[gelöst] OpenVPN: Alles geht ausser Dateifreigabe

Sidebar Sidebar
Upgrade 3CX to v18 and get it hosted free!
A

ahnungslos99

Mitglied
Mitglied seit
8 Dez 2007
Beiträge
256
Punkte für Reaktionen
0
Punkte
0
Server ist eine alte FritzBox Fon;
192.168.0.1
Server.cfg
Code: 
dev tun0
dev-node /var/tmp/tun
ifconfig 10.5.0.1 10.5.0.2
secret /var/tmp/secret.key
proto tcp-server
port 10200
tun-mtu 1500
float
keepalive 10 60
verb 4
mssfix
route 192.168.1.0 255.255.255.0
push "route 192.168.0.0 255.255.255.0"

Dem Client (Windows xp) habe ich die Adresse 192.168.1.2 gegeben, weil er von Openvpn nur eine unsinnige 10.5.0.2 bekam. :confused:

client.cfg
Code: 
dev tun
remote 192.168.0.1
ifconfig 10.5.0.2 10.5.0.1
secret C://client.ovpn

keepalive 10 60
ping-timer-rem

tun-mtu 1500
mssfix
persist-tun
persist-key
float
redirect-gateway

#Protokoll auf TCP und Port 1194
#Änderungen müssen auf Client- und Server-Seite gleich sein
proto tcp-client
port 10200

#Der DynDNS-Name soll alle 60 Sekunden neu aufgelöst werden
#da OpenVPN sonst ständig versucht über die alte IP
#zu verbinden
resolv-retry 60 

#Protokollierungseinstellung
#4 ist optimaler Modus
verb 4

#Daemon sollte erst eingeschaltet werden wenn die
#Konfiguration passt
#daemon

#Routen setzen, bei route Subnetz der Server-Box eintragen
route 192.168.0.0 255.255.255.0
route 10.5.0.0 255.255.255.0
Wie man sieht, läuft das VPN im lokalen Lan. Ich hoffe nicht, dass es daran liegt, Ping, SSH, HTTP.... geht alles über den Tunnel, nur die Windowsdateifreigabe will einfach nicht. :mad:
 
Zuletzt bearbeitet:
Moin,

vielleicht solltest du zunächst das Ziel erläutern, das du erreichen willst? Wozu ein VPN im LAN?

Die vergebene IP ist nicht "unsinnig", die hast du dem Client ja explizit vorgegeben (mit ifconfig 10.5.0.2 10.5.0.1). Und die Adressen müssen schon passen, sonst funktioniert das VPN nicht.
So wie deine Configuration jetzt ist, solltest du vom Client die Serverbox unter 10.5.0.1 erreichen können. Alle anderen Experimente machen wenig Sinn, denn den Rest des LANs kannst du ja direkt sowieso erreichen...

Jörg
 
Das VPN im Lan soll nur zum Testen sein. Letztendlich soll das ganze dann übers Internet sein.

FritzBox OpenVPN Server liegt im Netz 192.168.0.0
Der Client (Windows xp) soll im Netz 192.168.1.0 liegen.
Sämtliche Anfragen des Clients sollen nicht mehr über dessen Internetzugang, sondern über den Tunnel geleitet werden. Ich muss also irgendwelche Routen hinzufügen, die das bewerkstelligen, als auch die FritzBox, auf dem der Openvpn läuft, als Gateway und DNS auf den Clients eintragen. Nur ich weiß nicht genau wo und wie.:confused: Und warum hat der openvpn Server eine eigene Ip?

Kann mir bitte einer helfen? Ich verstehe im Moment die Logik von openVPN nicht zu wirklich. :(
 
Der Client bekommt zunächst mal immer eine IP im OpenVPN, das ist die notwendige Voraussetzung. Das OpenVPN baut sozusagen eine "virtuelle" Netzwerkkarte in den PC, und die muss auch eine IP haben, mit der diese virtuelle Karte mit einem Gegenstück im OpenVPN-Server (der Fritzbox) verbunden ist.
Diese IP ist unabhängig von der des LAN und die in der Config (das Paar 10.5.0.1 und 10.5.0.2) sind durchaus brauchbar.
Damit aller Verkehr durch den Tunnel geht, benötigst du nur den Befehl "redirect-gateway" in der Client-Konfig, der ja bei dir schon drin ist.
Damit wird die Standardroute gelöscht (bis auf eine zum VPN Gegenpunkt) und eine Standardroute durch das neue virtuelle Interface zum VPN-Server eingerichtet. Bei deiner Config müsste also eine Host-Route zum VPN-Server vorhanden sein und dann sollte 10.5.0.1 das Defaultgateway sein.

Mach nach dem Verbindungsaufbau mal "route print", dann siehst du das...

Jörg
 
Vielen Dank!
Mein Problem lag beim Routing des Servers. Ich konnte den Server auf 10.5.0.1 zwar anpingen, aber nicht das Netz dahinter (also 192.168.0.0)

LÖSUNG:
Route in der FritzBox angelegt für das Netz 10.5.0.0 und die server.conf nochmal geändert:
Code: 
dev tun0
dev-node /var/tmp/tun
ifconfig 10.5.0.1 10.5.0.2
secret /var/tmp/secret.key
proto tcp-server
port 10200
tun-mtu 1500
float
keepalive 10 60
verb 4
mssfix
route 10.5.0.0 255.255.255.0
push "route 10.5.0.0 255.255.255.0"
push "route 192.168.0.0 255.255.255.0"
push "dhcp-option DNS 192.168.0.3"
push "dhcp-option DNS 192.168.0.3"
push "redirect-gateway"
 
Schön, wenn es so geht, das sollte aber eigentlich nicht nötig sein. Der Server kennt 10.5.0.2 als angeschlossenen PC und routet dahin, wie auch im Gegezug der Client die 10.5.0.1 kennt.
Eine zusätzliche Route zu "push"en, wenn man auch "redirect-gateway" nutzt sollte ebenfalls überflüssig sein, denn "Default" schließt auch 192.168.0.0 mit ein.
Vielleich lag es an deinen "Experimenten" mit der 192.168.1.-er IP?

Jörg
 
Ich bin froh, dass es überhaupt geht, ich habe mich mehrere Tage einlesen müssen, wie das mit "The construct" usw. alles geht. Also in dem Sinne: "Never touch a running system". ;)

Nun habe ich nur das Problem, dass der VPN Tunnel nicht besonders schnell ist. 10Mbit zeigt der Taskmanager für Openvpn. Effektiv gehen aber nur 3Mbit darüber. Habe ich einen so risigen Overhead durch das TCP Protokoll oder macht die FritzBox, auf der der Server läuft einfach nicht mehr? Gerade im Internet mit DSL wollte ich nicht dermaßen viel Bandbreite verschenken. Auch wenn der Flaschenhals allermeistens der Upload seien wird.
 
Die 10Mbit sind nur ein beliebig gewählter Wert für Anzeige des TAP-Devices. Die tatsächlichen erreichbare Geschwindigkeit hängt davon nicht ab.

Schau dir lieber mal deine Prozessorauslastung der Fritzbox an. "top" während der Datenübertragung sollte dir den Flaschenhals zeigen.

Bei der Nutzung über Internet mit geringen Uploads als Flaschenhals, musst du sehen, ob es durch Kompression langsamer (noch mehr CPU-Belastung) oder schneller wird.
 
top hatte ich auch schon versucht. Leider kann das meine FritzBox nicht, obwohl ich ja ein Image von "the construct" eingespielt habe und demnach die neuste Busybox haben müsste. nvi geht aus diesem Grund auch nicht. :(

OT: Welchen Sinn macht es eigentlich einen openVPN Server auf der FritzBox laufen zu lassen, der mit Zertifikaten arbeitet und sich nach dem Neustart der Box, diese wieder von einem eigenen Webserver herunterladen muss. Man könnte diese Dateien ja ab der FritzBox 7170 auch auf USB speichern, aber da kann man ja gleich das AVM eigene VPN nehmen und sich die Mühe sparen. Auch Freetz ist zu groß für die 7050 und älter.
 
Das mit den Certifikaten zum Download sollte sich auch direkt in der debug.cfg lösen lassen (statt wget http://..... ):

Code: 
cat << 'CERT_EOF' > /var/tmp/meincertificat
-----BEGIN CERTIFICATE-----
.....
-----END CERTIFICATE-----
CERT_EOF

Das OpenVPN Binary passt einfach nicht ins Flash, dass muss man halt laden.

Jörg
 
Um antworten zu können musst du eingeloggt sein.

Zurzeit aktive Besucher

Gesamt: 571 (Mitglieder: 3, Gäste: 568)

Neueste Beiträge

Statistik des Forums

Themen
246,295
Beiträge
2,249,593
Mitglieder
373,893
Neuestes Mitglied
Kukkatto
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
Ihr E-Mail-Adresse verifizieren

Ihr E-Mail-Adresse verifizieren

Wir haben Ihnen eine E-Mail geschickt. Klicken Sie auf die Schaltfläche im E-Mail-Text, um Ihre E-Mail-Adresse zu verifizieren – (Können Sie diese nicht finden können, dann überprüfen Sie Ihren Spam-Ordner).

IPPF im Überblick

Neueste Beiträge

Direktlinks Telefonanlage

Website-Sponsoren

3CX sponsor
KONTAKTIEREN SIE UNS BEI INTERESSE
| Style by ThemeHouse
XenPorta 2 PRO © Jason Axelrod of 8WAYRUN
Oben Unten
Zurück