Gute Nachrichten für alle iOS und Android Nutzer, die OpenVPN nutzen wollen?

Status
Für weitere Antworten geschlossen.

belfour

Benutzer
Mitglied seit
29. Nov 2012
Beiträge
77
Punkte für Reaktionen
0
Punkte
0
Hat sich erledigt. Bin da von der völlig falschen sichtweise rangegangen. Es geht ja darum das ich über EDGE/GPRS/UMTS und fremde WLAN´S gesichert auf meinen Server komme. Habe es gerade noch mal mit 3G getestet und es funktioniert wunderbar. Wenn ich die Konfiguration mit DDNS über mein eigenes WLAN reingehe, kommt die Fehlermeldung. Aber in meinem eigenen WLAN/LAN bin ich ja sicher und brauche somit kein VPN. Oder sehe ich meinen letzten Satz falsch?
 

fpo4711

Benutzer
Mitglied seit
26. Mai 2010
Beiträge
2.772
Punkte für Reaktionen
1
Punkte
0
Hallo,

deine Posts sind zwar etwas widersprüchlich aber generell funktioniert OpenVPN auch aus dem lokalen Netz nur in sofern, als das Du bestenfalls überhaupt eine Verbindung aufbauen kannst. Das Routing geht aber nicht, da Du dich ja im gleichen Netz befindest. Also wie Du schon erkannt hast, VPN nur von Aussen.

Gruß Frank
 

belfour

Benutzer
Mitglied seit
29. Nov 2012
Beiträge
77
Punkte für Reaktionen
0
Punkte
0
Ok das erklärt schon mal einiges. Aber vielleicht kannst du mir auch erklären wie es jetzt weiter geht. Muss ich jetzt alle Ports (bis auf 1194) im Router sperren? Schließlich hat sich ja nichts geändert, bis auf das der port 1194 dazugekommen ist.
 

fpo4711

Benutzer
Mitglied seit
26. Mai 2010
Beiträge
2.772
Punkte für Reaktionen
1
Punkte
0
Wenn Du nur noch in Zukunft per OpenVPN zugreifen willst, dann kannst Du alle Ports bis auf UDP 1194 schliessen. Somit hättest Du die maximale Sicherheit, die Du erreichen kannst.

Gruß Frank
 

jus7incase

Benutzer
Mitglied seit
13. Sep 2012
Beiträge
113
Punkte für Reaktionen
9
Punkte
18
Soweit Danke für die ausfürhliche Anleitung, der man gut folgen kann.

Der Tunnel wird über 3G auch von meinem iPhone aus aufgebaut und das Log auf dem iPhone sieht gut aus (soweit ich das beurteilen kann).
Das iPhone hat auch eine IP im OVPN Address range erhalten. Die Client IP wird im App nicht angezeigt, aber auf dem Server.

Ein traceroute vom iphone aus zeigt, dass die Pakete an der DS rauskommen und über den Router ins Internet wandern. Sieht gut aus.
Per Ping kann ich Rechner im eigenen Netzwerk erreichen, auch das sieht gut aus.
SSH zur IP eines Rechners im eigenen Netzwerk - funktioniert.

Probleme macht allerdings die Namensauflösung. Wenn ich Namen statt IP-Adressen verwende, funktioniert es nicht.

Ich vermute, man muss etwas in der ovpn config Datei anpassen, weiss aber nicht welches Feld.

Ich vermute desweiteren der Harrykl, der hier geschrieben hat, könnte dasselbe Problem haben.
 
Zuletzt bearbeitet:

fpo4711

Benutzer
Mitglied seit
26. Mai 2010
Beiträge
2.772
Punkte für Reaktionen
1
Punkte
0
Probleme macht allerdings die Namensauflösung. Wenn ich Namen statt IP-Adressen verwende, funktioniert es nicht.

Namensauflösung ohne DNS läuft über Broadcasts und die werden nicht über das VPN geleitet. Jedenfalls nicht bei der Lösung von Synology über das tun-device.

Gruß Frank
 

fpo4711

Benutzer
Mitglied seit
26. Mai 2010
Beiträge
2.772
Punkte für Reaktionen
1
Punkte
0
Und hier auch gleich noch die Lösung. Nehmen wir mal an der Router/DNS hat im Servernetz die IP 192.168.0.254 dann wäre im openvpn-script

Rich (BBCode):
/var/packages/VPNCenter/etc/openvpn/openvpn.conf

folgende Zeile zu ergänzen

Rich (BBCode):
push "dhcp-option DNS 192.168.0.254"

In meinem Fall spielt das einwandfrei zusammen mit einer Fritzbox 7570. Und natürlich Neustart des OpenVPN-Servers nicht vergessen.

Gruß Frank
 

jus7incase

Benutzer
Mitglied seit
13. Sep 2012
Beiträge
113
Punkte für Reaktionen
9
Punkte
18
Frank, gute Arbeit. Funktioniert jetzt einwandfrei.

Das hatte im Thread noch gefehlt.
 

rumknapser

Benutzer
Mitglied seit
02. Mai 2013
Beiträge
329
Punkte für Reaktionen
6
Punkte
24
Tun und Tap Devices mit Tunnelblick und der OpenVPN.App nutzen...

Frank, gute Arbeit. Funktioniert jetzt einwandfrei.
Das hatte im Thread noch gefehlt.
In der Tat! Ja, vielen Dank.
In diesem Zusammenhang möchte ich aber noch auf diesen Thread/Post hinweisen.

Dort wird erwähnt, dass TUN Devices keine Broadcasts können, welche wohl Voraussetzung für die DNS Weiterleitung sind,
und bei mir in der openvpn.conf des Servers war ein TUN eingestellt (dev tun), evtl. weil ich überfleißig mit Fremddaten aus dem Internet hantiert habe, oder originär...) anstatt eines TAP Devices, über das der Tunnel dann läuft.

Da der von Frank gepostete Eintrag
Rich (BBCode):
push "dhcp-option DNS 192.168.0.254"
hier nicht gefruchtet hat, obwohl im Logfile vom iPad dieses stand: (die .1 ist der DNS Server)
2013-08-25 20:44:32 SSL Handshake: TLSv1.0/SSL-EDH-RSA-AES-256-SHA
2013-08-25 20:44:32 Session is ACTIVE
2013-08-25 20:44:33 EVENT: GET_CONFIG
2013-08-25 20:44:33 Sending PUSH_REQUEST to server...
2013-08-25 20:44:33 OPTIONS:
0 [route] [192.168.18.0] [255.255.255.0]
1 [route] [192.168.17.0] [255.255.255.0]
2 [dhcp-option] [DNS] [192.168.18.1]
3 [route] [192.168.17.1]
4 [topology] [net30]
5 [ping] [10]
6 [ping-restart] [60]
7 [ifconfig] [192.168.17.14] [192.168.17.13]
und ich auch auf dem MAC bei verbundenen VPN meine Geräte nicht per Namen ansprechen konnte, nur mit IP, vermutete ich, dass der Push zwar durchkommt und eigentlich funktionieren müsste, aber irgendwie nicht tut... :)



Lt. dem Hinweis aus dem Thread habe ich dann in der OpenVPN Server Konfigurationsdatei /var/packages/VPNCenter/etc/openvpn/openvpn.conf dann
Rich (BBCode):
dev tun
durch
Rich (BBCode):
dev tap
ersetzt, sowie in meiner .ovpn Konfigurationsdatei von Tunnelblick (ein OpenVPN Client für den Mac) geändert und schon konnte ich meine Geräte vom Mac aus mit Namen ansprechen.

Soweit alles gut.

Leider kann IOS, also das iPad/iPhone nicht mit TAP Devices umgehen, so sagt mir die OpenVPN App.

Welche Möglichkeiten hätte ich denn nun noch, um vom Mac aus mit Tunnelblick *und* vom iPad/iPhone via OpenVPN.App auf das OpenVPN der DS zuzugreifen?
 

fpo4711

Benutzer
Mitglied seit
26. Mai 2010
Beiträge
2.772
Punkte für Reaktionen
1
Punkte
0
Hallo rumknapser,

wundert mich etwas wie deine Angaben aussehen. Standard auf der DS ist das nicht. Von der DS werden zwei Routen per push gesetzt. Eine für den Tunnel und die Zweite für das auf der Serverseite vorhandene Subnetz. Bei Dir steht aber noch eine zusätzliche Route unter 3. Den DNS per push zu übermitteln ist für eine Namensauflösung eigentlich ausreichend und das funktioniert auch mit dem tun-device.

Ein tap-device (Sofern Du nicht eines selbst erstellt hast) gibt es auf der DS gar nicht. Bei einer Anbindung per tap bräuchtest Du auch gar keine Routen da das auf einer anderen Schicht abläuft. Hier wären sogar Broadcasts möglich, ist aber nicht ohne ehrheblichen Konfigurationsaufwand zu erreichen. Und von Haus aus auf der DS gar nicht vorgesehen. Ich vermute mal das das Netz 192.168.17.0 das Tunnelsubnet. Warum dem Teilnehmer per ifconfig noch eine IP zuweisen?

Deine DS oder auch die lokalen Geräte auf der Serverseite kannst Du doch mit ihren lokalen IP's ansprechen. Da kann Dir doch die IP des Tunnels egal sein. Wenn Du die Standard-Konfiguration der DS + DNS-Option nutzt und dann immer noch Schwierigkeiten haben solltest, kann ich das gern einmal bei mir prüfen. Denke aber das sollte eigentlich problemlos laufen.

Gruß Frank
 
Zuletzt bearbeitet:

fpo4711

Benutzer
Mitglied seit
26. Mai 2010
Beiträge
2.772
Punkte für Reaktionen
1
Punkte
0
Hab mir deine Angaben noch mal angesehen und das auch mal bei mir überprüft. Ich war wohl durch deine etwas abweichenden Subnetze etwas verwirrt. Also in deine configs gehört nur device tun. Im Log von openvpn müßte wahrscheinlich eh drin stehen "connected via tun".

Bei mir klappt da auch die Namensauflösung völlig korrekt. Solltest Du eine Fritzbox als Router dran hängen haben, dann den Namen nehmen der dort angegeben ist. Kann von dem Namen der in der DS eingetragen ist abweichend sein!

Gruß Frank
 

rumknapser

Benutzer
Mitglied seit
02. Mai 2013
Beiträge
329
Punkte für Reaktionen
6
Punkte
24
Hallo Frank, danke f.d. Hilfe,
ich habe - um mit meinem speziellen Problem hier nicht den schönen informativen Thread zuzumüllen - einen neuen Thread aufgemacht.
Falls Du Zeit/lust hättest, da mal reinzuschauen, wäre ich dir sehr verbunden.
Aber ersteinmal, gute Nacht ;-)
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat