VPN-Server in Box integrieren

olistudent schrieb:
Hi.
Dann fehlt in deiner busybox evtl. wget?
Ruf mal busybox auf und guck ob wget dabei steht,
sonst hast du Pech gehabt... ;-)

also ein nur "wget" zeigt an, dass ich wget mit der funktion [option] aufrufen soll. Bei aufruf von Busybox steht es nicht dabei. Allerdings ist ftpget dabei. Ich behelfe mir jetzt damit ;-) Habe das Openvpn schonmal nach /tmp/ geladen und teste jetzt rum.

Also, falls noch jm. ein Problem mit wget hat, ihr könnt mittels ftpget auch die Datei per FTP irgendwo aus dem Netz laden:

ftpget -u USERNAME -p PASSWORT meinserver.de /var/tmp/openvpn (wie soll die Datei lokal heissen) ./fritzbox/openvpn (laden der Datei Openvpn aus dem Unterverz. fritzbox)

Gruß,

Marco
 
Hallo,
mein nächstes Projekt wird wohl open vpn,
könnte ich darüber auch zwei Fritz Boxen übers internet zu einem Netzwerk zusammenschalten, oder kann ich mich nur von einem Windows Client über VPN an der Fritz Box anmelden.

Die Frage ist ja ob Open VPN auch als Client, oder nur als Master arbeiten kann

schöne Grüße aus München

gruß Robert
 
Klar kannst Du zwischen zwei FritzBoxen einen Tunnel aufbauen.
Achte nur darauf, daß eine der beiden Boxen ein anderes Subnetz aufweist.

Also z.B.

Subnetz 1: 192.168.178.0 / 255.255.255.0
Subnetz 2: 192.168.179.0 / 255.255.255.0

FB1: 192.168.178.1
FB2: 192.168.179.1

Dann musst Du noch das Routing in der openvpn.conf eintragen und dann sollte das funzen. Werde das mit nem Kumpel die nächsten tage auch mal einrichten.

Gruß
Han
 
Hallo han-solo,

kannst Du, wenn Du das mit Deinem Kumpel hinbekommen hast, eine kleine Anleitung dafür zusammenschreiben. Ich würde sowas auch gerne machen wollen. Da wäre es spitze, wenn schon eine kleine Anleitung existieren würde.

MfG,
Max
 
Hi,

ich bekomme kein sinnvolles routing hin, weder, um über die vpn verbindung auf das wan der box zuzugreifen, noch, um das interne lan zu erreichen.

Vielleicht kann jemand (s)eine funktionierende Konfiguration posten?

Danke!
 
FB 7050 openvpn konfigs fuer remote access mit einem PC

Hi,

anbei eine solche für eine FB 7050 mit neuester FW und Betrieb im Modus "Alle Computer befinden sich im selben IP-Netzwerk".

Sie ermöglicht simplen remote access eines PCs auf das Netzwerk in dem die Fritzbox hängt.
3 Verzeichnisse sind im Archiv: Auszüge von Files auf der Fritzbox, Files die man auf dem remote PC benötigt und Files die irgendwo im Internet liegen und beim Booten auf die Fritzbox heruntergeladen werden.

Manche Files haben eine routing-* und bridging-* variante, je nachdem ob man nur ip-traffic routen möchte oder den gesamten Ethernet-traffic (inklusive broadcasts für die netbios namensauflösung).

Bezüglich einer möglichen MTU Problematik habe ich sehr konservative (oder paranoide?) Einstellungen gewählt und nicht mehr getested was davon wirklich notwendig ist. Der Nachteil für Performance sollte aber relativ gering sein.

Beim Editieren der ar7.cfg bitte auf die "," und ";" an den Zeilenenden achten.

mfg
Michael

ps: Das fritzbox-openvpn binary habe ich irgendwo hier aus dem Form. Vielen Dank an den, der es zur Verfügung gestellt hat.

pps: Auf dem PC braucht man natürlich noch openvpn 2.x von http://openvpn.net/
 

Anhänge

  • openvpn-files.zip
    550.1 KB · Aufrufe: 1,111
super, besten Dank! Wenn mich die Wahlergenisse gleich nicht völlig runterreißen und in die Kneipe treiben beschäftige ich mich gleich mal damit...
 
Hallo,
habe die Anleitung von "mfehr" Zeile für Zeile durchgeführt aber leider bekomme ich keine IP Adresse zugewiesen.

Und bei maueller Eingabe bekomme ich keine Verbindung (per ping) zur FritzBox.

Woran liegt das?

EDIT1:
Habe mal alle Befehle getestet und bei openvpn -mktun ..... kommt folgende Fehlermeldung:

Tue Sep 20 15:56:34 2005 Note: Cannot ioctl TUNSETIFF tap0: Device or resource busy (errno=16)
Tue Sep 20 15:56:34 2005 Note: Attempting fallback to kernel 2.2 TUN/TAP interface
Tue Sep 20 15:56:34 2005 TUN/TAP device /dev/misc/net/tun opened
Tue Sep 20 15:56:34 2005 Cannot ioctl TUNSETPERSIST(1) tap0: File descriptor in bad state (errno=81)
Tue Sep 20 15:56:34 2005 Exiting
 
Sehe ich das richtig, daß zum Connecten an diesen open-vpn-server ein dritt-utility z.b. für windows benötigt wird. Onboard-Windows-VPN-Verbindungen funktionieren also nicht.

Falls dem so ist, dann ist diese Lösung zu Aufwendig für mich. Ich würde eine Lösung vorziehen, bei der Draytek-vigor-like die onboard-windows-vpn-verbindungen funktionieren. Hat da vielleicht jemand eine Idee?
 
@thbo
Du zitierst Fehlermeldungen vom openvpn -mktun. Genau das passiert bei mir auch wenn ich diesen Befehl ein zweites mal ausführe (nachdem er bereits vom debug.cfg ausgeführt wurde). Dieser Befehl legt ein netzwerk interface tap0 an, was man mittels ifconfig sehen kann, und kann/muss nach einen Reboot genau einmal ausgeführt werden. Ist also normal.

Lass doch openvpn auf dem PC mal mit --verb n laufen. n=4,5 oder 6 und schau mal was passiert. Beispiel: openvpn --verb 5 --config openvpn-clnt.cfg
Für die Optionen siehe auch http://openvpn.net/man.html.

Dann mal eine Verbindung aufbauen. Das geht überigens nicht vom internen Netz wenn man beim remote-befehl in der client-config die externe Addresse angibt (was ja normal ist). Für den Test also am besten zusätzlich per Modem einwählen. Oder in der client config im remote-befehl fritz.box angeben. Dann sollte der Log irgendwann mal den Erfolg vermelden: Initialization Sequence Completed.
Tut er dass dann sollte der Tunnel stehen und man kann nach weiteren Problemem suchen wie "keine Addresse zugewiesen".

Ich denke der Clientlog reicht zum analysieren, aber du kannst zusätzlich auch auf der Box mehr Einblick kriegen, indem du den vom debug.cfg gestarteten openvpn killst (killall openvpn) und ihn genauso startest wie in debug.cfg aber mit --verb n und ohne --daemon.

mfg Michael

ps: wenn's nicht klappt, dann schick mir mal dein Logfile und ich schau mal ob ich was sehe.

pps: ich sehe gerade dass ich das PC openvpn-config file auch mit Unix-Zeilenende-konvention erstellt habe. Sorry. Am besten dann mit einem Editor bearbeiten der das kann wie z.B. textpad, der sich über http://www.heise.de/software/ finden laesst.
 
@dermolch2

Schau dir doch mal bei openvpn.net an was openvpn für Vorteile bietet. Hauptvorteil: es eben gerade einfach, was ich auch voll bestätigen kann. Auch die Installation auf dem PC war simple. Das einzige was bei jedem Tunnel bleibt ist a) wie kriege ich den Tunnel durch die diversen Firewalls und b) wenn iich dass geschafft habe, wie konfiguriere ich dann mein nicht mehr so einfaches Netz.

mfg Michael
 
Dino75195 schrieb:
Hallo,
mein nächstes Projekt wird wohl open vpn,
könnte ich darüber auch zwei Fritz Boxen übers internet zu einem Netzwerk zusammenschalten, oder kann ich mich nur von einem Windows Client über VPN an der Fritz Box anmelden.

Die Frage ist ja ob Open VPN auch als Client, oder nur als Master arbeiten kann

schöne Grüße aus München

gruß Robert

Hi, ich habs jetzt endlich geschafft, lieber spät als nie, das Routing klappt jetzt auch.
leider macht der Tunnel eine Menge Traffic,
wegen dem keepalive 10 60
in 10 h 17 MB

aber mit keepalive 120 250 wird es hoffentlich besser.

mfg Robert :D
 
kannst du mal dein routing und deine konfig hier posten ?

micha
 
Hi,

Meine Konfig:
Code:
# Server Config
echo dev tun0 >> /var/tmp/openvpn.conf
echo ifconfig 10.0.0.1 10.0.0.2 >> /var/tmp/openvpn.conf
echo secret /var/tmp/static.key >> /var/tmp/openvpn.conf
echo tun-mtu 1500 >> /var/tmp/openvpn.conf
echo fragment 1400 >> /var/tmp/openvpn.conf
echo mssfix 1350 >> /var/tmp/openvpn.conf
echo keepalive 120 250 >> /var/tmp/openvpn.conf
ping-timer-rem
persist-tun
persist-key
Code:
# Client Config
remote xyz.dyndns.org
dev tun
ifconfig 10.0.0.2 10.0.0.1
secret key.txt
tun-mtu 1500
fragment 1400
route 192.168.xxx.xxx 255.255.255.0 10.0.0.1
route 192.168.xxx.xxx 255.255.255.0 10.0.0.1
keepalive 120 250
ping-timer-rem
persist-tun
persist-key
float
verb 3

Bei den Parametern
tun-mtu 1500
fragment 1400
mssfix 1350
muß ich noch ein bischen feilen,
auf jedenfall muß fragement kleiner sein als tun-mtu
und mssfix muß kleiner sein als fragment, laut einem Netzwerkexperten, da von tun-mtu der TCP Header abgezogen werden muß *g*

Wenn man TCP über ein Netzlaufwerk z.B überträgt enstehen bei mir Kurfen, einmal geht der Traffic hoch und dann wieder runter,
um das zu minimieren können die Parameter noch angepasst werden.

hoffe ich konnte euch helfen,
bei Routing Problemen bitte mir mir Kontakt aufnehmen.

Durch keepalive 120 250 ist der Traffic den der Tunnel verursacht nicht mehr so groß, da ich im Moment noch einen Begrenzte Flatrate habe.

mfg Robert
 
Hiho,

Sagtmal, läuft das ganze auch mit Zertifikaten ? Wenn ja, wie binde ich das ganze ein ? meine Config würde so auf meinem derzeitigen VPN-Server aussehen:
port 6667
proto tcp-server
dev tap0
mode server
tls-server
ifconfig 10.3.3.254 255.255.255.0
ifconfig-pool 10.3.3.1 10.3.3.50 255.255.255.0
client-to-client
max-clients 10
verb 3
cipher AES-256-CBC
link-mtu 1440
management localhost 7505
key VPNSERVER.key
cert VPNSERVER.crt
ca ca.crt
dh dh1024.pem

Kann ich das so auf die FBOX übernehmen ??? Ich habe es mal getestet, aber openvpn taucht nicht in der prozessliste auf. per ifconfig finde ich auch kein device TAP0...

Gruß Neo.
 
Hi, also ich mach das im Moment ohne Zertifikate, weil ich nicht weiß, wie ich die dauerhaft auf die Fritz Box bringen sollte.
Und da ich keine Broadcast zum anderen Netz benötige, nehme ich Routing. Oben siehst du ja meine Config

was machst du den mit: management localhost 7505


gruß Robert
 
So, ich habe es aufgegeben mit den Zertifikaten... Ich bekomme zwar openvpn zum laufen, eine verbindung per tcp bekomme ich auch hin, aber dann hapert es am handshake zwischen server und client. Habe jetzt openvpn mit tcp und fixed-key laufen, kann morgen aber erst testen, ob ich von arbeit aus in mein heimnetz reinkomme.... Dann kann endlich mein kleiner stromfresser vom netz, der nur noch vpn-server gemacht hat. Wenns jemand hinbekommen sollte mit den zertifikaten und multi-client server, dann bitte mal posten. diese maukige config lässt leider nur einen clienten zu :(

BTW management localhost 7505 ist noch über geblieben von einigen versuchen damals... weiss deren bedeutung garnet mehr *g*

Gruß Neo.
 
Man kann auch mehrere Clients machen, hab einfach ein tun0 und dann noch ein tun1 usw.

mfg Robert
 
Halte ich für die Russische Lösung :( Ich mag lieber einen Server haben und mehrere Clients. Muss irgendwie gehen mit nur einem TAP / TUN-Device... Unter Windows und Linux hab ich es ja auch machen können.... Ich denke mal irgendwann gehen der Box auch die recourcen aus für noch nen device...und noch eins... bei 8 usern, wären das 8 devices.... muss ich nochmal drüber schlafen...

Gruß Neo.
 
Das mit dem tap device geht doch bestimmt auch, aber wie bekommt man den das Zertifikat auf die Box, dauerhaft!
 
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.