OpenVPN treibt mich in den Wahnsinn...

[koshi]

Nabend zusammen,

ich habe die Tage mal den ganzen alten Sermus mit Eumex 300 ds-mod und so entsorgt und gegen nen schoenen Speedport 920 getauscht.

Erstmal FritzBox Firmware drauf und dann das neue freetz.

Tut soweit auch alles, aber dann dachte ich mir, wie cool es waere das ganze per OpenVPN ans Firmennetz anzubinden, damit ich meinen SIP Account in der Telefonanlage dort hier mit den DECT Geräten nutzen kann.

Allerdings scheitere ich an der Konfiguration...

Ueber das Webfrontend von freetz hab ichs gar nicht hinbekommen, weil keine Ahnung, wo das welches Zertifikat hin soll...

Ich hab dann einfach alles per SCP draufkopiert, die Pfade angepasst und openvpn ueber ssh direkt gestartet. Es funktioniert aber nicht. Ich hab mich dann etwas eingelesen und festgestellt, das es wohl an der Firewall der FritzBox liegt. Ich habe dann der Netzwerkkarte eine zweite IP zugewiesen und versucht, es darueber zu forwarden - Brachte aber keinen Erfolg.

Anschliessend hab ich die Methode mit der ar7-config ausprobiert - Selbes Ergebnis.

Thu Jan 29 23:38:55 2009 Socket Buffers: R=[108544->131072] S=[108544->131072]
Thu Jan 29 23:38:55 2009 UDPv4 link local: [undef]
Thu Jan 29 23:38:55 2009 UDPv4 link remote: xxx.xxx.xxx.xxx:1194

Danach ist Ende.

Was kann ich noch probieren?

Gruss

koshi

 

[MaxMuster]

Moin,

bist du beim Einlesen auch zufällig im Freetz-Wiki gewesen? Wenn die dortige Beschreibung der Zertifikate und Zuordnungen falsch oder unklar ist, wäre es gut, wenn du das ändern könntest.

Ich lese aus deinem Post, dass du einen Client auf der Box nutzen willst? Dann sind keinerlei Einstellungen im Portforwarding bzw. in der Firewall nötig, weil die Box selbst ja die Verbindung initiiert und nicht als Server auf eingehende Verbindungen lauschen soll.

Ohne die relevanten Configs des Servers und deine Clientconfig (und ggf das komplette Startlog) wird dir wohl keiner helfen können (IPs und Zertifikatinterna natürlich aus-x-en)...

Jörg

 

[koshi]

Richtig, es geht mir um den Client-Betrieb.

Auf den Server habe i
ch leider keinen Zugriff, von daher kann ich die Config hier nicht beibringen - Aber wie gesagt, mit anderen Clients (Laptop, PCs) läuft die Verbindung problemlos (Lustigerweise auch, wenn die Clients hier im LAN hinter der Box haengen...)

Die Client-Config sieht so aus:

client
dev tun
proto udp
remote xxx.xxx.xxx.xxx 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca /var/tmp/flash/xxx/ca.crt
cert /var/tmp/flash/xxx/xxx.crt
key /var/tmp/flash/xxx/xxx.key
tls-auth /var/tmp/flash/xxx/ta.key
route-method exe
route-delay
comp-lzo
verb 3


Was er tut ist das hier:

/var/tmp/flash/xxx # openvpn --config xxx.ovpn
Fri Jan 30 10:51:25 2009 OpenVPN 2.1_rc15 mipsel-linux [SSL] [LZO2] [EPOLL] built on Jan 27 2009
Fri Jan 30 10:51:25 2009 WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
Fri Jan 30 10:51:25 2009 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Fri Jan 30 10:51:25 2009 WARNING: file '/var/tmp/flash/xxx/xxx.key' is group or others accessible
Fri Jan 30 10:51:25 2009 WARNING: file '/var/tmp/flash/xxx/ta.key' is group or others accessible
Fri Jan 30 10:51:25 2009 Control Channel Authentication: using '/var/tmp/flash/xxx/ta.key' as a OpenVPN static key file
Fri Jan 30 10:51:25 2009 Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Fri Jan 30 10:51:25 2009 Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Fri Jan 30 10:51:25 2009 LZO compression initialized
Fri Jan 30 10:51:25 2009 Control Channel MTU parms [ L:1542 D:166 EF:66 EB:0 ET:0 EL:0 ]
Fri Jan 30 10:51:25 2009 Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:0 EL:0 AF:3/1 ]
Fri Jan 30 10:51:25 2009 Socket Buffers: R=[108544->131072] S=[108544->131072]
Fri Jan 30 10:51:25 2009 UDPv4 link local: [undef]
Fri Jan 30 10:51:25 2009 UDPv4 link remote: 87.193.149.99:1194


Danach passiert nichts mehr - Nach einer gewissen Zeit versucht ers nochmal neu, aber mit dem selben Ergebnis.

Die Anleitung schau ich mir nachher mal an.

Danke

 

[MaxMuster]

Moin,

folgende Punkte fallen mir auf:

- Die "Windowsbefehle" könnten weg (route-method exe )
- Es fehlt das "pull", da in der Serverconfig vermutlich Dinge ge-push-ed werden (z.B. IP, da kein ifconfig vorhanden ist)
- Die Zeile "tls-auth" nutzt oft am Ende eine Ziffer (direction), die von der Servereinstellung abhängt (also tls-auth /var/tmp/flash/xxx/ta.key 1 oder tls-auth /var/tmp/flash/xxx/ta.key 0, beim Client die 1, wenn beim Server 0 steht und andersrum). Ist das beim Server wirklich auch "leer"?

Jörg

 

[koshi]

Wie doof kann man eigentlich noch sein?

Ich hab die Einträge ja angepasst, weil die Dateien an anderen Stellen liegen und dabei die "1" gekillt.

Manchmal wuerd man sich am liebsten in Luft auflösen....

Vielen Dank dir jedenfalls =)