IpFire und Freetz Open VPN

[Torfkop]

Moin,

ich habe an einem Standort eine IPFire Firewall laufen und an einer Außenstelle nur eine FritzBox mit Freetz und OpenVpn. Diese FritzBox möchte ich gerne als OpenVPN Client mit meinem IPFire verbinden. Der IPFire erstellt allerdings immer die p12 Pakete. Kann ich diese irgendwie im Freetz einbinden?

 

[MaxMuster]

Reicht dir das hier???

Jörg

 

[Torfkop]

Bin mit deiner Hilfe schonmal einen Schritt weiter.
Irgendwie bekomm ich aber nun folgende Meldung im DebugModus:

Sun Jun 13 17:00:10 2010 OpenVPN 2.1.1 mipsel-linux [SSL] [LZO2] [EPOLL] [MH] bu
Sun Jun 13 17:00:11 2010 NOTE: OpenVPN 2.1 requires '--script-security 2' or hig
Sun Jun 13 17:00:11 2010 WARNING: file '/tmp/flash/box.key' is group or others a
Sun Jun 13 17:00:11 2010 Control Channel Authentication: using '/tmp/flash/stati
Sun Jun 13 17:00:11 2010 Outgoing Control Channel Authentication: Using 160 bit
Sun Jun 13 17:00:11 2010 Incoming Control Channel Authentication: Using 160 bit
Sun Jun 13 17:00:11 2010 LZO compression initialized
Sun Jun 13 17:00:11 2010 Control Channel MTU parms [ L:1542 D:166 EF:66 EB:0 ET:
Sun Jun 13 17:00:11 2010 TUN/TAP device tun0 opened
Sun Jun 13 17:00:11 2010 TUN/TAP TX queue length set to 100
Sun Jun 13 17:00:11 2010 /sbin/ifconfig tun0 10.10.197.2 pointopoint 10.10.197.1
Sun Jun 13 17:00:11 2010 Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:
Sun Jun 13 17:00:11 2010 Socket Buffers: R=[110592->131072] S=[110592->131072]
Sun Jun 13 17:00:11 2010 UDPv4 link local: [undef]
Sun Jun 13 17:00:11 2010 UDPv4 link remote: [AF_INET]79.198.23.197:1194

Meine Lokale IP im IPFire ist 10.10.97.1


Haste da noch ne idee was es sein könnte?

 

[MaxMuster]

Haste da noch ne idee was es sein könnte?

Ja, habe ich ;-)

erstmal: 10.10.97.1 ist ungleich 10.10.197.1
dann: wenn du die .1-er IP hast, ist das falsch eingestellt, denn laut Log hast du die .2?!?

Ansonsten: vergleiche die erzeugte Config mit der "vorgegebenen" (wie du das Config-File bekommst, steht z.B. im Freetz-Wiki (zum Ende hin)

Jörg

 

[Torfkop]

Stimmt. Adressen habe ich passend geändert. Allerdings weiß ich nicht so wirklich genau was ich da im Wiki finden soll. Da sind doch lediglich die Einstellungen für die Fritz Box als Server drin oder irre ich mich da?

 

[MaxMuster]

Ich meinte "Ein paar Tips wenn es nicht gleich so klappt". Dort steht dann z.B. (das meinte ich):

Die Config auf der Box kann man am einfachsten in der Rudi-Shell ausgeben lasssen, indem man dort
cat /mod/etc/openvpn*.conf
ausführt. Diese Config kann man dann gut mit der Config der "Gegenseite" vergleichen.

So kannst du die Config sehen, und vermutlich auch, wo es "hängen" könnte (und nochmal ein Zitat aus dem Wiki ;-)):

Eigentlich gibt es nur zwei Arten von Parametern:
Solche, die identisch sein müssen und solche, die "spiegelverkehrt" auftreten müssen.
* Die "identischen" sind z.B. Cipher, "comp-lzo", tls-auth, das benutzte Protokoll (UDP/TCP) und der Port,
* "Spiegelbildlich" sind die IPs beim TUN, die Routing-Einträge, die Server- / Client-Parameter wie "tls-server/tls-client", push und pull.

Jörg

 

[Torfkop]

# OpenVPN 2.1 Config, Sun Jun 13 17:32:49 CEST 2010
proto udp
dev tun
ca /tmp/flash/ca.crt
cert /tmp/flash/box.crt
key /tmp/flash/box.key
tls-client
ns-cert-type server
remote ip 1194
nobind
ifconfig 10.10.97.2 10.10.97.1
tun-mtu 1500
mssfix
log /var/tmp/debug_openvpn.out
verb 3
daemon
cipher BF-CBC
comp-lzo
keepalive 10 120
resolv-retry infinite

Grundsätzlich scheint alles zu stimmen.

Adresse korrekt. Port und IP Adressen stimmen jetzt auch. cipher ist der gleiche. MTU ist gleich. UDP ist gleich.

Irgendwie merkwürdig

 

[MaxMuster]

Ansonsten: LZO-Komprimierung soll an sein (comp-lzo)??

Versuche sonst mal, den "verbose"-Level höher zu setzen (z.b. auf 6)

Jörg

 

[MrVenus]

Warum nicht direkt mit IPSEC

Warum nicht direkt mit IPSEC ...dann gehts auch ohne Freetz

z.B. so:

vpncfg {
        connections {
                enabled = yes;
                conn_type = conntype_lan;
                name = "VERBINDUNGSNAME - DNS1.pcip.de";
                always_renew = yes;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 0.0.0.0;
                remotehostname = "DNS1.pcip.de";
                localid {
                        fqdn = "DNS2.selfhost.it";
                }
                remoteid {
                        fqdn = "DNS1.pcip.de";
                }
                mode = phase1_mode_idp;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "GEHEIM-KEY";
                cert_do_server_auth = no;
                use_nat_t = no;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 192.168.1.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2remoteid {
                        ipnet {
                                ipaddr = 192.168.2.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2ss = "esp-all-all/ah-all/comp-all/pfs";
                accesslist = "permit ip any 192.168.2.0 255.255.255.0";
        } 
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", 
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}