[Gelöst] Wie bringe ich die OpenVPN config von einem Windows Server auf die FB ?

[level20peon]

Hallo,

wie der Titel schon sagt würde ich gerne die auf einem Windows Server funktionierende OpenVPN-Server Konfiguration nun auf meine Fritzbox übertragen. Es geht hier nicht um die grundsätzliche Konfiguration von OpenVPN, ich benutze es auf besagtem Windows Server schon seit einigen Jahren.

Nachdem ich eine Firmware mit OpenVPN Paket kompiliert und installiert habe gibt es nun die Möglichkeit per Webinterface des DS-Mod einige Einstellungen einzutragen.

Dies habe ich für die Dateien "ca.crt, box.crt, box.key, dh.pem" gemacht. Mein Problem ist nun die "server.ovpn" auf die FritzBox zu übertragen. Es ist zwar möglich die meisten Einstellungen per Webinterface einzugeben, aber leider nicht alle (Ich frage mich sowieso, warum man alle Schlüssel per copy&paste eintragen kann, jedoch die Konfiguration nur per point&click Interface).

Ich habe im Forum einige Beispielkonfigurationen von usern gesehen, die so durch das Webinterface nicht erstellt werden könnten, wie schafft man es also "seine eigene" Konfiguration auf die FritzBox zu bringen, ohne das Webinterface zu benutzen ?


Vielen Dank

[MaxMuster]

Am einfachsten per scp oder über die "Rudi-Shell":

Quelldatei wählen, Zieldatei nach /var/tmp/flash/<deineDatei> (dann wird es von ds-mod mit gespeichert: Einmal "modsave" ausführen zum Sichern dieser Datei.)

Von Hand starten

Code:

openvpn /var/tmp/flash/<deineDatei>

Fertig.

Wenn diese Config mit dem "dsmod-Autostart" verbunden werden soll, musst du eine eigene Datei anlegen, die daraus die "normale" Config baut (besser: kopiert):
Beispiel für /tmp/flash/openvpn-lzo_conf (oder halt ohne "lzo", je nach Version)

Code:

#! /bin/sh
cp /var/tmp/flash/<deineDatei> /mod/etc/openvpn-lzo.conf

danach die Datei mit "chmod +x /tmp/flash/openvpn-lzo_conf" ausführbar machen.
(Das ist nur so aus dem Kopf, das Prinzip sollte aber klar sein, evenuell musst du es halt noch leicht anpassen.)

Ich frage mich sowieso, warum man alle Schlüssel per copy&paste eintragen kann, jedoch die Konfiguration nur per point&click Interface

Ich frage mal andersrum: Kennst du eine sinnvolle Methode, die Keys und Certs per "point&click" da rein zu bekommen ??

Im Ernst, es ist halt eine GUI dafür, die dem "Normaluser" helfen soll. In der kommenden neuen/erweiterten Version (siehe auch im OpenVNP-Thread ) kannst du auch belibige eigene Parameter hinzufügen...


Jörg

[level20peon]

Hallo MaxMuster,

danke für die Antwort...

Am einfachsten per scp oder über die "Rudi-Shell":

Quelldatei wählen, Zieldatei nach /var/tmp/flash/<deineDatei> (dann wird es von ds-mod mit gespeichert: Einmal "modsave" ausführen zum Sichern dieser Datei.)

Von Hand starten

Code:

openvpn /var/tmp/flash/<deineDatei>

Fertig.

ok, das war kein Problem, damit läuft das System auch so, wie ich es mir vorgestellt habe.

Wenn diese Config mit dem "dsmod-Autostart" verbunden werden soll, musst du eine eigene Datei anlegen, die daraus die "normale" Config baut (besser: kopiert):
Beispiel für /tmp/flash/openvpn-lzo_conf (oder halt ohne "lzo", je nach Version)

Code:

#! /bin/sh
cp /var/tmp/flash/<deineDatei> /mod/etc/openvpn-lzo.conf

danach die Datei mit "chmod +x /tmp/flash/openvpn-lzo_conf" ausführbar machen.
(Das ist nur so aus dem Kopf, das Prinzip sollte aber klar sein, evenuell musst du es halt noch leicht anpassen.)

Das bereitet jedoch Probleme. Wenn ich nun meine config nach "/mod/etc/openvpn-lzo.conf" kopiere, diese Datei ausführbar mache und dann den openVPN service im DS-Mod Interface starte wird diese Datei durch die standard config überschrieben. Was mache ich falsch ?

Ich frage mal andersrum: Kennst du eine sinnvolle Methode, die Keys und Certs per "point&click" da rein zu bekommen ??

Im Ernst, es ist halt eine GUI dafür, die dem "Normaluser" helfen soll. In der kommenden neuen/erweiterten Version (siehe auch im OpenVNP-Thread ) kannst du auch belibige eigene Parameter hinzufügen...

Das könnte man durch einen Upload bewerkstelligen, der mittels "durchsuchen..." funktioniert. Aber wenn man demnächst dann beliebige Parameter hinzufügen kann, ist von meiner Seite her eh nichts auszusetzen. Nur wenn du eben beide Möglichkeiten der Dateneingabe sowohl für Keys / Certs als auch Konfiguration einbauen wolltest, könntest du es eben wie eben genannt realisieren. Damit wären dann "Normaluser" UND Poweruser bedient



PS: Kann es sein, dass in der Standardconfig ein Tippfehler enthalten ist ? Dort steht "verb3" anstatt "verb 3". Ich weiß nicht, ob openVPN das so annimmt. Wenn ja, habe ich nichts gesagt.

[MaxMuster]

Das bereitet jedoch Probleme. Wenn ich nun meine config nach "/mod/etc/openvpn-lzo.conf" kopiere, diese Datei ausführbar mache und dann den openVPN service im DS-Mod Interface starte wird diese Datei durch die standard config überschrieben. Was mache ich falsch?

Also, da war ich wohl etwas unpräzise: Die Datei "/tmp/flash/openvpn-lzo_conf" muss ausführbar sein. Kurz zur Erläuterung: Beim Starten eines Dienstes wird das Script /etc/init.d/rc.openvpn-lzo ausgeführt, welches "direkt vor dem Starten" die aktuelle Konfiguration generiert (und damit würde dann deine dahin kopierte überschrieben). Dafür schaut das Script, ob ein "eigenes", ausführbares Skript da ist ( /tmp/flash/openvpn-lzo_conf bzw /tmp/flash/openvpn_conf ) oder startet ansonsten das "normale" Skript "/mod/etc/default.openvpn-lzo/openvpn-lzo_conf" oder "/mod/etc/default.openvpn/openvpn_conf" (in der momentanen Version ist das von Namen her noch immer unterschiedlich je nach mit oder ohne LZO, das entfällt aber in der nächsten Version).

Das könnte man durch einen Upload bewerkstelligen, der mittels "durchsuchen..." funktioniert. Aber wenn man demnächst dann beliebige Parameter hinzufügen kann, ist von meiner Seite her eh nichts auszusetzen. Nur wenn du eben beide Möglichkeiten der Dateneingabe sowohl für Keys / Certs als auch Konfiguration einbauen wolltest, könntest du es eben wie eben genannt realisieren. Damit wären dann "Normaluser" UND Poweruser bedient

Danke! Mal sehen, ist zumindest eine gute Anregung und eine Überlegung wert...

Jörg

EDIT: Wegen des "verb" Eintrags: Welche Version hast du denn (steht in make/opnevpn/openvpn.mk unter "OPENVPN_PKG_VERSION:=")? Das sollte eigentlich nicht so sein )

[level20peon]

Also, da war ich wohl etwas unpräzise: Die Datei "/tmp/flash/openvpn-lzo_conf" muss ausführbar sein. Kurz zur Erläuterung: Beim Starten eines Dienstes wird das Script /etc/init.d/rc.openvpn-lzo ausgeführt, welches "direkt vor dem Starten" die aktuelle Konfiguration generiert (und damit würde dann deine dahin kopierte überschrieben). Dafür schaut das Script, ob ein "eigenes", ausführbares Skript da ist ( /tmp/flash/openvpn-lzo_conf bzw /tmp/flash/openvpn_conf ) oder startet ansonsten das "normale" Skript "/mod/etc/default.openvpn-lzo/openvpn-lzo_conf" oder "/mod/etc/default.openvpn/openvpn_conf" (in der momentanen Version ist das von Namen her noch immer unterschiedlich je nach mit oder ohne LZO, das entfällt aber in der nächsten Version).

OK, das hat mich schonmal einen Schritt weiter gebracht. Habe nun meine config in "/var/tmp/flash/openvpn-lzo_conf" kopiert und ausführbar gemacht. Wenn ich openVPN mit dieser aus der shell starte erscheint kein Fehler, alles funktioniert.
Wenn ich jedoch openVPN aus dem DS-Mod Webinterface starte erscheint

Starte openvpn-lzo:

Starting OpenVPN ...Options error: You must define TUN/TAP device (--dev)
Use --help for more information.
failed.

Dies ist meine config, die direkt aus der shell gestartet wie gesagt funktioniert:

Code:

port 1194
proto udp
dev tap
ca /tmp/flash/ca.crt
cert /tmp/flash/box.crt
key /tmp/flash/box.key
dh /tmp/flash/dh.pem
ifconfig 172.16.0.1 255.255.255.0
ifconfig-pool-persist /tmp/flash/ipp 0
server-bridge 172.16.0.1 255.255.255.0 172.16.0.100 172.16.0.200
client-to-client
keepalive 10 120
comp-lzo
persist-key
persist-tun
status /var/log/openvpn.log
verb 3
float
management 192.168.0.2 1194
daemon

EDIT: Wegen des "verb" Eintrags: Welche Version hast du denn (steht in make/opnevpn/openvpn.mk unter "OPENVPN_PKG_VERSION:=")? Das sollte eigentlich nicht so sein )

2.1 RC4

[MaxMuster]

Jetzt geht es etwas durcheinander, ich fange nochmal an.

In "/var/tmp/flash/openvpn-lzo_conf" steht nicht die Config selbst, sondern ein Skript, was die Config erstellt. Mein Vorschlag aus #2 war (noch etwas falsch, siehe unten, daher hier nochmal):

Deine Config wäre z.B. in "/var/tmp/flash/meine_serverconfig" und das Skript "/var/tmp/flash/openvpn-lzo_conf" gibt diese dann einfach aus.

Code:

#! /bin/sh
# Beispielskript unter /var/tmp/flash/openvpn-lzo_conf
# das nur den Inhalt von /var/tmp/flash/meine_serverconfig ausgibt

cat /var/tmp/flash/meine_serverconfig

(In der Version die du nutzt ist es noch etwas anders als in der "neuen", an die ich erst dachte. Diese Version lenkt die Ausgabe des Skriptes in die Config-Datei um, daher geben wir einfach deine Datei aus.)

2.1 RC4

Nee, ich meinte ""OPENVPN_PKG_VERSION:="

Jörg

[level20peon]

Ah, jetzt hab ich verstanden wie es gemeint war. Mir war schon klar, dass die config aus einer weiteren Datei erstellt wird, aber ich dachte, dass die "einfach nur" kopiert wird. Wie dem auch sei, nun funktioniert es auch bei Benutzung des Dienstes. Vielen Dank für deine Erklärung

PS: "OPENVPN_PKG_VERSION:=0.6d"

[MaxMuster]

Schön, freut mich wenn es geht!
Noch geht es mit dem direkten Laden der Datei(en) nicht (ich habe ja gleich mal etwas experimentiert), da muss ich erstmal noch ein wenig nachdenken (oder mal andere fragen, die sich damit auskennen), aber würde es gern aufnehmen, wenn es geht, ohne zu viel zu ändern...

PS: "OPENVPN_PKG_VERSION:=0.6d"

Hm, wenn es dich interessiert, schaust du mal in die besagte /mod/etc/default.openvpn-lzo/openvpn-lzo_conf Datei, so im unteren Teil? Da sollte eigentlich stehen

Code:

verb $OPENVPN_VERBOSE

also mit "space" dazwischen...

Ansonsten wäre es dann gut, wenn du den Titel nochmal änderst und ein [gelöst] davor setzt, dass hilft zur Übersichtlichkeit (ersten Beitrag "Ändern->Erweitert" dann kannst du den Titel ändern).

Viel Spaß weiterhin!

Jörg