.titleBar { margin-bottom: 5px!important; }

Open-VPN - Tun-Device?

Dieses Thema im Forum "FRITZ!Box Fon: Modifikationen" wurde erstellt von myrken, 11 Nov. 2008.

  1. myrken

    myrken Neuer User

    Registriert seit:
    17 Jan. 2007
    Beiträge:
    22
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Hallo,

    ich besitze eine FB 7170 mit der neusten Labor-Firmware (29.04.63-12661).

    Ich möchte, dass die FB sich auf einen schon vorhandenen OVPN-Server einklinkt, das will allerdings nicht so recht, weil das Programm kein TUN-Device findet. Ich habe schon im Forum gesucht und bin auf den Pfad /dev/misc/net/tun gestoßen. Gibt's bei mir allerdings nicht (Tue Nov 11 16:10:29 2008 Cannot open TUN/TAP dev /dev/misc/net/tun: No such file or directory (errno=2)).

    Hat sich da mit den neueren Firmwares etwas verändert?

    Danke.
     
  2. waldoo

    waldoo Aktives Mitglied

    Registriert seit:
    28 Jan. 2006
    Beiträge:
    818
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Hallo myrken,

    ich denke so kann Dir keiner weiter helfen.
    Bitte poste, welche openvpn Version du drauf hast, nach welcher Beschreibung Du vorgegangen bist und was gegen Freetz spricht;
     
  3. myrken

    myrken Neuer User

    Registriert seit:
    17 Jan. 2007
    Beiträge:
    22
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    #3 myrken, 11 Nov. 2008
    Zuletzt bearbeitet: 11 Nov. 2008
    Danke für die Antwort. :)

    Ich besitze die Version 2.1_rc1 (openvpn-with-lzo). Noch ein Relikt, als ich schon vor einem guten Jahr mal probierte und aufgab.

    Ich habe zwischenzeitlich eine Lösung für das oben genannte Problem gefunden.

    Und zwar habe ich mittels mknod /var/tmp/tun c 20 100 das nötige Device "erstellt" und entsprechend in der client.conf darauf verwiesen.

    Die Verbindung steht. Ich kann per ping-Befehl in der FritzBox alle Rechner im Netz des VPN-Servers (PC mit IPCop) erreichen.

    Allerdings kann ich das nicht von den Rechnern, die an der FritzBox klemmen.
    Vermutlich eine route-Geschichte, hinter die ich nicht so ganz komme.

    Die Situation:

    Die Rechner im VPN-Server-Netzwerk haben den IP-Bereich 192.168.4.xxx.
    "Mein" Netzwerk hinter der FB als ovpn-Client den Standard-Bereich von 192.168.178.xxx.

    In der FB gibt es folgende, relevante Route (in der conf festgelegt):
    192.168.4.0 10.11.12.25 255.255.255.0 UG 0 0 0 tun0

    Müsste die nicht eigentlich reichen?

    An die Server-Konfiguration komme ich vor morgen nicht.


    Ach so: gegen freetz spräche ein nichtvorhandener Linux-Rechner. ;)
     
  4. MaxMuster

    MaxMuster IPPF-Promi

    Registriert seit:
    1 Feb. 2005
    Beiträge:
    6,924
    Zustimmungen:
    0
    Punkte für Erfolge:
    36
    ... mit großer Wahrscheinlichkeit fehlt eher die "Rückroute", damit die Geräte aus dem Servernetz auch wissen, wohin das Netz 192.168.178.0 zu routen ist. Wenn der VPN-Server das Defaultgateway im "Servernetz" ist, reicht es, wenn der die Route kennt (und gegebenenfalls einen iroute Eintrag für das Netz hat)

    Jörg
     
  5. myrken

    myrken Neuer User

    Registriert seit:
    17 Jan. 2007
    Beiträge:
    22
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Ist er. :)

    Müsste ich da quasi "iroute 192.168.178.0 255.255.255.0" hinzufügen?
     
  6. MaxMuster

    MaxMuster IPPF-Promi

    Registriert seit:
    1 Feb. 2005
    Beiträge:
    6,924
    Zustimmungen:
    0
    Punkte für Erfolge:
    36
    ... dabei sind zwei Dinge zu beachten:
    Zum einen muss das Betriebssystem wissen, dass das "Fritz-Netz" eben "hinter" der Fritz hängt. Das mach ein "normales" Routing, entweder "von Hand" auf der Maschine oder als Parameter in der Config. Das schickt die Pakete dann quasi zum openvpn Prozess.
    Wenn der Server so konfiguriert ist, dass er mehrere Clients bedienen kann, muss noch zu zusätzlich der iroute Parameter eingefügt werden (damit routet das OpenVPN intern zwischen den unterschiedlichen Clients). Dieser Parameter wird durch ein "client-connect" Skript oder Einträge in einem "client-config-dir". Das schau dir am besten mal auf der OpenVPN Seite an.
    Ich kenne den Server nicht, es kann aber auch sein, dass der ipcop das irgendwie schon intern macht, sofern man Netze beim Client dort "anlegen" kann?

    Jörg
     
  7. myrken

    myrken Neuer User

    Registriert seit:
    17 Jan. 2007
    Beiträge:
    22
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Ich schau's mir morgen mal an. Und melde mich wieder.

    Vielen Dank für die Antworten!
     
  8. myrken

    myrken Neuer User

    Registriert seit:
    17 Jan. 2007
    Beiträge:
    22
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Irgendetwas liegt da im Argen.

    Die Fritzbox bekommt vom VPN-Server die IP 10.11.12.6.
    Beim connecten macht sie folgendes:

    Die Routing-Tabelle der FB sieht dann wie folgt aus:

    Muss ich das verstehen?
    Die Routen liegen auf 10.11.12.5, aber darüber findet sich die FB nicht mal selbst.
     
  9. MaxMuster

    MaxMuster IPPF-Promi

    Registriert seit:
    1 Feb. 2005
    Beiträge:
    6,924
    Zustimmungen:
    0
    Punkte für Erfolge:
    36
    Die .5 ist ja auch der Server. Dein VPN-Interface selbst hat die IP 10.11.12.6 und auf "der anderen Seite" (pointopoint) ist der Server mit 10.11.12.5.

    Dass die 10.11.12.5 über das Interface tun0 zu erreichen ist, steht auch so in deiner Routingtabelle:
    Code:
    10.11.12.5 * 255.255.255.255 UH 0 0 0 tun0
    
    Jörg
     
  10. myrken

    myrken Neuer User

    Registriert seit:
    17 Jan. 2007
    Beiträge:
    22
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Der Server hat aber die 10.11.12.1 (P-T-P 10.11.12.2).
     
  11. MaxMuster

    MaxMuster IPPF-Promi

    Registriert seit:
    1 Feb. 2005
    Beiträge:
    6,924
    Zustimmungen:
    0
    Punkte für Erfolge:
    36
    Der hat sicher mehrere...
    Da ist sicher was in der Art "server 10.11.12.0 255.255.255.0" oder "ifconfig pool ...." oder sowas.
    Die genannte IP hat dann der Server zum ersten Client, die nächsten Clients liegen dann in jeweils P-t-p Netzen (.5 - .6 , .9 -.10 usw) dahinter, dabei ist die "Serverseite" eigentlich nicht wirklich vergeben, sondern wird eigentlich nur für das Routing genutzt, an sich hat der Server nur die .1...

    Jörg
     
  12. myrken

    myrken Neuer User

    Registriert seit:
    17 Jan. 2007
    Beiträge:
    22
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Ah, verstehe (so halbwegs). Danke.
    Dachte, das wäre der richtige Ansatz.

    Kann vielleicht jemand einen Fehler/etwas fehlendes in den jeweiligen Configs entdecken?

    server.conf
    client.conf
    Wie gesagt. Verbindung steht, die Rechner an der FB als Client (192.168.178.0) können jedoch die Rechner im Server-Netzwerk (192.168.4.0/10.11.12.0) nicht erreichen.
     
  13. MaxMuster

    MaxMuster IPPF-Promi

    Registriert seit:
    1 Feb. 2005
    Beiträge:
    6,924
    Zustimmungen:
    0
    Punkte für Erfolge:
    36
    Ein direkter "Fehler" ist da nicht drin, aber das ist prinzipiell eine "Multi-Client-Config". Sofern du das nicht brauchst, solltest du das leicht verändern:
    Code:
    [...]
    key /var/ipcop/ovpn/certs/serverkey.pem
    dh /var/ipcop/ovpn/ca/dh1024.pem
    [B]#[/B]server 10.11.12.0 255.255.255.0
    [B]ifconfig 10.11.12.1 10.11.12.2[/B]
    push "route 192.168.4.0 255.255.255.0"
    route 192.168.178.0 255.255.255.0
    [...]
    
    und ein ensprechendes ifconfig 10.11.12.2 10.11.12.1 in der Client config.

    Damit sparst du dir die sonst nötigen "iroute" Einträge

    Jörg
     
  14. myrken

    myrken Neuer User

    Registriert seit:
    17 Jan. 2007
    Beiträge:
    22
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Um die, fürchte ich, komme ich nicht herum.
    Das ist in der Tat eine Multi-Client-Config und sie wird auch als solche benötigt.

    Wie muss denn so eine iroute aussehen? Mit "iroute 192.168.178.0 255.255.255.0" lies sich openvpn nicht mehr starten.
     
  15. MaxMuster

    MaxMuster IPPF-Promi

    Registriert seit:
    1 Feb. 2005
    Beiträge:
    6,924
    Zustimmungen:
    0
    Punkte für Erfolge:
    36
    siehe oben ;-)

    Der Parameter muss ins "client-config-dir" oder in einem "client-connect" Skript gesetzt werden.

    Ich mache sowas mit dem ersteren: In die Server-Config kommt z.B. ein "client-config-dir /var/ipcop/ovpn/ccd" (oder wo auch immer du ein solches Verzeichnis "ccd" anlegen kannst). In dem Verzeichnis liegt dann eine Datei die so heisst, wie der Name deines Zertifikates ist (sagen wir mal "fbox"), dann müsste die Datei /var/ipcop/ovpn/ccd/fbox diesen Inhalt haben (die Routen würde ich auch da reinpacken):

    Code:
    ifconfig-push 10.11.12.222 10.11.12.1
    iroute 192.168.178.0 255.255.255.0
    push "route-gateway 10.11.12.1"
    
    In der Server-Config den route-Eintrag so ergänzen:
    route 192.168.178.0 255.255.255.0 10.11.12.222


    Jörg

    EDIT Nee, Zugriff auf das Servernetz braucht wohl jeder, das push "route 192.168.4.0 255.255.255.0" also drin lassen!
     
  16. myrken

    myrken Neuer User

    Registriert seit:
    17 Jan. 2007
    Beiträge:
    22
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Danke! :)

    Ich habe das mal so übernommen, aber irgendwas scheint noch zu fehlen.

    Beim Verbinden spuckt die FB nun folgendes aus:

    Die Route sieht so aus:

    Rechner aus dem 192.168.178.0er-Netz finden trotzdem nix. Auch nicht 10.11.12.1.
     
  17. MaxMuster

    MaxMuster IPPF-Promi

    Registriert seit:
    1 Feb. 2005
    Beiträge:
    6,924
    Zustimmungen:
    0
    Punkte für Erfolge:
    36
    Kannst du denn von der Box die 10.11.12.1 anpingen?
    Können die Geräte aus dem lokalen Netz die 10.11.12.222 anpingen?
    Kann der Server per Ping die IP der Box (192.168.178.1) erreichen?
    Könntest du ein "route -n" vom Server posten?

    Jörg
     
  18. myrken

    myrken Neuer User

    Registriert seit:
    17 Jan. 2007
    Beiträge:
    22
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Ja.

    Ja. :)

    Nein. Nur eben per 10.11.12.222. :(

    route -n vom Server:

     
  19. MaxMuster

    MaxMuster IPPF-Promi

    Registriert seit:
    1 Feb. 2005
    Beiträge:
    6,924
    Zustimmungen:
    0
    Punkte für Erfolge:
    36
    Da haben wir es doch schon? Hast du sicher in der Server-Konfig die Zeile
    Code:
    route 192.168.178.0 255.255.255.0 10.11.12.222 
    
    eingefügt? Diese Route fehlt!
     
  20. myrken

    myrken Neuer User

    Registriert seit:
    17 Jan. 2007
    Beiträge:
    22
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    [Edit frank_m24: Sinnfreies Fullquote vom Beitrag direkt darüber gelöscht. Lies noch mal die Forumregeln.]

    Die Zeile steht drin, aber der Server scheint die Zeile zu ignorieren oder nicht zu akzeptieren.