OpenVPN-Paket

[stinkstiefel]

openvpn + iptables

[red_schumi]

...danke stinkstiefel.

avm-firewall gehört nicht zufällig auch noch dazu? dann muß man die ar7.cfg nicht editieren, oder?

Zur Konfiguration kannst Du nichts beitragen?

Gruß

Wolfgang

[MaxMuster]

Auch nach stundenlangem lesen und probieren

War denn beim Lesen dieser Thread auch dabei, oder dieser? Bei beiden ging es um SwissVPN und die Verbindung hat geklappt, beim zweiten sogar inclusive iptables. Arbeite die doch mal durch, damit solltest du das auch hinbekommen .

Jörg

[red_schumi]

Danke Jörg für den Hinweis. Ich werde das jetzt nochmals probieren.
Den ersten von Dir genannten Thread hab ich übersehen.

Wenn es denn nicht hinhaut, dann würde ich Dir nochmals "nochmals auf die Pelle rücken".

Wolfgang

[cando]

Ich weiss, es ist ein sehr alter Thread, aber ich habe mich mit dem Thema openvpn noch nie wirklich auseinandergesetzt.

Muss man die Bibliotheken statisch bauen, damit es mit dem AVM SSL keine Probleme gibt, oder kann man die auch dynamisch bauen? Ich habe die 7390 Fon WLAN mit DECT und wollte mal das openvpn antesten. Welche Optionen im Menuconfig von openvpn braucht man dafür? (statische Bibliotheken, lzo Kompressen, Management Console, Optimierung der Größe?)

Danke für Eure Tipps!

[MaxMuster]

Seit die Freetz-Libs in einem eigenen Verzeichnis sind, sollte auch dynamisches Bauen kein Problem mehr sein (wenn nichts anderes dis SSL-Libs benötigt, dürfte statisch Linken aber im Resultat ein noch etwas kleineres Binary ergeben, als Binary + Libs).

LZO ist für die Komprimierung der Daten, wenn die Gegenstelle das benötigt, muss es drin sein, aber ansonsten sollte es auch nicht Schaden; ich würd es immer mit reinnehmen, denn bei der Box sollte der Größenunterschied nicht so stark "schmerzen".

Ob du die Management-Konsole brauchst denke ich eher nicht (wenn du danach fragst ); die Größenoptimierung nimmt ein paar weniger gebräuchliche Optionen "en block" aus dem Binary (hauptsächlich z.B. detaillierte Help-Message).

Jörg

[JohnDoe42]

Hallo cando,

auf meiner 7170 läuft bzw. lief OpenVPN in Verbindung mit external problemlos. Soweit ich glaube zu wissen, vergrößern statische Libs das Image, deshalb hab' ich die Option immer weggelassen. Alles andere hab' ich ausgewählt. Wie gesagt, zumindest aus dem aktuellen stable-branch läuft (auf meiner 7170) alles einwandfrei.
Grüße,

JD.

[cando]

Vielen Dank, jetzt sehe ich etwas klarer.

Ich habe es mal "mit allem" versucht, da die Box ja genügend Ressourcen hat....

[KingTutt]

Hallo,

ich habe festgestellt, dass der OpenVPN Server eine Route immer doppelt pushed. Im Logfile sieht das dann so aus:
Wed Jun 15 10:08:14 2011 C:\WINDOWS\system32\route.exe ADD 10.0.0.0 MASK 255.255.255.0 10.0.0.1
OK!
Wed Jun 15 10:08:14 2011 C:\WINDOWS\system32\route.exe ADD 192.168.39.0 MASK 255.255.255.0 10.0.0.1
OK!
Wed Jun 15 10:08:14 2011 C:\WINDOWS\system32\route.exe ADD 192.168.39.0 MASK 255.255.255.0 10.0.0.1
Hinzufügen der Route fehlgeschlagen: Das Objekt ist bereits vorhanden.

Wenn ich mir in der RudiShell mit 'cat /var/mod/etc/openvpn.conf' die Pushoptionen meiner Server config ansehe,

push "dhcp-option DNS 192.168.39.2"
push "dhcp-option WINS 192.168.39.2"
push "route 10.0.0.0 255.255.255.0"
push "route-gateway 10.0.0.1"
push "route 192.168.39.0 255.255.255.0 10.0.0.1"
push "route-gateway 10.0.0.1"
push "route 192.168.39.0 255.255.255.0"

dann könnte es sein, dass bei der letzten pushoption das Geateway won Windows automatisch ergänzt wird (da schon vorhanden) und daher der Fehler rührt. Habe ich eine Möglichkeit, die letzte Pushoption einmal aus der config zu löschen?
Wenn ich mit der Rudishell die Datei bearbeite, dann ist nach dem Neustart der OpenVPN Dienstes die gelöschte Option immer wieder vorhanden. Auch ein 'modsave flash' hat nicht geholfen. Was mache ich falsch?

[MaxMuster]

In der Tat ist die "route" Zeile auch ohne Ziel identisch zu der Zeile mit Gateway, wenn der Eintrag im Befehl "route-gateway" dieses Gateway setzt...

Das ganze ist vermutlich eine Eigenart (um nicht zu sagen, ein Fehler) in dem Skript, das die Konfig erzeugt.
Gut möglich, dass da zwei Zweige für die "push"-Einträge existieren, die bei bestimmten Einstellungen beide durchlaufen werden.
Vielleicht könntest du mal deine "eigentliche" Freetz-OpenVPN-Konfig posten, aus der dann das OpenVPN-Konfugurationsfile gebaut wird (cat /mod/etc/conf/openvpn.cfg)?


Jörg

[KingTutt]

Hallo Jörg,

cat /mod/etc/conf/openvpn.cfg liefert folgenden output:
export OPENVPN_ADDITIONAL='#'
export OPENVPN_AUTH_TYPE='static#certs'
export OPENVPN_AUTOSTART='#yes'
export OPENVPN_BOX_IP='#10.0.0.1'
export OPENVPN_BOX_MASK='255.255.255.0#255.255.255.0'
export OPENVPN_CIPHER='BF-CBC#BF-CBC'
export OPENVPN_CLIENT2CLIENT='#yes'
export OPENVPN_CLIENTS_DEFINED='#0'
export OPENVPN_CLIENT_INFO='#yes'
export OPENVPN_CLIENT_IPS='#'
export OPENVPN_CLIENT_MASKS='#'
export OPENVPN_CLIENT_NAMES='#'
export OPENVPN_CLIENT_NETS='#'
export OPENVPN_COMPLZO='yes#yes'
export OPENVPN_CONFIG_CHANGED='new#yes'
export OPENVPN_CONFIG_COUNT='1'
export OPENVPN_CONFIG_NAMES='DEFAULT#'
export OPENVPN_DEBUG='#'
export OPENVPN_DEBUG_TIME='10#10'
export OPENVPN_DHCP_CLIENT='#'
export OPENVPN_DHCP_RANGE='#10.0.0.2 10.0.0.9'
export OPENVPN_ENABLED='yes'
export OPENVPN_EXPERT='yes'
export OPENVPN_FLOAT='#'
export OPENVPN_IPV6='#'
export OPENVPN_KEEPALIVE='yes#yes'
export OPENVPN_KEEPALIVE_PING='10#10'
export OPENVPN_KEEPALIVE_TIMEOUT='120#120'
export OPENVPN_LOCAL='#'
export OPENVPN_LOCAL_NET='#192.168.39.0 255.255.255.0'
export OPENVPN_LOGFILE='#'
export OPENVPN_MAXCLIENTS='1#4'
export OPENVPN_MGMNT='#'
export OPENVPN_MODE='server#server'
export OPENVPN_MTU='1500#1500'
export OPENVPN_NO_CERTTYPE='#'
export OPENVPN_OWN_KEYS='#'
export OPENVPN_PARAM_1='#'
export OPENVPN_PARAM_2='#'
export OPENVPN_PARAM_3='#'
export OPENVPN_PORT='#1194'
export OPENVPN_PROTO='udp#tcp'
export OPENVPN_PULL='#'
export OPENVPN_PUSH_DNS='#192.168.39.2'
export OPENVPN_PUSH_WINS='#192.168.39.2'
export OPENVPN_REDIRECT='#'
export OPENVPN_REMOTE='#'
export OPENVPN_REMOTE_IP='#192.168.200.2'
export OPENVPN_REMOTE_NET='#'
export OPENVPN_SHAPER='#'
export OPENVPN_TAP2LAN='#'
export OPENVPN_TLS_AUTH='#'
export OPENVPN_TYPE='tun#tap'
export OPENVPN_UDP_FRAGMENT='#'
export OPENVPN_VERBOSE='3#3'

Dort steht die route bzw. der Parameter LOCAL_NET aus dem vermutlich der config generiert wird nur einmal drin..
Ich muss gestehen, dass ich nicht geschaut habe, ob da in letzter Zeit ein Fix/Pacth im Freetz devel Zweig gewesen ist. Nach der Version unter Freetz habe ich zur Zeit nen "devel-6328" am laufen.

Nachtrag:
Ich habe mal im svn nachgeschaut. Dort ist vor ca. 4 Wochen ein Patch (von Dir?) eingeflossen, der aber wohl nur ein Problem behebt, wenn das default Gateway umgeleitet wird. Zumindest ist Dein Name mit ? erwähnt:
http://freetz.org/changeset/7007/tru...n/openvpn_conf
Ob mein Problem damit zusammenhängt kann ich ohne Testen nicht beurteilen...

Nachtrag2:
Ich habe mir mal das Skript im aktuellen SVN trunk angesehen, welches aus der openvpn.cfg die openvpn.conf generiert und dabei die push Einträge verglichen.

• Zeile 111 generiert: push "dhcp-option DNS 192.168.39.2"
• Zeile 114 generiert: push "dhcp-option WINS 192.168.39.2"
• Zeile 123 generiert: push "route 10.0.0.0 255.255.255.0"
• Zeile 137 generiert: push "route-gateway 10.0.0.1"
• Zeile 149 generiert wegen LOCAL_NET: push "route 192.168.39.0 255.255.255.0 10.0.0.1"
  Jetzt kommen die Settings wegen dem TAP Device
• Zeile 209 generiert erneut: push "route-gateway 10.0.0.1"
• Zeile 212 generiert erneut wegen LOCAL_NET: push "route 192.168.39.0 255.255.255.0"

Es ist also reproduzierbar, wie meine config zustande kommt. Wie man aber jetzt verhindert, dass manche Optionen doppelt/mehrfach gesetzt werden, ist bestimmt nicht ganz einfach, da es ja X-verschiedene Kombinationen gibt. Evtl. müsste man sich im Skript lokale Variablen setzen welche speichern, ob man ein(e) route-gateway,route bereits gesetzt hat, damit sie nicht mehrfach gesetzt werden. Lohnt es sich ein Ticket dafür auf zumachen oder kann das jemand ganz einfach fixen? Letztes mal war Oliver im fixen ja schneller als man das Ticket ausgefüllt und beschrieben hatte

[MaxMuster]

Keine Ahnung, wann das reingekommen ist, es sollte aber auch nicht so dramatisch sein, wenn Optionen "doppelt" drin sind (solange sie sich nicht widersprechen )

Du könntest mal die anhängende Datei als "openvpn_conf" nutzen: Auspacken und auf die Box nach /tmp/flash/openvpn_conf bringen (ggf. noch per "chmod +x" ausführbar machen) und schauen, ob die noch funktioniert und ob sie "besser" ist.

Jörg

[KingTutt]

Hallo Jörg,
ich werde die config mal testen. Muss mir nur erst nen Bypass legen, damit ich im Zweifelfall noch wieder an die Box komme. Ich bin kein shell/bash Experte, was mir aber in Deiner config aufgefallen ist: Werden nicht Stringvergleiche in if Abfragen typischerweise mit "==" verglichen? Ein einfaches "=" ist doch eine Zuweisung und damit dann immer true oder?

Und wenn ich Deine config auf der Box habe, reicht dann ein einfacher Neustart des Dienstes oder sind noch weitere Anweisungen erforderlich?

[MaxMuster]

Moin,

nein, in einem Test ist "=" nur eine Abfrage, keine Zuweisung, und "$X == $Y" ist in diesem Falle ein Synonym für "$X = $Y" (siehe z.B. hier).

Wenn die Datei im flash ist, ist diese Art der "Erzeugung" dann resetfest (nach einem "modsave") du kannst die Datei aber auch nach /tmp/ kopieren und über die aktuelle Version "drübermounten" (mount -o bind /tmp/openvpn_conf /etc/default.openvpn/openvpn_conf), das ist dann nach einem Reset wieder weg...

Ein "Restart" des Dienstes sollte dann die neue Config bauen.

Mit "sh /tmp/openvpn_conf config.test" (wichtig: die Datei darf dann nur "penvpn_conf" heißen, ohne _tmp am Ende) kannst du auch direkt eine Test-Config erzeugen und vergleichen...

Jörg

[RalfFriedl]

Zur Ergänzung:
In C ist '=' eine Zuweisung und '==' ein Vergleich.
In POSIX test ist '=' ein Vergleich und '==' gar nicht erwähnt. Der Operator '==' ist eine Erweiterung in bash und auch in der Busybox Shell, da dies nicht viel Platz benötigt und manche auch in Shell-Skripten '==' statt '=' nutzen.

[KingTutt]

Vielen Dank für die Aufklärung, ich kannte bisher nur die Variante aus C.

@MaxMuster
Ich habe Deine Variante getestet und Sie verhindert erfolgreich die doppelten Routen.
Zusätzlich sind auch noch die beiden Optionen 'topology subnet' und 'push "topology subnet"' weggefallen da Sie in Deinem Skript von der Variablen TUNSUBNET abhängen, welche es in meiner alten (originalen) Version nicht gab. Es scheint aber nach wie vor alles prima zu funktionieren und die doppelten Routen sind jedenfalls weg. Vielen Dank dafür!

Ein kleines Problem habe ich noch dabei, das alte Skript mit dem neuen Skript zu ersetzen. Das auf die Box nach /tmp/flash/openvpn_conf bringen ist kein Problem, resetfest mit einem "modsave" ebenso wenig.
Aber irgendwie muss doch das Original im Verzeichnis /etc/default.openvpn/ doch noch durch das in /tmp/flash/ ersetzt werden? Nach einem Reboot der Box wird doch sonst nach wie vor das alte Skript verwendet.

[MaxMuster]

Dafür müsstest du diese Version in den Ordner make/openvpn/files/root/etc/default.openvpn/ bringen (und die Version dort ersetzen). Danach ein "make openvpn-clean ; make" und die neue Version sollte im Image sein (du kannst das selbst prüfen, ob die Datei unterhalb von build/modified/filesystem die "richtige" ist.

Die Logik von freetz prüft aber zuerst auf eine <paket>_conf Datei in /tmp/flash/ und nutzt diese bevorzugt vor der Version im /etc/default.<paket> Ordner, so das diese neue Version auch so dauerhaft genutzt wird.

Jörg

[KingTutt]

Ah OK, ich wusste nicht, dass _conf Dateien in /tmp/flash bevorzugt behandelt werden, dass erklärt warum die Datei dann dauerhaft benutzt wird. Evtl. solltest Du Deine Version (wenn sie auch mit tun-devices korrekt funktioniert) mit ins Freetz SVN einfließen lassen. Vielen Dank auf jeden Fall noch einmal für die Hilfe!

[paulschwarz]

Hallo zusammen,

Nachdem alle Forenbeiträge zum Thema gelesen habe, wende ich mich nun an euch in der Hoffnung ein Tipp oder nützlichen Hinweis zu bekommen, der mir mit meinem Problem weiter bringen kann.

Ich besitze eine FB 7112 mit FM 87.04.87. Ich habe vor ein paar Wochen erstmal ganz klein angefangen und Freetz auf dem Gerät geladen, ohne zus. Pakete. Nachdem alles wunderbar geklappt hat, wage ich mich immer mehrere Pakete in den image hinzu zufügen. Bis jetzt hat alles gut geklappt.

Nun versuche ich seit einigen Tagen OpenVPN zum laufen zu kriegen, um mich mit einem Win7 Client Remote einzuwählen. Ich habe diese Einleitung gefolgt und ich weiß nicht an welche Stelle ich was falsch mache.

Folgendes klappt:

1. Firmware: 87.04.87 mit freetz-1.2-stable (Packete: OpenVPN, SSH, AVM-Firewall) erfolgreich auf der FB geladen.
2. DynDNS aktiviert und konfiguriert, damit ich meine dynamische IP erreichen kann.
3. Mit der AVM-Firewall einen Portforwarding für UDP 1194 an der 0.0.0.0 eingetragen.

firewall.png

4. OpenVPN gestartet und Static.key wird generiert.
5. Die openvpn.conf auf der FB lautet:

openvpnconfig.png

5. Per SSH die Static.key aufm USB-Stick kopiert.
6. Auf dem Win7, 32-Bit Client OpenVPN 2.2.0 installiert, Static.key kopiert und mit folgende Konfiguration in die config.txt gestartet:

winconfig.png

Beim Aufbau der Verbindung komme ich nicht weiter als hier:

wincmd.png

Im Netzwerk wo die FB läuft kann ich die Box über 192.168.200.1 pingen. Das klappt.

Den Port 1194 sollte beim Router vor den Win7-Clients offen sein. canyouseeme.Org bestätigt, dass der Port offen ist. Die Firewall auf der Maschine ist auch aus.

Hat jemand eine Idee, warum die Verbindung nicht aufgebaut werden kann und nur beim Handschake bleibt?

Vielen Dank im voraus,
Paul

[MaxMuster]

Esrtmal die "unkritischen Fehler"
Was hat das mit der Fehlermeldung "FlushIpNetTable failed on ..." auf sich? Muss du das evtl. als Administrator starten?
Bei Windows ab Vista solltest du die beiden Optionen "route-method exe" und "route-delay 2" hinzufügen.

Die Antwort zu deinem Problem findest du, wenn du mal die beiden Configs vergleichst, und nach "lzo" suchst, siehe auch im deutlich aktuelleren Freetz Wiki dazu bei "typisches Fehlerbild (ich tippe mal auf mindestens 20% aller Probleme )"

Jörg