OpenVPN mit FBF 7170

[Crevlon]

Hallo,
ich versuche verzweifelt (immer noch) OpenVPN auf meine FBF zu installieren.
hier meine Debug.cfg:

#!/bin/sh

# set hostname to fritz.box
hostname fritz.box

# load VPN-Server (OpenVPN)

# wait for server
while !(ping -c 1 google.de)
do
sleep 5
done

# Create tun-device
mknod /var/tmp/tun c 10 200

# change dir
cd /var/tmp

# write 'secret.key' to file
cat > /var/tmp/fritzbox.key << 'ENDSECRETKEY'
-----BEGIN RSA PRIVATE KEY-----
xxxxx
-----END RSA PRIVATE KEY-----

ENDSECRETKEY

# write 'dh1024.pem' to file
cat > /var/tmp/dh1024.pem << 'ENDDH1024'
-----BEGIN DH PARAMETERS-----
xxxxx
-----END DH PARAMETERS-----
ENDDH1024

# write 'fritzbox.crt' to file
cat > /var/tmp/fritzbox.crt << 'ENDFRITZ'
xxxxx
ENDFRITZ

# write 'ca.crt' to file
cat > /var/tmp/ca.crt << 'ENDCA'
xxxxx
ENDCA

# write 'server.conf' to file
cat > /var/tmp/server.conf << 'ENDCONFIG'
# OpenVPN v2.0.9 config:
#
# Grundsaetzliches
port 1194
proto udp
dev tap
# Server-Einstellungen
mode server
tls-server
server 10.0.0.0 255.255.255.0
client-to-client
# Dies ist der IP-Bereich von eurem FritzBox-LAN
push "route 192.168.178.1 255.255.255.0"
route 192.168.178.0 255.255.255.0 10.0.0.1
# Authentifizierung und Verschluesselung
ca /var/tmp/ca.crt
cert /var/tmp/fritzbox.crt
key /var/tmp/fritzbox.key
dh /var/tmp/dh1024.pem
auth SHA1
cipher AES-256-CBC
# Sonstiges
ifconfig-pool-persist ipp.txt
ping 10
push "ping 10"
ping-restart 60
push "ping-restart 60"
ENDCONFIG

# write 'ipp.txt' to file
cat > /var/tmp/ipp.txt << 'ENDIPP'
client01,10.0.0.2
ENDIPP


# load files

wget http://www.xxxxx/openvpn

# make them executable
chmod +x /var/tmp/openvpn
chmod 600 /var/tmp/server.conf
chmod 600 /var/tmp/ipp.txt
chmod 600 /var/tmp/fritzbox.key

# start OpenVPN
/var/tmp/openvpn --cd /var/tmp –-daemon --config server.conf --dev-node /var/tmp/tun

wenn ich über telnet in meine fritz box rein gehe und Open VPN manuell (also alles im was im code steht ausführe) starte, gibt er folgendes aus:

Mon Jan 29 16:55:53 2007 OpenVPN 2.1_rc1 mipsel-linux [SSL] [EPOLL] built on Dec 25 2006
Mon Jan 29 16:55:53 2007 WARNING: --keepalive option is missing from server config
Mon Jan 29 16:55:54 2007 TUN/TAP device tap0 opened
Mon Jan 29 16:55:54 2007 /sbin/ifconfig tap0 10.0.0.1 netmask 255.255.255.0 mtu 1500 broadcast 10.0.0.255
Mon Jan 29 16:55:54 2007 UDPv4 link local (bound): [undef]:1194
Mon Jan 29 16:55:54 2007 UDPv4 link remote: [undef]
Mon Jan 29 16:55:54 2007 Initialization Sequence Completed

das ganze kann ich dann nur noch mit STRG + c abbrechen. Wenn ich das nicht tue ist meine fritz box nicht mehr ansprechbar.
Hat jemand von euch eine Idee was ich noch ausprobieren kann?

 

[AndreR]

Du musst openVPN manuell mit dem Parameter --daemon starten, sonst ist das Programm ja auch stets im Vordergrund und du hast selbstverständlich keinen Zugriff auf die Shell.

Was funktioniert denn an der Variante mit der Debug.cfg nicht?

 

[Crevlon]

ich starte es doch im daemon modus:
"/var/tmp/openvpn --cd /var/tmp –-daemon --config server.conf --dev-node /var/tmp/tun"

 

[AndreR]

wenn ich über telnet in meine fritz box rein gehe und Open VPN manuell (also alles im was im code steht ausführe) starte, gibt er folgendes aus:

das ganze kann ich dann nur noch mit STRG + c abbrechen. Wenn ich das nicht tue ist meine fritz box nicht mehr ansprechbar.
Hat jemand von euch eine Idee was ich noch ausprobieren kann?

Ich rede hiervon. Wenn du OpenVPN mit STRG+C abbrichst, dann hast du es hier nicht im daemon mode gestartet.

Und Frage erneut: was funktioniert an der debug.cfg Variante nicht?

 

[Crevlon]

ok, und wie starte ich es dann RICHTIG im daemon mode?
ich habe ehrlich gesagt noch nicht ausprobiert ob sich ein client dort anmelden kann. ich möchte erst einmal, dass der dienst im hintergrund läuft (daemon). Im moment ist meine Fritz Box nach aktivierung von OpenVPN nach einigen sekunden nicht mehr ansprechbar und ich muss sie komplett neustarten.

Ich glaube einfach, dass an der debug.cfg etwas nicht stimmt, weil ich die box neu starten muss. ich glaube nicht, dass das problem mit dem neustarten durch die aktivierung des hintergrundmodus gelöst ist.

 

[AndreR]

Dann ließ die Box sich nicht mehr ansprechen...das hatten wir doch schonmal. Versuch mal eine andere OpenVPN Version, aus diesem Thread

 

[Crevlon]

mit deiner OpenVPN version zeigt er mir folgendes an:

# cd var/tmp/
# /var/tmp/openvpn --cd /var/tmp .-daemon --config server.conf --dev-node /var/tmp/tun
/var/tmp/openvpn: can't resolve symbol '__uClibc_start_main'
#

 

[AndreR]

Hmm, stimmt das war ja ein anderer Kernel...
Puh, ich muss hier erstmal abgeben, bin mit meinem latein erstmal am Ende, sorry

 

[GrafHawk]

Ich hab in einem anderen Thread einen Beitrag geschrieben mit meinen funktionierenden Konfigurationsdateien (debug.cfg).

Dort ist auch ein Link auf eine aktuelle OpenVPN-Version, die zur Firmware 4.29 passt.

Vielleicht hilft das schon weiter.

 

[noidea]

Also, ich hab mich an diese Anleitung gehalten:

http://www.wehavemorefun.de/fritzbox/OpenVPN

Da wird der daemon-Befehl am Anfang der server.ovpn aufgerufen.
Ich bekam allerdings keinen Ping und musste noch Schritt 3 aus

http://www.ip-phone-forum.de/showpost.php?p=566106&postcount=280

einfügen. Dann ar7cfgchanged und alles lief.

 

[mcmic]

Starte mal mit nem & am ende des Befehls:

./openvpn --config server.conf &

 

[Crevlon]

danke für die antworten. ich werde eure drei varianten bei gelegenheit mal ausprobieren.

 

[knox]

ich kenne zwar nicht den ip-adressbereich, in dem sich deine fritzbox befindet, aber was man in der debug.cfg sehen kann, ist dass du eine route in das netzwerk 192.168.178.0/255.255.255.0 über den tunnel definierst. falls es sich dabei um dein lokales netzwerk handelt, ist dass der fehler.

 

[Crevlon]

@knox:
ja das ist mein lokales netz.
was muss ich dann tunneln?

 

[knox]

was muss ich dann tunneln?

auf der serverseite musst du angeben

• "sage dem client, dass mein netz (192.168.1.0/24) auf dieser seite des tunnels liegt"
• "das andere netz (192.168.2.0/24) befindet sich am anderen ende des tunnels (10.0.0.1)"

dies geschieht zb durch

push "route 192.168.1.0 255.255.255.0"
route 192.168.2.0 255.255.255.0 10.0.0.1

übrigens steht das auch alles prima dokumentiert in der openvpn doku. und auch der wikieintrag zu openvpn ist meiner meinung nach wirklich gut gelungen...

 

[Crevlon]

hallo,

nach langer zeit bin ich auch mal wieder dazu gekommen mein vpn auszuprobieren.

@knox:
es lag tatsächlich an dem tunneln
jetzt startet der server richtig.

nun möchte ich mich gerne mit openvon (windows xp) auf diesen Server verbinden. die client.ovpn scheint in ordnung zu sein. er kann nur keine verbindung aufbauen.
das zeigt mir openvpn unter anderem an, wenn ich mich verbinden möchte:

Mon Mar 19 16:11:15 2007 us=161547 Attempting to establish TCP connection with 80.131.57.181:1194
Mon Mar 19 16:11:36 2007 us=106917 TCP: connect to 80.131.57.181:1194 failed, will try again in 5 seconds

hier meine server.ovpn (fritz box 7170):

# cat /var/flash/debug.cfg
# reachable?
while !(ping -c 1 fritzbox.xxxxxxxxx.de); do
sleep 7
done

# set hostname to fritz.box
hostname fritz.box

###### load VPN-Server (OpenVPN) #######

# create tun-device
mknod /var/tmp/tun c 10 200

# write 'secret.key' to file
cat > /var/tmp/secret.key << 'ENDSECRETKEY'
#
# 2048 bit OpenVPN static key
#
-----BEGIN OpenVPN Static key V1-----
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
-----END OpenVPN Static key V1-----

ENDSECRETKEY

# write 'server.ovpn' to file
cat > /var/tmp/server.ovpn << 'END-SERVER-OVPN'
#
dev tun0
dev-node /var/tmp/tun
ifconfig 10.0.0.2 10.0.0.1
tun-mtu 1500
float
mssfix

#Pfad zum Key File
secret /var/tmp/secret.key

#Protokoll auf TCP und Port 1194
proto tcp-server
port 1194

#Protokollierung auf 4
verb 4

#daemon

#Routen setzen, bei route Subnetz des Clients eintragen
#bei push Subnetz des eigenen Servers eintragen
push "route 192.178.1.0 255.255.255.0"
route 192.178.2.0 255.255.255.0 10.0.0.1

#Verbindung erhalten
ping 15
push "ping 15"
ping-restart 120
push "ping-restart 120"


END-SERVER-OVPN

#load files
wget http://www.xxxx/openvpn


#make them executable
chmod +x /var/tmp/openvpn
chmod 0600 /var/tmp/server.ovpn
chmod 0600 /var/tmp/secret.key

#start OpenVPN
./openvpn --config ./server.ovpn &

hier meine client.ovpn (windows xp):

dev tun
dev-node vpn
ifconfig 10.0.0.1 10.0.0.2
tun-mtu 1500

mssfix
persist-tun
persist-key

#Remote Adresse des Servers angeben
#muss entsprechend geaendert werden
remote xxx.homedns.org

#Pfad zum Key File
secret secret.key

#Check ob Äenderung in Firewall nötig
#Protokoll auf TCP und Port 1194
#Änderungen müssen auf Client- und Server-Seite gleich sein
proto tcp-client
port 1194

#da die Verbindung alle 24 Stunden getrennt wird
#soll regelmäßig kontrolliert werden ob die Verbindung noch steht
ping 15
ping-restart 120 

#der DynDNS-Name soll alle 60 Sekunden neu aufgelöst werden
#da OpenVPN sonst ständig versucht über die alte IP
#zu verbinden
resolv-retry 60 

#Protokollierungseinstellung
#4 ist optimaler Modus
verb 4

#Routen setzen, bei route Subnetz der Server-Box
#bei push Subnetz der eignen Client-Box eintragen
route 192.178.2.0 255.255.255.0
push "route 192.178.1.0 255.255.255.0"

mein netz ist: 192.168.178.0
ich bin mir nicht sicher ob ich alles richtig getunnelt habe und ob das "ifconfig" stimmt.

 

[AndreR]

Spontan ist meine erste Vermutung: ist auf dem Server der Port 1194 (TCP) freigegeben?

 

[Crevlon]

ja das war es.
jetzt zeigt mir openvon eine verbindung an.

nur jetzt müssten sich die rechner doch in der windows netzwerkumgebung sehen oder?
ich hab jetzt alle möglich ips ausprobiert anzupingen.
der client pingt:

192.168.178.1 (FFB router): klappt nicht (ist glaube ich auch richtig so)
192.168.178.20 (rechner hinter der FFB): klappt nicht!
10.0.0.1: klappt
10.0.0.2: klappt

der pc hinter dem server (FFB) pingt:

192.168.178.1 (FFB router): klappt natürlich
192.168.2.102 (client hinter anderem router): klappt nicht
10.0.0.1: klappt nicht
10.0.0.2:klappt

ich hoffe das sind alle Informationen (mit denen aus den letzten posts) die nötig sind um mir zu helfen.