Openvpn box2 client

[koepie]

Hi

Ich habe auf meiner FB 7170 den neusten ds mod mit openvpn laufen.
Ich möchte jetzt das der openvpn Server auf Port 443 TCP läuft.

Der Client soll sich dann über einen Proxy verbinden können.
Wenn der Client mit der FB verbunden ist soll er über die Fritzbox ins Inet kommen und er soll auf die Computer die an die Fritzbox angeschlossen sind kommen (192.168.178.0)

Wäre nett wenn ihr mir sagen würdet wie ich da die FB mit ds mod konfigurieren muss und wie den client?

Gruß
koepie

 

[MaxMuster]

Also, der Zugriff über den Port 443 ist recht einfach, wenn du die benötigte Portweiterleitung "eingehend", einträgst. Der Port des openvpn kann auf dem Standard-Port bleiben. Wie es eingetragen wird steht z.B. hier im Wiki, bei dir sähe das dann wohl so aus:

"tcp 0.0.0.0:443 0.0.0.0:1194" ,

Hier ist dein Wunsch schon berücksichtigt, dass du das ganze wohl über den HTTPS-Port, also wohl per TCP, nutzen willst.

Dazu muss ich noch erwähnen, dass es eventuell auf deiner Box nicht funktionieren wird, da es auf einigen (oder allen ?!?)) 7170 wohl problematisch ist, openvpn mit einer TCP-Verbindung zu nutzen.

Um vom Client über den Server zu surfen, muss der Punkt "Client Traffic umleiten" gewählt sein, sofern du mit Zertifikaten arbeitetes und dein Cleint mit "pull" die Befehle abholt. Ansonsten ist das in der Client-Config der Punkt "redirect-gateway".

Im Wiki steht eine Menge mehr, auch Verweise zu anderen Seiten, wo du noch ein paar Grndlagen für den Aufbau deiner Client Konfiguration bekommst, du wirst vermutlich z.B. solche Befehle wie "http-proxy <proxy-server> <proxy-port>" benötigen.

Jörg

 

[koepie]

funzt noch nicht!

hab das jetzt mit den stischen key gemacht

server.ovpn

proto tcp-server
port 443
dev tun
secret /tmp/flash/static.key
ifconfig 192.168.200.1 192.168.200.2 
route 192.168.200.0 255.255.255.0
push "route 192.168.200.1"
max-clients 7
tun-mtu 1500
mssfix

daemon
verb 3

cipher BF-CBC
comp-lzo
keepalive 10 120

client.ovpn

remote asdasd.ath.cx 443
proto tcp-client
dev tun
ifconfig 192.168.200.2 192.168.200.1
route 192.168.178.0 255.255.255.0
secret "C:\\secret.key"
tun-mtu 1500
float
mssfix
nobind
verb 3
keepalive 10 120

Also die verbindung steht allerding funzt kein ping

 

[MaxMuster]

kein "comp-lzo" im Client?!?

 

[koepie]

funzt auch nicht
selbst wenn ich auf beiden seiten die Kompression abschalte

 

[MaxMuster]

Danne starte mal ohne "daemon". Taucht da vielleicht was in dieser Art auf:
TCP: accept(n) failed: Resource temporarily unavailable (errno=11)

Dann geht es mit deiner Box und TCP nicht.

Was meintest du denn mit "Also die verbindung steht ..."

Jörg

 

[koepie]

na also der client (winxp) verbindet sich mit der box

hier der log

Sat Dec 01 20:58:37 2007 OpenVPN 2.0.9 Win32-MinGW [SSL] [LZO] built on Oct  1 2006
Sat Dec 01 20:58:37 2007 IMPORTANT: OpenVPN's default port number is now 1194, based on an official port number assignment by IANA.  OpenVPN 2.0-beta16 and earlier used 5000 as the default port.
Sat Dec 01 20:58:37 2007 Static Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Sat Dec 01 20:58:37 2007 Static Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Sat Dec 01 20:58:37 2007 Static Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Sat Dec 01 20:58:37 2007 Static Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Sat Dec 01 20:58:37 2007 TAP-WIN32 device [LAN-Verbindung 2] opened: \\.\Global\{B7A94F24-B0FD-4E72-89DF-699BAF4FED87}.tap
Sat Dec 01 20:58:37 2007 TAP-Win32 Driver Version 8.4 
Sat Dec 01 20:58:37 2007 TAP-Win32 MTU=1500
Sat Dec 01 20:58:37 2007 Notified TAP-Win32 driver to set a DHCP IP/netmask of 192.168.200.2/255.255.255.252 on interface {B7A94F24-B0FD-4E72-89DF-699BAF4FED87} [DHCP-serv: 192.168.200.1, lease-time: 31536000]
Sat Dec 01 20:58:37 2007 Successful ARP Flush on interface [131075] {B7A94F24-B0FD-4E72-89DF-699BAF4FED87}
Sat Dec 01 20:58:37 2007 Data Channel MTU parms [ L:1546 D:1450 EF:46 EB:4 ET:0 EL:0 ]
Sat Dec 01 20:58:37 2007 Local Options hash (VER=V4): 'd4fff582'
Sat Dec 01 20:58:37 2007 Expected Remote Options hash (VER=V4): '3013c6d1'
Sat Dec 01 20:58:37 2007 Attempting to establish TCP connection with 192.168.178.1:443
Sat Dec 01 20:58:37 2007 TCP connection established with 192.168.178.1:443
Sat Dec 01 20:58:37 2007 TCPv4_CLIENT link local: [undef]
Sat Dec 01 20:58:37 2007 TCPv4_CLIENT link remote: 192.168.178.1:443
Sat Dec 01 20:58:38 2007 Peer Connection Initiated with 192.168.178.1:443
Sat Dec 01 20:58:38 2007 TEST ROUTES: 0/0 succeeded len=1 ret=0 a=0 u/d=down
Sat Dec 01 20:58:38 2007 Route: Waiting for TUN/TAP interface to come up...
Sat Dec 01 20:58:39 2007 TEST ROUTES: 0/0 succeeded len=1 ret=0 a=0 u/d=down
Sat Dec 01 20:58:39 2007 Route: Waiting for TUN/TAP interface to come up...
Sat Dec 01 20:58:40 2007 TEST ROUTES: 0/0 succeeded len=1 ret=0 a=0 u/d=down
Sat Dec 01 20:58:40 2007 Route: Waiting for TUN/TAP interface to come up...
Sat Dec 01 20:58:41 2007 TEST ROUTES: 0/0 succeeded len=1 ret=0 a=0 u/d=down
Sat Dec 01 20:58:41 2007 Route: Waiting for TUN/TAP interface to come up...
Sat Dec 01 20:58:42 2007 TEST ROUTES: 0/0 succeeded len=1 ret=0 a=0 u/d=down
Sat Dec 01 20:58:42 2007 Route: Waiting for TUN/TAP interface to come up...
Sat Dec 01 20:58:43 2007 TEST ROUTES: 1/1 succeeded len=1 ret=1 a=0 u/d=up
Sat Dec 01 20:58:43 2007 route ADD 192.168.178.0 MASK 255.255.255.0 192.168.200.1
Sat Dec 01 20:58:43 2007 Route addition via IPAPI succeeded
Sat Dec 01 20:58:43 2007 Initialization Sequence Completed

 

[MaxMuster]

Dann starte den Server doch mal so, dass du das log siehst. In der RudiShell:

killall openvpn
cat /mod/etc/openvpn*.conf | grep -v daemon > /var/tmp/ovpn.conf
openvpn /var/tmp/ovpn.conf &
sleep 30
killall openvpn

Wenn sich dann in diesen 30 Sekunden der Client verbindet, siehst du das Server-Log (ansonsten mal mit sleep 60 auf eine Minute verlängern.

Jörg

 

[koepie]

hmm komisch mit dieser einstellung gehts...

client

ifconfig 10.0.0.1 10.0.0.2
remote 192.168.178.1 # (Internet-)Adresse der Fritz!Box eintragen
secret C:\\secret.key # Pfad zur 'secret.key' angeben ('\' muss als '\\' geschrieben werden!)
dev tun
proto tcp-client
port 443
ping 15
ping-restart 300 # 5 minutes
resolv-retry 300 # 5 minutes
#resolv-retry infinite
tun-mtu 1500
mssfix
persist-tun
persist-key
verb 3
route 10.0.0.0 255.255.255.0
push "route 10.0.0.0 255.255.255.0"
push "dhcp-option DNS 10.0.0.1"
route-gateway 10.0.0.1
redirect-gateway
cipher BF-CBC

Server

# OpenVPN 2.1 Config
proto tcp-server
port 443
dev tun
secret /tmp/flash/static.key
ifconfig 10.0.0.2 10.0.0.1 
route 10.0.0.0 255.255.255.0
push "route 10.0.0.0 255.255.255.0"
push "route 192.168.178.0 255.255.255.0"
max-clients 7
tun-mtu 1500
mssfix

daemon
verb 3

cipher BF-CBC
keepalive 10 120

jetzt muss ich es nur noch schaffen das ich ins inet komme...
also ich kann jetzt das 192.168.178.0 netz anpingen!

so schaut meine routingtabelle auf der fb aus

/ $ route
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
10.0.0.1        *               255.255.255.255 UH    0      0        0 tun0
192.168.180.1   *               255.255.255.255 UH    2      0        0 dsl
192.168.180.2   *               255.255.255.255 UH    2      0        0 dsl
192.168.178.0   *               255.255.255.0   U     0      0        0 lan
10.0.0.0        10.0.0.1        255.255.255.0   UG    0      0        0 tun0
169.254.0.0     *               255.255.0.0     U     0      0        0 lan
default         *               0.0.0.0         U     2      0        0 dsl

 

[MaxMuster]

Wenn die Einstellung so übernommen wurde, sollte das Routing auf deinem Client entsprechend sein (also das Default-Gateway ist die VPN-IP der Server-Box). Dann fehlt höchstens noch der entsprechende DNS-Server Eintrag, so dass auch dafür die Box befragt wird.

Geht den ein "tracert -d www.google.de" und/oder ein "tracert -d 209.85.135.147" jeweils über die Box, also die 10.0.0.2 ?

Jörg

 

[babylon05]

re ping probleme

so hier mal meine fritzbox fenster:



Log von clienten

Sat Dec 15 14:07:21 2007 OpenVPN 2.0.9 Win32-MinGW [SSL] [LZO] built on Oct  1 2006
Sat Dec 15 14:07:21 2007 LZO compression initialized
Sat Dec 15 14:07:21 2007 TAP-WIN32 device [LAN-Verbindung 6] opened: \\.\Global\{E9B5C316-B75A-4AA2-971C-FFB4B53505CF}.tap
Sat Dec 15 14:07:21 2007 Notified TAP-Win32 driver to set a DHCP IP/netmask of 10.0.8.2/255.255.255.252 on interface {E9B5C316-B75A-4AA2-971C-FFB4B53505CF} [DHCP-serv: 10.0.8.1, lease-time: 31536000]
Sat Dec 15 14:07:21 2007 Successful ARP Flush on interface [65540] {E9B5C316-B75A-4AA2-971C-FFB4B53505CF}
Sat Dec 15 14:07:21 2007 UDPv4 link local (bound): [undef]:1194
Sat Dec 15 14:07:21 2007 UDPv4 link remote: 62.224.248.169:1194
Sat Dec 15 14:07:21 2007 TLS Error: local/remote TLS keys are out of sync: 62.224.248.169:1194 [0]
Sat Dec 15 14:07:23 2007 [vpnserver] Peer Connection Initiated with 62.224.248.169:1194
Sat Dec 15 14:07:24 2007 Initialization Sequence Completed
Sat Dec 15 14:07:37 2007 SIGTERM[hard,] received, process exiting

und hier meine client conf

# OpenVPN v2.0.5 config:
#
# Grundsätzliches (Was soll der CLIENT nutzen)
port 1194
proto udp
dev tun
# Client-Einstellungen
tls-client
ns-cert-type server
#
remote x.x.x.x 1194
#remote 192.168.2.1 1194
# Authentifizierung und Verschlüsselung
ca ca.crt
cert client.crt
key client.key
auth SHA1

ifconfig 10.0.8.2 10.0.8.1
route-gateway 10.0.8.1
route 0.0.0.0 0.0.0.0
cipher AES-256-CBC
comp-lzo
keepalive 10 120

So wenn ich den Clienten starte baut er die Verbindung auf und die Monitore
werden grün, jetzt habe ich 2 unten am Bildschirmrand, einer von Tapi und einer von meiner netzwerkkarte.

der tapi hat dhcp und hat als ip 10.0.8.2 bekommen und als gateway 10.0.8.1
, ab da geht mein internet web nicht mehr kann nicht mehr im internet surfen.
Wenn ich jetzt die gegenstelle per ping anpinge "ping 192.168.2.1" bekomme ich keine antwort, zeitüberschreitung..

Muss ich noch was irgendwo einstellen?????

gruß baby

 

[µRaCoLi]

@babylon05

Sat Dec 15 14:07:21 2007 TLS Error: local/remote TLS keys are out of sync: 62.224.248.169:1194 [0]

deine keys passen nicht!
ist auf deinem server wirklich ein server-zertifikat?
evtl mal auskommentieren:

ns-cert-type server

edit: seh grad, dass du bei der fritzbox gar kein tls angehakt hast...

 

[babylon05]

re

OK Habe mal

ns-cert-type server

in der client.conf auskommentiert

dann kommt das

Sat Dec 15 17:11:48 2007 OpenVPN 2.0.9 Win32-MinGW [SSL] [LZO] built on Oct  1 2006
Sat Dec 15 17:11:48 2007 WARNING: No server certificate verification method has been enabled.  See [url]http://openvpn.net/howto.html#mitm[/url] for more info.
Sat Dec 15 17:11:48 2007 LZO compression initialized
Sat Dec 15 17:11:48 2007 TAP-WIN32 device [LAN-Verbindung 6] opened: \\.\Global\{E9B5C316-B75A-4AA2-971C-FFB4B53505CF}.tap
Sat Dec 15 17:11:48 2007 Notified TAP-Win32 driver to set a DHCP IP/netmask of 10.0.8.2/255.255.255.252 on interface {E9B5C316-B75A-4AA2-971C-FFB4B53505CF} [DHCP-serv: 10.0.8.1, lease-time: 31536000]
Sat Dec 15 17:11:48 2007 Successful ARP Flush on interface [65540] {E9B5C316-B75A-4AA2-971C-FFB4B53505CF}
Sat Dec 15 17:11:48 2007 UDPv4 link local (bound): [undef]:1194
Sat Dec 15 17:11:48 2007 UDPv4 link remote: 62.224.248.169:1194
Sat Dec 15 17:11:51 2007 [vpnserver] Peer Connection Initiated with 62.224.248.169:1194
Sat Dec 15 17:11:52 2007 Initialization Sequence Completed

so aber trotz grünen Monitoren auf meinen pc, kann ich den internen pc nicht anpingen

 

[µRaCoLi]

was ergibt denn

ping 10.0.8.1

?

nimm mal

route-gateway 10.0.8.1
route 0.0.0.0 0.0.0.0

raus und ersetze es mit

route 192.168.2.0 255.255.255.0 10.0.8.1

 

[MaxMuster]

Mach mal als ersten Test den Ping auf die VPN-IP des Servers, also die 10.0.8.1.

Ich vermute, du hast jetzt zwei "Defaultrouten" auf deinem PC (die bisherige für deinen Imternetzugang und die über das VPN), was nicht wirklich gut ist, du versuchst dann u.U. den VPN Server durch das VPN zu erreichen, was nicht optimal ist ;-). Ein "route print" in einem Fenster gibt darüber Auskunft.

Was du vermutlich willst ist "redirect-gateway", das baut erste eine feste Route für die offizielle IP des VPN-Servers, löscht dann die alte Defaultroute und baut eine neue über den VPN-Tunnel dazu.

Ansonsten muss ich meinem Vorredner etwas "Widersprechen" ;-):
Das "TLS Error: local/remote TLS keys are out of sync:" hat nicht unbedingt was zu sagen, das kommt z.B. bei UDP fast immer wenn der Tunnel von einer Seite ab und dann wieder aufgebaut wird und ist dann völlig unkritisch...

Das "ns-cert-type server" sorgt nur dafür, dass sich nicht jemand mit einem "Client-Zertifikat" als Server ausgeben kann. Das Auskommentieren ist zwar in deiner Umgebung kein echtes Sicherheitsrisiko, aber unnötig und hat damit nichts zu tun.

Jörg

 

[babylon05]

re

Danke für eure Hilfe

1. Also Ping 10.0.8.1 da kommt das:

C:\Dokumente und Einstellungen\pc>ping 10.0.8.1

Ping wird ausgeführt für 10.0.8.1 mit 32 Bytes Daten:

Zeitüberschreitung der Anforderung.
Zeitüberschreitung der Anforderung.
Zeitüberschreitung der Anforderung.
Zeitüberschreitung der Anforderung.

Ping-Statistik für 10.0.8.1:
    Pakete: Gesendet = 4, Empfangen = 0, Verloren = 4 (100% Verlust),

2 bei route print kommt das:

C:\Dokumente und Einstellungen\pc>route print
===========================================================================
Schnittstellenliste
0x1 ........................... MS TCP Loopback interface
0x2 ...00 15 c5 ab d8 2b ...... Broadcom NetXtreme 57xx Gigabit Controller - Pak
etplaner-Miniport
0x3 ...00 ff e9 b5 c3 16 ...... TAP-Win32 Adapter V8 - Paketplaner-Miniport
===========================================================================
===========================================================================
Aktive Routen:
     Netzwerkziel    Netzwerkmaske          Gateway   Schnittstelle  Anzahl
          0.0.0.0          0.0.0.0         10.0.8.1        10.0.8.2       1
          0.0.0.0          0.0.0.0    192.168.178.1  192.168.178.20       20
         10.0.8.0  255.255.255.252         10.0.8.2        10.0.8.2       30
         10.0.8.2  255.255.255.255        127.0.0.1       127.0.0.1       30
   10.255.255.255  255.255.255.255         10.0.8.2        10.0.8.2       30
        127.0.0.0        255.0.0.0        127.0.0.1       127.0.0.1       1
    192.168.178.0    255.255.255.0   192.168.178.20  192.168.178.20       20
   192.168.178.20  255.255.255.255        127.0.0.1       127.0.0.1       20
  192.168.178.255  255.255.255.255   192.168.178.20  192.168.178.20       20
        224.0.0.0        240.0.0.0         10.0.8.2        10.0.8.2       30
        224.0.0.0        240.0.0.0   192.168.178.20  192.168.178.20       20
  255.255.255.255  255.255.255.255         10.0.8.2        10.0.8.2       1
  255.255.255.255  255.255.255.255   192.168.178.20  192.168.178.20       1
Standardgateway:          10.0.8.1
===========================================================================
Ständige Routen:

 

[babylon05]

re

so habe das gleiche von @µRaCoLi

eingebaut trotzdem kein Ping.

Wie meisnt du das MaxMuster mit dem redirect-gateway

bin da bißchen völlig überfragt was das überhaupt ist, aber vielleicht könnt ihr anhand meiner ausdrucke oben was sehen, wie so ich nicht pingen kann.
Also das internet über den VPNtunnel vom server mit nutzen leuchte mir noch ein, das meins dann erst mal nicht gehen sollte. mhhhhh aber der Rest

mfg baby

 

[MaxMuster]

Hi,

du solltest statt "route 0.0.0.0 0.0.0.0" den Befehl "redirect-gateway" nutzen, wenn du sämtlichen Verkehr über den VPN-Tunnel leiten willst. Denn wie vermutet hast du jetzt zweimal eine Defaultroute :

Aktive Routen:
     Netzwerkziel    Netzwerkmaske          Gateway   Schnittstelle  Anzahl
          0.0.0.0          0.0.0.0         10.0.8.1        10.0.8.2       1
          0.0.0.0          0.0.0.0    192.168.178.1  192.168.178.20       20
...
Standardgateway:          10.0.8.1

auf deinem PC, und dass kann nicht gut gehen, weil dein PC dann die VPN-Server-Fritzbox versucht, durch das VPN zu erreichen und damit eine "Routing-Schleife" baut...

Mit der anderen von µRaCoLi vorgeschlagenen Änderung solltest du aber die Gegenseite auch pingen können, da müsste deine Routingtabelle auch anders aussehen und dieses Problem auch weg sein.

Mach dann doch bitte auch nochmal ein "route print", wenns nicht geht...


Jörg

 

[babylon05]

so hier noch mal meine client.conf

 OpenVPN v2.0.5 config:
#
# Grundsätzliches (Was soll der CLIENT nutzen)
port 1194
proto udp
dev tun
# Client-Einstellungen
tls-client
#ns-cert-type server
#
remote x.x.x.x 1194
# Authentifizierung und Verschlüsselung
ca ca.crt
cert client.crt
key client.key
auth SHA1

ifconfig 10.0.8.2 10.0.8.1
route-gateway 10.0.8.1
redirect-gateway
route 192.168.2.0 255.255.255.0 10.0.8.1
cipher AES-256-CBC
comp-lzo
keepalive 10 120

und hier die route

Microsoft Windows XP [Version 5.1.2600]
(C) Copyright 1985-2001 Microsoft Corp.

C:\Dokumente und Einstellungen\pc>route print
===========================================================================
Schnittstellenliste
0x1 ........................... MS TCP Loopback interface
0x2 ...00 15 c5 ab d8 2b ...... Broadcom NetXtreme 57xx Gigabit Controller - Pak
etplaner-Miniport
0x3 ...00 ff e9 b5 c3 16 ...... TAP-Win32 Adapter V8 - Paketplaner-Miniport
===========================================================================
===========================================================================
Aktive Routen:
     Netzwerkziel    Netzwerkmaske          Gateway   Schnittstelle  Anzahl
          0.0.0.0          0.0.0.0         10.0.8.1        10.0.8.2       1
         10.0.8.0  255.255.255.252         10.0.8.2        10.0.8.2       30
         10.0.8.2  255.255.255.255        127.0.0.1       127.0.0.1       30
   10.255.255.255  255.255.255.255         10.0.8.2        10.0.8.2       30
    62.224.237.15  255.255.255.255    192.168.178.1  192.168.178.20       1
        127.0.0.0        255.0.0.0        127.0.0.1       127.0.0.1       1
      192.168.2.0    255.255.255.0         10.0.8.1        10.0.8.2       1
    192.168.178.0    255.255.255.0   192.168.178.20  192.168.178.20       20
   192.168.178.20  255.255.255.255        127.0.0.1       127.0.0.1       20
  192.168.178.255  255.255.255.255   192.168.178.20  192.168.178.20       20
        224.0.0.0        240.0.0.0         10.0.8.2        10.0.8.2       30
        224.0.0.0        240.0.0.0   192.168.178.20  192.168.178.20       20
  255.255.255.255  255.255.255.255         10.0.8.2        10.0.8.2       1
  255.255.255.255  255.255.255.255   192.168.178.20  192.168.178.20       1
Standardgateway:          10.0.8.1
===========================================================================
Ständige Routen:
  Keine

C:\Dokumente und Einstellungen\pc>ping 10.0.8.1

Ping wird ausgeführt für 10.0.8.1 mit 32 Bytes Daten:

Zeitüberschreitung der Anforderung.
Zeitüberschreitung der Anforderung.
Zeitüberschreitung der Anforderung.
Zeitüberschreitung der Anforderung.

Ping-Statistik für 10.0.8.1:
    Pakete: Gesendet = 4, Empfangen = 0, Verloren = 4 (100% Verlust),

Also meine Routing Tabelle ist irgendwie so groß

 

[babylon05]

router config