OpenVPN-Paket

[MaxMuster]

Theoretisch sollte "--enable-iproute2" das können, wenn ich das auf die Schnelle richtig gelesen habe ("Enable support for iproute2").

[frank_m24]

Danke, das werde ich austesten. Leider ist es eine Build Option, und Austausch der Fritzbox Firmware ist vor nächster Woche Montag nicht drin. Dann werde ich weiter testen.

Ich hatte mir noch mal den Source Code angesehen, u.a. den IPv6 Payload Patch in freetz. Das "inet6" im ifconfig Aufruf steht statisch im Code. Daraus gibt es also keinen eleganten Weg - außer den Patch anzupassen bzw. noch einen Patch zu machen.

[RalfFriedl]

Du kannst ipconfig durch ein Skript ersetzten, das die Parameter untersucht und das echte ipconfig oder ip aufruft.

[frank_m24]

Ich hatte heute überraschend Zeit, mich ein bisschen damit zu beschäftigen.

Ich hab hier eine 7270 zum Testen zur Verfügung. Dafür hab ich eine 54.05.05-freetz-devel-8783M gebaut. Ich habe in der openvpn.mk folgende Zeilen hinzugefügt:

Code:

$(PKG)_CONFIGURE_OPTIONS += --enable-iproute2
$(PKG)_CONFIGURE_OPTIONS += --with-iproute-path=/bin/ip

Letzteres muss sein, da openvpn sonst /sbin/ip sucht.

Soweit, so gut. ip wird benutzt, und eigentlich auch mit richtigen Parametern. Wenn ich die Kommandos, die openvpn absetzt, von Hand ausprobiere, dann sind sie vom Syntax her korrekt und funktionieren eigentlich auch (zumindest auf der 7390).

Auf der 7270 tritt nun aber ein anderes Problem auf: Nicht auf allen Interfaces kann man IPv6 Adressen hinzufügen. Das Interface "guest" funktioniert zum Beispiel. Aber tun0 geht nicht. Versucht man, eine IPv6 Adresse hinzuzufügen, bekommt man ein "permission denied". Egal, ob man ip oder ifconfig verwendet. Auch als Root. Wenn ich es richtig sehe, dann funktionieren alle Interfaces, auf denen AVM IPv6 Adressen hinzufügt, sobald man IPv6 in der Box aktiviert. Auf allen Interfaces, auf denen keine IPv6 Adressen vorhanden sind, kann man auch keine hinzufügen.

Ich hab mich per SSH mal auf meine 7390 eingeloggt, dort kann ich per ip oder ifconfig IPv6 Adressen zu tun0 hinzufügen, auch wenn dort noch keine vorhanden ist.

Was ist der Unterschied zwischen den Boxen?

[MaxMuster]

"Blöde" Frage: Ist das OpenVPN auch für IPv6 gebaut? Das "alte" OpenVPN muss das noch per "Patch" bekommen und mit einem "--enable-ipv6" gebaut werden.

[frank_m24]

Ja, ist es. Wird in der openvpn.mk in Abhängigkeit der globalen IPv6 Einstellung aktiviert:

Code:

$(PKG)_CONFIGURE_OPTIONS += $(if $(FREETZ_TARGET_IPV6_SUPPORT),--enable-ipv6,--disable-ipv6)

[MaxMuster]

Hab gerade mal mein "Test-OpenVPN" 2.3-alpha1 auf eine 7270 ohne OpenVPN gebracht:

Code:

root@fritz:/var/tmp# ./openvpn23  --genkey --secret my.key
root@fritz:/var/tmp# ifconfig tun0
ifconfig: tun0: error fetching interface information: Device not found
root@fritz:/var/tmp# ./openvpn23 --dev tun --ifconfig 10.8.0.1 10.8.0.2 --secret ./my.key --cipher AES-128-CBC --daemon
root@fritz:/var/tmp# ifconfig tun0
tun0      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00  
          inet addr:10.8.0.1  P-t-P:10.8.0.2  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP ALLMULTI MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:3 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100 
          RX bytes:0 (0.0 B)  TX bytes:132 (132.0 B)

root@fritz:/var/tmp# ip -f inet6 address add  FD00::1:123  dev tun0
root@fritz:/var/tmp# ifconfig tun0
tun0      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00  
          inet addr:10.8.0.1  P-t-P:10.8.0.2  Mask:255.255.255.255
          inet6 addr: fd00::1:123/128 Scope:Global
          UP POINTOPOINT RUNNING NOARP ALLMULTI MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:6 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100 
          RX bytes:0 (0.0 B)  TX bytes:240 (240.0 B)

root@fritz:/var/tmp#

Ich hänge das mal an, ist mit polarssl gebaut, deshalb mit Einschränkungen (besonders: Kein "Blowfish")

[frank_m24]

Der "ip" Befehl endet bei mir so:

Code:

root@fritz:/var/mod/root# ip -f inet6 address add  FD00::1:123  dev tun0
ip: RTNETLINK answers: Permission denied

aber:

Code:

root@fritz:/var/mod/root# ip -f inet6 address add  FD00::1:123  dev guest
root@fritz:/var/mod/root# ifconfig
<snip>
guest     Link encap:Ethernet  HWaddr 00:24:FE:3D:70:20
          inet addr:192.168.179.1  Bcast:192.168.179.255  Mask:255.255.255.0
          inet6 addr: fd00::1:123/128 Scope:Global
          inet6 addr: <...>/64 Scope:Global
          inet6 addr: <...>/64 Scope:Global
          inet6 addr: <...>/64 Scope:Link
          UP BROADCAST RUNNING ALLMULTI MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:690 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:0 (0.0 B)  TX bytes:53500 (52.2 KiB)
<snip>
tun0      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
          inet addr:192.168.200.14  P-t-P:192.168.200.13  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1500  Metric:1
          RX packets:2 errors:0 dropped:0 overruns:0 frame:0
          TX packets:4 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100
          RX bytes:168 (168.0 B)  TX bytes:336 (336.0 B)

Was ist an deinem TUN Interface anders, als bei mir? TUN ist ja unabhängig von OpenVPN. Welche Firmware hast du drauf? Vielleicht mit Replace Kernel?

[MaxMuster]

Ist eine Version "7270_v2_04.88freetz-1.2-stable.de" mit replace kernel.

EDIT: Ist das vielleich das gleiche wie hier, ganz unten?

Versuche doch mal ein "cat /proc/sys/net/ipv6/conf/default/disable_ipv6 " und bei Bedarf ein

Code:

echo 0 > /proc/sys/net/ipv6/conf/default/disable_ipv6

Obwohl: Bei mir steht dort auch eine 1 drin...

[frank_m24]

Ja, das ist es. Wurde die Änderung vorgenommen, dann kann man IPv6 Adressen zu tun0 hinzufügen. Ich hab kein "Replace Kernel", vielleicht ist das ein Problem.

Ich fasse zusammen:

1. Mit den folgenden Änderungen in der openvpn.mk
   
   Code:

   $(PKG)_CONFIGURE_OPTIONS += --enable-iproute2
   $(PKG)_CONFIGURE_OPTIONS += --with-iproute-path=/bin/ip

   benutzt OpenVPN iproute2 mit einem Syntax, der auch auf der Fritzbox fehlerfrei ausgeführt werden kann (Alternativ könnte man den Payload Patch anpassen, dass das "inet6" im ifconfig Aufruf wegbleibt).
   
   
2. Auf einigen Boxen (z.B. 7270 mit 54.05.05) ist vor dem Start von OpenVPN ein
   
   Code:

   echo 0 > /proc/sys/net/ipv6/conf/default/disable_ipv6

   erforderlich, damit die IPv6 Adressen auf die Interfaces hinzugefügt werden können. Ich hab das nun in der debug.cfg stehen.
   Auf einer 7390 funktioniert es ohne diesen Aufruf.

Danke für eure Hilfe. Jetzt spricht mein OpenVPN Netz auch IPv6.

[vice_pres]

Jetzt steh ich auch aufm Schlauch...

Ich habe einen vServer im Intnet der als VPN-Gateway dient (für iOS und die Fritzboxen meiner Familie zwecks Fernwartung...) - mein Bruder hat jetzt ne neue Box bekommen. Folgendes Problem (von dem mir meine ehemaligen Arbeitskollegen auch erzählten die ne gefritzte Box einsetzen wollten als VPN-Client):

- Fritzbox baut eine Verbindung vom VPN-GW auf
- Fritzbox erreicht die "entfernten" Netze per Ping und diverser anderern Ports - also funktioniert der Tunnel
- Andere Clients erreichen die Fritzbox auf ihrer VPN-IP ebenfalls
- Client hinter der Fritzbox kommt nicht ins VPN rein
- Routingeinträge sind vorhanden - werden aber scheinbar nicht genutzt...

Firmware: FRITZ!OS 05.09-freetz-devel-8865 BETA
(Openvpn und dropbear)

Gleiches Verhalten war aber wie gesagt auch mit einer 3270 reproduzierbar mit aktueller Firmware.

Jemand eine Idee?

Gruß
Peter

Edith sagt:
Oh man... ich bin einfach total durch... iroute Einträge nicht da... buhu

[MaxMuster]

Hast du das mit dem iroute jetzt hinbekommen? Denn das dürfte es wohl sein: mehrere Clients erfordern, dass der Server weiss, welches Netz bei welchem Client ist...

[vice_pres]

Jepp - ich hatte einen Schreibfehler beim ccd File drin - Buchstabendreher - und hab mir nen Ast abgesucht. Erst als ich alles zum dritten mal durchgegangen bin hats "klick" gemacht

Zum Problem mit der 3270 das ich oben erwähnte: Wir hatten (bzw haben immer noch, ich arbeite aber nicht mehr da) mehrere 3270 mit openvpn paket für homeoffice und sowas gebaut. Mit neueren 3270 gings aber nicht mehr, beim Firmware-Downgrade haben sich die Boxen zerschossen. Also neues Image gebaut, danach wars aber so, dass nicht mehr maskiert worden ist: Alles was in den Tunnel sollte, sollte auch mit der Tunnel-IP maskiert werden. Ging aber nicht mehr... Aber is ja mittlerweile nicht mehr mein Problem

[tnisterworth]

Hallo Leute, das ist mein erster Post bitte nicht steinigen wenn was nicht richtig ist! Ich weiß aber mittlerweile nicht mehr weiter! Habe, und das ist keine Floskel, mindestens die letzten 2 Wochen mehrere Stunden am Tag damit verbracht eine halbwegs funktionierende VPN Verbindung aufzubauen.

Momentan ist meine FB7270v2 ein VPN mit meinem Netbook über zwei verschiedene DSL Standorte mit dem tun device verbunden.
Die Fritzbox (VPN Server)steht hinter einem Speedport der auch DSL Router ist. Die FB macht also die Internetverbindung über die Lan Schnitstelle 1 über den Speedport als Gateway.

Zu meiner Konfiguration:

LAN 1
192.168.5.0 255.255.255.0
Gateway: 192.168.5.1 (speedport)
VPN Server: 192.168.5.2 (Fritzbox7270v2 freetz1.2 stable VPN IP 10.1.0.1)
NAS:192.168.5.251

LAN 2
192.168.1.0 255.255.255.0
Gateway 192.168.1.1 (Speedport)
VPN CLient: 192.168.1.101 (Netbook win 7 Ultimate VPN IP 10.1.0.10)

Server.conf auf der Fritzbox

Code:

#  OpenVPN 2.1 Config, Wed May 30 16:09:31 CEST 2012
proto udp
dev tun
ca /tmp/flash/openvpn/xxx_ca.crt
cert /tmp/flash/openvpn/xxx_box.crt
key /tmp/flash/openvpn/xxx_box.key
dh /tmp/flash/openvpn/xxx_dh.pem
tls-server
port 1194
ifconfig 10.1.0.1 10.1.0.2
push "route 192.168.5.0 255.255.255.0"
mode server
ifconfig-pool 10.1.0.10 10.1.0.20
push "route 10.1.0.0 255.255.255.0"
route 10.1.0.0 255.255.255.0
push "dhcp-option WINS 192.168.5.2"
push "dhcp-option DNS 192.168.5.2"
push "dhcp-option DOMAIN test"
client-to-client
tun-mtu 1500
mssfix
verb 3
daemon

Client.conf auf dem Netbook

Code:

client
dev tun
proto udp
remote xxxxxx.dyndns.org 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert xxx.crt
key xxx.key
ns-cert-type server
comp-lzo
cipher BF-CBC
verb 3
tun-mtu 1500
pull

Route auf dem VPN Server Fritzbox (10.1.0.1, 192.168.5.2):

Code:

Kernel IP routing table
Destination     Gateway         Genmask         Flags   MSS Window  irtt Iface
10.1.0.2        *               255.255.255.255 UH        0 0          0 tun1
10.8.0.2        *               255.255.255.255 UH        0 0          0 tun0
192.168.179.0   *               255.255.255.0   U         0 0          0 guest
192.168.5.0     *               255.255.255.0   U         0 0          0 lan
10.1.0.0        10.1.0.2        255.255.255.0   UG        0 0          0 tun1
10.1.0.0        fritz.box       255.255.255.0   UG        0 0          0 lan
169.254.0.0     *               255.255.0.0     U         0 0          0 lan
default         dns.fritz.box   0.0.0.0         UG        0 0          0 lan

Route auf dem VPN Client Netbook(10.1.0.10, 192.168.1.101):

Code:

IPv4-Routentabelle
===========================================================================
Aktive Routen:
     Netzwerkziel    Netzwerkmaske          Gateway    Schnittstelle Metrik
          0.0.0.0          0.0.0.0      192.168.1.1    192.168.1.101     25
         10.1.0.0    255.255.255.0         10.1.0.9        10.1.0.10     30
         10.1.0.8  255.255.255.252   Auf Verbindung         10.1.0.10    286
        10.1.0.10  255.255.255.255   Auf Verbindung         10.1.0.10    286
        10.1.0.11  255.255.255.255   Auf Verbindung         10.1.0.10    286
        127.0.0.0        255.0.0.0   Auf Verbindung         127.0.0.1    306
        127.0.0.1  255.255.255.255   Auf Verbindung         127.0.0.1    306
  127.255.255.255  255.255.255.255   Auf Verbindung         127.0.0.1    306
      192.168.1.0    255.255.255.0   Auf Verbindung     192.168.1.101    281
    192.168.1.101  255.255.255.255   Auf Verbindung     192.168.1.101    281
    192.168.1.255  255.255.255.255   Auf Verbindung     192.168.1.101    281
      192.168.5.0    255.255.255.0         10.1.0.1        10.1.0.10     31
      192.168.5.0    255.255.255.0         10.1.0.9        10.1.0.10     30
        224.0.0.0        240.0.0.0   Auf Verbindung         127.0.0.1    306
        224.0.0.0        240.0.0.0   Auf Verbindung         10.1.0.10    286
        224.0.0.0        240.0.0.0   Auf Verbindung     192.168.1.101    281
  255.255.255.255  255.255.255.255   Auf Verbindung         127.0.0.1    306
  255.255.255.255  255.255.255.255   Auf Verbindung         10.1.0.10    286
  255.255.255.255  255.255.255.255   Auf Verbindung     192.168.1.101    281
===========================================================================
Ständige Routen:
  Keine

PORT 1194 von Speedport Gateway 192.168.5.1 auf Fritzbox7270 192.168.5.2 weitergeleitet!

Verbindungsprotokoll VPN Client Netbook:

Code:

Wed May 30 16:47:49 2012 OpenVPN 2.2.2 Win32-MSVC++ [SSL] [LZO2] [PKCS11] built on Dec 15 2011
Wed May 30 16:47:49 2012 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Wed May 30 16:47:49 2012 LZO compression initialized
Wed May 30 16:47:49 2012 Control Channel MTU parms [ L:1542 D:138 EF:38 EB:0 ET:0 EL:0 ]
Wed May 30 16:47:49 2012 Socket Buffers: R=[8192->8192] S=[8192->8192]
Wed May 30 16:47:50 2012 Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:0 EL:0 AF:3/1 ]
Wed May 30 16:47:50 2012 Local Options hash (VER=V4): '41690919'
Wed May 30 16:47:50 2012 Expected Remote Options hash (VER=V4): '530fdded'
Wed May 30 16:47:50 2012 UDPv4 link local: [undef]
Wed May 30 16:47:50 2012 UDPv4 link remote: xx.x.xxx.xxx:1194
Wed May 30 16:47:50 2012 TLS: Initial packet from xx.x.xxx.xxx:1194, sid=394a98fe e50bbf02
Wed May 30 16:47:50 2012 VERIFY OK: depth=1, /C=DE/ST=xx/L=xxx/O=xx/CN=xxx_CA/emailAddress=xxx@xxxx.xxx
Wed May 30 16:47:50 2012 VERIFY OK: nsCertType=SERVER
Wed May 30 16:47:50 2012 VERIFY OK: depth=0, /C=DE/ST=xxx/L=xx/O=xx/CN=server/emailAddress=xxx@xx.xxx
Wed May 30 16:47:51 2012 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Wed May 30 16:47:51 2012 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed May 30 16:47:51 2012 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Wed May 30 16:47:51 2012 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed May 30 16:47:51 2012 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
Wed May 30 16:47:51 2012 [server] Peer Connection Initiated with xx.x.xxx.xx:1194
Wed May 30 16:47:53 2012 SENT CONTROL [server]: 'PUSH_REQUEST' (status=1)
Wed May 30 16:47:53 2012 PUSH: Received control message: 'PUSH_REPLY,route 192.168.5.0 255.255.255.0,route 10.1.0.0 255.255.255.0,ping 10,ping-restart 120,ifconfig 10.1.0.10 10.1.0.9'
Wed May 30 16:47:53 2012 OPTIONS IMPORT: timers and/or timeouts modified
Wed May 30 16:47:53 2012 OPTIONS IMPORT: --ifconfig/up options modified
Wed May 30 16:47:53 2012 OPTIONS IMPORT: route options modified
Wed May 30 16:47:53 2012 ROUTE default_gateway=192.168.1.1
Wed May 30 16:47:53 2012 TAP-WIN32 device [Local Area Connection 2] opened: \\.\Global\{8C002B27-2BBD-4775-931F-8B04ECBA250A}.tap
Wed May 30 16:47:53 2012 TAP-Win32 Driver Version 9.9 
Wed May 30 16:47:53 2012 TAP-Win32 MTU=1500
Wed May 30 16:47:53 2012 Notified TAP-Win32 driver to set a DHCP IP/netmask of 10.1.0.10/255.255.255.252 on interface {8C002B27-2BBD-4775-931F-8B04ECBA250A} [DHCP-serv: 10.1.0.9, lease-time: 31536000]
Wed May 30 16:47:53 2012 Successful ARP Flush on interface [23] {8C002B27-2BBD-4775-931F-8B04ECBA250A}
Wed May 30 16:47:58 2012 TEST ROUTES: 2/2 succeeded len=2 ret=1 a=0 u/d=up
Wed May 30 16:47:58 2012 C:\WINDOWS\system32\route.exe ADD 192.168.5.0 MASK 255.255.255.0 10.1.0.9
Wed May 30 16:47:58 2012 ROUTE: CreateIpForwardEntry succeeded with dwForwardMetric1=30 and dwForwardType=4
Wed May 30 16:47:58 2012 Route addition via IPAPI succeeded [adaptive]
Wed May 30 16:47:58 2012 C:\WINDOWS\system32\route.exe ADD 10.1.0.0 MASK 255.255.255.0 10.1.0.9
Wed May 30 16:47:58 2012 ROUTE: CreateIpForwardEntry succeeded with dwForwardMetric1=30 and dwForwardType=4
Wed May 30 16:47:58 2012 Route addition via IPAPI succeeded [adaptive]
Wed May 30 16:47:58 2012 Initialization Sequence Completed

So vom Client aus geht folgendes:

ping auf 10.1.0.1 erfolgreich
ping auf 10.1.0.10 erfolgreich
ping auf 192.168.5.2 erfolgreich
ping auf 192.168.5.1 NÖ
ping auf 192.168.5.251 NÖ

Vom Server folgendes:

ping auf 192.168.5.2 erfolgreich
ping auf 192.168.5.1 erfolgreich
ping auf 192.168.5.250 erfolgreich
ping auf 10.1.0.1 erfolgreich
ping auf 10.1.0.10 erfolgreich


Was habe ich vergessen oder übersehen? Will vom VPN CLient nur auf die Nas(192.168.5.251) und deren Netzlaufwerke zugreifen!?

Bitte um Hilfe bin seit mindestens 2 Wochen am experiementieren und testen leider vergeblich!
Wäre für einen entscheidenden Tipp sehr dankbar, vielleicht gibt es ja andere Bereiche wo ich dann helfen kann!??!

[tnisterworth]

Es funktioniert!!! ICh glaubs nicht!!!
Son blöder Fehler.....

Meine Nas hatte als Gateway und DNS den Speedport eingetragen, ist eigentlich logisch den wenn meine Nas antworten sollte, ging sie über den Speedport und der wusste natürlich nichts von meinem VPN Netz!!
Gateway und dns auf meiner Nas mit der IP des VPN Server und schon klappt alles!!!

So solls sein erster Post. ,_)

[c.monty]

Allgemeine Fragen zur Konfiguration

Hallo!

Ich hoffe es nimmt mir niemand übel wenn ich in diesem Thread ein paar generelle Fragen zur Konfiguration stelle.
Je länger ich im Web oder in div. Foren nach Empfehlungen hinsichtlich der Konfiguration suche, umso mehr unterschiedliche und sich teilweise wiedersprechende Empfehlungen finde ich.

Ich möchte ein "typisches" VPN-Szenario realisieren:
- OpenVPN läuft auf der FB (in meinem Fall FB7390) mit einem aktuellen Freetz
- Diverse Clients (Android, Windows XP) sollen sich per OpenVPN verbinden können -> Multiclient
- Alle Clients bekommen eine IP aus dem Adressbereich des Heimnetzes per DHCP zugewiesen und können somit auf alle anderen Geräte im Heimnetz zugreifen
- Die Android-Clients können mittels App "FRITZ! Fon" über die FRITZ!Box bei bestehender VPN-Verbindung telefonieren

Nun zu den Fragen bzgl. der Konfiguration:
1. Welches Protokoll soll verwendet werden: UDP oder TCP?
Ich habe irgendwo gelesen, dass die Verwendung von TCP für einen VPN-Tunnel unvorteilhaft wäre
2. Welcher Methode soll verwendet werden: Bridging oder Routing?
3. Falls Bridging notwendig ist um die Funktion "Telefonieren über FRITZ! Fon" zu realisieren, muss dann auch ein VPN Subnetz konfiguriert werden?
4. Falls Bridging notwendig ist, muss dann die Datei ar7.cfg manuell angepasst werden, oder geht das auch über das UI des Pakets OpenVPN?
5. Muss die verwendete Verschlüsselung in der Client-Konfiguration mit dem Parameter "cipher" eingetragen sein?
6. Ist es ausreichend in den AVM-Firewall Einstellungen den OpenVPN-Port mit entsprechendem Protokoll zu öffnen? Oder müssen weitere Modifikationen manuell durchgeführt werden?

THX

[MaxMuster]

Hi,

gleich mal vorne weg: deine "Bedingungen" sind nicht zwingend so. Um auf alles im Heimnetz zugreifen zu können, ist es nicht erforderlich, dass IPs aus dem Heimnetz verwendet werden. IP ist da deutlich "flexibler". Wäre ja auch z.B. schön blöd, wenn du im Internet kein Geräte erreichen könntest, weil die alle nicht in deinem IP-Netz sind

1. UDP ist besser und empfohlen, weil es weniger Overhead hat.
2. Siehe meinen Kommentar zu Beginn. Es geht durchaus mit Routing (dann ist das VPN-Netz aber ein anderes IP-Netz als dein LAN). Willst du die VPN-Geräte wirklich in dein LAN bekommen, dann musst du Bridging wählen und die IPs aus dem LAN nutzen (möglichst andereals die, die der DHCP der Box vergibt).
3. Weiss nicht, ob das Bridging erfordert. Aber wie unter 2. steht: Bridging mit dem LAN erfordert, dass du auch das gleiche IP-Netz nutzt.
4. Wenn die Box brctl hat, dann geht es auch über die GUI (der Haken in der GUI sollte nur in dem Fall sichtbar sein)
5. Jein. Der Default (blowfish) muss nicht genannt sein, sonst muss überall der gleiche eingetragen sein
6. Mit der AVM-FW-GUI geht es unter der Portweiterleitung auch ohne weitere Modifikationen.

Jörg

[c.monty]

[Edit frank_m24: Vollzitat vom Beitrag direkt darüber gelöscht, siehe Forumregeln.]

ad 2.
Ist es mit OpenVPN nicht möglich, dass dem VPN-Client eine IP-Adresse aus dem Heimnetz vom DHCP-Server automatisch zugewiesen wird?

THX

[MaxMuster]

Geht prinzipiell schon. Wenn LAN und das TAP-Interface des VPN gebrückt sind, sollte auch der DHCP der Box auf Anfragen über das VPN antworten. Zumindest mit Windows-Clients hab ich das schon mal gemacht, wenn mich meine Erinnerung nicht ganz täuscht.

[c.monty]

Hallo!

Ich bin jetzt mind. 1 Schritt weiter, d.h. die Hürde "Authentifizierung" ist übersprüngen.
Jetzt stehe ich vor dem Problem, dass der VPN-Client keine Verbindung ins Heimnetzwerk bekommt.

Im Server-Log steht hierzu dies:

Code:

Sat Jun 30 01:46:52 2012 us=253760 OpenVPN 2.2.2 mips-linux [SSL] [LZO2] [MH] [PF_INET6] [IPv6 payload 20110424-2 (2.2RC2)] built on Jun  3 2012
Sat Jun 30 01:46:52 2012 us=253760 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Sat Jun 30 01:46:52 2012 us=341716 Diffie-Hellman initialized with 1024 bit key
Sat Jun 30 01:46:52 2012 us=349712 Control Channel Authentication: using '/tmp/flash/openvpn/static.key' as a OpenVPN static key file
Sat Jun 30 01:46:52 2012 us=353710 Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Sat Jun 30 01:46:52 2012 us=353710 Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Sat Jun 30 01:46:52 2012 us=353710 TLS-Auth MTU parms [ L:1574 D:166 EF:66 EB:0 ET:0 EL:0 ]
Sat Jun 30 01:46:52 2012 us=353710 Socket Buffers: R=[202752->131072] S=[202752->131072]
Sat Jun 30 01:46:52 2012 us=361706 TUN/TAP device tap0 opened
Sat Jun 30 01:46:52 2012 us=361706 TUN/TAP TX queue length set to 100
Sat Jun 30 01:46:52 2012 us=365704 do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
Sat Jun 30 01:46:52 2012 us=365704 /sbin/ifconfig tap0 192.168.178.1 netmask 255.255.255.0 mtu 1500 broadcast 192.168.178.255
Sat Jun 30 01:46:52 2012 us=373700 Data Channel MTU parms [ L:1574 D:1450 EF:42 EB:135 ET:32 EL:0 AF:3/1 ]
Sat Jun 30 01:46:52 2012 us=373700 chroot to '/tmp/openvpn' and cd to '/' succeeded
Sat Jun 30 01:46:52 2012 us=377698 GID set to openvpn
Sat Jun 30 01:46:52 2012 us=377698 UID set to openvpn
Sat Jun 30 01:46:52 2012 us=377698 UDPv4 link local (bound): [undef]
Sat Jun 30 01:46:52 2012 us=377698 UDPv4 link remote: [undef]
Sat Jun 30 01:46:52 2012 us=377698 MULTI: multi_init called, r=256 v=256
Sat Jun 30 01:46:52 2012 us=377698 IFCONFIG POOL: base=192.168.178.91 size=10, ipv6=0
Sat Jun 30 01:46:52 2012 us=377698 Initialization Sequence Completed
Sat Jun 30 01:47:27 2012 us=340208 MULTI: multi_create_instance called
Sat Jun 30 01:47:27 2012 us=340208 109.43.0.73:44678 Re-using SSL/TLS context
Sat Jun 30 01:47:27 2012 us=340208 109.43.0.73:44678 LZO compression initialized
Sat Jun 30 01:47:27 2012 us=344206 109.43.0.73:44678 Control Channel MTU parms [ L:1574 D:166 EF:66 EB:0 ET:0 EL:0 ]
Sat Jun 30 01:47:27 2012 us=344206 109.43.0.73:44678 Data Channel MTU parms [ L:1574 D:1450 EF:42 EB:135 ET:32 EL:0 AF:3/1 ]
RSat Jun 30 01:47:27 2012 us=344206 109.43.0.73:44678 TLS: Initial packet from [AF_INET]109.43.0.73:44678, sid=db3f78c3 8cee4ab0
Sat Jun 30 01:47:31 2012 us=298228 109.43.0.73:44678 VERIFY OK: depth=1, /C=DE/ST=BW/L=location/O=OpenVPN/OU=orga/CN=orga/name=orga/emailAddress=name@firma.com
Sat Jun 30 01:47:31 2012 us=298228 109.43.0.73:44678 VERIFY OK: depth=0, /C=DE/ST=BW/L=location/O=OpenVPN/OU=mobile2/CN=mobile2/name=orga/emailAddress=name@firma.com
Sat Jun 30 01:47:32 2012 us=177788 109.43.0.73:44678 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Sat Jun 30 01:47:32 2012 us=177788 109.43.0.73:44678 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Sat Jun 30 01:47:32 2012 us=181786 109.43.0.73:44678 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Sat Jun 30 01:47:32 2012 us=181786 109.43.0.73:44678 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Sat Jun 30 01:47:32 2012 us=337708 109.43.0.73:44678 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
Sat Jun 30 01:47:32 2012 us=337708 109.43.0.73:44678 [mobile2] Peer Connection Initiated with [AF_INET]109.43.0.73:44678
Sat Jun 30 01:47:32 2012 us=337708 mobile2/109.43.0.73:44678 MULTI_sva: pool returned IPv4=192.168.178.91, IPv6=::5:41:1f3c:7fcf:1868
RSat Jun 30 01:47:34 2012 us=844454 mobile2/109.43.0.73:44678 PUSH: Received control message: 'PUSH_REQUEST'
Sat Jun 30 01:47:34 2012 us=848452 mobile2/109.43.0.73:44678 send_push_reply(): safe_cap=960
Sat Jun 30 01:47:34 2012 us=848452 mobile2/109.43.0.73:44678 SENT CONTROL [mobile2]: 'PUSH_REPLY,route-gateway 192.168.178.1,route 192.168.178.0 255.255.255.0,route 192.168.178.1,ping 10,ping-restart 120,ifconfig 192.168.178.91 255.255.255.0' (status=1)
Sat Jun 30 01:47:38 2012 us=278736 read UDPv4 [ECONNREFUSED]: Connection refused (code=146)

Nach meinem Verständnis versucht OpenVPN dem Client die IP-Adresse 192.168.178.91 255.255.255.0 zuzuweisen.
Diese IP-Adresse ist zum einen aus dem Adress-Bereich des Heimnetzwerks, und zum anderen in der Range des DHCP-Servers.

Fragen:
Kann der Fehler
read UDPv4 [ECONNREFUSED]: Connection refused (code=146)
damit zusammenhängen, dass auf dem Router dasselbe Gerät "mobile2" mit diesem Hostnamen eingetragen ist, und dabei diesem Gerät ein fixe IP-Adresse 192.168.178.43 255.255.255.0 vom Router zugewiesen wird?

Kann ich OpenVPN anweisen, dem Device dieselbe IP-Adresse zuzuweisen, wie das der Router auch macht (192.168.178.43 255.255.255.0), ohne dabei mit dem Router in einen Konflikt zu kommen?

Wie kann ich OpenVPN anweisen, dem Device eine andere IP-Adresse aus einer bestimmten DHCP-Range zuzuweisen?
Muss hierfür (mit der aktuell verwendeten Konfiguration) nur der Device-Name "mobile2" im OpenVPN Client geändert werden?

Hier noch die Konfiguration:
Client

## Server-Adresse
remote xxx.selfip.com

## Port
port 1194

## Protokoll
proto udp
;proto tcp
;proto tcp-client

dev tap

dev-node openvpn

nobind

## Definition als Client
tls-client

tls-auth /sdcard/openvpn/static.key 1

## Schluesseldateien
ca "/sdcard/openvpn/ca.crt"
key "/sdcard/openvpn/mobile2.key"
cert "/sdcard/openvpn/mobile2.crt"

## Server überprüft die Zertifikate auf Gültigkeit
ns-cert-type server

## Komprimierung einschalten
comp-lzo

## "pull" muß in der Client-config stehen, damit die push-Anweisungenvom Server geholt werden
pull

## Optional zur Stabilisierung der Verbindung
tun-mtu 1500
## siehe Hinweis oben: wenn "tun-mtu" und "tun-mtu-extra",
## dann in beiden configs (Server + Client)
verb 5
mute 50
persist-key
persist-tun
cipher BF-CBC

## Passwort wird nicht im Memory gespeichert
auth-nocache

## Logfile
log /sdcard/openvpn/openvpn.log

Server
# OpenVPN 2.1 Config, Sat Jun 30 01:46:52 CEST 2012
proto udp
dev tap0
dev-node /dev/tun
ca /tmp/flash/openvpn/ca.crt
cert /tmp/flash/openvpn/box.crt
key /tmp/flash/openvpn/box.key
dh /tmp/flash/openvpn/dh.pem
tls-server
tls-auth /tmp/flash/openvpn/static.key 0
port 1194
ifconfig 192.168.178.1 255.255.255.0
push "route-gateway 192.168.178.1"
push "route 192.168.178.0 255.255.255.0"
max-clients 5
mode server
ifconfig-pool 192.168.178.91 192.168.178.100
push "route 192.168.178.1"
tun-mtu 1500
mssfix
log /var/tmp/debug_openvpn.out
verb 5
cipher BF-CBC
comp-lzo
keepalive 10 120
chroot /tmp/openvpn
user openvpn
group openvpn
persist-tun
persist-key

Ein Screenshot der OpenVPN Konfiguration im WebUI ist angehängt.

THX


Nachtrag:
Im Client-Log findet sich ein vermeintlich ganz neuer Hinweis zu Ursache.

Code:

Sat Jun 30 01:46:43 2012 OpenVPN 2.2.2 i686-pc-linux-gnu [SSL] [LZO2] [EPOLL] [eurephia] built on Jun 24 2012
Sat Jun 30 01:46:43 2012 MANAGEMENT: TCP Socket listening on 127.0.0.1:10978
Sat Jun 30 01:46:43 2012 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Sat Jun 30 01:46:43 2012 Need password(s) from management interface, waiting...
Sat Jun 30 01:46:43 2012 MANAGEMENT: Client connected from 127.0.0.1:10978
Sat Jun 30 01:46:43 2012 MANAGEMENT: CMD 'state'
Sat Jun 30 01:46:43 2012 MANAGEMENT: CMD 'state on'
Sat Jun 30 01:46:43 2012 MANAGEMENT: CMD 'bytecount 0'
Sat Jun 30 01:47:00 2012 MANAGEMENT: CMD 'password [...]'
Sat Jun 30 01:47:00 2012 WARNING: file '/sdcard/openvpn/mobile2.key' is group or others accessible
Sat Jun 30 01:47:00 2012 WARNING: file '/sdcard/openvpn/static.key' is group or others accessible
Sat Jun 30 01:47:00 2012 Control Channel Authentication: using '/sdcard/openvpn/static.key' as a OpenVPN static key file
Sat Jun 30 01:47:00 2012 Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Sat Jun 30 01:47:00 2012 Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Sat Jun 30 01:47:00 2012 LZO compression initialized
Sat Jun 30 01:47:00 2012 Control Channel MTU parms [ L:1574 D:166 EF:66 EB:0 ET:0 EL:0 ]
Sat Jun 30 01:47:00 2012 Socket Buffers: R=[110592->131072] S=[110592->131072]
Sat Jun 30 01:47:00 2012 MANAGEMENT: >STATE:1341013620,RESOLVE,,,
Sat Jun 30 01:47:01 2012 Data Channel MTU parms [ L:1574 D:1450 EF:42 EB:135 ET:32 EL:0 AF:3/1 ]
Sat Jun 30 01:47:01 2012 Local Options hash (VER=V4): '13a273ba'
Sat Jun 30 01:47:01 2012 Expected Remote Options hash (VER=V4): '360696c5'
Sat Jun 30 01:47:01 2012 UDPv4 link local: [undef]
Sat Jun 30 01:47:01 2012 UDPv4 link remote: 77.2.182.171:1194
Sat Jun 30 01:47:01 2012 MANAGEMENT: >STATE:1341013621,WAIT,,,
Sat Jun 30 01:47:01 2012 MANAGEMENT: CMD 'bytecount 0'
Sat Jun 30 01:47:01 2012 MANAGEMENT: CMD 'bytecount 0'
Sat Jun 30 01:47:01 2012 MANAGEMENT: >STATE:1341013621,AUTH,,,
Sat Jun 30 01:47:01 2012 TLS: Initial packet from 77.2.182.171:1194, sid=e9a4d5b2 12d52b97
Sat Jun 30 01:47:01 2012 MANAGEMENT: CMD 'bytecount 0'
Sat Jun 30 01:47:02 2012 VERIFY OK: depth=1, /C=DE/ST=BW/L=location/O=OpenVPN/OU=orga/CN=orga/name=orga/emailAddress=name@firma.com
Sat Jun 30 01:47:02 2012 VERIFY OK: nsCertType=SERVER
Sat Jun 30 01:47:02 2012 VERIFY OK: depth=0, /C=DE/ST=BW/L=location/O=OpenVPN/OU=orga/CN=net1-FB7390/name=orga/emailAddress=name@firma.com
Sat Jun 30 01:47:06 2012 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Sat Jun 30 01:47:06 2012 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Sat Jun 30 01:47:06 2012 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Sat Jun 30 01:47:06 2012 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Sat Jun 30 01:47:06 2012 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
Sat Jun 30 01:47:06 2012 [net1-FB7390] Peer Connection Initiated with 77.2.182.171:1194
Sat Jun 30 01:47:07 2012 MANAGEMENT: >STATE:1341013627,GET_CONFIG,,,
Sat Jun 30 01:47:07 2012 MANAGEMENT: CMD 'bytecount 0'
Sat Jun 30 01:47:08 2012 SENT CONTROL [net1-FB7390]: 'PUSH_REQUEST' (status=1)
Sat Jun 30 01:47:08 2012 PUSH: Received control message: 'PUSH_REPLY,route-gateway 192.168.178.1,route 192.168.178.0 255.255.255.0,route 192.168.178.1,ping 10,ping-restart 120,ifconfig 192.168.178.91 255.255.255.0'
Sat Jun 30 01:47:08 2012 OPTIONS IMPORT: timers and/or timeouts modified
Sat Jun 30 01:47:08 2012 OPTIONS IMPORT: --ifconfig/up options modified
Sat Jun 30 01:47:08 2012 OPTIONS IMPORT: route options modified
Sat Jun 30 01:47:08 2012 OPTIONS IMPORT: route-related options modified
Sat Jun 30 01:47:08 2012 ROUTE default_gateway=10.68.47.1
Sat Jun 30 01:47:08 2012 Note: Cannot open TUN/TAP dev openvpn: No such file or directory (errno=2)
Sat Jun 30 01:47:08 2012 MANAGEMENT: >STATE:1341013628,ASSIGN_IP,,192.168.178.91,
Sat Jun 30 01:47:08 2012 /system/bin/ip link set dev  up mtu 1500
Usage: ip link add [link DEV] [ name ] NAME
                   [ txqueuelen PACKETS ]
                   [ address LLADDR ]
                   [ broadcast LLADDR ]
                   [ mtu MTU ]
                   type TYPE [ ARGS ]
       ip link delete DEV type TYPE [ ARGS ]

       ip link set { dev DEVICE | group DEVGROUP } [ { up | down } ]
	                  [ arp { on | off } ]
	                  [ dynamic { on | off } ]
	                  [ multicast { on | off } ]
	                  [ allmulticast { on | off } ]
	                  [ promisc { on | off } ]
	                  [ trailers { on | off } ]
	                  [ txqueuelen PACKETS ]
	                  [ name NEWNAME ]
	                  [ address LLADDR ]
	                  [ broadcast LLADDR ]
	                  [ mtu MTU ]
	                  [ netns PID ]
	                  [ netns NAME ]
			  [ alias NAME ]
	                  [ vf NUM [ mac LLADDR ]
				   [ vlan VLANID [ qos VLAN-QOS ] ]
				   [ rate TXRATE ] ] 
				   [ spoofchk { on | off} ] ] 
			  [ master DEVICE ]
			  [ nomaster ]
       ip link show [ DEVICE | group GROUP ]

TYPE := { vlan | veth | vcan | dummy | ifb | macvlan | can | bridge }
Sat Jun 30 01:47:08 2012 MANAGEMENT: Client disconnected
Sat Jun 30 01:47:08 2012 Linux ip link set failed: external program exited with error status: 255
Sat Jun 30 01:47:08 2012 Exiting

Muss hier die Client-Konfiguration modifiziert werden?