OpenVPN auf 7270 Port 443

[bruce.one]

@bruce.one:
Dir fehlt das tun-Device.

# create tun-device
mknod /var/tmp/tun c 10 200

Dann musst du das neu angelegte Device noch angeben in der Config mit

dev-node /var/tmp/tun

So das habe ich jetzt, nun habe ich folgende Meldungen in OpnVPN GUI Client Log.

Fri Sep 04 13:49:05 2009 us=595000 TCPv4_CLIENT link local: [undef]
Fri Sep 04 13:49:05 2009 us=595000 TCPv4_CLIENT link remote: 92.230.51.14:443
Fri Sep 04 13:50:05 2009 us=265000 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Fri Sep 04 13:50:05 2009 us=265000 TLS Error: TLS handshake failed
Fri Sep 04 13:50:05 2009 us=265000 Fatal TLS error (check_tls_errors_co), restarting
Fri Sep 04 13:50:05 2009 us=265000 TCP/UDP: Closing socket
Fri Sep 04 13:50:05 2009 us=265000 SIGUSR1[soft,tls-error] received, process restarting
Fri Sep 04 13:50:05 2009 us=265000 Restart pause, 5 second(s)
Fri Sep 04 13:50:10 2009 us=273000 WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
Fri Sep 04 13:50:10 2009 us=273000 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Fri Sep 04 13:50:10 2009 us=273000 Re-using SSL/TLS context
Fri Sep 04 13:50:10 2009 us=273000 LZO compression initialized
Fri Sep 04 13:50:10 2009 us=273000 Control Channel MTU parms [ L:1576 D:140 EF:40 EB:0 ET:0 EL:0 ]
Fri Sep 04 13:50:10 2009 us=710000 Preserving previous TUN/TAP instance: OpenVPN
Fri Sep 04 13:50:10 2009 us=710000 Data Channel MTU parms [ L:1576 D:1450 EF:44 EB:135 ET:32 EL:0 AF:3/1 ]
Fri Sep 04 13:50:10 2009 us=710000 Local Options String: 'V4,dev-type tap,link-mtu 1576,tun-mtu 1532,proto TCPv4_CLIENT,comp-lzo,cipher BF-CBC,auth SHA1,keysize 128,key-method 2,tls-client'
Fri Sep 04 13:50:10 2009 us=710000 Expected Remote Options String: 'V4,dev-type tap,link-mtu 1576,tun-mtu 1532,proto TCPv4_SERVER,comp-lzo,cipher BF-CBC,auth SHA1,keysize 128,key-method 2,tls-server'
Fri Sep 04 13:50:10 2009 us=710000 Local Options hash (VER=V4): '31fdf004'
Fri Sep 04 13:50:10 2009 us=710000 Expected Remote Options hash (VER=V4): '3e6d1056'
Fri Sep 04 13:50:10 2009 us=710000 Attempting to establish TCP connection with 92.230.51.14:443
Fri Sep 04 13:50:10 2009 us=803000 TCP connection established with 92.230.51.14:443
Fri Sep 04 13:50:10 2009 us=803000 Socket Buffers: R=[8192->8192] S=[8192->8192]
Fri Sep 04 13:50:10 2009 us=803000 TCPv4_CLIENT link local: [undef]
Fri Sep 04 13:50:10 2009 us=803000 TCPv4_CLIENT link remote: 92.230.51.14:443

/brc

 

[tendax]

Hast du die richtigen Zertifikate auf dem Client und diese auch richtig in die client.ovpn eingetragen?

z.B.
ca /var/tmp/ca.crt
key /var/tmp/user1.key
cert /var/tmp/user1.crt

Ist dein Client ein Notebook mit der Win32 GUI von openvpn?

Da musst du den namen der Netzwerkkarte die in der Beschreibung Win32 TAP Device steht als dev-node eintragen.

z.B.
Name= "Netzwerkkarte-1" (In den Windows Netzwerverbindungen)

dann musst du in die client.ovpn

"dev-node Netzwerkkarte-1" eintragen

Schau vielleicht noch mal die Zertifikate durhc ich hab anscheinend aus versehen die Zertifikate als pkcs12 erstellt gehabt das ging bei mir nicht. Du musst zum erstellen die "build-key.bat" (client) und "build-key-server.bat" (server) benutzen.


greetz

tendax

 

[MaxMuster]

@bruce.one: Da wäre auf jeden Fall auch mal das Log der Server Seite anzusehen, was man da sieht. Einfach nochmal ohne "daemon" starten und den output beim Verbindungsaufbau posten.

Jörg

 

[tendax]

So also ich hab das ganze jetzt soweit das ich über VPN auf Windows und HTTP Feigaben zugreifen kann und Geräte im Heimnetzwerk anpingen kann.

Habe in dazu auf dem openvpn server eine Brücke vom der Virtuellen Netzwerkkarte zu den restlichen Netzwerkadaptern der Firtzbxo eingerichtet ("/var/tmp/brctl addif lan tap0"). Auf dem Client habe ich eine Windows Brücke zum überbrücken des Win32 TAP Netzwerkadapters und der Normalen Netzwerkkarte erstellt (beide Netzwerkadapter auswählen > rechtsklick > überbrücken).

Schaut jetz ungefähr so aus:

Client:
Virtueller Win32 TAP Netzwerkadapter 192.168.2.120
(Schnittstelle zum VPN Tunnel)
10/100 MBit Netzwerkkarte 192.168.1.220
Beide Adapter mit Windows Brücke verbunden

Server:
Interne IP der Fritzbox 192.168.1.1

Virtuelle netzwerkkarte tap0 192.168.1.253
Schnittstelle zum VPN Tunnel 192.168.2.121
Beide Adapter (inklsuvie Wlan und Wds) verbunden


Jetz habe ich noch folgendes Problem, ich möchte vom VPN Client aus auch
die Internetverbindung des heimnetzwerkes (welche durch die Fritzbox die auch als VPN Server fungiert hergestellt wird) zugreifen können. Im Prinzip würde es mir auch langen wenn nur für bestimmte Ports (FTP, Messenger, POP3, etc.) die Internetverbidnung des heimnetzes genutzt wird. Normale HTTP Verbindungen müssten nicht zwingend über den Heimnetz Internetzugang laufen.

Vielleicht hat jemadn einen Tip für mich was ich jetzt dafür noch brauche? Portforwardind, IP Masquerading, oder einen NAT für dei Verbindung zwischen zwischen VPN Tunnel und Internetgateway (der auf 192.168.1.1 liegt). Bzw. was auf den Server bzw. den Client muss. Hab jetzt da schon einiges gelesen , das war aber größtenteils sehr verwirrend sodass ich jetzt immer noch nicht ganz sicher bin was ich dafür noch brauche. Gibt s nicht eine möglichkeit einfach alle IP Anfragen auf allen ports über den VPN Tunnel zu leiten?

Habe bereits ein bisschen mit der briding funktion rumgespielt abe rmeistens mit dem Ergebniss das ich die runter in den Keller musste zum neustarten weil die Box nicht merh erreichbar war.


PS: gibt es ausser der Comprimierung (comp-lzo) eigneltich noch eine Möglichkeit die Verbidnung etwas zu beschleunigen? Dank meines DSL Ligth zuganges ist das ganze etwas frickelig, VNV Viewer funktioniert zwar ist aber seh sehr ruckelig.
greetz

tendax

 

[MaxMuster]

Die "heimische" Internetverbindung zu nutzen ist einfach. Ein "redirect-gateway" in der Konfig des Clients reicht.

Mehr als Komprimieren geht nicht. Aber vielleicht kommst du bei deinem Zugriff ja doch mit einem Tunnel und Routing aus (und damit ohne Bridging). Das ist deutlich Bandbreitenschonender. Auch ein Umstieg auf UDP statt TCP würde das ganze noch (ganz leicht) entspannen, weil es mit weniger Overhead auskommt.
Das hängt natürlich beides von deinen Möglichkeiten ab...

Jörg

 

[equil]

Hallo zusammen,

wenn ich das richtig verstanden habe, dann hattest du das gleiche Ziel, wie ich momentan habe. Ich würde gerne auf meiner Box einen VPN Server haben, der es zulässt, dass externe Clients über meine Box surfen. Das wäre doch mit deiner Konfiguration so dann auch möglich oder?

Darf ich also mal fragen, wie nun die finale Version der Konfigurationsdateien (client + server) aussieht? Und hast du den kompletten Ablauf auch in der debug.cfg oder hast du das bisher alles manuell installiert?

Vielen Dank im Vorraus!

Michael

 

[tendax]

Hi also ich bin leider noch nicth komplett fertig, ich hab zwar den zugriff aufs Heimnetzwerk, aber die Nutzung des Internetgateways des Heimnetzwerkes habe ich noch nicht hinbekommen (redirect-gateway), vielleicht kann jemand anderes noch was dazu sagen, ich hab zwar im nezt schon danach gesucht aber mir ist immer noch cnith schlüssig ob das jetz in die client.ovpn oder server.ovpn rein muss, und ob da noch irgend welche angaben dafür nötig sind (default-gateway oder ähnliches.).

Hab leider gerade keine Zeit, aber wenn cihs schaffe poste ich heute Abend mal meine config files, du kannst dich derweilen schon mal mit dem estellen von zertifikaten auseinandersetzen, ich hab dir ne PFD angehängt die ich im Netezgefunden hab, musst eignentlihc genau so vorgehen wies dort beschrieben wird, nur mit der abwecihung, das in der anleitung für Serverzertifikate "build-key-pkcs12" für den server key verwednet wird, hier benutzt du einfach die "build-key-server" an sonsten is es genau so wie in der anleitung beschrieben. Für das ganze brauchst du das EASY-RSA paket, das wird bei openVPN mitgeliefert, wenn du dir z.B. die Win32 Version von OpenVPPN lädst und installierst findest du das ganze im Ordner c:\Programme\openvpn\easy-rsa\ .

greetz

tendax

 

[MaxMuster]

Das "redirect-gateway" gehört wie geschrieben in die Client-Config und macht folgendes in Umgangsprache:

- Suche das aktuelle Default-Gateway (DG_alt)
- Trage eine Hostroute ein: Zum VPN-Server über DG_alt
- Lösche die Defaultroute über DG_alt
- Trage eine neue Defaultroute ein über die VPN-IP des VPN-Servers (die u.U noch mit "route-gateway" festzulegen ist, je nach dem Rest der Config; Standard ist "Tunnel-IP des Servers")

Der ganze Ablauf beim Verbindungsaufbau sollte beim Client gut im Log zu verfolgen sein (die Einträge sind "route ADD ...", "route DELETE ..." usw); auch eventuelle Probleme wegen eines fehlenden/unpassenden "route-gateway" findest du da.

Jörg

 

[equil]

Hey, danke schon mal.
Ich habe bzgl. eines Internetgateways noch folgendes gefunden: http://wiki.openvpn.eu/index.php/Konfiguration_eines_Internetgateways

Ansonsten gibt google auch einiges her, wenn man nach nach "openvpn internet gateway" sucht. Ich hoffe, ich konnte dir damit weiterhelfen.

Viele Grüße
Michael

 

[bruce.one]

@all
bin jetzt erstmal 4 Wochen im Urlaub und werde danach erst das Thema weiterverfolgen können.

Gruss Bruce

 

[mettadron]

hallo,

ich hab mich mal in das thema eingelesen.
und vll. pass mein problem ja noch mit rein.

ich hatte erst das problem wie tendax. die openvpn datei, die ich geladen hatte war die forbidden.html

habe daraufhin die weiter vorne gefundene zip datei von MaxMuster geladen und per ftp auf die box geschoben.

beim starten kommt folgende meldung:

line 1: syntax error: word unexpected (expecting ")")

muss man das über wget und http auf die box ziehen?