VPN-Server in Box integrieren

[lolax]

ok das habe ich verstanden. das problem ist, dass auf dem client windows 2000 läuft und dass kann keine brücken, mit den zusatzprogramm hat es nicht funtioniert.

naja egal.

nachdem ich die beiden unterschiede verstanden und festelle das dies nicht so geht wie ich mir das vorstelle, hätte ich da eine frage


im prinzip möchte ich mit meinen laptop von ausserhalb auf mein eigenes netzwerk zu hause zugreifen können ohne das ich irgendwelche einschränkungen habe. dh. ich möchte die pc´s ansprechen könne als wäre ich mit dem laptop zu hause.
auch die netzwerkumgebung von windows sollte funktionieren

da. ich möchte nicht 2 netzwerke miteinander verbinden, sondern eigentlich nur mit einem laptop auf das netz hinter der fritz

 

[Tremor]

Jut, dann meine Anleitung (bridge-modus) und Schritt 5 weglassen....that's it!

Edit:
Ahso, trage in deine config von dem clientpcnoch ifconfig 192.168.69.y 255.255.255.0 ein. Dann bekommt der OpenVPN Adapter eine IP aus dem richtigen subnetz....

 

[lolax]

soll die config dann so bleiben
oder muss da auch was geändert werden

hier die config
# Grundsaetzliches
port 1194
proto udp
dev tap
# Server-Einstellungen
mode server
tls-server
server 10.0.0.0 255.255.255.0
client-to-client
# Dies ist der IP-Bereich von eurem FritzBox-LAN
push "route 192.168.1.0 255.255.255.0"
# Authentifizierung und Verschluesselung
ca /var/tmp/vpn/ca.crt
cert /var/tmp/vpn/fritzbox.crt
key /var/tmp/vpn/fritzbox.key
dh /var/tmp/vpn/dh1024.pem
auth SHA1
cipher AES-256-CBC
# Sonstiges
ping 10
push "ping 10"
ping-restart 60
push "ping-restart 60"

 

[Tremor]

hier die config
# Grundsaetzliches
port 1194
proto udp
dev tap
# Server-Einstellungen
mode server
tls-server
server 10.0.0.0 255.255.255.0
client-to-client
# Dies ist der IP-Bereich von eurem FritzBox-LAN
push "route 192.168.1.0 255.255.255.0"
# Authentifizierung und Verschluesselung
ca /var/tmp/vpn/ca.crt
cert /var/tmp/vpn/fritzbox.crt
key /var/tmp/vpn/fritzbox.key
dh /var/tmp/vpn/dh1024.pem
auth SHA1
cipher AES-256-CBC
# Sonstiges
ping 10
push "ping 10"
ping-restart 60
push "ping-restart 60"

Ich nehme an das ist die Server-Config und du willst tap (bridge) Modus?

dann:
push "route...." -> weg
ifconfig 192.168.69.254 255.255.255.0 -> rein

 

[TirasX]

super anleitunge hier, vielen dank dafür
nur leider komme ich an einem sehr früher Punkt nicht weiter
meine debug.cfg erstelle ich unter os x, (n unix system)
mit textedit
ich hab auch unter vi im terminal die debug.cfg erstellt
ich kopiere die datei dann auf mein webspace
per ssh auf der fritz!box kopiere ich die debug.cfg in /var/flash mit wget
wenn ich dann mit vi in die datei schaue, sehe ich alles

ich starte die anlage dann neu

im verzeichnis /var/tmp/ liegt nichts von openvpn wo es eigentlich liegen sollte
schaue ich mit vi auf die datei debug.cfg ist diese leer!

hat jm n rat?

 

[Tremor]

Hi,

das ist richtig so, die debug.cfg und die ar7.cfg sind keine 'echten' Dateien. Das sind nur character devices in die man mit nvi (!) reinschreiben kann.

Der Inhalt von /var/tmp/ ist eine Ramdisk, die ist nach einem Neustart daher wieder leer.

 

[lord-of-linux]

im verzeichnis /var/tmp/ liegt nichts von openvpn wo es eigentlich liegen sollte
schaue ich mit vi auf die datei debug.cfg ist diese leer!

Ist wie oben geschrieben richtig so nach nem Neustart.

Du kannst aber stattdesen die Datei nach /var/tmp runterladen und dann

cat /var/tmp/debug.cfg > /var/flash/debug.cfg

ausführen und dann sollte die Datei nach dem Neustart noch vorhanden sein.

 

[TirasX]

jetzt habe ich noch ein problem
die fritz!box läd die datein ausm inet nicht nach!
hier meine debug.cfg

#debug.conf

while !(ping -c 1 www.google.de); do
sleep 2
done

cd /var/tmp
mkdir vpn
cd vpn

wget -O /var/tmp/vpn/openvpn http://home.arcor.de/meinbenutzer/data/openvpn
chmod +x /var/tmp/vpn/openvpn

#------------------------------

cat > /var/tmp/vpn/server.conf << "conf"
# OpenVPN v2.0.5 config:
#
# Grundsaetzliches
port 1194
proto udp
dev tap
# Server-Einstellungen
mode server
tls-server
server 10.0.0.0 255.255.255.0
client-to-client
# Dies ist der IP-Bereich von eurem FritzBox-LAN
push "route 192.168.178.0 255.255.255.0"
# Authentifizierung und Verschluesselung
ca /var/tmp/vpn/ca.crt
cert /var/tmp/vpn/fritzbox.crt
key /var/tmp/vpn/fritzbox.key
dh /var/tmp/vpn/dh1024.pem
auth SHA1
cipher AES-256-CBC
# Sonstiges
ping 10
push "ping 10"
ping-restart 60
push "ping-restart 60"
conf

#--------------------

chmod 600 /var/tmp/vpn/server.conf

#------------------

cat > /var/tmp/vpn/fritzbox.key << "fritz"
#fritzbox.key
-----BEGIN RSA PRIVATE KEY-----
xxxxxxxxxxxxxxxxxxxxxxxxxxxx
-----END RSA PRIVATE KEY-----
fritz

#-----------------

wget -O /var/tmp/vpn/ca.crt http://home.arcor.de/meinbenutzer/data/ca.crt
wget -O /var/tmp/vpn/fritzbox.crt http://home.arcor.de/meinbenutzer/data/fritzbox.crt
wget -O /var/tmp/vpn/dh1024.pem http://home.arcor.de/meinbenutzer/data/dh1024.pem

chmod 600 /var/tmp/vpn/fritzbox.key
chmod 600 /var/tmp/vpn/ca.crt
chmod 600 /var/tmp/vpn/fritzbox.crt
chmod 600 /var/tmp/vpn/dh1024.pem

/var/tmp/vpn/openvpn --cd /var/tmp/vpn --daemon --config server.conf --dev-node /dev/misc/net/tun

ps: home.arcor.de/meinbenutzer/.... ist geändert um auf nr. sicher zu gehen, aber meine adresse stimmt soweit, wenn ich das direkt per ssh eingebe

vielen dank schon mal

 

[MicAlter]

jetzt habe ich noch ein problem
die fritz!box läd die datein ausm inet nicht nach!
hier meine debug.cfg

...

ps: home.arcor.de/meinbenutzer/.... ist geändert um auf nr. sicher zu gehen, aber meine adresse stimmt soweit, wenn ich das direkt per ssh eingebe

vielen dank schon mal

Hi,

habe das einmal ausprobiert (mit dem "wget -O dateiname url")...
Funktioniert bei mir einwandfrei. Allerdings habe ich eine etwas andere Konstellation:

1. Eigene Domain
2. Per HTACCESS gesichertes Verzeichnis, sodass keine "unbefugte" Person darauf zugreifen kann

Wenn ich es von meiner Website runterlade, verwende ich folgende Syntax:

wget -O /var/tmp/vpn/openvpn http://username:[email protected]/FritzBox/binaries/openvpn

Versuch's doch mal mit:

mkdir /var/tmp/vpn
cd /var/tmp/vpn 
wget http://home.arcor.de/meinbenutzer/data/openvpn

Ach so, achte bei der URL auf Groß-/Kleinschreibung!

Gruß,
MicAlter

 

[TirasX]

ich glaube es liegt eher an der schleife
die debug.cfg läuft durch bevor die internet verbindung steht und kann somit nicht die daten laden
ich habe das gefühl dass meine box sehr lange braucht um die dsl leitung zu synchronisieren, dass dauert bestimmt ne minute bis die power led aufhört zu blinken

und das mit htaccess ist ne sehr gute idee!
aber eines nach dem anderen

 

[MicAlter]

ich glaube es liegt eher an der schleife
die debug.cfg läuft durch bevor die internet verbindung steht und kann somit nicht die daten laden
...

Hi,

mach' doch mal folgendes:

while !(ping -c 1 www.google.de >> /var/tmp/protokoll.log); do
    echo "`date`: Keine Verbindung zum Internet..." >> /var/tmp/protokoll.log
    sleep 2
done
echo "`date`: Verbindung zum Internet hergestellt!" >> /var/tmp/protokoll.log

Nun wird jeder Ping und jeder "nicht erfolgreiche" Versuch mit Datum/Uhrzeit in die Datei "/var/tmp/protokoll.log" geschrieben.

Nach einem Reboot der Box kann Du Dich mit SSH oder Telnet einloggen und das Protokoll mit "more /var/tmp/protokoll.log" anzeigen lassen...

Gruß,
MicAlter

 

[TirasX]

so ich wollte mich nochmal für die super hilfe hier bedanken, auch für die anleitung hellspawn
nach langer zeit läuft das auch nun bei mir!
auf einer fritz!box 7050 und einem ibook mit mac os 10.4.5
und dem tunnelblick als client!

ich hatte lange zeit mit den zerifikaten kein erfolg, weil ich vollidiot nicht die richtigen binarys für openvpn auf der fritzbox genutzt habe!
hier nochmal die richtigen http://www.ip-phone-forum.de/showpost.php?p=527338&postcount=180
ich hatte folgende fehlermeldung:
Wed Apr 5 23:21:38 2006 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Wed Apr 5 23:21:38 2006 TLS Error: TLS handshake failed
Wed Apr 5 23:21:38 2006 SIGUSR1[soft,tls-error] received, process restarting

man muss die richtigen binary nutzten, den es kursieren hier welche, die diese fehler verursachen

 

[jspies]

Da ich schon per PN darauf angesprochen wurde.
Hier ist für alle, die "the latest and greatest" ;-) einsetzen wollen, die ...

(Man soll sich zwar nicht selbst zitieren )
... OpenVPN 2.1 Beta12
MfG Jürgen

 

[klammeraffe]

Portauswahl für OpenVPN

Hallo,

habe mit Intresse den ganzen Themenbereich gelesen. Jetzt stellt sich mir noch die Frage nach den benutzten Port. Wie in den verschiedenen Beispielen gesehen, kann man ja diverse Ports benutzen.

Gibt es Gruende, evtl. nicht dne Port 443 (ssl) zu nehmen (Firmen-Netzwerk laesst nur den raus)?

Gibt es dabei besonderes zu beachten?

 

[DoctorUltra]

Hallo,

habe vor mit Pseudo Image eine VPN Verbindung aufzubauen jetzt habe ich aber noch ein paar Fragen:

1. Ich habe jetzt schon mehrfach alle Threads durchgelesen und so richtig klar ist mir das mit VPN noch nicht. Ich gehe zwar von zu Hause aus über VPN (IPSec) in die Firma rein (nicht mit der Fritz), aber wenn ich das z. B. umgedreht machen will dann muss ich ja wie schon beschrieben die Server VPN auf einen Webspace legen und die Client VPN auf den Rechner von dem ich den Ferzugriff aus machen will, oder sehe ich das anders?

2. Wenn ich jetzt z. B. VPN nutze muss ich dann vom Clientrechner aus eine ganz normale VPN Verbindung einrichten oder langt es wenn ich einfach eine Remoteverbindung aufbaue?

 

[DoctorUltra]

Kann mir mal jemand sagen was für einen Vorteil das hat wenn ich bei SSH statt den 22 den 80 beim "von Port" eintrage?
-----
Edit Novize:
Fullquote von Waldwuffel entfernt.
Es reicht, auf das Posting zu verweisen, anstatt solch
ein Monsterposting zu zitieren, ohne darauf einzugehen :?
-----

 

[lord-of-linux]

Hallo,

ich habe ein kleines Problem. Das von mir entwickelte OpenVPN-Paket für den DS-Mod funktioniert eigentlich gut. Allerdings scheint in der Binary von OpenVPN noch ein Bug zu sein, der OpenVPN im Ram amok laufen lässt. Könnte mir jemand sagen, was geändert werden muss, um den Bug zu beseitigen?

 

[deller]

Hallo,

ich habe momentan openvpn im Tunnel-Modus laufen. Die Netzkonfiguration sieht so aus:


192.168.178.0 Subnet<--->Fritz 192.168.178.1<---Tunnel--->Fritz 192.168.123.1<--->192.168.123.0 Subnetz

Eine Fritz spielt den Server und eine den Client.

---------------------------------

Nun wollen wir das ganze auch im Bridge Modus zum laufen bringen:

192.168.178.0 Subnet<--->Fritz 192.168.178.?<---Ethernettunnel--->Fritz 192.168.178.?<--->192.168.178.0 Subnet

Bei dieser Konfiguration soll openvpn nur auf den jeweilen Fritzboxen laufen, also nur ein Tunnel zwischen den Fritzboxen und kein Tunnel zwischen Fritzbox und PC.

Wie muss nun die Konfiguration auf der Server und der Clientbox aussehen (erstmal nur mit static.key).

Nach meinem Verständnis muss doch zunächst dafür gesorgt werden, dass die Fritzboxen selbst eine unterschiedliche IP bekommen (z.B. 192.168.178.1 und 192.168.178.2).
Wie sieht es mit DHCP aus? Sollte DHCP auf den Boxen deaktiviert werden und den Rechnern in den Netzen jeweils eine fest IP zugeordnet werden?


# Server Fritz
daemon
dev tap
dev-node OpenVPN
proto udp
mode server
ifconfig 10.0.0.1 255.255.255.0
port 1194
secret /tmp/flash/static.key

# Client Fritz
daemon
dev tap
dev-node OpenVPN
proto udp
ifconfig 10.0.0.2 255.255.255.0
port 1194
remote alias.dyndns.org 1194
secret /tmp/flash/static.key

Genügen diese Konfigurationen schon oder muss irgendwo noch eine Route oder Gateway gesetzt werden ?
Danke

 

[maxmustermann20]

Vpn

Hallo,

der VPN Server auf der Box läuft ganz gut, aber leider kann ich mich nicht ins VPN einloggen.

Tunnelblick (VPN Client für Mac) gibt in der Log folgendes aus:

Tue 05/23/06 04:43 PM: WARNING: file 'secret.key' is group or others accessible
Tue 05/23/06 04:43 PM: Static Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Tue 05/23/06 04:43 PM: Static Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Tue 05/23/06 04:43 PM: Static Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Tue 05/23/06 04:43 PM: Static Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Tue 05/23/06 04:43 PM: WARNING: Since you are using --dev tap
Tue 05/23/06 04:43 PM: gw 192.168.178.1
Tue 05/23/06 04:43 PM: TUN/TAP device /dev/tap0 opened
Tue 05/23/06 04:43 PM: /sbin/ifconfig tap0 delete
Tue 05/23/06 04:43 PM: NOTE: Tried to delete pre-existing tun/tap instance -- No Problem if failure
Tue 05/23/06 04:43 PM: /sbin/ifconfig tap0 10.0.0.2 netmask 10.0.0.1 mtu 1500 up
Tue 05/23/06 04:43 PM: /Applications/WLAN\ :\ LAN/Tunnelblick.app/Contents/Resources/client.up.osx.sh tap0 1500 1578 10.0.0.2 10.0.0.1 init
Tue 05/23/06 04:43 PM: /sbin/route add -net 80.228.81.135 192.168.178.1 255.255.255.255
Tue 05/23/06 04:43 PM: /sbin/route delete -net 0.0.0.0 192.168.178.1 0.0.0.0
Tue 05/23/06 04:43 PM: /sbin/route add -net 0.0.0.0 10.0.0.1 0.0.0.0
Tue 05/23/06 04:43 PM: /sbin/route add -net 10.0.0.1 10.0.0.1 255.255.255.0
Tue 05/23/06 04:43 PM: Data Channel MTU parms [ L:1578 D:1450 EF:46 EB:4 ET:32 EL:0 ]
Tue 05/23/06 04:43 PM: Local Options String: 'V4
Tue 05/23/06 04:43 PM: Expected Remote Options String: 'V4
Tue 05/23/06 04:43 PM: Local Options hash (VER=V4): '9de9a2d7'
Tue 05/23/06 04:43 PM: Expected Remote Options hash (VER=V4): 'c32ee13d'
Tue 05/23/06 04:43 PM: Attempting to establish TCP connection with 80.228.81.135:1194
Tue 05/23/06 04:43 PM: TCP connection established with 80.228.81.135:1194
Tue 05/23/06 04:43 PM: Socket Buffers: R=[66624->65536] S=[66624->65536]
Tue 05/23/06 04:43 PM: TCPv4_CLIENT link local: [undef]
Tue 05/23/06 04:43 PM: TCPv4_CLIENT link remote: 80.228.81.135:1194
Tue 05/23/06 04:43 PM: Peer Connection Initiated with 80.228.81.135:1194
Tue 05/23/06 04:43 PM: Initialization Sequence Completed
Tue 05/23/06 04:43 PM: WARNING: 'dev-type' is used inconsistently
Tue 05/23/06 04:43 PM: WARNING: 'link-mtu' is used inconsistently
Tue 05/23/06 04:43 PM: WARNING: 'tun-mtu' is used inconsistently
Tue 05/23/06 04:43 PM: WARNING: 'ifconfig' is used inconsistently

Hier noch meine Server.ovpn:

dev tun0
dev-node /dev/misc/net/tun
ifconfig 10.0.0.2 10.0.0.1
secret /var/tmp/secret.key
proto tcp-server
port 1194
tun-mtu 1500
float
keepalive 10 60
verb 4
mssfix
route 10.0.0.0 255.255.255.0
push "route 10.0.0.0 255.255.255.0"
daemon

sowie meine Clientovpn:

ifconfig 10.0.0.2 10.0.0.1
remote -benutzername-.dyndns.org # (Internet-)Adresse der Fritz!Box eintragen
secret secret.key
dev tap 
proto tcp-client
port 1194
ping 15
ping-restart 300 # 5 minutes
resolv-retry 300 # 5 minutes
#resolv-retry infinite
tun-mtu 1500
mssfix
persist-tun
persist-key
verb 4
route 10.0.0.1 255.255.255.0
push "route 10.0.0.0 255.255.255.0"
push "dhcp-option DNS 10.0.0.1"
route-gateway 10.0.0.1
redirect-gateway

Wenn ich mich per telnet in die Fritz!Box einklinke, dann klappt ein ping nach 10.0.0.2 aber nicht nach 10.0.0.1 . Vom Laptop kann ich mich zu Hause auch per 10.0.0.2 ins Webinterface einloggen, aber wiegesagt 10.0.0.1 beibt stumm. Jemand eine Ahung, was ich falsch gemacht habe?

 

[knox]

prima, dank der tollen vorarbeit hat es bei mir auf anhieb geklappt!
ich habe die multi-client variante mit zertifikaten bevorzugt und mich dabei an die ausgezeichnete Multi-Client OpenVPN-Server anleitung von hellspawn gehalten und dazu das openvpn 2.1b12 binary von jspies verwendet.

vielen dank jungs, dickes lob!