openvpn Frage

mase76 · Beitrag von **mase76** » 19.01.2007 19:21:05

Hallo!
Ich wollte mal openvpn ausprobieren.
Ich habe zu Hause einen Server, der auch bei dyndns eingetragen ist.
Jetzt möchte ich openvpn so einrichten, dass ich mit meinem Notebook
immer eine VPN Verbindung aufbauen kann.
Ich hab das ganze nach folgender Anleitung konfiguriert:
http://freifunk.net/wiki/OpenVPNHowto
Mit meinem Notebook hab ich folgende Verbindungsmöglichkeiten:
eth0 Kabelnetzwerk zu Hause
eth2 WLAN zu Hause
ppp0 Internetverbindung unterwegs via Bluetooth und Handy
Wie kann ich openvpn einrichten, dass alle drei Verbindungsarten
funktionieren?

Hendri · Beitrag von **Hendri** » 19.01.2007 19:53:13

Hallo,
das sollte imho egal sein, wenn das Default Gateway und die DNS Server passen in allen Configurationen...

mase76 · Beitrag von **mase76** » 19.01.2007 19:58:20

Leider lassen sich bei mir nach dieser Anleitung die Rechner noch nicht einmal anpingen.

Duff · Beitrag von **Duff** » 19.01.2007 20:09:47

Hallo,

also ich habe das ganze mal mit meiner Fritzbox gemacht. Und zwar konnte ich mich dann über einen vpn-Tunnel auf die Fritzbox (mit dyndns) anmelden.

Auf dem Server (bei mir die Fritzbox) habe ich den Serverdienst openvpn so gestartet:

Code: Alles auswählen

./openvpn --config server.ovpn --dev-node /dev/misc/net/tun --daemon

Meine server.ovpn sieht so aus:

Code: Alles auswählen

	ifconfig 10.0.0.1 10.0.0.2
	secret /var/tmp/secret.key
	proto tcp-server
	port 1194
	tun-mtu 1400
	float
	keepalive 10 60
	verb 4
	mssfix
	route 10.0.0.0 255.255.255.0
	push "route 10.0.0.0 255.255.255.0"
	daemon

Der Server wird mit also gestartet und wartet auf Anfragen.

Mit meinem Client kann ich nun auch eine Verbindung zum Server aufbauen, wenn ich den vpn-client so starte:

Code: Alles auswählen

openvpn --config client.ovpn

Die client.ovpn sieht so aus:

Code: Alles auswählen

	ifconfig 10.0.0.2 10.0.0.1
	remote meineAdresse.no-ip.info 
	secret /home/user/fritzbox/secret.key 
	dev tun0
	proto tcp-client
	port 1194
	ping 15
	ping-restart 300 # 5 minutes
	resolv-retry 300 # 5 minutes
	#resolv-retry infinite
	tun-mtu 1400
	mssfix
	persist-tun
	persist-key
	verb 4
	route 10.0.0.0 255.255.255.0
	push "route 10.0.0.0 255.255.255.0"
	push "dhcp-option DNS 10.0.0.1"
	route-gateway 10.0.0.1
	redirect-gateway

Die beiden verwendeten Schlüssel sind 2048 bit static keys. Ein pingen vom Server zum Client und umgekehrt ist möglich. Mit einem ifconfig -a sieht man auch die angelegten tun-devices.
Die route auf dem Server sieht so aus:

Code: Alles auswählen

	Kernel IP routing table
	Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
	10.0.0.2        *               255.255.255.255 UH    0      0        0 tun0
	192.168.180.1   *               255.255.255.255 UH    2      0        0 dsl
	192.168.180.2   *               255.255.255.255 UH    2      0        0 dsl
	192.168.178.0   *               255.255.255.0   U     0      0        0 lan
	192.168.178.0   *               255.255.255.0   U     0      0        0 eth0
	10.0.0.0        10.0.0.2        255.255.255.0   UG    0      0        0 tun0
	192.168.1.0     *               255.255.255.0   U     0      0        0 lan
	default         *               0.0.0.0         U     2      0        0 dsl

Hoffe, dass ich dir hiermit vielleicht auch ein wenig weiterhelfen kann.
Viel Spaß noch...

mase76 · Beitrag von **mase76** » 19.01.2007 20:36:24

Danke!
Ich werd's morgen mal testen.

mase76 · Beitrag von **mase76** » 20.01.2007 15:36:50

Ich hab das ganze mal wieder getestet.
Im LAN scheint's zu funktionieren, ich kann 10.0.0.1 anpingen.
Im Internet über ppp0 erreich ich den Server nicht. Es lässt sich noch nicht einmal
der dyndns Name anpingen.
Auf dem Server zeigt ifconfig mir ein Device tun0, auf dem Clienten nicht.
Die Konfiguration meines Servers

Code: Alles auswählen

dev tun
proto udp
port 1194
server 10.0.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
tls-server
dh certs/dh1024.pem
ca certs/vpn-ca.pem
cert certs/servercert.pem
key certs/serverkey.pem
push "route 192.168.0.0 255.255.255.0"
cipher AES-256-CBC
user nobody
group nogroup
client-to-client
comp-lzo
verb 0

Der Client

Code: Alles auswählen

dev tun
remote server.meinname.dyndns.org
tls-client
ca vpn-ca.pem
cert vpn_cert.pem
key vpn_key.pem
pull
port 1194
cipher AES-256-CBC
user nobody
group nogroup
persist-key
persist-tun
comp-lzo
route-gateway 10.0.0.1
redirect-gateway
verb 0

Was hab ich falsch gemacht?

Duff · Beitrag von **Duff** » 20.01.2007 15:59:15

Bin mir nicht sicher, da ich (noch) keinen Server zu Hause benutze und das ganze so leider nicht reproduzieren kann.

Aber wenn ich das ganze mit meiner Fritzbox probiere (auch eine Art kleiner Server

), vergebe ich sowohl dem Server als auch dem Client eine virtuelle IP-Adresse mit ifconfig. Das sehe bei dir z.B. nicht.

Zudem schreibst du server 10.0.0.0. Das ist doch eine Netzadresse und keine IP-Adresse. Muss das nicht auch anders lauten?

mase76 · Beitrag von **mase76** » 20.01.2007 16:03:01

Anstatt ifconfig hab ich ifconfig-pool-persist ipp.txt,
da mehrere Clients connecten sollen.
Bei server 10.0.0.0 bin ich mir auch nicht sicher.

Duff · Beitrag von **Duff** » 20.01.2007 16:12:52

Meiner Meinung nach kann beim Server ein 10.0.0.0 nicht richtig sein. Der Client soll ja auch das Gateway 10.0.0.1 benutzen, was ja denke ich mal eigentlich der Server sein sollte, oder hast du noch einen weiteren Rechner dazwischen?

mase76 · Beitrag von **mase76** » 20.01.2007 16:24:41

Nee, hab ich nicht.
Ich hab's nach folgender Anleitung eingerichtet:
http://www.linuxforen.de/forums/showthread.php?t=169354
Ist es normal, dass auf dem Clienten mit ifconfig kein tun0 angezeigt wird?

Duff · Beitrag von **Duff** » 20.01.2007 17:00:13

Also ich habe gerade noch mal mein oben beschriebenes Szenario ausprobiert und es klappt.

Zuerst muss ich natürlich den openvpn-server (deamon) auf der fritzbox starten.
Danach kann ich vom Client aus erfolgreich eine Verbindung aufbauen:

Code: Alles auswählen

Sat Jan 20 17:02:41 2007 us=466473 Local Options hash (VER=V4): '4d56c5cd'
Sat Jan 20 17:02:41 2007 us=466524 Expected Remote Options hash (VER=V4): '439216d3'
Sat Jan 20 17:02:41 2007 us=466577 Attempting to establish TCP connection with 80.127.18.6:1193
Sat Jan 20 17:02:41 2007 us=565496 TCP connection established with 880.127.18.6:1193
Sat Jan 20 17:02:41 2007 us=565588 Socket Buffers: R=[87380->131072] S=[16384->131072]
Sat Jan 20 17:02:41 2007 us=565722 TCPv4_CLIENT link local: [undef]
Sat Jan 20 17:02:41 2007 us=565766 TCPv4_CLIENT link remote: 80.127.18.6:1193
Sat Jan 20 17:02:41 2007 us=834543 Peer Connection Initiated with 80.127.18.6:1193
Sat Jan 20 17:02:43 2007 us=75473 Initialization Sequence Completed

Anschließend sieht man dann auch bei ifconfig das tun-device:

Code: Alles auswählen

tun0      Protokoll:UNSPEC  Hardware Adresse 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
          inet Adresse:10.0.0.2  P-z-P:10.0.0.1  Maske:255.255.255.255
          UP PUNKTZUPUNKT RUNNING NOARP MULTICAST  MTU:1400  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          Kollisionen:0 Sendewarteschlangenlänge:100
          RX bytes:0 (0.0 b)  TX bytes:0 (0.0 b)