VPNTunnel.de mit Alix3D3 openVPN

Einrichten des lokalen Netzes, Verbindung zu anderen Computern und Diensten.
Antworten
gifti
Beiträge: 5
Registriert: 01.08.2011 18:24:08

VPNTunnel.de mit Alix3D3 openVPN

Beitrag von gifti » 02.08.2011 06:47:23

Hallo zusammen,

Ich möchte gerne mein Alix3D3 als Server mit vpn laufen lassen.

System:
Kernel Version 2.6.26-2-486
Distro Name Debian GNU/Linux 6.0.2 (squeeze)
IP 192.168.178.22
Protocol UDP

Nun habe ich mir von VPNTunnel.se die "openvpn.conf" und die "ca.crt" Heruntergeladen.

Die openvpn.conf sieht so aus.
float
client
dev tap
proto udp
nobind

; Cert
ca /etc/openvpn/keys/ca.crt
ns-cert-type server
cipher BF-CBC #Blowfish

;Vpn server

remote-random
remote melissa.vpntunnel.se 1194
remote melissa.vpntunnel.se 10010
remote melissa.vpntunnel.se 10020


;Auth
auth-user-pass /etc/openvpn/passwort.txt

persist-key
persist-tun

; Logging
comp-lzo
verb 1
Im Router habe ich die IP 192.168.178.22 an Port 5000 UDP Freigegeben, wie muss den die openvpn.conf aussehen?

~ > route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
xxxxxxxxxxxx 192.168.178.1 255.255.255.255 UGH 0 0 0 eth0
192.168.178.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
178.73.218.0 0.0.0.0 255.255.255.0 U 0 0 0 tap0
0.0.0.0 178.73.218.1 128.0.0.0 UG 0 0 0 tap0
128.0.0.0 178.73.218.1 128.0.0.0 UG 0 0 0 tap0
0.0.0.0 192.168.178.1 0.0.0.0 UG 0 0 0 eth0


gruß
gifti
Zuletzt geändert von gifti am 05.08.2011 01:28:26, insgesamt 1-mal geändert.
Nach oben
syssi
Beiträge: 2951
Registriert: 24.12.2010 16:50:59
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Rheinland

Re: VPNTunnel.de mit Alix3D3 openVPN

Beitrag von syssi » 03.08.2011 10:55:57

Was passiert, wenn du openvpn per Hand startest?

Code: Alles auswählen

/etc/init.d/openvpn stop
openvpn --config /etc/openvpn/openvpn.conf
Eine Portweiterleitung ist fuer ausgehende Verbindungen nicht notwendig.

Gruss syssi
Nach oben
gifti
Beiträge: 5
Registriert: 01.08.2011 18:24:08

Re: VPNTunnel.de mit Alix3D3 openVPN

Beitrag von gifti » 03.08.2011 21:59:20

Hi,

Es erscheint diese Meldung.

Aug 2 07:46:05 root ovpn-openvpn[1495]: OpenVPN 2.1.3 i486-pc-linux-gnu [SSL] [LZO2] [EPOLL] [PKCS11] [MH] [PF_INET6] [eurephia] built on Oct 21 2010
Aug 2 07:46:05 root ovpn-openvpn[1495]: WARNING: file 'passwort.txt' is group or others accessible
Aug 2 07:46:05 root ovpn-openvpn[1495]: NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Aug 2 07:46:05 root ovpn-openvpn[1495]: LZO compression initialized
Aug 2 07:46:05 root ovpn-openvpn[1495]: RESOLVE: NOTE: melissa.vpntunnel.se resolves to 3 addresses
Aug 2 07:46:05 root ovpn-openvpn[1496]: UDPv4 link local: [undef]
Aug 2 07:46:05 root ovpn-openvpn[1496]: UDPv4 link remote: [AF_INET]xxxxxxxxxxxxx:10020
Aug 2 07:46:05 root ovpn-openvpn[1496]: WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
Aug 2 07:46:06 root ovpn-openvpn[1496]: [server] Peer Connection Initiated with [AF_INET]xxxxxxxxx:10020
Aug 2 07:46:08 root ovpn-openvpn[1496]: TUN/TAP device tap0 opened
Aug 2 07:46:08 root ovpn-openvpn[1496]: /sbin/ifconfig tap0 xxxxxxxxxxx netmask 255.255.255.0 mtu 1500 broadcast xxxxxxxxx
Aug 2 07:46:08 root ovpn-openvpn[1496]: Initialization Sequence Completed

Was sind das für Warnings?

gruß
gifti
Zuletzt geändert von gifti am 05.08.2011 01:27:50, insgesamt 1-mal geändert.
Nach oben
syssi
Beiträge: 2951
Registriert: 24.12.2010 16:50:59
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Rheinland

Re: VPNTunnel.de mit Alix3D3 openVPN

Beitrag von syssi » 04.08.2011 10:30:33

Die erste Warnung sagt aus, dass andere User auf deinem System die passwort.txt lesen koennen, wenn sie moechten. Du solltest deshalb die Rechte fuer die Gruppe & Andere (chmod go-rwx) weg nehmen. Wuerdest du openvpn als nobody (oder anderen User) betreiben, dann muesstest du auch den Besitzer aendern. In deinem Fall startet scheinbar root den vpn-Prozess, so dass gewaehrleistet ist, dass die password.txt lesbar ist. Die zweite Warnung kannst du ignorieren oder alternativ die Zeile "auth-nocache" in deiner openvpn.conf ergaenzen.

Ansonsten sieht alles gut aus. Was passiert, wenn du beispielsweise heise.de pingst? Ist die Domain aufloesbar und bekommst du eine Antwort? Oeffnest du eine Testseite, wie www.wieistmeineip.de erscheint dann eine IP aus dem Adressbereich deines VPN-Anbieters oder deines DSL-Providers?
Nach oben
gifti
Beiträge: 5
Registriert: 01.08.2011 18:24:08

Re: VPNTunnel.de mit Alix3D3 openVPN

Beitrag von gifti » 04.08.2011 15:51:01

Das Anpingen funktioniert ohne Probleme, jedoch habe ich ein Problem mit meinen Port.

Geöffnet habe ich TCP Port 42001 auf meiner Fritz.box an meinen Debian Server ( 192.168.178.22), ohne VPN ist alles ok und der Port ist Offen.

Mit VPN ist ein Anpingen auf mein Port 42001 nicht mehr Möglich.

wie bekomme ich das Eingestellt das mein Port auch mit VPN erreichbar ist?

Ich bekomme eine IP aus dem Adressbereich meines VPN-Anbieters.
Nach oben
syssi
Beiträge: 2951
Registriert: 24.12.2010 16:50:59
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Rheinland

Re: VPNTunnel.de mit Alix3D3 openVPN

Beitrag von syssi » 04.08.2011 17:10:08

Du moechtest also, dass dein Server (Port 42001) ueber die VPN IP erreichbar ist?

Code: Alles auswählen

netstat -ltn
Sollte dir zeigen, ob dein Dienst auch wirklich an Port 0.0.0.0:42001 lauscht und moeglicherweise nicht nur an deiner IP von eth0. Der Dienst sollte an der IP von tap0 laufen, damit es funktioniert. Dann ist es wichtig, dass dein VPN-Anbieter kein NAT etc. nutzt, sondern dir wirklich eine IP zuteilt, welche du uneingeschraenkt nutzen kannst. Dies wuerde ich mittels tcpdump testen:

Code: Alles auswählen

tcpdump -i tap0
Und anschliessend von extern einmal deine VPN-IP pingen + ein

Code: Alles auswählen

telnet vpn-ip 42001
Kannst du im tcpdump Mitschnitt ICMP Pakete sehen und ein paar SYNs auf Port 42001?

Gruss syssi
Nach oben
Antworten

Zurück zu „Netzwerk“