VPN von Debian Rechner schlägt fehl

[gnude]

Hallo
ich möchte gern einen (oder mehrere) externe Rechner in das Firmennetzwerk integrieren.
Bisher ist die Architektur so:
Netzwerk mit Adressen 192.168.1.x (Subnet 255.255.255.0)
, die Adresse 192.168.1.50 ist der Router (D-Link)
und 192.168.1.40 ist der Server auf dem VPN laufen soll.

Auf dem Router und Server habe ich Port 10000 freigegeben und den Router so eingestellt,
das er die Pakete weiterleitet.

Auf dem Server (Debian 5.0) habe ich openvpn als Server installiert,
und die server.conf bearbeitet.
Der Inhalt der Datei:

proto udp
proto udp
ca ./easy-rsa2/keys/ca.crt
cert ./easy-rsa2/keys/key.crt
key ./easy-rsa2/keys/key.key
dh ./easy-rsa2/keys/dh1024.pem
server 10.8.0.0 255.255.255.0
server 10.8.0.0 255.255.255.0
persist-key
persist-tun
cipher AES-128-CBC
auth sha1
ping-timer-rem
keepalive 20 180



dazu net.ipv4.ip_forward=1 in die sysctl.conf eingetragen.

Die Zertifikate habe ich nach der Anleitung erstellt/generiert und auf dem Server gespeichert,
sowie die passenden Dateien auf einen USB STick übertragen.

Den Client habe ich auch nach der Anleitung eingerichtet,
die passenden Zertifikate übertragen.
mit route add habe ich die passenden Routen auf dem Client eingetragen.

Auf dem Server habe ich openvpn gestartet,
und auf dem Client auch.
Aber eine Verbindung kam nicht zustande.
nachdem ich dann openvpn --config /etc/openvpn/server.conf (bzw. client.conf)
aufgerufen habe konnte ich die Fehlermeldungen verfolgen.

Aus den Meldungen war zu ersehen,
das die TLS Aushandlung fehlgeschlagen hat.

Im IRC habe ich nun den Tipp bekommen,
statt der Zertifikate einfach einen static.key zu erstellen,
direkt mit openvpn.
openvpn --genkey --secret static-key
Das habe ich auch gemacht,
und alles entfernt aus den .conf Dateien.
Die server.conf sieht nun so aus;:

dev tun
ifconfig 192.168.1.40 10.8.0.1
secret /etc/openvpn/static-key
push "route 192.168.1.0 255.255.255.0"
port 10000

Die Client Config kann ich Anfang der Woche nachreichen.

Nun konnte ich auf dieser Weise mit dem Client auf den Server zugreifen,
und z.b. dort den Mailserver oder Internetserver nutzen.

Andere Rechner im entfernte sind nicht erreichbar.


Meine Fragen:
1. Wie kann ich das hinbekommen das ich auch andere Rechner im Lan erreichen kann?
2. Wie sicher ist der so erzeugte Key?
3. Wie kann ich mehre Rechner per VPN über einen Server ins LAN bringen?

[Alternativende]

Hi,
denke du kannst hier die Antwort finden: http://debianforum.de/forum/viewtopic.php?f=30&t=126009
Wie DynaBlaster schreibt fehlt dir wahrscheinlich einfach die Route auf dem Router zum OpenVPN Server.

[gnude]

Das klappt nicht wie geplant.
Ich wollte die Rotue 10.8.0.0 in den
D-Link Router eintragen,
aber es kommt folgende Meldung:

Die Routen-Gateway-IP 192.168.1.40 liegt nicht im Schnittstellen-Subnetz


Hab ich einen falschen Wert bei der Netmask eingetragen?

Oder sollte ich auf den nächsten Server, den ich erreichen möchte direkt die Routing Tabelle bearbeiten???


HELP

[gnude]

Dazu kommt
das wenn ich openvpn neustarten möchte auf den Server
er nur schreibt "Fail"
und in der syslog steht dann,
das ein Interface schon in Benutzung ist.
Vermutlich das tun interface mit der IP 10.8.0.1
Aber wie gebe ich das wiedr frei?

[Colttt]

ok mach das mal so:

Code: Alles auswählen

proto tcp

ca ./easy-rsa2/keys/ca.crt
cert ./easy-rsa2/keys/key.crt
key ./easy-rsa2/keys/key.key
dh ./easy-rsa2/keys/dh1024.pem

server 10.8.0.0 255.255.255.0
persist-key
persist-tun

cipher AES-128-CBC
auth sha1
ping-timer-rem
keepalive 20 180

# In dieser Datei speichert der Server die Client-IPs
ifconfig-pool-persist ipp.txt

# Gebe dem Client Routen-Informationen mit, damit dieser 
# das private Subnetz findet
push "route 10.8.0.0 255.255.255.0"
 
# Damit wird erzwungen, dass am Client alle Anfragen 
# (DNS, Browser) über den Tunnel laufen
push "redirect-gateway"
 
# Hier werden die Adressen von OpenDNS mitgeschickt, damit 
# die Namensauflösung ebenfalls durch den Tunnel geschieht
push "dhcp-option DNS 208.67.222.222"
push "dhcp-option WINS 208.67.220.220"
 
# Clients können sich auch "sehen", nicht nur 
# die Clients den Server
client-to-client

# Bindet laufenden OpenVPN Prozess an Account ohne spezielle Rechte 
# (User und Gruppe müssen existieren)
user openvpn
group openvpn
 
# Verbindung immer gleich halten
persist-key
persist-tun
 
# Optionen fürs Logging
status openvpn-status.log
log         openvpn.log
log-append  openvpn.log
 
# "Verbose" Level - Logge nur Fehler
verb 3

*
dann sollte es evtl klappen

Angaben kommen von Nefarius:
http://nefarius.darkhosters.net/
http://nefarius.darkhosters.net/linux/m ... s_internet

[gnude]

Ok
Problemlösung sah so aus:
Trotz des Befehls /etc/init.d/openvpn stop lief das noch weiter.
Ich habe es in der Prozessliste identifiziert und mit einem beherzten "kill -pid" beendet.

Damit ich an die anderen Rechner komme,
musste ich auf dem Client im entfernten Netz noch eine zusätzliche route eintragen.
So das die Route auch über den VPN Server im entfernten Netz zeigt.