VPN-Server in Box integrieren

[heini66]

deleted
*edit* sorry... mal wieder viel zu früh. ich geh ins bett nu.

 

[waldwuffel]

Mir geht es um folgendes ich möchte mich per Vpn mit meinem Netzwerk (Pc oder PCs hinter einer Fritz!Box 7050) von einem Rechner mit Einwahlverbindung oder DSL Modem ( jedenfalls ohne Fritz!Box) verbinden.

Wie muß ich das ganze Realisieren?

Mir wurde irgendwo mal diese Variante empfohlen:


http://www.ip-phone-forum.de/showpost.php?p=438150&postcount=66


Ist dies richtig??

 

[jspies]

OpenVPN 2.1.Beta11 Binary

Da ich schon per PN darauf angesprochen wurde.
Hier ist für alle, die "the latest and greatest" ;-) einsetzen wollen, die OpenVPN 2.1.B11.

MfG Jürgen

 

[Pascal]

VPN-Server mit WLAN kombinieren

Da der VPN-Server mit Zertifikaten bei mir so gut läuft, würd ich so gern einen Schritt weiter gehn:
Ich möchte die WLAN Verschlüsselung des WLANs ausschalten und die ganze Authentifizierung über den VPN-Server laufen lassen.

Dazu müssen mehrere Punkte beachtet werden:

1. WLAN-Zugriff aufs LAN und WAN deaktivieren/verhindern.

2. VPN-Server soll ins 'normale' LAN routen.

3. Wie bekomme ich beide Netze (WLAN über VPN und LAN) in eine Arbeitsgruppe, so dass sich alle Rechner auch finden.

4. Routen setzen für Punkt 3.

Hat da vielleicht schon jemand eine Idee oder sogar eine Lösung

Gruss Pascal

 

[hiro]

ich weiß nicht ob das geht, aber man müsste irgendwie in der ar7 config für alle ipadressen des wlan devices (kann man das?) nur den openvpnport zulassen und dann den nur über vpn verfügbaren ips volle rechte geben

 

[Pascal]

Hab mir das in der ar7.cfg auch schon angesehn. Sind im Original so aus:

                name = "wlan";
                dhcp = no;
                ipaddr = 192.168.182.1;
                netmask = 255.255.255.0;
                dstipaddr = 0.0.0.0;
                interfaces = "tiwlan0", "wdsup0", "wdsdw0", "wdsdw1",
                             "wdsdw2", "wdsdw3";
                dhcpenabled = yes;
                dhcpstart = 0.0.0.0;
                dhcpend = 0.0.0.0;

Möglicherweise kann man bei der dstipaddr die IP-Adresse des VPN Servers eintragen. Dann vielleicht noch einen eigenen DHCP Bereich eintragen, damit man dem normalen Netz nicht in die Quere kommt und schon könnte das vielleicht klappen.

Problem ist das ich keine Fritzbox hier hab. Das werde ich erst in 2 Wochen testen können und selbst dann wird meine WG mir die Hölle heiss machen wenn ich ab und zu mal neu starte.
Die spielen zuviel online und verkraften sowas dann nicht

Das Ganze sollte dann natürlich auch mit angeschlossenen Repeatern funktionieren.

Gruss Pascal

 

[hanseknight]

Erstmal ein herzlichen Dank an alle die hier configs und die compilierten openVPN packete zur verfügung stellen.

Ich hab es mittlerweile hinbekommen das meine Fritz!Box 7050 über das Internet mit dem Firmennetz verbindet. Jedoch wenn die verbindung sich trennt, ist natürlich auch die VPN Verbindung weg.

Wie bekomme ich es hin, das der Daemon sich bei einer neuen Verbindung automatisch neu verbindet?

Gruß Hanseknight

 

[hiro]

ich mach dirn script, mom

so, fertig, probier daas hier doch mal:
Du fügst zusätzlich zum normalen aufruf von openvpn...

Beispiel:

/var/tmp/openvpn --cd /var/tmp --daemon --config openvpn.conf --dev-node /dev/misc/net/tun

...noch diesen Code hinzu und ersetzt die 10.0.0.1 mit der Ip-Adresse, die der andere PC hat, wenn du dich mit vpn eingeloggt hast, also der vpn-ip.
Der code erstellt eine Schleife und muss deßhalb ans Ende der config!...

while true
do
 sleep 60
 if !(ping -c 1 10.0.0.1)
 then
  killall openvpn
  /var/tmp/openvpn --cd /var/tmp --daemon --config openvpn.conf --dev-node /dev/misc/net/tun
 fi
done

 

[hanseknight]

Super danke dir Werde ich am Montag gleich ausprobieren

 

[meimi039]

Ersteinmal ein RIESIGES DANKE an HELLSPAWN für das Tutorial.
Ich habe es genau so umgesetzt - und es läuft auf Anhieb perfekt!
Damit das Ganze permanent in der Box bleibt habe ich ein kleines Script unter /var/tmp/flash geschrieben (mit mvi, damit es gleich ins flash gesichert wird; danke danisahne!). Falls es jemand braucht:

#!/bin/sh
####################
# /var/tmp/flash/vpn#
####################
DAEMON=openvpnd
PLACE=/var/tmp/vpn
URL=deine.url/fbf/vpn
####################
start(){
# load VPN-Server (OpenVPN)

# wait for server
while !(ping -c 1 www.google.de)
do
sleep 5
done

# change dir
mkdir $PLACE
cd $PLACE


# write 'fritzbox.key' to file
cat > $PLACE/fritzbox.key << 'ENDENDFRITZKEY'
-----BEGIN RSA PRIVATE KEY-----
MIICXQIBAAKBgQCd2yhtYsqyPt1F0iViWT16GSp8KCgWUe9ozADj1el+QFkL+dhJ
35Hq9LjQGW0zmJHv5vTQZmSOXB0FYKNQSHpKSEIfIqvv
-----END RSA PRIVATE KEY-----

ENDENDFRITZKEY

# write 'server.ovpn' to file
cat > $PLACE/server.ovpn << 'SERVERCONFIG'
# OpenVPN v2.0.5 config:
#
# Grundsaetzliches
port 1194
proto udp
dev tap
dev-node /dev/misc/net/tun
daemon

# Server-Einstellungen
mode server
tls-server
server 10.0.0.0 255.255.255.0
client-to-client

# Dies ist der IP-Bereich von eurem FritzBox-LAN
push "route 192.168.178.0 255.255.255.0"

# Authentifizierung und Verschluesselung
ca ca.crt
cert fritzbox.crt
key fritzbox.key
dh dh1024.pem
auth SHA1
cipher AES-256-CBC

# Sonstiges
keepalive 10 60
# FBF als Nameserver (hier Fritzbox IP eintragen)
push "dhcp-option DNS 192.168.178.254"
# allen Traffic durch den Tunnel!
push "redirect-gateway"

SERVERCONFIG

# load files
wget $URL/openvpn
wget $URL/ca.crt
wget $URL/fritzbox.crt
wget $URL/dh1024.pem

# make them executable
chmod +x $PLACE/openvpn
chmod 0600 $PLACE/server.ovpn
chmod 0600 $PLACE/ca.crt
chmod 0600 $PLACE/fritzbox.crt
chmod 0600 $PLACE/fritzbox.key
chmod 0600 $PLACE/dh1024.pem

# start OpenVPN
./openvpn --cd $PLACE --config server.ovpn

echo "OpenVPN started ..."
}

stop() {
# kill the vpn-server
kill `ps | grep './openvpn' | grep -v grep | awk '{print $1}'`
sleep 5
rm -rf $PLACE
echo "OpenVPN stopped ..."
}
####################
case "$1" in

start)
start
;;

stop)
stop
;;

restart)
stop
sleep 5
start
;;

*)
echo "Usage: $0 [start|stop|restart]"1>&2
exit 1
;;

esac

exit 0

Auf meinem Webspace liegen die Dateien openvpn (das binary), ca.crt, fritzbox.crt und dh1024.pem .

Auf dem Client läuft folgende Config:

##########################################
##########################################
# OpenVPN v2.0.5 client-config:          #
##########################################
##########################################
# Grundsätzliches
port 1194
proto udp
dev tap

##########################################
# Client-Einstellungen
##########################################
tls-client
ns-cert-type server
remote dein.dyndns.org 1194

##########################################
# Authentifizierung und Verschlüsselung
##########################################
ca ca.crt
cert client01.crt
key client01.key
auth SHA1
cipher AES-256-CBC

##########################################
# Sonstiges
##########################################
keepalive 10 60
pull

Im Config-Verzeichnis liegen natürlich noch die Dateien ca.crt, client01.crt und client01.key .

Beim Connect hat dann die Fritzbox die 10.0.0.1 und der Client die 10.0.0.2. Die Anweisung push "redirect-gateway" sorgt dafür, daß das Default-Gateway auf dem Client auf die Fritzbox (im Tunnel) zeigt. Damit läuft der ganze Traffic in den Tunnel ohne daß der Tunnel selbst zusammenbricht. Damit man auch http://fritz.box usw. aufrufen kann übergibt man als Nameserver noch die Box selbst mit dem Eintrag push "dhcp-option DNS 192.168.178.254", wobei 192.168.178.254 natürlich die IP eurer Fritzbox sein muß.

Zu guter letzt habe ich noch Fragen: Hat jemand von euch das ganze schon im bridged-mode zum Laufen gebracht? Ist es schädlich in der ar7.cfg bei den brinterfaces noch tap permanent hinzuzufügen?
Irgendwo im Forum habe ich mal eine Konfig mit .p12 Files gesehen. Hat das schon jemand getestet?

 

[staudili]

Moin,

habe mich gerade durch den Thread gewühlt...
Ich hätte auch gern VPN auf meiner Fritz 7050 allerdings keinen Server sondern nur als Client. Darüber soll dann die Verbindung übers W-Lan zum Internet passieren. Nicht über die eingebaute W-Lan fkt der Box sondern über einen AccessPoint am LanA Anschluß.
Soweit sogut, nun meine Fragen.
Kann ich jetzt einfach das Angepasste Image von http://www.the-construct.com/traymessage/ nehmen und nur die config datei des VPN auf meine bedürfnisse ändern?
Kann ich die ausgelagerten Dateien auch auf nen rechner im internen Netz legen? Weil aus dem I-net laden geht ja nicht...
Muß der Rechner im Internen Netz immer an sein oder nur wenn die FB neu gestartet wird oder beim neuen Verbindungsaufbau?
Kann ich mit dem Image von oben in meiner config folgendes nutzen:
auth-user-pass login.daten <- wobei login.daten eine textdatei mit nutzername und PW ist welches ich zum einloggen benutzen muß?

Hintergrund der Sache ist das ich hier kein 'normales DSL' habe sondern über W-Lan Antenne auf´m Dach versorgt werde. Der Provider sichert den Zugriff über VPN. Nun ist es aber schweer meiner Tochter(8) zu erklären und beizubringen das/wie sie per VPN die Verbindung herstellt. Außerdem möchte ich wieder die Telefoniefunktion der Box nutzen und das geht nicht wirklich wenn ich kein VPN auf der Box habe...

Fragen über Fragen...

gruß staudili

 

[branka]

VPN Srver-Multiclient

Hallo,

ich habe eine Server Multiclient Konfig versucht einzurichten.

dev ist als tap definiert, da ansonsten der Windows-Client zwingend einen ifconfig Eintrag fordert.

Um den Client's einen IP-Range zuzuweisen habe ich den Eintrag "Server x.x.x.x y.y.y.y" benutzt.

Mit diesem Eintrag kann der Openvpn aber nicht mehr starten; nehme ich Ihn raus läuft er wieder, dann kriege ich aber keine IP-Zugewiesen und es gibt auch kein GW auf der FBF mehr...

Config: Server:

dev tap
; ifconfig 10.0.0.1 10.0.0.2
server 10.8.0.0 255.255.255.0
push "route 192.168.10.0 255.255.255.0"
push "dhcp-option DNS 10.8.0.1"
push "dhcp-option WINS 10.8.0.1"
secret openvpn.sec
tun-mtu 1500
fragment 1500
mssfix

Config Client:

# client
dev tap
dev-node "LAN-Verbindung 4"
proto udp
remote fritz.box 1194
resolv-retry infinite
nobind
secret openvpn.sec



Kann mir jmd. helfen?

 

[meimi039]

Hast Du schonmal die Konfig aus dem Tutorial in diesem Thread probiert? Oder die, die ich oben beschrieben habe?
Da könntest Du Dir doch was brauchbares zusammen kopieren. Ob das mit der "Lanverbindung 4" so passt, weiß ich nicht. Bei mir heist das TAP-Device {245CFA46-FF79-4E29-A10F-B2E275CFC122}. Deshalb habe ich es einfach weggelassen. Ich habe sowieso nur das eine...

Probiere mal eine der Konfigs hier...

 

[southy]

Hat jemand schonmal probiert, einen openVPN-Tunnel zwischen Client und Fritz!Box aufzubauen, der einen HTTP(s)-Proxy durchtunnelt?

Laut openVPN-Homepage soll das gehen, aber hats schonmal jemand konkret mit einer Box hinbekommen? Könnte evtl. durchaus substantiell Rechenressourcen beanspruchen?
Geht das mit einer alten ata Box von daher überhaupt?

Bitte um Feedback, falls jemand sowas schonmal probiert hat.

Viele Grüße,
Southy

 

[hiro]

klar geht das

 

[branka]

Hallo,

mein VPN Server funktioniert soweit.

Ich habe im Config File "server 10.0.0.0 255.255.255.0" eingestellt, damit er die IP-Adressen an die Clients automatisch verteilt, was aber anscheinend nicht funktionieren will.

Stelle ich von Hand eine IP am Client ein, dann geht es...

Hier der output des VPN-Clients:

Sun Mar 12 00:45:57 2006 OpenVPN 2.0.5 Win32-MinGW [SSL] [LZO] built on Nov 2 2
005
Sun Mar 12 00:45:58 2006 TAP-WIN32 device [LAN-Verbindung 5] opened: \\.\Global\
{F7A6479F-5FE6-4ED3-BE0F-B0672DC9556F}.tap
Sun Mar 12 00:45:58 2006 Successful ARP Flush on interface [2] {F7A6479F-5FE6-4E
D3-BE0F-B0672DC9556F}
Sun Mar 12 00:45:58 2006 UDPv4 link local (bound): [undef]:1194
Sun Mar 12 00:45:58 2006 UDPv4 link remote: 192.168.2.1:1194
Sun Mar 12 00:46:13 2006 [fritzbox] Peer Connection Initiated with 192.168.2.1:1
194
Sun Mar 12 00:46:44 2006 Initialization Sequence Completed With Errors ( see htt
p://openvpn.net/faq.html#dhcpclientserv )

Kann mir jmd. helfen?

branka

 

[BuchIT]

Hi,

ich hab ein Problem mit OpenVPN.
Ich benutze es als Box2Box (siehe Signatur) und die FBF die als Client läuft hat folgendes Problem:

Wenn durch den 24h disconnect die Internetverbindung getrennt wird,
baut die OpenVPN Client Box keine Verbindung mehr zu Server auf.
Ich muss dann die FBF neu starten oder einfach OpenVPN auf der
FBF per telnet neu starten.

Hier meine Configs:

SERVER

dev tun0
dev-node /dev/misc/net/tun
ifconfig 192.168.200.2 192.168.200.1
secret /var/tmp/secret.key
proto tcp-server
port 1194
tun-mtu 1500
#fragment 1500
float
#keepalive 10 60
verb 4
mssfix
#daemon
route 192.168.179.0 255.255.255.0
push "route 172.16.0.0 255.255.255.0"
ping 15
push "ping 15"
ping-restart 120
push "ping-restart 120"

CLIENT

ifconfig 192.168.200.1 192.168.200.2
remote xx.xxx.xxx.xx
secret /var/tmp/secret.key
dev tun
dev-node /dev/misc/net/tun
proto tcp-client
port 1194
tun-mtu 1500
ping 15
ping-restart 120 
#resolv-retry 60 
mssfix
persist-tun
persist-key
verb 4
route 172.16.0.0 255.255.255.0

Kann mir jemand helfen ?

Edit:
Hab einfach mal DAS Script in die debug.cfg eingepflegt.
Werd mal testen ob es geht und dann bescheid geben.

 

[benesa]

Ich hätte mal eine allgemeine Frage:

Und zwar haben wir an der Uni ein WLAN, dass allerdings nur über VPN zugänglich ist. Das heißt, ich benötige VPN um dort überhaupt ins Internet zu kommen.

Ist es dann überhaupt noch möglich, sich über VPN ins eigene Netz zuhause einzuloggen? Wahrscheinlich nicht oder ?

cya

 

[MiataMuc]

@benesa:

Ich denke, grundsätzlich müßte das schon gehen. Nutze Openvpn, um von der Arbeit aus ins eigene private LAN zu kommen, und dabei wird aber der Firmennetzwerkverkehr komplett über eine (nicht Openvpn) - Verbindung geroutet..die tun sich nix.

Gruß, Flo

 

[benesa]

Hmm also 2 VPN Verbindungen hintereinander ? Dachte das geht mit der IP nicht, aber gut, dann muss ich das mal testen, wenn ich wieder an der Uni bin .

Danke