OpenVPN-Paket

[ptweety]

Ich verwende openvpn 2.1 Beta 14 mit openssl-0.9.8b, lzo und Zertifikaten seit dem 03.06.2006 auf einer 7170.

Wie hast du dein openssl-0.9.8b denn gebaut?

MFG pTweety

 

[deller]

Ich habe das Teil von jspies aus diesem Beitrag genommen:

http://www.ip-phone-forum.de/showthread.php?p=608684#post608684



Openvpn-2.1_beta14__openssl-0.9.8b(shared).zip

 

[knox]

update: mit dem openssl aus dem aktuellen ds-mod klappt's bei mir auch nicht (mehr)?! offensichtlich habe die ganze zeit die openssl von jspies bei mir verwendet.

 

[lord-of-linux]

Mich ärgert das langsam. Ich habe mal wieder Routingprobleme. Gestern lief das Routing, heute getestet, keine Verbindung. Langsam streßt das wirklich.

Habt ihr ne Idee, wieso das so ist?

 

[deller]

Ich weiss nicht, ob es das gleiche "Routing Problem" ist wie bei mir, aber ich habe festgestellt, wenn ich openvpn starte/stoppe ... dass er bestimmt in mindestens 30% dieser Fälle schon unmittelbar nach dem Start nicht routet, und sonst dann nach wenigen Minuten bis vielen Stunden irgendwann nicht mehr ...
Ich benutze hierbei nicht den ds-mod sondern starte und stoppe den VPN von Hand.

Routing Tabellen sind völlig ok, von der Box aus (Telnet) findet er interessanterweise das andere Netz.
Nur die Paket vom Lan routet er dann irgendwann (oder gleich von Anfang an) nicht mehr durch den Tunnel in das andere Netz.

Ich bin dann umgestiegen auf Ethernet.Bridge und seitdem läuft es nun schon seit Wochen stabil (mit Zertifikaten ...).

Posting 2:

Hatte ich noch vergessen. Ich kann mich nicht daran erinnern, dass wir diese Probleme mit zwei normalen Fon Wlan davor hatten, erst mit den beiden 7170 kamen diese Probleme auf.

Allerdings hatte wir openvpn mit den alten Fon Wlan auch nur 2 - 3 Tage laufen, bevor wir uns beide dann die 7170 geholt haben.

[Edit Novize: Und die Funktion des Ändern-Buttons hast Du auch vergessen? Ich habe es mal für Dich nachgeholt]

 

[lord-of-linux]

So, dann melde ich mich auch mal wieder.


Ich habe endlich die Realschule hinter mir und wieder Zeit, weiter zu arbeiten.

Ich arbeite gerade an einem Interface zur Zertifikatsverwaltung.
Mit ein bisschen Glück gibt es bald eine neue Version des Pakets.

Und noch eine kleine Frage an alle die ihren VPN mit Bridging verwenden:
Wie habt ihr die Bridge eingerichtete? ar7.cfg oder bridge-utils?

Ich denke, bridge-utils ist die Interessantere variante für uns, da ich nicht automatisch die ar7.cfg ändern will und manuelle Änderung ja ziemlich unnötig wäre.

Muss für Bridging auf allen Seiten eine Bridge eingerichtet werden oder nur beim Server?

 

[HB9EZW]

Hallo

Wie habt ihr die Bridge eingerichtete? ar7.cfg oder bridge-utils?

Ich habe tap0 in der ar7.cfg eingetragen

Muss für Bridging auf allen Seiten eine Bridge eingerichtet werden oder nur beim Server?

Nur auf Server

Wenn du willst, kann ich dir gern meine funktionierenden Configs schicken oder posten.
Allerdings funktioniert das im ds-mod enthaltene Binary nicht (bei mir), und wenn ich es aus dem Web nachlade stürtzt mir die Box ab wenn ich über dem Tunnel grössere Datenmengen schicke (VNC, RDP, File-Transfer, usw...)
Im moment läuft der OpenVPN server auf meinem W2k3 Server inkl. Bridging hinter der FBF ohne probleme, obwohl ich den Server lieber auf der Box hätte, aber eine stabile Verbinding ist mir halt schon wichtig...

Gruss
HB3YLF

 

[lord-of-linux]

Ich habe tap0 in der ar7.cfg eingetragen

Klar, aber ich möchte es so einfach wie möglich machen. Und die ar7.cfg will ich eigentlich nicht so einfach automatisch editieren lassen.

Ich werde mir dann mal die bridge-utils anschauen.

Wenn du willst, kann ich dir gern meine funktionierenden Configs schicken oder posten.

OK, das kannst gerne machen. Bitte inklusive der ar7-Änderung.

Allerdings funktioniert das im ds-mod enthaltene Binary nicht (bei mir), und wenn ich es aus dem Web nachlade stürtzt mir die Box ab wenn ich über dem Tunnel grössere Datenmengen schicke (VNC, RDP, File-Transfer, usw...)

Das ist mir bekannt, dass diesese Binary noch Probleme macht. Ich hoffe es nimmt sich jemand dem Problem an und findet eine Lösung, da ich selbst im Cross compilen unerfahren bin und wohl am allerwenigsten ein funktionierendes Binary bekommen würde.

 

[HB9EZW]

Ok, das wären dann mal:

Config Server (FBF):

mode server
tls-server

port 1194

# TCP or UDP server?
;proto tcp
proto udp

# "dev tun" will create a routed IP tunnel,
# "dev tap" will create an ethernet tunnel.
# Use "dev tap" if you are ethernet bridging.
;dev tun
dev tap

dev-node /dev/misc/net/tun

ca /var/tmp/flash/vpn/ca.crt
cert /var/tmp/flash/vpn/server.crt
key /var/tmp/flash/vpn/server.key

dh /var/tmp/flash/vpn/dh2048.pem

keepalive 10 120

auth MD5

cipher AES-256-CBC

comp-lzo

;max-clients 100

# You can uncomment this out on
# non-Windows systems.
#user nobody
#group nogroup

persist-key
persist-tun

#status openvpn-status.log

;log         openvpn.log
;log-append  openvpn.log

verb 4

;mute 20

Config Server (W2k3):

mode server
tls-server

port 1195

# TCP or UDP server?
;proto tcp
proto udp

# "dev tun" will create a routed IP tunnel,
# "dev tap" will create an ethernet tunnel.
# Use "dev tap" if you are ethernet bridging.
;dev tun
dev tap

#dev-node /dev/misc/net/tun

ca ca.crt
cert server.crt
key server.key

dh dh2048.pem

keepalive 10 120

auth MD5

cipher AES-256-CBC

comp-lzo

;max-clients 100

# You can uncomment this out on
# non-Windows systems.
#user nobody
#group nogroup

persist-key
persist-tun

#status openvpn-status.log

;log         openvpn.log
;log-append  openvpn.log

verb 4

;mute 20

Config Client:

client
 
dev tap
;dev tun
 

;proto tcp
proto udp
 
remote xxxxxxxxxxxx.ath.cx 1195
 
;remote-random
 
resolv-retry infinite
 
nobind
 
;user nobody
;group nobody
 
persist-key
persist-tun
 
;http-proxy-retry # retry on connection failures
;http-proxy [proxy server] [proxy port #]
 
;mute-replay-warnings
 
ca ca.crt
cert beispiel.crt
key beispiel.key
 
;ns-cert-type server
 
;tls-auth ta.key 1
 
auth MD5
 
cipher AES-256-CBC
 
comp-lzo
 
;log openvpn.log
 
verb 4
 
;mute 20

ar7.cfg:

        brinterfaces {
                name = "lan";
                dhcp = no;
                ipaddr = 10.25.5.3;
                netmask = 255.255.255.0;
                dstipaddr = 0.0.0.0;
                interfaces = "eth0", "usbrndis", "eth1", "tiwlan0", "wdsup0",
                             "wdsdw0", "wdsdw1", "wdsdw2", "wdsdw3"[COLOR="Red"], "tap0"[/COLOR];

Dann habe ich mir noch ein "Startscript" erstellt das irgendwie in der debug.cfg auch nicht läuft, bei manuellem aufruf mittels sh jedoch gut klappt:

# load VPN-Server (OpenVPN)

# wait for server
while !(ping -c 1 meinname.meinserver.ch)
do
  sleep 5
done

# change dir
cd /var/tmp

# load files
wget http://meinname.meinserver.ch/fbf//openvpn
wget http://meinname.meinserver.ch/fbf//server.ovpn

# make them executable
chmod +x /var/tmp/openvpn
chmod 0600 /var/tmp/server.ovpn

# start OpenVPN
./openvpn --config server.ovpn --daemon

Mit dieser Einrichtung bekommt mein Geschäfts-PC eine IP aus dem Adresspool meines Heimnetzes und hat somit Vollzugriff auf das gesammte Heimnetz, was aber auch noch wunderbar läuft ist dass ich jetzt auf jedem PC in meinem Heimnetzwerk die IP des Geschäfts-PCs angeben kann und so dort auf den VNC Server zugreiffen kann...

Bridging unter W2k3 Server oder XP geht auch ganz einfach. Lan-Verbindung und OpenVPN verbindung markieren, Rechtsklick, überbrücken und danach bei bedarf der Netzwerkbrücke (!) eine statische lokale IP-Adresse verpassen.


PS: Die Configs habe ich auch mal hier im Forum aufgegriffen und für meine Bedürfnisse abgeändert.

Gruss
Simon

 

[himinternational]

Routing-Problem mit openVPN

Habe den 0.2.8-mod auf 06er Firmware installiert, Hardware 7170 auf beiuden Seiten, 1xClient, 1xServer. Jetzt kann ich aber weder die 10.0.0.2 von der Serverseite aus anpingen, noch andere IP-Adressen auf der Clientseite. Dann habe ich in den Boxen im AVM-Webinterface Routen gesetzt - auch ohne Erfolg. Vielleicht hat ja jemand eine Idee.

 

[han-solo]

Hallo,

ich habe auf meiner 7170 29.04.15 ds-mod0.2.8 gleiche Probleme. Wenn ich den Eintrag daemon aus der openvpn.conf rausnehme, bekomme ich folgende Fehlermeldung.

-----------------------------------------------------------------------------------------------
Sun Aug 6 16:29:57 2006 us=246000 OpenVPN 2.1_beta14 mipsel-linux [SSL] built on May 29 2006
Sun Aug 6 16:29:57 2006 us=256000 Cipher algorithm 'BF-CBC' not found (OpenSSL)
Sun Aug 6 16:29:57 2006 us=266000 Exiting
-----------------------------------------------------------------------------------------------

ds.mod Meldung: Starting OpenVPN ...failed.

Verwende ich die openvpn-Version von meiner alten 7050, erhalte ich folgendes:

-----------------------------------------------------------------------------------------------
Sun Aug 6 16:33:53 2006 us=406000 OpenVPN 2.0 mipsel-linux [SSL] [LZO] built on Jul 11 2005
Sun Aug 6 16:33:53 2006 us=436000 Static Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Sun Aug 6 16:33:53 2006 us=436000 Static Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Sun Aug 6 16:33:53 2006 us=456000 Static Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Sun Aug 6 16:33:53 2006 us=456000 Static Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Sun Aug 6 16:33:53 2006 us=486000 TUN/TAP device tun0 opened
Sun Aug 6 16:33:53 2006 us=486000 TUN/TAP TX queue length set to 100
Sun Aug 6 16:33:53 2006 us=496000 /sbin/ifconfig tun0 10.0.0.1 pointopoint 10.0.0.2 mtu 1500
Sun Aug 6 16:33:53 2006 us=696000 /sbin/route add -net 192.168.158.0 netmask 255.255.255.0 gw 10.0.0.2
Sun Aug 6 16:33:53 2006 us=796000 Data Channel MTU parms [ L:1544 D:1450 EF:44 EB:4 ET:0 EL:0 ]
Sun Aug 6 16:33:53 2006 us=796000 Local Options String: 'V4,dev-type tun,link-mtu 1544,tun-mtu 1500,proto UDPv4,ifconfig 10.0.0.2 10.0.0.1,cipher BF-CBC,auth SHA1,keysize 128,secret'
Sun Aug 6 16:33:53 2006 us=796000 Expected Remote Options String: 'V4,dev-type tun,link-mtu 1544,tun-mtu 1500,proto UDPv4,ifconfig 10.0.0.1 10.0.0.2,cipher BF-CBC,auth SHA1,keysize 128,secret'
Sun Aug 6 16:33:53 2006 us=796000 Local Options hash (VER=V4): '522471df'
Sun Aug 6 16:33:53 2006 us=796000 Expected Remote Options hash (VER=V4): '5c3fe1ab'
Sun Aug 6 16:33:53 2006 us=796000 Socket Buffers: R=[65535->131070] S=[65535->131070]
Sun Aug 6 16:33:53 2006 us=796000 UDPv4 link local (bound): [undef]:1194
Sun Aug 6 16:33:53 2006 us=806000 UDPv4 link remote: [undef]
-------------------------------------------------------------------------------------------------

Hier meine openvpn.conf

# OpenVPN 2.1 Config
proto udp
port 1194
ifconfig 10.0.0.1 10.0.0.2
route 192.168.158.0 255.255.255.0
push "route 192.168.179.0 255.255.255.0"
dev-type tun
dev-node /dev/misc/net/tun
float
tun-mtu 1500
mssfix
verb 4
secret /tmp/flash/static.key
ping 15
ping-restart 120
push "ping 15"
push "ping-restart 120"


Der Dienst startet zwar, aber ich kann nicht pingen.
Kann einer helfen?

Gruß
Han-Solo

 

[columbo1979]

Gibt es vielleicht eine Anleitung, wie ich OPENVPN zum laufen bekomme ?
Habe den aktuellen DS-MOD und die 7170 mit der .15 Firmware. Danke !

 

[lord-of-linux]

Gibt es vielleicht eine Anleitung, wie ich OPENVPN zum laufen bekomme ?
Habe den aktuellen DS-MOD und die 7170 mit der .15 Firmware. Danke !

Hallo,

eine Anleitung gibt es bisher noch nicht. Es muss sich noch jemand finden, der eine schreibt. Hättest du nicht lust (und Zeit)?


@han-solo:
Dir kann ich bei deinem Problem leider gerade nicht helfen. Ich bin zur Zeit noch am experimentieren mit Zertifikaten und habe auch noch nicht den ds-0.2.9 drauf (siehe Signatur).

 

[columbo1979]

Zeit weniger, würde es aber machen... allerdings müsste ich ja selbst erstmal wissen, wie das mit dem Paket funktioniert, daher auch die Frage :-D

 

[lord-of-linux]

Zeit weniger, würde es aber machen... allerdings müsste ich ja selbst erstmal wissen, wie das mit dem Paket funktioniert, daher auch die Frage :-D

Musst dich wahrscheinlich erstmal selbst reinlesen. Dann könntest du deine Frage vieleicht ein bisschen genauer stellen. Die Anleitung kannst dann du im Wiki veröffentlichen, muss ja nicht beim ersten Schritt schon perfekt sein. Andere könnten dann ja auch drüber schauen.

Aber diesese Thema bitte in einem anderen Thread, dann bleibt dieser übersichtlicher. Hier der Thread den ich gerade erstellt habe: http://www.ip-phone-forum.de/showthread.php?t=111058

 

[salat99]

fb vergisst sporadisch route zum anderen netz

moin moin ip-phoner!
meiner einer kaempft seit einiger zeit mit dem problem, daß die fb die route zum jeweils anderen netz sporadisch vergisst, d.h. nach einem manuellen setzen der route
via

route add -net 192.168.222.0 netmask 255.255.255.0 gw 10.0.0.2

funktioniert das ganze dann wieder.
erst einmal mußte ich auf beiden boxen die route neu setzen. zum glueck ging das ganze, ohne an den jeweils anderen standort zu fahren!!

1. hat einer eine idee, ob das ganze bei den neuen ds-mods (0.2.8, 0.2.9) nicht mehr auftritt :?:
2. wie binde ich o.g. befehl in die crontab ein, so daß dieser auch nach einem reboot per crond ausgefuehrt wird :?:
3. muß ich die hinterlegten static-keys etc. nach dem einspielen einer neuen firmware mit integriertem ds-mod neuerer version erneut einspielen, oder bleiben die daten selbst beim neuen flashen in der box :?: (habe leider keine moeglichkeit, das ganze auszuprobieren, da ein "netz"-ausfall fatale folgen hat)

gruß, salat


ich nutze 2x fb7170 @ 29.04.06ds-0.2.7patched (mit integriertem openvpn2.1beta14)

 

[olistudent]

Hi.
1. Ich denke nicht, dass dein Problem was mit dem dsmod zu tun hat. Da ist wohl der multid-Daemon aus der Firmware schuld.
2. Suche benutzen oder hier schauen: Link
3. Die Einstellungen des dsmod bleiben beim Flashen erhalten.

MfG Oliver

 

[Snoopy1980]

OPENVPN start ..failed

Habe schon das ganze Forum durchsucht und nix dazu gefunden.

Habe den ds-mod 0.2.9 drauf und ne 7170.

Egal was ich probiert habe sobald ich den open server starten will erscheint die Meldung. Auch per ssh versucht. Nix zu machen.
Kann mir da jemand weiterhelfen??

Schönen Dank.

P.S.: Bin absoluter Neuling beschäftige mich erst seit kurzem mit dem Modding der Fritzbox

 

[supamicha]

openvpn lässt sich im ds-mod 0.2.9 nicht starten, ist ein bekannter fehler.

micha

 

[danisahne]

Warum eigentlich nicht? Ich glaube, das ist der Fall, seit ich die OpenSSL upgegraded hab. Ich glaube lord-of-linux hat sein Binary noch nicht aktualisiert, aber OpenVPN läuft mit der OpenSSL Version aus dem Mod eh noch nicht stabil. Zur Zeit gibt es nur die Alternative mit jspies seiner OpenSSL Lib.

Mfg,
danisahne