OpenVPN-Paket

EasyRider schrieb:
Ich will mit den zusätzlichen Optionen experimentieren ... Ich hatte in der Server-conf zunächst an "push redirect-gateway" gedacht.
Das geht über das ds-mod UI mit Auswählen der Option "Clientverkehr umleiten". (push redirect-gateway wid in die dynamisch erzeugte Konfiguration eingetragen)
 
knox schrieb:
Das geht über das ds-mod UI mit Auswählen der Option "Clientverkehr umleiten".
Das kommt noch dazu. Mir fällt eigentlich kein "sinnvoller" Parameter ein, der nicht mit der vorhandenen GUI einstellbar wäre. Vor allem wenn du "kein Byte" durch den Tunnel kriegst, gehe ich nicht von einer "fehlenden" Option aus. (Die "neue" GUI ist im großen für zwei "Spezialfälle", nämlich eine TUN-Config mit mehreren Clients und eine Möglichkeit, mehrere Konfigs mit einer GUI zu erzeugen.)

Jörg
 
So, nun funktioniert das erweiterte Paket von MaxMuster auch bei mir (im Server-Modus mit Zertifikaten).

Ich habe einfach noch mal alles komplett neu kompiliert und auf der Box /tmp/flash/dh.pem gelöscht und dann über das Webinterface neu angelegt und alle Probleme haben sich in Luft aufgelöst.

Noch ein kleiner "Kritikpunk": im UI unter Einstellungen sind die Einträge jetzt mit "OpenVPN: " davor und dadurch sind sie so lang, dass sie umbrechen. Das sieht irgendwie doof aus.

Von diesem Optik Detail mal abgesehen ist das erweiterte Package wirklich eine tolle Sache und ein riesen Schritt nach vorne. Noch einmal besten Dank an MaxMuster und alle anderen beteiligten für die gute Arbeit.
 
knox schrieb:
im UI unter Einstellungen sind die Einträge jetzt mit "OpenVPN: " davor und dadurch sind sie so lang, dass sie umbrechen. Das sieht irgendwie doof aus.
Das ist in der Tat blöd (bei mir klappt es im Firefox ohne Umbrüche).
Du darfst das in SVN auch gern im rc.openvpn wieder rausnehmen. Bei den Einstellungen für die "Zusatz-Keys/Certs" müsste es zwar wohl drin sein, um die "Zuordnung" zu erkennen (das mach für diese Configs "openvpn_dynamic_conf"), aber beim "Standard" kann das sicher auch wieder weg, wenn es "blöd aussieht".

Jörg
 
knox schrieb:
im UI unter Einstellungen sind die Einträge jetzt mit "OpenVPN: " davor und dadurch sind sie so lang, dass sie umbrechen.

Hi,

Ich habe noch die vorletzte Version des neuen CGI auf meiner Box,
aber bisher wurden bei mir im IE6 keine Umbrüche bei den Einstellungen angezeigt.
Es steht immer "OpenVPN: xxxxxxx" sauber in einer Zeile.
Welchen Browser verwendes du?
Oder hatte sich diesbezüglich in der letzten Version was geändert?

mfg
Wonderdoc
 
Zusätzliche Einstellungen in openvpn-lzo.conf

@Max Muster, Knox
Beispiel für weitere Einträge:
Bei mir liegen hinter dem OPENVPN-Server noch insgesamt 4 weitere, durch Router getrennte, Netze die alle in mit "push route" in die serverseitige openvpn-lzo.conf eingetragen werden müssen, wäre gut wenn es dafür eine Möglichkeit gäbe. Zu meinem Problem mit dem Tunnel habe ich einen möglichen Fehler gefunden! -> Versionsinkompatibilitäten <- der Client meldet mit der Option "verb 6" in der client-conf die Version V0 auf dem Server und V4 auf dem Client und sucht nach fehlenden Einträgen auf dem Server. Für mein Win-Notebook hatte ich mir eine Windowsversion von OPENVPN direkt von der Homepage geladen. Es scheint eine neuere gewesen zu sein, als die, die ihr für den ds-mod verwendet. Ich hab keine Ahnung, wie ich das glatt bügeln kann :(
 
EasyRider schrieb:
... Netze die alle in mit "push route" in die serverseitige openvpn-lzo.conf eingetragen werden müssen, wäre gut wenn es dafür eine Möglichkeit gäbe.
Gibt es - MaxMuster sei Dank. Die neuste Version des Paketes bietet u.a. genau diese Möglichkeiten.
 
@wonderdoc,knox: Wenn es da mit einem Browser Probleme gibt, dann sollte man das zumindest in der "Standardeinstellung", die jeder zu Gesicht bekommt, so machen, dass es möglichst "gut" aussieht und klar ist. Ich fand es mit der "Beschreibung" davor klarer, das sollte aber nicht dazu führen, dass es solche Umbrüche gibt.
Letztlich möchte ich diese Einstellungen aber ganz da weg und in das UI verschieben. Es sind einfach ziemlich viele Einstellungen, die man eben nur für dieses Paket braucht. Speziell bei mehreren Key-Einstellungen wird es dann "sehr voll" dort...
Mir muss nur noch eine sinnvolle Möglichkeit einfallen, die Verwaltung der Keys/Certs in eine Seite einzubetten, ohne dass ich sie gleich in die openvpn.[cfg|diff] aufnehmen muss...

@EasyRider
Versionsinkompatibilitäten halte ich für sehr unwahrscheinlich. Du solltest erstmal die grundsätzliche Funktion erreichen (Client kann Server mit VPN-IP anpingen) ehe du dich den dahinterliegenden Netzen zuwendest (als erste Lösung schlage ich dann vor, trage die Netze im Windows-Client ein, da hast du keine Begrenzung).

EDIT (zur Anmerkung von knox): Ja, in gewissen Grenzen geht das auch mit den "Neuerungen" in der GUI, aber auch wenn jetzt noch ein paar Erweiterungen drin sind: Die GUI ist für den "Otto-Normal-User" und manche Dinge lassen sich nur über eine eigene Konfig regeln. Meine "Vorgänger" und ich haben zwar versucht, möglichst viel Flexibilität drin zu haben, es muss aber noch handhabbar sein. Daher wird es immer Konstellationen geben, die bei der GUI nicht bedacht oder als unwichtig erachtet wurden. Solche "Probleme" aus dem Leben finden dann auch mal Einzug in die Entwicklung, wenn es sich als machbar erweist (wie z.B. deine Anregung mit den "Zusatzparametern", die nun drin ist). Ansonsten gilt auch hier natürlich: Anregungen nimmt man gerne auf, am liebsten natürlich, wenn sie "konkret" sind aber jeder ist auch immer wieder aufgefordert, mal den (offenen) Code anzusehen und eine Ergänzung zu machen.

Zu deinem Problem: Poste doch mal die Configs und ggf. die Logs

Jörg
 
Zuletzt bearbeitet:
@ MaxMuster, äh, wie meinst Du das mit dem VPN-Ping?? Ich pinge mit dem Windows Ping von meinem Notebook, habe ich da was übersehen??
 
Nein, ich meinte, du solltest als ersten Test immer erstmal versuchen, die IP Adresse des Servers im VPN anpingen (also die "Tunnel-IP", die in der GUI bei "lokaler IP" steht). Danach kann man sich dann weiter "vortasten" um zu sehen, ob das Routing zu den anderen Netzen funktioniert...

Jörg
 
Hallo MaxMuster, alias Jörg!
Ich habe heute nachmittag nochmal das Eine und Andere probiert, es tut sich aber nichts. Kein Byte über den Tunnel in beiden Richtungen. Irgendwo steckt ein Fehler, den ich nicht erkenne. Anbei meine Konfiguration:

IP der Box für das LAN 192.168.2.1
Server IP des Tunnels 10.8.0.1 (auf der Box)
Client IP des Tunnels 10.8.0.2 (Notebook)

Keine Einträge im TAP-Adapter des Notebooks, (Zuweisung der IP's durch den VPN-Client). Die Initialisierung des Tunnel endet auf der Client-Seite mit "Initialization Sequence Completed". Ich gehe davon aus, dass der Tunnel steht. Die Windows XP Firewall auf dem Notebook ist deaktiviert! Einwahl ins Internet mit analogem Modem. (Windows DFÜ-Adapter)

Meine Server-conf:

# OpenVPN 2.1 Config
proto udp
port 1194
dev tun
ca /tmp/flash/ca.crt
cert /tmp/flash/box.crt
key /tmp/flash/box.key
mode server
tls-server
dh /tmp/flash/dh.pem
tls-auth /tmp/flash/static.key 0
ifconfig 10.8.0.1 10.8.0.2
route 10.8.0.0 255.255.255.0
push "route 10.8.0.1"
tun-mtu 1500
mssfix

daemon
verb 3

cipher AES-256-CBC
comp-lzo
float
keepalive 10 120
status /var/log/openvpn.log


Meine Client-conf:

tls-client
dev tun
ifconfig 10.8.0.2 10.8.0.1
proto udp
remote data-peering.xxxxxx.xxx 1194
resolv-retry infinite
nobind

persist-key
persist-tun

ca ca.crt
cert roadwarrior.crt
key roadwarrior.key

ns-cert-type server

tls-auth static.key 1
cipher AES-256-CBC
comp-lzo
verb 6
 
Hi,

was meinst du denn mit "Keine Einträge im TAP-Adapter des Notebooks"??
Könntest du bitte mal das Log Posten? Und noch ein "ifconfig" bzw "ipconfig" sowie ein "route"/"route print" der Geräte im verbundenen Zustand (nicht als "quote" sondern als "code", wenns lang ist)? Bitte auch ein ping 10.8.0.1 und ping 10.8.0.2 (jeweils zur anderen Seite).

Danke!

Jörg
 
Hi Jörg,
mit "keine Einträge im TAP-Adapter" meinte ich, dass der Adapter für dynamische IP Zuweisung eingestellt ist (umständlich ausgedrückt). Den Rest liefere ich dir morgen nachmittag! Für mich geht der Tag langsam zu Ende.
 
O.k., dann warte ich das mal ab. Und dafür habe ich auch was für dich: Deine eigene Version der GUI ;-)

Mit den Files sollte es möglich sein, an allen Stellen, wo Netze fürs Routing angegeben werden ("lokales Netz", "Entferntes Netz", "Netz beim Client") jeweils mehrere Netze anzugeben, jeweils mit Komma getrennt.
Also z.B.
Code:
"192.168.0.0 255.255.255.0; 192.168.2.128 255.255.255.128 ; 192.168.17.16 255.255.255.240"
Nur "grob getestet", aber du darfst das gerne ausführlich tun und 'ne Rückmeldung geben ;-).

Anleitung Tar im ds-Verzeichnis auspacken, so dass die beiden Dateien "openvpn.cgi" und "openvpn_conf" überschrieben werden.

Jörg
EDIT: Fehler, nicht mit "Komma", sondern mit Semikolon wird getrennt (wie im Beispiel richtig angegeben)
Auch gleich noch eine leicht angepasste Version (Die "Netze" bei den Erweiterten Clienteinstellungen waren "zu breit" und das Routing beim TAP wurde angepasst).
 

Anhänge

  • openvpn_more_routes.tgz
    11.7 KB · Aufrufe: 6
Zuletzt bearbeitet:
Hai Jörg,
melde mich zurück! Genau das habe ich mir gewünscht, mehrere Netze getrennt durch Semikolon ins GUI eintragen zu können. Danke schon mal im voraus (der Test kommt später)

Hier nun die Konfig für die Netzwerkadapter und Routingtabelle von Notebook und Box:

Code:
Das Notebook, die Netzwerkadapter:

Windows-IP-Konfiguration

        Hostname. . . . . . . . . . . . . : WB07Notebook
        Primäres DNS-Suffix . . . . . . . :
        Knotentyp . . . . . . . . . . . . : Gemischt
        IP-Routing aktiviert. . . . . . . : Nein
        WINS-Proxy aktiviert. . . . . . . : Nein

Ethernetadapter VPN-Adapter:

        Verbindungsspezifisches DNS-Suffix:
        Beschreibung. . . . . . . . . . . : TAP-Win32 Adapter V8
        Physikalische Adresse . . . . . . : 00-FF-01-0A-AD-8F
        DHCP aktiviert. . . . . . . . . . : Ja
        Autokonfiguration aktiviert . . . : Ja
        IP-Adresse. . . . . . . . . . . . : 10.8.0.2
        Subnetzmaske. . . . . . . . . . . : 255.255.255.252
        Standardgateway . . . . . . . . . :
        DHCP-Server . . . . . . . . . . . : 10.8.0.1
        Primärer WINS-Server. . . . . . . : 192.168.3.2
        Lease erhalten. . . . . . . . . . : Montag, 29. Oktober 2007 17:46:13
        Lease läuft ab. . . . . . . . . . : Dienstag, 28. Oktober 2008 17:46:13

PPP-Adapter:

        Verbindungsspezifisches DNS-Suffix:
        Beschreibung. . . . . . . . . . . : WAN (PPP/SLIP) Interface
        Physikalische Adresse . . . . . . : 00-53-45-00-00-00
        DHCP aktiviert. . . . . . . . . . : Nein
        IP-Adresse. . . . . . . . . . . . : 217.184.232.190
        Subnetzmaske. . . . . . . . . . . : 255.255.255.255
        Standardgateway . . . . . . . . . : 217.184.232.190
        DNS-Server. . . . . . . . . . . . : 62.53.142.3
                                            193.189.244.205
        NetBIOS über TCP/IP . . . . . . . : Deaktiviert


Die Routing-Tabelle vom Notebook:
===========================================================================
===========================================================================
Aktive Routen:
     Netzwerkziel    Netzwerkmaske          Gateway   Schnittstelle  Anzahl
          0.0.0.0          0.0.0.0  217.184.232.190  217.184.232.190      1
         10.8.0.0  255.255.255.252         10.8.0.2        10.8.0.2       30
         10.8.0.2  255.255.255.255        127.0.0.1       127.0.0.1       30
   10.255.255.255  255.255.255.255         10.8.0.2        10.8.0.2       30
      62.53.142.1  255.255.255.255  217.184.232.190  217.184.232.190      1
        127.0.0.0        255.0.0.0        127.0.0.1       127.0.0.1       1
  217.184.232.190  255.255.255.255        127.0.0.1       127.0.0.1       50
  217.184.232.255  255.255.255.255  217.184.232.190  217.184.232.190      50
        224.0.0.0        240.0.0.0         10.8.0.2        10.8.0.2       30
        224.0.0.0        240.0.0.0  217.184.232.190  217.184.232.190      1
  255.255.255.255  255.255.255.255         10.8.0.2               2       1
  255.255.255.255  255.255.255.255         10.8.0.2               3       1
  255.255.255.255  255.255.255.255         10.8.0.2        10.8.0.2       1
  255.255.255.255  255.255.255.255  217.184.232.190  217.184.232.190      1
Standardgateway:   217.184.232.190
===========================================================================
Ständige Routen:
  Keine


Die Box, Netzwerkapapter:

lan:0     Link encap:Ethernet  HWaddr 00:1A:4F:43:71:95
          inet addr:192.168.2.254  Bcast:192.168.2.255  Mask:255.255.255.0
          UP BROADCAST RUNNING ALLMULTI MULTICAST  MTU:1500  Metric:1

lo        Link encap:Local Loopback
          inet addr:127.0.0.1  Mask:255.0.0.0
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:1179 errors:0 dropped:0 overruns:0 frame:0
          TX packets:1179 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:87704 (85.6 KiB)  TX bytes:87704 (85.6 KiB)

tun0      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
          inet addr:10.8.0.1  P-t-P:10.8.0.2  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP ALLMULTI MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:363 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100
          RX bytes:0 (0.0 B)  TX bytes:13080 (12.7 KiB)


Die Routingtabelle der Box:

Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
192.168.180.1   *               255.255.255.255 UH    2      0        0 dsl
192.168.180.2   *               255.255.255.255 UH    2      0        0 dsl
10.8.0.2        *               255.255.255.255 UH    0      0        0 tun0
192.168.100.0   192.168.2.8     255.255.255.0   UG    0      0        0 lan
192.168.36.0    192.168.2.8     255.255.255.0   UG    0      0        0 lan
192.168.3.0     192.168.2.8     255.255.255.0   UG    0      0        0 lan
192.168.2.0     *               255.255.255.0   U     0      0        0 lan
default         *               0.0.0.0         U     2      0        0 dsl
 
Das sieht eigentlich "gut" aus, bis auf die Tatsache, dass die Box keine Pakete zu empfangen scheint...
Woher hat denn dein Client den WINS-Server? Hast du den eingetragen oder kam der vom Server?
Wie ist denn die Weiterleitung in der Fritzbox? Du solltest den "von Hand" in der ar7.cfg eintragen, so dass dort steht:
Code:
"udp 0.0.0.0:1194 0.0.0.0:1194" # plus ein , oder ein ; je nachdem, wo es steht...
. Wie steht es denn nun mit einem Ping vom Client auf die Server-IP 10.8.0.1?
Zum Testen könntest du zudem mal versuchen (sofern das geht) dein NB ins LAN zu hängen, und dann die Config auf "remote 192.168.2.254" abzuändern.

Ansonsten kann ich mich nur wiederholen: Poste bitte die Logs, speziell das des Servers.

Jörg
 
Der WINS-Server Eintrag stammt von dem WLAN-Adapter, dort habe ich ihn eingetragen, da das NB noch per WLAN in einem anderen Netzwerk(abschnitt) hängt.

Hab den Eintrag in der ar7.cfg nochmal überprüft, der stimmt! (mit Komma am Ende) sonst würde der Tunnelaufbau nicht funktionieren. Da ich an der Konfig nichts geändert habe, gibts auch nach wie vor kein Ping vom Server !

Nachtrag: Ich habe den Eintrag in der ar7.cfg an einer von mir frei gewählten Stelle in die Forwardrules eingefügt (deshalb kein #) ich denke das ist korrekt, oder??

Code:
OPENVPN-Server log

Updated,Mon Oct 29 20:41:53 2007
Common Name,Real Address,Bytes Received,Bytes Sent,Connected Since
NB_95400,217.184.228.27:1184,7498,7401,Mon Oct 29 20:41:13 2007
ROUTING TABLE
Virtual Address,Common Name,Real Address,Last Ref
GLOBAL STATS
Max bcast/mcast queue length,1
END
 
Zuletzt bearbeitet:
EasyRider schrieb:
Ich habe den Eintrag in der ar7.cfg an einer von mir frei gewählten Stelle in die Forwardrules eingefügt (deshalb kein #) ich denke das ist korrekt, oder??
Ja, das ist es. Auch die Datei sieht gut aus.
Mir fällt im Moment so nichts mehr auf. Könntest du den Server mal ohne "daemon" starten und die Ausgabe beim Verbindungsaufbau und beim Ping auf die VPN-IP posten?

Jörg
 
Hallo Jörg,
kann mich erst am Mittwochabend wieder zurückmelden!
 
Openvpn how to 7170

Moinsen

Habe hier schon etliche Themen durchgesucht aber nix gefunden.
Suche ein gutes How to wie ich an der Fritzbox eine Openvpn Verbindung mit 1 oder mehreren Client erstelle von einem Windows XP Rechner der als Client und die Fritzbox als Server fungiert.
Auf Fritzbox läuft der dsmod 29.04.37ds26-15.2.

Bin Openvpn neuling :noidea:

P.S. SSH funzt schon super bei mir.
 
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.