Fragen zu openvpn mod

[bugbugbug]

Hallo
ich habe erstmal 2 fragen zum openvpn mod.
1. Ich will von verschiedenen standpunkten aus über mein vpn dann mal surfen, sprich also nicht box2box sondern pc2box. Wie müssten die einstellungen sein, also, worauf ist zu achten?
2. Nur rein informativ, loggt der server die verbindungen?

Mfg
BuG

 

[MaxMuster]

Beispiele dazu gibt es hunderte, wenn nicht mehr im Netz, auch hier im Wiki.
Um über das VPN zu surfen "redirect-gateway" nutzen. Wenn immer nur ein Client angemeldet sein soll, reicht statischer Schlüssel, bei gleichzeitiger Anmeldung musst du Zertifikate nutzen.

M.W. kann die Box zwar loggen, wer verbunden ist, das ist aber nur der "aktuelle" Stand, das könntest/müsstest du dann selbst lösen.

Jörg

 

[bugbugbug]

Beispiele dazu gibt es hunderte, wenn nicht mehr im Netz, auch hier im Wiki.
Um über das VPN zu surfen "redirect-gateway" nutzen. Wenn immer nur ein Client angemeldet sein soll, reicht statischer Schlüssel, bei gleichzeitiger Anmeldung musst du Zertifikate nutzen.

M.W. kann die Box zwar loggen, wer verbunden ist, das ist aber nur der "aktuelle" Stand, das könntest/müsstest du dann selbst lösen.

Jörg

danke erstmal.
Zu eins noch eine frage: geht das mit einer image von the construckt, ohne eigenen webspace? Sprich, werden dort der key und die server.ovpn von drr debug geschrieben, oder müssen die nachzuladen sein?
Kannst du mir freundlicherweise den link im wiki mal geben? Komme immer nur zur konfig box2box.
Wo liegen den dann diese logs? An und aus schalten des loggens sollte doch über chmod laufen, oder?

 

[MaxMuster]

Es sollte ohne eigenen Webspace gehen. Von "the-construct" wird nur das Programm geladen. Die Einstellungen/Keys werden in der Datei "/var/flash/debug.cfg" (sowas wie eine Autostart-Datei) "hineingeschrieben", so dass diese Datei beim Starten der Box nicht nur das Binary holt, sondern auch deine Konfig-Dateien und Keys erzeugt (somit liegen die "persönlichen" Daten nur auf der Box).
Hier der Wiki-Link zu "Fritzbox als Server - Externer Rechner Client" schon mit Zertifikaten. Eine kleine Config mit Keys findest du direkt auf The-construct verlinkt (da war aber, wenn ich mich recht entsinne ein Fehler/Unschönheit drin mit den IPs oder so?? Ah, gefunden)

Das "Statuslog" erzeugt "status <filename>", das komplette Log bekommst du mit "log <filename>", das kann aber groß werden, dann mit kleinem Wert bei "verb" probieren.

Jörg

 

[bugbugbug]

okay, danke... habs mitlerweile hinbekommen

jetzt nächstes problem:
fritzbox hat ne dyndns addy auf dem client läuft ein server. sagen wir der einfachkeitshalber nen ftp.
der client bekommt über openvpn ne ip "10.0.0.2" und server die "10.0.0.1"
wie muss ich die portweiterleitung einrichten, das der clientrechner durch den vpn tunnel die anfragen bekommt? hab schon auf die obrigen beiden ne weiterleitung versucht, aber bisher ohne erfolg.
danke



BuG

 

[MaxMuster]

Moin,

ist schon ganz schön anstrengend, dem zu folgen. Vielleicht könntest du ab und an mal ein paar Großbuchstaben einfügen ;-) ;-)
Also, du möchtest quasi einen Server auf dem VPN-Client aus dem Internet erreichbar machen, und das durch das VPN?

Das sollte über eine "normale" Portweiterleitung auf 10.0.0.2 gehen, evtl ist das nur möglich, wenn das VPN läuft, also eine Route zu dieser IP existiert. Wichtig ist natürlich, dass für eine Funktion dieses Szenarios der Client zwingend seine Internetverbindung durch den Tunnel nehmen muss, also "redirect-gateway" in der Clientconfig hat (sonst kann er nicht korrekt antworten).

Jörg

 

[bugbugbug]

Das hab ich schon. Surfen tue ich ja auch schon über die. Habe es mit der
Bandbreite kontrollirt, da ich aus dem Netz ins Netz gehe :?
Hier mal die Client cofig:

ifconfig 10.0.0.2 10.0.0.1
remote XXX.XXX.XXX 
secret C:\\secret.key 
dev tun0
proto tcp-client
port 1194
ping 15
ping-restart 300 # 5 minutes
resolv-retry 300 # 5 minutes
#resolv-retry infinite
tun-mtu 1500
mssfix
persist-tun
persist-key
verb 4
route 10.0.0.0 255.255.255.0
push "route 10.0.0.0 255.255.255.0"
push "dhcp-option DNS 10.0.0.1"
route-gateway 10.0.0.1
redirect-gateway

also normalerweise hat man bei der box ne ip im bereich 192.168.178.0 ist das in dem fall egal?

 

[MaxMuster]

Die IP ist soweit ich weiß egal, solange die Box sie kennt. Um festzustellen, ob du auch wirklich übers VPN gehst, kannst du die Routingtabelle ansehen (im Windows: "route print"), oder den Weg verfolgen ("tracert -n www.google.de", zuerst müsste da 10.0.0.1 erscheinen). Programme wie FTP sind übrigens u.U. recht komplex in der Weiterleitung, obwohl ein Connect immer klappen sollte.

Schau doch auf der Box mal mit "dmesg" nach, ob da eine Meldung zur Weiterleitung drinsteht, ansosnsten kannst du auch den "dsld" (der NAT und Forwarding macht) im Voerdergrund starten, um dessen Ausgaben zu sehen: "dsld -s && sleep 1&& dsld -f".
Dabei geht allerdings die Internetverbindung und dementsprechend auch die VPN-Verbindung erstmal verloren...

Jörg

 

[bugbugbug]

also bein client nochmal nachgesehen über "tracert www.google.de" als erstes ist die 10.0.0.1
ich vermute echt, das die box (avm software) nicht die 10.0.0.1 bzw 10.0.0.2 auflösen kann.
ein ping vom vpn ins lan (und andersrum) ist auch nicht möglich, was vllt schon das problem ist.
nachstehend kommt noch die server config. ich hab da was falsch mit den route... kannst du mir vllt sagen, wie das genau richtig wäre... also der soll ja aus dem netz 192.168.178.0 ins 10.0.0.1 und umgekehrt routen. kann ich nicht auch das vpn netz ins gleiche netz hauen? dann wäre das mit dem routen doch gegessen^^

dev tun0
dev-node /var/tmp/tun
ifconfig 10.0.0.1 10.0.0.2
secret /var/tmp/secret.key
proto tcp-server
port 1194
tun-mtu 1500
float
keepalive 10 60
verb 4
mssfix
route 10.0.0.0 255.255.255.0
route 192.168.178.0
push "route 10.0.0.0 255.255.255.0"
push "dhcp-option DNS 10.66.66.1"
daemon

 

[MaxMuster]

Also, hat damit zwar wohl nichts zu tun, aber folgende "Fehler" sind noch drin:
Client: alles mit "push", das sind Befehle für den Server,
Server: "route 192.168.178.0", ist der DNS 10.66.66.1 auch wirklich der richtige?

Jörg

 

[bugbugbug]

Oben wieder shift vergessen^^

Also der dns ist eigendlich die box->192.168.178.1
Werd es morgen mal ausprobieren... jetzt erstmal pennen... meld mich dann

Danke schonmal

//
Erledigt
ping vom lan geht an 10.0.0.1 aber nicht an 10.0.0.2
ping vom vpn geht an 192.168.178.1 aber nicht an 192.168.178.20 (ein client im lan)
wie bekomm ich das noch hin?

 

[MaxMuster]

Ist 10.0.0.1 / 192.168.178.1 (der OpenVPN-Server) auch das "Default-Gateway" ins Netz für das LAN, so dass z.B. 192.168.178.20 dahin alles schickt, was "unbekannt" ist ("tracert -d 10.0.0.2" aus dem LAN)? Läuft auf dem VPNClient eine Firewall?
Ist dein Dienst, den du weiterleiten willst, an eine Adresse gebunden, also ist er über die 10.0.0.2 überhaupt ansprechbar (evtl. von der FB testen)?

Jörg

 

[bugbugbug]

Also
192.168.178.1 ist vom LAN das Gateway. (soweit kommt tracert auch nur)
Ist es nicht möglich, die vpn IPs auch aus dem netz zu vergeben? sprich vpn Server 192.168.178.200/24 und client 192.168.178.201/24
Normalerweise sollten VPN und LAN doch auch so sehen(pingen) können, oder?

 

[MaxMuster]

Die gleichen IPs kannst du nur vergeben, wenn sie auch im gleichen Netz sind (Bridging mit TAP-Interface statt Tunnel mit TUN). Dann könnte der Client in der Tat eine IP vom DHCP der Box bekommen, oder du vergibst fest eine IP, die dann aber außerhalb des DHCP-Bereichs der Box liegen muss, damit die IP nicht doppelt vorkommt.
Ansonsten vermute ich weiterhin Firewalls auf den Rechnern...

Jörg

 

[bugbugbug]

..Dann könnte der Client in der Tat eine IP vom DHCP der Box bekommen, ...
Jörg

da sind aber die configs doch viel komplexer, oder hab ich was falsches verstanden? da dabei doch die brücke nochmal bei der box eingerichtet werden muss..
hättest du ne beispiel config dafür?

//ich bräuchte also ne anleitung, wie man ein tap openvpn server auf einer fritzbox realisiert, das ein (xp)client des vpns so aussieht, als wäre er physikalisch damit verbunden.