OpenVPN-Paket

[lord-of-linux]

Hallöchen.

Ich habe nun ein OpenVPN-Paket erstellt. Die erste Beta des Packets basierte auf OpenVPN 2.0.6. Die aktuelle Version nutzt OpenVPN 2.1 Beta 14.
Inzwischen ist eine neute Beta von knox verfügbar. Diese basiert auf OpenVPN 2.1_rc1 und das Paket ermöglicht nun verschiedene Neuerungen. Hier der Link zu dem Download: http://www.ip-phone-forum.de/showthr...p?p=770747#172


Hinweis:
Das übliche: Ich übernehme keine Garantie für Probleme mit dem Paket.
Es wurde getestet und hat bei mir funktioniert. Ich denke und hoffe, das es nicht nur bei mir funktioniert.


Mit [BETA] markierte Einträge sind ab der neuesten Version von knox (siehe oben) verfügbar.


Bisher eignet sich das Webinterface zum Aufsetzen folgender Verbindungen:

• Box zu Box
• Client zu Box
• Multiclient zu Box [BETA]
• Box zu Server

Bisher ist die Verschlüsselung nur mit static.key möglich, Zertifikate folgen.

Hier mal die bisherigen Möglichkeiten des Webinterfaces:

• Bearbeiten der static.key
• Auswahl: "OpenVPN als Client oder als Server nutzen"
• Definieren von IP-Routung
• Wahl zwischen TCP und UDP-Übertragung
• und noch ein paar Sachen mehr.

• Zertifikate [BETA]
• Multi-Client [BETA]
• TAP / TUN (Bridging / Tunneling) [BETA]

Was einstellbar ist, das ist in den Angehängten Screenshots sichtbar.


Installation

Da openvpn in zwischen im menuconfig auswählbar ist, ist die Installation unproblematisch.


Todo

Ja, es gibt noch einiges zu tun. Dies ist ja erst die erste Beta.
Vorschläge und Wunsche könnt ihr gerne äußern.

Was ich bisher als nächstes in Angriff nehmen möchte:

• Zertifikate
• Multi-Client-Server
• Auswahl zwischen Routing oder Bridging

Vorschläge für die Todoliste sind gerne gesehen.


Was ich für die Zukunft geplant habe

Gehört zwar auch mehr oder weniger zu Todo, bekommt aber hier halt seinen Extra Bereich.

Ich habe viel geplant. Zur Zeit warte ich allerdings die Entwicklung von ipkg und mini_fo (siehe http://www.ip-phone-forum.de/showthread.php?t=102000) ab.


Geplant habe ich folgendes:

• Zertifikate / Static-Key Auswahl [Ist in meiner Entwicklungsversion schon möglich] [BETA]
• Zertifikatsverwaltung [Daran arbeite ich gerade]
• Multiclient-Möglichkeit [Wird im zusammenhang mit Zertifikaten möglich werden] [BETA]
• TUN / TAP auswahl [BETA]
• Routing-/Bridging-Einstellung verfeinern [BETA]
• Und bestimmt noch einiges mehr

Mal schauen, wie es weitergeht.


Bekannte Bugs

Hier mal eine Liste bekannter Bugs:

• OpenVPN läuft Amok und müllt den Arbeitsspeicher zu [in arbeit]
  Dieser Bug ist bei mir noch nicht aufgetreten, weshalb ich auch nichts genaues weiß
  Ist dies schon mal jemandem passiert?
  Ich gehe davon aus, dass das Problem mit der aktuellen OpenSSL-Lib nicht mehr besteht.
• Das Routing funktioniert Anfangs, bei dauerhaften Verbinungen kann es aber zu Routingproblemen kommen.
  Bisher keine Beserung! Problem besteht weiter.

Also dann:
Viel Spaß

[heini66]

boah
thxs!

[danisahne]

Das OpenVPN Paket hat lord-of-linux freundlicherweise übernommen und ist im gegenseitigen Dialog konzipiert worden. Es wird in der nächsten Version des ds-mod in ca einer Woche integriert sein. Danke für die Arbeit!

[lord-of-linux]

Das OpenVPN Paket hat lord-of-linux freundlicherweise übernommen und ist im gegenseitigen Dialog konzipiert worden. Es wird in der nächsten Version des ds-mod in ca einer Woche integriert sein. Danke für die Arbeit!

Danke auch dir für die Hilfe und für das nette Webframework des Modds. Nun verstehe ich aber den Mod (insbesondere das Webinterface) ziemlich gut. So kann ich in Zukunft auch einfacher einen Mod basteln. (Ich arbeite ja noch an transmission)

[Novize]

Vielen Dank auch von mir für diese Arbeit.
Aufgrund der immer wiederkehrenden Fragen zu diesem Thema von mir gerne ein "Wichtig" dazu

[dl9ekd]

Hi,
klasse dass sich jemand dem ding angenommen hat ...
das todo hört sich auch gut an ...
was mir noch fehlt ist die auswahl routing oder bridging ... damit würde es perfekt werden.
hab das openvpn hier im mom im bridge-mode laufen, und so soll es auch bei mir sein. hatte mir das alte startscript, welches hier mal von dksoft glaub ich war, etwas umgebaut. allerdings nichts an der oberfläche verändert.
kann auch gerne helfen beim testen oder wenn es sonst ne schwierigkeit gibt, was halt im rahmen des mir möglichen ist.
jetzt ist aber erstmal pennen im rahmen des möglichen

gute nacht
mfg daniel

[hermann72pb]

Soweit ich es überblicke, ist es kaum möglich, OpenVPN in 7050 ins Flash zu kompilieren. Ich benutze bei mir immer noch die altbewerte Lösung mit downloaden der Bin-Datei vom Server. Die Einrichtung nach dieser Methode (noch von Mod4.28-Zeiten) ist jedoch relativ kompliziert, vor allem die Schlüssel, die in debug.cfg mit "echo" geschrieben werden müssen. Es wäre nicht schlecht, wenn man
1. OpenVPN auch so in ds-mod implementieren könnte, dass die bin-datei nicht einkompliliert sondern runtergeladen wird (übrigens wäre generell auch eine Option für andere Packete).
2. Selbst wenn das Downloaden in den Webeinstellungen noch nicht implementiert ist, zumindest das vorhandene Web-Interface zu nutzen um die Schlüssel und andere Parameter einzugeben.

Wenn jemand schon jetzt eine Lösung parat hat, würde gerne ausprobieren.

[dl9ekd]

hi
http://www.ip-phone-forum.de/showpos...3&postcount=14
evtl. ist dass das was du suchst?
also ich komm damit immernoch gut klar.
config kannste natürlich auch für die gute alte routing-regel lassen, dann brauchst du in dem vorabpacket auch nix umzubauen...

mfg daniel

[glonn]

So hier wären dann mal meine configs:

Server:

dev-type tun
dev-node /dev/misc/net/tun

daemon
verb 4

proto tcp-server
port 1194
ifconfig 10.0.0.1 10.0.0.2

tun-mtu 1500
mssfix

secret /tmp/flash/static.key

float
route 192.168.2.0 255.255.255.0
push "route 192.168.10.0 255.255.255.0"
ping 15
ping-restart 120
push "ping 15"
push "ping-restart 120"

(Win)client:

dev tun
ifconfig 10.0.0.2 10.0.0.1
dev-node vpn1
proto tcp-client
remote xxx.xxx.xxx.xxx 1194
persist-key
secret c:\\Programme\\OpenVPN\\config\\client.key

verb 3

route 192.168.10.0 255.255.255.0
push "route 192.168.2.0 255.255.255.0"
mute 20

Der Client läuft auf windows XP und es sei dazugesagt die Firewall ist deaktiviert. Der WinXp client hat mit dieser Config vollen Zugriff in das
Servernetz (Fritzbox) jedoch gibt es umgedreht schwierigkeiten und zwar haben die lanclients der fritzbox keinen zugriff auf das andere Netz des Clients bzw. auf den client selbst. Man kommt zwar von den lan clients aus mit pings bis auf das vpn interface der fritzbox jedoch nicht auf das des Vpn clienten. Irgendwie scheint es so als die fritzbox diese anfragen aus noch ungeklärter Ursache abwehrt.

[glonn]

Mein Problem mit OpenVPN hat sich geklärt es lag an der Kerio Firewall die unterschätzt wurde auf client Seite

[hermann72pb]

Hi lord-of-linux,

hab gestern auf einem 7170 mit ds2.0.6 OpenVPN als Server zum starten gebracht (vorkompiliert integriert). Jetzt kann ich vom Windows als Client mich nicht drauf verbinden (was mir auch völlig klar ist). Die Untersuchung der Konfiguration zeigte, dass MTU und andere Parameter bei mir und auf der Box total anders lagen. Ok, auf der Client-Seite angepasst. Den Wunder hatte ich erlebt, als ich proto: tcp-server sah.

1. Gibt es bestimmte Gründe TCP zu verwenden? Auf den OpenVPN-Seiten im Netz wird es als reine Notlösung angesehen und es wird dringend davon abgeraten.
2. Wie kann man eigentlich openvpn.conf auf der Box editieren? Ich hatte die datei dort irgendwo gefunden (glaube mod/etc oder so), mit mc editiert, danach openvpn-dienst per ds-mod-web-interface gestartet. Und... alle Änderungen waren weg. Vermutlich war's kein flash, sondern ram. Danach habe ich dort paar Skripte gesehen die irgendwas gerade mit proto-parameter machen und irgendwo schreiben. Allerdings wird dort UDP gar nicht behandelt!

Bitte paar Hinweise und comments dazu geben oder (wenn ich so blöd bin und alles bereits beschrieben wurde) links geben.

[knox]

Gibt es eine andere Log-Möglichkeit für openvpn?

du kannst die config manuell anpassen und das daemon weg lassen. dadurch landen alle ausgaben des openvpn direkt auf der konsole und du kannst zusehen, was passiert.

Und ich dachte mein Beitrag passt aus diesem Grund hier mit rein

so wie ich das sehe, ist das eher ein (individuelles) konfigurationsproblem, oder meinst du nicht?

wünsche gutes gelingen!

[Powersup]

Mir geht es ganuso wie Erkan. Und es bleibt immer die 7170 hängen?!?

Code:

ifconfig 10.0.0.2 10.0.0.1
dev tun
dev-node /dev/misc/net/tun
tun-mtu 1500
mssfix
persist-tun
persist-key

#Remote Adresse des Servers angeben
#muss entsprechend geaendert werden
remote xyz.xyz.net

#Pfad zum Key File
secret /var/tmp/secret.key


#Protokoll auf TCP und Port 1194
#Änderungen müssen auf Client und Server Seite gleich sein
proto tcp-client
port 1194


#da die Verbindung alle 24 Stunden getrennt wird
#soll regelmäßig kontrolliert werden ob die Verbindung noch steht
ping 15
ping-restart 120 

#der DynDNS Name soll alle 60 Sekunden neu aufgelöst werden
#da OpenVPN sonst ständig versucht über die alte IP
#zu verbinden
resolv-retry 60 

#Protokollierungseinstellung
#4 ist optimaler Modus
verb 4

#Daemon sollte erst eingeschaltet werden wenn die
#Konfiguration passt
daemon

#Route zum Server setzen
route xxx.yyy.zzz.0 255.255.255.0

Anbei die Konfig der 7170, die nach der Anleitung hier im Forum erstellt wurde. Dort ist - noch - OpenVPN ohne ds-mod integriert. Die 7050 hat OpenVPN mit ds-mod.
@knox Was meinst du mit "individuellen Konfigurationsproblem"?

[deller]

hmm, schon sehr merkwürdig mit der 7170. Ich habe ähnliche Probleme, allerdings nicht erst nach der Zwangstrennung.

ca. nach einer Stunde kann ich von allen PC's aus meinem Subnet nicht mehr die PC's und die Fritzbox/Server (10.0.0.1, 192.168.178.1) auf der anderen Seite anpingen. Meine Fritzbox ist die Clientbox (10.0.0.2, 192.168.123.1). Die 10.0.0.2 lässt sich von meinen PC's aus pingen. Die 10.0.0.1 jedoch nicht.

ABER:

Wenn ich aber per Telnet auf meine Box (192.168.123.1) raufgehe und von dort aus den Ping ausführe, dann sieht er alle Rechner auf der Gegenseite und auch die Serverbox (10.0.0.1 & 192.168.178.1). Hier kann ich die 10.0.0.1 und die 192.168.178.1 anpingen.
--> Die Openvpn-Verbindung zwischen den Boxen steht. Aber nach einer bestimmten Zeit tritt dann dieses Routingproblem auf. Die Routingtabelle sieht aber unverändert sauber aus.

Interessanterweise muss ich dann auch meistens openvpn mehrmals hintereinander starten, bevor es wieder funktioniert.
Das Problem besteht unabhängig von der openvpn-verion (die aus dem Paket, beta8 und beta12)


Merkwürdig

[deller]

So, habe nun mal die Box mit einem Recoveryimage komplett sauber gemacht und dann ein Modimage nur mit OpenVPN raufgespielt. Openvpn über das Webinterface als Client konfiguriert.

Eine Zeit lang sehe ich vom Rechner aus die Box auf der anderen Seite, dann nicht mehr. Mit Telent auf meiner Box sehe ich jedoch weiterhin die Box auf der anderen Seite.

An der Routingtabelle verändert sich nichts (route -n)

[Snoopy1980]

Habe schon das ganze Forum durchsucht und nix dazu gefunden.

Habe den ds-mod 0.2.9 drauf und ne 7170.

Egal was ich probiert habe sobald ich den open server starten will erscheint die Meldung. Auch per ssh versucht. Nix zu machen.
Kann mir da jemand weiterhelfen??

Schönen Dank.

P.S.: Bin absoluter Neuling beschäftige mich erst seit kurzem mit dem Modding der Fritzbox

[supamicha]

openvpn lässt sich im ds-mod 0.2.9 nicht starten, ist ein bekannter fehler.

micha

[danisahne]

Warum eigentlich nicht? Ich glaube, das ist der Fall, seit ich die OpenSSL upgegraded hab. Ich glaube lord-of-linux hat sein Binary noch nicht aktualisiert, aber OpenVPN läuft mit der OpenSSL Version aus dem Mod eh noch nicht stabil. Zur Zeit gibt es nur die Alternative mit jspies seiner OpenSSL Lib.

Mfg,
danisahne

[wonderdoc]

OpenVPN läuft mit der OpenSSL Version aus dem Mod eh noch nicht stabil. Zur Zeit gibt es nur die Alternative mit jspies seiner OpenSSL Lib.

Mfg,
danisahne

Danke erstmal für dein DS-Mod und allen beteiligten.

Ich habe mit dem ds-Mod0.2.9 auch die oben genannten Problem mit OpenVPN.
Da ich absoluter Neuling auf diesem Gebiet bin, benötige ich eure Unterstützung.
Wie bekomme ich die alternative von jspies denn installiert?
in der Zip sind ja die folgenen Dateien enthalten.
openvpn
libssl.so
libcrypto.so

mfg
Wonderdoc