VPN-Server in Box integrieren

[Neo7530]

Na ich habe sie mir immer per wget von meinem server geholt, da wo er sich auch das openvpn-paket herholt... chmod 0600 auf die files, und dann mit der config eingebunden... auf der box läuft es, aber ich bekomme den clienten nicht zum connect... beim austausch vom zertifikat scheitert die sache...

Die Config sieht so aus:

port 6667
proto tcp-server
dev tap0
mode server
tls-server
ifconfig 10.1.1.250 255.255.255.0
ifconfig-pool 10.1.1.1 10.1.1.50 255.255.255.0
client-to-client
max-clients 10
verb 3
cipher AES-256-CBC
link-mtu 1440
key /var/tmp/VPNSERVER.key
cert /var/tmp/VPNSERVER.crt
ca /var/tmp/ca.crt
dh /var/tmp/dh1024.pem

und die shell dann so:

# OpenVPN holen und ausführbar machen
wget http://$serverurl$serverdir/openvpn
chmod +x /var/tmp/openvpn

# config holen
wget http://$serverurl$serverdir/ca.crt
chmod 0600 /var/tmp/ca.crt
wget http://$serverurl$serverdir/dh1024.pem
chmod 0600 /var/tmp/dh1024.pem
wget http://$serverurl$serverdir/VPNSERVER.key
chmod 0600 /var/tmp/VPNSERVER.key
wget http://$serverurl$serverdir/VPNSERVER.crt
chmod 0600 /var/tmp/VPNSERVER.crt
wget http://$serverurl$serverdir/server.conf
chmod 0600 /var/tmp/server.conf

/var/tmp/openvpn --cd /var/tmp --daemon --config server.conf --dev-node /dev/misc/net/tun

 

[Dino75195]

Hi,
hab noch einige Infos gefunden,

proto udp
bist du sicher das hier proto tcp-server stehen muß auf
http://openvpn.net/howto.html#examples
steht das wohl anders.

probier statt dem link-mtu 1440

tun-mtu 1500
fragment 1400
mssfix 1350

und mssfix bitte bloß auf der Server Seite eintragen

wenn du ifconfig abfrägst, ist den der tap device vorhanden?
kannst du die locale Adresse des Tunnels anpingen?

und leider fehlt auch die Client konfig, und die Fehlermeldung

gruß Robert

 

[danisahne]

# OpenVPN holen und ausführbar machen
wget http://$serverurl$serverdir/openvpn
chmod +x /var/tmp/openvpn

# config holen
wget http://$serverurl$serverdir/ca.crt
chmod 0600 /var/tmp/ca.crt
wget http://$serverurl$serverdir/dh1024.pem
chmod 0600 /var/tmp/dh1024.pem
wget http://$serverurl$serverdir/VPNSERVER.key
chmod 0600 /var/tmp/VPNSERVER.key
wget http://$serverurl$serverdir/VPNSERVER.crt
chmod 0600 /var/tmp/VPNSERVER.crt
wget http://$serverurl$serverdir/server.conf
chmod 0600 /var/tmp/server.conf

/var/tmp/openvpn --cd /var/tmp --daemon --config server.conf --dev-node /dev/misc/net/tun

Ich will nur noch mal eindringlich darauf hinweisen, dass das Nachladen von privaten Keys nichts aber auch garnichts mehr mit Sicherheit zu tun hat! Die Keys und Zertifikate gehören auf die Box und auch NUR auf die Box und nicht auf irgendeinen Webserver.

Mfg,
danisahne

EDIT: Das "chmod 600" ist damit vollkommen sinnlos...

 

[Fnokrer]

Hi!
ich hab eure Vorschläge mit Begeisterung gelesen und werds morgen gleich mal ausprobieren
allerdings wäre eine umfangreichere Anleitung in http://www.wehavemorefun.de/fritzbox/ echt hilfreich...
reichen

Achte nur darauf, daß eine der beiden Boxen ein anderes Subnetz aufweist.
Subnetz 1: 192.168.178.0 / 255.255.255.0
Subnetz 2: 192.168.179.0 / 255.255.255.0
FB1: 192.168.178.1
FB2: 192.168.179.1

andres Netz heisst doch, dass sich die PCs in Windows nicht mehr finden, oder? Reicht es nicht einfach, einfach die Subnet-Maske auf /16 zu stellen, ohne das sich die verschiedenen DHCPs in die Quere kommen? Ich will ja nicht über einen andren Gateway surfen, sondern lediglich zwischen Windows-Rechnern Dateien (problemlos?!!) tauschen.
mfg
Fnokrer

 

[danisahne]

Ich fürchte /16 wird nicht genügen. Du brauchst dazu noch eine Ethernet Bridge, damit die Broadcasts auch übers Internet gehen: http://openvpn.net/bridge.html

Ich würde dann aber auch mit DHCP aufpassen, weil du dann 2 DHCP Server im selben Netz hast. Kann unangenehme Folgen haben. Wenn du eine Ethernet Bridge aufsetzt, dann stell besser die DHCP Server ab und mach alles mit statischen IPs (oder Firewall auf die Boxen und DHCP Requests blocken).

Ich find es allerdings überflüssig, dass sich die Windows Rechner "sehen" müßen. Du kannst auch ohne eine Bridge und /16 direkt mit der IP connecten, z.B. \\192.168.178.22

Um Windows-Rechnernamen über Subnetzgrenzen hinweg "sichtbar" zu machen sind meines Wissens WINS Server zuständig.

Mfg,
Daniel

 

[fritzchen]

Meine Konfig:

Hi Robert,

wie machst Du es denn, dass Du über diese Verbindung surfen kannst? Bei mir wird die Verbindung zwar hergestellt, die Verbindung geht aber nach wie vor über die lokale Internetverbindung raus...

Oder habe ich das falsch verstanden, dass du diese Lösung anbieten wolltest?

Besten Dank!

 

[Neo7530]

Ich nochmal...

Mit Sicherheit lege ich keine keys auf öffendlichen Servern ab, dazu habe ich Intern einen Server, der nach aussen hin nicht freigegeben ist. Und ja, TAP-Devices laufen.
Server:

port 6667
proto tcp-server
dev tap1
ifconfig 10.1.1.250 255.255.255.0
max-clients 10
verb 3
cipher AES-256-CBC
link-mtu 1440
secret /var/tmp/static.key

Client:

port 6667
remote *********.dyndns.org
proto tcp-client
dev tap
ifconfig 10.1.1.1 255.255.255.0
verb 3
cipher AES-256-CBC
link-mtu 1440
secret static.key

 

[danisahne]

Mit Sicherheit lege ich keine keys auf öffendlichen Servern ab, dazu habe ich Intern einen Server, der nach aussen hin nicht freigegeben ist.

Ich bleib dabei, auch auf einem internen Server haben die Keys nichts verloren, außer auf der Maschiene, für die sie sind. Wenn du schon intern einen Server laufen hast, warum machst du dann nicht da den VPN Server drauf? Ein Sicherheitsrisiko weniger auf der Box, gerade wegen Voip find ich das wichtig.

Außerdem ist dein interner Server bestimmt Rechenleistungs mäßig besser gerüstet als die Fritzbox.

Gruß,
danisahne

 

[Neo7530]

...*grins* weil mein interner server eine dbox ist... und ich keine lust /zeit / ahnung habe dafür openvpn zu kompellieren... nur deshalb... Aber es läuft gut so, wie es jetzt läuft, und die statischen keys in der Box abzulegen iss sicher auch nicht grade cleverer, als sie auf einer dbox abzulegen... die chancen ranzukommen wenn man es will werden dadurch auch nicht geringer, im gegenteil....

 

[Dino75195]

Hi
@fritzchen
Bei mir ist es nicht erwünscht, das die zweite Fritz Box über meine Verbindung rausgeht,
ich möchte ja nur den Client erreichen,
aber es ist nur eine Einstellung ob er nur weiß unter welchem Gateway er die IP Adresse erreicht oder ob er immer über diese Gateway rausgeht.

über
route-gateway 10.0.0.1
redirect-gateway

gehen alle Anfragen über das Gateway 10.0.0.1

Hab ich aber nicht getestet.

 

[fritzchen]

route-gateway 10.0.0.1
redirect-gateway

funktioniert! danke

ist für mein notebook in offenen netzen...

 

[nobaschwa]

Hi!

Erst einmal danke an die vielen fleißigen Leute die sich mit dem Thema beschäftigt haben!

Ich bin so weit das der Server auf der Box läuft und ich mich auch lokal (mit der lokalen IP der Box) per VPN mit ihr verbinden kann.
Leider bekomme ich es aber nicht hin mit der Verbindung, wenn ich mich woanders befinde:

Thu Sep 29 19:07:07 2005 TUN/TAP device /dev/tun0 opened
Thu Sep 29 19:07:07 2005 /sbin/ifconfig tun0 delete
Thu Sep 29 19:07:07 2005 NOTE: Tried to delete pre-existing tun/tap instance -- No Problem if failure
Thu Sep 29 19:07:07 2005 /sbin/ifconfig tun0 10.0.0.2 10.0.0.1 mtu 1500 netmask 255.255.255.255 up
Thu Sep 29 19:07:07 2005 UDPv4 link local (bound): [undef]:21
Thu Sep 29 19:07:07 2005 UDPv4 link remote: (meine ip adresse)


ich habe ne feste ip adresse und die stimmt auch ;-)
ich habe es über port 80 und 21 versucht(sind die einzigen ports die in der schule offen sind :-( )

das ist die config vom server:

dev tun0
ifconfig 10.0.0.1 10.0.0.2
secret /var/tmp/static.key
port 21
tun-mtu 1500
fragment 1500


und das die vom client:

dev tun
remote dbox.nobaschwa.de
ifconfig 10.0.0.2 10.0.0.1
secret /static.key
port 21
tun-mtu 1500
fragment 1500


Danke schonmal für eure Hilfe!

Bis denn

 

[Neo7530]

UDPv4 link local (bound): [undef]:21

Wie du siehst, versucht deine Config mit UDP einen connect herzustellen... Port 80 & 21 sind aber TCP-Ports... versuch mal meine Config von Seite 6 anzupassen auf deine Bedürfnisse, dann klappts auch per TCP.

Gruß Neo.

 

[nobaschwa]

ok danke erstmal, aber wenn "proto tcp-server" in der conf steht startet der server nicht. es kommt auch keine fehlermeldung...einfach wieder die console. der server läuft definitiv nicht...habe ich nachgeschaut :-(

 

[Neo7530]

Ja, nee, iss klar... Port80 und 21 TCP sind belegt... einmal FTP-Server und einmal webserver der Box, deshalb startet er auch nicht in dieser config... eigentlich logisch Also... in der schule den admin verkloppen *g* damit der andere ports freigibt....

Gruß Neo.

 

[nobaschwa]

mmhhh...lehrer verkloppen...keine gute idee..hab da erst angefangen ;-)
ftp-server der box?? mmmhhh brauch ich den bzw... kann man den nicht auf nen andren port ummodeln?

 

[nobaschwa]

so ich hab jetzt einfach mal den webserver gestoppt. jetzt klappts über port 80, zumindest intern. mal sehen obs auch von der schule aus klappt.

kann mir vielleicht nochmal jemand erklären was genau der unterschied zwischen tap und tun ist?

 

[Temp]

virtuelles point to point interface und virtuelles ethernet interface (virtuelle netzwerkkarte)

Gruß Temp

 

[nobaschwa]

mmmh...es klappt leider nicht :-(

TCP: connect to (meine-ip):80 failed, will try again in 5 seconds: Connection refused (errno=61)

hat jemand eine idee?

zu hause intern hats funktioniert. es klappt auch wenn ich zu hause die externe ip der box angebe (dauert nur nen bißchen länger).

Aber von der schule aus wills einfach nicht funktionieren!


@temp: ok...kannst du mir auch sagen welches ich benutzen muss für meine zwecke? ich will von der schule aus per vpn auf die fritzbox zugreifen und dannüber die box ins internet. problem ist nämlich das in der schule nen proxy läuft und da nur port 21 und 80 offen sind. ich würde aber gerne meine mails lesen (443) und icq benutzen...und eigentlich einfach alles machen können ;-)

 

[ts201]

Habt ihr es mit dem Routing hinbekommen ?