VPN-Server in Box integrieren

hanseknight schrieb:

Super danke dir Werde ich am Montag gleich ausprobieren

Zum Vergrößern anklicken....

Klappts denn jetzt?!

hiro schrieb:

Klappts denn jetzt?!

Zum Vergrößern anklicken....

Ich kann komischer weise von der Fritz!Box überhaupt nicht in das andere Netz pingen :-/
(Nicht mehr aktuell)
Momentan hab ich das Problem das BootTP (aus dem RemoteNetzwerk) auch nichts mehr zu klappen scheint - auch wenn sich die Fritz!Box zu verbinden scheint.

So sieht meine Server Config aus (auf einem Windows 2003 Server)
Die Fritz!Box (Client) Config sieht folgendermaßen aus
Vielleicht fällt euch ja was auf :-/

Nachtrag:
BootTP funktioniert wieder, lag an der Firewall - jedoch sieht die FritzBox das andere Netz immer noch nicht. Die PC's die eine IP Adresse von dem Remote DHCP bekommen, haben jedoch keinerlei probs.

Zugriff auf das Netzwerk hinter FBF über OpenVPN

Hallo Zusammen,

ich habe mir heute über http://www.the-construct.com/traymessage/ eine Pseudo-Image erstellt und damit OpenVPN auf meine FBF installiert. Als config-Dateien habe ich die folgenden Standarddateien verwendet.

Client:

Server:


Der Aufbau der VPN-Verbindung funktioniert wunderbar und ich kann auch das Webinterface oder SSH über die Verbindung aufrufen.

Nun würde ich aber gerne auch auf die Rechner im angeschlossenen Netzwerk zugreifen. Diese liegen im 192.168.178.0/24 Netz. Leider kann ich dieses Netz von meinen VPN-Client nicht erreichen.

Was muss ich in der Config noch ändern, dass das auch funktioniert.

Danke im Voraus.

Viele Grüße,

Christian

genau das gleiche problem hätte ich auch

spacejay schrieb:

Nun würde ich aber gerne auch auf die Rechner im angeschlossenen Netzwerk zugreifen. Diese liegen im 192.168.178.0/24 Netz. Leider kann ich dieses Netz von meinen VPN-Client nicht erreichen.

Was muss ich in der Config noch ändern, dass das auch funktioniert.

Danke im Voraus.

Viele Grüße,

Christian

Zum Vergrößern anklicken....

Ein push "route 192.168.178.0 255.255.255.0" in der server-conf sollte das Problem beheben!

Gruß
interhubi

BuchIT schrieb:

Hi,

ich hab ein Problem mit OpenVPN.
Ich benutze es als Box2Box (siehe Signatur) und die FBF die als Client läuft hat folgendes Problem:

Wenn durch den 24h disconnect die Internetverbindung getrennt wird,
baut die OpenVPN Client Box keine Verbindung mehr zu Server auf.
Ich muss dann die FBF neu starten oder einfach OpenVPN auf der
FBF per telnet neu starten.

Zum Vergrößern anklicken....

Hi,

versuche mal, folgende Einträge in die Client-Conf zu ändern:

Hinzufügen:
nobind

Auskommentieren:
#persist-tun

Ich habe zwar Box2Box Verbindung mit Zertifikaten, die läuft aber trotz Zwangstrennung auf beiden Seiten wochenlang, ohne etwas Neustarten zu müssen (per Skript oder per Hand )

Gruß
interhubi

OpenVPN-Verbindung klappt nur intern.

Habe folgendes Problem: Mit Hilfe der genialen Anleitungen hier im Forum (danke, danke, danke an Hellspawn, MicAlter und alle anderen...) habe ich jetzt einen OpenVPN-Server auf meiner Fritz!Box Fon WLan.

Erste Frage: In der Anleitung von Hellspawn werden TAP-Devices verwendet. Manche Mitbastler aus diesem Forum benutzen aber TUN-Devices. Ich habe mal gelesen, dass mit TAP-Devices Netzwerke gebrückt werden und sie deshalb eher für Netz-zu-Netz-Verbindungen eingesetzt werden. Für eine Client- (Roadwarrior) Anbindung soll wohl TUN besser sein. Habe ich da etwas falsch verstanden?

Zweite Frage: Es ist mir bisher nicht gelungen, über die WAN-Schnittstelle der Fritz!Box (also aus dem Internet) eine VPN-Verbindung von meinem Notebook aus herzustellen. Verbinde ich das gleiche Notebook mit den gleichen Keys über WLAN mit der Fritz!Box (natürlich ändere ich dazu die IP-Adresse in der Client.ovpn), klappt der VPN-Verbindungsaufbau einwandfrei. Ebenso problemlos geht der VPN-Verbindungsaufbau über die LAN-Schnittstelle (mit einem anderen Computer)...

Ich habe dafür keine Erklärung. An der Server-/Clientkonfiguration bzw. den Keys kann es eigentlich nicht liegen. Ich habe alles gemäß der Anleitung von Hellspawn gemacht und bin auch noch mal die Checkliste von McAlter durchgegangen. Leider konnte ich keine Fehler entdecken. Und wie gesagt, mit der WLAN- und LAN-Schnittstelle funktioniert es.

Andererseits habe ich in meinem kleinen Universum noch drei andere OpenVPN-Server mit IPCop am Laufen. Diese Server kann ich problemlos von meinem Notebook aus anwählen.

Ich hoffe, jemand hatte schon ein ähnliches Problem und kann mir helfen.

tun/tap: Willst du das die Broadcasts beim road-warrior aus deinem internen Netz ankommen? (willst du die anderen Rechner in der Netzwerkumgebung sehen? Willst du iTunes-Freigabe oder ähnliches was sich per Broadcasts verbreitet haben? Sollen alle Rechner (intern wie extern) im gleichen Subnetz sein?)

Falls du eine der Fragen mit ja beantworten kannst: Nimm tap, ansonsten tun!

Zu deiner zweiten Frage: Hast du an der Firewall den OpenVPN geöffnet (udp!!!) und leitest du diese Pakete nicht an einen Rechner im lokalen Netz (einen der IPCop Rechner evtl.) weiter?

Gruß
Martin

Danke.

Leider ist existiert mein Problem immer noch. Auf die Firewall-Einstellungen der Fritz!Box hatte ich auch schon getippt. Aber dort ist alles i.O.

Hier mal die Fehlermeldung:

Wed Mar 29 21:13:23 2006 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Wed Mar 29 21:13:23 2006 TLS Error: TLS handshake failed

Ich bin so ziemlich am Ende mit meinem Latein...

Ach ja, die IPCop's mit Zerina stehen nicht in meinem LAN, sondern an verschiedenen Standorten und sind über DSL mit dem Internet verbunden. Dahinter hängt dann jeweils ein LAN. Und dorthin klappt eine OpenVPN-Verbindung problemlos.

uwka77 schrieb:

Danke.
Wed Mar 29 21:13:23 2006 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Wed Mar 29 21:13:23 2006 TLS Error: TLS handshake failed

Zum Vergrößern anklicken....

Hi,

ich habe gerade eine neue 7170 bekommen und musste die ganze Konfiguration (SSH, FTP, OpenVPN, TSB) rüberspielen. Dabei ist mir folgendes aufgefallen:

Ich habe die AR7.CFG per "nvi" editiert, die UDP-Port Freigabe (1194) hinzugefügt und (ohne Fehlermeldung) speichern können. Nach dem anschließenden Reboot war die Einstellung weg... und bekam natürlich keine Verbindung wegen der Firewall. Übrigens mit gleicher Fehlermeldung!

Erst als ich die AR7.CFG in das "/var/tmp" kopiert, dort editiert und anschließend mit "cat /var/tmp/ar7.cfg >/var/flash/ar7.cfg" quasi zurückkopiert habe, hat es geklappt.
Komischerweise hat der Kopierbefehl "cp /var/tmp/ar7.cfg /var/flash/ar7.cfg" bei dieser Box nicht funktioniert.

An den Schlüsseln/Zertifikaten kann es ja augenscheinlich nicht liegen, da Du Dich intern verbinden kannst...oder?

Prüfe doch mal folgendes:
1. Ist das Zertifikat noch gültig (Ablaufdatum)
2. Ist die CA auf beiden Seiten korrekt angegeben
-> Schau' am besten nochmal bei Hellspawn's Anleitung unter 2.3 nach...

Gruss,
MicAlter


-------------------------------------------------------------------
Router: Fritz!Box Fon WLAN 7170 (1&1), Fw 29.04.03-3452(beta)
Mods: Telnet, Syslogd, FTP-Server (bftpd), Wake-On-LAN (Etherwake), SSH (Dropbear), Multi-Client VPN-Server mit Zertifikaten (OpenVPN), Telefonsparbuch (TSB)
VoIP: 1&1
Verbindungen: DSL: 1&1 6MBit | Telefon: T-Com ISDN | LAN: 2 PC's mit festen IP's und NAT | WLAN: an
Fon: Siemens Gigaset S455

Werte (Downstream / Upstream):
Nutzdatenrate: 3456 / 448 Tatsächlich: ~3130 / ~406
Signal/Rauschtoleranz: 25 / 15 Leitungsdämpfung: 34 / 24 :-(

Hallo,

ich habe noch mal die ar7.cfg kontrolliert. Zu meiner Schande muss ich gestehen, dass ich doch glatt einen Doppelpunkt vergessen hatte!

Nun funzt alles (SSL- und OpenVPN-Zugang von aussen). Allerdings ist mir aufgefallen, dass die PING-Zeiten von meinem Notebook zur Fritz!Box über die OpenVPN-Verbindung so bei 3000 ms liegen. Das kann doch nicht normal sein - oder?

uwka77 schrieb:

Nun funzt alles (SSL- und OpenVPN-Zugang von aussen). Allerdings ist mir aufgefallen, dass die PING-Zeiten von meinem Notebook zur Fritz!Box über die OpenVPN-Verbindung so bei 3000 ms liegen. Das kann doch nicht normal sein - oder?

Zum Vergrößern anklicken....

Hi,

schön, dass es nun soweit klappt (da sieht man mal wieder wie wichtig so ein Byte sein kann )

Aber das mit der hohen Pinglaufzeit ist sicherlich nicht normal...bei mir liegt der Wert gemittelt bei 98ms (1und1-DSL), wenn ich die Server-seitige IP-Adresse des OpenVPN-Servers anpinge. Wie ist sieht's den aus, wenn Du von der "anderen" Seite, also Fritz!Box -> Notebook, pingst. Sind die Zeiten da genauso schlecht?

Gruß,
MicAlter

Sicherheitsverbesserung

Hallo,

mich hat bei der VPN-Geschichte immer gestört, daß die Binaries von einem (potentiell unsicheren) Server heruntergeladen werden. Deshalb hat's mir gut gefallen, daß in einem der letzten Skripte der private Schlüssel in der Config gespeichert wurde.
Da im Flash wohl nicht genug Speicher vorhanden ist, führt wohl kein Weg dran vorbei, diese großen Dateien auszulagern.
Ich geb's zu, ich hab mich nicht durch den ganzen Thread gewühlt, aber prinzipiell sollte es doch möglich sein, bei der 7170 die Programme auf einem USB-Stick abzulegen, oder?

Warum ich diesen Beitrag aber eigentlich schreibe, ist folgende Idee: Die Programme sind ja nicht vertraulich, können also ruhig öffentlich zugänglich sein - sofern sie nicht verändert werden.
Warum also nicht den Hash der Binaries ähnlich wie den privaten Schlüssel im Startskript hinterlegen und den VPN-Server nur dann starten, wenn die Prüfsumme übereinstimmt. Da die Config-Dateien beim Wiedereinspielen übers Web-Frontend von der Box überprüft werden, gibt's offensichtlich schon einen Hash-Algorithmus in der Box.
Leider habe ich momentan keine Zeit, selber damit herumzuspielen, aber vielleicht hat ja jemand Lust, es mal auszuprobieren ;-)

Gruß
lamdo

Hallo allerseits,

ich habe mich mal von einem anderen Standort aus in meine Fritz!Box per OpenVPN eingewählt. Und siehe da - alles im grünen Bereich. Manche Probleme lösen sich halt von selbst.

Also danke noch einmal. Ohne die Beiträge im Forum hätte ich das nie hingekriegt. Aber eigentlich hatte ich im Forum nur nach dem versteckten Link für die WDS-Konfiguration gesucht...

hallo habe folgendes problem. habe es mitlerweile geschaft das ich von einem client über das internet auf die fritz und das dahinter liegende netz zugreifen kann.

fritz netz 192.168.69.0
client netz 192.168.1.0

nun bestehen aber noch 2 Probleme

1. ich kann nicht aus dem netz der fritz auf das netz hinter dem client kommen

2. das größte problem ist, das ich beim client nicht die pc aus dem fritz netz in der netzwerkumgebung sehe, daher auch nicht auf freigaben zugreifen kann.

mit der bitte um hilfe


hier die config
# Grundsaetzliches
port 1194
proto udp
dev tap
# Server-Einstellungen
mode server
tls-server
server 10.0.0.0 255.255.255.0
client-to-client
# Dies ist der IP-Bereich von eurem FritzBox-LAN
push "route 192.168.1.0 255.255.255.0"
# Authentifizierung und Verschluesselung
ca /var/tmp/vpn/ca.crt
cert /var/tmp/vpn/fritzbox.crt
key /var/tmp/vpn/fritzbox.key
dh /var/tmp/vpn/dh1024.pem
auth SHA1
cipher AES-256-CBC
# Sonstiges
ping 10
push "ping 10"
ping-restart 60
push "ping-restart 60"



und hier die client

# OpenVPN v2.0.5 config:
#
# Grundsätzliches (Was soll der CLIENT nutzen)
port 1194
proto udp
dev tap
# Client-Einstellungen
tls-client
ns-cert-type server
remote test.dyndns.org 1194
# Authentifizierung und Verschlüsselung
ca ca.crt
cert client01.crt
key client01.key
auth SHA1
cipher AES-256-CBC
# Sonstiges
pull

Hi,
du betreibst das vpn im routing-modus. um von den rechnern in deinem lan auf den vpn-client zugreifen zu können musst du einfach in der oberfläche der fritzbox ne route auf das netzwerk bzw den client einrichten.
wenn du windowsfreigaben sehen willst ohne einen wins - server einzusetzen, musst du das vpn im bridging-mode betreiben. dann klappt das...

mfg daniel

möchte die windowsfreigabe

wie funktioniert das mit dem bridge modus.

habe es gerade erst so nach stunden hin bekommen


im moment habe ich folgendes geschafft. ich kann von dem client aus, alle pc im fritz netz anpingen

ich komm vom pc im fritz netz aus den client mit seiner 192.168.1.18 anpingen
aber ich kann nicht die anderen pc´s anpingen
mit fritz kann ich direkt 192.168.1.11 anpingen


möchte aber die
windowsfreigabe

wie funktioniert das mit dem bridge modus.

Hi,
2 mal die gleiche Frage? Naja

also 2 Möglichkeiten:
weiterhin routing (tun) Modus:
alle Rechner müssen als Gateway zum Netz 192.168.1.0/24 die FritzBox als Gateway eingetragen haben, dein OpenVPN Client Rechner muss zwischen dem Netz 192.168.1.0/24 und einem 'virtuellen' Netz 192.168.2.0/24 auf dem Tunnel routen können.

Also quasi: Client-PC hat IP 192.168.1.1/24 auf dem physikalischen Interface und 192.168.2.1/24 auf dem OpenVPN Tunnel (2 verschiedene Subnetze sonst kann er nicht routen) und die FritzBox hat 192.168.3.1/24 auf dem physikalischen Netz und 192.168.2.2/24 auf dem Tunnel! Die FritzBox bekommt dann als Gateway zum Netz 192.168.1.0/24 den Rechner 192.168.2.1 und der Client-PC bekommt als Gateway zu 192.168.3.0/24 den Rechner 192.168.2.2.

Soweit klar?

Also 3 Subnetze,
192.168.1.0/24 -> Rechner bei dem Client-PC
192.168.2.0/24 -> 'Hilfs'subnetz zwischen der FritzBox und dem Client-PC
192.168.3.0/24 -> Rechner bei der FritzBox

Auf die Windows-Freigaben greifst du dann über \\192.168.3.x im Explorer zu. Inner Netzwerkumgebung siehste die nicht!

Andere Lösung, bridge Modus -> siehe nächsten Post....

aber ich bin doch schon im tap modus oder?

kannst du vielleicht deine erklärung an meine ips anpassen

netz 1 mit fritz : 7170 hat 192.168.69.254 physikalisch
netz 2 mit client: ip des client ist 192.168.1.18

So bridge-modus:
1. Alle Rechner ins gleiche Subnetz bringen.
2. inner config 'dev tun' durch 'dev tap' ersetzen. <- ist bei dir schon?!?
3. das eth interface mit dem tap interface in der FritzBox bridgen. Dazu muss man in der ar7.cfg folgendes suchen und entsprechend anpassen (also die ipaddr ist meine, muss entsprechen geändert werden bzw. deine Config nicht verändert werden!!!!):

brinterfaces {
name = "lan";
dhcp = no;
ipaddr = 10.10.10.2;
netmask = 255.255.0.0;
dstipaddr = 0.0.0.0;
interfaces = "eth0", "usbrndis", "eth1", "tiwlan0",
"wdsup0", "wdsdw0", "wdsdw1", "wdsdw2",
"wdsdw3", "tap0";
dhcpenabled = no;
dhcpstart = 0.0.0.0;
dhcpend = 0.0.0.0;
}

4. /etc/init.d/rc.net reload
5. Am Client-PC das OpenVPN-Interface und das Ethernet-Interface überbrücken. (Stichwort Netzwerkbrücke) <- Das hat bei mir beim ersten Test nicht funktioniert, kann aber auch an meiner Firewall gelegen haben. Momentan wird die Brücke bei den FritzBoxen direkt gemacht und am Client muss ich nix einstellen.