OpenVPN (Client.conf an server anpassen?)

[HWT]

Ich habe meinen ersten ds-mod soweit ganz gut am Laufen, bftpd funzzt wie er soll, auch dropbear inkl. Keys und nicht nur einfache Passwort-Auth läuft super, jetzt bin ich an OpenVPN.

Box läuft als
-Server
-UDP
-Port 1194
-Brücke (TAP)
-Authentifizierung:
-statisch
-blowfish
lokaler Endpunkt:
192.168.200.1 255.255.255.0

Unter Einstellungen > Extras ahbe ich einen 2048Bit static Key hinterlegt.

Client-Conf sieht so aus:

client

dev tap

# Windows needs the TAP-Win32 adapter name
# from the Network Connections panel
# if you have more than one.  On XP SP2,
# you may need to disable the firewall
# for the TAP adapter.
dev-node VPN

# Are we connecting to a TCP or
# UDP server?  Use the same setting as
# on the server.
proto udp

# The hostname/IP and port of the server.
# You can have multiple remote entries
# to load balance between the servers.
remote 192.168.0.248 1194

# Keep trying indefinitely to resolve the
# host name of the OpenVPN server.  Very useful
# on machines which are not permanently connected
# to the internet such as laptops.
resolv-retry infinite

# Most clients don't need to bind to
# a specific local port number.
nobind

# Downgrade privileges after initialization (non-Windows only)
;user nobody
;group nobody

# Try to preserve some state across restarts.
persist-key
persist-tun

# If you are connecting through an
# HTTP proxy to reach the actual OpenVPN
# server, put the proxy server/IP and
# port number here.  See the man page
# if your proxy server requires
# authentication.
;http-proxy-retry # retry on connection failures
;http-proxy [proxy server] [proxy port #]

# Wireless networks often produce a lot
# of duplicate packets.  Set this flag
# to silence duplicate packet warnings.
;mute-replay-warnings

# SSL/TLS parms.
# See the server config file for more
# description.  It's best to use
# a separate .crt/.key file pair
# for each client.  A single ca
# file can be used for all clients.
#ca ca.crt
#cert client.crt
key C:\\Programme\\OpenVPN\\config\\key.txt

# Verify server certificate by checking
# that the certicate has the nsCertType
# field set to "server".  This is an
# important precaution to protect against
# a potential attack discussed here:
#  http://openvpn.net/howto.html#mitm
#
# To use this feature, you will need to generate
# your server certificates with the nsCertType
# field set to "server".  The build-key-server
# script in the easy-rsa folder will do this.
#ns-cert-type server

# If a tls-auth key is used on the server
# then every client must also have the key.
#tls-auth ta.key 1

# Select a cryptographic cipher.
# If the cipher option is used on the server
# then you must also specify it here.
cipher Blowfish

# Enable compression on the VPN link.
# Don't enable this unless it is also
# enabled in the server config file.
comp-lzo

# Set log file verbosity.
verb 3

# Silence repeating messages
;mute 20

Also weitegehend Standard, mit denen Anpassungen, die ich verstanden habe.
Beim Anmeldeversuch bekomme ich

Options error: You must define CA file (--ca) or PKCS#12 file (--pkcs12)

ich will doch abr keine Zertikate nutzen...was habe ich übersehen, anzupassen??

(Die angegebene Ip ist bei mir intern, zum testen, das anpassen im Client und im Server dann per VirtualIP bekomme ich noch hin, denke ich)

 

[HWT]

Ok, momentan läuft es intern mit der absoluten Mini-Konfig, da ich aber dn KEy nirgendwo hin austauschen muss, müsste es so gehen, oder?
Ach, Link zur Mini-Konf (habe nur die Serverseite angerührt):
http://openvpn.net/static.html

 

[derheimi]

Bei statischen Keys gibt es diese klassische Trennung zwischen Client und Server nicht, sie ergibt sich faktisch daraus, dass eine OpenVPN-Seite "hört" und sich die andere "zu dieser hörenden Seite hin" verbindet. Daher ist die Zeile mit dem "client" in Deiner oben geposteten Client-Konfig überflüssig, vermutlich sogar richtig störend (ich hab OpenVPN selber aber noch nie mit Zertifikaten aufgesetzt). Und "key" bezieht sich meines Verständnisses nach auch auf eine Setup mit X.509-Zertifikaten, bei statischen Key muss es "secret mein.key" lauten.

 

[knox]

Hier im Wiki gibt es passende Client-Konfigurationen für die Verwendung zusammen mit dem OpenVPN ds-mod Package, sowohl mit und ohne Zertifikaten. Sie sind soweit optimiert, dass man einfach Copy & Paste verwenden kann.

Wenn man unbedingt trotzdem manuelle Anpassungen machen möchte, findet man alle fachlichen Details zur Konfiguration auf openvpn.net. Wenn also Fragen zu einer bestimmten Konfigrationsoption bestehen sollten, findet man dort alle Antworten.

Trotzdem gebe ich noch eine Hilfestellung (die man durch einfaches Nachlesen an ansprechender Stelle hätte ausfindig machen können): die Option "client" ist ausschließlich für die Verwendung mit Zertifikaten vorgesehen.

 

[HWT]

Dankschön, ich habe mich mit dem hier versucht und dabei die andere Seite im wiki wohl nicht gefunden, manchmal hat man Tomaten auf den Augen...

 

[knox]

ich habe mich mit dem hier versucht

Ich habe den von Dir verlinkten Artikel mal ein wenig erweitert und einen Querverweis zur Dokumentation des ds-mod Package hinzugefügt.

Es wäre nett, wenn Du den Titel des ersten Beitrags in diesem Thread noch mal ändern könntest und ein "[erledigt]" spendieren würdest....