OpenVPN-Paket

[moooB]

hallo,

vlt eine blöde frage, aber besteht die möglichkeit mit dem openvpn packet auch "interne" also zb nur die wireless verbindungen zu tuneln?

lg

 

[maceis]

Wie meinst Du das genau?
Meinst Du damit, dass Du mit einem lokalen Rechner über VPN das WLAN der Fritzbox benutzt? Ja, das Geht.

In Kombination mit iptables kann man das sogar so einrichten, dass man das WLAN nur über OpenVPN benutzen kann. Nur ist iptables im ds-mod zurzeit leider nicht wirklich stabil.

 

[moooB]

hi,

erstmal danke für die schnelle antwort.
genau so habe ich es gemeint. mir würde im moment reichen wenn ich die verbindungen, die ich per mac adresse, erlaube mit vpn verbinden kann. also es muss nicht NUR über vpn erreichbar sein. mal sehen ob ich mir noch ein image bastel mit der alten firmware und ds mod. oder ob ich auf den neuen ds mod mit den aktuellen firmwares warte.
hatte schon mal ein image gebastelt in dem ich das open vpn packen mit angewählt hatte, nur startete da die fb garnicht mehr. mal sehen ob ich den fehler finde.

nochmals danke

lg

chris

 

[olistudent]

Könnte am Problem mit tr069 gelegen haben, da gibts einige Posts zu. Du musst "enabled=no;" in der /var/flash/tr069.cfg setzen.

MfG Oliver

 

[moooB]

hi,

danke für den tipp. ich werds gleich mal testen.

lg

 

[moooB]

hi,

das hat jetzt soweit wunderbar funktioniert. nur schade das man die config nicht wie beim ipcop exportieren kann. nun muss ich wohl händisch konfigurieren?
läuft das denn nun auch mit dem open vpn gui v1.0.3-A for windows?

lg
edit: ok, hat geklappt. der tunnel steht. hab das ganze im bridge mode.
notebook ->wlan-> FB +openVPN
damit sollte doch die komunikation zwischen notebook und fb sicher sein, oder?

lg

 

[Bratwurst0815]

Hallo Leute,

dank euch laüft mein VPN Jetzt, danke!
Eine Frage noch, lässt sich für die "Verbundenen" irgendwie der Zugriff auf die Box sperren? Soll doch keiner an der Box fummeln können

Danke

 

[maceis]

Klar.
Du hast doch sicherlich ein gutes Passwort .

 

[Bratwurst0815]

hmmm, und ne andere Möglichkeit?
Werden irgendwo Anmeldeversuche geloggt?

 

[MaxMuster]

... will heißen, nicht so ohne weiteres. Das ist so, als wenn die verbundenen Geräte bei dir im LAN wären. Ohne zusätzliche Software auf der Box (iptables z.B.) sähe ich keine Möglichkeit, den Zugriff generell zu unterbinden.

Jörg

 

[maceis]

Anmeldungen und Anmeldeversuche können vom syslogd gelogt werden.
Allerdings kann jemand der sich erfolgreich anmelden konnte auch die logfiles ändern.

Was für ein Problem hast Du mit dem sichern Passwort bzw. warum suchst Du nach einer anderen Möglichkeit?

 

[hermann72pb]

weil selbst mit dem Passwort kann einer ihm die Box auf die Werseinstellungen spasserhalber zurücksetzen.
Aber im Ernst. Wem erlaubst du in deinem Netz zu fummeln? Wenn du der Person nicht zutraust, dann lass es mit dem VPN-Zugriff für sie.

MfG

 

[Bratwurst0815]

... da hast du natürlich recht!

 

[maceis]

weil selbst mit dem Passwort kann einer ihm die Box auf die Werseinstellungen spasserhalber zurücksetzen.
...

Und wie geht das - mal ausgehend von der Voraussetzung dass die Bösen keinen physikalischen Zugriff auf das Gerät haben?

 

[tommatt]

Hi,

woran kann es liegen, dass OpenVPN per UDP jedoch nicht per TCP läuft?

Habe in der ar7.cfg zwei Ports weitergeleitet:

"udp 0.0.0.0:45443 0.0.0.0:45443",
"tcp 0.0.0.0:45444 0.0.0.0:45444",

Stelle ich den Server auf UDP mit Zertifikaten funzt alles super, stelle ich Ihn auf TCP mit Zertifikaten kommt ein TSL-Handshake Fehler und der Server schmiert ab..

 

[MaxMuster]

Welche Box? Welche OpenVPN Version? Firmware? Welche Fehlermeldung gibt es? Wie sieht die Konfig aus?

Etwas mehr Information wäre nicht schlecht ;-)

Jörg

EDIT: Erste Hilfe für mehr Infos:
In Rudi-Shell (wenn openvpn nicht mehr läuft):

cat /mod/etc/openvpn*.conf | grep -v daemon > /var/tmp/ovpn.conf
openvpn /var/tmp/ovpn.conf &
sleep 30
killall openvpn

Macht dieses:
- Config nach /tmp kopieren, dabei das "daemon" entfernen (damit man die Ausgaben sieht)
- Openvpn mit dieser konfig starten und
- 30 Sekunden warten
- dann den Prozess beenden

Ganz blind würde ich tippen: Du hast eine 7170 und die Fehlermeldung wird sein in der Art wie
TCP: accept(5) failed: Resource temporarily unavailable (errno=11)

 

[tommatt]

Ups, sorry:

FB 7170 FW 29.04.40
OpenVPN 2.1 RC ?

Server:

# OpenVPN 2.1 Config
proto tcp-server
port 45444
dev tun
ca /tmp/flash/ca.crt
cert /tmp/flash/box.crt
key /tmp/flash/box.key
mode server
tls-server
dh /tmp/flash/dh.pem
tls-auth /tmp/flash/static.key 0
ifconfig-pool 192.168.200.50 192.168.200.59
ifconfig 192.168.200.1 192.168.200.2
route 192.168.200.0 255.255.255.0
push "route 192.168.200.0 255.255.255.0"
push "route 192.168.178.0 255.255.255.0"
push "dhcp-option DNS 192.168.178.1"
push "dhcp-option DNS 192.168.178.1"
max-clients 5
tun-mtu 1500
mssfix

daemon
verb 3

cipher AES-256-CBC
comp-lzo
keepalive 10 120

Client:

client

dev tun
proto tcp-client
remote fritz.box 45444
resolv-retry infinite
nobind
persist-key
persist-tun

ca ca.crt
cert client1.crt
key client1.key

tls-remote ServerBox1
tls-auth static.key 1

auth SHA1
cipher AES-256-CBC

comp-lzo

Fehler:

Tue Nov 20 00:04:11 2007 TCP connection established with 192.168.178.1:45444
Tue Nov 20 00:04:11 2007 Socket Buffers: R=[8192->8192] S=[8192->8192]
Tue Nov 20 00:04:11 2007 TCPv4_CLIENT link local: [undef]
Tue Nov 20 00:04:11 2007 TCPv4_CLIENT link remote: 192.168.178.1:45444
Tue Nov 20 00:05:11 2007 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Tue Nov 20 00:05:11 2007 TLS Error: TLS handshake failed
Tue Nov 20 00:05:11 2007 Fatal TLS error (check_tls_errors_co), restarting
Tue Nov 20 00:05:11 2007 TCP/UDP: Closing socket

Danach nur noch

TCP: connect to 192.168.178.1:45444 failed, will try again in 5 seconds

weil der Server nicht mehr läuft.

Ändere ich den Server und den Client auf UDP:45443 lüpt dat janze

 

[MaxMuster]

Ich vermute, du hast dieses Problem (auch nochmal hier wiederholt mit neuerer FW), wenn du auch den "Resource temporarily unavailable" Fehler beim Server bekommst. Wenn es das ist, gib es leider meines Wissens keine Lösung...

Jörg

 

[knox]

<senf>Die empfohlene Betriebsart für OpenVPN ist UDP - steht so in den offiziellen Docs.</senf>

 

[tommatt]

<senfback>Es gibt gute Gründe, Dinge, die funktionieren sollen auch zu testen</senfback>

Wie kommst Du an Deine Box, wenn Du hinter einem Proxy sitzt, der nur Port 80 und 443 TCP durchläßt?

Gruß

Tom