OpenVPN-Paket

[knox]

update: ich hab noch einige tests durchgeführt und kann nun weitere betriebsmodi als funktional bestätigen.

TAP Server mit Zertifikaten und zusätzlichem TLS Key funktioniert

 

[wonderdoc]

Hi,

Ich habe das OpenVPN zweier FB über TCP am laufen(TUN).
Habe jetzt schon viel gelesen, dass der std. eigentlich UDP ist.
Also dachte ich mir, ändere die Portweiterleitung auf der ServerBox auf UDP und stelle Server und Client einfach auf UDP.
Danach funktionierte das VPN aber nicht mehr.
Der Client meldet sich vermutlich am Server noch an.
Im Syslog des Servers kommt aber nur die Meldung: no route to host

Muß ich noch mehr umstellen?

zur Info:
Auf dem Server läuft das alte Paket des OpenVPN RC1 und auf dem Client das letzte Beta von knox.
Beide sind auf TUN-Device eingestellt.

mfg
Wonderdoc

 

[knox]

Also dachte ich mir, ändere die Portweiterleitung auf der ServerBox auf UDP und stelle Server und Client einfach auf UDP.
Danach funktionierte das VPN aber nicht mehr.
Der Client meldet sich vermutlich am Server noch an.
Im Syslog des Servers kommt aber nur die Meldung: no route to host

ich habe die verbindung mit den standardeinstellungen mehrmals getestet (fritzbox als udp-basierter tun server) und zumindest mit meinem laptop hat's prima funktioniert.
leider werde ich aus deiner beschreibung des problems noch nicht so richtig schlau. so ist z.b. die meldung "no route to host" ein routing problem und routing hat eigentlich nichts mit dem protokoll zu tun. will sagen, wenn es per tcp eine verbindung gibt, dann funktioniert die selber verbindung (eigentlich) auch für udp.
spendier doch mal bitte ein paar log auszüge vom verbindungsaufbau, am besten von client und server, und dazu gerne noch die ausgabe von route -n vor und nach starten von openvpn.

Auf dem Server läuft das alte Paket des OpenVPN RC1 und auf dem Client das letzte Beta von knox.

diese unterscheiden sich ja "nur" im webif und der intern erzeugten konfigurationsdatei für openvpn.

 

[wonderdoc]

@Knox

Hier mal die angeforderten Infos.
(Zur Info, zwischen den Boxen befindet sich das I-Net, der server schickt Syslog-Daten(nicht die der FB) an den Client)

Server vorher:
/ # route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
192.168.180.1 0.0.0.0 255.255.255.255 UH 2 0 0 dsl
192.168.180.2 0.0.0.0 255.255.255.255 UH 2 0 0 dsl
192.168.178.0 0.0.0.0 255.255.255.0 U 0 0 0 lan
192.168.30.0 0.0.0.0 255.255.255.0 U 0 0 0 lan
192.168.30.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
0.0.0.0 0.0.0.0 0.0.0.0 U 2 0 0 dsl
/ #

Server Start:
Feb 7 10:22:19 fritz daemon.notice openvpn[21582]: OpenVPN 2.1_rc1 mipsel-linux [SSL] [LZO2] built on Dec 17 2006
Feb 7 10:22:19 fritz daemon.notice openvpn[21582]: Static Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Feb 7 10:22:19 fritz daemon.notice openvpn[21582]: Static Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Feb 7 10:22:19 fritz daemon.notice openvpn[21582]: Static Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Feb 7 10:22:19 fritz daemon.notice openvpn[21582]: Static Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Feb 7 10:22:19 fritz daemon.notice openvpn[21582]: LZO compression initialized
Feb 7 10:22:19 fritz user.warn kernel: request_module(usbrndis)
Feb 7 10:22:19 fritz daemon.notice openvpn[21582]: TUN/TAP device tun0 opened
Feb 7 10:22:19 fritz daemon.notice openvpn[21582]: TUN/TAP TX queue length set to 100
Feb 7 10:22:19 fritz daemon.notice openvpn[21582]: /sbin/ifconfig tun0 10.0.0.1 pointopoint 10.0.0.2 mtu 1500
Feb 7 10:22:19 fritz user.warn kernel: request_module(wlan)
Feb 7 10:22:19 fritz daemon.notice openvpn[21582]: /sbin/route add -net 192.168.31.0 netmask 255.255.255.0 gw 10.0.0.2
Feb 7 10:22:19 fritz daemon.notice openvpn[21582]: Data Channel MTU parms [ L:1545 D:1450 EF:45 EB:135 ET:0 EL:0 AF:3/1 ]
Feb 7 10:22:19 fritz daemon.notice openvpn[21593]: Socket Buffers: R=[65535->131070] S=[65535->131070]
Feb 7 10:22:19 fritz daemon.notice openvpn[21593]: UDPv4 link local (bound): [undef]:32783
Feb 7 10:22:19 fritz daemon.notice openvpn[21593]: UDPv4 link remote: [undef]
Feb 7 10:23:30 fritz daemon.notice openvpn[21593]: Peer Connection Initiated with 84.xxx.xxx.xxx:2052
Feb 7 10:23:31 fritz daemon.notice openvpn[21593]: Initialization Sequence Completed
Feb 7 10:23:31 fritz daemon.err openvpn[21593]: read UDPv4 [EHOSTUNREACH]: No route to host (code=148 )
Feb 7 10:23:36 fritz daemon.err openvpn[21593]: read UDPv4 [EHOSTUNREACH]: No route to host (code=148 )
Feb 7 10:23:36 fritz daemon.err openvpn[21593]: read UDPv4 [EHOSTUNREACH]: No route to host (code=148 )
Feb 7 10:23:36 fritz daemon.err openvpn[21593]: read UDPv4 [EHOSTUNREACH]: No route to host (code=148 )

Server Nachher:
/ # route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
192.168.180.1 0.0.0.0 255.255.255.255 UH 2 0 0 dsl
10.0.0.2 0.0.0.0 255.255.255.255 UH 0 0 0 tun0
192.168.180.2 0.0.0.0 255.255.255.255 UH 2 0 0 dsl
192.168.178.0 0.0.0.0 255.255.255.0 U 0 0 0 lan
192.168.31.0 10.0.0.2 255.255.255.0 UG 0 0 0 tun0
192.168.30.0 0.0.0.0 255.255.255.0 U 0 0 0 lan
192.168.30.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
0.0.0.0 0.0.0.0 0.0.0.0 U 2 0 0 dsl
/ #

Das rot-Markierte im Log kommt nach dem der Client gestartet wurde.

Client vorher:
/ $ route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
192.168.180.1 0.0.0.0 255.255.255.255 UH 2 0 0 dsl
192.168.180.2 0.0.0.0 255.255.255.255 UH 2 0 0 dsl
192.168.178.0 0.0.0.0 255.255.255.0 U 0 0 0 lan
192.168.31.0 0.0.0.0 255.255.255.0 U 0 0 0 lan
192.168.31.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
0.0.0.0 0.0.0.0 0.0.0.0 U 2 0 0 dsl
/ $

Client Start:
Feb 7 10:23:30 fritz daemon.notice openvpn[1486]: OpenVPN 2.1_rc1 mipsel-linux [SSL] [LZO2] [EPOLL] built on Jan 17 2007
Feb 7 10:23:30 fritz daemon.warn openvpn[1486]: WARNING: file '/tmp/flash/static.key' is group or others accessible
Feb 7 10:23:30 fritz daemon.notice openvpn[1486]: Static Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Feb 7 10:23:30 fritz daemon.notice openvpn[1486]: Static Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Feb 7 10:23:30 fritz daemon.notice openvpn[1486]: Static Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Feb 7 10:23:30 fritz daemon.notice openvpn[1486]: Static Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Feb 7 10:23:30 fritz daemon.notice openvpn[1486]: LZO compression initialized
Feb 7 10:23:30 fritz daemon.notice openvpn[1486]: TUN/TAP device tun0 opened
Feb 7 10:23:30 fritz daemon.notice openvpn[1486]: TUN/TAP TX queue length set to 100
Feb 7 10:23:30 fritz daemon.notice openvpn[1486]: /sbin/ifconfig tun0 10.0.0.2 pointopoint 10.0.0.1 mtu 1500
Feb 7 10:23:30 fritz daemon.notice openvpn[1486]: /sbin/route add -net 192.168.30.0 netmask 255.255.255.0 gw 10.0.0.1
Feb 7 10:23:30 fritz daemon.notice openvpn[1486]: Data Channel MTU parms [ L:1545 D:1450 EF:45 EB:135 ET:0 EL:0 AF:3/1 ]
Feb 7 10:23:31 fritz daemon.notice openvpn[1495]: Socket Buffers: R=[110592->131072] S=[110592->131072]
Feb 7 10:23:31 fritz daemon.notice openvpn[1495]: UDPv4 link local: [undef]
Feb 7 10:23:31 fritz daemon.notice openvpn[1495]: UDPv4 link remote: 217.xx.xx.xx:32783

Client nachher:
/ $ route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
10.0.0.1 0.0.0.0 255.255.255.255 UH 0 0 0 tun0
192.168.180.1 0.0.0.0 255.255.255.255 UH 2 0 0 dsl
192.168.180.2 0.0.0.0 255.255.255.255 UH 2 0 0 dsl
192.168.178.0 0.0.0.0 255.255.255.0 U 0 0 0 lan
192.168.31.0 0.0.0.0 255.255.255.0 U 0 0 0 lan
192.168.31.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
192.168.30.0 10.0.0.1 255.255.255.0 UG 0 0 0 tun0
0.0.0.0 0.0.0.0 0.0.0.0 U 2 0 0 dsl
/ $

Auf der Clientseite wird im Log nichts weiter ausgegeben.

mfg
Wonderdoc

 

[knox]

Hier mal die angeforderten Infos.

leider kann man da nicht so richtig viel sehen, die verbose einstellung vom openvpn ist zu niedrig. am besten mal openvpn über webif starten, dann mit killall -9 openvpn stoppen, manuell das verbose level in /var/mod/etc/openvpn-lzo.conf ändern auf 4, und dann openvpn per hand starten

openvpn --config /var/mod/etc/openvpn-lzo.conf --daemon

wie hast du denn konkret die portweiterleitung für das openvpn eingerichtet? ich nehmen an, manuell in der ar7.cfg?
hast du als ziel 0.0.0.0:1194 angegeben, also so

"udp 0.0.0.0:1194 0.0.0.0:1194 # OpenVPN",

 

[wonderdoc]

@knox
Die Portweiterleitung auf der Serverbox habe ich mit dem VirtualIP-Paket genacht.
also port 1194 auf VirtualIP 192.168.30.254 per FB-WebIf weitergeleitet.(1 Eintrag für TCP und 1 Eintrag für UDP zum Testen)
Benötigst du den verbose 4 Log vom Server oder vom Client?
Ich denke mal vom Server, oder?

EDIT:
In der /var/mod/etc/openvpn-lzo.conf steht der Wert "verb 4" bereits drin.(beim Server)

mfg
Wonderdoc

 

[knox]

Die Portweiterleitung auf der Serverbox habe ich mit dem VirtualIP-Paket genacht.
also port 1194 auf VirtualIP 192.168.30.254 per FB-WebIf weitergeleitet.

damit hatte ich auch probleme und bin einfach wieder auf manuelles ar7.cfg bearbeiten umgestiegen.
mach die weiterleitung wie oben beschrieben und es wird funktionieren.

wenn verb 4 nicht reicht, nimm halt 5 oder 6 oder so. was mir in deinem log fehlt sind angaben zur netzwerkkonfiguration, die durch openvpn vorgenommen werden. doch das dürfte jetzt auch keine rolle mehr spielen.

 

[wonderdoc]

@knox

Jupp, nach änderung der ar7.cfg klappt jetzt das UDP-Routing.
Man sollte hat doch ab und zu mal einige Sachen direkt per Hand ändern.

mfg
Wonderdoc

 

[wonderdoc]

@knox
Der UDP-Tunnel steht ja wie gehabt. Ich habe nur das Problem, daß irgendwann keine VPN mehr möglich ist.
Meine beiden FB sind mit dem I-Net verbunden, beide finden sich mit Hilfe einer Dyndns-Addi.
Ich habe mal unter openvpn.net geschaut, dort steht in den FAQs zu den Thema was beschrieben.

Can OpenVPN handle the situation where both ends of the connection are dynamic?
Yes.

A prerequiste of this method is that you subscribe to a service such as dyndns.org that lets you conveniently point an internet domain name to a dynamic address (or you can do it yourself if you have control over a DNS server that exists on a machine having a static IP address).

The crux of this method is in the 'timeouts' section of the config file below, or more specifically the 'ping' and 'ping-restart' options. Basically, if for whatever reason, OpenVPN doesn't receive a ping from its peer during a 300 second period (as would happen if its peer changed addresses), it will restart. When it restarts, it will re-resolve myremote.mydomain.com to get the new IP address. This method assumes that you are using a dynamic DNS service that lets you immediately update your domain name with your current dynamic address.

Using this technique, OpenVPN will essentially "follow" a dynamic DNS address as it changes.

Here is the config file example:


remote myremote.mydomain.com
dev tun
ifconfig 10.1.0.2 10.1.0.1
up ./up-script # optional

# crypto config
replay-persist replay-persist-file # optional (1.4.0 or above)

# TLS config (or omit TLS security by using a pre-shared key
# such as 'secret static.key').
tls-client
ca key/my-ca.crt
cert key/my-cert.crt
key key/my-key.key
tls-auth key/my-tls-password # optional

# timeouts
ping 15
ping-restart 300 # 5 minutes
resolv-retry 300 # 5 minutes
persist-tun
persist-key

# compression (optional)
comp-lzo

# UID (optional)
user nobody
group nobody

# verbosity (optional)
verb 4
On the other end of the connection, you would duplicate the above config file but change 'remote' appropriately, and swap the ifconfig addresses.

Ich habe den Abschnitt Timeouts jetzt mal in die Server und Client-Config eingebracht.
Wobei ich die Zeilen PING und PING-RESTART durch KEEPALIVE ersetzt habe.
So wie es dort geschrieben steht, soll der Abschnitt Timeouts doch auf der Server und Client-Seite aktiv sein, Oder?

EDIT:
Ich habe mir gerde noch mal die Sample Files angeschaut, welche bei OpenVPN beiliegen.
Dort sollte wie im Paket bereits enthalten, ein KEEPALIVE auf dem Server und ein RESOLV-RETRY INFINITE ja eigentlich das selbe sein, oder?

Hintergrund:
Ich hatte heute wieder das keine Daten übers VPN kamen.
Eine Überprüfung ergab, das keine Trennund der DSL-Verbindung zu diesem Zeitpunkt war und somit sich die IPs ja auch nicht geändert haben.
Im Server-Log stand plötzlich immer "no route to host".
Ein Neustart des OpenVPN-Daemons auf der Client FB brachte abhilfe.

Ist dies immer noch das Problem, dass die FB spor. die Route verliert?

mfg
Wonderdoc

 

[knox]

vielen dank für dein feedback! offensichtlich gibt es im client-modus noch ein wenig optimierungsbedarf.

erklärung:
in dem openvpn package für ds-mod gibt es bereits eine option für "Verbindung aufrechterhalten". wenn man im webinterface den haken dafür setzt, wird die entsprechende option "keepalive" in die openvpn config geschrieben - zumindest im server modus.
im client modus wird durch die option aus dem webinterface ein "resolve-retry infinite" in die openvpn config geschrieben.
und an dieser stelle fehlt, dass auch ein "keepalive" erzeugt wird. das ist mir wohl bisher durch die lappen gegangen, werde ich aber umgehend richten. das script /var/mod/etc/default.openvpn-lzo/openvpn-lzo_conf sollte in etwa so aussehen:

if [ "$OPENVPN_LZO_KEEPALIVE" == "yes" ]; then
                echo "keepalive $OPENVPN_LZO_KEEPALIVE_PING $OPENVPN_LZO_KEEPALIVE_TIMEOUT"
        if [ "$OPENVPN_LZO_MODE" == "client" ]; then
                echo "resolv-retry infinite"
        fi
fi

("keepalive" ist ein shortcut und wird intern zu "ping" und "ping-restart" extrahiert - siehe openvpn doku).

es gibt dazu zwei parameter, die zwar nicht über das webinterface verfügbar sind, aber bei bedarf manuell durch ändern der datei /var/mod/etc/conf/openvpn-lzo.cfg angepasst werden könnten. das sollte aber eigentlich nicht nötig sein.

export OPENVPN_LZO_KEEPALIVE='yes'
export OPENVPN_LZO_KEEPALIVE_PING='10'
export OPENVPN_LZO_KEEPALIVE_TIMEOUT='120'

die von dir angesprochenen parameter "persist-*" sind überflüssig; sie werden nur benötigt, wenn openvpn als nicht-root user gestartet wird. das ist aber (leider bisher) auf der fritzbox nicht der fall.

update: ich habe jetzt ein fehlerbereinigtes package mit diesen änderungen hochgeladen.

 

[wonderdoc]

@ knox

Ich habe nun mal dein korrigiertes Package installiert.
Die alte DL-Datei entfernt, danach make openvpn-dirclean und openvpn-precompiled.
Das Package wird auch runtergeladen, allerdings ist noch die alte fehlerhafte openvpn-lzo_conf enthalten.
Hattest du das Package auf den DL-Server ausgetauscht?

Habe die änderung erstmal manuell eingefügt.

mfg
Wonderdoc

 

[knox]

Das Package wird auch runtergeladen, allerdings ist noch die alte fehlerhafte openvpn-lzo_conf enthalten.

oops

update: aktuelles paket auf server geladen...

 

[BuchIT]

Hi,

kann es dein dass das 05.er OpenVPN Paket zu groß ist für eine 7050 ?
Ich versuche gerade ein Image zu bauen...
- 14.04.26
- ds-mod
- - OpenVPN 2.1_rc1 (0.5)

Statik.pkg ist leer, .defconfig frisch zurück kopiert,
trotzdem error:

 STEP 3: PACK
 packing var.tar
 creating filesystem image
 ERROR: filesystem image is 131072 bytes too big
 make: *** [firmware] Fehler 1

Gibts nen Tipp ?

 

[olistudent]

Ich kann dir leider kein Tipp geben. Openvpn passt nicht mehr in die neueren 4MB Firmwares.

MfG Oliver

 

[BuchIT]

Das ist ja schon (leider) die Antwort die ich gesucht habe.
Gibts keine Möglichkeit das irgendwie zu verkleinern ?

 

[hermann72pb]

Es gibt die Möglichkeit openvpn vom externen WebSpace oder vom internem FTP-Server nachzuladen. Wie es geht, wurde hier mehrmals beschrieben. Sonst kenne ich keine Lösung.

Alternativ schaue dir bitte PPTP-Server an:

http://www.ip-phone-forum.de/showthread.php?t=113072

Das ist eine Alternative zu OpenVPN und scheint mittlerweile zu laufen. Vielleicht ist es nicht so groß.

MfG

Hermann

 

[BuchIT]

Ist soweit alles bekannt (siehe meine Sig), danke.
Aber bei OpenVPN steht ja auch was von neuen SSL Libs und Co.
Das müsste ich doch dann auch nachladen !?
Da ist halt die Frage, was ist da zu tun ?

Hintergrund:
Meine zweite Box (siehe Sig: @Office) will ich mit dem DS-MOD ausstatten
und u.a. das akuelle OpenVPN Paket nutzen.
Da OpenVPN wohl nicht passt muss ich es nachladen.
Aber die SSL Libs ...

Ich bin zwar ein Linux noob, aber debug.cfg, vi und Co. sind keine Fremdwörter mehr, auch das ändern der debug.cfg zum nachladen des OpenVPN Paketes wird kein Problem darstellen.

 

[knox]

da die diskussion etwas abzugleiten droht: hier geht es ausschließlich um das openvpn ds-mod package -danke!

 

[wonderdoc]

@knox

Hi, ich mal wieder.

update: aktuelles paket auf server geladen...

Die Änderung passt nun.
Mir ist aber noch folgendes aufgefallen.

sec_begin '$(lang de:"Client-Einstellungen" en:"Client Configuration")'

cat << EOF
<p>Server: <input id="remote" type="text" maxlength="16" name="remote" value="$(httpd -e "$OPENVPN_LZO_REMOTE")"><br /><small>Server $(lang de:"Hostname oder IP-Adresse" en:"Hostname or IP-Address")</small></p>
<p><input type="hidden" name="dhcp_client" value=""><input id="k9" type="checkbox" name="dhcp_client" value="yes"$pull_chk><label for="k9">$(lang de:"IP-Adresse vom Server empfangen (nur " en:"Recieve IP Address from the Server (only for") TAP)</label></p>
<p><input type="hidden" name="pull" value=""><input id="k7" type="checkbox" name="pull" value="yes"$pull_chk><label for="k7">$(lang de:"Optionen vom Server empfangen (nur mit Zertifikaten)" en:"Pull options from Server (only when used with certificates)")</label></p>
EOF

Warum begrenzt unter den Client-Einstellungen das Serverfeld auf 16 Zeichen?
Für einen DynDNS-Addy reicht dies bei weiten nicht aus.

mfg
Wonderdoc

 

[wengi]

Hallo allerseits,

auch ich versuche OpenVPN zum laufen zu bekommen.
Da ich mich noch nicht lange mit der FB beschäftige ergeben sich einige Probleme.
Es wäre schön, wenn ihr einem Halb-Newbie ein paar Fragen beantworten könntet.

Kurz zum aktuellen Status:
Ich habe drei 7170. Eine soll als Server, die anderen beiden als Clients dienen.
Es gilt also drei Netze miteinander zu verbinden.
Alle Boxen habe ich erfolgreich mit dieser Anleitung und dem Wiki (FriBoLi) aktualisiert.
Das ganze habe ich am 01.03.07 gemacht. Ich vermute also, ich habe die aktuellsten Versionen.
Danach habe ich versucht die Infos zu VPNs hier im Forum zusammenzusuchen. Dies ist allerdings etwas schwierig für einen Newbie.
Nachdem ich diesen Thread durchgelesen habe ist mir wenigstens einiges verständlicher.

Wenn ich es richtig verstanden habe gibt es nun mehrere Versionen, OpenVPN zum Laufen zu bekommen. (Vom Webspace laden, ds-mod&knox, static keys, Zertifikate)

Mir ist Folgendes klar:
- Ich muss Zertifikate nehmen, um Multi Clients sauber zu können (Zertifikate habe ich schon erstellt)
- Ich _will_ Tunnel, Kein Ethernet-Bridging
- Routing und Firewall-Config ist verstanden.

1. Bekomme ich diese Multi-Client Konfiguration mit der ds-mod Erweiterung von knox hin? (Ansonsten bin ich im falschen Thread )
2. Gibt es ein Howto oder ähnliches? Dies hier ist wohl mehr oder weniger veraltet, da kein WebIF?
3. Muss ich den Patch von knox (aus diesem Thread) noch einspielen, auch wenn ich am 01.03. kompiliert habe?
4. Falls 1. ja: Werden die Keys von mehreren Clients in ein und das selbe Fenster des WIf geschrieben?

Ich steh irgendwie etwas auf dem Schlauch.

Danke für Eure Hilfe

wengi

PS: OpenVPN 2.1_rc1 mipsel-linux [SSL] [LZO2] [EPOLL] built on Feb 28 2007
PPS: Ich hab auch hier schon mal nachgefragt, ging aber wohl in die falsche Richtung...