.titleBar { margin-bottom: 5px!important; }

OpenVPN und Freetz

Dieses Thema im Forum "Freetz" wurde erstellt von JeckyllHavok, 14 Nov. 2008.

  1. JeckyllHavok

    JeckyllHavok Neuer User

    Registriert seit:
    19 Nov. 2007
    Beiträge:
    32
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Servus zusammen,
    ich versuch deit Tagen ein VPN zwischen meinem Handy (WinMo mit OpenVPN CE) hinzubekommen.
    Leider Funzt das nicht so ganz. da ich auch nicht sehr viel Ahnung vom Thema habe.
    Einmal meine Server/client config, vielleicht kann mir ja hier jemand helfen:

    # OpenVPN 2.1 Config, Fri Nov 14 12:23:11 CET 2008
    dev tun
    secret /tmp/flash/static.key
    port 443
    ifconfig 10.8.0.0 10.8.0.1
    push "route 192.168.178.0 255.255.255.0"
    push "redirect-gateway"
    push "dhcp-option DNS 10.8.0.0"
    tun-mtu 1500
    mssfix
    verb 3
    daemon
    cipher BF-CBC
    comp-lzo
    keepalive 10 60


    und client:

    proto tcp-client
    dev tun
    secret "\\static.key"
    remote xxxxxxxxxxxxx (dynDNS hostname)
    port 443
    resolv-retry infinite
    nobind
    persist-key
    persist-tun
    mute-replay-warnings
    comp-lzo
    verb 3
    ifconfig 10.8.0.1 255.255.255.0
    tun-mtu 1500
    float
    mssfix
    keepalive 10 60
    cipher BF-CBC

    wär echt cool wenn mir jemand helfen könnte;)
     
  2. JeckyllHavok

    JeckyllHavok Neuer User

    Registriert seit:
    19 Nov. 2007
    Beiträge:
    32
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Noch als ergänzung:

    Fritz Box eigene IP: 192.168.178.10
    der komplette webtraffic des Handys soll über das VPN laufen
    port 443 in ar7.cfg ist freigeschaltet
     
  3. MaxMuster

    MaxMuster IPPF-Promi

    Registriert seit:
    1 Feb. 2005
    Beiträge:
    6,924
    Zustimmungen:
    0
    Punkte für Erfolge:
    36
    Hi,

    da sind gleich mehrere Dinge, die mir so auffallen:

    "ifconfig 10.8.0.0 10.8.0.1": prinzipiell ist das zwar zulässig, aber in Zusammenhang mit "ifconfig 10.8.0.1 255.255.255.0" geht es nicht (vermutlich wird das bei "tun" eh eine Fehlermeldung produzieren).
    Zunächst wird für dich die erste Variante prinzipiell wohl die richtige sein, in der die beiden IPs angegeben werden. Die müssen dann aber wechselseitig getauscht sein und ich würde aus Gründen der Klarheit auch 10.8.0.0 nicht nutzen, was mit einer Netz-IP verwechselt werden könnte. Mein Vorschlag:
    Server: "ifconfig 10.8.0.1 10.8.0.2" -- Client: "ifconfig 10.8.0.2 10.8.0.1"

    Du hast dann die Protokolle vermischt: Server nutzt (ohne Einstellung) den Standard UDP, der Client versucht, tcp zu erreichen. Du wolltest (wenn ich den Port so ansehe) vermutlich TCP? Was ist den in der ar7.cfg freigeschaltet? Der Server benötigt für TCP "proto tcp-server" (oder in der GUI einen Haken bei "TCP" ;-))


    Jörg
     
  4. JeckyllHavok

    JeckyllHavok Neuer User

    Registriert seit:
    19 Nov. 2007
    Beiträge:
    32
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Danke für die Antwort, hab nur ein neues Problem festgestellt, und zwar kann ich die openvpn.conf nicht verändern, nach dem abspeichern und dem Starten des Dienstes ist die Datei wieder im Ursprungszustand.
    Kann man dies iergendwie verhindern?
     
  5. MaxMuster

    MaxMuster IPPF-Promi

    Registriert seit:
    1 Feb. 2005
    Beiträge:
    6,924
    Zustimmungen:
    0
    Punkte für Erfolge:
    36
    Die Einstellungen werden über die GUI gemacht und aus den dort gemachten Einstellungen wird beim Starten die Config generiert. Willst du also was davon ändern, müsstest du die entsprechenden Einträge in der GUI vornehmen (und "übernehmen", natürlich ;-))

    Jörg
     
  6. JeckyllHavok

    JeckyllHavok Neuer User

    Registriert seit:
    19 Nov. 2007
    Beiträge:
    32
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Hey danke für die Antwort, kann ich dan also unter Zusatzparameter mit "" getrennt die verschiedenen Befehle eingeben?
     
  7. JeckyllHavok

    JeckyllHavok Neuer User

    Registriert seit:
    19 Nov. 2007
    Beiträge:
    32
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    So das hat schonmal geklappt (nicht mit "" sondern mit ; getrennt)

    Auf dem Client tut sich was ( unter TAP adapter steht in Benutzung) und es öffnet sich ein Reiter mit dem Namen der Verbindung.

    Aber ansonsten tut sich nichts weder zeigt er mir den Status an noch sonst etwas. Hier einmal die Client Log::

    Fri Nov 14 16:41:46 2008 OpenVPN 2.1_rc13 Win32-MSVC++ [SSL] [LZO2] built on Oct 11 2008
    Fri Nov 14 16:41:46 2008 MANAGEMENT: TCP Socket listening on [undef]:10000
    Fri Nov 14 16:41:46 2008 Need hold release from management interface, waiting...
    Fri Nov 14 16:41:46 2008 MANAGEMENT: Client connected from [undef]:10000
    Fri Nov 14 16:41:46 2008 Using Windows Connection Manager with destination 'auto' resolving to provider guid {436EF144-B4FB-4863-A041-8F905A62C572} (exclusive)
    Fri Nov 14 16:41:46 2008 Acquisition of Windows Connection Manager provider succeeded...
    Fri Nov 14 16:41:46 2008 Static Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
    Fri Nov 14 16:41:46 2008 Static Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
    Fri Nov 14 16:41:46 2008 Static Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
    Fri Nov 14 16:41:46 2008 Static Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
    Fri Nov 14 16:41:46 2008 LZO compression initialized
    Fri Nov 14 16:41:46 2008 MANAGEMENT: >STATE:1226677306,RESOLVE,,,
    Fri Nov 14 16:41:47 2008 WARNING: potential TUN/TAP adapter subnet conflict between local LAN [10.0.0.0/255.0.0.0] and remote VPN [10.8.0.2/255.255.255.255]
    Fri Nov 14 16:41:47 2008 MANAGEMENT: >STATE:1226677307,ASSIGN_IP,,10.8.0.2,
    Fri Nov 14 16:41:47 2008 TAP-WIN32 device [TAP1:] opened: TAP1:
    Fri Nov 14 16:41:47 2008 TAP-Win32 Driver Version 9.4
    Fri Nov 14 16:41:47 2008 TAP-Win32 MTU=1500
    Fri Nov 14 16:41:47 2008 Notified TAP-Win32 driver to set a DHCP IP/netmask of 10.8.0.2/255.255.255.252 on interface TAP1: [DHCP-serv: 10.8.0.1, lease-time: 31536000]
    Fri Nov 14 16:41:47 2008 Successful ARP Flush on interface [196611] TAP DEVICE 1
    Fri Nov 14 16:41:47 2008 Data Channel MTU parms [ L:1547 D:1450 EF:47 EB:135 ET:0 EL:0 AF:3/1 ]
    Fri Nov 14 16:41:47 2008 Local Options hash (VER=V4): '7062f606'
    Fri Nov 14 16:41:47 2008 Expected Remote Options hash (VER=V4): '8a81629e'
    Fri Nov 14 16:41:47 2008 Attempting to establish TCP connection with 77.182.254.58:443
    Fri Nov 14 16:41:47 2008 MANAGEMENT: >STATE:1226677307,TCP_CONNECT,,,
    Fri Nov 14 16:41:47 2008 TCP connection established with 77.182.254.58:443
    Fri Nov 14 16:41:47 2008 Socket Buffers: R=[32768->32768] S=[16384->16384]
    Fri Nov 14 16:41:47 2008 TCPv4_CLIENT link local (bound): [undef]
    Fri Nov 14 16:41:47 2008 TCPv4_CLIENT link remote: 77.182.254.58:443
    Fri Nov 14 16:41:48 2008 Peer Connection Initiated with 77.182.254.58:443
    Fri Nov 14 16:41:54 2008 TEST ROUTES: 0/0 succeeded len=-1 ret=1 a=0 u/d=up
    Fri Nov 14 16:41:54 2008 Initialization Sequence Completed
    Fri Nov 14 16:41:54 2008 MANAGEMENT: >STATE:1226677314,CONNECTED,SUCCESS,10.8.0.2,77.182.254.58


    Echt vielen dank für deine schnelle Hilfe
     
  8. MaxMuster

    MaxMuster IPPF-Promi

    Registriert seit:
    1 Feb. 2005
    Beiträge:
    6,924
    Zustimmungen:
    0
    Punkte für Erfolge:
    36
    Meckern tut der Client einmal über die Netze (das "LAN" des Mobilteils schient das Netz 10.0.0.0 zu sein...)
    Daher würde ich mal die "ifconfigs" im Server und Client ändern auf andere IPs, z.B.

    Server(Fritz Box) Lokale IP 192.168.200.1 -- Remote IP 192.168.200.2 (wird dann in der Config zu "ifconfig 192.168.200.2 192.168.200.2")

    und im Client "ifconfig 192.168.200.2 192.168.200.1"

    Wenn du dann immer über die Box gehen willst, musst du beim Client noch "redirect-gateway" nutzen.

    Jörg
     
  9. JeckyllHavok

    JeckyllHavok Neuer User

    Registriert seit:
    19 Nov. 2007
    Beiträge:
    32
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    So, einmal alle Logs und Configs, ich glaube so langsam kommen wir der Sache näher:

    Client Log:

    Fri Nov 14 17:23:49 2008 OpenVPN 2.1_rc13 Win32-MSVC++ [SSL] [LZO2] built on Oct 11 2008
    Fri Nov 14 17:23:49 2008 MANAGEMENT: TCP Socket listening on 127.0.0.1:10000
    Fri Nov 14 17:23:49 2008 Need hold release from management interface, waiting...
    Fri Nov 14 17:23:49 2008 MANAGEMENT: Client connected from 127.0.0.1:10000
    Fri Nov 14 17:23:49 2008 Using Windows Connection Manager with destination 'auto' resolving to provider guid {436EF144-B4FB-4863-A041-8F905A62C572} (exclusive)
    Fri Nov 14 17:23:50 2008 Acquisition of Windows Connection Manager provider succeeded...
    Fri Nov 14 17:23:50 2008 Static Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
    Fri Nov 14 17:23:50 2008 Static Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
    Fri Nov 14 17:23:50 2008 Static Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
    Fri Nov 14 17:23:50 2008 Static Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
    Fri Nov 14 17:23:50 2008 LZO compression initialized
    Fri Nov 14 17:23:50 2008 MANAGEMENT: >STATE:1226679830,RESOLVE,,,
    Fri Nov 14 17:23:50 2008 MANAGEMENT: >STATE:1226679830,ASSIGN_IP,,192.168.200.2,
    Fri Nov 14 17:23:50 2008 TAP-WIN32 device [TAP1:] opened: TAP1:
    Fri Nov 14 17:23:50 2008 TAP-Win32 Driver Version 9.4
    Fri Nov 14 17:23:50 2008 TAP-Win32 MTU=1500
    Fri Nov 14 17:23:50 2008 Notified TAP-Win32 driver to set a DHCP IP/netmask of 192.168.200.2/255.255.255.252 on interface TAP1: [DHCP-serv: 192.168.200.1, lease-time: 31536000]
    Fri Nov 14 17:23:50 2008 Successful ARP Flush on interface [720899] TAP DEVICE 1
    Fri Nov 14 17:23:50 2008 Data Channel MTU parms [ L:1547 D:1450 EF:47 EB:135 ET:0 EL:0 AF:3/1 ]
    Fri Nov 14 17:23:50 2008 Local Options hash (VER=V4): '805e0635'
    Fri Nov 14 17:23:50 2008 Expected Remote Options hash (VER=V4): '3807b795'
    Fri Nov 14 17:23:50 2008 Attempting to establish TCP connection with 77.182.254.58:443
    Fri Nov 14 17:23:50 2008 MANAGEMENT: >STATE:1226679830,TCP_CONNECT,,,
    Fri Nov 14 17:23:50 2008 TCP connection established with 77.182.254.58:443
    Fri Nov 14 17:23:50 2008 Socket Buffers: R=[32768->32768] S=[16384->16384]
    Fri Nov 14 17:23:50 2008 TCPv4_CLIENT link local (bound): [undef]
    Fri Nov 14 17:23:50 2008 TCPv4_CLIENT link remote: 77.182.254.58:443
    Fri Nov 14 17:23:50 2008 Peer Connection Initiated with 77.182.254.58:443
    Fri Nov 14 17:23:56 2008 TEST ROUTES: 0/0 succeeded len=-1 ret=0 a=0 u/d=down
    Fri Nov 14 17:23:56 2008 Route: Waiting for TUN/TAP interface to come up...
    Fri Nov 14 17:24:00 2008 TEST ROUTES: 0/0 succeeded len=-1 ret=1 a=0 u/d=up
    Fri Nov 14 17:24:00 2008 Initialization Sequence Completed
    Fri Nov 14 17:24:00 2008 MANAGEMENT: >STATE:1226679840,CONNECTED,SUCCESS,192.168.200.2,77.182.254.58


    Client Config:

    proto tcp-client
    dev tun
    secret "\\static.key"
    remote cytech.ftpaccess.cc
    port 443
    resolv-retry infinite
    nobind
    persist-key
    persist-tun
    mute-replay-warnings
    comp-lzo
    verb 3
    ifconfig 192.168.200.2 192.168.200.1
    tun-mtu 1500
    float
    mssfix
    keepalive 10 60
    cipher BF-CBC


    Server config:

    # OpenVPN 2.1 Config, Fri Nov 14 17:20:15 CET 2008
    proto tcp-server
    dev tun
    secret /tmp/flash/static.key
    port 443
    ifconfig 192.168.200.1 192.168.200.2
    tun-mtu 1500
    mssfix
    verb 3
    daemon
    cipher BF-CBC
    comp-lzo
    keepalive 10 60
    push "redirect-gateway"
    push "dhcp-option DNS 192.168.200.1"
    push "route 192.168.178.0 255.255.255.0"


    Hoffe das hilft
     
  10. JeckyllHavok

    JeckyllHavok Neuer User

    Registriert seit:
    19 Nov. 2007
    Beiträge:
    32
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Sorry hab das mit redirect gateway beim client nicht gesehen, bekommt der Server das auch?
     
  11. MaxMuster

    MaxMuster IPPF-Promi

    Registriert seit:
    1 Feb. 2005
    Beiträge:
    6,924
    Zustimmungen:
    0
    Punkte für Erfolge:
    36
    Zunächst mal solltest du jetzt unter 192.168.200.1 die Oberfläche der Box erreichen können.

    Die Einstellung der "push" Sachen im Server bringt so nix, weil das nur mit Zertifikaten geht (und zudem der Client dazu "pull" machen müsste).
    Du musst also z.B. ein "redirect-gateway" direkt in der Client-Config machen...

    Jörg

    EDIT: Bitte schreibe "Nachträge" nicht über "Antworten" rein, sondern nutze den "Ändern" Knopf dafür (sonst meckern die Mods). Für längere Textausgaben fügst du diese am besten in [noparse]
    Code:
     und 
    [/noparse] ein, dann wird es deutlich übersichtlicher...