[gelöst] openvpn über freetzoberfläche

[dipsy]

naben @ all,

ich hab schon im ganzen board nach meinem problem gesucht bin leider nicht fündig geworden . ich habe die fixe idee mir ein openvpnnetzwerk unter freunden auf zu bauen . also hab ich erstmal mit meinem gefreetzten w900v versucht alles einzustellen . leider kann ich auf der weboberfläche den verschlüsselungstyp nicht auf aes-256 umstellen und die anzahl der clients auch nicht ändern . also hab ich mich per ftp auf die suche gemacht nach der openvpn.conf . leider ohne erfolg ich habe nur die openvpn.diff und die openvpn.cfg finden . meiner meinung nach hat sich der dateityp halt geändert gegenüber der 2.0 version vom openvpn . nur konnte ich kein howtodo für diese datei finden und meine eigenen versuche diese datei zu bearbeiten schlugen fehl . vielleicht könnt ihr mir ne kleine hilfe geben um das webinterface wiederzubeleben oder einen tip zur manuellen konfiguration geben . übrigens die freetzwiki zum paket war schon sehr hilfreich .

greetz dipsy

[dipsy]

moin ,
nach einigen stunden der testerei läuft mein openvpn nun wie es soll , der weg war sicher nicht der einfachste aber es geht so .

fakt ist mit der aktuellen freetz-trunk 2842 ist das openvpn bei den alienvarianten der 7170 nur teilweise über die webgui einzustellen . die punkte starttyp , einstellungen(protokoll) , sicherheit und server-einstellungen haben keine wirkung .

nach langem suchen habe ich dann die datei openvpn.cfg im ordner /var/mod/etc/config so angepaßt wie ich es benötige und per ftp überschrieben . ein neustart des dienstes bringt danach die gewünschte änderung . die fertige openvpn.conf hab ich dann im ordner /var/mod/etc überprüft . schnell ein backup der config und der datein gemacht , fertig .

das problem scheint es wirklich nur für speedports zu bestehen ich hatte als testhardware 2 x w900v , 2 x w701v und eine 7140 . die 7140 hat das problem nicht .

falls jemand das gleiche problem hat helfe ich gern .

greetz dipsy

[han-solo]

Kannst du mal deine Config (natürlich nicht die echte) hier posten?
Mich würde interessieren wie du das mit mehreren Clients machst. Ich habe auch Tunnel zu Freunden, aber für jeden einen eigenen.

Gruß
HS

[dipsy]

hallo han-solo ,

ich halte openvpn für sehr sicher , deshalb sind meine configs kein geheimnis . bitteschön

Code:

#  OpenVPN 2.1 Config, Sun Dec  7 12:04:43 CET 2008
proto udp
dev tap
ca /tmp/flash/ca.crt
cert /tmp/flash/box.crt
key /tmp/flash/box.key
dh /tmp/flash/dh.pem
tls-server
tls-auth /tmp/flash/static.key 0
port 1194
mode server
ifconfig-pool 10.8.0.100 10.8.0.200
push "route 10.8.0.1 "
push "route-gateway 10.8.0.1 "
ifconfig 10.8.0.1 255.255.255.0
client-config-dir /var/tmp/clients_openvpn
topology subnet
max-clients  5
push "route 192.168.1.0 255.255.255.0 10.8.0.1"
route 192.168.178.0 255.255.255.0 10.8.0.10
ifconfig 10.8.0.1 255.255.255.0
push "route-gateway 10.8.0.1"
push "route 192.168.1.0 255.255.255.0"
max-clients 5
tun-mtu 1500
mssfix
verb 3
daemon
cipher AES-256-CBC
comp-lzo
keepalive 10 120

die 10.8.0.10 habe ich einem client zugewiesen

greetz dipsy

[MaxMuster]

Moin,

könntest du bitte mal prüfen, ob deine GUI-Änderungen sich in der Datei "/var/tmp/flash/openvpn.diff" wiederfinden, nachdem du "Übernehmen" gedrückt hast?

Dort müsste dann z.B. sowas wie "export OPENVPN_CIPHER='BF-CBC#AES-256-CBC'" auftauchen, wenn du den cipher verändert hast.

Die zugegebenermaßen zunächst etwas "verwirrende Logik" dahinter ist:
- Der Standard steht in /mod/etc/default.openvpn/openvpn.cfg,
- alle Änderungen in /var/tmp/flash/openvpn.diff,
- das "Ergebnis" der Einstellungen (Standard + Abweichungen) in /mod/etc/conf/openvpn.cfg.

Aus diesen Einstellungen wird dann (durch das Skript "/mod/etc/default.openvpn/openvpn_conf" und ggf. "/mod/etc/default.openvpn/openvpn_dynamic_conf" ) beim Start des Dienstes die eigentliche OpenVPN-Config in "/mod/etc/openvpn.conf" erzeugt...

Jörg

[dipsy]

hallo MaxMuster ,

na aber sofort leider ist das ergebnis weniger toll , ich habe von aes-256 auf tripel-des umgestellt und übernehmen gedrückt , die gui hat auch angezeigt das die cfg gespeichert wurde und den dienst neu gestartet .

greetz dipsy

[MaxMuster]

Hi,

das sieht in der Tat merkwürdig aus, allerdings hast du scheinbar einige Dinge ja auch direkt in der default .cfg Datei geändert.
Z.B. können eigentlich Einstellungen für einzelne Clients nur genutzt werden, wenn der "Expertenhaken" gesetzt ist, was er bei dir nicht ist.

Grundproblem aber ist, dass scheinbar die geänderten Werte nicht abgespeichert werden, denn eigentlich hätte sich die .diff-Datei verändern müssen....

Das könnte ein Problem mit dem modconf-Skript sein, Berechtigungs-Probleme oder schlicht, dass die .cgi-Datei irgendwie defekt ist und deshalb die Variablen-Namen nicht stimmen.

Momentan fällt mir nicht ein, wie ich das genauer eingrenzen könnte. Ich lasse mir das mal durch den Kopf gehen.

Kannst du denn überhaupt was in der GUI verändern?
Wenn ja: Was? Ändert sich dann die .diff-Datei korrekt?

Könntest du es bitte auch mal mit der "normalen" (nicht veränderten) /mod/etc/default.openvpn/openvpn.cfg versuchen (zur Sicherheit die .diff und .cfg wegspeichern)?

Danke und Grüße

Jörg

[dipsy]

hallo MaxMuster ,

ich habe zumindest wissentlich keine default-datei verändert und das problem tritt ja bei jedem w701v und w900v auf den ich teste . ich hänge dir auch dir mal an . wie du den versuch meinst hab ich nicht ganz verstanden soll ich die dateien aus dem default ordner per ftp kopieren und dann versuchen über dir gui alles einzustellen ?. und ändern kann ich zum beispiel jede ip oder subnetzmaske .

greetz dipsy

[MaxMuster]

Hi,

ich beziehe mich da auf die "erste Spalte" (immer mit # getrennt) der von dir geposteten .diff Dateien. In der sind wenn mich nicht alles täuscht die "Default"-Werte drin, danach folgt die "echte" Config (bzw. mehrere Configs). Und die defaults kann man eigentlich nicht ändern...

Deshalb musste eigentlich z.B. die Zeile

Code:

export OPENVPN_CIPHER='AES-256-CBC#AES-256-CBC'

eigentlich so aussehen

Code:

export OPENVPN_CIPHER='BF-CBC#AES-256-CBC'

Deshalb hatte ich angenommen, du hättest was in der Datei "/mod/etc/default.openvpn/openvpn.cfg" (bzw im fretz "/openvpn/files/root/etc/default.openvpn/openvpn.cfg") verändert und meine Frage/Bitte war, an der Stelle die oOiginal-Datei zu nutzen.....

Werden denn die "erfolgreichen" Änderungen im .diff-file entsprchend als Änderungen sichtbar?


Jörg

[dipsy]

jaap die ip-änderungen stehen drin und ich bin an dem eintrag

Code:

export OPENVPN_CIPHER='AES-256-CBC#AES-256-CBC'

schuld aber ich habe die änderung in der /var/mod/etc/conf/openvpn.cfg vorgenommen .

greetz dipsy

[MaxMuster]

Moin,

... dennoch ist die cipher-Zeile merkwürdig, denn die Differenz wird gegen die default-Einträge gemacht. Schaust du bitte mal in diese Datei, steht da denn vorne "Blowfish" drin?

Da ansonsten Datenübernahme aus der GUI zu funktioniern scheint, kannn ich mir eigentlich nur noch vorstellen, dass der Name der Variablen auf der HTML-Seite nicht passt?!?

Könntest du, nur um "sicher zu gehen" einmal mit einer "default" Config testen (z.B. die .diff Datei löschen, "modsave") und dann nach einem Neustart der Box was eintragen??

Ansonsten bliebe aus meiner Sicht nur noch, die GUI zu "debuggen", z.B. mit FireBug. Zunächstmal könntest du aber auch schon mit "Hausmitteln" etwas prüfen:

Code:

sed 's/<input type="hidden" id="id_cipher"/WERT von Cipher: <input id="id_cipher"/' /usr/lib/cgi-bin/openvpn.cgi > /var/tmp/openvpn.cgi
mount -o bind /var/tmp/openvpn.cgi /usr/lib/cgi-bin/openvpn.cgi

Das sollte (häßlich aber praktisch) oben ein Feld mit dem Cipher-Wert einblenden...


Jörg

[dipsy]

hallo Jörg ,

ich habe den code ins rudi-shell eingefügt und ausgeführt mit dem ergebnis das ich die gui nicht mehr hatte . es stand das das kein script für openvpn existiert nach einem reboot war die wieder da sieht normal aus aber übernimmt keine änderungen . wenn du mir die default-dateien mal zukommen läßt packe ich die mal per ftp auf den router und versuche die standartkonfig zu laden um dann die einstellungen neu zu machen .

greetz dipsy

[MaxMuster]

Sorry, ist diese Tage etwas schwierig, Zeit fürs Forum zu finden

Habe natürlich noch vergessen, dass du die Datei noch ausführbar machen müsstest, da sie ja nicht kopiert, sondern die Ausgabe vom sed-Befehl dorthin umgeleitet wurde. Also: Am Ende noch ein

Code:

chmod +x /var/tmp/openvpn.cgi

sollte helfen...


Jörg

[dipsy]

hallo Jörg ,

da gibts nichts zu entschuldigen , ich bin morgen best. auch zum letzten mal in diesem jahr an meinem pc und das ist auch gut so .
aber so funktioniert es ich konnte von hand auf 128 umstellen und zurück .

greetz dipsy

[MaxMuster]

Moin,

da muss nochmal nachfragen: Funktioniert heißt jetzt "wird richtig angezeigt" oder "wird angezeigt und ist danach in der Konfig richtig" oder "Ändern der Auswahl ändert nix im neuen Feld, aber wenn ich es von Hand eintrage steht es auch in der Konfig"?

Wenn es, wie ich vermute, auf der Seite in der Anzeige "korrekt mitwechselt", sobald die Dropdownbox sich ändert, die Konfig aber dennoch den Wert nicht übernimmt, dann müsste man in der Datenübernahme aus der GUI (das macht freetz eigentlich für alle Pakete gleich) genauer nachschauen.
Wenn es nicht mitwechselt wäre es ein GUI-Fehler, den man dann auf den Boxen finden müsste.
Wenn es nur mit der Änderung plötzlich auch in der Konfig richtig wäre, wäre ich doch extrem verwundert und könnte mir das nicht erklären...

Jörg

[dipsy]

hallo Jörg ,

bitte hab nachsicht mit mir falls ich nicht gleich alles verstehe linux macht mir spaß ich bin aber weit davon entfernt es zu verstehen .
also ich habe deine codes nacheinander über die rudishell ausgeführt ,
danach war bei startyp ein zusätzliches feld in dem stand " AES-256-CBC#AES-256-CBC "
das habe ich so " AES-256-CBC#AES-128-CBC " geändert ,
danach hatte ich folgende zeile in der openvpn.diff " export OPENVPN_CIPHER='AES-256-CBC#AES-128-CBC' "
und " cipher AES-128-CBC " in der openvpn.conf

edit: sorry hab ich fast vergessen auch in der gui stand der geänderte wert AES-128

ein frohes fest dipsy

[MaxMuster]

Moin,

ich habe mich da wohl auch nicht klar ausgedrückt

Das jetzt sichtbare Feld ist eigentlich immer da (nur eben unsichtbar) und wird beim "Übernehmen" ausgelesen. Wenn eine Änderung dort letztlich im .diff ist: Bestens.
Eine spannende Frage für mich bleibt: Wenn du "normal", also über das drop-down-Menü in der GUI, den Cipher änderst, dann sollte sich das sofort auch als Änderung in dem Feld zeigen. Könntest du das bitte auch noch testen, ob es das tut? Also es soll der Wert im "neuen Eingabe-Feld" den Änderungen der GUI "folgen" (ich hoffe, ich habe das jetzt klar ausgedrückt...)

Danke für die Geduld und ein paar schöne und besinnliche Festtage!

Jörg

[dipsy]

moin Jörg ,

jetzt hab ich es verstanden , aber leider wird keine änderung im drop-down-menü übernommen weder in der gui noch in den dateien oder dem zusatzfeld .

greetz dipsy

[MaxMuster]

Frohe Weihnachten erstmal!

Die Übernahme wird mittel eines Javascript Aufrufs gemacht. Könntest du das eventuell mal mit einem anderen Browser probieren? Welchen nutzt du?

Jörg

[dipsy]

jaap frohe weihnachten wünsche ich auch noch allen ,

leider hast du auch damit recht ich nutze nur den opera (z.zt. 9.62) und obwohl der javascripte zulassen soll tut er das in diesem fall nicht mit dem ie geht es .
zeigt wiedermal das nichts perfekt ist . ich möchte mich für den dir bereiteten streß entschuldigen .

greetz dipsy