Konfiguration für Openvpn gesucht

[matze1985]

Hallo leute
ich weiß das ist eine sehr einfache lösung für mein Problem, aber da ich nciht gerade ein openvpn-crack bin versuche ich mal so zu meinem Ziel zukommen.
Ich bin viel mit meinen Laptop unterwegs und möchte mich gerne in mein Heimnetz per openVpn tunneln.
Ich hab das openvpn aus dem ds-0.2.9_26-14.1 und einen Windows-Laptop mit openvpn.
Kann mir jemand sagen, was ich ins DS-OpenVPN-Webinterfaces eintragen muss und welche config dazu passt? oder gibt es eine möglichkeit eine eigene config für openvpn zu verwenden, die nicht überschrieben wird(ähnlich wie bei samba wo die datei /var/tmp/flash/smc_conf vorgezogen wird, wenn sie existiert).
Vielen dank für euche Hilfe!
Matthias

 

[kriegaex]

Das ist nicht, was Du wissen wolltest, aber evtl. etwas, das Dir hilft, gerade weil Du Einsteiger bist: Ich schlage Dir SSH mit Dropbear vor. Andere Ports kannst Du bei Bedarf durchtunneln. Mir reicht das, und ich bin seit drei Wochen nicht zu Hause und jeden Tag auf meinen Heimrechnern. Windows-Dateisystem-Mounts brauche ich nicht (könnte man auch tunneln), wenn ich Dateien von meinem Rechner will, hole ich mir die durch meine UltraVNC-Verbindung. Letztere geht sogar ohne SSH-Tunnel, wenn man, wie ich, ein Krypto-Plugin benutzt. Dann ist VNC per se schon verschlüsselt. Einfach, billig, schnell konfiguriert.

P.S.: Mit OpenVPN geht es sicher auch (es ist ja dafür gedacht), aber nicht viele Leute brauchen es wirklich.

 

[knox]

was man auf der box einstellen "muss", hängt davon ab, was man erreichen möchte. jede menge informationen gibts überall im internet, vor allem in den openvpn dokus.
hier im ip phone wiki gibt es zwei beispiel-konfigurationen für die client seite...

 

[MaxMuster]

Hi Matthias,

Vielleicht noch als Ergänzung:

Ich schlage Dir SSH mit Dropbear vor.

SSH ist immer dann erste Wahl, wenn dir TCP-Verbindungen ausreichen (also kein UDP), weil du grundsätzlich nur TCP-Ports weiterleiten kannst. Großer Vorteil: Das ganze braucht deutlich weniger Platz im Image und klappt eigentlich immer ohne "Nachladen".

was man auf der box einstellen "muss", hängt davon ab, was man erreichen möchte.

Das ist leider die einzig richtige Antwort. Ja nach Bedarf, was du "in deinem Heimnetz" so machen willst muss die Konfig sein. Ohne etwas Lesen und die entsprechenden Entscheidungen geht's wohl nicht, aber für die meisten Fälle sollten dann die WIKI-Beispiele oder die von der openvpn-Seite mit minimalen Anpassungen nutzbar sein. (Selbst ich hab das hingekriegt;-))
Wenn das openvpn bei dir nicht ins Flash passt, muss es bei jedem Start nachgeladen werden. Falls das Binary nicht in den Mod mit reinpasst, ist es also deutlich aufwendiger, und der Vorschlag zum SSH noch vorteilhafter...

Jörg

 

[kriegaex]

Noch 'ne VPN-/SSH-Alternative: Rudi-Shell + matrixtunnel

(Sorry, off-topic, aber thematisch verwandt.)

Falls Du ganz eingeschränkt bist mit dem Zugang (nur Web-Proxy mit HTTPS im Büro z.B.) und/oder Du Dir den Speicherplatz für Dropbear auch noch sparen willst - schau mal in meinen Wiki-Artikel. Ein Stückchen weiter oben steht noch die platzfressendere OpenSSH-Variante.

Edit: Was nicht mehr ganz aktuell ist dort: die Rudi-Shell ist inzwischen längst fester Bestandteil des Mods (seit *-14) und immer mit drin. Matrixtunnel ist optional.

Edit 2: Ich bin seit >3 Wochen von zu Hause weg und habe über die Rudi-Shell schon Dateien in beide Richtungen transferiert (steht auch im Wiki-Artikel) und sogar per Skript mehrmals eine Firmware geflasht (das steht nicht drin).

 

[MaxMuster]

... und wieder mein Senf dazu:

Falls Du ganz eingeschränkt bist mit dem Zugang (nur Web-Proxy mit HTTPS im Büro z.B.)

... dann geht das natürlich auch mit dropbear und putty, sehr schön z.B. hier http://www.xobztirf.de/selfsite.php?aktion=Putty erklärt.
Damit habe ich z.B. schon (damit schließt sich der Kreis):
Zuerst einen TCP-Tunnel auf die Box gebaut, (weil ich nur einen Proxy hatte und eigentlich nur den Zugriff auf die Box bzw per TCP ins Netz brauchte) und darüber dann ein openvpn getunnelt, um per UDP in mein Heim-Netz zu kommen... Also, du siehst: es ist zwar mit dem SSH vielleicht nicht alles sinnvoll ;-), aber möglich ist es schon!
OT: Und wenn ich mal dazu komme, werde ich natürlich mal die matrixtunnel-Sache im 2.4-er Kernel testen

Jörg

 

[matze1985]

Erstmal vielen dank für eure antworten.

@kriegaex: Danke für den Tipp mit ssh, dass ist meine aktuelle Art und Weise ins Heimnetz zu kommen und ich wollte jetzt halt mal openvpn aus "erweiterung" ausprobieren. Bis jetzt klappt es auch ganz gut so, ich werde vielleicht noch zu testzwecken mit openvpn rumspielen, mal sehen was rauskommt.

@MaxMuster: ich hab ne 7141 und bei mir passt OpenVPN mit dem 40.04.30ds-0.2.9_26-14.1 wunderbar auf die Box.
ne verbindung hatte ich auch schon mal zu stande bekommen, aber irgendwie konnte ich den anderen Rechner noch nciht erreichen, naja wie gesagt ich werde noch etwas rumprobieren.

 

[MaxMuster]

Hi,

kurz vorm Schluss für heute noch 'ne "Antwort"

ne verbindung hatte ich auch schon mal zu stande bekommen, aber irgendwie konnte ich den anderen Rechner noch nciht erreichen

Wenn die Verbindung schonmal geklappt hat, ist ja das Gröbste geschafft! Wenn du (wie ich es verstanden habe) die Box schon erreichen konntest, und nur die Kisten "dahinter" nicht, wird es wohl am Routing liegen.
Hier wäre die Frage, was denn dein Client so in der Routingtabelle hat, also ob er dein heimisches Netz "kennt" (Windows: "route print"). Evtl. solltest du dazu die "route"-Parameter nochmal prüfen...

Viel Erfolg!

Jörg

 

[knox]

ne verbindung hatte ich auch schon mal zu stande bekommen, aber irgendwie konnte ich den anderen Rechner noch nciht erreichen

zeig mal den inhalt von cat /var/mod/etc/conf/openvpn-lzo.cfg auf der box.
und bitte zeig doch mal dein routing table auf dem client, sobald die verbindung aufgebaut ist. (route -n unter linux, route print unter windows)

ich werde noch etwas rumprobieren.

viel spaß und gutes gelingen!

 

[matze1985]

hey

also cat /var/mod/etc/conf/openvpn-lzo.cfg sieht bei mir so aus:

/var/mod/root $  cat /var/mod/etc/conf/openvpn-lzo.cfg
export OPENVPN_LZO_AUTH_TYPE='static'
export OPENVPN_LZO_BOX_IP='10.0.0.1'
export OPENVPN_LZO_BOX_MASK='255.255.255.0'
export OPENVPN_LZO_CIPHER='BF-CBC'
export OPENVPN_LZO_CLIENT2CLIENT='yes'
export OPENVPN_LZO_COMPLZO=''
export OPENVPN_LZO_DHCP_CLIENT=''
export OPENVPN_LZO_DHCP_RANGE='10.0.0.100 10.0.0.200'
export OPENVPN_LZO_ENABLED='no'
export OPENVPN_LZO_FLOAT=''
export OPENVPN_LZO_KEEPALIVE='yes'
export OPENVPN_LZO_KEEPALIVE_PING='10'
export OPENVPN_LZO_KEEPALIVE_TIMEOUT='120'
export OPENVPN_LZO_LOCAL='192.168.178.250'
export OPENVPN_LZO_LOCAL_NET='192.168.178.0 255.255.255.0'
export OPENVPN_LZO_LOGFILE=''
export OPENVPN_LZO_MAXCLIENTS='5'
export OPENVPN_LZO_MODE='server'
export OPENVPN_LZO_MTU='1500'
export OPENVPN_LZO_PORT='1194'
export OPENVPN_LZO_PROTO='udp'
export OPENVPN_LZO_PULL=''
export OPENVPN_LZO_PUSH_DNS='10.0.0.1'
export OPENVPN_LZO_PUSH_REDIRECT='yes'
export OPENVPN_LZO_PUSH_WINS='10.0.0.1'
export OPENVPN_LZO_REMOTE=''
export OPENVPN_LZO_REMOTE_IP='10.0.0.2'
export OPENVPN_LZO_REMOTE_NET=''
export OPENVPN_LZO_SHAPER=''
export OPENVPN_LZO_TLS_AUTH=''
export OPENVPN_LZO_TYPE='tap'
export OPENVPN_LZO_VERBOSE='3'
export OPENVPN_LZO_VPN_NET='192.168.200.0 255.255.255.0'

und meine Routingtable sieht so aus

>route print
===========================================================================
Schnittstellenliste
0x1 ........................... MS TCP Loopback interface
0x4 ...XX XX XX XX XX XX ...... 802.11g MiniPCI Wireless Network Adapter - Paketplaner-Miniport
0x5 ...XX XX XX XX XX XX ...... TAP-Win32 Adapter V8 - Paketplaner-Miniport
0x50008 ...XX XX XX XX XX XX ...... Cisco Systems VPN Adapter - Paketplaner-Mini port
===========================================================================
===========================================================================
Aktive Routen:
     Netzwerkziel    Netzwerkmaske          Gateway   Schnittstelle  Anzahl
          0.0.0.0          0.0.0.0         10.0.0.1       10.0.0.10       30
          0.0.0.0          0.0.0.0   132.187.246.97  132.187.246.97       1
         10.0.0.0    255.255.255.0        10.0.0.10       10.0.0.10       30
        10.0.0.10  255.255.255.255        127.0.0.1       127.0.0.1       30
   10.255.255.255  255.255.255.255        10.0.0.10       10.0.0.10       30
        127.0.0.0        255.0.0.0        127.0.0.1       127.0.0.1       1
      132.187.0.0      255.255.0.0   132.187.246.97  132.187.246.97       25
      132.187.1.5  255.255.255.255     172.17.7.254    172.17.3.217       1
   132.187.246.97  255.255.255.255        127.0.0.1       127.0.0.1       25
  132.187.255.255  255.255.255.255   132.187.246.97  132.187.246.97       25
      169.254.0.0      255.255.0.0  169.254.205.159  169.254.205.159      25
  169.254.205.159  255.255.255.255        127.0.0.1       127.0.0.1       25
  169.254.255.255  255.255.255.255  169.254.205.159  169.254.205.159      25
       172.17.0.0    255.255.248.0     172.17.3.217    172.17.3.217       25
     172.17.3.217  255.255.255.255        127.0.0.1       127.0.0.1       25
     172.17.7.254  255.255.255.255     172.17.3.217    172.17.3.217       1
   172.17.255.255  255.255.255.255     172.17.3.217    172.17.3.217       25
        224.0.0.0        240.0.0.0        10.0.0.10       10.0.0.10       30
        224.0.0.0        240.0.0.0   132.187.246.97  132.187.246.97       25
        224.0.0.0        240.0.0.0  169.254.205.159  169.254.205.159      25
        224.0.0.0        240.0.0.0     172.17.3.217    172.17.3.217       25
  255.255.255.255  255.255.255.255        10.0.0.10       10.0.0.10       1
  255.255.255.255  255.255.255.255   132.187.246.97  132.187.246.97       1
  255.255.255.255  255.255.255.255  169.254.205.159  169.254.205.159      1
  255.255.255.255  255.255.255.255     172.17.3.217    172.17.3.217       1
Standardgateway:    132.187.246.97
===========================================================================
Ständige Routen:
  Keine

 

[MaxMuster]

Hallo Matthias,

und meine Routingtable sieht so aus

>route print
[...snip...]
        10.0.0.10  255.255.255.255        127.0.0.1       127.0.0.1       30
[...snip...]

... hmm, die Box hat die .10 bekommen, obwohl dein DHCP-Range erst ab 100 beginnt?
Ansonsten: Kannst du die 10.0.0.1 per Ping erreichen? Dann würde ich zumindest "testweise" mal die Route "per Hand" eintragen

route add 192.168.178.0 mask 255.255.255.0 10.0.0.1

und dann probieren.

Mir fehlt halt noch die Route in das LAN, dafür ist "nur" die doppelte Default-Route da. Ich würde mal das "Client Traffic umleiten" (export OPENVPN_LZO_PUSH_REDIRECT='yes') rausnehmen. Spätestens dann sollte die Route aus dem Punkt "Lokales Netzwerk" (aus dem export OPENVPN_LZO_LOCAL_NET='192.168.178.0 255.255.255.0') auf dem Client erscheinen...


Grüße

Jörg

 

[knox]

cat /var/mod/etc/conf/openvpn-lzo.cfg sieht bei mir so aus

laut der gezeigten config verwendest du statische authentifzierung. in diesem fall muss man bedenken, dass die komplette konfiguration des clients ausschließlich in der client-seitigen konfiguration erfolgt; die push-optionen werden bei dieser authtenfizierungsmethode nicht an den client übergeben.
dies gilt insbesondere auch für das routing; um auf der client seite eine route in das netz hinter dem vpn server zu konfigurieren, müsste deine client config also ungefähr so aussehen:

[...]
ifconfig 10.0.0.2 10.0.0.1
[B]route 192.168.178.0 255.255.255.0[/B]
[...]

beachte außerdem das konfigurationsbeispiel.

(die verwendung mit zertifikaten hat u.a. den vorteil, dass die clients mit einer vergleichsweise einfachen, universellen konfiguration auskommen und man sie bequem vom server aus konfigurieren kann.)

 

[matze1985]

vielen Dank für eure Antworten
@MaxMuster: habe ich ausprobiert und werde mich nachher, wenn ich wieder unterwegs bin mal versuchen damit zu verbinden.

@knox: vielen Dank für den Hinweis, ich werde mich mal an die Konfig mit zertikaten setzten und vielleicht läuft es dann besser.

melde mich dann später nochmal

 

[matze1985]

ok hat geklappt

Hey leute also jetzt hat es geklappt mit dem tipp von knox.

ich hab meine konfig auf zertifikate umgestellt und die konfig aus dem wiki benutzt und dann hat es auch geklappt, mit und ohne traffic umleiten.

Danke für die hilfe.

Das einzige, was ich jetzt noch komisch finde ist, wenn ich mich mit unserem CiscoVPN aus der Uni verbunden habe aus dem Uni WLAN, dann kommt zwar eine Verbindung zustande, aber ich kann die box nicht anpingen und auch sonst nicht erreichen. Weiß jemand, ob man das irgendwie fixen kann?

 

[MaxMuster]

Hi Matthias,

Das einzige, was ich jetzt noch komisch finde ist, wenn ich mich mit unserem CiscoVPN aus der Uni verbunden habe aus dem Uni WLAN, dann kommt zwar eine Verbindung zustande, aber ich kann die box nicht anpingen und auch sonst nicht erreichen. Weiß jemand, ob man das irgendwie fixen kann?

Meist wird in der Config auf dem VPN-Konzentrator, auf den du dich mit dem Client verbindest, dein komplettes lokales Netz gesperrt, sobald du verbunden bist und du kannst nur noch über den Client ins Netz.
Wenn ich es richtig verstehe, kannst du die Box zwar per Openvpn erreichen, aber nicht "anpingen", solange der VPN-Client verbunden ist? Ich denke es hängt damit zusammen: Der Aufbau klappt (weil er ja über das UNI-VPN geht), aber der Verkehr über die "lokale Netzwerkkarte", die der openvpn-Client anlegt, wird gesperrt...

Grüße

Jörg

 

[matze1985]

vielen danke für die antwort
aber zumindest geht die verbindung sonst