Openvpn mit Debian Server und Windows Client

Raym
Einsteiger



Registriert seit: 02.2006
Beiträge:11

Hi,
vielen lieben Dank, ich hab das nu gemacht. Mal schauen, ob es klappt.

Edit:
JUHUUU, es klappt *freu*

MfG
Raym

Dieser Beitrag wurde zuletzt am 16.03.2006 19:00 von Raym editiert.

maquesta
Einsteiger



Registriert seit: 04.2006
Beiträge:5

hallo leute,

hier steckt ja eine menge an geballtem wissen. da ich eher ein newbie bin bin ich davon immer sehr beeindruckt auch ich hab mich am openvpn versucht und auch erste erfolge erzielt, aber an einem punkt komme ich nicht weiter. auch ich hab es dank des guten tutorials eine verbindung herzustellen. also mein problem ist denen hier geschilderten sehr aehnlich und zuerst habe ich versucht anhand der tipps hier das problem zu loesen, aber irgendwie gehts nicht. also folgender aufbau:

heimnetz mit vpnclient (windows xp):

adressbereich: 192.168.2.xx 255.255.255.0
hinter einem nat-router mit aktiviertem DHCP

firmennetz mit vpnserver (linux debian):

adressbereich: 192.168.0.xx 255.255.255.0
das netz zwei ausgaenge ins internet einen netgear-router (192.168.0.1 standardgateway) und einen einen proxy (192.168.0.33 vpnserver).
in meinem router ist eine static route fuer den adressbereich 10.8.0.0 255.255.255.0 nach 192.168.0.33 gesetzt

die configs sehen folgender massen aus:

client
float
dev tap
tun-mtu 1492
fragment 1300
mssfix

# Der Name des tun/tap Devices in der
# Netzwerkkonfiguration.
dev-node {B7A064D8-463E-46D2-A065-2B702B9F5AB8}
proto udp
remote servername_xy 1194

# Wir erlauben nur eine Verbindung zu
# unserem Server. Wir haben bei der
# Zertifiakt Erstellung dem Server
# den Common Name server gegeben und
# erzwingen so, dass sich auch der Server
# beim Client authentifizieren muss
tls-remote server

#Autentifizierung des Clients
#auth-user-pass

ca vpn-ca.pem
cert sschwierz-vpncert.pem
key sschwierz-vpnkey.pem
auth SHA1
cipher aes-256-cbc
nobind
comp-lzo
persist-key
persist-tun
verb 3

die des servers so:

# Port
port 1194

# TCP oder UDP?
proto udp

# tun oder tap?
# Das tun Device erstellt einen IP Tunnel,
# w\xe4hrend das tap Device einen Ethernet Tunnel erstellt.
dev tun

# Die ermittelte mtu f\xfcr das tun Interface.
# Wir f\xfcgen die Optionen fragment und
# mssfix hinzu, um ein Aushandeln der
# Paketgroessen zu ermoeglichen

tun-mtu 1492
fragment 1300
mssfix

# Die Pfade zu den Keys und Zertifikaten.
# Ich kopiere die P\xe4rchen sp\xe4ter in das
# openvpn Verzeichnis, um Wirrwarr vorzubeugen.
ca /etc/openvpn/certs/vpn-ca.pem
cert /etc/openvpn/certs/servercert.pem
key /etc/openvpn/certs/serverkey.pem

# der Pfad zu den Diffie-Hellmann Parametern.
# Auch diese werde ich sp\xe4ter ins openvpn
# Verzeichnis kopieren.
dh /etc/openvpn/certs/dh1024.pem

# Durch die Angabe von server veranlassen
# wir openvpn im Servermodus zu lauern.
# Hier \xfcbergeben wir auch den Adressbereich
# und die Netzwerkmaske f\xfcr das virtuelle
# Netzwerk. Der Server wird automatisch
#auf der ersten IP lauschen - also 10.8.0.1
server 10.8.0.0 255.255.255.0

ifconfig-pool-persist ipp.txt


push "route 192.168.0.0 255.255.255.0"

keepalive 10 120

# Unsere Authentifizierungsmethode
auth SHA1

# Unsere Verschl\xfcsselungsmethode
cipher AES-256-CBC

# Wir wollen komprimierten Datenverkehr
comp-lzo

user nobody
group nogroup

persist-key
persist-tun

# F\xfcr unsere Versuche setzen wir die Geschw\xe4tzigkeit
# auf Level 3
verb 3


hab ich noch infos zum aufbau vergessen?

naja auf jeden fall bekomme ich eine verbindung auf beiden seiten ein "Initialization Sequence Completed" und auch eine meldung dass user xy an 10.8.0.6 connected ist.

was mir suspekt erscheint ist folgendes aus dem log des clients:
OpenVPN ROUTE: OpenVPN needs a gateway parameter for a --route option and no default was specified by either --route-gateway or --ifconfig options
Tue Apr 04 15:02:18 2006 OpenVPN ROUTE: failed to parse/resolve route for host/network: 192.168.0.0
Tue Apr 04 15:02:18 2006 OpenVPN ROUTE: OpenVPN needs a gateway parameter for a --route option and no default was specified by either --route-gateway or --ifconfig options
Tue Apr 04 15:02:18 2006 OpenVPN ROUTE: failed to parse/resolve route for host/network: 10.8.0.1

achso was noch zu erwaehnen waere zu testzwecken hab ich vorerst die firewall auf serverseite deaktiviert. eine huerde nach der anderen :)

ich waere wuer ratschlaege sehr dankbar.
maquesta

maquesta
Einsteiger



Registriert seit: 04.2006
Beiträge:5

hallo,

ich nochmal. ein kleiner nachtrag. pingen geht in beide richtungen. sowohl der client den server als auch der server den client. ich habe es noch nicht so ganz verstanden wann tap und wann tun zu nutzen ist. wenn ein dann auf beiden seiten das gleiche oder? ich bin da ein wenig unsicher was nun richtig ist, da ich auch irgendwo gelesen habe, dass wohl mit win xp wohl nur tap fehlerfrei funktioniert.

danke nochmal
maquesta

Simon
Online-tutorials.net Administrator



Registriert seit: 01.1970
Wohnort:Dornbirn
Beiträge:1181

OpenVPN
Hallo,

sorry das ich mich nicht ausführlich um dein Problem kümmern kann, ich habe bis Freitag noch ziemlich viel zu tun.

Das tun Device erstellt einen IP Tunnel, das tap benutzt Ethernet.

Auf den ersten Blick sehe ich nichts falsches.
-------------------

http://www.online-tutorials.net/wiki/funktionsname

Für was Personal Firewalls GnuGP emails verschlüsseln C++ Tutorial Sicherheits Tutorials

Simon
Online-tutorials.net Administrator



Registriert seit: 01.1970
Wohnort:Dornbirn
Beiträge:1181

OpenVPN
Hast du mittlerweile schon was erreicht?

Ich sehe eigentlich keinen Fehler. Hast du dir schon mal überlegt das ganze mit Iptables zu realisieren?
-------------------

http://www.online-tutorials.net/wiki/funktionsname

Für was Personal Firewalls GnuGP emails verschlüsseln C++ Tutorial Sicherheits Tutorials

Firefox - besser durch das Web!

maquesta
Einsteiger



Registriert seit: 04.2006
Beiträge:5

hallo simon,

nein leider hab ich es noch nicht zum laufen bekommen. was iptables angeht muss ich die wohl eh anpassen. iptables hatten wir shon vorkonfiguriert, ich hatte die firewall nur deaktiviert zu testzwecken.

kannst du mir vielleicht ein da vielleicht paar hilfestellungen geben?

was vielleicht noch gehen wuerde waere der versuch eine bridge zu nutzen. dazu muesste ich auf meinem debian-vpnserver noch das tap-device hinzuzufügen. was meinst du?

gruss
maquesta

Simon
Online-tutorials.net Administrator



Registriert seit: 01.1970
Wohnort:Dornbirn
Beiträge:1181

OpenVPN routing
Wenn du schon ein Iptables Script hast würde ich das damit machen.

Poste das mal, dann schaue ich es mir an.
-------------------

http://www.online-tutorials.net/wiki/funktionsname

Für was Personal Firewalls GnuGP emails verschlüsseln C++ Tutorial Sicherheits Tutorials

Firefox - besser durch das Web!

maquesta
Einsteiger



Registriert seit: 04.2006
Beiträge:5

so sieht das skript aus. ich hoffe du meintest das.

danke schonmal
maquesta

#!/bin/sh
#
# firewall
#
# chkconfig: 345 85 15
# description: Firewalling functions using phpfwgen.
#

# See how we were called.
case "$1" in
start)
# Start daemons.
echo "Turning on Firewalling functions."

IPTABLES=/sbin/iptables

#finden wir mit ifconfig heraus
VPN_DEV=tun0

#VPN Netzwerk
VPN_NET=10.8.0.0/24

#internes netzwerk
INT_DEV=eth0

#Leitet alles was per Port 1194 kommt zum Internen Netz um, auf Port 1194 darf auf dem Server nichts laufen
$IPTABLES -t nat -A PREROUTING -i $VPN_DEV -p tcp --dport 1194 -j DNAT --to 192.168.2.0

#L<E4>sst alles in's VPN durch
$IPTABLES -A FORWARD -i $INT_DEV -o $VPN_DEV -s $VPN_NET -p tcp -j ACCEPT
$IPTABLES -A FORWARD -i $INT_DEV -o $VPN_DEV -s $VPN_NET -p udp -j ACCEPT

# Set up iptables modules
/sbin/modprobe ip_conntrack
/sbin/modprobe ip_conntrack_ftp
/sbin/modprobe ip_nat_ftp
/sbin/modprobe iptable_nat

#
# Install firewall rules
#

/var/lib/phpfwgen/firewall

;;
stop)
# Stop daemons.
echo "Turning off Firewalling functions."
/sbin/iptables -F INPUT
/sbin/iptables -F OUTPUT
/sbin/iptables -F FORWARD
/sbin/iptables -t nat -F PREROUTING
/sbin/iptables -t nat -F OUTPUT
/sbin/iptables -t nat -F POSTROUTING
/sbin/iptables -t mangle -F PREROUTING
/sbin/iptables -t mangle -F OUTPUT
/sbin/iptables -X
/sbin/iptables -P INPUT ACCEPT
/sbin/iptables -P OUTPUT ACCEPT
/sbin/iptables -P FORWARD ACCEPT
;;

status)
/sbin/iptables -L
;;

restart|reload)
$0 stop
$0 start
;;
*)
echo "Usage: firewall {start|stop|restart|reload|status}"
exit 1
esac

exit 0

maquesta
Einsteiger



Registriert seit: 04.2006
Beiträge:5

hallo simon,

ich hab hier noch etwas. nachdem ich versucht habe im client das gateway einzustellen (ich habe das tutorial so verstanden, dass es notwendig ist) bekam ich folgende meldung.

ich habe folgenden befehl aufgefuehrt:
route add 192.168.2.0 mask 255.255.255.0 10.8.0.1 metric 1 -p

und folgende meldung erhalten:
Hinzufügen der Route fehlgeschlagen: Entweder ist der Schnittstellenindex ungültig oder das Gateway befindet sich nicht im gleichen Netzwerk wie die Schnittstelle. Überprüfen Sie die IP-Adresstabelle für diesen Rechner.

vielleicht hilft das weiter.
bin hier im moment etwas ratlos.

gruss
maquesta

Simon
Online-tutorials.net Administrator



Registriert seit: 01.1970
Wohnort:Dornbirn
Beiträge:1181

OpenVPN

Der Client ist ja schon im Netzwerk 192.168.2.0/24, da brauchst du keine Route über 10.8.0.1 zu machen.

Wenn du Pakete vom Client die ins Servernetzwerk (192.168.0.0/24) wollen über 10.8.0.1 leiten willst, dann musst du beim Client
route add 192.168.0.0 mask 255.255.255.0 10.8.0.1 metric 1 -p machen.

----------

[Client]
Netzwerk 192.168.2.0/24

10.8.0.2 [Client]
[VPN]
10.8.0.1 [Server]

[Server]
Netzwerk 192.168.0.0/24

Mit route add <Netzwerk> mask <Netzmaske> <Host> metric 1 -p wird eingestellt, das alle Pakete die ins <Netzwerk> wollen über den <Host> dorthin geleitet werden.
-------------------

http://www.online-tutorials.net/wiki/funktionsname

Für was Personal Firewalls GnuGP emails verschlüsseln C++ Tutorial Sicherheits Tutorials

Firefox - besser durch das Web!

agent00
Einsteiger



Registriert seit: 02.2009
Beiträge:15

Hallo, sorry wenn ich den threat wieder mal raufhole ;-)
Habe nen tunnel, Ping zum server geht von jedem client
client zu client nicht und server zu den clients nicht was mich leider etwas stört ... wo liegt der fehler?

Server Config

Client1

Zu dem Netzwerk Aufbau Root im rechenzentrum feste IP client 1 192.168ziger netz, client 2 hat ein 10.0. netz

wie gesagt vom client zum server geht der ping andersherum und zwischen den clients nicht.

routen am server:

Wer kann mir bitte helfen?

Gruß Agent00

glua
Online-tutorials.net Team



Registriert seit: 08.2004
Wohnort:Schwarzach
Beiträge:389

hi agent,

das sind keine routen sondern firewall-regeln :D

mach mal:
route -n
iptables -L

grüße

agent00
Einsteiger



Registriert seit: 02.2009
Beiträge:15

Ah ja meint ich doch ...

Habe mich noch nicht besonders mit dem routing auseinandergesetzt...

Hmm glaube 10.8.0.0 10.8.0.2 255.255.255.0 die sollte erweitert werden? da die clients ja 10.8.0.0 aufwärts sind ...

Nur stellt sich die frage wie setze ich nen ganzen netzwerk ?

Gruß

glua
Online-tutorials.net Team



Registriert seit: 08.2004
Wohnort:Schwarzach
Beiträge:389

aus der netzmaske dieses eintrags sieht man, dass es bereits das ganze netzwerk ist (255.255.255.0 = /24).

hast du ip_forward auch gesetzt?

setzen mit:

agent00
Einsteiger



Registriert seit: 02.2009
Beiträge:15

Da bekomme ich eine 1 als ausgabe also ist das schon gesetzt.

hmm habe doch folgendes :

kann es sein das dieser eintrag stört? da unsere tun auf 10.8.0.6 und höher laufen da dort 10.8.0.0 bis 10.8.0.2 nur erlaubt sind?

wie kann ich genau diese zeile entfernen , habe den eintrag befehl vergessen habe.

Gruß

glua
Online-tutorials.net Team



Registriert seit: 08.2004
Wohnort:Schwarzach
Beiträge:389

aus den spaltenüberschriften der ausgabe von route -n ergibt sich:

10.8.0.0 ist das netzwerk, 255.255.255.0 die netzmaske, 10.8.0.2 der router => alle pakete mit einem ziel von 10.8.0.1 - 10.8.0.254 werden an 10.8.0.2 gesendet. die zeile ist irgendwie aber total sinnlos, kA wie die dort dazu kommt.

ist die route -n ausgabe vom server oder vom client?

so.. hab mir deine config nochmals angesehen - irgendwas scheint mit deiner ip-vergabe nicht zu stimmen

kannst du die ausgabe von ip addr von clients und server hier posten?

agent00
Einsteiger



Registriert seit: 02.2009
Beiträge:15

Leider vom Server deshalb will ich die loswerden ;-)

^^ Ok so bekam ich die eine weg

OK damit bekam ich die andere weg ... jetzt tipp ich mal das ich einfach

Habe das mal gesetzt.

ip addr
Schmeißt voll den müll raus bzw. zumindest sieht die Zeile komisch aus:

Mir scheint das ein Beitrag hier doppelt ist? Sorry .

Habe noch was zum Nachtrag.
Ifconfig wirft mir z.b. dies hier raus

Irgendwie ergibt sich für mich da irgendwie keinen Sinn

Da er ja Point to Point angibt auf 10.8.0.2 was teoristisch nicht stimmen sollte... da dies ja ein ganzes Netzwerk sein sollte :-/

*edit*

So habe mal den openvpn so gestartet:

folgendes ist dabei rausgekommen:

Nun die Frage wie bekomme ich die einstellungen sauber hin? der baut mir ein echt komischen Tunnel Automatisch zusammen ohne das je in die conf eingetragen zu haben. Wenn jemand nen tipp hat oder vieleicht sich mal die conf genauer betrachten würde. Würde mich freuen wenn das endlich mal klappen würde.

Gruß

Dieser Beitrag wurde zuletzt am 26.02.2009 21:09 von agent00 editiert.

glua
Online-tutorials.net Team



Registriert seit: 08.2004
Wohnort:Schwarzach
Beiträge:389

wieso verwendest du kein tap-device? und wieso fehlt der eintrag 'tls-server' in deiner server-config?

agent00
Einsteiger



Registriert seit: 02.2009
Beiträge:15

Hallo Glua,

hmm würd ich ja nur kenne den zusammenhang zwischen TUN und TAP nicht, *editiert*. Aber in der Firma (ist schon einiges her) hatten wir auch nen einfaches TUN Device und konnte Pingen egal welche Richtung welcher Client.

Irgendwie sehe ich da zur Zeit nimmer durch, sollte mir glaub mal wieder was zu lesen Kaufen. Achja tls-server steht in der server.conf drinne nur habe ich das nicht mit Übertragen.

Wie sollte nach deiner Meinung die Server.conf aussehen? soll ich mal die Conf von diesem TUT benutzen? Dann hätte ich noch eine Frage wie kann ich den Openvpn was vergessen lassen, z.b. alte configs die mit openvpn --config /blah/blupp/server.conf hinzugefügt wurden? "ohne mit der Brechstange ala apt-get --purge remove openvpn vorzugehen"



Gruß

Hallo Glua ich muß nochmal editieren ^^ könntest du bitte beim nächsten mal etwas lauter mit dem Zaunpfahl winken? Habe auf TAP umgestellt und siehe da es klappert. So ist das halt wenn man alt wird und die grauen Zellen etwas länger brauchen. *fg* zum glück war das kein Firmenauftrag sondern ne kleine Spielerei meinerseits .... Jetzt kannste mich ne runde mit Wi****tasten bewerfen ....

Nochmal danke für den Support , ich glaub ich schaue mal öfters rein.

Gruß

Ps. : Nach dem Kauf von O'Reilly's Ebook Openvpn kurz & gut fällt mir das wie Schuppen von den Augen ...

Also TUN Device ist Hauptsächlich für Peer to Peer Verbindungen, sprich ip1 zu ip2 .

Und das TAP Device ist für Verbindungen von meheren Netzwerken, Sprich z.b. LAN1: 192.168.0.0/24 zu LAN2: 192.168.100.0/24 und ggf. zu LAN3:10.1.0.0/24 etc. pp.

So ich hoffe das ist soweit jetzt sauber erklärt

Dieser Beitrag wurde zuletzt am 28.02.2009 22:35 von agent00 editiert.