OpenVPN-Paket

knox schrieb:
upps. danke für's bemerken und melden!
Gerne, wenn man sich so für die gute Arbeit ein gaaaanz klein wenig bedanken kann. (Ich war ja am Überlegen, ob ich nur zu blöd bin, weil ich nicht glaube konnte das das scheinbar so lange keiner wirklich benötigt hat...)

Nochmal Danke für die "schicke" Arbeit, vor allem weil die GUI (normalerweise ;-)) ja gerade hilft, solche "Schreib und Vergess-Fehler" in der Konfig zu eliminieren.


Jörg
 
mit FritzBox in Uni-WLAN einklinken?

Hallo zusammen,

ein Freund hat mich zu folgendem befragt:
Wenn er mit dem Laptop am Fenster seiner Wohnung steht, kann er über das WLAN der Uni surfen.
Das WLAN der Uni ist nicht mit WPA & Co verschlüsselt, stattdessen ist die Anmeldung per VPN-Client obligatorisch.

Wenn er seine Fritz!Box SL WLAN dazu bekommen könnte den Traffic über das Uni-Netz zu routen, könnte er sich das DSL sparen.


Meine Ideen waren folgende:
Der openVPN Client auf der FB authentisiert sich bei dem VPN-Server der Uni und leitet allen Traffic des LAN über diesen Tunnel.
Auf der Universitäts-Homepage kann man sich auch einen Linux-Client von Cisco runterladen. Und dafür ein VPN-Profil der Uni als .pcf-Datei inklusive verschlüsseltem GroupPassword.
Kann man dieses GroupPassword im openVPN-Client verwenden, oder ist es ein anderes Verfahren?
Muss man den openVPN-Client erst als Cisco VPN-Client "tarnen"?
In jedem Fall müsste sich die FB wie ein WLAN-Stick verhalten und mithilfe der SSID der Uni sich in deren WLAN einwählen.
Geht sowas?

Oder die andere Idee:
FritzBox als (WDS)-Repeater für das Uni-WLAN konfigurieren. Und dann müssen sich die Rechner in der Wohnung jeweils noch den VPN-Client laufen haben.

Vielleicht kommen euch diese Überlegungen sehr verquer vor, aber ich kann euch garantieren, dass es für solch eine Lösung dankbare Abnehmer geben würde in vielen Universitäts- (oder FH-) Städten.

Schöne Grüße
WW
 
Meine Antworten werden OT sein. Darauf will ich dich auch hinweisen. Das Thema passt hier gar nicht rein! Deswegen ein eigenes Thema außerhalb von ds-mod und OpenVPN aufmachen.

1. Du brauchst eine Box, die WLAN-mäßig Client-Modus unterstützt. Mit Fritz!Box ist es schwer bzw. gar nicht zu machen. Dafür empfehle ich dir Linksys Router. Z.B. WRT54G. Stammt übrigens von Cisco und ist auch Linux-Basiert. Dafür gibt es ganz viele Mods, z.B. OpenWRT usw. Der hat auch externe Antenneanschlüße, sodass man eine externe Antenne anschließen kann. Ich hatte das Ding zeitlang an einem Uni-Netz als Client betrieben. Danach aber doch zu DSL gewechselt....

2. OpenVPN hat mit Cisco und anderen VPNs gar nicht zu tun. Bitte auf OpenVPN Seite sich informieren lassen.

3. Cisco VPN ist eine Geschichte für sich. Deswegen vergibt die Uni eigene Clients dafür. Ich bezweifele, dass es zur Zeit von der Fritz!Box in irgendeiner Weise unterstützt wird.

Und bitte keine Diskussion hier. Es ist wirklich off topic.

MfG
 
Zuletzt bearbeitet:
Hallo,

nochmal OT:
hermann72pb schrieb:
3. Cisco VPN ist eine Geschichte für sich. Deswegen vergibt die Uni eigene Clients dafür. Ich bezweifele, dass es zur Zeit von der Fritz!Box in irgendeiner Weise unterstützt wird.
Möglicherweise mit VPNC aus dem DS-MOD. Suche mal danach, das hatten wir schon öfter.
//OT off

Viele Grüße

Frank
 
Hallo zusammen,
endlich hab ich jetzt OpenVPN zum Laufen bekommen, nachdem ich von der AVM-VPN-Labor zu ECO gewechselt bin. Jetzt aber doch noch ein paar Fragen:
1) Der Ping durchs VPN ist ca. 60, der übers Internet nur 13. Mit der AVM-Lösung hatte ich immerhin noch 19. Woran liegt das und kann ich es verbessern?
2) Bei einem testweisen FTP-Upload hab ich maximal 30KB/s erreicht. Ein testweises "top" hat extreme CPU-Auslastung durch OpenVPN ergeben. Auch hier wieder die Frage ob das denn normal ist.
3) Verbindung geht nur über TCP, nicht über UDP. Ist das langsamer und ist es logisch dass genau die gleichen Einstellungen nur für TCP klappen?
4) Ich verwende einen 2048Bit Static Key (vor langer Zeit mal online bei the-construct.net erzeugt). Ist das vielleicht etwas viel? Wie könnte ich einen kürzeren selbst erstellen oder gleich auf Zertifikate umsteigen?

Tja leider ne Menge Fragen. Leider gibt das Wiki nicht viel her. Wäre dankbar für jede Antwort! :)

Gruß
Simon
 
HolyPetrus schrieb:
3) Verbindung geht nur über TCP, nicht über UDP. Ist das langsamer und ist es logisch dass genau die gleichen Einstellungen nur für TCP klappen?

Das könnte dein Problem sein. Denn TCP over TCP baut quasi einen doppelten Header im Paket. Dadurch stimmen die MTU-Werte nicht mehr und bedürfen eine Anpassung. Vor allem bei den Down- und Uploads von großen Dateien kommt es dazu, dass große TCP-Pakete verloren gehen und mehrmals wiederholt gesendet werden. Ich will nicht sagen, dass TCP gar nicht geht. Ich will dir damit nur klar machen, dass es relativ schwierig ist OpenVPN über TCP vernünftig zum Laufen zu bekommen.

Warum klappt es denn nicht über UDP? Kannst du auf beiden Seiten die Firewalls beeinflussen? Wenn nicht, kannst du z.B. UDP Port 53 für OpenVPN missbrauchen. Dann musst du es auf der ServerBox umbiegen 53 -> 1194, oder Config anpassen.

MfG
 
Die beiden Fritzboxen sind ganz normale Router für zuhause, die Firewall stellt also kein Problem dar. Aber aus irgend einem Grund lief UDP nicht, nach einigem Probieren brachte TCP das VPN zum laufen. Aber optimal ist es nicht.

ist die zertifikatgröße von 2048 bit wirklich normal? das scheint mir recht paranoid zu sein...
 
Zuletzt bearbeitet:
Überprüfe bitte nochmal ar7.cfg auf dem Server. Steht da wirklich UDP in der Portfreigabe? Als UDP läuft es auf alle Male. Wo du das Problem hast, weiß ich nicht.

2048 bit ist normal. Ich habe keine Probleme damit.

Und behalte bitte trotzdem im Hinterkopf, dass Fritz!Box nur ein kleiner Rechner mit einem relativ langsamen Prozessor ist. Jemand hat hier im Forum schon mal versucht Videos per OpenVPN zu tunneln. Das Ganze hat an die Grenzen der Rechenleistung der Box gestoßen.

MfG
 
OK, ich hab nochmal alles mögliche durchprobiert an Ports. Auch UDP 53.

Code:
"tcp 0.0.0.0:8080 192.168.2.10:8080 0 # UT2004 Web
                              "udp 0.0.0.0:53 169.254.1.1:1194 0 # OpenVPN UDP",
                              "tcp 0.0.0.0:53 169.254.1.1:1194 0 # OpenVPN TCP";
               shaper = "globalshaper";
       }
 {
       enabled = yes;
das ist der betreffende Abschnitt in der ar7.cfg. Sind halt die beiden letzten Forwardingrules. Bei jedem Port funktioniert TCP, nicht aber UDP. Und das bei ansonsten identischer Konfiguration. Ich bin wirklich etwas ratlos...
 
überprüfe mal bitte deine ar7.cfg.
Ich weiß nicht, ob es daran liegt, oder ob es ein tippfehler oder so ist, aber hinter der Zeile
"tcp 0.0.0.0:8080 192.168.2.10:8080 0 # UT2004 Web
fehlt meiner meinung nach ein ",
Checke das mal bitte, ich weiß nicht ob dadruch vielleicht der eintrag mit udp ungültig ist.
 
ups, das wurde merkwürdig von putty kopiert. in wirklichkeit folgt noch ein komma und auch " davor.
 
Erstens, ich würde in ar7.cfg die Zeile einfügen, selbst wenn du Port 53 benutzt:
Code:
"udp 0.0.0.0:1194 169.254.1.1:1194 0 # OpenVPN UDP"
Mein Tipp mit UDP Port 53 galt nur, wenn du eine sehr konservative Firmen-Firewall umgehen willst. In deinem Fall brauchst du es nicht, denn Port 53 wird auch für DNS benutzt, und man sollte ihn nicht "umbiegen", wenn es normal geht. Dein Problem scheint irgendwo anders zu liegen.

Zweitens. Was soll bei dir eigentlich die Adresse 169.254.1.1? Ich lese aus der bevorstehenden Regel in deiner ar7.cfg, dass deine Box im 192.168.2.0 Netz liegt und wahrscheinlich auch auf 192.168.2.1 hörcht. Ich würde die Regel auf dem Server so schreiben:
Code:
"udp 0.0.0.0:1194 192.168.2.1:1194 0 # OpenVPN UDP"
Auf dem Client brauchst du nichts aufzumachen.

Und drittens. Nimm bitte diese GUI-Mässige Kommentare da weg. Ich meine mich erinnern zu haben, dass die nur stören. Angezeigt kriegst du es dadurch im GUI sowieso nicht, sobald da die Box-Adresse in deiner Regel steht. Also:
Code:
"udp 0.0.0.0:1194 192.168.2.1:1194"

MfG
 
Nun, 169.254.1.1 ist die neue Fallback-Adresse der Fritzbox seitdem die ECO Final ist. Die TCP-Weiterleitung auf diese Adresse funktioniert ja.
Und die Kommentare werden vom AVM-Webinterface so eingetragen.

Hab das Problem jetzt aber "gelöst", indem ich auf meinem Homeserver OpenVPN installiert hab und das VPN darüber laufen lasse. Musste ich hat 2 Static Routes in der Fritzbox setzten. Auf dem Homeserver hat es aber auch auf Anhieb mit UDP geklappt. :)

Trotzdem vielen Dank für die Hilfe aus dem Forum!
 
HolyPetrus schrieb:
Code:
"udp 0.0.0.0:1194 169.254.1.1:1194 0 # OpenVPN UDP"

Ok, obwohl Du Dein Problem ja schon gelöst hast, noch folgende Anmerkung. Die obige Zeile scheint mir suboptimal, da das ja eine Portweiterleitung einrichtet auf die angegebene Adresse. Wenn das OpenVPN auf der Box selbst läuft, sollte man den Port nur "freischalten", indem man
Code:
"udp 0.0.0.0:1194 [b]0.0.0.0[/b]:1194 0 # OpenVPN UDP"
benutzt. (Geht natürlich nicht via WebInterface) Damit ist man bei allen UDP-basierten Programmen auf der sicheren Seite. HIntergrund ist das Handling der Absender-IP-Adressen zwischen OpenVPN und Linuxkernel, was u.U. dazu führt, dass der Kernel die IP-Paket nicht korrekt zurückschicken kann.

PS: Du verwendest einen "geheimen" Schlüssel, den Du von einer Webseite runtergeladen hast? Coool ;-)
 
derheimi schrieb:
PS: Du verwendest einen "geheimen" Schlüssel, den Du von einer Webseite runtergeladen hast? Coool ;-)

Oho, ich glaube der Entwickler wird sich bei 1&1 einhacken und meine damalige IP meinem Namen zuordnen und mich dann im Internet ausfindig machen und sich ins VPN einhacken... ^^
Mal ehrlich, bei professioneller Benutzung eines VPN ist ein hoher Sicherheitsstandard angebracht, nicht aber im privaten Bereich.
 
Hallo.

Ich habe auf meiner 7050 (fw 14.04.33) den neuesten dsmod (0.2.9_26-14) aufgespielt.
Per downloader wird das openvpn Paket von einem http Server nachgeladen.
Das funktioniert soweit auch ganz gut... der Dienst wird als gestartet angezeigt im Webinterface.

Stelle ich das Paket auf Zertifikate um, kann ich den Dienst nicht mehr starten. Es erscheint nur noch: "Starting OpenVPN ...failed." im Webinterface.

Ich habe schon diverse Einträge hier im Forum gelesen, aber nichts was so richtig passt. Kennt jemand diese Fehlermeldung und weiß Rat? Muss ich evtl Zertifikate vorher erstellen und integrieren?

Gruß
molfi

Edit: Laborfirmware für die 7050 gibt es ja gar nicht. Daher Beitrag richtig gestellt. Sorry.
 
Zuletzt bearbeitet:
Naja. Den Schlüssel würde ich schon selbst erzeugen. Mit OpenVPN GUI geht es sogar unter Windows mit ein Paar Mausklicks. Der gemeinsame Schlüssel ist schon eine Abschwächung und eine deutliche Vereinfachung der Geschichte. Im professionellen Berech würde man mit Zertifikatten und Schlüsselpaaren arbeiten.

Aber lass uns mal beim Thema bleiben und diese Diskussion beenden.

MfG
 
kurze frage @molfi: wie hast du die 14.0.33 auf der 7050 mit dsmod zum laufen gekriegt? gibts da patches?
 
@molfi: Mit Zertifikatten hatte ich den Downloader nicht ausprobiert.
Muss es denn gleich Labor sein? Sonst wird die Fehlersuche deutlich schwieriger.
Meine Vermutungen:
1. Es kann sein, dass irgendeine Bibliothek, die gerade für Zertifikate benötigt wird nicht geladen oder nicht richtig verlinkt ist, als du das Image erstellt hast
2. Du hast nicht alle Zertfikate konfiguriert, oder sonst irgendein Dreher in der Konfiguration
3. Es geht nicht wegen Labor

Ich würde nicht gleich aufgeben mit dem Umstieg auf AVM VPN...

MfG
 
@HolyPetrus: Die Firmware ist die 14.04.33. Ich habe sie ohne Patches installieren können. Oder was meinst Du genau? ... die Anzahl der Pakete und wie sie ins Image passen?

@hermann72bp: Sorry, Falscheintrag mit der Laborfirmware (gibts nur für die 7170). Daher kann es nicht an einer Labor oder beta Firmware liegen.

Das mit den Zertifikaten macht mir noch Kopfzerbrechen. Ich werde erst einmal schauen, wie ich sie generieren kann.

Für weitere Vorschläge bin ich immer offen.

Gruß
molfi
 
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.