OpenVPN

Kiop · Beitrag von **Kiop** » 02.01.2006 18:16:03

Hallo,

Ich habe versucht mit Hilfe dieses Tutorials
http://www.online-tutorials.net/securit ... 9-209.html
ein VPN Netzwerk einzurichten.

Erstmal über das Netzwerk:

Ich möchte ein Windows Netzwerk mit meinem Netzwerk verbinden. Mein Netzwerk besteht aus dem Server (Internet-Routing + Datenablage + Webserver) und vier Windowsrechnern, die an diesem Server hängen.

Den Server wollte ich als VPN-Server laufen lassen. Ich glaube auf dem Server läuft alles so weit:

Code: Alles auswählen

cd /etc/openvpn/ && openvpn --config /etc/openvpn/server.conf 
Mon Jan  2 16:08:51 2006 OpenVPN 2.0 i386-pc-linux [SSL] [LZO] [EPOLL] built on Nov  3 2005
Mon Jan  2 16:08:51 2006 Diffie-Hellman initialized with 1024 bit key
Mon Jan  2 16:08:51 2006 WARNING: file 'certs/serverkey.pem' is group or others accessible
Mon Jan  2 16:08:51 2006 WARNING: normally if you use --mssfix and/or --fragment, you should also set --tun-mtu 1500 (currently it is 1492)
Mon Jan  2 16:08:51 2006 TLS-Auth MTU parms [ L:1566 D:138 EF:38 EB:0 ET:0 EL:0 ]
Mon Jan  2 16:08:51 2006 TUN/TAP device tap0 opened
Mon Jan  2 16:08:51 2006 ifconfig tap0 10.0.0.1 netmask 255.255.255.0 mtu 1492 broadcast 10.0.0.255
Mon Jan  2 16:08:51 2006 Data Channel MTU parms [ L:1566 D:1450 EF:42 EB:23 ET:32 EL:0 AF:3/1 ]
Mon Jan  2 16:08:51 2006 GID set to nogroup
Mon Jan  2 16:08:51 2006 UID set to nobody
Mon Jan  2 16:08:51 2006 UDPv4 link local (bound): [undef]:21
Mon Jan  2 16:08:51 2006 UDPv4 link remote: [undef]
Mon Jan  2 16:08:51 2006 MULTI: multi_init called, r=256 v=256
Mon Jan  2 16:08:51 2006 IFCONFIG POOL: base=10.0.0.2 size=253
Mon Jan  2 16:08:51 2006 IFCONFIG POOL LIST
Mon Jan  2 16:08:51 2006 Initialization Sequence Completed

Leider habe ich gerade keinen Zugriff auf das andere LAN, deshalb wollte ich erstmal auf meinem Windowsrechner vpn installieren. Müsste ja glaub ich auch klappen, obwohl ich im gleichen Netzwerk bin, oder?

Also:
Server: 192.168.0.1 (mit debian)
Mein PC: 192.168.0.2 (mit Windows)

Durch openVPN hat der Server nun auch ein device "tap0", welches die IP 10.0.0.1 hat. von meinem PC kann ich den Server auch darüber pingen.

Ich habe dann die Zertifikate usw. wie beschrieben (hoffe ich jedenfalls) vom Server auf meinen PC kopiert und openvpn für Windows installiert und danach die neue Verbinung in VPN umbenannt.

Dann habe ich eine xyz.ovpn datei erstellt:

Code: Alles auswählen

client
float
dev tap

#MTU
tun-mtu 1492
#fragment 1300
mssfix

#device name, unter windows auskommentieren (# löschen)
dev-node VPN

#tcp oder udp
proto udp

#Server IP
remote 192.168.0.1 21

#force authentication
tls-remote server

ca vpn-ca.pem
cert simon_lan_cert.pem
key simon_lan_key.pem

auth SHA1 # <-- was ist das?
#cipher aes-256-cbc
nobind
comp-lzo
persist-key
persist-tun
verb 0

Wenn ich dann diese datei starte, erhalte ich folgende Meldung:

Code: Alles auswählen

...
IMPORTANT: OpenVPN's default port number is now 1194, based on an official port number assignment by IANA. OpenVPN 2.0-beta16 an earlier used 5000 as the default port.

Cannot load private key file simon_lan_key.pem: error:02001002:system library:fopen:No such file or directory: error:20074002:BIO routines:FILE_CTRL:system lib: error:140B0002:SSL routines: SSL_CTX_use_PrivateKey_file:system lib

Error: private key passwort verification failed
...

Ich habe jeweils Datum und Zeit weggelassen, da ich alles abtippen muss.

Vielleicht könnt ihr mir ja weiterhelfen.

hulla66 · Beitrag von **hulla66** » 02.01.2006 18:42:07

Hi.

Ich habs bei mir mit OpenVPN aufgegeben. Wenn ich die letzte Fehlermeldung aus deinem Windows richtig lese, vermisst er das Zertifikat (bzw das Key-file). Liegt auch wirklich alles an der richtigen Stelle? Musste man ein Zertifikat nicht in Windows installieren?

Gruß

Kiop · Beitrag von **Kiop** » 02.01.2006 18:48:31

Also ich habe nun in C:\Programme\OpenVPN\config folgende Dateien:

README.txt
server.conf
simon_lan_cert.pem
simon_lan_csr.pem
vpn-ca.pem
xyz.ovpn

serverconf:

Code: Alles auswählen

# Port
port 21

# TCP oder UDP?
#proto tcp-server
proto udp
mode server
tls-server

# tun oder tap?
# Das tun Device erstellt einen IP Tunnel,
# während das tap Device einen Ethernet Tunnel erstellt.
#tun or tap device
#tun is an IP tunnel,
#tap an ethernet tunnel
dev tap

#Our Server IP
ifconfig 10.0.0.1 255.255.255.0

#dynamic clients from 10.0.0.2-10.0.0.254
ifconfig-pool 10.0.0.2 10.0.0.254 

#Die pakete werden auf dieser größe gekapselt
tun-mtu 1492
#fragment 1300
mssfix

#Paths to the certs
ca certs/vpn-ca.pem
cert certs/servercert.pem
key certs/serverkey.pem

#Diffie-Hellmann Parameters
dh certs/dh1024.pem

#Same Ip in the next session
ifconfig-pool-persist ipp.txt

#Routes the packages to the intern network, you should use iptables instead of this
#push "route 192.168.0.0 255.255.255.0"

#Tests the connection with a ping like paket. (wait=120sec)
keepalive 10 120

#Authenication
auth SHA1

#Our encryption algorithm
#cipher aes-256-ecb
#openvpn --show-ciphers for testing

#comp
comp-lzo

#Sets new rights after the connection
user nobody
group nogroup

#We need this because of user nobody/group nobody.
persist-key
persist-tun

#Logging 0, (testing:5)
verb 3

roland · Beitrag von **roland** » 03.01.2006 10:31:55

Unter Windows liegt der Schlüssel in simon_lan_csr.pem, OpenVPN sucht aber simon_lan_key.pem. Könnte es daran liegen?

roland

Night.Hawk · Beitrag von **Night.Hawk** » 03.01.2006 11:40:05

Ich habe openVPN zuerst auch nicht zum laufen gebracht.

Die Lösung war dann bridging. Damit klappt es wunderbar!

Die Anleitung dazu gibt es auf der openvpn-Seite (http://openvpn.net/man-beta.html)

Gruß

Night Hawk