Routing für OpenVPN

[goetz]

Hallo,

auth-tls /opt/etc/openvpn/easy-rsa/keys/ta.key 0

wenn man es andreasrum schreibt klappts auch mit ta, aber das hast Du sicher richtig der Konfig, sonst startet openvpn ja gar nicht erst.
Erster Test DS-106: funktioniert problemlos, ohne meckern.
DS-107+ folgt.

Gruß Götz

 

[goetz]

DS-107+ ebenfalls sauber. Allerdings bei beiden verb 3.

Gruß Götz

 

[jahlives]

Ich habe es jetzt mal mit einem Linux Client probiert und flutsch hat es auch mit ta.key geklappt. Allerdings hat der Client erstmal wegen Gruppenrechten auf den Keyfiles gemotzt. Danach hat es dann aber geklappt.
Also weiss ich jetzt sicher, dass es an Windows liegen muss. Der Server funzt sauber.
Ich guck mir jetzt mal mein Windows etwas genauer an

Gruss

tobi

 

[goetz]

Hi Tobi,
habe hier ne recht alte Version am laufen 2.09, WinXP mit OpenVPN GUI v1.0.3. War ein vorkonfiguriertes Paket für den VPN-Zugang zur Uni, da hab ich einfach nur die Konfigurationen für die DSen zugefügt.

Gruß Götz

 

[jahlives]

@goetz und alle die hier noch mitlesen

Die Sache mit dem ta.key unter Windows funzt mit dem Community OpenVPN Client, wie du (goetz) ihn auch verwendest, wunderbar. Ich hatte es immer mit dem "offiziellen" Windows Client versucht. Allerdings musste ich die Schlüsselfiles mit dem Community-Client in das Installationsverzeichnis des OpenVPN Clients schieben (config-Verzeichnis).

Könnte also sein, dass der ta.key am anderen Ort vom offiziellen Client irgendwie ignoriert wurde. Wobei mir die Serverlogs gezeigt haben, dass ein key verwendet worden sein muss. Denn ganz ohne key (seitens des Clients) kommen andere Fehlermeldungen in die Serverlogs.

Vielleicht also einer der vielen undokumentierten Windows Bugs (äh sorry Features)

Gruss

tobi

 

[ubuntulinux]

Was ist für dich der offizielle client? Ich sehe nur den Access Server Client und den Community client (den verwende ich)


gruss ubuntulinux

 

[jahlives]

Mit "offiziell" meinte ich den http://swupdate.openvpn.net/downloads/openvpn-client.msi
Habe gerade gesehen, dass es noch einen aktuelleren Community Client gibt mit OpenVPN 2.1.x-Support. Damit ist es möglich den Server im subnet Modus laufen zu lassen. Clients mit OpenVPN < 2.1 kennen subnet leider nicht und ignorieren die entsprechende push topology-Anweisung des Servers. Hat mich einige Zeit gekostet um das rauszukriegen
Per default läuft der Server gemäss Manual bei OpenVPN 2.0.x im net30 Modus und vergibt jedem Client wie es scheint ein eigene Subnetzmaske. Das führte gemäss Client Log zu einem Konflikt mit der gepushten Route und deren Netzwerkmaske 255.255.255.0. Verbindungen klappten zwar problemlos, allerdings hatte ich immer die Konfliktwarnung in den Logs des Clients. Diese Meldungen sind im subnet Mode mit OpenVPN 2.1.3 nun nicht mehr vorhanden.

Und wiedermal gelernt immer fleissig die aktuellsten Versionen zu verwenden

Gruss

tobi

 

[ubuntulinux]

Kann dieser Client überhaupt mit Zertifikaten einloggen? Ist eigendlich für den access server.

 

[jahlives]

Kann dieser Client überhaupt mit Zertifikaten einloggen? Ist eigendlich für den access server.

Meinst du den http://swupdate.openvpn.net/download...vpn-client.msi? Damit konnte ich mich mittels Zertifikaten problemlos einloggen, einzig die Geschichte mit ta.key hat ned gefunzt

 

[amarthius]

Ich nutze mittlerweile auch OpenVPN, allerdings auf meinem Router mit DD-WRT Firmware. Von der Uni kann ich mich verbinden. Doch an manchen Stellen haperts noch.

1. Was komischerweise nicht funktioniert ist das ich meine DS automatisch im Finder unter "Server" sehe. Shares mounten manuell funktioniert. Weiß jemand Rat?

2. Auf meinen Router kann ich mich einloggen, nicht aber auf den DSM der DS? Ich muss doch keine Ports mehr freigeben oder? Die Uni kann doch, nach meinem Verständnis, auch nichts blocken, da es ja verschlüsselt über VPN läuft?

Iptables hatte ich hinzugefügt, damit ich mich trotz aktiver SPI Firewall verbinden kann.

iptables -I INPUT 1 -p tcp --dport 1194 -j ACCEPT
iptables -I INPUT 1 -p udp --dport 1194 -j ACCEPT
iptables -I FORWARD 1 --source 172.16.2.0/24 -j ACCEPT

Selbst, wenn ich die Firewall ausschalte habe ich obige Probleme.

 

[ubuntulinux]

Hi,

Ich sehe meine DS'en auch nicht in der Netzwerkumgebung von Windows. Das stört mich aber nicht weiter.

Das ist komisch. Du musst keine Ports freigeben. Wenn VPN funktioniert, kann die UNI natürlich nichts blocken



gruss
ubuntulinux

 

[amarthius]

Hi,

Ich sehe meine DS'en auch nicht in der Netzwerkumgebung von Windows. Das stört mich aber nicht weiter.

Das ist komisch. Du musst keine Ports freigeben. Wenn VPN funktioniert, kann die UNI natürlich nichts blocken



gruss
ubuntulinux

So den DSM kann ich nun aufrufen, ohne das ich etwas geändert habe

Allerdings surfe ich nicht über meine IP Zuhause, sondern bekomme nur die IP meiner Uni angezeigt. Muss ich im Firefox noch was einstellen, dass es ausschließlich über mein VPN geht?

 

[ubuntulinux]

openvpn Client als Admin gestartet? (Vista/7?)

was gibt ein tracert auf google.ch?



Eigendlich sollte alles gehen, wenn Du die statische Route im Router eingetragen hast und die Routen auch auf dem Client angelegt wurden (macht der client)


gruss patrick

 

[amarthius]

So nun funktioniert es. Leider weiß ich nicht wo der Fehler lag oder ob es wirklich einen von mir produzierten gab.

Nachdem ich die Route gelöscht und neu hinzugefügt hatte, lief gar nichts mehr.
In der Zwischenzeit hatte ich mich Mangels Zeit nicht mehr darum gekümmert und nur ein DD-WRT Update und ein Update für meinen VPN Client auf dem Mac installiert. Heute habe ich es getestet und sie da es funktioniert ohne eine Änderung

 

[Tribun]

. . und sie da es funktioniert ohne eine Änderung

. . . erledigen durch Liegenlassen!
Das Beste, was passieren kann.

Tribun

 

[amarthius]

Gleichzeitig auch das Schlimmste.

Erkläre mal einem Laien warum es jetzt funktioniert. Oder wenn du es wieder Neu einrichten mußt.

Ich hasse sowas

 

[Tribun]

Gleichzeitig auch das Schlimmste.

Erkläre mal einem Laien warum es jetzt funktioniert. Oder wenn du es wieder Neu einrichten mußt.

Ich hasse sowas

. . . bei Frauen sind das Kopfschmerzen . .
. . . und verstehst du das immer?

Diese sporadischen nicht reproduzierbaren Fehler mag ich auch (absolut) nicht, sind aber wie das richtige Leben.

. . . oft tragisch (und enden immer tödlich).

Tribun

 

[janus]

Ops, veraltet, daher gelöscht.

Gruß

Janus

 

[Kauabunga]

Auch Erreichbarkeitsprobleme

Hallo!
Seit gestern hab ich auch OpenVPN auf meiner DS109 am laufen.
Installiert nach Anleitung von ubuntulinux. Danke, Top!
(Bei DSM3.1 braucht man die Tun Sachen nimmer machen. Geht erst ab Ipv4forwarding los)

Ich kann mich auch vom Geschäft aus verbinden
Ping und Samba auf DS (192.168.0.10) funktioniert.

Allerdings kann ich nicht den Router oder sonst was anpingen. Internet Verbindung geht auch nicht (denk wegen dem redirect-gateway)

Meine Vermutung ist,nachdem ich hier alles gelesen habe, dass die Route im Router nicht passt, bzw. gar nicht intern funktioniert.
Ich habe mal ein Screenshot angehängt. Ich kann nur WAN(mitIP) und WAN Physikalischer Port einstellen. Versteh ich das richtig, dass mein Router einfach dazu nicht taugt?

Hier auch mal meiner Server.conf

DS109> cat openvpn.conf
port 1194
proto udp
dev tun

ca /opt/etc/openvpn/easy-rsa/keys/ca.crt
cert /opt/etc/openvpn/easy-rsa/keys/server.crt
key /opt/etc/openvpn/easy-rsa/keys/server.key
dh /opt/etc/openvpn/easy-rsa/keys/dh1024.pem

server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt

client-to-client
#Hier die Route des lokalen Netzes eintragen (meist 192.168.0.0 oder 192.168.1.1)
push "route 192.168.0.0 255.255.255.0"
#Hier einen DNS eintragen (zB IP des Routers oder 62.2.24.162 (cablecom dns))
push "dhcp-option DNS 192.168.0.1"
#push "redirect-gateway"

keepalive 10 120
comp-lzo

persist-key
persist-tun
status openvpn-status.log

verb 3
daemon

push "redirect-gateway" hab ich grad eben deaktiviert, weil ich nicht will, dass das internet auch durch das VPN geht, es soll das normale aus dem Geschäft benutzt werden, Passt so, oder? Kann ich erst morgen Testen.


Was anders noch:
Versteh ich das richtig: Wenn einer die Zertifikate von meinem Laptop mopst, dann kann der ohne Problem mit meinem VPN verbinden?
Ich kenne von der "SonicWALL SSL-VPN NetExtender", dass man erst ein Passwort eingeben muss. Geht das mit OpenVpn auch?

Sorry, war bisher nur Anwender in der VPN Sache. Zu 100% hab ich den Ablauf noch nicht geschnallt...

Gruß
Ralf

 

[jahlives]

Mit dem DLink gehts ned, der kann keine Routing Tabelle welche du ändern kannst am LAN. Setz die Routen auf allen Clients, dann gehts. mach ich bei mir auch so.
@amarthius
Netzwerkumgebung geht nicht via tun. Da bräuchtest du den Bridge Mode dazu. Verbinden und zugreifen auf Shares geht problemlos, aber in der Netzwerkumgebung wirst du die Clients niemals sehen solange OpenVPN im tun Modus läuft.
auf den DSM solltest du jedoch problemlos zugreifen können. Wahrscheinlich stimmt was mit den Routen ned. ausser du hast irgendeine Firwallregel definiert. Soviel ich weiss werden manuelle Regeln hintenangefügt. Könnte also sein, dass du im DSM eine Regel hast die Port 5000/5001 einschränkt resp für das OpenVPN nicht erlaubt