Fehler im OpenVPN-WebIF?

Sidebar Sidebar
Upgrade 3CX to v18 and get it hosted free!
D

DerVogel

Neuer User
Mitglied seit
18 Jan 2008
Beiträge
4
Punkte für Reaktionen
0
Punkte
1
Hallo zusammen,

ich hoffe, mir kann irgendjemand einige Fragen erklären, ich habe keine echte Erklärung gefunden (weder auf openvpn.net noch per Suchfunktion hier im Forum):

1.) Ein tun-device tunnelt ausschließlich, ein tap-device kann sowohl tunneln als auch bridgen. Warum kann das tap beides?

2.) Ich habe mit dem aktuellen freetz-1.1 (vor drei Tagen heruntergeladen) openvpn in mein FriBo-7141-Image integriert. Jetzt wollte ich dieses konfigurieren, sodass nicht nur mein Desktop sondern mein gesamtes Netz über VPN erreichbar ist. Da die Verbindung allerdings auf DSL light laufen muss sollten die Broadcasts draußen bleiben, also nicht tap mit Lan bridgen, sondern per tun routen. Wenn ich meine für den einzelnen Desktop funktionierende Config in der WebGUI "übersetzen" will spuckt mir Freetz folgenden Fehler aus:

Code: 
Options error: Unrecognized option or missing parameter(s) 
in /mod/etc/openvpn.conf:14: ifconfig (2.1_rc15

In meiner Desktopconfig hatte ich das auch nie und ehrlich gesagt weiß ich auch nicht, was das in einer Infrastruktur-Umgebung zu suchen hat.
Ein einfaches "server 10.8.0.0 255.255.255.0" würde für "dev tun" eigentlich reichen. Habe ich eine Möglichkeit, dieses ifconfig zu entfernen? Oder besser, wie gebe ich ifconfig den zweiten (remote-) Parameter mit? Denn das scheint das Problem zu sein, wie ich mittels cat-Ausgabe gesehen habe - hier ist sie:

Code: 
#  OpenVPN 2.1 Config, Fri Sep 25 01:36:36 CEST 2009
proto udp
dev tun
ca /tmp/flash/ca.crt
cert /tmp/flash/box.crt
key /tmp/flash/box.key
dh /tmp/flash/dh.pem
tls-server
port 1194
push "dhcp-option DNS 10.8.0.1"
mode server
ifconfig-pool 10.8.0.10 10.8.0.10
push "route 10.8.0.1 "
ifconfig 10.8.0.1 [COLOR="Red"]10.8.0.2[/COLOR]
push "route 192.168.10.0 255.255.255.0"
tun-mtu 1500
mssfix
log /var/tmp/debug_openvpn.out
verb 5
daemon
cipher BF-CBC
comp-lzo
float
keepalive 10 120

Der rote Teil steht bei mir nicht da, denn komischerweise habe ich nur das Eingabefeld für eine Netzwerkmaske, nicht aber die remote-IP (wenn diese Kombination so übersetzt würde wie ich oben meinte, also dann "server 10.8.0.0 255.255.255.0, dann wäre das natürlich noch besser):
screenshot_webif.jpg Ich habe es natürlich auch mit eingetragener Maske 255.255.255.0 probiert, aber das ändert nichts! Und ich dachte auch, dass nur mit IP-Adresse und Maske geroutet werden kann...
Wenn ich auf statische Keys umschalte sehe ich das remote-Feld übrigens auch.

Zusammenfassend nochmal mein Ziel: Ich möchte ein VPN (10.8.0.0/24), das auf der FritzBox ins lokale LAN/WLAN geroutet wird (192.168.10.0/24). Die Routen einzutragen sollte ja per push-Option (wie im WebIF zu sehen) möglich sein - aber wie korrigiere ich den ifconfig-"Fehler" ?

Ich hoffe, mir kann jemand helfen, denn das ist jetzt schon die dritte Nacht, die ich mir um die Ohren schlage - und jetzt reicht es :grab:

Gruß, DerVogel
 
Der Screenshot ist so nicht vollständig, du müsstest noch etwas gegenüber dem Standars verändert haben...
- Was steht bei "Max. Clients:" ?
- Du hast ja Erweiterte Clientkonfiguration bei dir nicht angehakt. Stehen da vielleicht Einträge drin (mach mal den Haken an und sieh dir das an)??

Dass bei "unvollständig ausgefüllter GUI" ein Fehler beim Starten kommt ist das auch nicht unerklärlich ;-)

Wenn es dein Ziel ist, das ganze Netz 10.8.0.0/24 zu nutzen, ist aber doch die jetzige GUI-Einstellung eigentlich in Ordnung (IP + Maske). Dazu wäre dann der Parameter "topology subnet" erforderlich, der z.B. bei Nutzung der erweiterten Clientconfig mit festen IPs pro Client automatisch gesetzt wird.

Die GUI und Startlogik versuchen, sehr viele Fälle abzudecken, deshalb werden die möglichen "Abkürzungen" in der Konfig (wie "server 10.8.0.0 255.255.255.0") in der "ausformulierten Art und Weise" eingetragen (zumindest wird das versucht ;-), Fehler nie ausgeschlossen).

Zuletzt gibt es natürlich immer die Möglichkeit, freetz und GUI beiseite zu lassen, und deine eigene Konfig zu erstellen und openvpn damit zu starten ;-).

Jörg
 
Aber seltsam sieht dein screenshot trotzdem aus.
Hab meine Einstellungen mal anhand deines Bildes angepasst.
Wo bei dir Netzmaske steht, hab ich ein Feld für Remote IP.

Das Feld Netzmaske bekomm ich nur wenn ich TAP wähle.
 

Anhänge

  • ovpn.png
    ovpn.png
    24.2 KB · Aufrufe: 16
... oder wenn du bei mehreren Clients was in der "erweiterten Clientconfig" einträgst...

Jörg
 
Ahhh, gut zu wissen. Das hatte ich in deinem ersten post wohl übersehen oder nicht verstanden
 
Max, Respekt! Ich hatte noch einen unvollständigen Eintrag in der erweiterten Clientconfig drin, aber ich dachte, der würde nichts ändern (und ehrlich gesagt habe ich da dann gestern Nacht nicht mehr dran gedacht). Kaum hatte ich den Eintrag entfernt, kam auch schon das remote-Feld wieder...
Jetzt habe ich aber meinen client mal ausgefüllt, ihm eine gültige IP zugewiesen, außerdem das topology subnet eingetragen und den Dienst gestartet. Aber vermutlich habe ich da etwas falsch verstanden, denn nach dem Starten per WebIF stand dann in der openvpn.conf
Code: 
 ifconfig 10.8.0.1 255.255.255.0
und das ist ja auch Quatsch. Entsprechend kann sich mein client darauf auch nicht verbinden und spuckt den entsprechenden Fehler aus. Auch wenn ich die Basisadresse 10.8.0.0 in Verbindung mit der Maske 255.255.255.0 eingebe ändert sich da nichts.

Was mache ich da schon wieder falsch?

P.S.: Vielleicht eine blöde Frage, aber wie mache ich eigentlich einen Screenshot einer ganzen Webseite? Ich bekomme auf meinen Notebook-Schirm leider immer nur einen Ausschnitt, wenn ich mit Firefox zoome, aber zu klein macht es unlesbar. Und wie füge ich ein Bild in eine Antwort? Den Ressourcenmanager finde ich hier nicht...


EDIT: jetzt habe ich es wieder über das custom-script gelöst, das mir meine config drüber kopiert, weil ich die nächsten 8 oder 9 Tage wohl keinen direkten Zugriff auf die Box habe. An einer Lösung wäre ich trotzdem interessiert!
Und diese Konfig will ich dann eigentlich haben:

Code: 
/var/mod/root # cat /mod/etc/openvpn.conf
proto udp
port 1194
dev tun
tls-server
keepalive 10 120
mode server
server 10.8.0.0 255.255.255.0
push "route 192.168.10.0 255.255.255.0"
push "dhcp-option DNS 10.8.0.1"
client-to-client
comp-lzo
tun-mtu 1500
max-clients 5
verb 3
mute 20
persist-tun
persist-key
float
ca /tmp/flash/ca.crt
cert /tmp/flash/box.crt
key /tmp/flash/box.key
dh /tmp/flash/dh.pem
daemon
cipher BF-CBC
 
Zuletzt bearbeitet:
Also 10.0.8.1 255.255.255.0 ist schon o.k., allerdings geht das nur, wenn auch die Clients "topology subnet" können (muss also der 2.1-er Zweig sein). Dann verhält sich das VPN-Interface auf der Box in gewissem Sinne ähnlich wie ein LAN-Interface: Der Server hat für alle Clients die gleiche Gegenstellen-IP und man muss nicht für jeden Client ein eigenes Mininetz erzeugen.

Wenn du bei entsprechenden Client die erweiterte Config wählst ist das ganze recht komfortabel. Du konfigurierst alle Client-Parameter auf dem Server und der Client holt sich mit dem Eintrag "pull" alles (inklusive IP, Routen, topology ...) vom Server.

Jörg

Ansonsten: Ich werde bei Gelegenheit mal schauen, ob ich das noch wegbekomme. Wenn der Haken bei der erweiterten Config nicht gesetzt ist, sollte das was da steht ja eigentlich auch besser ignoriert werden...
 
DerVogel schrieb:
P.S.: Vielleicht eine blöde Frage, aber wie mache ich eigentlich einen Screenshot einer ganzen Webseite? Ich bekomme auf meinen Notebook-Schirm leider immer nur einen Ausschnitt,
Zum Vergrößern anklicken....
Is ja nicht weiter schlimm, mach halt 2 Bilder ;-)
Glaube das Web-IF von lighttpd is noch größer.
Und wie füge ich ein Bild in eine Antwort? Den Ressourcenmanager finde ich hier nicht...
Zum Vergrößern anklicken....
Wenn du einen post erstellst, klick mal auf den Button Erweitert, dann siehst du das Anhang-Symbol
attach.gif
 
Das mit den Pull-Optionen kenn ich ja, ich habs ja auch immer so gemacht. Mein Fehler ist also, dass ich das topology subnet auch in der Client-Config angeben muss, richtig? Jetzt kann ich das leider vermutlich nicht mehr testen, aber ich merke es mir fürs "nächste Mal" :D

Danke für die Hilfe!
 
Kein Problem ;-)
Das "pull" würde in dem Fall mit erweiterter Clientconfig von sich aus schon reichen, weil der Server dann den Parameter "topology subnet" mit im "push" sendet (wie auch die IP, Gateway, ...). Der Client muss den Parameter aber natürlich kennen.

Wegen des Fehlers in der Gui hier mal ein "workaround". Auch wenn du ihn nicht nutzt hilft er mir das nächste mal als Gedächtnisstütze ;-)

Code: 
sed  '/maxcli == 1/ s/local_clients_defined\[act_conf\] == 0/local_client_info\[act_conf\] \!= \"yes\"/'  /usr/lib/cgi-bin/openvpn.cgi > /var/tmp/openvpn_new.cgi
mount -o bind /var/tmp/openvpn_new.cgi /usr/lib/cgi-bin/openvpn.cgi

Jörg
 
Um antworten zu können musst du eingeloggt sein.

Zurzeit aktive Besucher

Gesamt: 576 (Mitglieder: 20, Gäste: 556)

Neueste Beiträge

Statistik des Forums

Themen
246,295
Beiträge
2,249,597
Mitglieder
373,893
Neuestes Mitglied
Kukkatto
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
Ihr E-Mail-Adresse verifizieren

Ihr E-Mail-Adresse verifizieren

Wir haben Ihnen eine E-Mail geschickt. Klicken Sie auf die Schaltfläche im E-Mail-Text, um Ihre E-Mail-Adresse zu verifizieren – (Können Sie diese nicht finden können, dann überprüfen Sie Ihren Spam-Ordner).

IPPF im Überblick

Neueste Beiträge

Direktlinks Telefonanlage

Website-Sponsoren

3CX sponsor
KONTAKTIEREN SIE UNS BEI INTERESSE
| Style by ThemeHouse
XenPorta 2 PRO © Jason Axelrod of 8WAYRUN
Oben Unten
Zurück