OpenVPN-Paket

[gagamicha]

Cool danke hab es zum laufen gebracht ... hatte probs mit der Debug.cfg aber die Einträge :
trap '' SIGHUP
trap '' SIGTERM

am anfang der debug.cfg haben es dann lauffähig gemacht.
Ebenso habe ich mir dnsmasq installiert ... dabei ist zu beachten das beim stoppen von multid die Uhzreit nicht synchron ist .. somit hat vpn dann probleme zu connecten.
Das nachträgliche starten von chronyd hat das ebenfalls behoben.

Bisher läuft alles stabil. Der Dauertest wird es zeigen

 

[schnappi]

OpenVPN auf Fritzbox, Dienst einfach beendet, Zugriff auf USB Speicher nicht möglich

Hallo,

ich habe OpenVPN als BackupReserve auf meiner Fritzbox eingerichtet. Ich verbinde mich eigentlich auf das OpenVPN meines PCs und nur im Notfall, wenn der PC aus ist per VPN auf der Fritzbox. Als ich mich heute verbinden wollte, habe ich festgestellt, dass sich nichts tut. Ich bin also per Telnet auf die Fritzbox und habe ein ps | grep open ausgeführt und nichts von OpenVPN gefunden. Nachdem ich ein Log-Schreibe steht als letzter Eintrag dadrinnen
"Tue Jan 28 10:28:29 2014 Peer Connection Initiated with YYY.XXX.XXX.XXX:7029" D.h. am 28. Januar ist das einfach ausgestiegen. Die Frage ist nun warum. Das OpenVPN läuft auf dem USB-Stick. Ich bin nun per telnet soweit, dass ich nach cd /dev/sda1 wechseln wollte, was aber nicht funktioniert. Es scheint so als hat die Fritzbox keinen Zugriff mehr auf den Stick. Über die FritzNas Funktion komme ich jedoch noch drauf. Bevor ich jetzt die Box neustarte hoffe ich mal, dass ihr mir noch ein paar Diagnosetipps geben könnt um das Problem näher einzugrenzen damit es in der Zukunft nicht mehr auftritt.

 

[MaxMuster]

Wenn der USB-Stick (als Quell-Laufwerk des Programms) nicht mehr eingebunden ist, kann ich mir gut vorstellen, dass das Programm, das von dort gestartet wurde, "abstürzt". Das wäre eine Richtung, in der ich schauen würde. Aber wegen "/dev/sda1": Waren die USB-LW auf der FB nicht unter /var/media/ftp/<XY> gemountet?#

Wie genau wird denn bei dir das OpenVPN gestartet? Vielleicht solltest du, wenn das USB-Laufwerk tatsächlich "verschwindet", das Programm vorher in den Arbeitsspeicher (/var/tmp z.B.) kopieren und von dort starten?

 

[schnappi]

Waren die USB-LW auf der FB nicht unter /var/media/ftp/<XY> gemountet?#

Danke dieser Link hilft mir sehr weiter. Unter diesem ist der Stick nämlich noch ansprechbar. Ich werde mein Skript dementsprechend anpassen, sodass OpenVPN von dort startet. Wirklich merkwürdig, dass der Speicher nicht mehr per /dev/sda1 erreichbar ist, per /var/media/ftp/... jedoch schon noch.

 

[chris_p_1982]

OpenVPN auf IP-Client-Fritzbox

Hallo.

Ein Kumpel von mir wollte in mein bestehendes OpenVPN, aber ich wollte vor mal fragen ob unser Vorhaben überhaupt geht. Und zwar hab ich bisher ein VPN über OpenVPN mit einer brigde am laufen. Eine Fritzbox 7390 (Server) und eine 7170 (Client) und beide gefreezt. Dort gehen auch sämtlich Broadcast wie gewünscht durch und die Geräte dahinter sehen wir auch. Bei meinem Kumpel ist es jetzt so das er die Horizon von Unitymedia bzw Cablecom hat und die Frau auch nicht wirklich möchte das wir was an der Konfiguration ändern da es halt läuft. Meine Überlegung ist jetzt halt eine Fritzbox (7170 oder 7270) hinter die Horizon als IP-Client zu hängen mit OpenVPN. Jetzt würde ich nur gerne wissen ob das dann genauso funktionieren würde oder eher weniger? Sein Rechner hängt auch hinter der Horizon und soll dort nach möglichkeit auch bleiben. Desweiteren sollte sein Fernseher auch den Medienserver sehen... Müsste ich irgendwie grossartig was an der config für die Clientbox ändern?
Hat da jemand ne Idee?

lg chris

 

[MaxMuster]

Prinzipiell wäre es kein Problem, einen VPN-Client hinter einer Kabelbox zu haben. Wenn das eine "Erweiterung" des bei dir vorhandenen "gebrückten Netzes" sein soll, wird es schwieriger. Alle Seiten müssten eigentlich das gleiche IP-Netz haben, ohne Überschneidungen mit den Problemen bei DHCP.
Deutlich einfacher dürfte es sein, wenn die Verbindung per Tunnel (also nicht als Bridge) gemacht wird.

 

[chris_p_1982]

Mit den beiden jetzigen Fritzboxen hab ich bei beiden dasselbe IP-Netz mit statischen IPs. Soweit ich das jetzt mal im Netz gesehen habe kann man das in den Horizon-Boxen auch einstellen. Anschliessend die Fritzbox hinter hängen und wie ein Rechner ihr eine IP zuweisen wobei sich keine der beiden Boxen mit den IPs der Netze der FritzBoxen überschneidet. Dann wollte ich die Brücke erstellen und hatte gehofft das die Signale auch z.B. bei seinem Fernseher ankommt der wiederum an einem anderen Lan-Port hinter der Horizon-Box hängt. Wenn wir nur einen Tunnel erstellen können wäre das weniger sinnvoll bzw wir können es gleich lassen.

 

[MaxMuster]

Wie gesagt: wenn du mit all den Problemen (sehr viel unnötige Netzlast, DHCP usw) und Gefahren (s.u.) einer Brücke leben kannst, sollte das funktionieren.

In einem gebrückten Netz ist das nicht nur für den Fernseher, sondern für alle Geräte, die an irgendeinem der teilnehmenden Netze hängen, so, als ob die wirklich in deinem Netz wären.
D.h. alle Geräte in einem der "fremden" Netze können dann ohne Einschränkung alle deine Geräte erreichen (oder auch "hacken"), über deinen Internet-Zugang surfen (und du kriegst ggf. den Ärger, wenn da Unsinn gemacht wird), können deinen Netzwerkverkehr "abhören" usw. Und das betrifft jedes Gerät, auch z.B. jeden "Gast" deines Kumpels, der da mal im Netz ist.
Wenn du dein Netz so für "Fremde" öffnen willst...

Für sinnvoll hielte ich das nicht, aber du musst das natürlich für dich entscheiden.

 

[komsec]

Kein DNS für die Clients hinter der FRITZBOX mit OpenVPN-Tunnel zum Internet?

Hallo. Bitte um die Hilfe mit dem folgenden. Meine FritzBox 7170 sollte Internet-zugang für die daranhängenden Klienten über VPN-tunnel zur Verfügung stellen. Die FritzBox ist im client-modus durch openvpn zu einem VPN-Server im Internet verbunden. Eigentlich muss der ganze Netzwerkverkehr von der FritzBox über OpenVPN-Gateway ins internet. Bei den "direkten" Klienten zum OpenVPN-Server (einschließlich der FritzBox an sich) funktioniert es nun wunderbar. Die Klienten hinter der FritzBox können mit den anderen dagegen nur über die internen VPN-IP-Adressen kommunizieren. Ist klar da kein DNS-Server von diesen Klienten aus erreichbar ist (obwohl diese von der FritzBox gut erreichbar sind). Auf der FritzBox ist freetz-2.0-11789 installiert auf Basis 4.X-firmware installiert. Mit dem Internet wird die FritzBox über LAN1 (NAT-Option) verbunden. DSL ist deaktiviert. Könnt ihr bitte die nötigen Tips geben? Unten Sie die ganzen configs:

OpenVPN-Server im Internet:
server.conf:
port 1195
proto tcp
dev tun1
ca ./ca.crt
cert ./server.crt
key ./server.key
dh ./dh1024.pem
mode server
tls-server
server 10.7.0.0 255.255.255.0
client-config-dir ccd
route 192.168.178.0 255.255.255.0 # Netzwerk von der FritzBox
push "route 192.168.178.0 255.255.255.0"
push "dhcp-option DNS XXX.XXX.XXX.XXX" # DNS auf dem OPENVPN-Server
push "dhcp-option DNS 192.168.178.1"
client-to-client
push "redirect-gateway def1 bypass-dhcp"
push "nice 1

OpenVPN Client (FritzBox):
proto tcp-client
dev tun
ca /tmp/flash/openvpn/ca.crt
cert /tmp/flash/openvpn/box.crt
key /tmp/flash/openvpn/box.key
tls-client
ns-cert-type server
remote XXX.XXX.XXX.XXX 1195 #öffentliche IP-Adresse des OpenVPN-Servers
nobind
tun-mtu 1500
mssfix
verb 3
keepalive 10 120
resolv-retry infinite
chroot /tmp/openvpn
user openvpn
group openvpn
persist-tun
persist-key
client
auth SHA1
nobind

root@fritz:/ route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
10.7.0.9 0.0.0.0 255.255.255.255 UH 0 0 0 tun0
192.168.180.1 0.0.0.0 255.255.255.255 UH 2 0 0 dsl
192.168.180.2 0.0.0.0 255.255.255.255 UH 2 0 0 dsl
XXX.XXX.XXX.XXX 0.0.0.0 255.255.255.255 UH 0 0 0 dsl #öffentliche IP-Adresse des OpenVPN-Servers
10.8.0.0 10.7.0.9 255.255.255.0 UG 0 0 0 tun0
10.7.0.0 10.7.0.9 255.255.255.0 UG 0 0 0 tun0
192.168.178.0 0.0.0.0 255.255.255.0 U 0 0 0 lan
169.254.0.0 0.0.0.0 255.255.0.0 U 0 0 0 lan
0.0.0.0 10.7.0.9 128.0.0.0 UG 0 0 0 tun0
128.0.0.0 10.7.0.9 128.0.0.0 UG 0 0 0 tun0
0.0.0.0 0.0.0.0 0.0.0.0 U 2 0 0 dsl

Was fehlt bei der Konfiguration?
Ich bedanke mich im Voraus.

 

[MaxMuster]

Ich vermutet, der Server müsste noch einen NAT Eintrag für das Netz der FB haben, wenn er den Verkehr aus dem Netz ins Internet schickt? Wie ist dort die NAT konfiguriert?

 

[komsec]

Ich vermutet, der Server müsste noch einen NAT Eintrag für das Netz der FB haben, wenn er den Verkehr aus dem Netz ins Internet schickt? Wie ist dort die NAT konfiguriert?

Hop... Es ist anscheind doch das Problem habe nur den Eintrag:
/sbin/iptables -t nat -A POSTROUTING -s 10.7.0.0/24 -o eth0 -j MASQUERADE.
Soll ich noch das FritzBox-Netzwerk auf eth0 maskieren?

 

[MaxMuster]

Ja, wenn der Eintrag für das VPN-Netz funktioniert, sollte

/sbin/iptables -t nat -A POSTROUTING -s 192.168.178.0/24 -o eth0 -j MASQUERADE

der richtige Befehl sein...

Generell ist beim Server der "allgemeine" push-Befehl für das FB-LAN nicht so günstig; der wird so auch an die FB selbst geschickt, so dass sie ihr LAN ins VPN routet.
Besser wäre, das im CCD nur an alle "nicht-FB-Clients" zu schicken.

 

[komsec]

Besser wäre, das im CCD nur an alle "nicht-FB-Clients" zu schicken.

Heisst es, für jeden client (ausser Fritzbox) eine entsprechende Datei im CCD-Verzeichnis mit dem code

iroute 192.168.178.0 255.255.255.0

anlegen?

 

[MaxMuster]

Nee, es geht um

push "route 192.168.178.0 255.255.255.0"

Wenn das Netz der FB überhaupt von anderen VPN-Clients erreicht werden soll/muss, dann sollte das in alle Client-Dateien (ausser Fritzbox) und nicht in den "globalen" Teil der Konfig.

Denn auf der FB ergibt ein Routing-Eintrag für 192.168.178.0 255.255.255.0 durch das VPN keinen Sinn (ist sogar falsch, denn das LAN sollte nicht durchs VPN ;-))

 

[chris_p_1982]

OpenVPN mit Brigde auf FritzBox 7390 mit OS 6.03

Hallo.

Ich habe vor 2 Tagen die neue Firmware wegen der Sicherheit eingespielt. Danach dann einfach wieder Freetz drauf und die configs waren auch noch alle da. Nur komischerweise bekomme ich zwischen den 2 FritzBoxen keine Verbindung mehr hin. Habe auch schon alles mögliche probiert, erst mit OpenVPN 2.3.2 und jetzt wieder mit 2.2.2! Virtual IP und die Firewall wollten plötzlich auch nicht mehr so wie es mal war so das ich nun alles manuell machen musste was ja nicht schlimm ist. Aber nun komme ich nicht mehr weiter.

Habe mit "ipconfig lan:1 192.168.xxx.253" ein neues Device hinzugefügt per Debug.cfg, dafür in der richtigen FritzBox-Firewall eine Portfreigabe angelegt und in der ar7.cfg das tap0 hinzugefügt. Allerdings bin ich der Meinung das die ar7.cfg jetzt anders aussieht in bezug auf Portfreigaben oder täusch ich mich da?

Anscheinend versucht die entfernte Box (7170) mittlerweile wieder Kontakt aufzunehmen aber es kommt nie eine Verbindung zustande:

Syslog:
Feb 22 18:05:01 fritz daemon.notice openvpn[4083]: TLS: Initial packet from [AF_INET]xxx.xxx.xxx.xxx:2053, sid=31ba95c4 4156bb4a
Feb 22 18:05:32 fritz daemon.notice openvpn[4083]: TLS: new session incoming connection from [AF_INET]77.57.190.122:2053
Feb 22 18:06:01 fritz daemon.err openvpn[4083]: TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Feb 22 18:06:01 fritz daemon.err openvpn[4083]: TLS Error: TLS handshake failed
Feb 22 18:06:01 fritz daemon.notice openvpn[4083]: TCP/UDP: Closing socket
Feb 22 18:06:01 fritz daemon.notice openvpn[4083]: SIGUSR1[soft,tls-error] received, process restarting
Feb 22 18:06:01 fritz daemon.notice openvpn[4083]: Restart pause, 2 second(s)
Feb 22 18:06:03 fritz daemon.warn openvpn[4083]: NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Feb 22 18:06:03 fritz daemon.notice openvpn[4083]: Re-using SSL/TLS context
Feb 22 18:06:03 fritz daemon.notice openvpn[4083]: LZO compression initialized
Feb 22 18:06:03 fritz daemon.notice openvpn[4083]: Control Channel MTU parms [ L:1590 D:166 EF:66 EB:0 ET:0 EL:0 ]
Feb 22 18:06:03 fritz daemon.notice openvpn[4083]: Socket Buffers: R=[204800->131072] S=[204800->131072]
Feb 22 18:06:03 fritz daemon.notice openvpn[4083]: Preserving previous TUN/TAP instance: tap0
Feb 22 18:06:03 fritz daemon.notice openvpn[4083]: Data Channel MTU parms [ L:1590 D:1450 EF:58 EB:135 ET:32 EL:0 AF:3/1 ]
Feb 22 18:06:03 fritz daemon.notice openvpn[4083]: UDPv4 link local (bound): [undef]
Feb 22 18:06:03 fritz daemon.notice openvpn[4083]: UDPv4 link remote: [undef]
Feb 22 18:06:34 fritz daemon.notice openvpn[4083]: TLS: Initial packet from [AF_INET]xxx.xxx.xxx.xxx:2053, sid=58146f9b 578c645d
Feb 22 18:07:34 fritz daemon.err openvpn[4083]: TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Feb 22 18:07:34 fritz daemon.err openvpn[4083]: TLS Error: TLS handshake failed
Feb 22 18:07:34 fritz daemon.notice openvpn[4083]: TCP/UDP: Closing socket
Feb 22 18:07:34 fritz daemon.notice openvpn[4083]: SIGUSR1[soft,tls-error] received, process restarting
Feb 22 18:07:34 fritz daemon.notice openvpn[4083]: Restart pause, 2 second(s)
Feb 22 18:07:36 fritz daemon.warn openvpn[4083]: NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Feb 22 18:07:36 fritz daemon.notice openvpn[4083]: Re-using SSL/TLS context
Feb 22 18:07:36 fritz daemon.notice openvpn[4083]: LZO compression initialized
Feb 22 18:07:36 fritz daemon.notice openvpn[4083]: Control Channel MTU parms [ L:1590 D:166 EF:66 EB:0 ET:0 EL:0 ]
Feb 22 18:07:36 fritz daemon.notice openvpn[4083]: Socket Buffers: R=[204800->131072] S=[204800->131072]
Feb 22 18:07:36 fritz daemon.notice openvpn[4083]: Preserving previous TUN/TAP instance: tap0
Feb 22 18:07:36 fritz daemon.notice openvpn[4083]: Data Channel MTU parms [ L:1590 D:1450 EF:58 EB:135 ET:32 EL:0 AF:3/1 ]
Feb 22 18:07:36 fritz daemon.notice openvpn[4083]: UDPv4 link local (bound): [undef]
Feb 22 18:07:36 fritz daemon.notice openvpn[4083]: UDPv4 link remote: [undef]
Feb 22 18:07:38 fritz daemon.notice openvpn[4083]: TLS: Initial packet from [AF_INET]xxx.xxx.xxx.xxx:2053, sid=193d6600 aa8513d2

Server-Config:
proto udp
dev tap0
dev-node /dev/tun
ca /tmp/flash/openvpn/ca.crt
cert /tmp/flash/openvpn/box.crt
key /tmp/flash/openvpn/box.key
dh /tmp/flash/openvpn/dh.pem
tls-server
tls-auth /tmp/flash/openvpn/static.key 0
port 1194
ifconfig 192.168.xxx.1 255.255.255.0
push "route-gateway 192.168.xxx.1"
push "route 192.168.xxx.0 255.255.255.0"
max-clients 2
tun-mtu 1500
mssfix
verb 3
cipher AES-128-CBC
comp-lzo
keepalive 10 120
status /var/log/openvpn.log

Die Client-Config wird nachgereicht sobald ich mal rankomme...

 

[MaxMuster]

Was für eine Firmware-Version hattest du denn vorher?
Wie ist die Portweiterleitung auf die FB selbst gemacht?

EDIT: Oh, den Part oben hatte ich überlesen.
Die Weiterleitung über ein "Pseudo-Interface" ist bestenfalls unzuverlässig, eigentlich war das immer eine nicht richtig funktionierende Möglichkeit.
Versuche das mit dem "AVM-Forwarding"-Paket

 

[chris_p_1982]

Habe ich schon probiert! Vorher hatte ich 6.01 und da hat es noch wunderbar funktioniert. Jetzt sagt er mir ich solle vorher eine Regel erstellen, ich glaube in der richtigen Freigabe. Hab ich gemacht und wollte dann anschliessend wieder umleitung auf die FB machen und das mag er nicht mehr. Daraufhin hab ich mir die ar7.cfg angeschaut und da hab ich den punkt forwarding oder wie der name war nicht mehr gefunden. Statt dessen bin ich bei ca 70 % fündig geworden wo die FB die Regeln jetzt für jede IP extra speichert. So ist mein Eindruck. Bin kein experte. Bis jetzt konnte ich sie immer wann ich will anpingen. Auch nach jedem Neustart der Box. Aber was soll ich machen wenn Virtual IP auch nicht mehr vernünftig laufen will?

Diese Fehlermeldung ist jetzt auch noch dazugekommen im Syslog:
fritz kern.warn kernel: system-load 1 curr: openvpn.cgi runnable: 3

 

[fischefr]

openvpn routing

Hallo zusammen!
Ich habe Freetz neuerdings aufgespielt mit openvpn. Der Tunnel zum Server in der Arbeit steht. Ich kann von der Telnet-Konsole der Fritzbox über den Tunnel entfernte Rechner ansprechen. Allerdings werden Anfragen von Rechnern im lokalen Netz (per wlan an Fritzchen angebunden) nicht getunnel. Kann mir jemand sagen, wo das Problem liegen könnte? Spuckt mir hier eine Firewall der Fritzbox in die Suppe? Ich bin mit den verschiedenen Daemons auf der Box nicht sehr vertraut. Vielleicht könnte mir da jemand weiterhelfen.
Danke schon mal im Vorraus.

 

[MaxMuster]

Sofern das zuvor bei dir "sicher" funktioniert hat, bist du die eine besondere Ausnahme. Ich zitiere mal von der veralteten Paket-Seite zu "Virtual IP":

Portfreigaben auf virtuelle IPs mit Firmwares (> 04.57) funktinieren nicht mehr zuverlässig. 
Bei manchen Firmwares (> 04.80) ist die Box teilweise nicht mehr per Netzwerk erreichbar sobald 
eine virtuelle IP eingerichtet wurde. Der ATA-Modus macht weniger Probleme wie der DSL-Modus.

Zur "AVM-Forwarding"-Seite:
Du musst einmal (temporär) eine Freigabe auf die Box selbst in der AVM-GUI einschalten.
Steht aber auch oben in der "Forwarding-GUI".
Also, einmal in die AVM-GUI und die "Fernwartung" zulassen, speichern und die AVM-GUI verlassen.
Dann, wenn du aus der AVM-GUI raus bist(!) in der Freetz-Forwarding-GUI den Eintrag für das OpenVPN machen, speichern, wenn möglich gleich danach neu starten.
Ist dann die OpenVPN-Freigabe drin, kannst du die Fernwartung wieder ausschalten, sonst nochmal versuchen. Manchmal bleibt der Eintrag nicht erhalten, falls die Box selbst gerade was in der ar7.cfg ändert, werden die Änderungen des Freetz-Paketes überschrieben.
Wenn du große Sicherheitsbedenken hast, trenne die Box solange vom DSL.

 

[chris_p_1982]

Ah ok. Beide Boxen hängen hinter einem Kabelmodem! Laufen über LAN1. Hab damals auch erst gedacht das wird eh nicht funktionieren, aber auf beiden Boxen lief es 1a bzw läuft auf der 7170 noch 1a. Hab das wohl falsch verstanden. Werde es mal ausprobieren. Danke schon mal (-: