OpenVPN mit eigner Konfig laden

koepie

Neuer User
Mitglied seit
17 Mrz 2006
Beiträge
39
Punkte für Reaktionen
0
Punkte
0
Ist es irgendwie möglich automatisch seine eigene Konfig zu laden?
Oder muss man immer alles übder die gui machen?

habe schon versucht die rc.openvpn anzupassen da ich hier sowas im forum gefunden habe allerdings liegt die auf nem readonly file system?
Wäre für jede Hilfe sehr dankbar.
 
sieht gut aus und wie bekommen ich das jetzt auf meine fritzbox ?
muss ich das alles wieder neu kompilieren?
 
Im Prinzip ja. Dafür müsstest du Freetz patchen und dann nochmal bauen.

Es gibt aber auch schon jetzt eine Alternative:

Wenn die Datei "/tmp/flash/openvpn/own_${DAEMON}.conf" existiert (bei nur einer Config "/tmp/flash/openvpn/own_openvpn.conf"), wird der Inhalt dieser Datei als Config genutzt und (bis auf das automatische oder manuelle Starten) alles aus der WebGUI ignoriert.

Jörg
 
ok Danke das Funktionier soweit....
ich bekomme aber leider den Port nicht nach aussen geöffnet :(

habe ich per avm firewall eingefügt udp 0.0.0.0:1194 0.0.0.0:1194

wollte das mal ind er ar7 config überprüfen aber ich bekomme da immer /var/flash/ar7.cfg: not a regular

was muss ich beim port öffnen auf der box beachten?
 
Wenn der Eintrag drin ist, sollte es funktionieren (ein "cat /var/flash/ar7.cfg | grep 1194" sollte den Eintrag zeigen). Hast du den Haken bei "Übernehmen und Anwenden" in der FW-GUI gemacht?
Ansonsten müsstest du nach der Änderung einmal neu starten (vorher zum Sichern der eigenen OpenVPN-Config in /var/tmp/flash einmal "modsave flash" aufrufen.)

Poste wenn es dann noch nicht geht mal ein Log vom Start und dem Lauf, während du den Zugriff versuchst.

Jörg
 
}
forwardrules = "udp 0.0.0.0:1194 0.0.0.0:1194" ;
}

es steht drin und ich hab schon merhmals neu gebootet.
aber wird nicht geöffnet... :/

wie mach ich ein log vom start?
 
Ohne GUI (da gäbe es oben den "debug-Haken") solltest du das von Hand "im Vordergrund" starten
Code:
grep -v daemon <deine Config> > /tmp/ovpn.conf
killall openvpn
openvpn /tmp/ovpn.conf
In der Console siehst du dann die Ausgaben...

Jörg
 
wo finde ich <deine Config>?


/etc/default.openvpn/openvpn.cfg ?
 
Das sollte deine Config-Datei sein ;-)
Wenn du das wie oben gemacht hast, ist sie natürlich in "/tmp/flash/openvpn/own_openvpn.conf", wenn du das aus der GUI gestartet hast, ist es die Datei in /mod/etc/openvpn.conf.

Jörg
 
wenn ich das durchführe bekomme ich aber keinen log ich kann dir aber nen log zeigen aus den debug meldungen

Code:
Sun Feb 13 20:32:56 2011 OpenVPN 2.1.1 mipsel-linux [SSL] [LZO2] [EPOLL] [MH] built on Feb 13 2011
Sun Feb 13 20:32:56 2011 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Sun Feb 13 20:32:56 2011 Static Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Sun Feb 13 20:32:56 2011 Static Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Sun Feb 13 20:32:56 2011 Static Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Sun Feb 13 20:32:56 2011 Static Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Sun Feb 13 20:32:56 2011 LZO compression initialized
Sun Feb 13 20:32:56 2011 TUN/TAP device tun0 opened
Sun Feb 13 20:32:56 2011 TUN/TAP TX queue length set to 100
Sun Feb 13 20:32:56 2011 /sbin/ifconfig tun0 192.168.200.1 pointopoint 192.168.200.2 mtu 1500
Sun Feb 13 20:32:56 2011 Data Channel MTU parms [ L:1545 D:1450 EF:45 EB:135 ET:0 EL:0 AF:3/1 ]
Sun Feb 13 20:32:56 2011 Socket Buffers: R=[110592->131072] S=[110592->131072]
Sun Feb 13 20:32:56 2011 UDPv4 link local (bound): [undef]
Sun Feb 13 20:32:56 2011 UDPv4 link remote: [undef]
Sun Feb 13 20:34:57 2011 Inactivity timeout (--ping-restart), restarting
Sun Feb 13 20:34:57 2011 TCP/UDP: Closing socket
Sun Feb 13 20:34:57 2011 Closing TUN/TAP interface
Sun Feb 13 20:34:57 2011 /sbin/ifconfig tun0 0.0.0.0
Sun Feb 13 20:34:57 2011 SIGUSR1[soft,ping-restart] received, process restarting
Sun Feb 13 20:34:57 2011 Restart pause, 2 second(s)
Sun Feb 13 20:34:59 2011 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Sun Feb 13 20:34:59 2011 Static Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Sun Feb 13 20:34:59 2011 Static Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Sun Feb 13 20:34:59 2011 Static Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Sun Feb 13 20:34:59 2011 Static Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Sun Feb 13 20:34:59 2011 LZO compression initialized
Sun Feb 13 20:34:59 2011 TUN/TAP device tun0 opened
Sun Feb 13 20:34:59 2011 TUN/TAP TX queue length set to 100
Sun Feb 13 20:34:59 2011 /sbin/ifconfig tun0 192.168.200.1 pointopoint 192.168.200.2 mtu 1500
Sun Feb 13 20:35:00 2011 Data Channel MTU parms [ L:1545 D:1450 EF:45 EB:135 ET:0 EL:0 AF:3/1 ]
Sun Feb 13 20:35:00 2011 Socket Buffers: R=[110592->131072] S=[110592->131072]
Sun Feb 13 20:35:00 2011 UDPv4 link local (bound): [undef]
Sun Feb 13 20:35:00 2011 UDPv4 link remote: [undef]


und der client bleib halt da stehen

Code:
 Feb 13 19:44:40 2011 Socket Buffers: R=[8192->8192] S=[8192->8192]
Sun Feb 13 19:44:40 2011 ROUTE default_gateway=192.168.178.1
Sun Feb 13 19:44:40 2011 TAP-WIN32 device [VPN] opened: \\.\Global\{3A782033-E604-476A-B192-5C85720BFA8C}.tap
Sun Feb 13 19:44:40 2011 TAP-Win32 Driver Version 9.7 
Sun Feb 13 19:44:40 2011 TAP-Win32 MTU=1500
Sun Feb 13 19:44:40 2011 Notified TAP-Win32 driver to set a DHCP IP/netmask of 192.168.200.2/255.255.255.252 on interface {3A782033-E604-476A-B192-5C85720BFA8C} [DHCP-serv: 192.168.200.1, lease-time: 31536000]
Sun Feb 13 19:44:40 2011 Successful ARP Flush on interface [37] {3A782033-E604-476A-B192-5C85720BFA8C}
Sun Feb 13 19:44:40 2011 Data Channel MTU parms [ L:1544 D:1450 EF:44 EB:4 ET:0 EL:0 ]
Sun Feb 13 19:44:40 2011 Local Options hash (VER=V4): '1db64539'
Sun Feb 13 19:44:40 2011 Expected Remote Options hash (VER=V4): '27d76c6d'
Sun Feb 13 19:44:40 2011 UDPv4 link local: [undef]
Sun Feb 13 19:44:40 2011 UDPv4 link remote: 87.171.19.150:1194
Sun Feb 13 19:44:42 2011 TCP/UDP: Closing socket
Sun Feb 13 19:44:42 2011 Closing TUN/TAP interface
Sun Feb 13 19:44:42 2011 SIGTERM[hard,] received, process exiting
 
Naja, das sieht aber eigentlich so aus, wie es sollte?!? Der Client bekommt die IP 192.168.200.2, der Server (die Fritzbox) solte dann als 192.168.200.1 erreichbar sein.

Was genau geht denn nicht? Vielleich postest du mal die Configs von beiden Seiten (Server und Client).
 
die verbindung wird nicht aufgebaut....

der client bleibt da stehen :

Sun Feb 13 20:57:28 2011 UDPv4 link local: [undef]
Sun Feb 13 20:57:28 2011 UDPv4 link remote: 87.171.19.150:1194
 
Aber oben steht doch, dass der Client eine IP bekommen hat, damit ist die Verbindung doch aufgebaut :confused:
Wenn du dann keine Daten übertragen kannst, wird eher ein Konfig-Problem vorliegen (lzo nur auf einer Seite oder sowas).
 
nein es kommt einfach keine anfrage durch und laut portscan ist der port geschlossen.
 
Von wo machst du den Test? Wirklich von "Extern"? Ist die Box auch selbst am DSL (oder steht sie auf "IP mitbenutzen)?
Wie bekommt der CLient die IP? Ist die In der Config eingetragen? Ohne Configs ist das alles reine Spekulation...
 
Habe es von extern probiert und von intern auf 192.168.178.1
internet hat die box bin gerade übder die fb im netz.

hier nochmal die server conf
Code:
#  OpenVPN 2.1 Config, Sun Feb 13 20:30:31 CET 2011
proto udp
dev tun
secret /tmp/flash/static.key
port 1194
ifconfig 192.168.200.1 192.168.200.2
tun-mtu 1500
mssfix
log /var/tmp/debug_openvpn.out
verb 3
daemon
cipher BF-CBC
comp-lzo
keepalive 10 120
status /var/log/openvpn.log
push "redirect-gateway def1"
push "dhcp-option DNS 213.133.100.100"
 
Von intern sollte das OpenVPN auf jeden Fall zumindest "antworten", da du nicht auf ein Interface oder eine IP gebunden hast (hast du auch sicher UDP getestet??).
Und die Client-Config? Den remote-Namen kannst du ja aus xxx-en. Auch dort "comp-lzo"? Gleicher cipher-Eintrag (leer oder "BF-CBC")?

Ich kann erst morgen wieder reinsehen...
 
OHHHman! :mad:
es war der cipher der gefehlt hat.
Im client den selben cipher BF-CBC gesetz und alles lief!

Danke für den Hinweis.
 
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.