OpenVPN-Paket

[dsteinkopf]

Ich will es gar nicht unbedingt haben. Höchstens aus Platzgründen.

Ich hatte es halt zunächst "ohne lzo" versucht, weil ich wusste, dass ich das nicht brauche. Und da kam die Fehlermeldung.

Daher fände ich es besser, wenn die Option gar nicht erst da wäre. Mehr wollte ich gar nicht sagen. Ich bin für meinen Teil damit erstmal zufrieden.


Dirk

 

[knox]

Ich erinnere mich im Dunklen irgendwo [...] gelesen zu haben, dass seit einer gewissen Zeit und Version "mit lzo" nun immer ausgewählt werden muss.

das ist richtig, und steht (stand?) übrigens deshalb auch in diversen postings in diesem thread. bzw. im wiki artikel zum openvpn package.

@alle Wie ich geschrieben habe, gibt es das Package nur mit LZO.

da es während der entwicklung einfacher ist, nur an einem package zu basteln, und ich persönlich die variante mit lzo bevorzuge, gibt es aus der 6er reihe nur "mit lzo". (übrigens gibts auch keine vorkompilierten binaries, in so fern sind es "unvollständige" packages, die auf meinem webserver liegen.)

nur noch mal zur erinnerung: bei den packages der 6er reihe handelt es sich um "labor"-versionen; zum testen für erfahrene benutzer (und solche, die es werden wollen). es wurden zahlreiche änderungen und/oder erweiterungen in das package aufgenommen, die immer noch nicht als hundertprozentig funktionstüchtig gelten können, da sie nicht hinreichend getestet wurden. auf gut deutsch: die packages sind noch nicht idiotensicher! wer es dennoch benutzen möchte, sollte sich selbst zu helfen wissen...

 

[s.panzer]

Brücke Funktioniert, aber keine Rechner dahinter erreichbar

Hallo,

ich habe openvpn aus DSmod 14.3 laufen und es wurde mit dem web interface so konfiguriert:

Server:

proto udp
port 1194
dev tap
ca /tmp/flash/box.crt
key /tmp/flash/box.key
mode server
tls-server
dh /tmp/flash/dh.dem
tls-auth /tmp/flash/static.key 0
ifconfig -pool 192.168.200.4 192.168.200.25
ifconfig 192.168.200.1 255.255.255.0
push "route-gateway 192.168.200.1"
push "route 192.168.100.0 255.255.255.0"
push "dhcp-option DNS 192.168.100.1"
push "redirect-gateway"
max clients 5
tun-mtu 1500
mssfix

daemon
verb 3
cipher BF-CBC
route 192.168.178.0 255.255.255.0
comp-lzo
keepalive 10 120
status /var/log/openvpn.log

client:
proto udp
port 1194
dev tap
ca .......
cert......
key......
tls-client
ns-cert-type server
tls-auth /tmp/flash/static key 1
pull
remote meine.homeip.net
nobind
tun-mtu 1500
mssfix

daemon
verb 3
cipher BF-CBC
route 192.168.100.0 255.255.255.0
comp-lzo
keepalive 10 120
resolv-retry infinite
status /var/log/openvpn.log


Aus den Servernetz kann ich die Client-Fritzbox unter der IP 192.168.200.4 anpingen und auch das Webinterface öffnen.

Jedoch ist kein Rechner hinter den Fritzboxen von Server als auch von Clientseite erreichbar.
Als ob die Brücken nicht gesetzt sind.

Kann mir jemand helfen?

gruß

s.panzer

 

[frank_m24]

Hallo,

push "route-gateway 192.168.2001."

Das sieht doch sehr merkwürdig aus. Ist das ein Copy&Paste Fehler? Falls nicht, dann würde ich das mal überprüfen. Eine gültige IP-Adresse ist es so jedenfalls nicht.

Viele Grüße

Frank

 

[s.panzer]

Da hat nur beim Abschreiben der Punkt gefehlt.

die IP Adresse heißt 192.168.200.1.

Gruß

s.panzer

 

[frank_m24]

Hallo,

mit dem Punkt dahinter? Dann ist es immer noch falsch.

Was mir außerdem noch auffällt:

push "dhcp-option DNS 192.168.100.1"

Das passt auch nicht wirklich zum Rest deiner Konfig. Wo kommt die her? Doch passt. Die Adresse der einen Box ist wohl 192.168.100.1

Viele Grüße

Frank

 

[s.panzer]

Der Punkt gehört da auch nicht hin.

192.168.200.1 ist es in der Konfiguration. Ich glaube im Webinterface


Richtig die Serverbox heißt 192.168.100.1 und ist DNS-Server.

Gruß

s.panzer

 

[MaxMuster]

Jedoch ist kein Rechner hinter den Fritzboxen von Server als auch von Clientseite erreichbar.
Als ob die Brücken nicht gesetzt sind.

Hast du die Brücke denn gesetzt? Also im ar7.cfg das tap-Device zu den bridges hinzugefügt (unter brinterfaces {) oder ansonsten mit brctl addif lan tap0 (oder eben passend für dich angepasst) händisch hinzugefügt?

Grüße

Jörg

 

[s.panzer]

Hallo Jörg,

ich dachte der openvpn im DSmod macht das wenn tap eingestellt wird automatisch.

Da nirgends steht das man das händisch machen muß.

Jetzt die Frage: wie wie heißt die Zeile in der ar7.cfg die eingefügt werden muß.
und wo muß sie eingefügt werden?

Bei Server und Client?

gruß

s.panzer

 

[MaxMuster]

Jetzt die Frage: wie wie heißt die Zeile in der ar7.cfg die eingefügt werden muß.
und wo muß sie eingefügt werden?

Also, das ist in der ar7.cfg der Abschnitt

brinterfaces {

dort müsste dann tap0 hinzugefügt werden (sofern es nicht drinsteht, da bin ich beim aktuellen dsmod nicht sicher, weiß nur, dass ich es "damals" da eingetragen hatte)...

Du musst es dort eintragen,wo das "gebrückte" Netz mit der Brücke verbunden werden soll. Ist also deine Server-Box in dem LAN 192.168.200.0 255.255.255.0, so musst du dort das LAN-Interface mit dem tap0 "verbinden". Damit is der Client dann "virtuell" in diesem Netz und kann dann direkt alle Geräte dort ansprechen. Sind dann noch mehrere Geräte im LAN "hinter dem Client" auch in diesem IP-Netz, so müsstest du auch beim Client den tap-Adapter mit dem LAN brücken...

Jörg

 

[s.panzer]

Hall MaxMuster,

wenn ich nur beim Server tap0 einfüge kann ich auf die client-Fritzbox mit der IP Adresse aus dessen Heimnetz 192.168.178.1 zugreifen.
Alle Rechner dahinter gehen nicht!

Wenn ich dann auch in der Client-Fritzbox den tap0 einfüge.
Kann ich auch das nicht mehr.

Aber in der openvpn.log beim server stehen jetzt 5 MAC-Adressen aus dem Client-Netz.
Nur ich kann keinen anpingen.

Aber die 192.168.178.0 kann ich anpingen!!

Gruß

s.panzer

 

[MaxMuster]

Hallo s.panzer,

ich glaube, da gibt es noch ein paar grundsätzliche Unklarheiten über die Art des Zugriffs mit TAP und TUN...

Der Zugriff über 'ne Brücke (TAP) bedeutet, dass du den Client "in das Server-LAN" integrierst. Er bekommt dann über das Interface z.B. sämtliche Broadcasts im Netz, alle ARP-Anfragen usw. Daher ist es dann nötig, dass die beteiligten Geräte auch im gleichen IP-Netz sind, sonst können sie sich nicht finden. Im Normalfall ist daher auch das Netz für die TAP-Devices ein "Ausschnitt" aus dem eigenen LAN. Die TAP Variante macht also nur Sinn, wenn die beiden verbundenen Netze auch das gleiche IP-Netz benutzen, sonst ist sie zwar möglich, aber eher kontraproduktiv... (das führt z.B. zu dem beschriebenen Effekt, dass du zwar die MAC-Adressen siehst, diese aber nicht ansprechen kannst, weil sie aus IP-Sicht in einem anderen Netz sind.)

Wenn du also nicht planst, die PC's im "LAN hinter der Client-Box" in das gleiche IP-Netz zu bringen, wie die PC's im "LAN hinter der Server-Box", könntest du dir die "Brückerei", die deutlich mehr Last durch die Übertragung aller Broadcasts erzeugt, auch sparen und das Ganze durch Tunnel-Devices und Routing abbilden.

Infos dazu findest du z.B. hier.


Das hieße dann (wenn du das 192.168.200.-er Netz weiterhin für die Verbindung nutzen wolltets), dass du auf dem Server einen Routing-Eintrag für das Netz 192.168.178.0 machst, da das dein "Client-LAN" zu sein scheint, und auf dem Client ein Routing für das Netz 192.168.100.0 (dein "Server-LAN).

Dann sollten (wenn jeweils die FritzBox das Defaultgateway in den Netzen ist) jeweils die beiden Netze untereinander erreichbar sein.

Jörg

 

[Razorworks]

Hallo ihr guten,

ich bin nun den Thread soweit durchgegangen, habe aber dennoch ein paar Fragen zu OpenVPN:

Ich möchte erstmal 3 Netze verbinden, wobei ich den Server stellen werde (FBF 7170, Daten siehe unten) und sich eine weitere FBF 7170 und ein LinkSYS WRT300N (Datenblatt) verbinden (weitere in Planung).

Dabei soll es so sein, dass alle Netze für sich unabhängig sind - ich will nicht der Router ins Internet sein --> Frage: tun oder tap?

Die Authentisierung möcht ich mit Zertifikaten erledigen - dazu werde ich hier aber noch etwas lesen (müssen).

Sollten die LANs für sich alle in unterschiedlichen "Netzen" arbeiten (LAN A: 172.16.0.0, LAN B: 192.168.0.0, Lan C: 10.0.0.0 und andere)?

Die Router müssen ja wohl im selben Netz ihre IPs haben, richitg (also das sich verbindene if)?

So, nun muß ich mich aber weiter mit den Zertifikaten auseinandersetzen.

Grüße aus Berlin an den Rest der Welt...

 

[MaxMuster]

Hi,

Dabei soll es so sein, dass alle Netze für sich unabhängig sind - ich will nicht der Router ins Internet sein --> Frage: tun oder tap?

Ohne besondere Anforderungen an die Verbindung würde ich immer sagen: TUN.

Sollten die LANs für sich alle in unterschiedlichen "Netzen" arbeiten (LAN A: 172.16.0.0, LAN B: 192.168.0.0, Lan C: 10.0.0.0 und andere)?

Ja, verschiedene Netze würde ich auf jeden Fall auch raten. Die Routerverbindung kann dann im selben Netz sein, wenn Verbindungen der Client-Netze sein soll, gibt es client-to-client.

Viel Erfolg weiterhin!

Jörg

 

[Razorworks]

Hi,
Ohne besondere Anforderungen an die Verbindung würde ich immer sagen: TUN.
Ja, verschiedene Netze würde ich auf jeden Fall auch raten. Die Routerverbindung kann dann im selben Netz sein, wenn Verbindungen der Client-Netze sein soll, gibt es client-to-client.
Viel Erfolg weiterhin!
Jörg

Danke für die Antwort.

Wie ist denn das mit dem client-to-client zu verstehen? Es sollen sich die Router selbstständig verbinden, ohne Zutun eines Clients.

Läßt es sich außerdem realisieren, dass sich alle aktuell verfügbaren Clients mit Name und IP in einer Tabelle (Script --> HTML/PHP) registrieren, damit man sieht, wer so alles ON ist? Und das Sahnehäubchen wäre dann, dass man beim Starten eines Browsers sofort diese Seite sieht (Mal sehen, ob das wirklich so toll ist <--) [neuer Thread vielleicht??? Aber wo??? www.uebersicht.de ]

Greets.

 

[MaxMuster]

... das client-to-client hat nichts mit der Art der Verbindung zu tun. Es sorgt nur dafür, dass die "Client-LAN's" sich auch gegenseitig erreichen können. Dazu auch nochmal der Hinweis auf Wiki und auch openvpn.org, wo einige Infos zu finden sind.

Du kannst das Logging einschalten, dann steht jeweils in /var/log/openvpn.log der aktuelle Status, dessen Infos man sicher irgendwie noch "veredeln" kann, da sind deiner Phantasie keine Grenzen gesetzt ;-)

Jörg

 

[Razorworks]

Hm...

Hallo ihrz,

ich habe nun die Zertifikate erstellt, die ar7.cfg um den Eintrag
>>"udp 0.0.0.0:9876 0.0.0.0:9876 0 # OpenVPN-Server",<<
erweitert (da wo auch die anderen Weiterleitungen stehen),
habe meine server.conf erstellt

# OpenVPN 2.1_rc1 config:
####################################################
# Authentifizierung und Verschluesselung
ca ca.crt
cert vpn-server_razor.crt
key vpn-server_razor.key
dh dh1024.pem

auth SHA1
cipher AES-256-CBC

####################################################
# Grundsaetzliches
port 9876
proto udp
dev tap
[COLOR="Red"]# insert onto shell: mknod /var/tmp/tun c 10 200[/COLOR]
dev-node /var/tmp/tun


####################################################
# Server-Einstellungen
mode server
tls-server
client-to-client
server 192.168.0.1 255.255.255.0
#server 10.0.0.254 255.255.255.0

ifconfig-pool-persist ipp.txt  # assign right IP-Addresses (optional)
mssfix


#server:
#Routen setzen, bei route Subnetz des Clients
# bei push Subnetz des eigenen Servers eintragen
route 192.168.1.0 255.255.255.0 10.0.0.1
push "route 192.168.178.0 255.255.255.0"
push "redirect-gateway"


# Don't close and reopen TUN/TAP device or run up/down
# scripts across SIGUSR1 or --ping-restart restarts.
persist-tun

# Change process priority after initialization
# n>0 : lower priority; n<0 : higher priority).
nice 1


####################################################
# Verbindung aufrecht halten
ping 10
ping-restart 60

####################################################
## Enable compression
## server & client entry must be the same!
comp-lzo


####################################################
# Protokollierungseinstellung
verb 4

####################################################
# Daemon (Wenn alles funktioniert)
;daemon

####################################################
#Allow remote peer to change its IP address and/or port number, such as due to DHCP
# float tells OpenVPN to accept authenticated packets from any address, not only the
# address which was specified in the --remote option.
float

, bekomme aber beim Starten mit dem Befehl
./openvpn --config server.conf
folgende FM: "Options error: --server directive network/netmask combination is invalid".

Die Router sollen sich unter 10.0.0.0/24 finden, ich (Server) mit der IP 10.0.0.254/24
#####
Mein LAN: 192.168.0.0/24; FBF im LAN: 192.168.0.1
erstes verbindenes LAN: 192.168.1.0/24; FBF im LAN: 192.168.1.1
zweites: 192.168.2.0/24; Router (LinkSYS) im LAN: 192.168.2.1
n-tes LAN: 192.168.n.0/24, Router: 192.168.n.1

Wann & wie oft (jeweils beim Booten oder nur 1 Mal) muß ich den oben rot markierten Eintrag ausführen (lassen)? Eintrag in debug.cfg sinnvoll / möglich?
Was habe ich falsch gemacht?
Wie ist das realisierbar?
Welche Dateien (crt, key, pem) kann ich gefahrlos ! beim Hoster im Internet hinterlegen?

Greets.

Danke für eure tatkräftige Unterstützung.

P.S.: Ich habe versucht mich, an DIESES HOWTO zu halten.
P.P.S.: Ich habe KEIN Mod installiert.

 

[MaxMuster]

Der Befehl server bezieht sich auf eine Netzwerkadresse, nicht eine Host-Adresse (also z.B. server 192.168.0.0 255.255.255.0).

Kleine Spitze: manchmal hilft es, die Befehle einfach mal (z.B. hier) nachzulesen ;-)

Und die Keys (das sind deine "privatesten" Dateien) würde ich nicht auf einen Hoster legen. Hat denn deine Box keinen USB-Anschluss für 'nen kleinen Stick???

Jörg

PS zum PPS: Warum postest du denn dann im ds-mod Forum ;-) ?

 

[MaxMuster]

Float "vergessen"??

Hallo,

@knox:
Kann es sein, dass die Einstellung zum "float" nicht ausgewertet wird? Bei mir ging es zumindest nicht.
Ich habe testweise mal in openvpn-lzo_conf ergänzt:

if [ "$OPENVPN_LZO_FLOAT" == "yes" ]; then
        echo "float"
fi

und dann gehts. Vielleicht könntest du das mit aufnehmen?

Danke!

Jörg

 

[knox]

Kann es sein, dass die Einstellung zum "float" nicht ausgewertet wird?

upps. danke für's bemerken und melden!

if [ "$OPENVPN_LZO_FLOAT" == "yes" ]; then
        echo "float"
fi

[...] mit aufnehmen?

eben ins svn eingecheckt, wird im nächsten ds26 release dabei sein.