OpenVPN - hats jemand geschafft?

LeoLinux · Beitrag von **LeoLinux** » 28.12.2005 02:55:29

Was ich bisher gemacht habe:
__________________________
1. apt-get install openvpn (damit habe ich mir die aktuelle openvpn 2.0 installiert)

2. mit ls -lach in /etc/openvpn/ geschaut und zu meinem erschrecken festgestellt, dass da gar keine

configs liegen :-/

3. verzweifelt gegoogelt, ob es denn noch so jemand erschrockenes wie mich gibt welcher mir evtl

nun weiterhelfen könnte... :-) --> niemand gefunden

4. nun habe ich begonnen das How to: http://openvpn.net/howto.html#vpntype genauer zu

studieren.

5. daraufhin habe ich, wie ich in verschiedenen sites lesen konnte, das alles hier erstellt:

6.

Code: Alles auswählen

server@server# openssl req -new -nodes -x509 -keyout ca.key -out ca.key -days 365
    server@server# openssl dhparam -out dh1024.pem 1024
    server@server# openvpn --genkey --secret 123456789abcd123456789abcd
    server@server# openvpn --genkey --secret static.key

^^--> alle diese dateien hab ich in /etc/openvpn abgelegt.

    server@server# chown root:root /etc/openvpn/dh1024.pem
    server@server# chmod 600 /etc/openvpn/dh1024.pem
    server@server# chown root:root /etc/openvpn/ca.key
    server@server# chmod 600 /etc/openvpn/ca.key

____________________________________________________________________
Generate certificate & key for server

Next, we will generate a certificate and private key for the server. On Linux/BSD/Unix:

./build-key-server server

On Windows:

build-key-server server
____________________________________________________________________
^^--> da niergends dranstand how to build these both, hab ich ein päärchen besorgt.. allerdings bin

ich mir dabei noch unsicher - ich würde sie mir also gerne selbst erstellen :-/

___________________________________________________________________________
___________________________________________________________________________

7.

Code: Alles auswählen

server@server# openvpn --dev tun0 --remote 192.168.1.100 --ifconfig 192.168.1.110 192.168.1.130 --secret 123456789abcd123456789abcd

^^--> wenn ich jedoch diesen befehl ausführe, bleibt er "hängn" bzw, wartet auf irgendwas .. ich

kann es jedoch jederzeit mit strg+c abrechen:
_________________________________________________________________________

Code: Alles auswählen

Server:/etc/openvpn# openvpn --dev tun0 --remote 192.168.1.100 --ifconfig 192.168.1.110 

192.168.1.130 --secret 123456789abcd123456789abcd
Wed Dec 28 03:18:21 2005 OpenVPN 2.0 i386-pc-linux [SSL] [LZO] [EPOLL] built on Nov  3 2005
Wed Dec 28 03:18:21 2005 IMPORTANT: OpenVPN's default port number is now 1194, based on 

an official port number assignment by IANA.  OpenVPN 2.0-beta16 and earlier used 5000 as the 

default port.
Wed Dec 28 03:18:21 2005 WARNING: potential conflict between --remote address 

[192.168.1.100] and --ifconfig address pair [192.168.1.110, 192.168.1.130] -- this is a warning only 

that is triggered when local/remote addresses exist within the same /24 subnet as --ifconfig 

endpoints. (silence this warning with --ifconfig-nowarn)
Wed Dec 28 03:18:21 2005 TUN/TAP device tun0 opened
Wed Dec 28 03:18:21 2005 ifconfig tun0 192.168.1.110 pointopoint 192.168.1.130 mtu 1500
Wed Dec 28 03:18:21 2005 UDPv4 link local (bound): [undef]:1194
Wed Dec 28 03:18:21 2005 UDPv4 link remote: 192.168.1.100:1194
Wed Dec 28 03:18:31 2005 Peer Connection Initiated with 192.168.1.100:1194
Wed Dec 28 03:18:31 2005 WARNING: 'ifconfig' is used inconsistently, local='ifconfig 

192.168.1.110 192.168.1.130', remote='ifconfig 192.168.1.130 192.168.1.110'
Wed Dec 28 03:18:32 2005 Initialization Sequence Completed

____________________________________________________

Prallel habe ich ein zweites terminal geöffnet und kann während der ausführung des obrigen nun

stehenden befehls folgendes erkennen:

Code: Alles auswählen

Server:~# ifconfig
eth0      Protokoll:Ethernet  Hardware Adresse 00:07:95:FA:C8:7F
          inet Adresse:192.168.1.100  Bcast:192.168.1.255  Maske:255.255.255.0
          inet6 Adresse: fe80::207:95ff:fefa:c87f/64 Gültigkeitsbereich:Verbindung
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:20856597 errors:0 dropped:0 overruns:0 frame:0
          TX packets:23351602 errors:0 dropped:1 overruns:0 carrier:0
          Kollisionen:0 Sendewarteschlangenlänge:1000
          RX bytes:3250609495 (3.0 GiB)  TX bytes:4218073337 (3.9 GiB)
          Interrupt:11 Basisadresse:0xc000

lo        Protokoll:Lokale Schleife
          inet Adresse:127.0.0.1  Maske:255.0.0.0
          inet6 Adresse: ::1/128 Gültigkeitsbereich:Maschine
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:9515352 errors:0 dropped:0 overruns:0 frame:0
          TX packets:9515352 errors:0 dropped:0 overruns:0 carrier:0
          Kollisionen:0 Sendewarteschlangenlänge:0
          RX bytes:1625952021 (1.5 GiB)  TX bytes:1625952021 (1.5 GiB)

tun0      Protokoll:UNSPEC  Hardware Adresse 00-00-00-00-00-00-00-00-00-00-00-00
          inet Adresse:192.168.1.110  P-z-P:192.168.1.130  Maske:255.255.255.255
          UP PUNKTZUPUNKT RUNNING NOARP MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          Kollisionen:0 Sendewarteschlangenlänge:100
          RX bytes:0 (0.0 b)  TX bytes:0 (0.0 b)

Server:~#

___________________________________________________________

sobald ich jedoch den obrigen stehenden befehl abbreche verschwindet tun0 wieder aus meine

ifconfigliste :-?

___________________________________________________________________________
___________________________________________________________________________

___________________________________________________________________________
___________________________________________________________________________

8. zur server.config

http://nopaste.debianforum.de/1954
___________________________________________________________________________
___________________________________________________________________________

9. dies würde ich gerne so abändern dass mein Server die aktuelle IP adresse 192.168.1.100 behält

und so von INNEN auch erreichbar bleibt.

10. zudem sollten die zukünftigen vpn clients den adressbereich 192.168.1.110 bis 192.168.1.130 zur

verfügung haben.

11. wie regle ich die konflikte zwischen dhcp und wins? und vorallem wie bekomme ich openvpn mit

meiner config zum laufen? lediglich als server icht als client! :-?

12. Ich habe hier die aktuelle situation meines /etc/openvpn/ hier als tar.gz zum download zur

verfügung gestellt:
http://service.gmx.net/mc/odnoWv8GoRhnL ... IXFlBPxXfK

Ich hoffe, dass mir irgendjemand weiterhelfen kann :-/

P.S. irgendwie würde ich auch mal gerne die ganzen restliche key files ertellen, nur funktionieren

bei mir die scripte nie, weil ich irgendwas falsch mach: ich habe (jetzt mittlerweile nichtmehr) z.B.

build-ca in /etc/openvpn wechsle dann mit cd in /etc/openvpn/ und gebe dann einfach

server@server# ./build-ca ein, aber dann bringt der mir imemr irgendne fehler meldng, dass er

was nichtfindet:

Server:/etc/openvpn# ./build-ca
you must define KEY_DIR
Server:/etc/openvpn#

___________________________________________________________________________

Ich hoffe irgendjemand hat openvpn schonmal zum laufen gebracht, denn das wäre meine rettung

:-)

Vielen Dank im vorraus

Mit Freundlichen Grüßen, Leo

(bitte ausdruck; rechtschreibung etc.. nicht so ernst nehmen - es ist 3 uhr morgens und ich bin

einfach nur noch müde :-)

mcheizer · Beitrag von **mcheizer** » 28.12.2005 08:41:42

Hey,

ich würde Dir empfehlen erstmal einen "preshared key" (Statischer Key) einzusetzen, bis du
dich eingearbeitet hast. Dieser Key ist deafult mit 2048Bit verschlüsselt !

Diesen erstellst du am besten in dem Verzeichniss /etc/openvpn mit
# openvpn --genkey --secret <deinschlüsselname.key>
Siehe auch man openvpn!

Dann muss Deine IP für OpenVPN für Server und Client aus einem anderen Subnetz sein.
Deine IP Lokales Netz ist 192.168.1.100.
Dann wähle für Openvpn z.B.
10.0.0.10 Lokaler Server
10.0.0.20 Remote Client

Unter /etc/default/openvpn kannst Du einstellen, ob OpenVPN schon beim booten gestartet werden soll.
Am besten erstellst Du unter /etc/openvpn eine Config-Datei für deine Verbindung.
Schaue mal in die Linksammlung, dort findest Du genug Beispiele !

Hier noch Links zum Thema:
http://openvpn.sourceforge.net/howto.html
http://www.linuxnetmag.com/de/issue9/m9shfs1.html
http://www.mathematik.uni-marburg.de/~s ... slides.pdf
http://www.lugah.de.bart.blserver.de/Da ... HowTo.html
http://www.pronix.de/pronix-937.html
http://openvpn.net/
http://www.online-tutorials.net/securit ... el-openvpn
http://sarwiki.informatik.hu-berlin.de/ ... _(deutsch)
http://resmedicinae.sourceforge.net/man ... 06s08.html
http://www.indato.ch/openvpn/openvpn.html#id2448492
http://sarwiki.informatik.hu-berlin.de/ ... _(deutsch)
http://www.online-tutorials.net/securit ... p-oder-udp
http://www.linux-magazin.de/Artikel/aus ... envpn.html
http://www.sans.org/rr/whitepapers/vpns/1459.php
http://www.linux-magazin.de/Artikel/aus ... adauf.html
http://www.linux-user.de/ausgabe/2002/10/030-tunnel/
http://www.join.uni-muenster.de/Dokumen ... broker.php
http://www.netzmafia.de/skripten/sicher ... cher2.html
http://home.arcor.de/u.altinkaynak/index.html

Grüße
mccologne

PS: Noch ein Link...
http://www.linux-club.de/viewtopic.php?t=45677

docNet · Beitrag von **docNet** » 28.12.2005 11:48:12

hi,

in der linuxuser 11/2005 [1] ist ein, wie ich meine, sehr guter artikel zum thema OpenVPN.
vielleicht hilft er dir weiter...
[1] http://www.linux-user.de/ausgabe/2005/11

lg docNet