OpenVPN-Paket

[matze1985]

vpn kann man für alles nutzen, wozu du eine netzwerkverbindung haben möchtest.
Deine wünsche kannst du damit also auch erfüllen, aber auch mit ssh und porttunneln ist dies möglich.

 

[maceis]

...
Ich möchte einfach nur von unterwegs (Macbook) auf meine FB gesichert zugreifen können (ssh),
...

Einen ssh Zugriff brauchst Du nicht zu tunneln, der ist ja schon verschlüsselt.

 

[ao]

Wofür sind denn Tunnels eigentlich gut?
Geht es dabei darum - illegalerweise - geschlossene Ports zu durchtunneln?
Das will ich auf gar keinen Fall, daher denke ich, dass ssh wohl ausreichen sollte - sofern eben der Port (443) dafür freigegeben ist. Leider habe ich das noch nicht erfragen können.

Wie baut man denn von remote ein neues FW-Image für die Fritzbox?
Auf meinem alten PC zu Hause läuft StinkyLinux und das Teil ist eingeschaltet. Unterwegs fällt mir ein, dass ich dies und das mal ausprobieren will und würde mich dafür eben gerne mit StinkyLinux zu Hause verbinden. Mache ich das mit OpenVPN, mit ssh, mit VNC oder welche Komponenten werden dazu benötigt?

Ähem, ich merke gerade, dass das alles u.U. etwas OT wird und hoffe auf Euer Verständnis - wenn es wenigstens teilweise mit OpenVPN zu tun hat.

 

[McNetic]

Wofür sind denn Tunnels eigentlich gut?
Geht es dabei darum - illegalerweise - geschlossene Ports zu durchtunneln?

Technisch gesehen gibt es ja nur die Funktionsweise. Dabei ist es wie folgt:

OpenVPN erlaubt es, (netzwerktechnisch) entfernte Rechner und Netzwerke miteinander zu so zu verbinden, als wären sie im gleichen Netzwerk oder nur über einen einzelnen Router verbunden. Der Verkehr, der dabei zwischen den Verschlüsselungspunkten ausgetauscht wird, wird verschlüsselt und so gegen abhören geschützt.

SSH-Tunnel hingegen erlauben es, einzelne Ports über eine verschlüsselte Verbindung weiterzuleiten. So können eben einzelne Dienste oder Verbindungen abhörsicher genutzt werden, ohne daß der gesamte Netzwerkverkehr über diese Verbindung geht und ohne daß IP-netzwerktechnisch etwas an den Rechnern umgestellt wird.

Beiden Lösungen ist gemein, daß man darüber gegebenfalls in zwischen den Endpunkten gesperrte Ports oder Dienste trotzdem nutzen kann. Ob dies nun illegal ist oder Nutzungsbedingungen widerspricht, lässt sich technisch natürlich nicht beantworten.

 

[MaxMuster]

Für alles das ist SSH ausreichend. Mit dem SSH hast du automatisch die Möglichkeit, andere Dienste zu erreichen, die von deinem SSH-Server (also deiner Box) erreichbar wären. Z.B. kannst du dich per SSH auf der Box anmelden, dann mit dem "durch das SSH getunnelten" Telnet auf deinen Server oder per HTTP auf andere Geräte in deinem LAN. Solange die genutzten Protokolle TCP-basierend sind, sollte eigentlich alles gehen. Im Prinzip kannst du dir den SSH-Server wie einen "universellen Proxy" vorstellen, falls dir das was hilft?!?

Jörg

 

[matze1985]

zum Thema remote flashen gibt es hier einen WIKI-Beitrag:
hier

 

[maceis]

...
Wie baut man denn von remote ein neues FW-Image für die Fritzbox?
Auf meinem alten PC zu Hause läuft StinkyLinux und das Teil ist eingeschaltet. Unterwegs fällt mir ein, dass ich dies und das mal ausprobieren will und würde mich dafür eben gerne mit StinkyLinux zu Hause verbinden. Mache ich das mit OpenVPN, mit ssh, mit VNC oder welche Komponenten werden dazu benötigt?
...

Ich will mal hier kurz näher darauf eingehen.
Um dich mit Deiner Linux Kiste zu verbinden und darauf zu machen, was immer Du möchtest (z.B. ein neues FW Image bauen) kannst Du hervorragend ssh einsetzen. (Allein dafür OpenVPN einzurichten ist nicht erforderlich. Wenn man OpenVPN aber ohnehin schon hat, kann man es natürlich auch dafür nutzen.)

Auf der Box legst Du dazu eine Portweiterleitung an.
Angenommen Dein Linuxrechner hat die IP 192.168.178.25 könntest Du z.B. eine Portweiterleitung des Port TCP 2225 extern auf 192.168.178.28 TCP 22 einrichten.

Jetzt kannst Du dich z.B. über den DynDNS Namen Deiner Box über den Port 2225 auf Deiner Linuxmaschine einloggen und so arbeiten als wärst Du zu Hause in einer Shell unterwegs.

Alternativ kannst Du natürlich auch den Weg von Max Muster wählen, also per ssh auf die Box und von dort wieder per ssh auf Deinen Linuxrechner. Das halte ich aber nur für Ausnahmsfälle für praktikabel.

 

[matze1985]

ein kleines Howto für putty gibt es z.b. hier

unter google wird du noch viele mehr finden, es ist recht einfach.

 

[maceis]

Putty ist sehr gut für Windows.
Da ao aber ein Macbook hat, braucht er kein Putty (bzw. kann er damit nichts anfangen) sondern kann den vorhandenen ssh Client im Terminal verwenden.

 

[matze1985]

da hast du recht, hatte das mit dem macbook vergessen.
für mac habe ich auf die schnell dieses gefunden:
klick
klick

 

[knox]

Da hier ja nun endgültig der Wildwuchs ausgebrochen zu sein scheint, lösche ich mal mein Abonnement dieses Threads - alles Wichtige ist sowieso längst geschrieben worden.

Happy Rumgesülze allerseits!

 

[MaxMuster]

@Knox:

Auch wenn es abgleitet vielleicht schaust du ja nochmal rein:

Danke für deine Arbeit!

Jörg

 

[ao]

Vielen Dank Euch allen für die Hilfe! Auch die Links sind absolut lesenswert!

Und nun wieder on-topic...
(sorry, falls ich knox jetzt vergrault habe )

 

[stefbeer]

Hallo!

Ich habe gestern auf meine neue FRITZ!Box Fon WLAN 7170 freetz-devel-2388 geflasht und wollte mich dann heute an das Konfigurieren von OpenVPN machen.

Nachdem ich alle Einstellungen soweit gemacht hatte, habe ich mal versucht es zu Starten. Allerdings kommt nur folgende Ausgabe im Freetz-Webinterface:

Starting openvpn ... Options error: Unrecognized option or missing parameter(s) in /mod/etc/openvpn.conf:12: ifconfig (2.1_rc7)
Use --help for more information.
failed.

Das hier ist die openvpn.conf:

#  OpenVPN 2.1 Config, Fri Jul 25 16:01:43 CEST 2008
proto udp
dev tun
ca /tmp/flash/ca.crt
cert /tmp/flash/box.crt
key /tmp/flash/box.key
dh /tmp/flash/dh.pem
tls-server
port 1194
mode server
ifconfig-pool 192.168.200.5 192.168.200.10
> ifconfig 10.8.0.1 
tun-mtu 1500
mssfix
log /var/tmp/debug_openvpn.out
verb 3
daemon
cipher BF-CBC
float
keepalive 10 120
status /var/log/openvpn.log

Die Zeile 12 habe ich mal mit einem > hervorgehoben, das ist in der richtigen Datei natürlich nicht drin.

Ich bin zwar nicht der Profi auf dem Gebiet aber IMHO fehlt da ein Interface wie z.B. tun0.

Die IP stimmt in der Zeile auch nicht, weil im Webinterface (siehe Screenshot im Anhang) habe ich 192.168.200.1 eingestellt.

Nur wenn ich die Datei Manuell mit nano bearbeite, speichere und dann OpenVPN wieder über das Interface starte, wird meine geänderte Datei wieder mit der die vom Web-IF generiert wird, überschrieben. Ergebnis: Selbe Fehlermeldung.

Kann mir da jemand Helfen? Ich bin ratlos...
Vielen Dank bereits im Voraus!

Tschüss,
stefbeer

EDIT: Ich dödel habe natürlich den Screenshot vergessen... Jetzt aber.

 

[MaxMuster]

Da ist ein Fehler in der GUI. Bei deiner Config sollte noch "lokale IP" und "remote IP" eingetragen sein und nicht "lokale IP und Netzmaske" .

Würdest du bitte den anhängenden Patch mal versuchen? Auspacken im freetz-Ordner und dann:

patch -p0 < openvpn_2.diff ; rm -rf packages/openvpn-2.1_rc7 ; rm packages/.openvpn-2.1_rc7 ; make

Danke!

EDIT: Achso, zum Testen kannst du, sofern du die cgi-Datei auf die Box bekommst (z.B. mit scp) auch die neue Datei "austesten" ohne neu zu flashen:

# die neue openvpn.cgi liegt in /tmp, z.B. durch scp 
# von der "bauenden" Kiste auf die Box mit
# [I]scp build/modified/filesystem/usr/lib/cgi-bin/openvpn.cgi root@<BOXIP>:/tmp
[/I]mount --bind /tmp/openvpn.cgi /usr/lib/cgi-bin/openvpn.cgi

 

[stefbeer]

Hallo MaxMuster!

Vielen Dank für den Patch! Damit scheint dieses Problem gelöst zu sein.

Jetzt muss ich das ganze nur noch so Konfigurieren wie ich das haben will.. Nur da hakt es irgendwie..

Ich möchte es folgendermaßen:
Die Box ist der OpenVPN-Server. Ich Connecte mich dann mit einem OpenVPN-Clienten Lokal (also über 192.168.178.1) auf die Box. Ich bekomme dann z.B. die VPN-IP 192.168.200.2. Mein Kumpel Connectet sich über das Internet (DynDNS-Account mit Portweiterleitung) auf den VPN-Server auf die Box und bekommt dann z.B. die VPN-IP 192.168.200.3 (die VPN-IPs müssen nicht unbedingt diese sein, sind eigentlich egal).

Nur anscheinend bin ich nicht in der Lage das zu Konfigurieren... Ich habe schon ein bisschen herumprobiert aber das Ergebnis ist, dass wir IPs bekommen, allerdings nicht erreichbar sind und dass der Syslog mit Fehlermeldungen überhäuft wird...

Kann mir da jemand sagen was ich einstellen muss damit das so funktioniert wie ich mir das vorstelle? Wäre echt super!

Tschüss,
stefbeer

 

[MaxMuster]

Habt ihr auch unterschiedliche Zertifikate? Die müssen eindeutig sein.
Dann könntest du folgendes machen: Expertenmodus hast du ja schon an, dann wähle noch "erweiterte Clientconfiguration". Dann kannst du die Clients "fest" vergeben:

Die VPN-IPs werden dann als Netz betrachtet (IP + Maske) und du kannst jedem Client fest eine IP zuweisen....

Voraussetzung ist auch beim Client die Version 2.1

Jörg

 

[stefbeer]

Hallo Jörg!

Vielen Dank! Das war der entscheidende Tipp!

Die Zertifikate waren in Ordnung, nur gab es irgendwie probleme mit den IPs. Seit ich diesse fest vergeben habe, klappt alles Perfekt.
Wir können beide auf die Box zugreifen und beide können untereinander auf die gegenstelle zugreifen.

Super! Vielen Dank! :groesste:
Jetzt kann ich beruhigt ins Bett gehen weil ich weiß es funktioniert endlich.

Schönes Wochenende!

Tschüss,
Stefan

 

[pal.sch]

Problem mit "comp-lzo"

Guten Tag allen,

Da ich mich auch nicht sehr gut damit auskenne, und mich mit Linux nur wegen der FritzBox angefangen habe auseinander zu setzen, bin ich auch hier noch ein Anfänger.
Bis jetzt hab ich aber eigentlich alles, ohne irgendwo nachzufragen, geschafft.
Aber bei diesem speziellem Problem finde ich keine Lösung, und die Google Suche und Forum Suche hat auch nicht weitergeholfen.

Mein Problem ist folgendes:

Beim Starten von OpenVPN kommt das:

Starting openvpn ... failed.

in der debug_openvpn.out steht folgendes:

Options error: Unrecognized option or missing parameter(s) in /mod/etc/openvpn.conf:20: comp-lzo (2.1_rc7)
Use --help for more information.

So wie ich es verstehe, gibts Probleme mit LZO. Wenn ich es im WebIF ausschalte, startet OpenVPN ohne Probleme. Ich würde aber doch gerne das Problem lösen können, um LZO zu verwenden.

Folgendes habe ich im freetz menuconfig ausgewählt:

[*] OpenVPN 2.1_rc7
[ ]    Statically link libraries (NEW)

[*]    With lzo Compression (NEW)
[ ]    Enable Management COnsole (NEW)

[*]    Optimize for size (NEW)

Ich frage mich ob es vielleicht damit zutun hat, dass ich "Statically link libraries" nicht ausgewählt habe, oder auch nicht, leider kenn ich mich da noch garnicht aus.

Alles andere, was ich mit freetz gemacht habe (siehe Signatur), funktioniert einwandfrei, das hier ist jetzt das einzige, was mir noch fehlt.

Hat vielleicht einer Ahnung, was es sein könnte?

Vielen Dank schonmal im vorraus.

PS: Super Forum hier!!!

Edit:
Hier nochmal meine openvpn.conf:

#  OpenVPN 2.1 Config, Tue Aug  5 11:23:44 CEST 2008
proto udp
dev tap
ca /tmp/flash/ca.crt
cert /tmp/flash/box.crt
key /tmp/flash/box.key
dh /tmp/flash/dh.pem
tls-server
port 1194
ifconfig 192.168.200.1 255.255.255.0
push "route-gateway 192.168.200.1"
route 192.168.178.40 255.255.255.0 192.168.200.20
max-clients 3
tun-mtu 1500
mssfix
log /var/tmp/debug_openvpn.out
verb 3
daemon
cipher BF-CBC
comp-lzo
float
keepalive 10 120
status /var/log/openvpn.log

 

[MaxMuster]

Ich würde erstamal sichergehen, dass das Image auch mit LZO gebaut wurde. Starte es doch mal von Hand mit "openvpn" und schau, ob beim Starten "[LZO]" da steht...

Jörg