Tim77
Einsteiger
Registriert seit: 02.2009
Beiträge:3
| Probleme beim Versuchsaufbau von Openvpn und VMware
Hallo Leute,
Ich bin neu hier im Forum und bin über das Tutorial www.online-tutorials.net/security/openvpn-tutorial/tutorials-t-69-2... darauf gestoßen.
Also nun zu meinem Problem.
Ich bin dabei einen Versuchsaufbau eines VPN-Netzes auf einer VM zu erstellen. Dabei nutze ich als Serverbetriebssystem Debian Etch und als
Client hab ich einmal ein Win XP installiert.
Nun zu den Netzwerkparametern:
Lan-Adapter:
Debian: IP: 192.168.168.251
Subnm: /24
Win XP: IP: 192.168.168.28
Subnm: /24
Wenn ich die gesamte VPN-Problematik richtig verstanden habe, wird
ein Tun/Tap-Adapter bei Openvpn erstellt, der dann sogesehen, dass
interne Netz (also das gesicherte) darstellt.
dazu möchte ich, dass beim Debian-Server, das Tap-Device die IP: 10.0.0.1 bekommt und IP-Adressen an die Clients von z.B: 10.0.0.2 - 10.0.0.254 verteilt.
Soweit so gut. Also ich habe mich strickt an die Anleitung aus den Tutorials www.online-tutorials.net/security/openvpn-tutorial/tutorials-t-69-2... und www.online-tutorials.net/security/openssl-tutorial/tutorials-t-69-2...
gehalten (nur um meine Einstellungen ergänzt).
Ich habe ordnungsgemäß die Zertifikate erstellt und openvpn auf
Server und Client installiert.
Meine "server.conf" sieht wiefolgt aus:
Code:
# Port
port 1194
# TCP oder UDP?
#proto tcp-server
proto udp
mode server
tls-server
# tun oder tap?
# Das tun Device erstellt einen IP Tunnel,
# während das tap Device einen Ethernet Tunnel erstellt.
#tun or tap device
#tun is an IP tunnel,
#tap an ethernet tunnel
dev tap
#Our Server IP
ifconfig 10.0.0.1 255.255.255.0
#dynamic clients from 10.0.0.2-10.0.0.254
ifconfig-pool 10.0.0.2 10.0.0.254
#Die pakete werden auf dieser größe gekapselt
tun-mtu 1500
#fragment 1300
mssfix
#Paths to the certs
ca certs/vpn-ca.pem
cert certs/servercert.pem
key certs/serverkey.pem
#Clients können miteinander kommunizieren
#client-to-client
#Diffie-Hellmann Parameters
dh certs/dh1024.pem
#Same Ip in the next session
ifconfig-pool-persist ipp.txt
#Routes the packages to the intern network, you should use iptables instead of this
#push "route 192.168.168.0 255.255.255.0"
#push "route-gateway 10.0.0.1 255.255.255.0"
#Tests the connection with a ping like paket. (wait=120sec)
keepalive 10 120
#Authenication
auth SHA1
#Our encryption algorithm
#cipher aes-256-ecb
#openvpn --show-ciphers for testing
#comp
comp-lzo
#Sets new rights after the connection
user nobody
group nogroup
#We need this because of user nobody/group nobody.
persist-key
persist-tun
#Logging 0, (testing:5)
verb 0
und meine "client.ovpn":
Code:
client
float
dev tap
#MTU
tun-mtu 1500
#fragment 1300
mssfix
#device name, unter linux nicht mehr auskommentieren (# löschen)
#dev-node vsn-device
#tcp oder udp
proto udp
#Server IP
remote 192.168.168.251 1194
#force authentication
#WICHTIG: hier den COMMON Name vom Server Zertifikat nehmen!
tls-remote server
ca vpn-ca.pem
cert simon_lan_cert.pem
key simon_lan_key.pem
auth SHA1
#cipher aes-256-cbc
nobind
comp-lzo
persist-key
persist-tun
verb 0
# Nach dem Verbindungsaufbau wird eine Route zum lokalen Netz vom Server aus aufgebaut
# AUSKOMMENTIERT
# Beispiel: Subnetz 192.168.2.0/24
#route 192.168.168.0 255.255.255.0
# Default route ueber VPN
# AUSKOMMENTIERT
#route remote_host 255.255.255.255 net_gateway
#route 0.0.0.0 0.0.0.0 vpn_gateway
Nach meiner Einschätzung kann auf Routing verzichtet werden, da ich durch den Versuchsaufbau sowieso mich im selben Subnetz befinde.
Und nun zu meinem Problem(en):
Wenn ich mittels "ifconfig" nachschaue, sehe ich, dass das Tap-Device auf dem Server eingerichtet ist und ich dieses vom Server aus auch anpingen kann. Auf dem Client (WinXP) ist das Tap-Device auch vorhanden und Openvpn hat auch zuerwartender Weise ein Symbol unten in die Symbolleiste erstellt. Wenn ich nun über --> Rechtsklick --> Connect verbinden will öffnet sich ein Fenster mit folg. Meldung:
Code:
Wed Feb 11 10:01:14 2009 IMPORTANT: OpenVPN's default port number is now 1194, based on an official port number assignment by IANA. OpenVPN 2.0-beta16 and earlier used 5000 as the default port.
Da es sich ja nur um ein IMPORTANT handelt, habe ich dem erst einmal nicht allzuviel Bedeutung beibemessen. Aber Frage trotzdem:
Selbst wenn ich den Port in der server.conf und client.ovpn auf 5000
umstelle und den Serverdienst neustarte und mich erneut verbinde, kommt die Meldung dennoch wieder???? Ist das nur als Hinweis zu verstehen, oder wie bekommt man dies weg?
Aber nun zu einem viel wichtigerem Problem: Wenn ich wiegesagt mich über die Client-GUI anmelde am Server, verteilt dieser ordnungsgemäß
die IP-Adresse. In meinem Fall ist das z.B. die 10.0.0.2 /24, so wie
ich es in der server.conf konfiguriert habe. Aber zum einen wechselt
das Openvpn-Symbol in der Symbolleiste nicht auf Grün, sondern bleibt
Gelb und zum anderen steht im Client (ipconfig/all) als DHCP-Server- eintrag die 10.0.0.0. Aber mein Server hat doch die 10.0.0.1. Und ich glaube kaum, dass dort die Angabe des Subnetzes erfolgt.
Ja und zum anderen kann ich ab dem Moment der Einwahl vom Client aus weder den Server über 10.0.0.1, noch über seine Lan-IP 192.168.168.251 oder irgendeine andere IP-im Lan-Netz anpingen.
Das ging vor der Einwahl mit Openvpn tatellos.
Beim Server ist es änhlich, dort funktioniert der Ping zum Client auch nicht, ins lokale Netz jedoch noch.
Und nur die eigenen PINGs wenn sich Server und Client selber anpingen
funktiert noch.
Was mache ich falsch? Liegt das vielleicht doch an Routing-einstellungen. Aber wenn ja Warum und wie muss ich diese setzen.
Achso zum Schluss: Da es sich ja lediglich um einen Versuchsaufbau handelt, fällt eine Firewall auf Client und Server weg, denn dort sind
jeweils keine installiert.
Vielleicht gibt es jem., der sich mein langes Thema durchliest und mir entspr. helfen kann.
Vielen Dank breits im Vorraus...
|
glua
Online-tutorials.net Team
Registriert seit: 08.2004
Wohnort:Schwarzach
Beiträge:389
|
welchen windows-client verwendest du? ich verwende standardmäßig jenen von http://openvpn.se
also standard-port ist 1194 - das solltest du auch nicht umstellen :)
kannst du die routing-infos von server und client nach dem verbindungsaufbau posten? unter linux mit 'route -n' - unter win bin ich mir nicht sicher - da gibts glaubich auch sowas wie 'route' oder 'ipconfig /all'.
grüße,
julian
|
Tim77
Einsteiger
Registriert seit: 02.2009
Beiträge:3
| Openvpn
Hallo Julian,
also ich nutze den selben Client wie du, der unter openvpn.se/download.html in der Version
openvpn-2.0.9-gui-1.0.3-install.exe zu bekommen ist.
Ich hatte zuvor auch nicht den Port verändert- der war bei mir zuvor auch 1194- doch wenn ich diesen nutze, dann erscheint eben auch komischerweise die Meldung.
Meine Routing-Tabelle lt. netstat -nr beim Debian ist:
Code:
Kernel-IP-Routentabelle
Ziel Router Genmask Flags Metric Ref Use Iface
10.0.0.0 0.0.0.0 255.255.255.0 U 0 0 0 tap0
192.168.168.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
169.254.0.0 0.0.0.0 255.255.0.0 U 1000 0 0 eth0
und beim Client- der Befehl lautet übrigens "route print":
Code:
Aktive Routen:
Netzwerkziel Netzwerkmaske Gateway Schnittstelle Anzahl
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
192.168.168.0 255.255.255.0 192.168.168.28 192.168.168.28 10
192.168.168.28 255.255.255.255 127.0.0.1 127.0.0.1 10
192.168.168.255 255.255.255.255 192.168.168.28 192.168.168.28 10
224.0.0.0 240.0.0.0 192.168.168.28 192.168.168.28 10
255.255.255.255 255.255.255.255 192.168.168.28 192.168.168.28 1
255.255.255.255 255.255.255.255 192.168.168.28 2 1
===========================================================================
Ständige Routen:
Netzwerkadresse Netzmaske Gatewayadresse Anzahl
192.168.168.28 255.255.255.255 10.0.0.1 1
192.168.168.0 255.255.255.0 10.0.0.1 1
192.168.168.0 255.255.255.0 10.0.0.0 1
Ja und wiegesagt da die Route ja auf dem Server liegt, müsste es eigentlich klappen.
Vielleicht hast du ja ne Ahnung...
Grüße Tim77
|
Tim77
Einsteiger
Registriert seit: 02.2009
Beiträge:3
|
Hallo Julian,
ICH HABS HINBEKOMMEN!!!
Also ich habe in meiner Client.ovpn entgegen der, die im Tutorial steht
noch einmal "port 1194" angegeben und nicht blos unter "remote <servername> port".
Und jetzt verbindet sich der Openvpn-Client ohne die Meldung und wechselt auf grün.
Also es lag nicht an den Routing-Einstellungen.
Ich habe nun etwas erstaunliches festgesetllt.
Wenn ich in der server.conf statt
Code:
ifconfig 10.0.0.1 255.255.255.0
Code:
server 10.0.0.0 255.255.255.0
bzw. ifconfig 10.0.0.1 255.255.255.0 auskommentiere und
somit den VPNServer im sog. Server-Modus laufen lasse
und auch noch den ifconfig-pool rausnehme und
(und das ist ganz wichtig)
Code:
push "route 0.0.0.0 0.0.0.0"
einfüge, dann erscheint nach erfolgreichen Verbinden des Clients unter dem Befehl ipconfig auch der Standardgateway mit 10.0.0.1.
Kannst du mir erklären, was es sich mit derm Server-Modus auf sich hat und warum der Standardgateway nach den obrigen Einstellungen nicht erscheint.
Mfg
Tim77
|
Archiv-Version: View only!
