Autor
|
|
Nachricht nächster / vorheriger Thread
|
Raym Einsteiger
Registriert seit: 02.2006 Beiträge:11
| Hi,
also irgendwie bin ich doof, ich glaube ich hab mein Problem gefunden...
Also: Das erste Zertifikat nimmt der an, danach das aber nichtmehr.
Daher gehe ich mal davon aus, dass es an der index.txt liegt, dass ich keine Verbindung aufbauen kann.
Quote:
Wir erstellen ein Inhaltsverzeichnis für die Zertifikate und numerieren Sie durch, danach können wir die Zertifikate für die Clients erstellen, dazu binden wir ein CRL an unseren CA, und geben den public key den Clients.
Muss ich nu in der Datei die ganzen Zertifikate manuell reinschreiben (Wenn ja, wie?) oder wird das automatisch eingefügt?
MfG
ein ziemlich hoffnungsloser Fall Dieser Beitrag wurde zuletzt am 04.03.2006 03:10 von Raym editiert.
|
02.03.2006 11:57 | Profil >> Zitat >> IP gespeichert |
Simon Online-tutorials.net Administrator
Registriert seit: 01.1970 Wohnort:Dornbirn Beiträge:1181
| Zertifikat, OpenSSL Nein, das Zertifikat muss nicht in die index.txt, eigentlich sollte es reichen wenn du das 01 erhöhst. ------------------- http://www.online-tutorials.net/wiki/funktionsname
Für was Personal Firewalls GnuGP emails verschlüsseln C++ Tutorial Sicherheits Tutorials
|
03.03.2006 15:22 | Homepage >> >>Profil >> Zitat >> IP gespeichert |
Raym Einsteiger
Registriert seit: 02.2006 Beiträge:11
| Vielen lieben Dank Simon, dafür dass du dir bis jetzt die Mühe gemacht hast mir auf meine Dummen Fragen zu antworten
Also ich Trottel hab den Fehler bei den Zertifikaten letzten Endes doch gefunden. Doch den Fehler hier nieder zu schreiben wäre zu peinlich.
Allerdings tritt nun das nächste Problem auf, genauso wie bei Spikee kann ich den Server nicht anpingen.
Ich habe mir bereits angeschaut, ob es möglicherweise der gleiche Fehler ist wie bei Spikee, leider war das nicht der Fall.
Also Ich habe derzeitig 2 relevante Rechner im Netzwerk und einen DSL-Router.
der Router hat die IP 192.1680.1
der Debian-VPN-Server hat die IP 192.168.0.5 (10.0.0.1)
und mein Windows-Rechner die IP 192.168.0.51
Ich habe immer noch die nsaubere Methode und demnach die Zeichenkette:
push "route 192.68.0.0 255.255.255.0"
Nu habe ich die Frage:
Liegt es daran, dass ich schon in dem Netzwerk bin, warum ich 10.0.0.1 nicht anpingen kann, oder habe ich da irgendwo mal wieder nen dummen Fehler gemacht?
|
07.03.2006 14:07 | Profil >> Zitat >> IP gespeichert |
Simon Online-tutorials.net Administrator
Registriert seit: 01.1970 Wohnort:Dornbirn Beiträge:1181
|
Quote:
der Router hat die IP 192.168.0.1
der Debian-VPN-Server hat die IP 192.168.0.5 (10.0.0.1)
und mein Windows-Rechner die IP 192.168.0.51
Du testest also nur im internen Netzwerk? Dann lass <push "route 192.68.0.0 255.255.255.0"> mal weg.
kannst du mir die .conf vom Server und Client schicken? ------------------- http://www.online-tutorials.net/wiki/funktionsname
Für was Personal Firewalls GnuGP emails verschlüsseln C++ Tutorial Sicherheits Tutorials
Firefox - besser durch das Web!
|
07.03.2006 19:35 | Homepage >> >>Profil >> Zitat >> IP gespeichert |
Raym Einsteiger
Registriert seit: 02.2006 Beiträge:11
| Vielen Dank, leider hat dieser Tipp nicht funktioniert.
Ich hab nu mal einen Freund versuchen lassen auf den Server zu connecten, leider hatte er das gleiche Problem.
also server.conf:
Quote:
# Port
port 28
# TCP oder UDP?
#proto tcp-server
proto udp
mode server
tls-server
# tun oder tap?
# Das tun Device erstellt einen IP Tunnel,
# während das tap Device einen Ethernet Tunnel erstellt.
#tun or tap device
#tun is an IP tunnel
#tap an ethernet tunnel
dev tap
#Our Server IP
ifconfig 10.0.0.1 255.255.255.0
#dynamic clients from 10.0.0.2-10.0.0.254
ifconfig-pool 10.0.0.2 10.0.0.254
#Die Pakete werden auf dieser Größe gekapselt
tun-mtu 1492
#fragment 1300
mssfix
#Paths to certs
ca certs/vpn-ca.pem
cert certs/servercert.pem
key certs/serverkey.pem
#Diffie-Hellmann Parameters
dh certs/dh1024.pem
#Same IP in the next session
ifconfig-pool-persist ipp.txt
#Routes the package to the intern network, you should use iptables instead of this
#push "rout 192.168.0.0 255.255.255.0"
#Tests the connection with a ping like paket. (wait=120sec)
keepalive 10 120
#Authentication
auth SHA1
#Our encryption algorithm
#cipher aes-256-ecb
#openvpn --show-ciphers for testing
#comp
comp-lzo
#Sets new rights after the connection
user nobody
group nogroup
#We need this because of the user nobody/group nobody.
persist-key
persist-tun
#Logging 0, (testing:5)
verb 0
Client-Conf:
Quote:
client
float
dev tap
#MTU
tun-mtu 1492
#fragment 1300
mssfix
#device name, unter windows auskommentieren (# löschen)
dev-node vsn-device
#tcp oder udp
proto udp
#Server IP
remote (dynamische IP) 28
#force authentication
tls-remote server
ca certs/vpn-ca.pem
cert certs/roman_lan_cert.pem
key certs/roman_lan_key.pem
auth SHA1
#cipher aes-256-cbc
nobind
comp-lzo
persist-key
persist-tun
verb 3
Vielen lieben Dank für die Mühe, Simon
MfG
Raym Dieser Beitrag wurde zuletzt am 08.03.2006 13:42 von Raym editiert.
|
08.03.2006 13:40 | Profil >> Zitat >> IP gespeichert |
Simon Online-tutorials.net Administrator
Registriert seit: 01.1970 Wohnort:Dornbirn Beiträge:1181
| OpenVPN, nicht pingen Schaut so aus, als ob da ein Firewall dazwischen ist: http://openvpn.net/faq.html#firewall ------------------- http://www.online-tutorials.net/wiki/funktionsname
Für was Personal Firewalls GnuGP emails verschlüsseln C++ Tutorial Sicherheits Tutorials
Firefox - besser durch das Web!
|
08.03.2006 14:15 | Homepage >> >>Profil >> Zitat >> IP gespeichert |
Keywords:pinge, OpenVPN |
---|
Raym Einsteiger
Registriert seit: 02.2006 Beiträge:11
| Juhu...bei mir klappts auch endlich. Ich hab den Server nochmal formatiert und neu installiert und plötzlich kann ich den Server anpingen... :D
Vielen lieben Dank, Simon für Deine Hilfe
Edit:
Nun habe ich das gleiche Problem wie fOXY. Nämlich, dass ich zwar von Server zum Client und andersrum anpingen kann, aber nicht von Clien zu Client. Was war bei ihm das Problem?
Dieser Beitrag wurde zuletzt am 14.03.2006 22:36 von Raym editiert.
|
14.03.2006 11:44 | Profil >> Zitat >> IP gespeichert |
fOXY Einsteiger
Registriert seit: 03.2006 Beiträge:8
| Hi!
das problem von client zu client kannst du folgendermaßen beheben:
Gib einfach in der server.conf "client-to-client" ein. damit sollte es dann funktionieren.
gruß
foxy
|
16.03.2006 09:05 | Profil >> Zitat >> IP gespeichert |
Raym Einsteiger
Registriert seit: 02.2006 Beiträge:11
| Hi,
vielen lieben Dank, ich hab das nu gemacht. Mal schauen, ob es klappt.
Edit:
JUHUUU, es klappt *freu*
MfG
Raym
Dieser Beitrag wurde zuletzt am 16.03.2006 19:00 von Raym editiert.
|
16.03.2006 10:21 | Profil >> Zitat >> IP gespeichert |
maquesta Einsteiger
Registriert seit: 04.2006 Beiträge:5
| hallo leute,
hier steckt ja eine menge an geballtem wissen. da ich eher ein newbie bin bin ich davon immer sehr beeindruckt auch ich hab mich am openvpn versucht und auch erste erfolge erzielt, aber an einem punkt komme ich nicht weiter. auch ich hab es dank des guten tutorials eine verbindung herzustellen. also mein problem ist denen hier geschilderten sehr aehnlich und zuerst habe ich versucht anhand der tipps hier das problem zu loesen, aber irgendwie gehts nicht. also folgender aufbau:
heimnetz mit vpnclient (windows xp):
adressbereich: 192.168.2.xx 255.255.255.0
hinter einem nat-router mit aktiviertem DHCP
firmennetz mit vpnserver (linux debian):
adressbereich: 192.168.0.xx 255.255.255.0
das netz zwei ausgaenge ins internet einen netgear-router (192.168.0.1 standardgateway) und einen einen proxy (192.168.0.33 vpnserver).
in meinem router ist eine static route fuer den adressbereich 10.8.0.0 255.255.255.0 nach 192.168.0.33 gesetzt
die configs sehen folgender massen aus:
client
float
dev tap
tun-mtu 1492
fragment 1300
mssfix
# Der Name des tun/tap Devices in der
# Netzwerkkonfiguration.
dev-node {B7A064D8-463E-46D2-A065-2B702B9F5AB8}
proto udp
remote servername_xy 1194
# Wir erlauben nur eine Verbindung zu
# unserem Server. Wir haben bei der
# Zertifiakt Erstellung dem Server
# den Common Name server gegeben und
# erzwingen so, dass sich auch der Server
# beim Client authentifizieren muss
tls-remote server
#Autentifizierung des Clients
#auth-user-pass
ca vpn-ca.pem
cert sschwierz-vpncert.pem
key sschwierz-vpnkey.pem
auth SHA1
cipher aes-256-cbc
nobind
comp-lzo
persist-key
persist-tun
verb 3
die des servers so:
# Port
port 1194
# TCP oder UDP?
proto udp
# tun oder tap?
# Das tun Device erstellt einen IP Tunnel,
# w\xe4hrend das tap Device einen Ethernet Tunnel erstellt.
dev tun
# Die ermittelte mtu f\xfcr das tun Interface.
# Wir f\xfcgen die Optionen fragment und
# mssfix hinzu, um ein Aushandeln der
# Paketgroessen zu ermoeglichen
tun-mtu 1492
fragment 1300
mssfix
# Die Pfade zu den Keys und Zertifikaten.
# Ich kopiere die P\xe4rchen sp\xe4ter in das
# openvpn Verzeichnis, um Wirrwarr vorzubeugen.
ca /etc/openvpn/certs/vpn-ca.pem
cert /etc/openvpn/certs/servercert.pem
key /etc/openvpn/certs/serverkey.pem
# der Pfad zu den Diffie-Hellmann Parametern.
# Auch diese werde ich sp\xe4ter ins openvpn
# Verzeichnis kopieren.
dh /etc/openvpn/certs/dh1024.pem
# Durch die Angabe von server veranlassen
# wir openvpn im Servermodus zu lauern.
# Hier \xfcbergeben wir auch den Adressbereich
# und die Netzwerkmaske f\xfcr das virtuelle
# Netzwerk. Der Server wird automatisch
#auf der ersten IP lauschen - also 10.8.0.1
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "route 192.168.0.0 255.255.255.0"
keepalive 10 120
# Unsere Authentifizierungsmethode
auth SHA1
# Unsere Verschl\xfcsselungsmethode
cipher AES-256-CBC
# Wir wollen komprimierten Datenverkehr
comp-lzo
user nobody
group nogroup
persist-key
persist-tun
# F\xfcr unsere Versuche setzen wir die Geschw\xe4tzigkeit
# auf Level 3
verb 3
hab ich noch infos zum aufbau vergessen?
naja auf jeden fall bekomme ich eine verbindung auf beiden seiten ein "Initialization Sequence Completed" und auch eine meldung dass user xy an 10.8.0.6 connected ist.
was mir suspekt erscheint ist folgendes aus dem log des clients:
OpenVPN ROUTE: OpenVPN needs a gateway parameter for a --route option and no default was specified by either --route-gateway or --ifconfig options
Tue Apr 04 15:02:18 2006 OpenVPN ROUTE: failed to parse/resolve route for host/network: 192.168.0.0
Tue Apr 04 15:02:18 2006 OpenVPN ROUTE: OpenVPN needs a gateway parameter for a --route option and no default was specified by either --route-gateway or --ifconfig options
Tue Apr 04 15:02:18 2006 OpenVPN ROUTE: failed to parse/resolve route for host/network: 10.8.0.1
achso was noch zu erwaehnen waere zu testzwecken hab ich vorerst die firewall auf serverseite deaktiviert. eine huerde nach der anderen :)
ich waere wuer ratschlaege sehr dankbar.
maquesta
|
04.04.2006 16:29 | Profil >> Zitat >> IP gespeichert |
maquesta Einsteiger
Registriert seit: 04.2006 Beiträge:5
| hallo,
ich nochmal. ein kleiner nachtrag. pingen geht in beide richtungen. sowohl der client den server als auch der server den client. ich habe es noch nicht so ganz verstanden wann tap und wann tun zu nutzen ist. wenn ein dann auf beiden seiten das gleiche oder? ich bin da ein wenig unsicher was nun richtig ist, da ich auch irgendwo gelesen habe, dass wohl mit win xp wohl nur tap fehlerfrei funktioniert.
danke nochmal
maquesta
|
04.04.2006 16:40 | Profil >> Zitat >> IP gespeichert |
Simon Online-tutorials.net Administrator
Registriert seit: 01.1970 Wohnort:Dornbirn Beiträge:1181
| OpenVPN Hallo,
sorry das ich mich nicht ausführlich um dein Problem kümmern kann, ich habe bis Freitag noch ziemlich viel zu tun.
Das tun Device erstellt einen IP Tunnel, das tap benutzt Ethernet.
Auf den ersten Blick sehe ich nichts falsches. ------------------- http://www.online-tutorials.net/wiki/funktionsname
Für was Personal Firewalls GnuGP emails verschlüsseln C++ Tutorial Sicherheits Tutorials
Firefox - besser durch das Web!
|
05.04.2006 14:04 | Homepage >> >>Profil >> Zitat >> IP gespeichert |
Keywords:OpenVPN, Debian |
---|
Simon Online-tutorials.net Administrator
Registriert seit: 01.1970 Wohnort:Dornbirn Beiträge:1181
| OpenVPN Hast du mittlerweile schon was erreicht?
Ich sehe eigentlich keinen Fehler. Hast du dir schon mal überlegt das ganze mit Iptables zu realisieren? ------------------- http://www.online-tutorials.net/wiki/funktionsname
Für was Personal Firewalls GnuGP emails verschlüsseln C++ Tutorial Sicherheits Tutorials
Firefox - besser durch das Web!
|
07.04.2006 12:34 | Homepage >> >>Profil >> Zitat >> IP gespeichert |
Keywords:OpenVPN, OpenVPN ROUTE: failed to parse/resolve route for host/network |
---|
maquesta Einsteiger
Registriert seit: 04.2006 Beiträge:5
| hallo simon,
nein leider hab ich es noch nicht zum laufen bekommen. was iptables angeht muss ich die wohl eh anpassen. iptables hatten wir shon vorkonfiguriert, ich hatte die firewall nur deaktiviert zu testzwecken.
kannst du mir vielleicht ein da vielleicht paar hilfestellungen geben?
was vielleicht noch gehen wuerde waere der versuch eine bridge zu nutzen. dazu muesste ich auf meinem debian-vpnserver noch das tap-device hinzuzufügen. was meinst du?
gruss
maquesta
|
10.04.2006 09:51 | Profil >> Zitat >> IP gespeichert |
Simon Online-tutorials.net Administrator
Registriert seit: 01.1970 Wohnort:Dornbirn Beiträge:1181
| OpenVPN routing Wenn du schon ein Iptables Script hast würde ich das damit machen.
Poste das mal, dann schaue ich es mir an. ------------------- http://www.online-tutorials.net/wiki/funktionsname
Für was Personal Firewalls GnuGP emails verschlüsseln C++ Tutorial Sicherheits Tutorials
Firefox - besser durch das Web!
|
10.04.2006 17:53 | Homepage >> >>Profil >> Zitat >> IP gespeichert |
Keywords:OpenVPN, routing, iptables |
---|
maquesta Einsteiger
Registriert seit: 04.2006 Beiträge:5
| so sieht das skript aus. ich hoffe du meintest das.
danke schonmal
maquesta
#!/bin/sh
#
# firewall
#
# chkconfig: 345 85 15
# description: Firewalling functions using phpfwgen.
#
# See how we were called.
case "$1" in
start)
# Start daemons.
echo "Turning on Firewalling functions."
IPTABLES=/sbin/iptables
#finden wir mit ifconfig heraus
VPN_DEV=tun0
#VPN Netzwerk
VPN_NET=10.8.0.0/24
#internes netzwerk
INT_DEV=eth0
#Leitet alles was per Port 1194 kommt zum Internen Netz um, auf Port 1194 darf auf dem Server nichts laufen
$IPTABLES -t nat -A PREROUTING -i $VPN_DEV -p tcp --dport 1194 -j DNAT --to 192.168.2.0
#L<E4>sst alles in's VPN durch
$IPTABLES -A FORWARD -i $INT_DEV -o $VPN_DEV -s $VPN_NET -p tcp -j ACCEPT
$IPTABLES -A FORWARD -i $INT_DEV -o $VPN_DEV -s $VPN_NET -p udp -j ACCEPT
# Set up iptables modules
/sbin/modprobe ip_conntrack
/sbin/modprobe ip_conntrack_ftp
/sbin/modprobe ip_nat_ftp
/sbin/modprobe iptable_nat
#
# Install firewall rules
#
/var/lib/phpfwgen/firewall
;;
stop)
# Stop daemons.
echo "Turning off Firewalling functions."
/sbin/iptables -F INPUT
/sbin/iptables -F OUTPUT
/sbin/iptables -F FORWARD
/sbin/iptables -t nat -F PREROUTING
/sbin/iptables -t nat -F OUTPUT
/sbin/iptables -t nat -F POSTROUTING
/sbin/iptables -t mangle -F PREROUTING
/sbin/iptables -t mangle -F OUTPUT
/sbin/iptables -X
/sbin/iptables -P INPUT ACCEPT
/sbin/iptables -P OUTPUT ACCEPT
/sbin/iptables -P FORWARD ACCEPT
;;
status)
/sbin/iptables -L
;;
restart|reload)
$0 stop
$0 start
;;
*)
echo "Usage: firewall {start|stop|restart|reload|status}"
exit 1
esac
exit 0
|
10.04.2006 18:19 | Profil >> Zitat >> IP gespeichert |
|
nächster / vorheriger Thread
|