mal wieder OpenVPN: Box=Server XP-PC=CLientkonfigurieren?

[mcmic]

Hi Leutz.

Ich hab mir jetzt nen Wolf gelesen was VPN bzw. OpenVPN betrifft.
Hab mir den OpenVPN für die Box von Tecchannel gezogen und in der Box gestartet mit folgender Serverkonfig:

dev tun0
dev-node /dev/misc/net/tun
ifconfig 192.168.200.2 192.168.200.1
tun-mtu 1500
float
mssfix

#Pfad zum Key File
secret /var/tmp/secret.key

#Protokoll auf TCP und Port 1194
proto tcp-server
port 1194

#Protokollierung auf 4
verb 4

#Routen setzen, bei route Subnetz des Clients
# bei push Subnetz des eigenen Servers eintragen
route 192.168.100.1 255.255.255.0
push "route 192.168.178.15 255.255.255.0"

#Verbindung erhalten
ping 15
push "ping 15"
ping-restart 120
push "ping-restart 120"

Jetzt will ich mich mit einen XP Rechner der sich per ISDN ins Netz einwählt in die Box einloggen.

Meine 1 Frage:
Was soll ich in der Box unter route eintragen? Schließlich gibt es ja beim Client kein "Subnetz" ?

Die nächste Frage: Wie zum Henker muß ich den XP CLient konfiguieren? Finde nichts was mir vernünftig weiterhilft. Habe die client.ovpn mal so geschrieben:

# Router IP/Name
remote xxxxxxxxx.dnsalias.com

ifconfig 192.168.200.1 192.168.200.2

port 1194

dev tap

proto tcp-client

# OpenVPN heißt die virtuelle Netzwerkkarte unter Windows
dev-node OpenVPN

tun-mtu 1500
mssfix
persist-tun
persist-key

# Pfad zum Key
secret secret.key

Starte ich den client, nimmt dieser Verbindung auf und bestätigt das er den Server findet und eine TCP Verbindung steht.
Dann kommen Warnungen das mtu des clients anders sei als die des Servers. Vermutlich weil ich mich per ISDN einwähle in ISDN andere MTU hat?
Es wird gemeckert das ifconfig des Servers so sei wie in der Server config, der Client aber mit 192.168.200.0 192.168.200.2 arbeitet anstatt wie in der Client.ovpn angegeben.

Und das wars dann auch schon. Ich hab ne Verbindung kann aber damit nichts weiter anfangen. Kann mir jemand mal etwas auf die Sprünge helfen wo bei mir der Fehler liegt??

Bin für jeden Tipp dankbar !!!

M.

 

[waldwuffel]

Das mit dem VPN zwischen einen Einwahlrechner und einem Netzwerk mit Fritz!Box geht soweit ich weis nur üner den Bridge Modus. Das wurde hier irgendwo mal beschrieben. Jedoch has das soweit ich weis noch niemand richtig hinbekomme. Ich selbst habe auch schon mehrere Wochen experimentiert.
Wenn du deine Box mit dem DS Mod moddest das könnte es ohne größere Probleme funktionieren - jedenfalls habe ich hier mal gelesen das es so jemand geschafft hat.



client

ifconfig 10.0.0.1 10.0.0.2
remote ***********.dyndns.org # (Internet-)Adresse der Fritz!Box eintragen
secret C:\\secret.key # Pfad zur 'secret.key' angeben ('\' muss als '\\' geschrieben werden!)
dev tun0
proto udp-client
port 1194
ping 15
ping-restart 300 # 5 minutes
resolv-retry 300 # 5 minutes
#resolv-retry infinite
tun-mtu 1500
mssfix
persist-tun
persist-key
verb 4
route 10.0.0.0 255.255.255.0
push "route 10.0.0.0 255.255.255.0"
push "dhcp-option DNS 10.0.0.1"
route-gateway 10.0.0.1
redirect-gateway

server:

dev tun0
dev-node /dev/misc/net/tun
ifconfig 10.0.0.2 10.0.0.1
secret /var/tmp/secret.key
proto tcp-server
port 1194
tun-mtu 1500
float
keepalive 10 60
verb 4
mssfix
route 10.0.0.0 255.255.255.0
push "route 10.0.0.0 255.255.255.0"
daemon

so wurde es damals beschrieben das es gehen soll ohne Firmware Mod. hinbekommen habe ich es bisher noch nicht.


Dann gabs auch mal das für den Server:

while !(ping -c 1 rcswww.urz.tu-dresden.de); do
sleep 5
done

# In das Lokale Verzeichnis wechseln
cd /var/tmp

# openssl support
wget http://....../VPN/openvpn
wget http://......./VPN/openvpn-srv.cfg
chmod +x /var/tmp/openvpn
chmod 600 /var/tmp/openvpn-srv.cfg

# openvpn key files
cat > /var/tmp/static.key << "EOP"
#
# 2048 bit OpenVPN static key
#
-----BEGIN OpenVPN Static key V1-----
xxxxxxxxxxxxxxxxxxxxxxxxxxxxx
xxxxxxxxxxxxxxxxxxxxxxxxxxxxx
-----END OpenVPN Static key V1-----
EOP

chmod 600 /var/tmp/static.key

/var/tmp/openvpn --mktun --cd /var/tmp --dev-type tap --dev-node /dev/misc/net/tun --dev tap0

ar7cfgfile=/var/flash/ar7.cfg

sleep 100

 

[hermann72pb]

udp und tcp

@waldwuffel

Du schmeist die Sachen durcheinander. In den ersten beiden Configs kann es nicht funktionieren, denn du machst dort proto:udp-client und proto:tcp-server. Das sind zwei unterschiedliche Protokolle. Nur als Anmerkung.

Ich habe eine Konfiguration mit 7050 nach der guten alten Anleitung schon zig-mal zum laufen gebracht. Allerdings ging man damals nach der klassischen Methode mit dem UDP-Protokoll. Dabei sollte man die Zeile proto auf dem Server und auf dem Client komplett auskommentieren. Dann nimmt openvpn automatisch UDP. Und kein Bridge-Modus. Ganz normal klassisch: Server auf der Box und Client irgendwo auf dem Rechner. Wenn Bedarf besteht, kann ich noch alle meine alten Skripte und configs nachschauen und hier posten.

Ich weiß nicht, wer hier auf die Idee gekommen ist TCP-Protokoll zu benutzen. So ist es nämlich nun in DS-MOD-Variante von OpenVPN intergriert. Ich bekomme bis jetzt es damit auf einer 7170 nicht zum laufen. Aber das werde ich noch irgendwo anders diskutieren. Für euch hier nur paar Anmerkungen betreffend dieser Protokolle. Wenn man auf den Seiten OpenVPN im Netz alles genauer liest, wird dort gesagt, dass TCP-Variante eher eine Notlösung ist und nicht zu empfehlen ist (warum, bitte dort nachlesen). Also möglichst UDP benutzen. Bei UDP sollte man natürlich passend ports in ar7.cfg aufmachen. Für tcp ist syntaxis in ar7.cfg anders.

Und bitte mir nicht böse sein, geht auf die OpenVPN-Seite im Netz und lest dort die Anleitungen durch. Ist wirklich alles gut dokumentiert...

 

[waldwuffel]

kannst du mir mal deine Server und Client skripte posten?

Ich möchte folgendes machen:

ich möchte auf das Netzwerk hinter meiner 7170 per VPN zugreifen, von einerm beliebigen Rechner irgendwo im Internet (egal wie der die Verbindung er zum Internet herstellt). Mein Client Rechner soll die im Netzwerk hinter der Fritz Box vreigegenen Verzeichnisse auch im der Netzwerkumgebung anzeigen.

Ich möchte keinen DS Mod istallieren!!


Kann essein das das TCP Protokoll genutz wird um die Verzeichnisse in der Netzwerkumgebung sichtbar zu machen??

 

[maxmustermann20]

...

Ich habe eine Konfiguration mit 7050 nach der guten alten Anleitung schon zig-mal zum laufen gebracht. Allerdings ging man damals nach der klassischen Methode mit dem UDP-Protokoll. Dabei sollte man die Zeile proto auf dem Server und auf dem Client komplett auskommentieren. Dann nimmt openvpn automatisch UDP. Und kein Bridge-Modus. Ganz normal klassisch: Server auf der Box und Client irgendwo auf dem Rechner. Wenn Bedarf besteht, kann ich noch alle meine alten Skripte und configs nachschauen und hier posten.

...

Ja, das wäre nett.
Bei mir besteht wirklich Bedarf ...
Gruß & Danke

MaxMustermann

 

[maceis]

Hi Leutz.

Ich hab mir jetzt nen Wolf gelesen was VPN bzw. OpenVPN betrifft.
Hab mir den OpenVPN für die Box von Tecchannel gezogen und in der Box gestartet mit folgender Serverkonfig:

ifconfig 10.0.0.1 10.0.0.2
remote ***********.dyndns.org # (Internet-)Adresse der Fritz!Box eintragen
secret C:\\secret.key # Pfad zur 'secret.key' angeben ('\' muss als '\\' geschrieben werden!)
[color=red]dev tun0[/color]
dev-node /dev/misc/net/tun
...

...

# Router IP/Name
remote xxxxxxxxx.dnsalias.com

ifconfig 192.168.200.1 192.168.200.2

port 1194

[color=red]dev tap[/color]
...

...

tun und tap gemischt kann nie und nimmer klappen.

Ich hab hier auch eine Woche mit intensivem OpenVPN Studium verbracht und schließlich ist es mir gelungen mehrere LANs miteinander zu verbinden.
Allerdings habe ich mich für die Variante mit Zertifikaten entschieden da für die Variante mit preshared keys für jeden Client ein eigener OpenVPN Prozess auf einem eigenen Port gestartet werden muss.

Die Variante mit preshared keys hatte ich letzte Woche zwischen zwei Boxen am Laufen und zwar mit der einfachen Konfiguration, die ganz am Anfang der OpenVPN aufgeführt ist.

              #
              # Sample OpenVPN configuration file for
              # using a pre-shared static key.
              #
              # '#' or ';' may be used to delimit comments.

              # Use a dynamic tun device.
              dev tun

              # Our remote peer
              remote mypeer.mydomain

              # 10.1.0.1 is our local VPN endpoint
              # 10.1.0.2 is our remote VPN endpoint
              ifconfig 10.1.0.1 10.1.0.2

              # Our pre-shared static key
              secret static.key

HTH

...
Kann essein das das TCP Protokoll genutz wird um die Verzeichnisse in der Netzwerkumgebung sichtbar zu machen??

Nein, denn durch den Tunnel kannst Du ja TCP Pakete schicken. Damit Verzeichnisse in der Netzwerkumgebung sichtbar werden, müssten zusätzlich Broadcasts ermöglicht werden. Das ist aber eigentlich nicht erforderlich, da man ja i.d.R. weiss, wie die Freigaben heissen.

 

[hermann72pb]

OpenVPN vom FTP-Server downloaden

Hallo zusammen,

nach dem ausdrucklichen Wunsch von einigen Leuten poste ich hier meine Configs. Das Ganze basiert erstmal auf dem Beitrag:

http://www.ip-phone-forum.de/showthread.php?p=418627#post418627

Ich habe es also nicht erfunden. Von meiner Seite gab es nur kleine Modifikationen dazu.

Da es die 7050 box ist, ist es erstmal nicht möglich, openvpn ins Flash zu implementieren, daher muss es downgeladen werden. Im Unterschied zu hier oft geposteten Lösungen benutze ich dafür FTP-Server mit Passwort. Mag ja überflussig sein. Ihr könnt auch mit http ausprobieren. Theoretisch sollte es gehen.

Auf der Box läuft OpenVPN-Server. Binary habe ich vom oben zitiertem Thread genommen. Auf dem Windows-Client läuft OpenVPN als Client, am bequemsten mit GUI (bitte auf OpenVPN-Seite nachschauen). Es ist kein Bridging, sondern routing. "push route" geht aus irgendeinem Grund auch immer nicht, was mich erstmal nicht stört.

Auf der Box wird openvpn von dem Server mit folgendem Skript geholt, die config-Datei wird geschrieben, openvpn wird gestartet:

/var/flash/debug.cfg

# OpenVPN Script für 7050 mit download von "openvpn" binary vom FTP-Server
#
# Server auf dem die Daten liegen
# Serverurl mit http:// oder [url]ftp://user:pass@[/url] und ohne Verzeichnis angabe
# Serverprefix
serverprf="ftp://"
# FTP-Server Username
serveruser="MeinFTPuserName"
# FTP-Server Passwort
serverpwd="MeinPasswort"
# FTP-Server URL
serverurl="ftp.meinftpserver.de"
# Pfad zu den Dateien (zb serverdir="/fritzbox")
serverdir=""
# Tool (Dateiname), was auf dem FTP-Server liegt
tool1="openvpn"
serverstr=$serverprf$serveruser:$serverpwd@$serverurl$serverdir/$tool1

# Warten bis die FritzBox den Server erreichen kann
# Dies ist eine gefährliche Schleife, bitte auf eigene Gefahr benutzen!!!
while !(ping -c 1 $serverurl); do
sleep 5
done

# In das Lokale Verzeichnis wechseln
cd /var/tmp

# OpenVPN holen und ausführbar machen
wget $serverstr
chmod +x /var/tmp/openvpn

# OpenVPN - static.key erzeugen
# wird in die Datei /var/tmp/static.key geschrieben

cat > /var/tmp/static.key <<EOF
# 2048 bit OpenVPN static key 
#
-----BEGIN OpenVPN Static key V1-----
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
[... Zeilen ausgelassen]
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
-----END OpenVPN Static key V1-----
EOF
chmod 0600 /var/tmp/static.key

# openvpn.conf schreiben
echo dev-type tun > /var/tmp/openvpn.conf
echo  ifconfig 10.0.0.1 10.0.0.2 >> /var/tmp/openvpn.conf
echo secret /var/tmp/static.key >> /var/tmp/openvpn.conf
echo dev-node /dev/misc/net/tun >> /var/tmp/openvpn.conf
echo tun-mtu 1400 >> /var/tmp/openvpn.conf
echo fragment 1300 >> /var/tmp/openvpn.conf
echo mssfix >> /var/tmp/openvpn.conf
echo comp-lzo >> /var/tmp/openvpn.conf
echo ping 15 >> /var/tmp/openvpn.conf
echo ping-restart 60 >> /var/tmp/openvpn.conf
echo ping-timer-rem >> /var/tmp/openvpn.conf
echo persist-tun >> /var/tmp/openvpn.conf
echo persist-key >> /var/tmp/openvpn.conf
chmod 0600 /var/tmp/openvpn.conf

#openvpn starten
cd /var/tmp
./openvpn --cd /var/tmp --daemon --config openvpn.conf

#fertig
echo "/var/flash/debug.cfg completed" > /var/tmp/I_am_done

(nachfolgender Vorschlag von maceis bereits integriert)

Wie man debug.cfg modifiziert, wurde hier oft gepostet. Ich empfehle es erstmal in /var/tmp zu packen und dort ggf. zu editieren und zu testen und erst danach mit

cat /var/tmp/debug.cfg > /var/flash/debug.cfg

ins flash zu holen.

Die while-schleife sollte dazu dienen, auf euer Server mit openvpn zu warten. Eine gute Sache, dadurch wird openvpn nie verpasst. Es gibt hier aber ein kleines "aber". Die Schleife ist von sich aus unendlich, also wird gewartet, bis der Arzt kommt. Habt ihr keine Verbindung, oder Server ist nicht erreichbar, passieren merkwürdige Sachen: ds-mod wird nicht gestartet, auch kein ssh, nichts. Es wäre besser eine endliche FOR-Schleife stattdessen zu machen. Möge bitte jemand von Linux-Freaks es an der Stelle tun, ich kenne mich mit for-schleifen in bash nicht aus.

Firewall muss natürlich angepasst werden. Ich gebe hier etwas großzügiger den Ausschnitt von ar7.cfg, damit man es eindeutig findet, wo die Regel hingehört (also kurz vor name = "voip").
In meinem Fall benutze ich zusätzlich zu dem 1194-Port den Port 53. Und 22-Port ist für SSH freigeschaltet. Also nur 3 Zeilen mit ports 1194, 53, 22, alles andere dient der Orientierung.

                                             "reject udp any any eq 1710",
                                             "reject udp any any eq 1048",
                                             "reject udp any any eq 158",
                                             "reject udp any any eq 515",
                                             "reject icmp any 149.1.1.0 255.255.255.0",
                                             "reject tcp any host 202.106.185.127 eq 25";
                        }
                        forwardrules = "tcp 0.0.0.0:0 0.0.0.0:0 1 out",
                                       "udp 0.0.0.0:0 0.0.0.0:0 1 out",
                                    ......................................
				    ........................................				
                                       "udp 0.0.0.0:53 0.0.0.0:1194",
                                       "tcp 0.0.0.0:22 0.0.0.0:22",
                                       "udp 0.0.0.0:1194 0.0.0.0:1194";
                      shaper = "globalshaper";
                }
        } {
                name = "voip";
                dsl_encap = dslencap_inherit;
                ppptarget = "voip";
                etherencapcfg {

Auf der Client-Seite habe ich folgende Config-Datei

client.ovpn

disable-occ

remote MeinServer.dyndns.org
float

# dies ist meine spezifische Lösung, wenn es mit port 1094 nicht geht
;port 53

dev tun
tun-mtu 1400
ifconfig 10.0.0.2 10.0.0.1
route 192.168.178.0 255.255.255.0
fragment 1300
mssfix
secret static.key
ping-restart 60
persist-tun
persist-key
ping 15
comp-lzo

Die ganze Geschichte ist sehr konservativ und spezifisch. Ich sitze auf der Arbeit mit meinem Client hinter einer Firewall, die auch nach außen zu ist. Also, port 1194 ist nicht möglich. Daher benutze ich Port 53. Der wird normalerweise für Namenserver benutzt und ist standardmäßig UDP, was ich auch brauche. Durch DSL und unsere Firewall auf der Arbeit muss MTU-Wert abgesetzt werden. Ich hatte mehrere Konfigurationen ausprobiert, bis ich auf die gekommen bin. Wiederum, mag sein, eine oder andere Sache ist überflussig.


Und wie immer, ich übernehme keine Haftung! Alles auf eigene Gefahr!

 

[maceis]

Vielleicht darf ich noch ergänzend hinzufügen, wie man mehrzeilige Dateien über die debug.cfg auch erstellen kann.
Anstelle von:

# OpenVPN - static.key erzeugen
# wird in die Datei /var/tmp/static.key geschrieben

echo # 2048 bit OpenVPN static key > /var/tmp/static.key
echo # >> /var/tmp/static.key
echo -----BEGIN OpenVPN Static key V1----- >> /var/tmp/static.key
echo xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx >> /var/tmp/static.key
echo xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx >> /var/tmp/static.key
[... Zeilen ausgelassen]
echo xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx >> /var/tmp/static.key
echo xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx >> /var/tmp/static.key
echo -----END OpenVPN Static key V1----- >> /var/tmp/static.key
chmod 0600 /var/tmp/static.key

kann man alternativ schreiben:

# OpenVPN - static.key erzeugen
# wird in die Datei /var/tmp/static.key geschrieben

[color=blue]cat > /var/tmp/static.key <<EOF[/color]
# 2048 bit OpenVPN static key 
#
-----BEGIN OpenVPN Static key V1-----
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
[... Zeilen ausgelassen]
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
-----END OpenVPN Static key V1-----
[color=blue]EOF[/color]
chmod 0600 /var/tmp/static.key

Das empfinde ich als etwas übersichtlicher und ist auch einfacher zu erstellen.
HTH

 

[waldwuffel]

So geschaft ! Mal sehen os jetzt auch noch läuft!

 

[maxmustermann20]

Uih mal sehen!
Ich werds morgen mal probieren, wenn es mit dem Image von the-contruct.com nicht funktioniert. Gehe aber nicht davon aus, dass das alles so einfach ist, wie es aussieht.
Danke an alle die ihre Konfiguration gepostet haben.
Gruß

 

[Ing]

Nachdem ich die letzten 3 Tage damit verbracht habe, OpenVPN auf der FritzBox ans laufen zu kriegen, will ich doch auch mal kurz meine Erfahrungen schildern, wie ich es letzten Endes tatsächlich hinbekommen habe:

Ich habe die Anleitung von Hellspawn genommen (wirklich sehr gut! - Besten Dank dafür):

http://www.ip-phone-forum.de/showthread.php?t=65863&page=10

Aber das Ganze ging bei mir auch nicht auf Anhieb. Das Problem lag in der verwendeten Binary. Ans Laufen gekriegt habe ich es mit OpenVPN-GUI 1.0.3:

http://www.openvpn.se/download.html

und der OpenVPN 2.1.B11 für die FritzBox (auch aus dem o.g. Thread):

Open VPN 2.1 B11

 

[waldwuffel]

Und hats mal jemand getestwt? Ich komme erst heute abend dazu.

Wurden noch Probleme entdeckt?

 

[knox]

Und hats mal jemand getestwt?
Wurden noch Probleme entdeckt?

wieso immer die selben fragen stellen, ohne die bereits gelieferten antworten zu lesen?

es gibt einen erschöpfenden thread zum thema openvpn auf der fritzbox, in dem alle fragen beantwortet werden. alle wichtigen links wurden bereits genannt, du musst nicht einmal die suchfunktion bemühen...

variante a: openvpn mit static key
variante b: openvpn mit zertifikaten (multi-client)

außerdem wurden die relevanten details bereits mehrfach wiederholt und sogar kommentiert.