.titleBar { margin-bottom: 5px!important; }

OpenVPN treibt mich in den Wahnsinn...

Dieses Thema im Forum "Freetz" wurde erstellt von koshi, 29 Jan. 2009.

  1. koshi

    koshi Neuer User

    Registriert seit:
    16 Apr. 2006
    Beiträge:
    8
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Nabend zusammen,

    ich habe die Tage mal den ganzen alten Sermus mit Eumex 300 ds-mod und so entsorgt und gegen nen schoenen Speedport 920 getauscht.

    Erstmal FritzBox Firmware drauf und dann das neue freetz.

    Tut soweit auch alles, aber dann dachte ich mir, wie cool es waere das ganze per OpenVPN ans Firmennetz anzubinden, damit ich meinen SIP Account in der Telefonanlage dort hier mit den DECT Geräten nutzen kann.

    Allerdings scheitere ich an der Konfiguration...

    Ueber das Webfrontend von freetz hab ichs gar nicht hinbekommen, weil keine Ahnung, wo das welches Zertifikat hin soll...

    Ich hab dann einfach alles per SCP draufkopiert, die Pfade angepasst und openvpn ueber ssh direkt gestartet. Es funktioniert aber nicht. Ich hab mich dann etwas eingelesen und festgestellt, das es wohl an der Firewall der FritzBox liegt. Ich habe dann der Netzwerkkarte eine zweite IP zugewiesen und versucht, es darueber zu forwarden - Brachte aber keinen Erfolg.

    Anschliessend hab ich die Methode mit der ar7-config ausprobiert - Selbes Ergebnis.

    Thu Jan 29 23:38:55 2009 Socket Buffers: R=[108544->131072] S=[108544->131072]
    Thu Jan 29 23:38:55 2009 UDPv4 link local: [undef]
    Thu Jan 29 23:38:55 2009 UDPv4 link remote: xxx.xxx.xxx.xxx:1194

    Danach ist Ende.

    Was kann ich noch probieren?

    Gruss

    koshi
     
  2. MaxMuster

    MaxMuster IPPF-Promi

    Registriert seit:
    1 Feb. 2005
    Beiträge:
    6,919
    Zustimmungen:
    0
    Punkte für Erfolge:
    36
    Moin,

    bist du beim Einlesen auch zufällig im Freetz-Wiki gewesen? Wenn die dortige Beschreibung der Zertifikate und Zuordnungen falsch oder unklar ist, wäre es gut, wenn du das ändern könntest.

    Ich lese aus deinem Post, dass du einen Client auf der Box nutzen willst? Dann sind keinerlei Einstellungen im Portforwarding bzw. in der Firewall nötig, weil die Box selbst ja die Verbindung initiiert und nicht als Server auf eingehende Verbindungen lauschen soll.

    Ohne die relevanten Configs des Servers und deine Clientconfig (und ggf das komplette Startlog) wird dir wohl keiner helfen können (IPs und Zertifikatinterna natürlich aus-x-en)...

    Jörg
     
  3. koshi

    koshi Neuer User

    Registriert seit:
    16 Apr. 2006
    Beiträge:
    8
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Richtig, es geht mir um den Client-Betrieb.

    Auf den Server habe i
    ch leider keinen Zugriff, von daher kann ich die Config hier nicht beibringen - Aber wie gesagt, mit anderen Clients (Laptop, PCs) läuft die Verbindung problemlos (Lustigerweise auch, wenn die Clients hier im LAN hinter der Box haengen...)

    Die Client-Config sieht so aus:

    client
    dev tun
    proto udp
    remote xxx.xxx.xxx.xxx 1194
    resolv-retry infinite
    nobind
    persist-key
    persist-tun
    ca /var/tmp/flash/xxx/ca.crt
    cert /var/tmp/flash/xxx/xxx.crt
    key /var/tmp/flash/xxx/xxx.key
    tls-auth /var/tmp/flash/xxx/ta.key
    route-method exe
    route-delay
    comp-lzo
    verb 3


    Was er tut ist das hier:

    /var/tmp/flash/xxx # openvpn --config xxx.ovpn
    Fri Jan 30 10:51:25 2009 OpenVPN 2.1_rc15 mipsel-linux [SSL] [LZO2] [EPOLL] built on Jan 27 2009
    Fri Jan 30 10:51:25 2009 WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
    Fri Jan 30 10:51:25 2009 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
    Fri Jan 30 10:51:25 2009 WARNING: file '/var/tmp/flash/xxx/xxx.key' is group or others accessible
    Fri Jan 30 10:51:25 2009 WARNING: file '/var/tmp/flash/xxx/ta.key' is group or others accessible
    Fri Jan 30 10:51:25 2009 Control Channel Authentication: using '/var/tmp/flash/xxx/ta.key' as a OpenVPN static key file
    Fri Jan 30 10:51:25 2009 Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
    Fri Jan 30 10:51:25 2009 Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
    Fri Jan 30 10:51:25 2009 LZO compression initialized
    Fri Jan 30 10:51:25 2009 Control Channel MTU parms [ L:1542 D:166 EF:66 EB:0 ET:0 EL:0 ]
    Fri Jan 30 10:51:25 2009 Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:0 EL:0 AF:3/1 ]
    Fri Jan 30 10:51:25 2009 Socket Buffers: R=[108544->131072] S=[108544->131072]
    Fri Jan 30 10:51:25 2009 UDPv4 link local: [undef]
    Fri Jan 30 10:51:25 2009 UDPv4 link remote: 87.193.149.99:1194


    Danach passiert nichts mehr - Nach einer gewissen Zeit versucht ers nochmal neu, aber mit dem selben Ergebnis.

    Die Anleitung schau ich mir nachher mal an.

    Danke
     
  4. MaxMuster

    MaxMuster IPPF-Promi

    Registriert seit:
    1 Feb. 2005
    Beiträge:
    6,919
    Zustimmungen:
    0
    Punkte für Erfolge:
    36
    #4 MaxMuster, 30 Jan. 2009
    Zuletzt bearbeitet: 30 Jan. 2009
    Moin,

    folgende Punkte fallen mir auf:

    - Die "Windowsbefehle" könnten weg (route-method exe )
    - Es fehlt das "pull", da in der Serverconfig vermutlich Dinge ge-push-ed werden (z.B. IP, da kein ifconfig vorhanden ist)
    - Die Zeile "tls-auth" nutzt oft am Ende eine Ziffer (direction), die von der Servereinstellung abhängt (also tls-auth /var/tmp/flash/xxx/ta.key 1 oder tls-auth /var/tmp/flash/xxx/ta.key 0, beim Client die 1, wenn beim Server 0 steht und andersrum). Ist das beim Server wirklich auch "leer"?

    Jörg
     
  5. koshi

    koshi Neuer User

    Registriert seit:
    16 Apr. 2006
    Beiträge:
    8
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Wie doof kann man eigentlich noch sein?

    Ich hab die Einträge ja angepasst, weil die Dateien an anderen Stellen liegen und dabei die "1" gekillt.

    Manchmal wuerd man sich am liebsten in Luft auflösen....

    Vielen Dank dir jedenfalls =)