openvpn: Fritzbox <-> Laptop

[duffy6]

Hallo zusammen,

ich bin dabei mir einen openvpn Zugang für meine 7170 zu basteln (zum nachladen via debug.cfg), damit ich mit meinem Laptop von unterwegs an mein LAN komme.

Ich will einen static key verwenden (bereits erstellt) und bridging realisieren.

Soweit bin ich schonmal (Firmware 29.04.70):

debug.cfg

!/bin/sh

# try to load files from USB drive
for f in /var/media/ftp/*
do
cp ${f}/_binaries/openvpn /var/tmp/
cp ${f}/_binaries/brctl /var/tmp/
cp ${f}/_binaries/openvpn_keys/secret.key /var/tmp/
cp ${f}/_binaries/openvpn_keys/server.conf /var/tmp/
done

# make them executable
chmod +x /var/tmp/openvpn
chmod +x /var/tmp/brctl
chmod +x /var/tmp/server.conf

# openvpn Config:
ifconfig eth0:1 192.168.0.120 netmask 255.255.255.0 broadcast 192.168.0.255 up
mknod /var/tmp/tun c 10 200
/var/tmp/openvpn --cd /var/tmp/openvpn --config /var/tmp/server.conf --daemon
# Warten bis das TAP-Interface eingerichtet wurde
count=0
while [ $count -le 5 ] && ! ifconfig tap0 > /dev/null 2> /dev/null ; do
sleep 1
count=$(( $count + 1 ))
done
ifconfig tap0 192.168.0.123 up
# Netze bridgen
/var/tmp/brctl addif lan tap0

server.conf

daemon
proto tcp-server
local 192.168.0.120
port 1194
dev tap0
dev-node /var/tmp/tun

Leider hab ich keine Ahnung, wie die client.ovpn (für Win XP) dazu aussehen soll bzw ob meine beiden Dateien oben stimmen.


Kann mir da einer auf die Sprünge helfen?

Danke und Gruß
duffy6

 

[Silent-Tears]

Im reetz gibt es ein tolles Webinterface dafür und du musst da nur noch die Einstellungen vornehmen.

 

[duffy6]

Würde das gerne ohne freetz machen.

meine Box hat übrigens die IP 192.168.0.1

mit bridging sollte es doch möglich sein, dass meine VPN-eingewählten Clients ins gleiche Netz kommen, oder?

 

[cando]

Mit bridging sollte es gehen, es ist aber das falsche Forum.

Hier geht es ausschließlich um freetz. Ohne Freetz ist hier nichts.

im übrigen ist eine Client Einwahl (PC zu Router) in der Regel immer mit einem Einbinden im Client Segment verbunden über die Zuteilung der IP Adresse per DHCP vom Router, so dass die über den Tunnel kommenden Clients wie LAN Geräte erscheinen. Das Bridgeing ist eher für Netzkopplungen interessant, wo 2 Router die jeweiligen lokalen Netze als virtuelle Bridge zusammenschalten.

:-Ö

 

[duffy6]

Danke, ich probiers mal direkt im Forum "Modifikation".

Danke!

 

[Silent-Tears]

Vielleicht erbarmt sich ja ein mod und schiebt

 

[MaxMuster]

Geschoben ist ja nun ;-)

Ein guter Anlaufpunkt ist für eine Config aus meiner Sicht immer openvpn.net und die Dokumentation dort. Zudem gibt es "hunderte" von Seiten im Internet mit How-Tos, Anleitungen und Beispielen, auch mit der Suchfunktion sollte dieses Forum die ein oder andere Lösung bieten. Vieleicht reicht dir aber schon die Info aus dem IPPF-Wiki...

Zu deiner Frage: Grundsätzlich geht es, dass dein Client per OpenvVPN, tap und bridging "virtueller Teil" des LANs wird.
Ein paar Hinweise zu deiner "Rumpfconfig" oben:
- Ich würde die IP des TAP in der OpenVPN-Config ändern
- Den Prozess an die lokale IP ("local 192.168.0.120") würde ich nicht mache, wenn du mit dem Client von "außen" kommst



Jörg

 

[duffy6]

So, ich hab jetzt erstmal nen Minimalconfig benutzt:


Auszug debug.cfg

# OpenVPN
# Device Node erzeugen
mknod /var/tmp/tun c 10 200
# OpenVPN starten
/var/tmp/openvpn --config /var/tmp/server.conf --daemon

server.conf

dev tun
ifconfig 10.8.0.1 10.8.0.2
secret /var/tmp/secret.key

und client.ovnp

remote XXXX.dyndns.org
dev tun
ifconfig 10.8.0.2 10.8.0.1
secret secret.key

UDP 1194 hab ich im freetz-AVM-Web-Interface auf Adresse 0.0.0.0 durchgeleitet.

Ein Connect kommt von meinem XP Rechner auch zustande (mit deaktivierter Firewall), aber ich kann von der Fritzbox nicht den XP Rechner (VPN Client 10.8.0.2) pingen und ebenso auch nicht den VPN-Server (=Fritzbox) vom Client.

Was könnte ich denn falsch machen?

Gruß
duffy6

 

[MaxMuster]

Hmm, das OpenVPN läuft auch ohne "dev-node /var/tmp/tun" in der Config?
Dann kannst du dir das "mknod /var/tmp/tun c 10 200" vorher sparen.

Am besten rufst du mal das OpenVPN ohne "--daemon" auf, dann siehst du in der Konsole die Ausgabe des Programms.

Jörg

 

[duffy6]

wenn ich vpn aufrufe erhalte ich folgende Meldung (wenn ich per Client connecte ändert sich daran auch nix):

/var/mod/root # /var/tmp/openvpn --config /var/tmp/server.conf
Sat Dec 5 16:04:55 2009 OpenVPN 2.1_rc21 mipsel-linux [SSL] [LZO2] [EPOLL] [MH]
built on Dec 2 2009
Sat Dec 5 16:04:55 2009 IMPORTANT: OpenVPN's default port number is now 1194, b
ased on an official port number assignment by IANA. OpenVPN 2.0-beta16 and earl
ier used 5000 as the default port.
Sat Dec 5 16:04:55 2009 NOTE: OpenVPN 2.1 requires '--script-security 2' or hig
her to call user-defined scripts or executables
Sat Dec 5 16:04:55 2009 WARNING: file '/var/tmp/secret.key' is group or others
accessible
Sat Dec 5 16:04:55 2009 TUN/TAP device tun0 opened
Sat Dec 5 16:04:55 2009 /sbin/ifconfig tun0 10.8.0.1 pointopoint 10.8.0.2 mtu 1
500
Sat Dec 5 16:04:55 2009 UDPv4 link local (bound): [undef]
Sat Dec 5 16:04:55 2009 UDPv4 link remote: [undef]

Auf Client-Seite zeigt das Log:

Sat Dec 05 16:05:16 2009 OpenVPN 2.0.9 Win32-MinGW [SSL] [LZO] built on Oct 1 2006
Sat Dec 05 16:05:16 2009 IMPORTANT: OpenVPN's default port number is now 1194, based on an official port number assignment by IANA. OpenVPN 2.0-beta16 and earlier used 5000 as the default port.
Sat Dec 05 16:05:25 2009 TAP-WIN32 device [LAN_TAP_OPENVPN] opened: \\.\Global\{XXXXXX}.tap
Sat Dec 05 16:05:25 2009 Notified TAP-Win32 driver to set a DHCP IP/netmask of 10.8.0.2/255.255.255.252 on interface {XXXXX} [DHCP-serv: 10.8.0.1, lease-time: 31536000]
Sat Dec 05 16:05:25 2009 Successful ARP Flush on interface [196614] {XXXXXXXXXXXXX}
Sat Dec 05 16:05:25 2009 UDPv4 link local (bound): [undef]:1194
Sat Dec 05 16:05:25 2009 UDPv4 link remote: 84.163.217.XXX:1194
Sat Dec 05 16:05:35 2009 Peer Connection Initiated with 84.163.217.XXX:1194
Sat Dec 05 16:05:35 2009 WARNING: 'ifconfig' is used inconsistently, local='ifconfig 10.8.0.2 10.8.0.1', remote='ifconfig 10.8.0.1 10.8.0.2'
Sat Dec 05 16:05:36 2009 Initialization Sequence Completed

Kann jmd deuten wo sich der Fehler versteckt?

 

[MaxMuster]

Versuche doch mal auf dem Client auch einen etwas aktuelleren Client (2.1_rc). Ansonsten hilft nur, die "Gesprächigkeit" höher zu setzen, z.B per "verb 6".

Jörg