OpenVPN Site-to-End über FBF 7050

[Ingenieur]

Hallo IP-Phone-Forum Gemeinde,

ich beabsichtige per OpenVPN eine Site-to-End Verbindung mit dem Laptop (WinXP) von der UNI aus zu mir nach Hause auf die FBF 7050 aufzubauen. Da ich mein eigener und einziger Client bin, reicht eine Static Key Lösung völlig aus. Zur Vorbereitung habe ich mir den wohl allseits bekannten Tecchannel-Beitrag und das halbe Forum durchgelesen.
In die Box wurden bereits die Server für Telnet, FTP und OpenVPN integriert und getestet. Ebenso wurde auf dem Laptop die OpenVPN Software von www.openvpn.se installiert. Ein DynDSN Konto wurde erstellt und in die FBF übernommen, die Fritzbox IP auf 192.168.100.1 abgeändert und Port 1194 sowohl für UDP als auch für TCP freigegeben.
Nun das essentielle, die Configs (Sicherheitsrelevante Stellen sind mit x zensiert):

SERVER:

### Start des Telnet Daemons
/usr/sbin/telnetd -l /sbin/ar7login
### Internet Verbindung anregen
while !(ping -c 1 www.google.de);do
sleep 10
done
### Installation des FTP-Servers
cd /var/tmp
wget http://www.xxxxxxx.de/fritzbox/bftpd.conf
wget http://www.xxxxxxx.de/fritzbox/bftpd
chmod +x bftpd 
chmod 777 bftpd.conf 
### User und Passwort-Hash fuer FTP Zugang
echo "xxxxx:xxxxxxxxxxxxxxx:0:root:/:null" >> /var/tmp/passwd
/var/tmp/bftpd -d -c /var/tmp/bftpd.conf
### Schreibt den VPN Key
cat > /var/tmp/static.key << 'ENDSECRETKEY'


#
# 2048 bit OpenVPN static key
#
-----BEGIN OpenVPN Static key V1-----

xxxxxxxxxxxxxxxxxxxxxxxxxxxx
xxxxxxxxxxx KEY xxxxxxxxxxxx
xxxxxxxxxxxxxxxxxxxxxxxxxxxx

-----END OpenVPN Static key V1-----

ENDSECRETKEY

### Schreibt die VPN Config
cat > /var/tmp/openvpn.conf << 'END-SERVER-OVPN'
#
dev-type tun
ifconfig 10.0.0.1 10.0.0.2
secret /var/tmp/static.key
dev-node /dev/misc/net/tun
tun-mtu 1400
fragment 1300
mssfix
comp-lzo
ping 15
ping-restart 60
ping-timer-rem
persist-tun
persist-key

END-SERVER-OVPN

### OpenVPN herunterladen
wget http://www.xxxxxxxxxx.de/fritzbox/openvpn
# ausfuehrbar machen
chmod +x /var/tmp/openvpn
chmod 0600 /var/tmp/openvpn.conf
chmod 0600 /var/tmp/static.key
# OpenVPN starten
/var/tmp/openvpn --cd /var/tmp --daemon --config openvpn.conf

### Ende

CLIENT:

disable-occ

remote xxxxxxx.homeunix.com
float

dev tun
tun-mtu 1400
ifconfig 10.0.0.2 10.0.0.1
route 192.168.100.0 255.255.255.0
fragment 1300
mssfix
secret static.key
ping-restart 60
persist-tun
persist-key
ping 15
comp-lzo

Will ich nun eine Verbindung mit dem Client zum Server aufbauen, läuft das Script ab und die Anzeige in der Tray wird grün aber das wars auch schon. Ich kann die FBF weder anpingen noch sehe ich etwas in der Netzwerkumgebung. Was muss ich im übrigen beim TAP-Win32 Adapter bei der MTU einstellen? Ich hoffe ihr könnt mir weiterhelfen, wäre euch sehr dankbar dafür. Im Anhang noch ein Auszug der Verbindungsrouten des Clients.

 

[doc456]

Moin,
vielleicht solltest du dich an die Uni-Admins wenden, eventuell läßt der Server dich nicht raus/rein.
So wie ich gesehen hab, sind die Uni-Server bei 1.96 und 1.97.
1.96 als Gateway und deine ist die 1.97.42 (Zugeteilt von den Admins?)
Dann kann es ja nicht funktionieren, oder?

 

[Ingenieur]

Ja, die IP's werden per DHCP verteilt. Die Ports an der Uni sind alle geblockt, was ja aber eigentlich kein Problem darstellen sollte, da ich ja von dort aus eine Verbindung aufbaue, oder liege ich da falsch?
Muss ich das Standardgateway ändern, wenn ja wie? Ich steige bei diesen Gateways noch nicht so ganz durch.

 

[doc456]

Wenn du sagst, das alle Uni-Ports geblockt werden und du schreibst oben

...Port 1194 sowohl für UDP als auch für TCP freigegeben.

wie sollte da der Tunnel zur Uni denn zustande kommen?
Zudem bist du nie sicher, welche IP du beim nächsten Hochfahren des Lappis bekommst, also müßtest du jedes mal die IP im Script ändern.

Frag doch bitte die Uni-Admins, wie du dich verhalten sollst, ob es geht und die werden dir dann eventuell eine feste IP geben.
Bedenke bitte: Es wird oft nicht gern gesehen und gibt nachher Ärger, O.K.?

 

[Ingenieur]

Die Portfreigabe bezog sich nur auf die FBF. Ich dachte eigentlich das ich von überall einen VPN Tunnel aufbauen kann, unabhängig vom Standort und der zugewiesenen IP.
Angenommen die oben genannte IP der Uni wäre fest zugewiesen, wie müsste ich dann die Configs abändern?

 

[doc456]

Hallo,
sorry ich bin gleich wieder weg, deshalb machen wir es bitte so: du schaust dir die Dateien des Zip mal an ( hier ) und vergleichst, wie flunki das gemacht hat, O.K.?
Denk dran, die openvpn ist das script, das kannst du nicht mit einem Texteditor lesen. Schau auch in die ar7 und die debug...

Hier kannst du auch noch mal lesen: http://www.ip-phone-forum.de/showpost.php?p=531364&postcount=192
oder hier
http://www.ip-phone-forum.de/showpost.php?p=531364&postcount=192

 

[Ingenieur]

Danke für deine Hilfe. Hab es jetzt mit Zertifikaten und nicht mit static Key gemacht. Es funktioniert hervorragend, FB anpingen, einloggen per Telnet, und sogar das Webinterface.

Aber wie kann ich PC's im Netzwerk hinter der FB erreichen (Gleiche IP-Range wie FB 192.168.100.xx). Wenn ich meinen Home-PC anpinge bekomme ich keine Antwort. Habe in der Firewall der FB udp 0.0.0.0 1194 192.168.100.20 1194 freigegeben.

 

[Ingenieur]

Also so langsam nähere ich mich dem Problem. Ich hatte zu Beginn die fertigen Config Dateien aus Post Nr.6 genommen, welche folgende Besonderheiten aufwiesen:

Server Config Ausschnitt (server.ovpn):

server-bridge 192.168.100.1 255.255.255.0 192.168.100.140 192.168.100.150

und Server Firewall Config Ausschnitt (ar7.cfg):

# Bei brinterfaces (zeile interfaces) per nvi das tap0 eingefuegt

        brinterfaces {
                name = "lan";
                dhcp = no;
                ipaddr = 192.168.100.1;
                netmask = 255.255.255.0;
                dstipaddr = 0.0.0.0;
                interfaces = "tap0", "eth0", "usbrndis", "eth1", "tiwlan0", 
                                 "wdsup0", "wdsdw0", "wdsdw1", "wdsdw2", "wdsdw3";
                dhcpenabled = yes;
                dhcpstart = 192.168.100.20;
                dhcpend = 192.168.100.200;
        } {

Mit dieser Configuration konnte ich wie im Post zuvor erwähnt auf die FBF zugreifen, anpingen etc. aber nicht auf das Netzwerk dahinter zugreifen per Netzwerkumgebung!

Daraufhin habe ich die Config an Hellspawn's Anleitung angepasst mit:
Server Config Ausschnitt (server.ovpn):

server 10.0.0.0 255.255.255.0

und der gleichen ar7.cfg wie oben.
Jetzt kann ich in Windows über die Netzwerkumgebung auf PC's hinter der FBF zugreifen aber weder diese noch die FBF anpingen????

Nehme ich aus der oberen ar7.cfg das "tap0" wieder raus habe ich zwar keinen Kontakt mehr über die Netzwerkumgebung kann aber die FBF und PC's dahinter anpingen und mich dort einloggen.


Wo liegt der Fehler?

 

[doc456]

Moin,

vielleicht hilft dir das hier weiter. Er hat das etwas anders gelöst.

Die Suchfunktion, mit den richtigen Keywords, befördert aber auch ne Menge zu Tage.

 

[Ingenieur]

Dein Link hilft mir nicht wirklich weiter, er verwirrt mich nur noch mehr. Ich habe alles so gemacht wie in Hellspawns Anleitung. Nur der Unterschied von einem eingefügten "tap0" entscheided darüber ob ich das Netzwerk anpingen oder über die Netzwerkumgebung darauf zugreifen kann.

Fühl dich bitte nicht angegriffen aber da ich seit ca. 10 Jahren das Internet nutze weis ich sehr wohl wie man Suchfunktionen benutzt. Ich poste nur wenn ich selbst das Problem nicht lösen kann und bisher konntest auch du meine Fragen nicht konkret beantworten. Trotzdem bin ich dir für deine Hilfe sehr dankbar!

 

[doc456]

Hallo,
sorry, hab leider z.Zt. wenig Zeit und da ich die VPN im Homeoffice hatte und einen FP-Crash beheben mußte, stehen auch meine Configs nicht zur Verfügung, so daß ich dir nicht sagen kann, wie ich es gelöst hatte.
Du hast dir doch die Zip von Flunki gezogen, hast du den Thread mal gelesen?
Schick Frank (Flunki) doch mal eine PN mit einem Gruß von mir, er wird dir sicher weiterhelfen.

 

[flunki]

Also so langsam nähere ich mich dem Problem. Ich hatte zu Beginn die fertigen Config Dateien aus Post Nr.6 genommen, welche folgende Besonderheiten aufwiesen: . . .

Falls du dich verrannt hast kanst du ja mal deine server und client *.ovpn, die ar7cg, debug.cfg . . . hier als Datei anhaengen.

Gruss Frank

 

[doc456]

Moin,

@Frank: Danke! Hab echt wenig Zeit, Sorry!

 

[Ingenieur]

Im Anhang sind jetzt alle relevanten Daten vorhanden. Die Sicherheitskritischen Stellen sind natürlich mit einem "x" zensiert. Ich hoffe du kannst mir weiterhelfen.

 

[Ingenieur]

Ahhh, es funktioniert! An den zuvor geposteten Einstellungen habe ich allerdings nichts mehr geändert. Vielen Dank doc456 und flunki für eure Hilfe und die Config-Beispiele.

Nur noch eine Frage, kann ich auf die Datei brctl völlig verzichten oder muss ich sie trotzdem runterladen?

 

[flunki]

Bei meiner 7170 lief brctl schon und da du das tap interface in der ar7cfg schon in der bridge hast: Bin der Meinung das du es nicht brauchst.

Auch hier gilt wie so oft: versuch macht Kluch. Einfach mal die einzelnen Befehle per Telnet zeilenweise abarbeiten. Dann siehst du auch wo es Mecker gibt.

P.S.: Solltest du auf deiner FB irgendwann mal DHCP enablen dann solltest du den Bereich von 20-200 auf 20-139 einschraenken da dein "VPN-DHCP" von 140-150 geht.

Gruss Frank