.titleBar { margin-bottom: 5px!important; }

OpenVPN als Server und Client

Dieses Thema im Forum "Freetz" wurde erstellt von traumspiel, 2 Jan. 2012.

  1. traumspiel

    traumspiel Neuer User

    Registriert seit:
    16 Okt. 2009
    Beiträge:
    8
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Hallo zusammen,

    nach jahrelangem mitlesen und der Try and Error Methode bin ich bisher immer an mein Ziel
    gekommen diesmal benötige ich aber eure Hilfe da ich seit mehreren Tagen nicht weiter komme.

    Und zwar soll folgendes auf der Fritzbox eingerichtet werden.
    1. VPN Verbindung als Client zu Strado HiDrive Server (nutzt OpenVPN)
    2. VPN Server für Win und Mac Clients

    Bei 1. Scheiter ich leider und für 2. sollte doch dann ein weiterer OpenVPN dienst laufen?

    Voraussetzung:
    FRITZ!Box Fon WLAN 7390 mit 84.04.91freetz-1.2-stable OpenVPN, Vsftpd und AVM-Firewall

    In diesem Thread wurde ja schon erfolgreich eine verbindung aufgebaut, demnach habe ich die .conf auch so
    übernommen, die Pfade erzeugt diese mit ca.cert und static.key versorgt.
    Code:
    proto udp
    dev tun
    ca /tmp/flash/openvpn_HiDrive/ca.crt
    tls-client
    tls-auth /tmp/flash/openvpn_HiDrive/static.key 
    ns-cert-type server
    remote openvpn.hidrive.strato.com
    log /var/tmp/debug_openvpn_HiDrive.out
    pull
    verb 4
    daemon
    auth-user-pass /var/media/ftp/uStor01/openvpnpassfile
    auth-retry nointeract
    
    Wenn ich jetzt aber die .conf in /var/mod/etc
    mit der obigen überschreibe und im Freetz GUI den Dienst OpenVPN
    starte wird sofort die mit den eingetragenen werten in der GUI überschrieben…

    Demnach denke ich das ich hier 2 Dienste benötige, 1. Mit GUI für die Konfiguration meines
    Servers und die 2. ohne GUI für die Konfiguration als Client, hier hört es aber leider bei mir
    auf so dass ich eure Hilfe angewiesen bin dies zu realisieren.

    MfG Steffen
     
  2. maceis

    maceis Mitglied

    Registriert seit:
    9 Apr. 2006
    Beiträge:
    623
    Zustimmungen:
    1
    Punkte für Erfolge:
    18
    Konfiguriere die erste Verbindung mit GUI und lasse durch freetz starten.

    Für die zweite Verbindung schreibst Du die Konfiguration nach /var/tmp z.B. in eine Datei /var/tmp/openvpn_cfg2.
    Du kannst dann eine zweite Instanz von openvpn so starten:
    Code:
    /usr/sbin/openvpn  /var/tmp/openvpn_cfg2
    Du kannst auch beide Konfigurationen ganz ohne freetz konfigurieren.
    Dann kannst Du die (sehr guten) Howtos von openvpn.net 1 zu 1 nutzen.

    Der Übersichtlichkeit halber würde ich dann zwei separate Ordner in /var/tmp anlegen.

    HTH
    Gruß
    maceis
     
  3. traumspiel

    traumspiel Neuer User

    Registriert seit:
    16 Okt. 2009
    Beiträge:
    8
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Hallo maceis,

    vielen Dank für deine Hilfestellung!

    Der 2. Punkt OpenVPN als Server funktioniert auch schon über die GUI, hierzu gibt es
    ja ausführliche Anleitungen im Forum und Wiki.

    Ich habe jetzt wie du geschrieben hast die .conf separat gestartet und bekomme folgende Einträge in die Debug.out

    Code:
    Mon Jan  2 23:33:33 2012 us=928662 OpenVPN 2.2.1 mips-linux [SSL] [LZO2] [MH] [PF_INET6] [IPv6 payload 20110424-2 (2.2RC2)] built on Jan  2 2012
    Mon Jan  2 23:33:33 2012 us=929742 WARNING: file '/var/tmp/password' is group or others accessible
    Mon Jan  2 23:33:33 2012 us=930235 IMPORTANT: OpenVPN's default port number is now 1194, based on an official port number assignment by IANA.  OpenVPN 2.0-beta16 and earlier used 5000 as the default port.
    Mon Jan  2 23:33:33 2012 us=930371 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
    Mon Jan  2 23:33:33 2012 us=937097 WARNING: file '/tmp/flash/openvpn_HiDrive/static.key' is group or others accessible
    Mon Jan  2 23:33:33 2012 us=937682 Control Channel Authentication: using '/tmp/flash/openvpn_HiDrive/static.key' as a OpenVPN static key file
    Mon Jan  2 23:33:33 2012 us=937884 Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
    Mon Jan  2 23:33:33 2012 us=938038 Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
    Mon Jan  2 23:33:33 2012 us=939802 Control Channel MTU parms [ L:1541 D:166 EF:66 EB:0 ET:0 EL:0 ]
    Mon Jan  2 23:33:33 2012 us=940312 Socket Buffers: R=[132096->131072] S=[132096->131072]
    Mon Jan  2 23:33:33 2012 us=942423 Data Channel MTU parms [ L:1541 D:1450 EF:41 EB:4 ET:0 EL:0 ]
    Mon Jan  2 23:33:33 2012 us=944069 UDPv4 link local (bound): [undef]
    Mon Jan  2 23:33:33 2012 us=944743 UDPv4 link remote: [AF_INET]85.214.3.71:1194
    Mon Jan  2 23:33:33 2012 us=978035 TLS: Initial packet from [AF_INET]85.214.3.71:1194, sid=86b5d7f6 2a0ad9a2
    Mon Jan  2 23:33:33 2012 us=980538 WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
    Mon Jan  2 23:33:34 2012 us=197159 VERIFY OK: depth=1, /C=DE/ST=Berlin/L=Berlin/O=Strato_Rechenzentrum_AG/CN=Strato_Rechenzentrum_AG_CA
    Mon Jan  2 23:33:34 2012 us=204002 VERIFY OK: nsCertType=SERVER
    Mon Jan  2 23:33:34 2012 us=204169 VERIFY OK: depth=0, /C=DE/ST=Berlin/L=Berlin/O=Strato_Rechenzentrum_AG/CN=noszfeuhl
    Mon Jan  2 23:33:35 2012 us=551135 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
    Mon Jan  2 23:33:35 2012 us=551357 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
    Mon Jan  2 23:33:35 2012 us=551969 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
    Mon Jan  2 23:33:35 2012 us=552122 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
    Mon Jan  2 23:33:35 2012 us=553088 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 2048 bit RSA
    Mon Jan  2 23:33:35 2012 us=553753 [noszfeuhl] Peer Connection Initiated with [AF_INET]85.214.3.71:1194
    Mon Jan  2 23:33:37 2012 us=776068 SENT CONTROL [noszfeuhl]: 'PUSH_REQUEST' (status=1)
    Mon Jan  2 23:33:37 2012 us=808093 AUTH: Received AUTH_FAILED control message
    Mon Jan  2 23:33:37 2012 us=810039 TCP/UDP: Closing socket
    Mon Jan  2 23:33:37 2012 us=810380 SIGUSR1[soft,auth-failure] received, process restarting
    Mon Jan  2 23:33:37 2012 us=810524 Restart pause, 10 second(s)
    Mon Jan  2 23:33:47 2012 us=811070 IMPORTANT: OpenVPN's default port number is now 1194, based on an official port number assignment by IANA.  OpenVPN 2.0-beta16 and earlier used 5000 as the default port.
    Mon Jan  2 23:33:47 2012 us=811249 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
    Mon Jan  2 23:33:47 2012 us=815522 WARNING: file '/tmp/flash/openvpn_HiDrive/static.key' is group or others accessible
    Mon Jan  2 23:33:47 2012 us=815702 Control Channel Authentication: using '/tmp/flash/openvpn_HiDrive/static.key' as a OpenVPN static key file
    Mon Jan  2 23:33:47 2012 us=815852 Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
    Mon Jan  2 23:33:47 2012 us=815990 Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
    Mon Jan  2 23:33:47 2012 us=816447 Control Channel MTU parms [ L:1541 D:166 EF:66 EB:0 ET:0 EL:0 ]
    Mon Jan  2 23:33:47 2012 us=816794 Socket Buffers: R=[132096->131072] S=[132096->131072]
    Mon Jan  2 23:33:47 2012 us=817003 TCP/UDP: Socket bind failed on local address [undef]: Address already in use
    Mon Jan  2 23:33:47 2012 us=817092 Exiting
    
    Kannst Du hieraus entnehmen wo der Fehler steckt?

    Gruß Steffen
     
  4. maceis

    maceis Mitglied

    Registriert seit:
    9 Apr. 2006
    Beiträge:
    623
    Zustimmungen:
    1
    Punkte für Erfolge:
    18
    Wie es aussieht versuchst Du die beide über den selben Port (udp 1194 ?) laufen zu lassen.
    Für Deinen eigenen Server kannst Du einen anderen freien Port verwenden.

    Teste die Konfiguration doch mal, wenn Dein Server nicht läuft.
    Wenn sich meine Vermutung bestätigt und kein weiteres Problem vorliegt, sollte die Config dann laufen.
    Die Authentifizierung am Server hat ja schon geklappt.

    In jedem Fall solltest Du den verschiedene WARNINGs und NOTEs nachgehen.

    Wenn Du weiter Probleme hast, poste bitte alle beteiligten Konfigurationen.
     
  5. MaxMuster

    MaxMuster IPPF-Promi

    Registriert seit:
    1 Feb. 2005
    Beiträge:
    6,924
    Zustimmungen:
    0
    Punkte für Erfolge:
    36
    Eigentlich benötigt nur der Server eine Bindung auf einen Port, der Client nicht. Versuche mal "nobind" in der Client-Config.

    "AUTH: Received AUTH_FAILED control message" deutet übrigens auf falschen User und/oder PW in der Datei "openvpnpassfile" hin...
     
  6. traumspiel

    traumspiel Neuer User

    Registriert seit:
    16 Okt. 2009
    Beiträge:
    8
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    #6 traumspiel, 3 Jan. 2012
    Zuletzt bearbeitet: 3 Jan. 2012
    Hallo,

    So ich bin nun ein wenig weitergekommen, Fehlermeldungen beseitigt und das Password richtig gesetzt....
    Ich hatte meinen Server zwar schon im Vorfeld auf einen anderen port gelegt denoch
    hat eine killall openvpn das Problem gelöst so das jetzt Server und Client nebeneinander laufen,
    und so wie ich das sehe steht der Tunnel jetzt auch.
    debug.out
    Code:
    Tue Jan  3 16:12:02 2012 us=600566 OpenVPN 2.2.1 mips-linux [SSL] [LZO2] [MH] [PF_INET6] [IPv6 payload 20110424-2 (2.2RC2)] built on Jan  2 2012
    Tue Jan  3 16:12:02 2012 us=601499 IMPORTANT: OpenVPN's default port number is now 1194, based on an official port number assignment by IANA.  OpenVPN 2.0-beta16 and earlier used 5000 as the default port.
    Tue Jan  3 16:12:02 2012 us=601637 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
    Tue Jan  3 16:12:02 2012 us=608884 Control Channel Authentication: using '/var/tmp/vpn_hidrive/tls-auth.key' as a OpenVPN static key file
    Tue Jan  3 16:12:02 2012 us=609141 Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
    Tue Jan  3 16:12:02 2012 us=609281 Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
    Tue Jan  3 16:12:02 2012 us=610924 Control Channel MTU parms [ L:1541 D:166 EF:66 EB:0 ET:0 EL:0 ]
    Tue Jan  3 16:12:02 2012 us=611359 Socket Buffers: R=[132096->131072] S=[132096->131072]
    Tue Jan  3 16:12:02 2012 us=613282 Data Channel MTU parms [ L:1541 D:1450 EF:41 EB:4 ET:0 EL:0 ]
    Tue Jan  3 16:12:02 2012 us=615472 UDPv4 link local (bound): [undef]
    Tue Jan  3 16:12:02 2012 us=616148 UDPv4 link remote: [AF_INET]85.214.3.71:1194
    Tue Jan  3 16:12:02 2012 us=649010 TLS: Initial packet from [AF_INET]85.214.3.71:1194, sid=edf869e9 e77c6e1b
    Tue Jan  3 16:12:02 2012 us=866092 VERIFY OK: depth=1, /C=DE/ST=Berlin/L=Berlin/O=Strato_Rechenzentrum_AG/CN=Strato_Rechenzentrum_AG_CA
    Tue Jan  3 16:12:02 2012 us=873179 VERIFY OK: nsCertType=SERVER
    Tue Jan  3 16:12:02 2012 us=873345 VERIFY OK: depth=0, /C=DE/ST=Berlin/L=Berlin/O=Strato_Rechenzentrum_AG/CN=kalain
    Tue Jan  3 16:12:04 2012 us=229265 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
    Tue Jan  3 16:12:04 2012 us=229506 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
    Tue Jan  3 16:12:04 2012 us=230078 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
    Tue Jan  3 16:12:04 2012 us=230227 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
    Tue Jan  3 16:12:04 2012 us=231166 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 2048 bit RSA
    Tue Jan  3 16:12:04 2012 us=231647 [kalain] Peer Connection Initiated with [AF_INET]85.214.3.71:1194
    Tue Jan  3 16:12:06 2012 us=398992 SENT CONTROL [kalain]: 'PUSH_REQUEST' (status=1)
    Tue Jan  3 16:12:06 2012 us=432678 PUSH: Received control message: 'PUSH_REPLY,ping 45,route 85.214.3.69,route 10.144.0.1,ifconfig 10.144.2.14 10.144.2.13'
    Tue Jan  3 16:12:06 2012 us=433174 OPTIONS IMPORT: timers and/or timeouts modified
    Tue Jan  3 16:12:06 2012 us=433326 OPTIONS IMPORT: --ifconfig/up options modified
    Tue Jan  3 16:12:06 2012 us=433403 OPTIONS IMPORT: route options modified
    Tue Jan  3 16:12:06 2012 us=451049 TUN/TAP device tun0 opened
    Tue Jan  3 16:12:06 2012 us=451337 TUN/TAP TX queue length set to 100
    Tue Jan  3 16:12:06 2012 us=451582 do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
    Tue Jan  3 16:12:06 2012 us=451807 /sbin/ifconfig tun0 10.144.2.14 pointopoint 10.144.2.13 mtu 1500
    Tue Jan  3 16:12:06 2012 us=464987 /sbin/route add -net 85.214.3.69 netmask 255.255.255.255 gw 10.144.2.13
    Tue Jan  3 16:12:06 2012 us=472330 /sbin/route add -net 10.144.0.1 netmask 255.255.255.255 gw 10.144.2.13
    Tue Jan  3 16:12:06 2012 us=478045 Initialization Sequence Completed
    
    edit: nach einer weile werden volgende einträge in die debug geschrieben:
    Code:
    Tue Jan  3 16:57:56 2012 us=509934 write UDPv4 []: Network is unreachable (code=128)
    Tue Jan  3 16:59:13 2012 us=569576 [kalain] Inactivity timeout (--ping-restart), restarting
    Tue Jan  3 16:59:13 2012 us=571173 TCP/UDP: Closing socket
    Tue Jan  3 16:59:13 2012 us=571578 /sbin/route del -net 10.144.0.1 netmask 255.255.255.255
    Tue Jan  3 16:59:13 2012 us=577065 /sbin/route del -net 85.214.3.69 netmask 255.255.255.255
    Tue Jan  3 16:59:13 2012 us=582988 Closing TUN/TAP interface
    Tue Jan  3 16:59:13 2012 us=583278 /sbin/ifconfig tun0 0.0.0.0
    Tue Jan  3 16:59:13 2012 us=635617 SIGUSR1[soft,ping-restart] received, process restarting
    Tue Jan  3 16:59:13 2012 us=635971 Restart pause, 10 second(s)
    Tue Jan  3 16:59:23 2012 us=640583 IMPORTANT: OpenVPN's default port number is now 1194, based on an official port number assignment by IANA.  OpenVPN 2.0-beta16 and earlier used 5000 as the default port.
    Tue Jan  3 16:59:23 2012 us=640767 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
    Tue Jan  3 16:59:23 2012 us=645226 Control Channel Authentication: using '/var/tmp/vpn_hidrive/tls-auth.key' as a OpenVPN static key file
    Tue Jan  3 16:59:23 2012 us=645470 Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
    Tue Jan  3 16:59:23 2012 us=645607 Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
    Tue Jan  3 16:59:23 2012 us=646409 Control Channel MTU parms [ L:1541 D:166 EF:66 EB:0 ET:0 EL:0 ]
    Tue Jan  3 16:59:23 2012 us=646744 Socket Buffers: R=[132096->131072] S=[132096->131072]
    Tue Jan  3 16:59:23 2012 us=670903 Data Channel MTU parms [ L:1541 D:1450 EF:41 EB:4 ET:0 EL:0 ]
    Tue Jan  3 16:59:23 2012 us=671119 UDPv4 link local (bound): [undef]
    Tue Jan  3 16:59:23 2012 us=671249 UDPv4 link remote: [AF_INET]85.214.3.71:1194
    Tue Jan  3 16:59:23 2012 us=704060 TLS: Initial packet from [AF_INET]85.214.3.71:1194, sid=b8117b2f 03ba813d
    Enter Auth Username:Tue Jan  3 16:59:23 2012 us=706067 ERROR: could not read Auth username from stdin
    Tue Jan  3 16:59:23 2012 us=706245 Exiting

    Ist das richtig das dieser eintrag den Tunnel beschreibt? Die 10.144.2.14 läst sich auch anpingen.
    Code:
    Tue Jan  3 16:12:06 2012 us=451807 /sbin/ifconfig tun0 10.144.2.14 pointopoint 10.144.2.13 mtu 1500
    Was haben diese beiden zu sagen?
    Code:
    Tue Jan  3 16:12:06 2012 us=464987 /sbin/route add -net 85.214.3.69 netmask 255.255.255.255 gw 10.144.2.13
    Tue Jan  3 16:12:06 2012 us=472330 /sbin/route add -net 10.144.0.1 netmask 255.255.255.255 gw 10.144.2.13
    Wenn jetzt ja der Tunnel von der Fritzbox zum server steht wie kann ich mich mit meinen Clientrechnern damit verbinden? Ich denke hier muss noch eine Brücke zu tun0 gebaut werden?!
    Wäre hier auch Virtual IP eine Lösung?
    edit: In einem anderen Beitrag habe ich gelesen das sich die Brücke mit
    Code:
    brctl addif lan tun0
    bauen lässt, hierbei bekomme ich aber die Meldung "interface tun0 does not exist!"


    des weiteren stellt sich mir die frage wie ich den VPN_Client auf der Box automatisch starten lasse,
    über cron kann ich ja "nur" Zeitliche Ereignisse beschreiben, aber der Client soll ja beim Systemstart mit starten.

    Vielen Dank für eure Unterstützung!

    Gruß Steffen
     
  7. MaxMuster

    MaxMuster IPPF-Promi

    Registriert seit:
    1 Feb. 2005
    Beiträge:
    6,924
    Zustimmungen:
    0
    Punkte für Erfolge:
    36
    Code:
    Tue Jan  3 16:57:56 2012 us=509934 write UDPv4 []: Network is unreachable (code=128)
    Tue Jan  3 16:59:13 2012 us=569576 [kalain] Inactivity timeout (--ping-restart), restarting
    
    Irgendwie ist die Verbindung abgebrochen und soll nun neu aufgebaut werden, was aber fehlschlägt, weil scheinbar jetzt ein Username auf der Console abgefragt wird:
    Code:
    [B]Enter Auth Username:[/B]Tue Jan  3 16:59:23 2012 us=706067 ERROR: could not read Auth username from stdin
    Tue Jan  3 16:59:23 2012 us=706245 Exiting
    sind diese beiden Einträge noch drin??
    Code:
    auth-user-pass /var/media/ftp/uStor01/openvpnpassfile
    auth-retry nointeract
    
    Ja

    Der Server hat den CLient angewiesen, zu den beiden IPs 85.214.3.69 und 10.144.0.1 eine Route durch das VPN einzutragen

    Suche danach, dafür gibt es etwa 100 Anfragen. Kurz: Es kann ohne Klimmzüge immer nur der OpenVPN-Client selbst zugreifen (bei dir die FB), nicht die Geräte "dahinter". Wenn das doch gewünscht wird, muss entweder der Server dein Netz kennen (das wird aber wohl Strato nicht für dich einrichten ;-)) oder du brauchst NAT mit iptables, das sollte zur Suche reichen.

    Virtual IP ist keine Lösung dafür.
    Es ließe sich nur ein TAP Interface zur Bridge hinzufügen. Das hat aber hier keinen Sinn.

    Entweder, indem du die Configs über die GUI starten läßt: du kannst mit der OpenVPN-GUI verschiedene Configs für mehrere OpenVPNs parallel einstellen und auch "eigene" Configs hinterlegen, die unter "/tmp/flash/openvpn/own_${DAEMON}.conf" (own_openvpn.conf für die default Config, oder own_openvpn_Config1.conf usw, je nach Bezeichnung der Configs in der GUI) liegen, dann werden alle Einträge in der GUI "ignoriert").

    Oder aber z.B. per Eintrag in die "rc.custom".
     
  8. traumspiel

    traumspiel Neuer User

    Registriert seit:
    16 Okt. 2009
    Beiträge:
    8
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Danke mal für die Erklärung der Einträge.
    Ja diese Einträge sind in der config enthalten ich hatte diese jedoch noch ergänzt mit
    dem Eintrag
    Code:
    auth-nocache
    Ich habe diesen Eintrag wieder herausgenommen und es wurde aus meiner Sicht ein Reset durchgeführt und anschließend wieder verbunden, ping geht durch jedoch habe ich wieder ein warning Eintrag.
    debug.out
    Code:
    Tue Jan  3 22:46:11 2012 us=218408 OpenVPN 2.2.1 mips-linux [SSL] [LZO2] [MH] [PF_INET6] [IPv6 payload 20110424-2 (2.2RC2)] built on Jan  2 2012
    Tue Jan  3 22:46:11 2012 us=219509 IMPORTANT: OpenVPN's default port number is now 1194, based on an official port number assignment by IANA.  OpenVPN 2.0-beta16 and earlier used 5000 as the default port.
    Tue Jan  3 22:46:11 2012 us=219665 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
    Tue Jan  3 22:46:11 2012 us=226147 Control Channel Authentication: using '/var/tmp/vpn_hidrive/tls-auth.key' as a OpenVPN static key file
    Tue Jan  3 22:46:11 2012 us=226404 Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
    Tue Jan  3 22:46:11 2012 us=226549 Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
    Tue Jan  3 22:46:11 2012 us=227509 Control Channel MTU parms [ L:1541 D:166 EF:66 EB:0 ET:0 EL:0 ]
    Tue Jan  3 22:46:11 2012 us=228168 Socket Buffers: R=[132096->131072] S=[132096->131072]
    Tue Jan  3 22:46:11 2012 us=254727 Data Channel MTU parms [ L:1541 D:1450 EF:41 EB:4 ET:0 EL:0 ]
    Tue Jan  3 22:46:11 2012 us=256570 UDPv4 link local (bound): [undef]
    Tue Jan  3 22:46:11 2012 us=257190 UDPv4 link remote: [AF_INET]85.214.3.71:1194
    Tue Jan  3 22:46:11 2012 us=289168 TLS: Initial packet from [AF_INET]85.214.3.71:1194, sid=9c2051fb 89ab7623
    Tue Jan  3 22:46:11 2012 us=290451 WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
    Tue Jan  3 22:46:11 2012 us=507180 VERIFY OK: depth=1, /C=DE/ST=Berlin/L=Berlin/O=Strato_Rechenzentrum_AG/CN=Strato_Rechenzentrum_AG_CA
    Tue Jan  3 22:46:11 2012 us=514142 VERIFY OK: nsCertType=SERVER
    Tue Jan  3 22:46:11 2012 us=514322 VERIFY OK: depth=0, /C=DE/ST=Berlin/L=Berlin/O=Strato_Rechenzentrum_AG/CN=undazir
    Tue Jan  3 22:46:12 2012 us=859257 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
    Tue Jan  3 22:46:12 2012 us=859500 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
    Tue Jan  3 22:46:12 2012 us=860118 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
    Tue Jan  3 22:46:12 2012 us=860284 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
    Tue Jan  3 22:46:12 2012 us=861790 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 2048 bit RSA
    Tue Jan  3 22:46:12 2012 us=862131 [undazir] Peer Connection Initiated with [AF_INET]85.214.3.71:1194
    Tue Jan  3 22:46:15 2012 us=307588 SENT CONTROL [undazir]: 'PUSH_REQUEST' (status=1)
    Tue Jan  3 22:46:15 2012 us=340191 PUSH: Received control message: 'PUSH_REPLY,ping 45,route 85.214.3.69,route 10.144.0.1,ifconfig 10.144.0.10 10.144.0.9'
    Tue Jan  3 22:46:15 2012 us=340675 OPTIONS IMPORT: timers and/or timeouts modified
    Tue Jan  3 22:46:15 2012 us=340814 OPTIONS IMPORT: --ifconfig/up options modified
    Tue Jan  3 22:46:15 2012 us=340892 OPTIONS IMPORT: route options modified
    Tue Jan  3 22:46:15 2012 us=359391 TUN/TAP device tun0 opened
    Tue Jan  3 22:46:15 2012 us=359693 TUN/TAP TX queue length set to 100
    Tue Jan  3 22:46:15 2012 us=359879 do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
    Tue Jan  3 22:46:15 2012 us=360091 /sbin/ifconfig tun0 10.144.0.10 pointopoint 10.144.0.9 mtu 1500
    Tue Jan  3 22:46:15 2012 us=374397 /sbin/route add -net 85.214.3.69 netmask 255.255.255.255 gw 10.144.0.9
    Tue Jan  3 22:46:15 2012 us=381937 /sbin/route add -net 10.144.0.1 netmask 255.255.255.255 gw 10.144.0.9
    Tue Jan  3 22:46:15 2012 us=387540 Initialization Sequence Completed
    Tue Jan  3 23:46:12 2012 us=345675 TLS: soft reset sec=0 bytes=9816/0 pkts=171/0
    Tue Jan  3 23:46:12 2012 us=595937 VERIFY OK: depth=1, /C=DE/ST=Berlin/L=Berlin/O=Strato_Rechenzentrum_AG/CN=Strato_Rechenzentrum_AG_CA
    Tue Jan  3 23:46:12 2012 us=602481 VERIFY OK: nsCertType=SERVER
    Tue Jan  3 23:46:12 2012 us=602650 VERIFY OK: depth=0, /C=DE/ST=Berlin/L=Berlin/O=Strato_Rechenzentrum_AG/CN=undazir
    Tue Jan  3 23:46:13 2012 us=968532 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
    Tue Jan  3 23:46:13 2012 us=968826 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
    Tue Jan  3 23:46:13 2012 us=969720 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
    Tue Jan  3 23:46:13 2012 us=969934 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
    Tue Jan  3 23:46:13 2012 us=970746 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 2048 bit RSA
    Meine config
    Code:
    proto udp
    dev tun
    ca /var/tmp/vpn_hidrive/ca.drive.strato.com.crt
    pull
    tls-client
    tls-auth /var/tmp/vpn_hidrive/tls-auth.key
    ns-cert-type server
    remote openvpn.hidrive.strato.com
    log /var/tmp/vpn_hidrive/debug.out
    pull
    verb 4
    daemon
    auth-user-pass /var/tmp/vpn_hidrive/password.txt
    #auth-nocache
    auth-retry nointeract
    Ach sch... warum will Strado den das nicht für mich einrichten:rolleyes:
    Ok hab verstanden eine NAT wäre hier das Zauberwort, kenne ich noch von meinen
    alten rootern, hier drängt sich mir die frage auf ob das nicht mit Kanonen auf Spatzen ist wenn
    ich nur ein Laufwerk auf der Gegenseite zum Zwecke der Übertragung Verschlüsselter Container über VPN zur Datensicherung von einem
    Server möchte?!
    Ich hab hier noch was im Hinterkopf, ist es nicht möglich über samba auf den share bei Strado
    zuzugreifen und diesen dann auf z.B /var/media/ftp zu mounten?

    Wie denkt Ihr darüber?

    Gruß Steffen