OpenVPN-Paket

[knox]

Warum begrenzt unter den Client-Einstellungen das Serverfeld auf 16 Zeichen?

ich wollte probleme durch absichtliche fehleingaben vermeiden und habe daher bei allen eingabefeldern eine längenbegrenzung vorgegeben. an dieser besagten stelle hatte ich bisher nur mit ip-adressen gerechnet, werde das in der nächsten version berücksichtigen....

1. Bekomme ich diese Multi-Client Konfiguration mit der ds-mod Erweiterung von knox hin?

openvpn kann mit mehreren clients umgehen, wenn man mit zertifikaten authentifiziert. das funktioniert mit dem hier veröffentlichten package.

2. Gibt es ein Howto oder ähnliches?

kein howto speziell für das package, aber jede menge howtos zu openvpn an sich.
behauptung: wenn man openvpn verstanden hat, ist das webif selbsterklärend.

3. Muss ich den Patch von knox (aus diesem Thread) noch einspielen, auch wenn ich am 01.03. kompiliert habe?

wenn du die neuste "labor" version des packge nutzen willst, musst du die entsprechende versionsnummer in das openvpn.mk eintragen. nichts anderes macht der patch.

4. Falls 1. ja: Werden die Keys von mehreren Clients in ein und das selbe Fenster des WIf geschrieben?

auf der box werden folgende informationen hinterlegt:
- zertifikat der root-instanz (ca.crt)
- zertifikat der fritzbox (box.crt)
- privater schlüssel der fritzbox (box.key)
- das tls zertifikat (static.key)
für die clients werden keine schlüssel auf der box gespeichert, die client-zertifikate werden mit dem root-ca zertifikat überprüft.
optional kann man eine liste mit zurückgezogenen zertifikaten (crl.pem) auf der box speichern, wenn man einmal ausgegeben zertifikate für ungültig erklären will.

[wengi]

Vielen Dank für Deine Infos.
Dann mach ich mich mal ans Werk

EDIT:

Ich hab jetzt die Zertifikate kopiert:

Code:

Mar 12 20:04:51 fritz daemon.notice openvpn[3152]: OpenVPN 2.1_rc1 mipsel-linux [SSL] [LZO2] [EPOLL] built on Feb 28 2007
Mar 12 20:04:51 fritz daemon.err openvpn[3152]: Cannot load DH parameters from /tmp/flash/dh.pem: error:0906D06C:lib(9):func(109):reason(108)
Mar 12 20:04:51 fritz daemon.notice openvpn[3152]: Exiting

???
Nachdem die Zertifikate von OpenVPN erstellt sind öffne ich sie mit Crimson-Editor und kopiere das Zertifikat ins WIf.
Ich habe auch mal versucht die Zeilenumbrüche rauszunehmen. Hat aber an der Fehlermeldung nichts geändert.


wengi

[knox]

Code:

Mar 12 20:04:51 fritz daemon.err openvpn[3152]: Cannot load DH parameters from /tmp/flash/dh.pem: error:0906D06C:lib(9):func(109):reason(108)

ich habe bei meiner aufzählung vergessen, dass im server-modus ausserdem diffie-hellmann parameter benötigt werden. diese können im webif unter dh-params oder so ähnlich eingegeben werden.
kleiner tipp noch mal für alle zertifikats-neulinge: bitte die doku von openvpn's "easy-rsa" anschauen - dort wird das erzeugen von zertifikaten (und von dh-parametern) einfach erklärt.

[wengi]

Hi knox,

Das Howto hab ich gelesen.
die dh parameter wurden erzeugt und sind im WIf auch eingetragen.

Ich habe, wie oben beschrieben, auch mal versucht die Zeilenumbrüche rauszunehmen.
Ohne Erfolg.

wengi

[knox]

die dh parameter wurden erzeugt und sind im WIf auch eingetragen.

schau doch mal bitte auf der box, ob die datei existiert und ggf. welche rechte sie hat?

Code:

/var/mod/root $ ls -la /tmp/flash/dh.pem
-rw-r--r--    1 root     root          245 Jan 29 11:47 /tmp/flash/dh.pem

vielleicht hast du auch (aus versehen) den falschen inhalt in die datei gespeichert?

Code:

-----BEGIN DH PARAMETERS-----
....
-----END DH PARAMETERS-----

es muss jedenfalls irgend eine kleinigkeit sein, denn bei mir funktioniert es einwandfrei.

[wengi]

Ich habe in sämtliche Felder lediglich die keys / Parameter reinkopiert.

Ohne "-----BEGIN DH PARAMETERS-----" und "-----END DH PARAMETERS-----"

Muss das etwa dazu?

[knox]

Muss das etwa dazu?

du musst den kompletten inhalt aus den erzeugten dateien dort reinkopieren, mit allem
----- drum -----
und
----- dran -----

[knox]

Hier kommt mal wieder ein neues Release des OpenVPN Package:

openvpn-2.1_rc2-dsmod-0.6c-lzo

Änderungen:

• Update: Aktualisiert auf OpenVPN 2.1 RC2
• Fix: Maximale Länge von Server-Adressen (Client Modus)
• Feature: Interaktives Webinterface zur vereinfachten Konfiguration

Anstelle eines Patches gibt es diesmal ein Archiv. Dieses muss einfach im ds-mod Hauptverzeichnis entpackt werden (so daß die Dateien in make/openvpn/ überschrieben werden). Anschließend kann man mit "make openvpn-precompiled" auf die neuste Version umsteigen.
Vorteil: dieses Verfahren kann auf alle aktuelle Verfügbaren ds-mod Versionen angewendet werden, unabhängig von der Vorgängerversion des OpenVPN Package.

[schmatke]

Code:

/ $ openvpn --version
OpenVPN 2.1_rc2 mipsel-linux [SSL] [LZO2] [EPOLL] built on Mar 14 2007
Developed by James Yonan
Copyright (C) 2002-2005 OpenVPN Solutions LLC <info@openvpn.net>
/ $

Super Arbeit. Danke!

[wengi]

du musst den kompletten inhalt aus den erzeugten dateien dort reinkopieren, mit allem
----- drum -----
und
----- dran -----

Danke. Es sind halt die kleinen Dinge im Leben...
Es läuft.

wengi

[wonderdoc]

@knox

Danke erstmal für das Update.
Installation verlief problemlos.

Habe nun nochmal eine Frage zu unseren alten Thema:

das script /var/mod/etc/default.openvpn-lzo/openvpn-lzo_conf sollte in etwa so aussehen:

if [ "$OPENVPN_LZO_KEEPALIVE" == "yes" ]; then
echo "keepalive $OPENVPN_LZO_KEEPALIVE_PING $OPENVPN_LZO_KEEPALIVE_TIMEOUT"
if [ "$OPENVPN_LZO_MODE" == "client" ]; then
echo "resolv-retry infinite"
fi
fi

Du hat es nun aber auf folgendes geändert:

if [ "$OPENVPN_LZO_KEEPALIVE" == "yes" ]; then
if [ "$OPENVPN_LZO_MODE" == "server" ]; then
echo "keepalive $OPENVPN_LZO_KEEPALIVE_PING $OPENVPN_LZO_KEEPALIVE_TIMEOUT"
else
echo "resolv-retry infinite"
fi
fi

Beinhaltet "resolv-retry infinite" ein "keepalive" zum Server?
Mir geht es hauptsächich um den Restart der Verbindung, welche im "keepalive" ja enthalten ist.

mfg
Wonderdoc

[knox]

Du hat es nun aber auf folgendes geändert:

ohje, da hat ausversehen ein downgrade stattgefunden, bzw ich habe eine veraltete datei aus dem svn geholt.

vielen dank für deine aufmerksamkeit, ich habe das package eben gefixed.

(wer es schon installiert hat, sollte "make openvpn-dirclean; make openvpn-precompiled; make" aufrufen)

[wonderdoc]

@knox

Danke für den schnellen Fix.

(wer es schon installiert hat, sollte "make openvpn-dirclean; make openvpn-precompiled; make" aufrufen)

Du solltest zur Sicherheit noch dazu schreiben, daß man den alten Package-Download vor dem make open-precompiled aus dem Ordner dl noch löschen muß.

Ich werde nun erstmal testen.

mfg
Wonderdoc

[MaxMuster]

Hallo zusammen,

seit mehrern Stunden versuche ich nun vergeblich, mit dem dsmod und dem RC2 eine Verbindung mit Zertifikaten zum laufen zu bekommen. Box ist eine Eumex 300IP 15.04.27ds-0.2.9.
Dabei scheint es mir ein Problem mit dem erzeugten binary zu geben, den die gleiche Konfig funktioniert mit dem statisch gelinkten binary...

Ich habe das ganze zunächst über die LAN-Verbindung getestet (also Client und Box im gleichen LAN, kein DSL), um Probleme mit NAT, MTU und sowas auszuschließen.

Code:

/var/mod/root # cat /tmp/openvpn.config
# OpenVPN 2.1 Config
proto udp
port 1194
local 10.41.101.123
dev tap
dev-node /dev/misc/net/tun
ca /tmp/flash/ca.crt
cert /tmp/flash/box.crt
key /tmp/flash/box.key
mode server
tls-server
dh /tmp/flash/dh.pem
ifconfig-pool 192.168.177.50 192.168.177.60
ifconfig 192.168.177.1 255.255.255.0
push "route 192.168.177.0 255.255.255.0"
max-clients 5
tun-mtu 1500
mssfix
auth SHA1
cipher AES-128-CBC
comp-lzo
keepalive 10 120
status /var/log/openvpn.log

Client-Config:

Code:

port 1194
proto udp
dev tap
client
tls-client
ns-cert-type server
remote 10.41.101.123 1194
ca ca.crt
cert client2.crt
key client2.key
auth SHA1
comp-lzo
cipher AES-128-CBC
verb 6
pull

Das passiert beim dsmod openvpn:

Code:

/var/mod/root # openvpn --verb 6 --config /tmp/openvpn.config
Tue Mar 27 17:35:59 2007 us=329999 OpenVPN 2.1_rc2 mipsel-linux [SSL] [LZO2] built on Mar 27 2007
Tue Mar 27 17:36:00 2007 us=579999 Diffie-Hellman initialized with 1024 bit key
Tue Mar 27 17:36:00 2007 us=909999 WARNING: file '/tmp/flash/box.key' is group or others accessible
Tue Mar 27 17:36:01 2007 us=329999 TLS-Auth MTU parms [ L:1590 D:138 EF:38 EB:0 ET:0 EL:0 ]
Tue Mar 27 17:36:01 2007 us=659999 TUN/TAP device tap0 opened
Tue Mar 27 17:36:01 2007 us=659999 TUN/TAP TX queue length set to 100
Tue Mar 27 17:36:01 2007 us=669999 /sbin/ifconfig tap0 192.168.177.1 netmask 255.255.255.0 mtu 1500 broadcast 192.168.177.255
Tue Mar 27 17:36:03 2007 us=79999 Data Channel MTU parms [ L:1590 D:1450 EF:58 EB:135 ET:32 EL:0 AF:3/1 ]
Tue Mar 27 17:36:03 2007 us=79999 Socket Buffers: R=[65535->65534] S=[32767->65534]
Tue Mar 27 17:36:03 2007 us=79999 UDPv4 link local (bound): 10.41.101.123:1194
Tue Mar 27 17:36:03 2007 us=79999 UDPv4 link remote: [undef]
Tue Mar 27 17:36:03 2007 us=79999 MULTI: multi_init called, r=256 v=256
Tue Mar 27 17:36:03 2007 us=79999 IFCONFIG POOL: base=192.168.177.50 size=11
Tue Mar 27 17:36:03 2007 us=149999 Initialization Sequence Completed
Tue Mar 27 17:36:03 2007 us=679999 MULTI: multi_create_instance called
Tue Mar 27 17:36:03 2007 us=679999 10.41.101.1:1194 Re-using SSL/TLS context
Tue Mar 27 17:36:03 2007 us=759999 10.41.101.1:1194 LZO compression initialized
Tue Mar 27 17:36:03 2007 us=879999 10.41.101.1:1194 Control Channel MTU parms [ L:1590 D:138 EF:38 EB:0 ET:0 EL:0 ]
Tue Mar 27 17:36:03 2007 us=879999 10.41.101.1:1194 Data Channel MTU parms [ L:1590 D:1450 EF:58 EB:135 ET:32 EL:0 AF:3/1 ]
Tue Mar 27 17:36:03 2007 us=939999 10.41.101.1:1194 UDPv4 READ [14] from 10.41.101.1:1194: P_CONTROL_HARD_RESET_CLIENT_V2 kid=0 [ ] pid=0 DATA len=0
Tue Mar 27 17:36:03 2007 us=949999 10.41.101.1:1194 TLS: Initial packet from 10.41.101.1:1194, sid=7ff0bf6c fd148e10
Tue Mar 27 17:36:03 2007 us=949999 10.41.101.1:1194 UDPv4 WRITE [26] to 10.41.101.1:1194: P_CONTROL_HARD_RESET_SERVER_V2 kid=0 [ 0 ] pid=0 DATA len=0
Tue Mar 27 17:36:04 2007 us=169999 10.41.101.1:1194 UDPv4 READ [22] from 10.41.101.1:1194: P_ACK_V1 kid=0 [ 0 ]
Tue Mar 27 17:36:04 2007 us=179999 10.41.101.1:1194 UDPv4 READ [102] from 10.41.101.1:1194: P_CONTROL_V1 kid=0 [ ] pid=1 DATA len=88
Killed
/var/mod/root #

danach kommt für Minuten nichts...

So klappt es dann beim statisch gelinkten:

Code:

/var/mod/root # /tmp/openvpn-with-lzo --verb 3 --config /tmp/openvpn.config
Tue Mar 27 17:37:07 2007 OpenVPN 2.1_rc1 mipsel-linux [SSL] [LZO2] [EPOLL] built on Jan  5 2007
Tue Mar 27 17:37:08 2007 Diffie-Hellman initialized with 1024 bit key
Tue Mar 27 17:37:08 2007 WARNING: file '/tmp/flash/box.key' is group or others accessible
Tue Mar 27 17:37:08 2007 TLS-Auth MTU parms [ L:1590 D:138 EF:38 EB:0 ET:0 EL:0 ]
Tue Mar 27 17:37:08 2007 TUN/TAP device tap0 opened
Tue Mar 27 17:37:08 2007 TUN/TAP TX queue length set to 100
Tue Mar 27 17:37:08 2007 /sbin/ifconfig tap0 192.168.177.1 netmask 255.255.255.0 mtu 1500 broadcast 192.168.177.255
Tue Mar 27 17:37:08 2007 Data Channel MTU parms [ L:1590 D:1450 EF:58 EB:135 ET:32 EL:0 AF:3/1 ]
Tue Mar 27 17:37:08 2007 Socket Buffers: R=[65535->65534] S=[32767->65534]
Tue Mar 27 17:37:08 2007 UDPv4 link local (bound): 10.41.101.123:1194
Tue Mar 27 17:37:08 2007 UDPv4 link remote: [undef]
Tue Mar 27 17:37:08 2007 MULTI: multi_init called, r=256 v=256
Tue Mar 27 17:37:08 2007 IFCONFIG POOL: base=192.168.177.50 size=11
Tue Mar 27 17:37:08 2007 Initialization Sequence Completed
Tue Mar 27 17:37:09 2007 MULTI: multi_create_instance called
Tue Mar 27 17:37:09 2007 10.41.101.1:1194 Re-using SSL/TLS context
Tue Mar 27 17:37:09 2007 10.41.101.1:1194 LZO compression initialized
Tue Mar 27 17:37:09 2007 10.41.101.1:1194 Control Channel MTU parms [ L:1590 D:138 EF:38 EB:0 ET:0 EL:0 ]
Tue Mar 27 17:37:09 2007 10.41.101.1:1194 Data Channel MTU parms [ L:1590 D:1450 EF:58 EB:135 ET:32 EL:0 AF:3/1 ]
Tue Mar 27 17:37:09 2007 10.41.101.1:1194 Local Options hash (VER=V4): '26e19fc0'
Tue Mar 27 17:37:09 2007 10.41.101.1:1194 Expected Remote Options hash (VER=V4): 'b498be7c'
Tue Mar 27 17:37:09 2007 10.41.101.1:1194 TLS: Initial packet from 10.41.101.1:1194, sid=2846c022 81a89c91
Tue Mar 27 17:37:10 2007 10.41.101.1:1194 VERIFY OK: depth=1, /C=DE/ST=NRW/L=XXXXX/O=XXXXX/CN=fritzbox_BI/emailAddress=XXXXX
Tue Mar 27 17:37:10 2007 10.41.101.1:1194 VERIFY OK: depth=0, /C=DE/ST=NRW/O=XXXX/CN=client2/emailAddress=XXXXX
Tue Mar 27 17:37:10 2007 10.41.101.1:1194 Data Channel Encrypt: Cipher 'AES-128-CBC' initialized with 128 bit key
Tue Mar 27 17:37:10 2007 10.41.101.1:1194 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Tue Mar 27 17:37:10 2007 10.41.101.1:1194 Data Channel Decrypt: Cipher 'AES-128-CBC' initialized with 128 bit key
Tue Mar 27 17:37:10 2007 10.41.101.1:1194 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Tue Mar 27 17:37:11 2007 10.41.101.1:1194 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
Tue Mar 27 17:37:11 2007 10.41.101.1:1194 [client2] Peer Connection Initiated with 10.41.101.1:1194
Tue Mar 27 17:37:12 2007 client2/10.41.101.1:1194 PUSH: Received control message: 'PUSH_REQUEST'
Tue Mar 27 17:37:12 2007 client2/10.41.101.1:1194 SENT CONTROL [client2]: 'PUSH_REPLY,route 192.168.177.0 255.255.255.0,ping 10,ping-restart 120,ifconfig 192.168.177.50 255.255.255.0' (status=1)
Tue Mar 27 17:37:15 2007 client2/10.41.101.1:1194 MULTI: Learn: 00:ff:58:6f:17:d5 -> client2/10.41.101.1:1194
Tue Mar 27 17:37:18 2007 event_wait : Interrupted system call (code=4)
Tue Mar 27 17:37:18 2007 TCP/UDP: Closing socket
Tue Mar 27 17:37:18 2007 Closing TUN/TAP interface
Tue Mar 27 17:37:18 2007 SIGINT[hard,] received, process exiting
/var/mod/root #

Hat jemand Zertifikate schonmal mit einem dsmod 2.4er Kernel zum Laufen gebracht? Für alle anregungen wo ich noch suchen könnte bin ich dankbar. Denn bei Dateigrößen von 3MB zu 450KB ist das schon ein gewaltiger Unterschied

Vielen Dank und Grüße

Jörg


PS: Bei einer Fritzbox Fon Wlan konnte ich zumindest das "nIchtfunktionieren" nachvollziehen. Aus Platzmangel passt leider NUR das openvpn ins Image nicht mehr der dropbear, so dass ich auf die Schnelle das statische Binary nicht draufgekriegt habe...

[olistudent]

Hi.
Der Unterschied ist natürlich nicht ganz so groß, weil du noch die openssl-Libs brauchst. Hier hatten wir mal das Problem, dass die Libs nicht mit dem Compiler-Flag "-march=4kc" kompiliert werden dürfen. "-mips32" sollte es auch tun.

MfG Oliver

[MaxMuster]

Hallo Oliver,

danke für den Tip(p). Ein einfaches "libs austauschen" führte nur zum segfault.Da ich den "make precompiled" Lauf noch in laaanger Erinnerung habe und erst am Donnerstag wieder an die Maschine komme, auf der ich das hab durchlaufen lassen, melde ich mich dann erst mit dem Ergebnis!

Jörg

[knox]

also die aktuellen openssl.mk und openvpn.mk aus dem ds-0.2.9_26-14 sollten sich problemlos auch in ein altes ds-mod übertragen und dort ohne großen zeitaufwand für's compilen nutzen lassen:

Code:

make openssl-dirclean
make openssl-precompiled
make openvpn-dirclean
make openvpn-precompiled

[MaxMuster]

Hallo Knox,

mein erster Versuch, direkt ein make openvpn-precompiled anzustoßen führte meiner Erinnerung nach direkt zu einer Fehlermeldung (weil er was aus der Toolchain nicht hatte?!? - ist doch schon drei Tage her ) Daher hatte ich dann mal eine "make precompiled" komplett durchlaufen lassen, das hat dan gefunzt.
Momentan komme ich wie gesagt nich an den Rechner, daher weiß ich auch nicht genau, wie das make für die ssl-libs aussieht. Aber ich denke durchaus auch, dass mein Problem in diese Richtung geht (hätte ich den anderen Thread dazu nur _richtig_ gelesen, dann hätte ich nicht nur auf das forking (was ganz am Ende stand) getippt. So sorry (Schäm).

Grüße vom Flughafen Hannover!

Jörg


EDIT 29.03.: Es hat tatsächlich geklappt, mit geändertem Makefile funktionieren die Libs! DANKE!

[dsteinkopf]

Hallo,

ich experimentiere mit dem ds-0.2.9_26-14.2:

Wenn ich bei make menuconfig bei openvpn "mit lzo" NICHT anwähle, sucht er auf http://netfreaks.org/ds-mod nach
openvpn-2.1_rc2-dsmod-0.6c.tar.bz2 statt
openvpn-2.1_rc2-dsmod-0.6c-lzo.tar.bz2 .

Und das gibt es nicht. Wenn ich "mit lzo" anwähle geht es.


Entweder muss auf dem Server eine openvpn-2.1_rc2-dsmod-0.6c.tar.bz2 eingestellt werden oder (vielleicht einfacher ) im Mod-Paket die Option "mit LZO" entfernt werden. Oder sehe ich da was falsch?

Dirk

[hermann72pb]

Ich erinnere mich im Dunklen irgendwo von knox (oder von jemanden anderen) gelesen zu haben, dass seit einer gewissen Zeit und Version "mit lzo" nun immer ausgewählt werden muss. Deswegen steht es auch per default so. Warum es so ist, können dir die Entwickler sagen. Warum willst du es denn "ohne lzo" haben? Reicht es nicht nachträglich in der configdatei lzo zu deaktivieren?