.titleBar { margin-bottom: 5px!important; }

OpenVPN mit Zertifikaten -> Langsam verzweifel ich

Dieses Thema im Forum "Freetz" wurde erstellt von surfy123, 14 Feb. 2007.

  1. surfy123

    surfy123 Neuer User

    Registriert seit:
    1 Feb. 2007
    Beiträge:
    24
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Hallo Fritzboxler,

    erstmal hallo zusammen und Danke für ds-mod... ist ein geniales Teil und der einzige Grund, warum ich mir ne 7170 gekauft habe... (teuer genug die Teile).

    Nachdem ich bereits erfolgreich Samba zum laufen gebracht (weiss da eigentlich jemand, wie ich die "Freigabe" (Standard-Freigabe) wegbekomme?), mich mit
    WOL herumgeschlagen habe, habe ich nun allerdings ein problem mit dem Thema OpenVPN:

    Ich verwende aktuell den ds-mod 29-13 (wohl der aktuellste?)

    Ich vor, gelegentlich auch mal alte Netzwerkspiele über VPN zu wagen (C&C2).
    Dafür brauche ich wohl eine TAP - Konfiguration. Und da es auch mal mehr als ein client sein kann, wohl auch Zertifikate.

    Nur leider bekomme ich das VPN nicht zum laufen. Ich habe die Zertifikate erstellt und verteilt, im Webinterface herumgebastelt, komme aber seit 2 Tagen auf keinen grünen Zweig. Hier meine Konfigs (Server direkt aus der Fritzbox): (openvpn-lzo.conf)

    und der Client:

    Ich habe ein Port - Forwarding auf der Fritzbox für den 1194 (UDP +TCP) auf 192.168.178.2 gemacht welcher mein "Lokaler Endpunkt" ist.

    Folgende Meldung erhalte ich, wenn ich dann versuche zu connecten:

    Langsam bin ich am verzweifen! Fehlen mir irgendwelche Libs? ist ein Port-Forwarding erforderlich? (Wobei ich das gleiche problem auch aus dem Internen Netz habe)

    Vielen Dank für eure Unterstützung!

    Grüße, Surfy
     
  2. knox

    knox Mitglied

    Registriert seit:
    20 Mai 2006
    Beiträge:
    577
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    da ist ein kleiner fehler in der client-konfiguration:
    Code:
    proto tcp-client
    dein server läuft im standard modus udp, also muss dein client auch mit udp arbeiten.
    versuch doch mal die client-configs, die ich ins wiki gepostet habe, damit geht es eigentlich prima.
     
  3. surfy123

    surfy123 Neuer User

    Registriert seit:
    1 Feb. 2007
    Beiträge:
    24
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Hi knox,

    danke schon mal für die Antwort, da hatte ich wohl Tomaten auf den Augen...
    Leider funktioniert es trotzdem nicht (hab da auch schon x - Mal rumgestellt):
    Ich habe jetzt die Client - Seite umgestellt (wie du im WIKI beschrieben hast):

    Jetzt kommt folgende Meldung:

    Der static key muss schon der gleiche wie in der Weboberfläche sein?

    Ich dreh noch am Rad...
     
  4. knox

    knox Mitglied

    Registriert seit:
    20 Mai 2006
    Beiträge:
    577
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    da steht immer noch was von "tcp". da muss noch was in deiner config nicht stimmen.
     
  5. surfy123

    surfy123 Neuer User

    Registriert seit:
    1 Feb. 2007
    Beiträge:
    24
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    #5 surfy123, 14 Feb. 2007
    Zuletzt bearbeitet: 14 Feb. 2007
    Hi Knox, schön das Du am Ball bleibst.
    ich musste wieder auf TCP zurückstellen, da über UDP gar kein Link zustande kam...

    aber er bleibt immer an der stelle stehen (siehe unten):
    Ich hab die LZO Komprimierung schon deaktiviert / aktiviert, keine Reaktion.
    Weisst Du vielleicht, was da dann eigentlich stehen sollte?
    Denn eigentlich sollte ich ja noch ne IP zugewiesen bekommen?!

    Oh je... Danke für die Hilfe!

     
  6. surfy123

    surfy123 Neuer User

    Registriert seit:
    1 Feb. 2007
    Beiträge:
    24
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    #6 surfy123, 14 Feb. 2007
    Zuletzt bearbeitet: 14 Feb. 2007
    Hat vielleicht jemand eine beispiel - Conf.
    für den aktuellen ds-mod mit Certifikaten auf TCP - Basis?
    vielleicht auch, was ich im Bereich des Webinterfaces einstellen muss?

    bzw: Kann es sein, das im aktuellen ds-mod download ds-29-26-13 noch nicht alle notwendigen patches für OpenVPN drin sind?
    müssen noch routen definiert werden?

    Mir ist noch etwas aufgefallen:

    Immer an dem obrigen Punkt (Wed Feb 14 17:21:50 2007 Connection reset, restarting [-1])
    schaltet sich der openvpn serverdienst in der box ab. Ich muss ihn dann immer manuell wieder neu starten.
    Kennt jemand dieses Problem?

    -> Kann mir jemand helfen=?
     
  7. pixelpeter

    pixelpeter Neuer User

    Registriert seit:
    24 Aug. 2004
    Beiträge:
    59
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Hi surfy123,


    Was für eine IP-Adresse hat die Fritzbox ? 192.168.178.1?

    Dann kannst Du nicht die 192.168.178.2 für den TUN Endpunkt nehmen.

    Versuche doch mal in Deinem lokalen LAN eine Verbindung z.B. von einem XP Clienten hinzubekommen. Ohne Portforewarding und ähnliche Stolperfallen.

    - Am besten erstmal das Netz wählen. z.B 192.168.200.1: ifconfig 92.168.200.1 255.255.255.0
    - Dann den IP Pool : ifconfig-pool 192.168.200.10 192.168.200.20
    - auf udp stellen und von einem XP Clienten auf die 192.168.178.1 !! verbinden lassen (remote 192.168.200.1 1194)

    Dann mal sehen was passiert.



    Peter
     
  8. surfy123

    surfy123 Neuer User

    Registriert seit:
    1 Feb. 2007
    Beiträge:
    24
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Hi und Danke,

    leider ist das Problem immer noch dasselbe. Egal ob ich es von Intern oder extern probiere.
    Und was ich seltsam finde ist, das sich der openvpn - Dienst nach (oder bei) jedem connection - Versuch abschaltet und ich den Dienst wieder manuell für den nächsten Versuch starten muss...

    Ich benötige übrigens (wg. Broadcasts) TAP, TUN kommt für mich leider nicht in Frage
    Hat denn jemand das ganze per TAP am Laufen?
     
  9. pixelpeter

    pixelpeter Neuer User

    Registriert seit:
    24 Aug. 2004
    Beiträge:
    59
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Hi surfy,

    Hast Du openvpn in der crosscompilerumgebung selber erstellt?
    Das sich OpenVPN beendet ist definitiv nicht normal.
    Bei mir läuft es seit Tagen rund um die Uhr tadellos. Mehrere Clienten sind dann bei mir mit Zertifikaten angemeldet.

    Sorry, meine natürlich TAP. Ich könnte Dir vorschlagen ein Image von mir zuzusenden. Du müsstest nur sagen, mit welchen Paketen.


    Peter
     
  10. surfy123

    surfy123 Neuer User

    Registriert seit:
    1 Feb. 2007
    Beiträge:
    24
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Hi und Danke,

    Du hast ne PM :D
     
  11. surfy123

    surfy123 Neuer User

    Registriert seit:
    1 Feb. 2007
    Beiträge:
    24
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Hallo,

    nun siehts schon etwas besser aus! DANKE schon mal soweit für die Hilfe!

    Jetzt bin ich aber auf der Suche nach der notwendigen Einstellung für mein aktuelles Problem:

    Also: VPN (TAP wird aufgebaut), ich erhalte jedoch keine IP.

    Mein Ziel ist es eigentlich, das ich direkt vom FritzBox DHCP server eine IP zugeteilt bekomme.
    Aktuell habe ich zwar ein bestehendes VPN, jedoch bekomme ich KEINE IP zugeteilt. Vergebe ich die IPs manuell, bekomme ich jedoch auch keine verbindung
    (Kein Ping, kein nix :-( )

    kann mir hier nochmal jemand weiterhelfen? Es ist fast so, als ob meine Fritzbox meinen "Remote" Rechner gar nicht kennen würde :-(

    -> Verzweiflung <-

    Mal wieder

    @ peter, sorry, dass ich erst jetzt schreibe, aber die Box war jetzt ein paar Tag down :D
     
  12. pixelpeter

    pixelpeter Neuer User

    Registriert seit:
    24 Aug. 2004
    Beiträge:
    59
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Hi,

    Normalerweise wird die IP schon von der Box vergeben. Und zwar in der Option "Client Adressbereich (nur mit Zertifikaten):" im DS Mod.
    Wenn Du sicher bist, dass hier alles richtig ist, dann kann es nur noch an den Zertifikaten selber liegen. Dazu würden Logfiles vom Server und vom Client helfen. Eine heftige Stolperfalle ist das Datum der Server und der Clienten. Ich hatte mal OpenVPN auf einem WRT54 laufen, welcher ein Datum von 1970 hatte. Da die Zertifikate nur eine bestimmte Gültigkeitsdauer haben gab es hier natürlich Probleme. Ich habe mich schwarz gesucht....



    Peter
     
  13. surfy123

    surfy123 Neuer User

    Registriert seit:
    1 Feb. 2007
    Beiträge:
    24
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Hi Peter,

    ja, wenn ich dort eine IP - Range eintrage, wird mir schon eine IP zugeteilt, also soweit passt alles mit den Zertifikaten (überigens nochmal Danke).
    Jedoch kann ich dann keinen anderen rechner pingen oder sonst irgendwie erreichen. Desweiteren wollte ich eigentlich erreichen, das der Fritz!Box eigene DHCP - Server ne IP vergibt (so wie alle clients im "echten" lan auch).
     
  14. pixelpeter

    pixelpeter Neuer User

    Registriert seit:
    24 Aug. 2004
    Beiträge:
    59
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Hi,

    Ich muss Dich leider erst mal enttäuschen. Allein die Tatsache, dass du eine IP zugeordnet kriegst, sagt noch lange nicht, dass die Verschlüsslung passt.

    Und selbst wenn dann sind die Ursachen immer noch ziemlich vielschichtig.

    Um hier weiterzukommen braucht man ein Log mit möglichst hohem verbose Level. Versuche doch einfach mal mit einem XP-Client zu verbinden und schraube den Loglevel mal auf 5. Vielleicht findest Du dann schon selber die Ursache.

    Routing nicht vergessen.

    Die Vergabe über einen anderen DHCP Server kannst du ja dann in Angriff nehmen, wenn der Tunnel steht. Nicht gleich mehrere Baustellen aufreissen.


    Peter
     
  15. surfy123

    surfy123 Neuer User

    Registriert seit:
    1 Feb. 2007
    Beiträge:
    24
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    #15 surfy123, 19 Feb. 2007
    Zuletzt bearbeitet: 19 Feb. 2007
    Hi, also, das ist mein aktuelles connection log (verb stufe 5)

     
  16. surfy123

    surfy123 Neuer User

    Registriert seit:
    1 Feb. 2007
    Beiträge:
    24
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    und hier meine client config:
     
  17. pixelpeter

    pixelpeter Neuer User

    Registriert seit:
    24 Aug. 2004
    Beiträge:
    59
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Kannst Du noch mal die Serverconfiguration posten?

    Wie lautet die Ip-Range auf dem Server?
    Mir sieht es so auf, als wäre die IP der Box 192.168.178.1 und Du versuchst den Clienten 192.168.178.200 zuzuweisen. Stimmt das?
    Wenn es so ist, dann geht es so nicht. Du musst entweder eine IP Adresse aus einem anderen Netz für die Box oder die Range nehmen. Ein anderer Weg wäre Subnetze zu bilden. Aber warum kompliziert.

    Peter
     
  18. surfy123

    surfy123 Neuer User

    Registriert seit:
    1 Feb. 2007
    Beiträge:
    24
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Hi Peter, richtig! Das wars!
    Ich habe nun ein virtual device mit 192.168.200.1 gebildet, also praktisch ein anderes Subnetz. Jetzt weist openvpn IPs zu, ich kann zugreifen, alles klar!
    Nur: Broadcasts funktionieren so natürlich nicht, da ich ja zwei Subnetze habe...
    Und Broadcasts brauch ich ja unbedingt. Aber wenigstens passt der Rest der Configs, einschliesslich zertifikaten.

    Was muss ich nun tun, damit ich die clients in das gleiche Subnetz bringe? Gibts da die Möglichkeit, das die Fritzbox selbst per dhcp auch den Remote - Clients Ips aus dem eigenen Subnetz vergibt?

    Des weiteren versuche ich gerade von TCP auf UDP umzusteigen. doch da bekomme ich jedesmal diese meldung:

    Es sind also nur noch zwei kleine Probleme, an denen ich hänge...

    -> Broadcasts und umstieg auf UDP :-(

    Wäre super, wenn Du mir auch da helfen könntest!

    Viele Grüße,

    Leander
     
  19. pixelpeter

    pixelpeter Neuer User

    Registriert seit:
    24 Aug. 2004
    Beiträge:
    59
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Hi Leander,

    Freut mich, dass es nun endlich geklappt hat.

    Die Clienten ins gleiche Subnetz zu bringen sollte eigentlich nicht gehen, da ja der Tunnelendpunkt an sich in einem anderen liegt. Ich bin aber auch nicht der Netzwerkguru... Ich weiss nicht, ob Broadcasts funktionieren, wenn Du beispielsweise das Netz 192.168.178 durch Subnetzbildung in zwei verschiedene Netze teilst.

    Was hat es mit den Broadcasts auf sich? Verstehe ich nicht so recht, was Du damit machen willst.

    UPD sollte eigentlich problemlos gehen. Der Zugriff kommt aus dem Internet? Portweiterleitung angepasst?

    Peter
     
  20. surfy123

    surfy123 Neuer User

    Registriert seit:
    1 Feb. 2007
    Beiträge:
    24
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Wär ohne deine Hilfe nicht soweit gekommen! THX

    ich befürchte das für udp noch die funktion "float" gefehlt hat...
    Broadcasts brauche ich eigentlich hauptsächlich dafür, damit ich mal wieder
    alte spiele mit bekannten zocken kann, die zwar sowas wie "IPX / SPX" protokolle kennen, aber sowas wie internet noch nicht ;-)

    auch einige recht spezielle anwendungen wie wake on lan brauchen broadcasts...

    deswegen setze ich ja vor allem auf tap, da damit wohl ein bridgeing möglich ist, und alle clients in die gleiche ip - range packen kann. Aber da mach ich mich jetzt mal im Detail dran...

    Vielleicht kennt ja auch noch jemand im Detail das Thema bridging mit der Fritzbox...

    Viele Grüße,