Anleitung für das OpenVPN-Paket

lord-of-linux

Mitglied
Mitglied seit
3 Dez 2005
Beiträge
568
Punkte für Reaktionen
1
Punkte
0
Hallo,

ich will hier mal den Anfang für eine Anleitung zum OpenVPN im ds-mod machen. Die Anleitung (bzw. der Ansatz), steht unter [cod]http://wiki.ip-phone-forum.de/software:ds-mod:pakete:eek:penvpn:anleitung:start[/code] zur Verfügung.

Da ich die Tage fort bin und in dieser Zeit nicht wirklich programmieren und testen kann, werde ich vieleicht ein bisschen Zeit finden, die Anleitung zu schreiben.

Wer will, der darf natürlich mithelfen. Dieser Thread soll vorrangig dazu dienen, beim Schreiben der Anleitung aufkommende Fragen zu beantworten.
 
Hallo, ich möchte eine 7170 mit der FBF WLAN über das Inet mit einem VPN-tunnel verbinden.
Ich habe das aktuelle ds-mod 0.2.9 auf meinen Boxen mit dem OpenVPN Paket.
So, wie geht es nun weiter:
Auf dem ds webinterface stand zunächst unter Einstellungen - static key, dass aufgrund der aktuellen Sicherheitsstufe nichts angezeigt wird. Deshalb habe ich folgendes am telnet-prompt eingegeben:

echo 0 > /tmp/flash/security
modsave

Danach (ich glaube nach einem reboot?) wird mir dann unter static key ein "2048 openvpn static key" angezeigt. Woher kommt der und wofür ist der? Und wie mache ich jetzt weiter mit der Konfiguration? Muß die Konfiguration in die debug.cfg oder in die openvpn.cfg? Schreib ich dort "von Hand" (UltraEdit) oder über das webinterface rein?
Ist es eigentlich normal, das sich Openvpn bis jetzt noch nicht starten läßt? Kann es erst starten wenn ich die Konfiguration abgeschlossen habe? nach einem Startversuch erhalte ich ein "failed" und im Ringbuffer steht:

daemon.notice openvpn[3003]: OpenVPN 2.1_beta14 mipsel-linux [SSL] built on May 29 2006
daemon.err openvpn[3003]: Cipher algorithm 'BF-CBC' not found (OpenSSL)
daemon.notice openvpn[3003]: Exiting

Bitte gebt mir einen Tipp, komm trotz ausgiebiger Nutzung der SUFU nicht weiter.... Ich erkläre mich auch bereit erworbenes Wissen im Wiki zu publizieren...
 
Zuletzt bearbeitet:
Vielen Dank!
Mit dem patch aus http://www.ip-phone-forum.de/showthread.php?t=106755
funktioniert jetzt zumindest das starten von openvpn.
Dann werd ich mal mit der VPN Konfiguration weiter spielen und berichten wenn es läuft.

PS: Ich gehe davon aus das es bald ein neues ds-mod paket mit den eingepflegten patches geben wird?
 
Das hoffe ich auch. Zur Zeit nutze ich aus dem Grunde, dass es nicht läuft, noch die "alte" 0.2.7. Hoffentlich findet sich noch jemand, der sich um die Anleitung kümmert.
 
Ich melde mal ERFOLG! Habe soeben meine beiden FBF (7170 + fbfwlan) über einen OpenVpn Tunnel verbunden. Zum Einsatz kam dsmod0.2.9 mit dem obengenannten Patch einkompiliert. Ich mach mich dann mal an eine Anleitung. ist aber alles ganz einfach... (jetzt wo ich weiß wie es geht...)
MfG
 
Portweiterleitung fürs Wiki

Wer kann das folgende ins Wiki einfügen (ich bin zu doof)
Thema: Portweiterleitung
Code:
**Portweiterleitung auf die FritzBox (interne Portweiterleitung):**

Um auf der FritzBox laufende Programme von extern aus dem Internet erreichbar zu machen ist es nötig eine Portweiterleitung einzurichten. Da die Firewall der FritzBox allerdings keine Weiterleitungen auf ihre eigene interne IP-Adresse erlaubt muß man tricksen.
Dazu  erzeugt man eine "virtuelle" Netzwerkkarte auf der Box, der eine weitere IP aus dem internen Adressraum des Netzwerkes zugewiesen wird. Portweiterleitungen werden dann auf diese neue IP gemacht. 

Um eine virtuelle Netzwerkkarte auf der FritzBox zu erzeugen muß man sich per Telnet einloggen und folgenden Befehl eingeben:

''ifconfig eth0:0 192.168.178.253 netmask 255.255.255.0 up''

Dies fügt eine neue Netzwerkkarte mit der IP 192.168.178.253 auf der FritzBox hinzu. Die IP ist entsprechend den Gegebenheiten im lokalen Netz anzupassen.
Zur Kontrolle gibt man ein:

''ifconfig''

In der nun erscheinenden Auflistung sollte der neue Netzwerkadapter mit der zugewiesenen IP erscheinen.
Bis jetzt geht der neue Adapter bei einem Reboot der Box verloren. Um ihn dauerhaft bei jedem Start der Box im System anzulegen ist folgende Zeile am Telnet-Prompt einzugeben:

''echo "ifconfig eth0:0 192.168.178.253 netmask 255.255.255.0 up" > /var/flash/debug.cfg''

Nach einem Reboot der Box sollte sich der Adapter in der Auflistung von "''ifconfig''" befinden. Sollte dies nicht der Fall sein kann es helfen den Parameter "eth0:0" durch "eth0:1" oder "eth0:2" zu ersetzen. Sollen evtl. andere in der debug.cfg enthaltene Zeilen erhalten bleiben ist das " ''>'' " durch " ''>>'' " zu ersetzen.

Die Portweiterleitung selbst richtet man dann im Webinterface der Fritzbox ein. Als IP-Adresse gibt man die der virtuellen Netzwerkkarte an.
 
Anleitung für openvpn im dsmod auf neuer Firmware .15

Da mir das Wiki gerade eine Nummer zu hoch ist ;) und die folgende Anleitung vielleicht auch noch nicht ganz Wiki-reif ist kommt sie erstmal hier ins Forum:

Ich gehe davon aus das ihr soweit seid ein dsmod für eure Fritzbox zu kompilieren. Wie das geht erfahrt ihr hier http://www.ip-phone-forum.de/showthread.php?t=85371

Um OpenVpn zusammen mit der Firmware .15 laufen zu bekommen müßt ihr folgende 2 Patches in eure dsmod-sourcen einarbeiten um diese danach neu für eure Box zu kompilieren.
[EDIT] Korrigiere nach Anmerkung von knox (s.u.) reicht es das File aus dem 2.Link einfach ins dsmod zu entpacken. Danke Knox[/EDIT]
http://www.ip-phone-forum.de/attachment.php?attachmentid=10255&d=1158788767
http://www.ip-phone-forum.de/attachment.php?attachmentid=10256&d=1158788784
Die Datei "openssl-0.9.8c-dsmod-0.2.tar.bz2" einfach in euer "ds-0.2.9" Verzeichnis entpacken, alles landet am richtigen Platz.

[EDIT] IST NICHT NÖTIG! [/EDIT]Aus dem anderen Archiv die Datei "openssl-0.9.8c-dsmod.patch" nach "/ds-0.2.9/make/libs/patches/" kopieren, dort dann ein "patch -N -i openssl-0.9.8c-dsmod.patch" ausführen und auf Anfrage die Datei "/ds-0.2.9/make/libs/openssl.mk" angeben.

Damit sind eure sourcen gepatcht. Jetzt könnt ihr wie im dsmod-thread beschrieben neu kompilieren.

Wenn ihr das neue Image in der Box habt sollte sich openvpn ohne Fehlermeldung starten lassen.
 
Zuletzt bearbeitet:
Einrichten einer openVPN-Verbindung im dsmod

Nachdem Openvpn also läuft muß man es noch konfigurieren. Das geht am besten übers Webinterface, die Optionen dort sind eigentlich selbsterklärend. Wichtig ist das eine Box Server, die andere Client ist.
Der Port muß natürlich über eine Weiterleitung nach außen sichtbar sein, wie das geht steht 2 Antworten weiter oben. Dabei beachten das richtige Protokoll (UDP/TCP) weiterzuleiten.
Bei mir funktioniert der Tunnel nur wenn ich TCP als Protokoll wähle, das ist aber ein bekanntes Problem, UDP wäre wohl performanter.
Die vorgeschlagenen IPs der virtuellen Netzwerkkarten für die Tunnelenden kann man so übernehmen. Das IP-Routing muß man natürlich an die eigenen Netzwerke anpassen.
Im dsmod-Menü/Einstellungen/Static Key muß jetzt noch der gleiche Key in beide Boxen. Das geht mit Copy+Paste, allerdings hat man zunächst keine Schreibrechte, weshalb man den telnet prompt bemühen muß:
Code:
echo 0 > /tmp/flash/security
modsave
Danach kann man die keys über das Webinterface editieren.
Ob der Tunnel dann aufgebaut wurde läßt sich im Ringpuffer ablesen oder über ein "ping <ip im anderen Netzwerk>" am telnet prompt herausfinden.

Ein
Code:
echo 1 > /tmp/flash/security
modsave
setzt die Sicherheitseinstellung wieder auf default.

So, das wars.
All mein Scheinwissen stammt hier aus dem Forum, ich hab es nur an dieser stelle zusammengetragen und Danke den fleißigen Urhebern.
 
bigfrog schrieb:
Um OpenVpn zusammen mit der Firmware .15 laufen zu bekommen müßt ihr folgende 2 Patches in eure dsmod-sourcen einarbeiten um diese danach neu für eure Box zu kompilieren.
http://www.ip-phone-forum.de/attachment.php?attachmentid=10255&d=1158788767
http://www.ip-phone-forum.de/attachment.php?attachmentid=10256&d=1158788784
also das ist zu viel des guten ;)

wer nicht selber compilen will, muss nur das zweite attachment nehmen. darin enthalten sind aktuelle openssl bibliotheken und ein patch für die erstellung des ds-mod. einfach nur direkt ins ds-mod verzeichnis entpacken und dann ein image erstellen - fertig.

das von dir zuerst genannte attachment hingegen ist für alle diejenigen gedacht, die sich die openssl bibliotheken noch einmal selber compilen wollen. dazu muss man einfach nur den patch anwenden, wie im wiki allgemein beschrieben. anschließend kann man mit "make menuconfig; make openssl-precompiled" openssl neu übersetzten.
 
Laufwerksfreigaben anderer WinRechner sehen

[ERLEDIGT]Das ist jetzt der Punkt an dem ich nicht weiter komme...
Damit oute ich mich mal als windof user... (hier neben mir steht mein linux versuchs notebook das mir die dsmods kompiliert...) Aber ich glaube das interessiert einige, wie man über das VPN auf die WindowsFreigaben im anderen Netz zugreifen kann. Bitte helft uns...

Meine Konfiguration:
Netz1: 192.168.2.0 255.255.255.0
Netz2: 192.168.3.0 255.255.255.0
Openvpn ist mit tun devices eingerichtet, protokoll ist tcp

Ping funktioniert in alle Richtungen, ebenso Zugriffe auf die VNC-Server, die auf den Rechnern laufen. Also eigentlich läuft alles, nur der Zugriff auf Netzwerkfreigaben von Windows nicht.
Auch das gezielte aufrufen der Freigaben über \\192.168.2.100\resource klappt nicht. In den Rechnern ist NetBiosOverTCP/IP aktiviert!

[LÖSUNG:]
Ich trau mich gar nicht das zu sagen, dass ich da nicht gleich drauf gekommen bin:
WINDOWS-FIREWALL, Unter Ausnahmen ist die Datei und Druckerfreigabe zwar eingetragen, allerdings nur für Anfragen aus dem eigenen Subnetz. Dies läßt sich ändern, man kann mehrere Subnetze angegeben, bei mir:
Code:
192.168.2.0/255.255.255.0,192.168.3.0/255.255.255.0

Jetzt funktioniert der Aufruf über \\<ip>\resource.

Wenn man will das das ganze Netzwerk jenseits des Tunnels automatisch in der Netzwerkumgebung auftaucht, muß man openvpn auf sogenannten "tap" devices einrichten. Dies ist jedoch mit dem Webinterface im dsmod nicht möglich.
Mir ist es auch nicht gelungen openvpn von hand erstellte Konfigurationsdateien unterzujubeln, da diese beim start von openvpn überschrieben werden.
Falls dazu jemand eine Lösung hat?
 
Zuletzt bearbeitet:
Hallo,
kann es sein das der Dsmod mit Openvpn nicht auf eine Fritz Box Fon Wlan passt ?

Gruß
satfreak1987
 
Ja. Mein Image ist dann 131072 Bytes zu groß.

MfG Oliver
 
Zur zeit scheint OpenVPN nur auf die 7170 zu passen. Als ersatz habe ich aber ein Paket irgendwo rumliegen, dass einfach bei Bedarf das openvpn-Binary nachladen kann (dann natürlich ein statisch gelinktes).
 
@lord-of-linux
Könntest du mir das Paket schicken ?
satfreak1987[at]herr-der-mails[punkt]de

Gruß
satfreak1987;)
 
lord-of-linux schrieb:
ein Paket [...], dass einfach bei Bedarf das openvpn-Binary nachladen kann (dann natürlich ein statisch gelinktes)
schöne sache, aber wieso "natürlich" statisch?
es wäre doch viel cooler, die benötigten libs ebenfalls nachzuladen. so würde man den ram nur so weit wie nötig belasten und nicht mit "großen" statischen binaries zumachen (vor allem, wenn libs von verschiedenen binaries benötigt werden).
 
Vorrausladeeinstellungen?

Ich habe in meine 7050 das Openvpn mit dem Static Paket integriert. Ebenso das virtualip Paket. Jetzt bin ich bei den Einstellungen der ersten, der Serverbox (die zweite steht bei der Arbeit und ist morgen dran).
Zwei Stolpersteine stellen sich mir in den Weg.
1. Was sind diese "Vorrausladeeinstellungen". Ich kann im Forum nirgends etwas dazu finden. Auch die WiKi schweigt sich aus. Wird da etwas von example.org geladen? Oder muß ich da selber was eintragen? Ist das der Grund für den nächsten Stolperstein?
2. Ich habe versucht OpenVPN im Webinterface unter Dienste/OpenVPN Start zu starten. Dann kommt ein: Starting OpenVPN preloadscript in background. Danach kann ich wieder auf "Dienste" zurück, nur steht da immer noch der Button "Start" für OpenVPN. Im SysLog finde ich folgendes:
Nov 5 20:06:19 fritz user.debug kernel: New IGMP type=34, why we do not know about it?
Nov 5 20:06:20 fritz user.debug kernel: New IGMP type=34, why we do not know about it?
Nov 5 20:06:23 fritz user.debug kernel: New IGMP type=34, why we do not know about it?
Nov 5 20:06:24 fritz user.debug kernel: New IGMP type=34, why we do not know about it?


Wie kann ich das fixen, bzw überhaupt zum laufen bekommen?
 
Zuletzt bearbeitet:
So, bin etwas weiter gekommen. Ich muß folgendes Paket entpacken und auf einen für mich erreichbaren Webspace uploaden. Die Domäne wird in das erste Feld der Vorladeeinstellungen eingetragen. Dann nochmal der komplette Pfad zur Datei "openvpn" wie http://Domäne/Pfad/openvpn . Die MD5 Summe habe ich so gelassen, geht scheinbar.

Nun kommt die nächste Hürde die ich noch nicht genommen habe: Es wird beim ersten Start eine Datei static.key erzeugt. Kann sie aber nicht, da openvpn zu diesem Zeitpunkt noch nicht geladen wurde. Und somit startet auch openvpn nicht, da diese Datei beim Start fehlt. Auch der in den diversen Anleitungen aufgezeigte Weg eine solche Datei mittels "openvpn --genkey --secret static.key" geht nicht, da openvpn ja nicht auf der Box ist.
Wenn ich im Webinterface irgendein Passwort in Einstellungen/Static Key eingebe wird dieses von openvpn als falsches Format abgewiesen. Offensichtlich muß da etwas ganz bestimmtes drin stehen was bei der Erzeugung des Keys generiert wird.

Kann mir jemand sagen wie ich die static.key Datei bei mir erzeugen kann?
 
Kommando zurück!
Ich habe mir jetzt sowohl mit einem Windows OpenVPN als auch mit dem Box openvpn (mit wget auf die Box geladen) eine Datei Static.key generiert.

Ergebnis: Die Box stürzt hoffnungslos ab! Erst das ziehen des Netzsteckers bringt sie wieder zum leben. Leider geschieht dies kommentarlos, so daß ich hier kein Log posten kann. Auch als ich openvpn erst auf die Box geladen hatte und per Hand gestartet habe kam keinerlei Meldung. Die Box war einfach nur tot.
 

Neueste Beiträge

Statistik des Forums

Themen
244,691
Beiträge
2,216,614
Mitglieder
371,308
Neuestes Mitglied
Chrischan 79
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.