Routing für OpenVPN

[jahlives]

Die Konfig habe ich mir schon mehrfach vorgenommen und soweit eigentlich keine Fehler sehen.
Aber ihr habt es so gewollt hier also Config

webserver> cat /opt/etc/openvpn/openvpn.conf
port 1194
proto udp
dev tun

ca /opt/etc/openvpn/easy-rsa/keys/ca.crt
cert /opt/etc/openvpn/easy-rsa/keys/server.crt
key /opt/etc/openvpn/easy-rsa/keys/server.key
dh /opt/etc/openvpn/easy-rsa/keys/dh1024.pem

server 192.168.254.0 255.255.255.0
ifconfig-pool-persist ipp.txt

client-to-client
push "route 192.168.200.0 255.255.255.0"
push "dhcp-option DNS 192.168.200.4"
push "redirect-gateway"
keepalive 10 120
comp-lzo
persist-key
persist-tun
status openvpn-status.log
verb 10
daemon

Und noch "tun"

webserver> ls -al /dev/net/tun
crw-r--r-- 1 root root 10, 200 Sep 21 11:34 /dev/net/tun

Danke für eure Hilfe + Gruss

tobi

 

[ubuntulinux]

Hi Tobi. Sind die Keys auch wirklich dort?

gruss patrick

 

[jahlives]

Hi Tobi. Sind die Keys auch wirklich dort?

gruss patrick

Ja, das gäbe sonst Fehler die ich mittels grep vpn | grep error hätte sehen müssen.
Firewall und Co sind deaktiviert. Das gleiche exit auch wenn ich das Kommando für openvpn direkt auf der Konsole mache.
Auch das Startscript schau für mich eigentlich gut aus

webserver> cat /opt/etc/init.d/S20openvpn
#!/bin/sh
#
# Startup script for openvpn as standalone server
#

# Make sure IP forwarding is enabled
echo 1 > /proc/sys/net/ipv4/ip_forward

# Make device if not present (not devfs)
if ( [ ! -c /dev/net/tun ] ) then
  # Make /dev/net directory if needed
  if ( [ ! -d /dev/net ] ) then
        mkdir -m 755 /dev/net
  fi
  mknod /dev/net/tun c 10 200
fi

# Make sure the tunnel driver is loaded
if ( !(lsmod | grep -q "^tun") ); then
        insmod /lib/modules/tun.ko
fi

# I you want a standalone server (not xinetd), comment out the return statement below
#return 0


## This is for standalone servers only!!!!
# Kill old server if still there
if [ -n "`pidof openvpn`" ]; then
    /bin/killall openvpn 2>/dev/null
fi

# Start afresh - add as many daemons as you want
/opt/sbin/openvpn --daemon --cd /opt/etc/openvpn --config openvpn.conf

Mir gehen die Ideen ech langsam aus
Kann das am tun Modul liegen? Kann man das irgendwie "entbinden" und erneut laden?

Gruss

tobi

 

[ubuntulinux]

OpenVPN hat teilweise recht komische Meldungen. Bei mir hat mal ein Zertifikat gefehlt und er hat irgendwelche andere Meldungen gebracht.

Versuch halt mal reboot


gruss patrick

 

[jahlives]

Versuch halt mal reboot

Das habe ich seit gestern bereits sicher über 10x gemacht. Die letzten viermal bei meinen heutigen Probierereien mit openvpn auf der DS109+
Aber weil's du bist mach ich jetzt gerade nochmal einen reboot Kann dir aber das Resultat voraussagen

 

[goetz]

Hallo,

rmmod tun
insmod /lib/<weiterer Pfad zum Kernelmodul>/tun.ko

ipkg tun sollte nach dem update eigentlich nicht mehr funktionieren wegen Kernelversion.

Gruß Götz

 

[jahlives]

Hallo,

rmmod tun
insmod /lib/<weiterer Pfad zum Kernelmodul>/tun.ko

ipkg tun sollte nach dem update eigentlich nicht mehr funktionieren wegen Kernelversion.

Gruß Götz

@goetz
habe ich jetzt mal probiert, nur um sicher zu gehen, dass da nicht irgendeine alte Version eingebunden ist. Nach dem insmod /lib/modules/tun.ko veränderte sich leider gar nichts mit dem "sudden death" des openvpn bei mir.
Kann es sein, dass es bei einer 109+ einfach ned geht mit OpenVPN?

Gruss nach Bärlin

tobi

 

[jahlives]

@ubuntulinux
Im Zuge der Experimente auf der 109 bin ich drauf gekommen warum OpenVPN bei mir auf der 107+ so viel lahmer lief als IPSec. Ich hatte das Logging noch voll hochgedreht und dat vergessen
Jetzt habe ich response Zeiten von nur noch 8ms. was dann doch fast gleich schnell ist wie via ipsec. Aber nur fast
Trotzdem jetzt flutscht es via OpenVPN ebenfalls wie Sau und darum ist mir dat nun egal, dass OpenVPN einfach ned laufen will auf der 109-er.

Danke an alle
Gruss

tobi

 

[goetz]

dem Bär gehen auch so langsam die Optionen aus. Aber ein Versuch wäre die ganzen push Sachen mal auszukommentieren.

Gruß Götz

 

[jahlives]

Aber ein Versuch wäre die ganzen push Sachen mal auszukommentieren.

Diese Anweisungen funzen aber auf der 107-er sauber. Also müssten die wohl OpenVPN-konform ein. Auch müsste so was doch irgendwelche verdächtigen Logmeldungen erzeugen, wenn irgendwelche Parameter falsch wären oder nicht verstanden würden
Aber wie gesagt et lüft jetzt auf der 107+ genügend schnell und von dem her werde ich das mal lassen. Die Sache mit dem Loglevel hat das Kistchen echt in die Knie gezwungen, von dem her works as designed
Irgendwann versuch ich mich mal wieder daran, aber für den Moment bin ich von der OpenVPN Leistung via 107+ angenehm überrascht und vollends zufrieden. So solls sein, das kleine Teil mag echt einiges wegstecken.

Gruss und pass vor'm Jäger auf du Bär (also nie nach Bayern, sonst wirste an der Grenze prophylaktisch erschossen)

tobi

 

[goetz]

ja, ja die sind konform aber das exiting kommt genau vor diesen Routingeinträgen, einfach nur Neugier.
Bis jetzt konnte ich mich immer gut tarnen, muß ja einmal im Jahr über den Weißwurstequator wenn es gen Ösiland zum Moppedfahren geht.

Gruß Götz

 

[jahlives]

ja, ja die sind konform aber das exiting kommt genau vor diesen Routingeinträgen, einfach nur Neugier.

Wenn ich diese Routing Einträge rausnehme dann sehen die letzten Wort vor dem Abnippeln des OpenVPN so aus

Oct  5 00:26:05 webserver openvpn[4145]: OpenVPN 2.1.3 powerpc-linux-gnuspe [SSL] [LZO2] [EPOLL] built on Aug 31 2010
Oct  5 00:26:05 webserver openvpn[4145]: NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
Oct  5 00:26:05 webserver openvpn[4145]: Diffie-Hellman initialized with 1024 bit key
Oct  5 00:26:05 webserver openvpn[4145]: Exiting

Die Sache mit --script-security habe ich auch schon probiert. An oder aus openvpn stirbt immer

Gruss

tobi

 

[goetz]

strange, das ist dann immer kurz vor dem tun öffnen

Mon Oct  4 21:24:10 2010 us=655868 Diffie-Hellman initialized with 1024 bit key
Mon Oct  4 21:24:10 2010 us=662818 PRNG init md=SHA1 size=36
Mon Oct  4 21:24:10 2010 us=663156 MTU DYNAMIC mtu=0, flags=1, 0 -> 138
Mon Oct  4 21:24:10 2010 us=663318 TLS-Auth MTU parms [ L:1542 D:138 EF:38 EB:0 ET:0 EL:0 ]
Mon Oct  4 21:24:10 2010 us=663437 MTU DYNAMIC mtu=1450, flags=2, 1542 -> 1450
Mon Oct  4 21:24:10 2010 us=663717 Socket Buffers: R=[103424->131072] S=[103424->131072]
Mon Oct  4 21:24:10 2010 us=664257 GDG: route[1] 192.168.1.0/255.255.255.0/0.0.0.0 m=0
Mon Oct  4 21:24:10 2010 us=664581 GDG: route[2] 0.0.0.0/0.0.0.0/192.168.1.1 m=0
Mon Oct  4 21:24:10 2010 us=664806 GDG: best=192.168.1.1[2] lm=0
Mon Oct  4 21:24:10 2010 us=665356 GDG: route[1] 192.168.1.0/255.255.255.0/0.0.0.0 m=0
Mon Oct  4 21:24:10 2010 us=665575 GDG: route[2] 0.0.0.0/0.0.0.0/192.168.1.1 m=0
Mon Oct  4 21:24:10 2010 us=665787 GDG: best=192.168.1.1[2] lm=0
Mon Oct  4 21:24:10 2010 us=665983 ROUTE default_gateway=192.168.1.1
Mon Oct  4 21:24:10 2010 us=686460 TUN/TAP device tun0 opened
Mon Oct  4 21:24:10 2010 us=686699 TUN/TAP TX queue length set to 100
Mon Oct  4 21:24:10 2010 us=687095 /sbin/ifconfig tun0 10.8.0.1 pointopoint 10.8.0.2 mtu 1500

einen Reim kann ich mir aber auch nicht darauf machen

Gruß Götz

 

[jahlives]

]einen Reim kann ich mir aber auch nicht darauf machen

Mein Bauchgefühl tippt auf das tun.ko
Ich frag mal Syno an ob die was wissen.

Gruss

tobi

 

[goetz]

Mein Bauchgefühl tippt auf das tun.ko

dem kann ich wohlwollend zustimmen

Gute Nacht
Götz

 

[jahlives]

Gerade ne Spur gefunden geht Richtung tun. Das wird spät (früh) werden

 

[jahlives]

Die Spur war nichts wert und spät ist es doch geworden
Ich hatte bei einem modprobe gesehen, dass irgendwie immer auf /opt gegangen wird. Drum habe ich erst gedacht ich hätte trotzdem ipkg tun.ko benutzt. Es war aber nur das ipkg modprobe Kommando. Mit /bin/modprobe kam diese Fehlermeldung nicht mehr und trotzdem startet OpenVPN ned.
Kann einer unserer vielen User bestätigen, dass bei ihm/ihr OpenVPN auf einer DS109+ läuft?

Danke + Gruss

tobi

 

[jahlives]

Jipidee

Yes jetzt funzt OpenVPN auch auf der 109+. Bin aber durch echten Zufall auf den Grund gestossen:
Im File syslog wurde eine Zeile mehr geloggt vor dem exit als im messages. Da wurde das Fehlen des ta.key mokiert. Also im keys Verzeichnis erstellt. Dann kam in syslog die Meldung "cannot bind address already in use" vor dem exit. Also geguckt welcher Schweinepriester sich bei mir den UDP Port 1194 krallt. Dat war xinetd, welcher noch eine openvpn conf hatte. Abgeschossen und OpenVPN ist durchgestartet
Komisch finde ich, dass das bind Problem nicht in messages sondern nur in syslog zu finden war. Zusammenfassend: Das Problem war xinetd mit einer aktiven openvpn Konfig (also immer mal mit netstat prüfen ob ein Port bereits belegt ist).
Das ta.key File war nicht entscheidend, denn das habe ich erst im Verlauf meiner Tests mal in die Konfig eingebaut. Gemäss Manual sollte man aber unbedingt eines haben. Damit kann man z.B. UDP Flodding auf Port 1194 wirksam unterbinden

• DoS attacks or port flooding on the OpenVPN UDP port.
• Port scanning to determine which server UDP ports are in a listening state.
• Buffer overflow vulnerabilities in the SSL/TLS implementation.
• SSL/TLS handshake initiations from unauthorized machines (while such handshakes would ultimately fail to authenticate, tls-auth can cut them off at a much earlier point)

Ein

[B][B][FONT=monospace]
[/FONT][/B][/B]openvpn --genkey --secret ta.key

erstellt diesen Key, welchen man in die Konfigs übernehmen kann

#Sever
tls-auth /opt/etc/openvpn/easy-rsa/keys/ta.key 0

#Client
tls-auth /pfad/zum/key/ta.key 1

Nochmals danke an Euch beide. Im Zuge dieses Threads habe ich wiedermal einiges gelernt

Gruss

tobi

 

[jahlives]

Mit dem ta.key macht die Ds109+ noch Stress, gibt immer einen HMAC missmatch in den Logs (muss mal noch raufinden warum das so ist)
Ohne den ta.key funzt es jedoch mit der DS109+ sauber und wirklich nochmals ein Quäntchen schneller

 

[jahlives]

Ich habe echt alle Tipps im Internet durch bezüglich des ta.key. Könnte mal jemand bei dem OpenVPN läuft probieren ob er/sie es auch mit einem ta.key zum laufen kriegt?

openvpn --genkey --secret /opt/etc/openvpn/easy-rsa/keys/ta.key

diesen Schlüssel ebenfalls auf den Client kopieren.
In der Server Konf

auth-tls /opt/etc/openvpn/easy-rsa/keys/ta.key 0

und auf dem Client den entsprechenden Pfad mit einer 1 hintendrann

Danke vielmals
Gruss

tobi