Suche richtig gute openVPN Howto auf deutsch

[dirk11]

Upps, da habe ich wohl vorher 2x ip route gemacht. Na egal...

Hier mal zum Vergleich die drei Befehle auf dem Android-Tablet, wenn ich im heimischen WLAN bin und alles wie gewohnt funktioniert, also ohne VPN:

Code: Alles auswählen

# ip route
default via 192.168.1.1 dev wlan0
192.168.1.0/24 dev wlan0 proto kernel scope link src 192.168.1.37
192.168.1.1 dev wlan0 scope link

Achtung, 192.168.1.1 ist hier nicht mein Server, das ist mein Router! Der Server im WLAN, um den es geht, hat die .2 am Ende. Aber letztlich sollte das wurscht sein, denn beim vpn-Tunnel ist der WLAN-Router nicht involviert. Der vpn-Tunnel startet und endet direkt auf meinem Server.

Code: Alles auswählen

# ip addr
Sieht alles identisch aus, ausser Punkt 7! Aussedem gibt es 19 und 20 nicht (da Flugmodus mit WLAN aktiviert und natürlich ohne VPN)
7: wlan0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000
     link/ether 98:4b:4a:33:44:55 brd ff:ff:ff:ff:ff:ff
     inet 192.168.1.37/24 brd 192.168.1.255 scope global wlan0
     inet6 fe..... scope link (IPv& hab ich eh nicht)
     valid_lft forever preferred_lft forever

[syssi]

Alles prima soweit. Dann steht nun ein "ping 10.1.0.1" und ein "ping 192.168.1.2" auf deiner ToDo (vom Tablet aus via VPN).

[dirk11]

So, ich habe das mal wie von dir vorgeschlagen eingefügt.

Ergebnis (nicht identisch mit deiner Vorhersage):

Code: Alles auswählen

# ip route
default via 10.64.64.64 dev ppp0
10.1.0.0/26 dev tun0 scope link
10.1.0.1 dev tun0 scope link
10.1.0.36/30 dev tun0 proto kernel scope link src 10.1.0.38
10.64.64.64 dev ppp0 proto kernel scope link src 10.157.27.1
192.168.1.0/24 dev tun0 scope link

ping an den VPN-Server (also die 192.168.1.2) hat übrigens auch vorher schon funktioniert. Und TV-Headend funktioniert mit derselben Fehlermeldung immer noch nicht.

Welche IP hat denn jetzt das Tablet? Offensichtlich die .38. Ich kann vom Tablet die .38 und die .1 anpingen. Also immer noch nicht die gewünschte IP.

[syssi]

Dirk, du hast dich auf irgendwas (falsches!) eingeschossen. Die Routing-Tabelle sieht gut aus.. lediglich anders sortiert und deine UMTS-Einwahl hat diesmal eine Route weniger abbekommen: Egal!

Sprechen wir doch mal bitte in *vollstaendigen* IP-Adressen. Die Abkuerzungen bringen uns so nicht weiter. Du kannst von Tablet (der 10.1.0.38) aus den VPN-Server (die 10.1.0.1) pingen. Ebenfalls pingbar ist die Ethernet-IP des Servers ueber ein internes Loopback, naemlich die 192.168.1.2. Vom Server aus wird auch das Tablet erreichbar sein: ping 10.1.0.38.

WO ist nun dein Problem? Welche IPs/Clients sollten in deinen Augen noch erreichbar sein? Das deine TV-Software nicht funktioniert ist erstmal ein anderes Problem. Erstmal sollte deine VPN-Konfiguration ohne Einschraenkungen funktionieren!

[syssi]

Ein Fehler der mir in deiner Server-Konfiguraiton auffaellt:

Code: Alles auswählen

server 10.1.0.0 255.255.255.0

Es muss in deinem Fall

Code: Alles auswählen

server 10.1.0.0 255.255.255.192

heissen. Dann aenderst du bitte die ccd-Datei fuer das Tablet (ccd/tablet) von:

Code: Alles auswählen

push "route 192.168.1.0 255.255.255.0"

auf

Code: Alles auswählen

ifconfig-push 10.1.0.37 255.255.255.192"

und loeschst die ipp.txt und startest den VPN-Server neu.

[dirk11]

WO ist nun dein Problem? Welche IPs/Clients sollten in deinen Augen noch erreichbar sein? Das deine TV-Software nicht funktioniert ist erstmal ein anderes Problem. Erstmal sollte deine VPN-Konfiguration ohne Einschraenkungen funktionieren!

Das ist das Problem. Die TV-Software funktioniert nicht, und ich kann nicht erkennen warum.

[dirk11]

Ein Fehler der mir in deiner Server-Konfiguraiton auffaellt:

Code: Alles auswählen

server 10.1.0.0 255.255.255.0

Es muss in deinem Fall

Code: Alles auswählen

server 10.1.0.0 255.255.255.192

heissen.

Sicher? Ändere ich das wie von dir vorgeschlagen ab, bekomme ich folgendes:

Code: Alles auswählen

# /etc/init.d/openvpn restart
[ ok ] Stopping virtual private network daemon: dserver-vpn.
[....] Starting virtual private network daemon: dserver-vpnSIOCADDRT: File exists
. ok 

[syssi]

Du wolltest ein 26er Subnet - kein 24er.

[syssi]

Mach mal bitte folgendes. Installier auf deinem Server "tcpdump". Dann startest du eine tcpdump-Session:

Code: Alles auswählen

tcpdump -s0 -i eth0 -w lan.pcap

Dann meldest du dich per WLAN (nicht VPN) an deinen Streamingserver an und guckst 20 Sekunden TV. Danach brichst du die Aufzeichnung von tcpdunp ab: Strg-c

Die Datei lan.pcap kannst du in Wireshark einlesen oder mir ueber irgendeinen Weg zur Verfuegung stellen. Einen zweiten Test koenntest du per VPN machen. In diesem lauschst du am tun0:

Code: Alles auswählen

tcpdump -s0 -i tun0 -w vpn.pcap

Mit etwas Glueck kann man an den Mitschnitten erkennen, wo es kracht.

[pangu]

@TE: hab jetzt nicht alles gelesen weil mit Smartphone unterwegs, aber wo genau haengst du denn noch? was du brauchst ist:

openvpn als multiserver betreiben und dann les dich in den Begriff "custom client dir" oder "ccd" ein, und auch in "iroute". Ein besseres Tutorial mit ausreichender Erklaerung als die originalen openvpn HowTos habe ich bis heute nirgends gesichtet.

Achja: ein heisser Tip noch > achte darauf, dass Client und Server keine nennenswerte Zeitunterschiede aufweisen, das kann dir einen Strich durch die Rechnung machen und TLS Fehler hervorrufen. Sollte unter 3min sein, am besten so synchron wie moeglich versteht sich.

good luck

[dirk11]

Du wolltest ein 26er Subnet - kein 24er.

Ja, aber was besagt diese Fehlermeldung? .192 ist doch /26. Wenn ich /26 eintrage, kommt die Fehlermeldung.

Mach mal bitte folgendes. Installier auf deinem Server "tcpdump". Dann startest du eine tcpdump-Session:

Danke für das Angebot, das muss ich aber vertagen, weil momentan nur noch vpn-Tests möglich sind. Sprich ich bin nicht mehr im heimischen WLAN, sondern nur noch in einem Fremd-WLAN. Ich könnte jetzt also supereinfach (im Vergleich zu UMTS) die VPN-Tests machen, aber nix lokales...

@TE: hab jetzt nicht alles gelesen weil mit Smartphone unterwegs, aber wo genau haengst du denn noch? was du brauchst ist:

Das einfachste wäre, wenn du ohne Smartphone in Ruhe liest. Die Punkte, die hängen:

- das Tablet bekommt ums Verrecken nicht die IP, die ich ihm gerne geben würde
- der Tunnel wird aufgebaut, aber es stimmt was damit nicht, denn meine TV-Streaming-App meint "Zugriff verweigert" und "Connection timeout". Im heimischen WLAN funktioniert sie aber, und prinzipiell klappt streaming über vpn auch, denn am Laptop kann ich den stream anschauen.

Achja: ein heisser Tip noch > achte darauf, dass Client und Server keine nennenswerte Zeitunterschiede aufweisen, das kann dir einen Strich durch die Rechnung machen und TLS Fehler hervorrufen. Sollte unter 3min sein, am besten so synchron wie moeglich versteht sich.

Geringstes Problem, chrony läuft überall.

BTW: Jungs, was ich auch noch nicht gemacht habe, ist beide vpn-Verbindungen gleichzeitig aufzubauen - aber das kommt erst, wenn die anderen Probleme gelöst sind

Syssi,

ich habe jetzt die Angaben von dir im letzten posting auf Seite 2 mal 1:1 umgesetzt. Setze ich
server 10.1.0.0 255.255.255.0
in der server-config und gleichzeitig das von dir genannte
ifconfig-push 10.1.0.37 255.255.255.192 ind der ccd/tablet, so connected der openvpn-client vom Android nicht. Dort im log steht:

Code: Alles auswählen

0[route][192.168.1.0][255.255.255.0]
1[route][10.1.0.0][255.255.255.192]
2[route][10.1.0.1]
3[topology][net30]
4[ping][10]
5[ping-restart][120]
6[ifconfig][10.1.0.37][255.255.255.192]
und später wieder dieser error:
EVENT: TUN_SETUP_FAILED info="tun_builder_error: ifconfig addresses are not in the same /30 subnet (topology net30)

Das klappt nur, wenn ich die ccd/tablet lösche, dann wieder bekommt das Tablet aber eine willkürlich gewählte IP.

Bitte keine Doppel- und Dreifachpostings.

[syssi]

Ich glaub du bist ueber folgendes Problem/Feature gestolpert: http://openvpn.net/index.php/open-sourc ... -mode.html

[syssi]

openvpn als multiserver betreiben und dann les dich in den Begriff "custom client dir" oder "ccd" ein, und auch in "iroute". Ein besseres Tutorial mit ausreichender Erklaerung als die originalen openvpn HowTos habe ich bis heute nirgends gesichtet.

Zur Sicherheit: "iroute" ist ein falsches Stichwort. Diese Direktive wird genutzt, um Subnetze hinter einem VPN-Client fuer den VPN-Server erreichbar zu machen.

[dirk11]

Wenn ich nur den genannten Parameter einfüge und wieder eine ccd/tablet erstelle, bekomme ich eine Fehlermeldung "only topology subnet and net30b supported"

[syssi]

Entfern den "ifconfig-pool-linear"-Eintrag wieder und versuchs mal mit diesen beiden Zeilen in der Server-Konfiguration:

Code: Alles auswählen

topology subnet
push "topology subnet"

Ist aber nur geraten. Ausserdem koenntest du noch

Code: Alles auswählen

client-to-client

ergaenzen, um eine Kommunikation unter den Clients zu erlauben.

[dirk11]

Das hatte ich sogar selbst schon ausprobiert, nur hier noch nicht geschriebenl, weil es auch nicht funktioniert.

EDIT: jetzt funktioniert genau das doch!
Es wird jetzt also _endlich_ die gewünschte IP des Tablet genommen, die VPN-Verbindung steht!

Was allerdings jetzt immer noch nicht funktioniert, ist der DVB-T-Stream, da kommt immer noch
"Zugriff verweigert", dann "Connection timeout" als Text-Popup.

[syssi]

Versuch mal spasseshalber folgendes in der CCD-File des Tablets zu schreiben:

Code: Alles auswählen

ifconfig-push 10.1.0.42 255.255.255.192

Die Zuweisung funktioniert und das Tablet ist unter der 10.1.0.42 erreichbar oder?

[dirk11]

Jupp, das geht
Danach klappte erstmal die VPN-Verbindung des Netbook nicht mehr, aber nachdem ich aus dessen client-conf das
up ./home.up
herausgenommen habe (weil ja jetzt alles vom Server übertragen wird) klappt auch dessen Verbindung wieder.

Bleibt nur noch das dysfunktionale Streaming.

[syssi]

Du hast den Sachverhalt verstanden, dass dein 26er Subnetz in 30er Bloecke unterteilt wird? Aus diesem Grund sind bestimmte IPs fuer Broadcast und Network reserviert und koennen nicht als Host-IP verwendet werden. Das mit dem Streaming hoert sich auch loesbar an, schliesslich funktioniert ja das Streaming ueber die VPN-Verbindung zum Notebook. Die dort installierte Software wird hoffentlich nicht viel schlauer sein als das Android-Äquivalent.

[dirk11]

Also, zur Beendigung dieser Sache:

Streaming funktioniert jetzt auch, ich musste in tvheadend zusätzlich zum Eintrag für 192.168.1.0/24 noch einen Eintrag für das VPN-Netzwerk (hier also 10.1.0.0/26) erstellen. Kann gleicher Username und PW (also in meinem Fall nichts/nichts) sein.

Juhuuu!

Danke für eure Hilfe!