MultiVPN mit FBF 7050 & 7170

[harza]

Hi,

ich bastel jetzt schon seit einigen Tagen ein einer VPN-Verbindung zwischen 2 Fritz-Boxen.
Die Anleitung mit dem statischen Key auf der Tecchannel-Seite hab ich umgesetzt. Das läuft auch.
Ich will aber im Endeffekt mehrere Fritz-Boxen koppel.
Eine 7170 (Router in der Arbeit) als Server und 3 7050 als Clients (stehen bei Kollegen daheim).
Mit mehr als 2 Boxen kann man, wie ich gelesen hab, keinen statischen Key verwenden. Ergo muß ich mit Zertifikaten arbeiten.

Um mir die sache beim Einrichten zu erleichtern, will ich nur eine debug.cfg erstellen in der alle Zertifikate und auch die 4 verschiedenen config-Dateien erstellt werden. Ich will nur die unterste Zeile ändern müssen.

###Telnet
/usr/sbin/telnetd -l /sbin/ar7login

while !(ping -c 1 www.tecchannel.de); do
sleep 7
done

###FTP-Server
cd /var/tmp
wget http://www.tecchannel.de/download/432803/bftpd.conf
wget http://www.tecchannel.de/download/432803/bftpd
chmod +x bftpd
chmod 777 bftpd.conf

echo "admin:xxxxxxxxxxx:0:0:root:/:null" >> /var/tmp/passwd
/var/tmp/bftpd -d -c /var/tmp/bftpd.conf

###VPN
cd /var/tmp

cat > /var/tmp/ca.key << 'ENDCAKEY'
-----BEGIN RSA PRIVATE KEY-----
xxxxxxxx
xxxxxxxx
xxxxxxxx
xxxxxxxx
xxxxxxxx
xxxxxxxx
xxxxxxxx
xxxxxxxx
usw
-----END RSA PRIVATE KEY-----
ENDCAKEY

cat > /var/tmp/ca.crt << 'ENDCACRTKEY'
-----BEGIN CERTIFICATE-----
xxxxxxxx
xxxxxxxx
xxxxxxxx
xxxxxxxx
xxxxxxxx
xxxxxxxx
xxxxxxxx
xxxxxxxx
usw
-----END CERTIFICATE-----
ENDCACRTKEY


cat > /var/tmp/server.key << 'ENDSERVERKEY'
-----BEGIN RSA PRIVATE KEY-----
xxxxxxxx
xxxxxxxx
xxxxxxxx
xxxxxxxx
xxxxxxxx
xxxxxxxx
xxxxxxxx
xxxxxxxx
usw
-----END RSA PRIVATE KEY-----
ENDSERVERKEY

cat > /var/tmp/server.crt << 'ENDSERVERCRTKEY'
Certificate:
xxxxxxxx
xxxxxxxx
xxxxxxxx
xxxxxxxx
xxxxxxxx
xxxxxxxx
xxxxxxxx
xxxxxxxx
usw
-----END CERTIFICATE-----
ENDSERVERCRTKEY

cat > /var/tmp/dh1024.pem << 'ENDDHKEY'
-----BEGIN DH PARAMETERS-----
xxxxxxxx
xxxxxxxx
xxxxxxxx
xxxxxxxx
usw
-----END DH PARAMETERS-----
ENDDHKEY

cat > /var/tmp/client1.key << 'ENDCLIENT1KEY'
-----BEGIN RSA PRIVATE KEY-----
xxxxxxxx
xxxxxxxx
xxxxxxxx
xxxxxxxx
xxxxxxxx
xxxxxxxx
xxxxxxxx
xxxxxxxx
usw
-----END RSA PRIVATE KEY-----
ENDCLIENT1KEY

cat > /var/tmp/client2.key << 'ENDCLIENT2KEY'
-----BEGIN RSA PRIVATE KEY-----
xxxxxxxx
xxxxxxxx
xxxxxxxx
xxxxxxxx
xxxxxxxx
xxxxxxxx
xxxxxxxx
xxxxxxxx
usw
-----END RSA PRIVATE KEY-----
ENDCLIENT2KEY

cat > /var/tmp/client3.key << 'ENDCLIENT3KEY'
-----BEGIN RSA PRIVATE KEY-----
xxxxxxxx
xxxxxxxx
xxxxxxxx
xxxxxxxx
xxxxxxxx
xxxxxxxx
xxxxxxxx
xxxxxxxx
usw
-----END RSA PRIVATE KEY-----
ENDCLIENT3KEY

cat > /var/tmp/client1.crt << 'ENDCLIENT1CRT'
Certificate:
xxxxxxxx
xxxxxxxx
xxxxxxxx
xxxxxxxx
xxxxxxxx
xxxxxxxx
xxxxxxxx
xxxxxxxx
usw
-----END CERTIFICATE-----
ENDCLIENT1CRT

cat > /var/tmp/client2.crt << 'ENDCLIENT2CRT'
Certificate:
xxxxxxxx
xxxxxxxx
xxxxxxxx
xxxxxxxx
xxxxxxxx
xxxxxxxx
xxxxxxxx
xxxxxxxx
usw
-----END CERTIFICATE-----
ENDCLIENT2CRT

cat > /var/tmp/client3.crt << 'ENDCLIENT3CRT'
Certificate:
xxxxxxxx
xxxxxxxx
xxxxxxxx
xxxxxxxx
xxxxxxxx
xxxxxxxx
xxxxxxxx
xxxxxxxx
usw
-----END CERTIFICATE-----
ENDCLIENT3CRT

cat > /var/tmp/server.ovpn << 'END-SERVER-OVPN'
#Grundsätzliches
port 1194
proto udp
dev tun

#Server-Einstellungen
mode server
tls-server
server 10.0.0.0 255.255.255.0
client-to-client

#IP der Fritz.Box
route 192.168.178.0 255.255.255.0
push "route 172.16.111.0 255.255.255.0"

#Authentifizierung
ca ca.crt
cert server.crt
key server.key
dh dh1024.pem
auth SHA1
cipher AES-256-CBC

#Sonstiges
ping 10
push "ping 10"
ping-restart 60
push "ping-restart 60"
verb 4

END-SERVER-OVPN

cat > /var/tmp/client1.ovpn << 'END-CLIENT1-OVPN'
#Grundsätzliches
port 1194
proto udp
dev tun

#Client-Einstellungen
tls-client
ns-cert-type server
remote xxx.dyndns.org

#Authentifizierung
ca ca.crt
cert client1.crt
key client1.key
auth SHA1
cipher AES-256-CBC

#Sonstiges
pull
verb 4
route 172.16.111.0 255.255.255.0
push "route 192.168.178.0 255.255.255.0"

END-CLIENT1-OVPN

cat > /var/tmp/client2.ovpn << 'END-CLIENT2-OVPN'
#Grundsätzliches
port 1194
proto udp
dev tun

#Client-Einstellungen
tls-client
ns-cert-type server
remote xxx.dyndns.org

#Authentifizierung
ca ca.crt
cert client2.crt
key client2.key
auth SHA1
cipher AES-256-CBC

#Sonstiges
pull
verb 4

END-CLIENT2-OVPN

cat > /var/tmp/client3.ovpn << 'END-CLIENT3-OVPN'
#Grundsätzliches
port 1194
proto udp
dev tun

#Client-Einstellungen
tls-client
ns-cert-type server
remote xxx.dyndns.org

#Authentifizierung
ca ca.crt
cert client3.crt
key client3.key
auth SHA1
cipher AES-256-CBC

#Sonstiges
pull
verb 4

END-CLIENT3-OVPN

###VPN runterladen
wget http://www.tecchannel.de/download/435560/openvpn

#Zugriffsrechte
cd /var/tmp
chmod +x /var/tmp/openvpn
chmod 0600 /var/tmp/server.ovpn
chmod 0600 /var/tmp/server.key
chmod 0600 /var/tmp/server.crt
chmod 0600 /var/tmp/client1.key
chmod 0600 /var/tmp/client2.key
chmod 0600 /var/tmp/client3.key
chmod 0600 /var/tmp/client1.crt
chmod 0600 /var/tmp/client2.crt
chmod 0600 /var/tmp/client3.crt
chmod 0600 /var/tmp/client1.ovpn
chmod 0600 /var/tmp/client2.ovpn
chmod 0600 /var/tmp/client3.ovpn
chmod 0600 /var/tmp/ca.key
chmod 0600 /var/tmp/ca.crt
chmod 0600 /var/tmp/dh1024.pem

./openvpn --config ./client1.ovpn --dev-node /dev/misc/net/tun &

Ich kann, wenn ich mich per Telnet auf eine Box (Client 1 / 192.168.178.1) die Server-Box anpingen. Aber wenn ich von meinem Windows-PC die Server-Box 172.16.111.22 anpingen will bekomm ich keine Antwort.

Welche Einstellungen muß ich in der ar7.cfg unter forwarders hinzufügen?
Muß ich übers Webinterface der Fritz.Box noch irgendwelche IP-Routen einfügen?

Bin ich vollkommen auf'm Holzweg ???

Helft mir !

Micha

 

[Code7R]

Hallo,

wo hast du gelesen dass man bei mehr als 2 Clients keine static.key verwenden kann?!? Wäre mir neu.

 

[harza]

Hallo,

wo hast du gelesen dass man bei mehr als 2 Clients keine static.key verwenden kann?!? Wäre mir neu.

Auf der OpenVPN-Seite http://openvpn.net/static.html steht recht weit oben

Static Key disadvantages
Limited scalability -- one client, one server
Lack of perfect forward secrecy -- key compromise results in total disclosure of previous sessions
Secret key must exist in plaintext form on each VPN peer
Secret key must be exchanged using a pre-existing secure channel