openvpn vorhanden, wie für Android erweitern?

[dirk11]

Hi Leute!

Vor einiger Zeit habe ich es nach einer Mischung aus hier und hier geschafft, einen openvpn-over-ssh-Tunnel für mein Laptop zu erstellen. Der Grund war, dass ich auch aus der Ferne auf die NFS-Mounts von meinem Server zugreifen will, z.B. wenn ich mit meinem Laptop im Hotel oder bei Freunden bin.
Die Konfig dazu ist vergleichweise simpel:

Code: Alles auswählen

Konfiguration für Laptop auf dem Server:
/etc/openvpn/laptop-vpn.conf
dev tun
ifconfig 10.1.0.1 10.1.0.2
up ./home.up
secret static.key
verb 3
proto tcp-server

Code: Alles auswählen

Konfiguration auf dem Laptop (Client):
/etc/openvpn/laptop-vpn.conf
dev tun
remote 127.0.0.1
ifconfig 10.1.0.2 10.1.0.1
up ./home.up
secret static key
rport 44227
verb 3
proto tcp-client

Dazu habe ich noch die entsprechenden Keyfiles generiert.
Das device wird auf dem Laptop gestartet (auf dem Server läuft es sowieso dauerhaft), dann eine ssh-Verbindung mit Parameter -L 44227:127.0.0.1:1194 aufgerufen. Funktioniert.

Jetzt brauche ich eine zweite openvpn-Verbindung, und zwar zu meinem Xoom-Tablet. Android 4.1.2 (oder so, ist Team-EOS-ROM), natürlich gerootet.
Ich benötige diese VPN-Verbindung, weil ich darüber TV via tvheadend bzw. dessen App schauen will. Dazu baut die App TVH Guide eine Verbindung zum Host auf. Man kann nur einen eintragen. Eingetragen ist momentan meine "richtige" Server-IP 192.168.1.1 (man kann wohl auch den Namen eintragen), weil ich das ganze normalerweise nur @home im WLAN nutze, außerdem der Port (benötigt werden die Ports 9981 und 9982).

Ehrlich gesagt: ich kapier überhaupt nicht, was ich jetzt wie korrekterweise konfigurieren muss, damit ich das gewünschte bekomme.
Falls jemand sich damit auskennt, würde ich mich über Hilfe sehr freuen!
Die beiden VPN-Verbindungen sollen natürlich auch gleichzeitig laufen können. Ich muss vermutlich für den Client (also das Xoom) noch ein Keyfile generieren, da bin ich eigentlich recht sicher. Das muss dann sicher auf das Tablet kopiert werden. Dann muss ich auf dem Server eine tablet-vpn.conf erstellen, damit das Device dafür autostart-erstellt wird, soweit klar. Und weiter? Was muss denn in der tablet-vpn.conf drinstehen?
Wäre das so richtig?

Code: Alles auswählen

Konfiguration für Tablet auf dem Server:
/etc/openvpn/tablet-vpn.conf
dev tun
ifconfig 10.1.0.1 10.1.0.3
up ./home.up
secret static.key
verb 3
proto tcp-server

Sprich, das device auf dem Server wäre auch wieder 10.1.0.1, das Tablet bekommt 10.1.0.3? Oder denke ich da falsch?

Dirk

[Natureshadow]

Moin,

auf dem Server brauchst du doch keine zweite Konfiguration ... du verbindest belliebig viele Clients mit dem OpenVPN-Server, zumindest, wenn die Netze nicht getrennt sein sollen.

-nik

[dirk11]

Äh, doch. Das ist genau das Problem von openVPN, es ist mitunter sehr kompliziert und auf Deutsch in meinen Augen nicht so gut dokumentiert. Wenn ich - was ich früher gemacht habe - static key verwende, benötige ich für jeden Client eine neue conf auf dem Server. Aber wie im anderen thread nachzulesen war mein erstes Problem lösbar, in dem ich von static key auf easyrsa-Schlüssel ausgewichen bin. Mit openssl-Schlüsseln geht gar nichts.

[Natureshadow]

Aber wie im anderen thread nachzulesen war mein erstes Problem lösbar, in dem ich von static key auf easyrsa-Schlüssel ausgewichen bin. Mit openssl-Schlüsseln geht gar nichts.

Hmm. Es gibt keine "easyrsa-Schlüssel". Es gibt RSA-Schlüssel, die du mit Hilfe von easyrsa erzeugt hast. Das ruft aber auch nur OpenSSL auf. Ergo: wenn dein easyrsa-PKI-Kram funktioniert, funktioniert offenbar OpenSSL.

Anyway, bei mir haben immer schon die Beispiel-Konfigs aus /usr/share/doc problemlos funktioniert.

WIe kommst du nun darauf, dass du zwei Server-Konfigs brauchst? Das ist schlicht und ergreifend Schwachsinn, sorry - vollkommen unabhängig vom Authentifizierungsmechanismus.

-nik

[dirk11]

WIe kommst du nun darauf, dass du zwei Server-Konfigs brauchst? Das ist schlicht und ergreifend Schwachsinn, sorry - vollkommen unabhängig vom Authentifizierungsmechanismus.

Hmm. Das musst du dann aber nicht mir erklären, sondern den Jungs von openvpn, die das z.B. hier doch recht eindeutig schreiben:
Static Key disadvantages
Limited scalability -- one client, one server

[Natureshadow]

WIe kommst du nun darauf, dass du zwei Server-Konfigs brauchst? Das ist schlicht und ergreifend Schwachsinn, sorry - vollkommen unabhängig vom Authentifizierungsmechanismus.

Hmm. Das musst du dann aber nicht mir erklären, sondern den Jungs von openvpn, die das z.B. hier doch recht eindeutig schreiben:
Static Key disadvantages
Limited scalability -- one client, one server

Ok, aus mir völlig unklaren Gründen wird das dann wohl so sein. Anyway, das ist ja völlig irrelevant. Static Key Auth. macht niemand - du sagst ja oben selber, du machst easyrsa. In deinen Konfigs steht zwar static, aber das hast du dann wohl schon geändert?

Oder machst du doch nicht easyrsa - dann mach das erstmal.

-nik

[dirk11]

Ok, aus mir völlig unklaren Gründen wird das dann wohl so sein. Anyway, das ist ja völlig irrelevant.

Dann solltest du sowas nicht sofort als "Schwachsinn" abkanzeln, ich habe das nicht umsonst geschrieben.

Static Key Auth. macht niemand

Du solltest vielleicht doch besser lesen. Ich habe bisher static key genutzt, weil ich a) nur einen einzigen Client hatte und b) per openssl generierte Keys schlicht noch nie funktioniert haben. Und mit exakt dem Problem stehe ich auch nicht alleine da, es gibt zig Antworten auf eine Google-Anfrage von Leuten, die exakt dasselbe Problem, aber keine Lösung haben.

- du sagst ja oben selber, du machst easyrsa. In deinen Konfigs steht zwar static, aber das hast du dann wohl schon geändert?
Oder machst du doch nicht easyrsa - dann mach das erstmal.

In meinen Konfigs steht static, weil ich static genutzt habe, weil openssl nie funktioniert hat (und vermutlich auch nie funktionieren wird). Jetzt, mit easyRSA, funktioniert zumindest das.

[Natureshadow]

Jetzt, mit easyRSA, funktioniert zumindest das.

Na dann poste doch bitte auch mal diese Konfigs... Und dann brauchst du keine zweite Konfig auf dem Server !

[dirk11]

Aber warum denn? Lies doch einfach auch mal die anderen threads, in diesem hier antworte ich nur noch wegen dir. Das hier ursprünglich beschriebene Problem ist doch schon längst gelöst und hat neue geschaffen

[Natureshadow]

Aber warum denn? Lies doch einfach auch mal die anderen threads, in diesem hier antworte ich nur noch wegen dir. Das hier ursprünglich beschriebene Problem ist doch schon längst gelöst und hat neue geschaffen

Dann ... schreib das doch dran‽‽‽

-nik

[dirk11]

Öhm - wozu? Ich kenne kein einziges Forum, in welchem man das für die User extra noch schreiben muss. Die allermeisten bemerken so etwas von alleine. Genau genommen bist du der erste und einzige, der einen thread alleine weiterführt, weil er ansonsten scheinbar gar nix im Forum liest.

[Natureshadow]

Öhm - wozu? Ich kenne kein einziges Forum, in welchem man das für die User extra noch schreiben muss. Die allermeisten bemerken so etwas von alleine. Genau genommen bist du der erste und einzige, der einen thread alleine weiterführt, weil er ansonsten scheinbar gar nix im Forum liest.

Ich kenne nicht jeden Thread auswendig und ich sehe auch nicht jeden Thread. Was ich gesehen habe, ist, dass du hier seit einem Tag auf eine Antwort gewartet hast und eine Antwort daher vielleicht nett wäre. Tut mir Leid, dass ich dir helfen wollte.

Was für mich jedoch nicht geläufig ist, ist, dass man innerhalb von <24 Stunden mehrere Threads zum selben Thema startet.

Wenn du ab und zu etwas im Forum mitkriegen würdest, hättest du auch mitbekommen, dass gelöste Probleme im ersten Post im Betreff mit (gelöst) oder etwas Ähnlichem markiert werden. Außerdem gehört es zum guten Ton in einem Forum, dass man seine Lösung, sobald man sie hat, in den Thread postet, damit andere mit einem ähnlichen Problem auch etwas davon haben.

Aber tut mir Leid, offenbar habe ich da etwas falsch verstanden !

[dirk11]

Ich kenne nicht jeden Thread auswendig und ich sehe auch nicht jeden Thread. Was ich gesehen habe, ist, dass du hier seit einem Tag auf eine Antwort gewartet hast und eine Antwort daher vielleicht nett wäre. Tut mir Leid, dass ich dir helfen wollte.

Danke! Und sei nicht gleich eingeschnappt.

Was für mich jedoch nicht geläufig ist, ist, dass man innerhalb von <24 Stunden mehrere Threads zum selben Thema startet.

Nee, den anderen thread habe ich eröffnet, weil sich die Thematik in meinen Augen relativ grundlegend geändert hat.

Wenn du ab und zu etwas im Forum mitkriegen würdest, hättest du auch mitbekommen, dass gelöste Probleme im ersten Post im Betreff mit (gelöst) oder etwas Ähnlichem markiert werden.

Das ist von den von mir frequentierten Foren ausschliesslich hier so und reflektiert längst nicht immer die Realität.

Außerdem gehört es zum guten Ton in einem Forum, dass man seine Lösung, sobald man sie hat, in den Thread postet, damit andere mit einem ähnlichen Problem auch etwas davon haben.

Dafür gibt es ja mittlerweile den anderen thread. Belassen wir es einfach dabei.