritz am openvpn server einlogge un über meine fritzbox telefoniere

was für ein traffic fällt da für mein arbeitgeber an
 
Viel.

Das gespräch, was du führst geht ja - ob nun über OpenVPN oder nicht - dennoch über die Inetleitung deines Arbeitgebers

Ich kenn mich mit den Verbrauchswerten zu schlecht aus, aber ich weiß, dass bei ner Verbindung < 1000Kbit kein vernünftiges Gespräch über meine Fritzbox mit IP telefonieren möglich ist... also falls dein Arbeitgeber seinen Internetanschluß nach Traffic bezahlt, würde ich das an deiner Stelle eher sein lassen.
 
MaxMuster schrieb:
... geht denn der Rest auch "wie erwartet/gewünscht"?
Für Rück-/Fehlermeldungen bin ich immer offen...
Zum Vergrößern anklicken....
Jau, geht jetzt alles so wie ich es mir vorgestellt habe... :p

In diesem Thread habe ich meine 7170 in VLANs zerlegt und die Netze mit eigen IP-Kreisen über dnsmasq versehen. Der eine ist rein privat, der andere eigentlich auch, aber nur mit WEP verschlüsselt, da meine Webcam keine bessere Verschlüsselung beherrscht. Für die Trennung sorgt iptables (was ohne conntrack-module stabil läuft und auch im obigen Thread beschrieben wurde).
Aus dem WLAN (192.168.0.0) komme ich ohne weiteres in Internet (das ist der Normalfall bei meinen Anwendungen), über ssh und OpenVPN komme ich bei Bedarf ins sichere Netz (192.168.2.0).
OpenVPN läuft z.Z. mit einer festen Partnerbox am Standort B, wo auch das Netz (192.168.1.0) entsprechend geroutet wird. Als Roadwarrior habe ich ein XP-Laptop und meinen PDA welche mit den Adressen aus dem VPN (192.168.200.x) ins Netz kommen und auch alle Subnetze erreichen. Dabei alles mit Zertifikaten und allem drum und dran....
Ich muss sagen ohne euch hätte ich das zwar nicht hinbekommen, aber ein bißchen stolz bin auch... ;)

Jetzt wo alles läuft, beginnt der Stabilitätstest, kann ich gleich aus dem demnächst anstehenden Ski-Urlaub testen.....
 
Um antworten zu können musst du eingeloggt sein.

Zurzeit aktive Besucher

Gesamt: 574 (Mitglieder: 2, Gäste: 572)

Neueste Beiträge

Statistik des Forums

Themen
246,167
Beiträge
2,247,306
Mitglieder
373,705
Neuestes Mitglied
brunomuehl
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
Ihr E-Mail-Adresse verifizieren

Ihr E-Mail-Adresse verifizieren

Wir haben Ihnen eine E-Mail geschickt. Klicken Sie auf die Schaltfläche im E-Mail-Text, um Ihre E-Mail-Adresse zu verifizieren – (Können Sie diese nicht finden können, dann überprüfen Sie Ihren Spam-Ordner).

IPPF im Überblick

Neueste Beiträge

Direktlinks Telefonanlage

Website-Sponsoren

3CX sponsor
KONTAKTIEREN SIE UNS BEI INTERESSE
| Style by ThemeHouse
XenPorta 2 PRO © Jason Axelrod of 8WAYRUN
Oben Unten
Zurück