[gelöst] OpenVPN: Zertifikat Verwaltung und IP Bereiche

Schau dir doch mal die neuere Version davon an, die benötigt allerdings momentan noch eine etwas veränderte make-Datei "make\openvpn\openvpn.mk", die ich mal anhänge...

Okay, jetzt läuft es fast...
Standort A und B verbinden sich miteinander (siehe Signatur).:)
Als Besonderheit wäre zu erwähnen, dass ich am Standort B die etwas seltsam anmutenden Einstellungen machen musste, damit es richtig in config auftaucht:
Code:
[I]Lokaler Endpunkt[/I]
IP-Adresse: 192.168.200.3 Subnetzmaske:[bleibt leer]

[I]Entfernter Endpunkt (nur für TUN)[/I]
IP-Adresse: 255.255.255.0
Dies führt dann zu ifconfig 192.168.200.3 255.255.255.0 in dem Config-File. Alle anderen IP-Adressen bleiben leer. Damit läuft es jetzt, alternativ kann man in der Config auch ifconfig ganz auskommentieren, aber diese Änderungen werden ja i.d.R. wieder überschrieben.

Das Laptop zick noch ein bißchen.
Ich bekomme eine Fehlermeldung, dass auf Grund des TAP-Adapters die Konfiguration beim TUN-Modus dirkete Nachbar-IP haben muss.
Also habe ich als Server 192.168.200.1 gewählt und das Laptop als ersten Client mit der IP 192.168.200.2 eingerichtet.
Weiterhin kann der Adapter keine Subnetze bei der Konfiguration der virtuellen Netzwerkkarte ab, also habe ich bei der Client-Konfiguration noch eine Änderung vorgenommen:

Orginal:
Code:
ifconfig-push 192.168.200.2 255.255.255.0
push "topology subnet"
iroute 192.168.3.0 255.255.255.0
push "route 192.168.1.0 255.255.255.0 192.168.200.3"
Geändert:
Code:
ifconfig-push 192.168.200.2 192.168.200.1
push "topology subnet"
iroute 192.168.3.0 255.255.255.0
push "route 192.168.1.0 255.255.255.0 192.168.200.3"
Das läuft jetzt auch soweit, allerdings wird dies ja bei jedem Neustart von OpenVPN überschrieben... kann ich das irgendwie verhindern?

So... gute Nacht....
 
also habe ich bei der Client-Konfiguration noch eine Änderung vorgenommen
allerdings wird dies ja bei jedem Neustart von OpenVPN überschrieben... kann ich das irgendwie verhindern?
Schonmal probiert diese Konfigurationsdatei mit einem schreibschutz zu versehen
Code:
chmod 444 openvpn[-lzo].conf
 
Als Besonderheit wäre zu erwähnen, dass ich am Standort B die etwas seltsam anmutenden Einstellungen machen musste, damit es richtig in config auftaucht:....
Dies führt dann zu ifconfig 192.168.200.3 255.255.255.0 in dem Config-File.
Vielleicht war ich da etwas "zu genau", aber diese Konstellation ist nur bei der Standasr-Einstellung "Max. Clients: 1" möglich (ich wollte den "Normal-User" nicht verwirren, indem da beim Tunnel IP und Maske statt zwei PtP-IPs auftauchen) sprich: Setze "Max. Clients:" mal auf > 1, dann sollte es so sein, wie du denkst (hoffe ich).

Ich bekomme eine Fehlermeldung, dass auf Grund des TAP-Adapters die Konfiguration beim TUN-Modus dirkete Nachbar-IP haben muss.
Ja, das ist die Standard-Einstellung beim Windows. Mit einem neueren Client ("This option exists in OpenVPN 2.1 or higher.") sollte aber "topology-subnet" möglich sein. Die muss der Client dann per "pull" mit abholen, oder du musst den Befehl selbst im Client eintragen.

... allerdings wird dies ja bei jedem Neustart von OpenVPN überschrieben... kann ich das irgendwie verhindern?

So direkt nicht, dazu müsstest du das Programm, dass bei jedem Starten die Config erzeugt, anpassen und in /var/tmp/flash unterbringen. Das sollte aber (s.o.) eigentlich nicht unbedingt nötig sein, hoffe ich.

Jörg
 
Ja, das ist die Standard-Einstellung beim Windows. Mit einem neueren Client ("This option exists in OpenVPN 2.1 or higher.") sollte aber "topology-subnet" möglich sein. Die muss der Client dann per "pull" mit abholen, oder du musst den Befehl selbst im Client eintragen.

:D Okay, mit der Kombination OpenVPN 2.1_beta7 & OpenVPN GUI 1.0.3 auf dem WinXP-Client funktionierts dann auch...
 
... geht denn der Rest auch "wie erwartet/gewünscht"?
Für Rück-/Fehlermeldungen bin ich immer offen...

Jörg
 
Openvpn Traffic Frage

wenn ich mich nun an meinen Arbeitsplatz mit einen Laptop und Softphone per Openvpn
zuhause auf der fritz am openvpn server einlogge un über meine fritzbox telefoniere

was für ein traffic fällt da für mein arbeitgeber an
 
Viel.

Das gespräch, was du führst geht ja - ob nun über OpenVPN oder nicht - dennoch über die Inetleitung deines Arbeitgebers

Ich kenn mich mit den Verbrauchswerten zu schlecht aus, aber ich weiß, dass bei ner Verbindung < 1000Kbit kein vernünftiges Gespräch über meine Fritzbox mit IP telefonieren möglich ist... also falls dein Arbeitgeber seinen Internetanschluß nach Traffic bezahlt, würde ich das an deiner Stelle eher sein lassen.
 
... geht denn der Rest auch "wie erwartet/gewünscht"?
Für Rück-/Fehlermeldungen bin ich immer offen...
Jau, geht jetzt alles so wie ich es mir vorgestellt habe... :p

In diesem Thread habe ich meine 7170 in VLANs zerlegt und die Netze mit eigen IP-Kreisen über dnsmasq versehen. Der eine ist rein privat, der andere eigentlich auch, aber nur mit WEP verschlüsselt, da meine Webcam keine bessere Verschlüsselung beherrscht. Für die Trennung sorgt iptables (was ohne conntrack-module stabil läuft und auch im obigen Thread beschrieben wurde).
Aus dem WLAN (192.168.0.0) komme ich ohne weiteres in Internet (das ist der Normalfall bei meinen Anwendungen), über ssh und OpenVPN komme ich bei Bedarf ins sichere Netz (192.168.2.0).
OpenVPN läuft z.Z. mit einer festen Partnerbox am Standort B, wo auch das Netz (192.168.1.0) entsprechend geroutet wird. Als Roadwarrior habe ich ein XP-Laptop und meinen PDA welche mit den Adressen aus dem VPN (192.168.200.x) ins Netz kommen und auch alle Subnetze erreichen. Dabei alles mit Zertifikaten und allem drum und dran....
Ich muss sagen ohne euch hätte ich das zwar nicht hinbekommen, aber ein bißchen stolz bin auch... ;)

Jetzt wo alles läuft, beginnt der Stabilitätstest, kann ich gleich aus dem demnächst anstehenden Ski-Urlaub testen.....
 
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.