OpenVPN-Paket

[JohnDoe42]

Hallo,

Du leitest in der Firewall einen UDP-Port an die Box selbst wieter .... und anfangs schreibst Du, daß Du Zertifikate erzeugt hast. Wie würdest Du denn OpenVPN gern benutzen, im Bridging- oder im Tunneling-Modus ?
Falls Bridging (TAP): Hast Du tap0 zur Liste der gebrückten Adapter hinzugefügt (wie hier) beschrieben ?
Falls Tunnleing (Tun): Wozu brauchst Du Zertifikate ?
Grüße,

JD.

 

[trk]

Hallo JD,

Hallo,

Du leitest in der Firewall einen UDP-Port an die Box selbst wieter .... und anfangs schreibst Du, daß Du Zertifikate erzeugt hast. Wie würdest Du denn OpenVPN gern benutzen, im Bridging- oder im Tunneling-Modus ?

Tunneling Modus, Anwendung lediglich Zugriff auf das interne Netz (und ggf. die AVM App aus der Ferne).
Zertifikate, da ich mindestens 2 Geräte habe die Zugriff haben sollen (Mobile, Laptop).

tun/tap sollte doch auch erstmal keine Rolle spielen, oder? Die Pakete kommen ja anscheinend gar nicht an.

ifconfig:
tun0      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00  
          inet addr:192.168.200.1  P-t-P:192.168.200.2  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP ALLMULTI MULTICAST  MTU:1500  Metric:1

route:
192.168.200.2   0.0.0.0         255.255.255.255 UH    0      0        0 tun0
0.0.0.0         0.0.0.0         0.0.0.0         U     2      0        0 dsl

 

[MaxMuster]

permit udp any any range 1194 1194", 
"permit udp any any range 1194 1194", 
"udp 0.0.0.0:1194 0.0.0.0:1194 0 # openvpn";

Steht das wirklich so drin oder sit das ein "grep"? Wenn, dann ist es an der falschen Stelle eingetragen.
Die ersten Einträge sind "Firewall", die zweiten "Portforwarding".
Ist das auch schon/noch immer in der Box eingetragen? Also "Haken" bei "auch anwenden" gemacht oder die Box nach der Änderung gleich neu gestartet?

Wenn das in der Firewall alles stimmt, dann erstmal die "triviale" Frage, stimmt die "Dyndns"-IP der Box, die du nutzt?

Setze sonst mal den "verb" Wert auf einen größeren Wert, um mehr Details zu sehen.
Ansonsten bitte beide Configs posten, sonst können wir nur raten...

 

[trk]

Hallo MM,

das ist ein grep, Einträge sind richtig so weit ich sehe, Box wurde auch restartet.

Wenn das in der Firewall alles stimmt, dann erstmal die "triviale" Frage, stimmt die "Dyndns"-IP der Box, die du nutzt?

Mehrfach geprüft, IP ist auch aktuell.

Setze sonst mal den "verb" Wert auf einen größeren Wert, um mehr Details zu sehen.
Ansonsten bitte beide Configs posten, sonst können wir nur raten...

Hatte verbosity auf 5 bei dem o.g. Auszug.

Welche Configs brauchst Du, ar7.cfg und ovpn.server?

Sehe gerade das das tun iface nirgendwo in der ar7 auftaucht, ist das korrekt?

Edit:
Gerade mal per nmap von aussen und innen geschaut, demnach ist der 1194/udp zu.

 

[JohnDoe42]

Welche Configs brauchst Du, ar7.cfg und ovpn.server?

Gut wären schon mal die Configs des Servers und des Clients, also sowas wie Client.ovpn, dito des Servers.
Grüße,

JD.

 

[MaxMuster]

Edit:
Gerade mal per nmap von aussen und innen geschaut, demnach ist der 1194/udp zu.

Also, wenn der Port von innen nicht erreichbar ist, ist entweder ein anderer Port in der Config eingetragen oder OpenVPN läuft gar nicht.
Nur zur Sicherheit nachgefragt, dein "nmap" Aufruf war so in etwa: "sudo nmap -sU -p U:1194 fritz.box"?

 

[trk]

[Edit frank_m24: Vollzitat vom Beitrag direkt darüber gelöscht, siehe Forumregeln.]
Korrekt,

nmap -sU 192.168.0.1 -p 1194 bzw von extern IP durch dyndns ersetzt.

Ich hab jetzt das Image nochmal neu gebaut, USB Stick formatiert, neu geflashed usw.

Vom Linux Rechner aus bekomme ich jetzt einen Connect, aber nach Init complete (sprich der Tunnel sollte stehen) schmeisst mir der Client Fehler raus (write auf tun dev error, wenn ich mich richtig erinnere).
Android (CM7) habe ich noch nicht probiert, da da definitv etwas noch nicht stimmt.

Aber das ist jetzt nur noch Fleissarbeit (allerdings nicht mehr heute)

Danke Allen für die Hilfe und für die gute Arbeit die ihr macht, speziell Du MM!

 

[flockstock]

Hallo zusammen,


vielleicht kann mir jemand helfen.

Ich habe das OpenVpn Packet auf eine FritzBox 7050 gepackt, eingestellt und den Server über die Freetz WebGui gestartet.
Es funktioniert auch alles nur nach einer gewissen Zeit beendet sich der Serverdienst.
Es ist auch egal ob ich auf manuell oder automatisch stehen habe.

EDIT:
Ich glaub ich hab den Knackpunkt im Log gefunden:

Wed Dec 14 03:41:19 2011 TCP/UDP: Socket bind failed on local address [undef]: Permission denied
Wed Dec 14 03:41:19 2011 Exiting
Wed Dec 14 03:41:19 2011 Closing TUN/TAP interface
Wed Dec 14 03:41:19 2011 /sbin/ifconfig tun0 0.0.0.0
Wed Dec 14 03:41:19 2011 Linux ip addr del failed: could not execute external program

Ich bin kein Linux Profi aber ich glaube für alle Ports <1024 benötigt man root Rechte ist das richtig?
Ich versuche die Verbindung über Port 443 könnte es daran liegen?
Wenn ja gibt es eine Möglichkeit OpenVPN root-Rechte zu geben oder sollte ich lieber einen anderen Port nehmen?
(443 wollte ich eigentlich lassen weil der normalerweise von keinen Proxy usw. geblockt wird)

 

[RalfFriedl]

ich glaube für alle Ports <1024 benötigt man root Rechte ist das richtig?
Ich versuche die Verbindung über Port 443 könnte es daran liegen?
Wenn ja gibt es eine Möglichkeit OpenVPN root-Rechte zu geben oder sollte ich lieber einen anderen Port nehmen?

Ja.
Ja.
Es sollte eine Einstellung geben, als welcher Benutzer OpenVPN läuft. Ich weiß nicht, ob diese über das Web Interface verfügbar ist. Speziell auf einer Fritz Box kannst Du Port 443 von extern aber auch auf einen höheren Port intern weiterleiten.

 

[flockstock]

Ja.
Ja.
Es sollte eine Einstellung geben, als welcher Benutzer OpenVPN läuft. Ich weiß nicht, ob diese über das Web Interface verfügbar ist. Speziell auf einer Fritz Box kannst Du Port 443 von extern aber auch auf einen höheren Port intern weiterleiten.

Danke erstmal.
Ich möchte eigentlich ungern den Port intern weiterleiten da ich mich bewusst für 443 entschieden habe da dieser eigentlich nie von irgendwelchen Proxys, Mobilfunkbetreibern gesperrt ist.

 

[RalfFriedl]

da ich mich bewusst für 443 entschieden habe

Das habe ich mir schon gedacht.
Mit der Weiterleitung ist die Box auf Port 443 erreichbar, obwohl OpenVPN intern eine höhere Port-Nummer hat.
Du kannst aber auch die Stelle suchen, wo der Benutzer, unter dem OpenVPN läuft, festgelegt wird.

 

[flockstock]

Das habe ich mir schon gedacht.
Mit der Weiterleitung ist die Box auf Port 443 erreichbar, obwohl OpenVPN intern eine höhere Port-Nummer hat.
Du kannst aber auch die Stelle suchen, wo der Benutzer, unter dem OpenVPN läuft, festgelegt wird.

Kannst du mir vielleicht sagen wo ich die Suche nach der "Benutzerart" ansetzen kann?
Ich steh da leider ein bisschen auf dem Schlauch.

Das Portforwarding von 443 auf einen internen höheren geht dann aber nicht in der AVM Webgui oder?

Edit:
Ich hab gerade nochmal geschaut, ich hab ja sowieso schon ein Portforwarding "händisch" eingetragen (auf die Box selbst) die so aussieht
"TCP 0.0.0.0 :443 0.0.0.0:443";

wenn ich diese in "TCP 0.0.0.0:443 0.0.0.0:1194"; ändere müsste doch der von aussen angesprochene Port 443 an den Port 1194 weitergereicht werden oder?

 

[RalfFriedl]

wenn ich diese in "TCP 0.0.0.0:443 0.0.0.0:1194"; ändere müsste doch der von aussen angesprochene Port 443 an den Port 1194 weitergereicht werden oder?

Ja.
Die Konfiguration über das Web Interface schreibt fest den Benutzer in die Konfiguration:

user openvpn
group openvpn

 

[flockstock]

Ich denke dann sollte man das Portforwarding vorziehen. Es muss ja nicht was root haben wenn es nicht zwingend notwendig ist

Aber nur der Vollständigkeit halber, wo finde ich denn die config Datei in der
User
Group

festgelegt werden?

 

[RalfFriedl]

make/openvpn/files/root/etc/default.openvpn/openvpn_conf bzw. /etc/default.openvpn/openvpn_conf.

 

[flockstock]

Okay vielen Dank für die Hilfe.
Ich werd heute Abend mal Rückmeldung geben ob es geht vielleicht stolpert nochmal jemand über das Problem


Edit:

Ich glaub langsam werde ich nervig aber eine Frage hätte ich noch ist es möglich den gesamten Traffic des Clients über den Tunnel laufen zulassen, sprich auch dann über den Tunnel und meine Fritzbox Zugriff auf Internet zu haben?

 

[MaxMuster]

Ja, ist es. Haken bei "Clientverkehr umleiten" oder sowas in der Art.

 

[frank_m24]

Hallo,

ich hab ein Problem im Zusammenspiel von ifconfig (busybox) und OpenVPN auf einer Fritzbox, wo ich noch nicht so richtig weiß, wie ich mich der Sache nähern soll.

Ich betreibe einen OpenVPN Server, und zwar einen vServer im Internet. Die Clients melden sich per Zertifikat an, das sind neben meinen beiden Fritzboxen (die jeweils ihr lokales Subnetz ins VPN routen) auch einige Roadwarrior (in erster Linie Android Geräte und ein Notebook). Für das Notebook muss der Server nun IPv6 lernen, da das Notebook in einem reinen IPv4 Firmennetz einen IPv6 Zugang für ein Forschungsprojekt benötigt (quasi ein eigener Tunnelbroker für Arme über OpenVPN).

Der Server hat nun also folgende Statements in der Konfig:

server-ipv6 <mein routbares Subnetz>::/64
tun-ipv6
push "route-ipv6 ::/0"

Klappt für das Notebook auch hervorragend. IPv6 ins Internet über den VPN Tunnel läuft wie geschmiert.

Das Problem sind nun meine Fritzboxen (beide arbeiten als OpenVPN Clients). Die OpenVPNs haben ja den IPv6 payload Patch drin, und per Push kommen auch schön brav die IPv6 Adressen an. Leider schmiert dann ifconfig auf der Box ab:

Mar  7 15:38:25 fritz user.notice openvpn[18696]: /sbin/ifconfig tun0 inet6 add <mein routbares Subnetz>::1001/64
Mar  7 15:38:25 fritz user.err openvpn[18696]: Linux ifconfig inet6 failed: external program exited with error status: 1

Auslöser ist der "inet6" Parameter im ifconfig Aufruf, der nicht verstanden wird. Ohne inet6 ist busybox ifconfig in der Lage, die Adresse zum Interface hinzuzufügen.

Meines Erachtens gibt es 3 Lösungsmöglichkeiten:
- Ich bringe OpenVPN auf der Fritzbox bei, auf das "inet6" im ifconfig Aufruf zu verzichten
- Ich bringe busybox auf der Fritzbox bei, "inet6" zu akzeptieren
- Ich verlagere die IPv6 Konfiguration in den client-spezifischen Teil der Server-Konfiguration (möchte ich möglichst vermeiden, und ich glaube nicht, dass das so ohne weiteres geht)

Ich hab mir schon die OpenVPN Parameter und die busybox Konfiguration angesehen, aber der erhoffte Geistesblitz ist mir nicht ins Auge gesprungen. Für jeden konstruktiven Vorschlag bin ich dankbar.

 

[RalfFriedl]

Kann man OpenVPN auch dazu bringen ip statt ipconfig zu verwenden? Mit ip kann man sowieso einiges mehr machen als mit ipconfig.

 

[MaxMuster]

Theoretisch sollte "--enable-iproute2" das können, wenn ich das auf die Schnelle richtig gelesen habe ("Enable support for iproute2").