VPN-Server in Box integrieren

openvpn entsprechend Deinen Anforderungen konfigurieren.








ne im Ernst: Wie soll Dir jemand sagen, was Du machen musst, wenn Du nicht sagst, welches Ziel Du hast.
 
Hallo,
also ich habe mir das pseudo Image mit OpenVPN und Virtueller Netzwerk Karte runtergeladen.

Leider habe ich keine Anleitung gefunden, die genau auf diesen beiden basiert.
So wie ich das jetzt verstanden habe, muss ich in dem Pseudo.image die install datei bearbeiten, aber mir ist noch unklar, was ich dort ändern muss.

Ich möchte am Ende von einem unsicheren WLAN mit meinem notebook (Client), jegliche Verbindung und Internettraffic über VPN mit der Fritzbox (server) abwickeln.

Kann mir vielleicht jemand ein paar kurze hinweise geben?

Bitte?
 
Das pseudeo Image kenn ich nicht, da kann ich Dir nichts dazu sagen.

Wie man ein Client-Server VPN konfiguriert ist auf der openvpn.net Seite im Howto Bereich beschrieben,
 
Na gut.
Ichw erde mich jetzt mal in die Materie openvpn einlesen und dann sicherlich bezüglich Fragen zu der Server Config und der Client Config auf Euch zurückkommen.

Schon jetz vielen Dank
 
So jetzt habe ich mal rumgespielt und bin schon etwas weiter, aber noch geht es nicht:

Ziel:
Jeglicher Internetverkehr vom unsicheren Wlan (Client) soll über die entfernte Fritzbox(Server 192.168.120.1) gehen, ein Rechner (192.168.120.111) im Zielnetz sollte auch erreichbar sein:

Meine Client Datei:
Code:
client
remote MEINNAME.no-ip.info 1194
ca ca.crt
cert philipp.crt
key philipp.key
ns-cert-type server
nobind
proto udp
dev tap
fragment 1300
mssfix
verb 6
Meine Server:
Code:
server 10.8.0.0 255.255.255.0
mode server
tls-server

proto upd
port 1194
dev tap0
dev-node /var/tmp/vpn/tun

ca ca.crt
cert fritzbox.crt
key fritzbox.key
dh dh1024.pem

ifconfig 192.168.120.100 255.255.255.0

client-to-client

keepalive 10 60
comp-lzo
persist-key
persist-tun
verb 3
Wenn ich mich verbinden will kommt am Ende im WindowsClient immer folgender Eintrag:
Code:
Sat Mar 07 17:13:12 2009 us=100657 UDPv4 WRITE [14] to 85.181.62.215:1194: P_CONTROL_HARD_RESET_CLIENT_V2 kid=0 [ ] pid=0 DATA len=0

Und das scheint nicht so gut zu sein. Es sieht aus, als wenn der Server erreichbar ist, aber dann kommt der HARD_RESET ....

Könnte mir bitte jemand weiterhelfen?

Würde mich sehr über Hilfe freuen.

Im Anhang findet Ihr meine install Datei aus dem Pseudo Image.
Vielen Dank
 

Anhänge

  • install.txt
    5.2 KB · Aufrufe: 20
Moin,

- Die "comp-lzo" Einstellung muss auf beiden Seiten gleich sein, sonst geht garnichts.
-Beim Server widersprechen sich "server 10.8.0.0 255.255.255.0" (was ein "ifconfig enthält) und "ifconfig 192.168.120.100 255.255.255.0"
- Benötigst du wirklich TAP? Dann musst du anschließend noch dein tap-Interface mit dem LAN "brücken" mit dem Programm "brctl".
- Wenn du nur durch das VPN surfen willst, brauchst du noch "redirect-gateway" im Client.

Jörg
 
Ich hab' den Netzwerkaufbau noch nicht ganz verstanden. Welche Geräte/Netze sind überhaupt vorhanden, welche IP Adressen haben sie und wie sind sie miteinander verbunden?

Ich habe auch den Eindruck, dass Du in die Konfiguration alles hineingepackt hast, was Du finden konntest. Zertifikate, TLS, Komprimierung ...

Warum fängst Du nicht mit einer ganz kleinen PSK Lösung an?
Für Deine Anforderungen würde die mE grundsätzlich genügen.
Wenn die dann funktioniert, kannst Du immer noch überlegen, ob Du das ausbauen möchtest.
 
@ MaxMuster & maceis

Vielen Dank erstmal.
Ja Ihr habt es richtig gelesen, ich habe alles was ich irgendwo finden konnte in die Konfigurationen reingepackt.

Aber ich gebe Euch beiden recht, vielleicht sollte ich einfach anfangen.

Was ist PSK? Preselected Key? Meinst Du damit alles ohne Zertifikate und mit einem static.key ?
Für Deine Anforderungen würde die mE grundsätzlich genügen.
Was ist die mE ? Gerne würde ich einfach anfangen, wenn ich wüsste wie?

Könntet Ihr mir vielleicht einen Denkanstoss geben, damit ich weiß wie? Mein Problem ist ja immer noch die Firewall der Fritzbox. Da dachte (und denke) ich, dass ich diese durch die Virtual IP "durchbohre". D.h. ich erstelle eine Virtuelle IP und dann über das WEbinterface eine Weiterleitung des Port und Protokolls auf die Virtuelle IP.

Wie gesagt, ich komme mir gerade ziemlich dämlich vor, aber ich hoffe, Ihr könnt mir helfen.

Danke
 
PSK = Pre-Shared-Key
bedeutet in etwa: vorher ausgetauschter Schlüssel.

mE: meines Erachtens ;).

Ich weiß immer noch nicht, was Du für einen Netzwerkaufbau hast und was genau Dein konkretes Ziel ist, sprich: was Du eigentlich absichern möchtest.

Es gibt grundsätzlich verschiedene Möglichkeiten:
1. Du möchtest primär die WLAN Strecke absichern gegen Abhören
2. Du möchtest primär das WLAN gegen Mitbenutzung durch Fremde absichern
3. Du möchtest primär die Datenübertragung durchs Internet absichern gegen Abhören

Wahrscheinlich möchtest Du das alles, aber um Dir klar zu werden, wie das funktioniert, solltest Du das mE getrennt betrachten.

Um es ganz kurz anzureißen:

für 1. benötigst Du eine OpenVPN Verbindung zwischen dem Client Rechner und der lokalen Fritzbox

für 2. das selbe wie für 1. + zusätzlich eine Firewall, die alle Verbindungen auf dem WLAN Interface verbietet, die nicht über den OpenVPN Port hereinkommt.

für 3. OpenVPN Verbindung zwischen dem Client Rechner und dem entfernten Rechner - damit sicherst Du die Kommunikation zwischen zwei Rechnern ab (typischer Fall: von unterwegs mal eben auf den Rechner zu Hause zugreifen.)
oder
eine OpenVPN Verbindung zwischen dem Client Rechner und der entfernten Fritzbox- damit sicherst Du die Kommunikation zwischen einem Rechner und einem entfernten Netz ab (typischer Fall: Außendienstarbeiter - Firmennetz)
oder
OpenVPN Verbindung zwischen zwei Fritzboxen (oder anderen Routern)
damit sicherst Du die Kommunikation zwischen zwei Netzen ab (typischer Fall: Firmenhauptsitz und Zweigstelle)

Wenn im letzten Fall mehrere Zweigstellen existieren oder wenn z.B. mehrere Außendienstler unterwegs sind oder beides, lohnt es sich ernsthaft über Zertifikate nachzudenken. Ich persönlich helfe z.B. (privat) einigen Verwandten und Freunden regelmäßig über Intenet. Die haben alle Fritzboxen, die sich als Client mit meiner OpenVPN Serverbox verbinden. Auch da sind Zertifikate sehr hilfreich und nützlich.
 
Zuletzt bearbeitet:
Hallo,
vielen Dank für die ausführliche Hilfe.
Also ich gerne Fall 3 realisieren. 
D.h. ich befinde mich in einem unsicher WLAN (Nachbar, Hotel) und möchte, dass der gesamte Internetverkehr über einen Tunnel mit meinem eigenen Fritzbox (192.168.120.1) geht. D.h. ich bekomme eine interne IP(bzw. 192.168.120.100) von der Fritzbox und habe für aussenstehende Webseiten auch die WAN IP der Fritzbox.
Anbei noch ein gemaltes Bild von mir.
Das mit den Keys habe ich jetzt verstanden, d.h. ich erzeuge mir einen static.key, den beide kennen müssen, dadurch habe ich erstmal eine einfache Lösung.
Wie sehen jedoch die IPconfig befehle beim Server(Fritzbox) und Client aus? Bei der Fritzbix habe ich noch dieses virtuelle Interface, damit ich eine einfache Portweiterleitung in der Oberfläche machen kann. Der jetzige Befehl in der install des Images lautet:
ifconfig eth0:1 192.168.120.253 netmask 255.255.255.0 broadcast 192.168.120.255 up
Dadurch müsste die Fritzbox doch jetzt zwei IP Adressen haben: 192.168.120.1 und 192.168.120.253.

So jetzt habe ich mal eine einfache server.conf:
Code:
mode server
local 192.168.120.253 255.255.255.0

tls-server

proto upd
port 1194
#dev tap0
dev tun0
dev-node /var/tmp/tun 



push "redirect-gateway"


secret static.key
#ca ca.crt
#cert fritzbox.crt
#key fritzbox.key
#dh dh1024.pem


client-to-client
keepalive 10 60
comp-lzo
persist-key
persist-tun
verb 3

Und hier die dazugehörige client.conf
Code:
remote NAME.no-ip.info 1194

secret static.key

#ca ca.crt
#cert philipp.crt
#key philipp.key
#ns-cert-type server # Eine Sicherheitsmaßnahme

ifconfig 192.168.120.223 255.255.255.0
redirect-gateway

comp-lzo
nobind
proto udp
dev tun
#fragment 1300
mssfix
verb 6

Unsicher bin ich mir noch bei der Vergabe der IP Adressen und ob Tun oder Tap.

Beim Verbinden bekomme ich auch einen Fehler im log, weiß aber nicht, was falsch sein kann:
Code:
Mon Mar 09 15:52:06 2009 us=621342 WARNING: Since you are using --dev tun, the second argument to --ifconfig must be an IP address.  You are using something (255.255.255.0) that looks more like a netmask. (silence this warning with --ifconfig-nowarn)
Mon Mar 09 15:52:06 2009 us=627359 There is a problem in your selection of --ifconfig endpoints [local=192.168.120.223, remote=255.255.255.0].  The local and remote VPN endpoints must exist within the same 255.255.255.252 subnet.  This is a limitation of --dev tun when used with the TAP-WIN32 driver.  Try 'openvpn --show-valid-subnets' option for more info.
Mon Mar 09 15:52:06 2009 us=628355 Exiting

Ich weiß, dass der Fehler dort drinne steht, jedoch weiß ich nicht, wie es richtig sein soll bei server und client. Ich habe schon verschiedene Kombinationen probiert jedoch ohne Erfolg.

Kann mir jemand helfen?
Ist tun das richtige für mich oder muss ich tap nehmen?

Vielen Dank
 

Anhänge

  • VPN Beschreibung.png
    VPN Beschreibung.png
    24.5 KB · Aufrufe: 28
Zuletzt bearbeitet:
Die beiden Interface-Arten tun und tap unterscheiden sich in ihrer Zielsetzung:

- TUN ist für "Tunnel" gedacht, da bekommen beide Seiten eine IP und bilden damit eine "virtuelle Leitung" zwischen den beine Interfaces. Die Daten werden dann darüber geroutet. Die IP-Adressen sind dann "Point-to-Point" Adressen.
- TAP ist für "Brücken" vorgesehen: Die TAP-Interfaces können dann mit einer Brücke zu den physikalischen Interfaces "überbrückt" werden, dann werden lokale Pakete im LAN quasi in das VPN hinein kopiert. Damit kann der Client dann ein "virtuelles" Mitglied im LAN werden.

In deiner Config hast du "tun" gewählt, aber eine "tap-IP" (ein ganzes Netz) vergeben, daher "meckert" das OpenVPN.

Je nachdem, was du willst, musst du dann die Konfig entsprechend bauen.
Kurz ausgedrückt:
TAP ist auf dem Client weniger Konfig-Aufwand, speziell im "Windows-Umfeld" (Freigaben usw), dafür wird die VPN-Verbindung stärker belastet (weil der ganze LAN-Verkehr darüber kopiert wird)
TUN ist Bandbreitenschonender, für den Zugriff auf dein Windows Heimnetz musst du aber über die IPs gehen oder lmhosts pflegen.

Jörg
 
Hallo Jörg,
vielen Dank.


Also nehme ich TUN, wenn ich bspw. einen bestimmter Server oder Client im Zielnetz erreichen möchte.
TAP wäre dann das richtige für mich, da ich Teil des Zielnetzwerk sein möchte (virtueller Client) und auf alle Clients im Zielnetzwerk zugreifen möchte. Wenn ich TAP nehme, dann geht auch mein Internetverkehr komplett das Zielnetzwerk.
Muss ich im Windows eine "Brücke" erstelle.?


Ich habe es jetzt per TUN probiert, da es anscheined schneller zu irgendeinem ERfolg führt.
Mein Server sieht wie folgt aus:

Code:
mode server
local 192.168.120.253 # wegen dem virtuelln interface
ifconfig 10.0.0.2 10.0.0.1

route 10.0.0.0 255.255.255.0
push "route 10.0.0.0 255.255.255.0"

tls-server

proto upd
port 1194
dev tun0
dev-node /var/tmp/tun 


...

Im Client:
Code:
remote NAME.no-ip.info 1194

secret static.key
ifconfig 10.0.0.1 10.0.0.2

route 10.0.0.0 255.255.255.0
push "route 10.0.0.0 255.255.255.0"
push "dhcp-option DNS 10.0.0.1"
route-gateway 10.0.0.1
redirect-gateway

Leider geht es immer noch nicht, im log steht:
Code:
Mon Mar 09 17:32:40 2009 us=251423 UDPv4 READ [-1] from [undef]: DATA UNDEF len=-1

Das obere steht mehrere hundert male da

Mon Mar 09 17:32:40 2009 us=259639 UDPv4 WRITE [60] to 85.181.36.206:1194:  DATA len=60
Mon Mar 09 17:32:40 2009 us=262537 UDPv4 READ [-1] from [undef]: DATA UNDEF len=-1
Mon Mar 09 17:32:51 2009 us=291263 UDPv4 WRITE [60] to 85.181.36.206:1194:  DATA len=60
Mon Mar 09 17:33:01 2009 us=471058 UDPv4 WRITE [60] to 85.181.36.206:1194:  DATA len=60
Mon Mar 09 17:33:11 2009 us=402838 UDPv4 WRITE [60] to 85.181.36.206:1194:  DATA len=60
Mon Mar 09 17:33:21 2009 us=651026 UDPv4 WRITE [60] to 85.181.36.206:1194:  DATA len=60
Mon Mar 09 17:33:31 2009 us=471461 UDPv4 WRITE [60] to 85.181.36.206:1194:  DATA len=60
Mon Mar 09 17:33:41 2009 us=354441 UDPv4 WRITE [60] to 85.181.36.206:1194:  DATA len=60
Mon Mar 09 17:33:51 2009 us=315495 UDPv4 WRITE [60] to 85.181.36.206:1194:  DATA len=60
Mon Mar 09 17:34:01 2009 us=256071 UDPv4 WRITE [60] to 85.181.36.206:1194:  DATA len=60
Mon Mar 09 17:34:11 2009 us=685922 UDPv4 WRITE [60] to 85.181.36.206:1194:  DATA len=60
Mon Mar 09 17:34:21 2009 us=671342 UDPv4 WRITE [60] to 85.181.36.206:1194:  DATA len=60
Mon Mar 09 17:34:31 2009 us=925394 NOTE: failed to obtain options consistency info from peer -- this could occur if the remote peer is running a version of OpenVPN before 1.5-beta8 or if there is a network connectivity problem, and will not necessarily prevent OpenVPN from running (0 bytes received from peer, 0 bytes authenticated data channel traffic) -- you can disable the options consistency check with --disable-occ.


Langsam glaube ich, dass ich zu doof bin.
Was mache ich denn falsch?
Vielen Dank

Philipp
 
Ich würde zunächst mal den "local" Befehl rausnehmen (es mach nichts, wenn der Server auf alle IPs reagiert). Dann steht beim Server kein "secret" (oder ist das nur aus dem Zitat rausgerutscht?).

mode server und tls-server sind für eine Zertifikatsverbindung. Bei "secret" gehört das da nicht hin, ebenso wie die "push" Befehle.

Also, versuche es zunächst mal analog zu dem hier beschriebenen, das sollte für den Anfang schon reichen. Um vom Client Netz das Server-Netz zu erreichen, ist nichts weiter erforderlich, da "redirect-gateway" eh alles über den Server routet...
Code:
#Server
ifconfig 10.0.0.2 10.0.0.1
dev tun0
dev-node /var/tmp/tun 

secret static.key


Code:
#Client
remote NAME.no-ip.info 1194
ifconfig 10.0.0.1 10.0.0.2

secret static.key

redirect-gateway

Jörg
 
Hallo Jörg,
vielen Dank für Deine Hilfe (was würde ich ohne Euch nur machen).
Jetzt habe ich es wie in dem minit-Howto gemacht.

So wie es aussieht, geht das jetzt. :) Ich kann den Server anpingen.

Ich werde jetzt mal das miniHowTo weiter studieren.

Mein Ziel müsste doch das ganze per TAP sein, damit dann jeglicher Internetverkehr über den Tunnel geht, richtig?
 
Zuletzt bearbeitet:
Hallo zusammen,

vielen DAnk an Euch alle. Ich habe erste erfolgreiche Test machen können.
Die Verbindung geht und wird in der Gui auch grün.
Durch einen Eintrag ein der Client Konfiguration kann ich auch Computer im Subnetz des Servers erreichen.

Server.ovpn
Code:
ifconfig 10.0.0.2 10.0.0.1
dev tun0
dev-node /var/tmp/tun 

secret static.key

Client.ovpn
Code:
remote NAME.no-ip.info 1194
ifconfig 10.8.0.1 10.8.0.2
dev tun
route 192.168.120.0 255.255.255.0
secret static.key

Jetzt kann ich den Server Anpingen und bspw. einen Client im Servernetz (192.168.120.113) anpingen. Klappt alles wunderbar.
Vielen Dank

Jetzt geht es aber weiter:
Wie erreiche ich es jetzt, dass der gesamte Internetverkehr vom Client über den openVPN tunnel geht?

Vielen Dank
 
Im Client "redirect-gateway" sollte genau das tun...
 
Hallo Jörg,

ich bin sprachlos....
Es geht.
Vielen vielen Dank.

Das die Configuration so einfach ist, hätte ich nun nicht gedacht.
Wenn ich überlege, was für komplizierte Konfigurationen ich durchprobiert habe...
Ich dachte auch, dass ich bridging machen muss.

Was würdest Du als Profi, einem blutigen Anfänger jetzt noch empfehlen?
- ich würde das ganze noch mit zertifikaten machen.
Sonst noch irgendwas?

Vielen Vielen Dank
 
...
- ich würde das ganze noch mit zertifikaten machen.
...
Welchen Vorteil versprichst Du Dir von Zertifikaten?
Zertifikate sind dann sinnvoll, wenn man mehrere/viele Verbindungen verwalten muss. Ein Vorteil ist z.B., dass man ein Zertifikat am Server für ungültig erklären kann, beispielsweise, wenn ein Außendienstler die Firma verlässt und keinen Zugriff mehr auf das Firmennetz haben soll u.ä.
Brauchst Du das?

Gruß
maceis
 
... dem kann ich mich grundsätzlich nur anschließen. Zertifikate sind für Mehr-User Szenarien unumgänglich, bei nur einem Client ist das nicht erforderlich.
Der "große Nachteil" eines Preshared Key ist, dass jemand der den Key "klauen" kann, den gesamten Verkehr entschlüsseln kann.
Das sollte in deinem Fall wohl eher nicht der entscheidende Fall sein. Allerdings schadet eine Zertifikats-Verschlüsselung natürlich auch nicht und zudem hättest du damit weitere Möglichkeiten, noch zusätzliche Sicherungsmöglichkeiten (z.B. tls authentication gegen OpenVPN DoS Atacken).
Letztlich bleibt es deine Entscheidung, welchen "Aufwand" du treiben willst. Der aufwendigste Schritt ist meist das Erstellen der Zertifikate und wenn du die schon hast, spricht eigentlich auch wenig dagegen, sie dann auch zu nutzen.

Im Hinterkopf sollte man immer haben, dass man ja doch eine "private" Verbindung betreibt und wer sich welche Mühe machen könnte, diese Verbindung anzugreifen, auch wenn potentiell die Gefahren immer bestehen...


Jörg
 
Hallo,
habe mir alle Anleitungen durchgelesen und denke, dass ich nun selbstständig Zertifikate und contig-Dateien erzeugen kann, zumindest für die Beispiel-Konfiguration.
Habe jedoch folgende Situation:

>>OpenVPN-Server (Fritz 7141 neuste FW), IP: 192.168.1.252
hängt per WLAN (IP-Client) an:
>>T-COM W900V (neuste FW), IP: 192.168.1.1
dieser stellt DSL-Verbindung ins Internet.

Nun möchte ich mit entferntem Rechner(IP im anderen Netz: 192.168.178.2, welcher hinter einer FB 7050 (IP im anderen Netz: 192.168.178.1)hängt, mich in mein Heimat-Netz einloggen, dazu die 7141 als Server benutzen und über diese Faxen per Fritz!Fax.

Hoffe es ist verständlich...

Ist es möglich die 7141 als VPN-Server zu betrieben, wenn diese nicht direkt am Splitter hängt, sondern hinter einem W900V?
Welche Ports muss ich im W900V freischalten? Wie ändern sich die Routing-Tabellen?

Habe bereits gesucht aber noch keine passende Problematik gefunden, daher mien Post.
Danke im Voraus, hoffe ihr könnt helfen.

EDIT:
Also wenn ich mich lokal im Heimat-Netz befinde ist das faxen kein Problem (entspr. registry-Eintrag).
Kann ich evtl. einfach die Fernwartung über HTTPS dafür nutzen? denn ich brauch ja nur Zugriff auf die Fritz 7141 und keinen weitern Zugriff auf das lokale netz, funktioniert das faxen auch über Https?

Begründung für den Aufwand:

Heimat-Netz hat T-COM ISDN anschluss mit eingerichtetem Fritzfax, der entfernte Rechner hat lediglich Internet, kein VIOP o.ä., kein ISDN. Faxen übers Heimat-Netz wären somit kostenlos...
 
Zuletzt bearbeitet:

Statistik des Forums

Themen
246,386
Beiträge
2,251,243
Mitglieder
374,051
Neuestes Mitglied
oli50
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.