OpenVPN und Freetz

JeckyllHavok

Neuer User
Mitglied seit
19 Nov 2007
Beiträge
32
Punkte für Reaktionen
0
Punkte
0
Servus zusammen,
ich versuch deit Tagen ein VPN zwischen meinem Handy (WinMo mit OpenVPN CE) hinzubekommen.
Leider Funzt das nicht so ganz. da ich auch nicht sehr viel Ahnung vom Thema habe.
Einmal meine Server/client config, vielleicht kann mir ja hier jemand helfen:

# OpenVPN 2.1 Config, Fri Nov 14 12:23:11 CET 2008
dev tun
secret /tmp/flash/static.key
port 443
ifconfig 10.8.0.0 10.8.0.1
push "route 192.168.178.0 255.255.255.0"
push "redirect-gateway"
push "dhcp-option DNS 10.8.0.0"
tun-mtu 1500
mssfix
verb 3
daemon
cipher BF-CBC
comp-lzo
keepalive 10 60


und client:

proto tcp-client
dev tun
secret "\\static.key"
remote xxxxxxxxxxxxx (dynDNS hostname)
port 443
resolv-retry infinite
nobind
persist-key
persist-tun
mute-replay-warnings
comp-lzo
verb 3
ifconfig 10.8.0.1 255.255.255.0
tun-mtu 1500
float
mssfix
keepalive 10 60
cipher BF-CBC

wär echt cool wenn mir jemand helfen könnte;)
 
Noch als ergänzung:

Fritz Box eigene IP: 192.168.178.10
der komplette webtraffic des Handys soll über das VPN laufen
port 443 in ar7.cfg ist freigeschaltet
 
Hi,

da sind gleich mehrere Dinge, die mir so auffallen:

"ifconfig 10.8.0.0 10.8.0.1": prinzipiell ist das zwar zulässig, aber in Zusammenhang mit "ifconfig 10.8.0.1 255.255.255.0" geht es nicht (vermutlich wird das bei "tun" eh eine Fehlermeldung produzieren).
Zunächst wird für dich die erste Variante prinzipiell wohl die richtige sein, in der die beiden IPs angegeben werden. Die müssen dann aber wechselseitig getauscht sein und ich würde aus Gründen der Klarheit auch 10.8.0.0 nicht nutzen, was mit einer Netz-IP verwechselt werden könnte. Mein Vorschlag:
Server: "ifconfig 10.8.0.1 10.8.0.2" -- Client: "ifconfig 10.8.0.2 10.8.0.1"

Du hast dann die Protokolle vermischt: Server nutzt (ohne Einstellung) den Standard UDP, der Client versucht, tcp zu erreichen. Du wolltest (wenn ich den Port so ansehe) vermutlich TCP? Was ist den in der ar7.cfg freigeschaltet? Der Server benötigt für TCP "proto tcp-server" (oder in der GUI einen Haken bei "TCP" ;-))


Jörg
 
Danke für die Antwort, hab nur ein neues Problem festgestellt, und zwar kann ich die openvpn.conf nicht verändern, nach dem abspeichern und dem Starten des Dienstes ist die Datei wieder im Ursprungszustand.
Kann man dies iergendwie verhindern?
 
Die Einstellungen werden über die GUI gemacht und aus den dort gemachten Einstellungen wird beim Starten die Config generiert. Willst du also was davon ändern, müsstest du die entsprechenden Einträge in der GUI vornehmen (und "übernehmen", natürlich ;-))

Jörg
 
Hey danke für die Antwort, kann ich dan also unter Zusatzparameter mit "" getrennt die verschiedenen Befehle eingeben?
 
So das hat schonmal geklappt (nicht mit "" sondern mit ; getrennt)

Auf dem Client tut sich was ( unter TAP adapter steht in Benutzung) und es öffnet sich ein Reiter mit dem Namen der Verbindung.

Aber ansonsten tut sich nichts weder zeigt er mir den Status an noch sonst etwas. Hier einmal die Client Log::

Fri Nov 14 16:41:46 2008 OpenVPN 2.1_rc13 Win32-MSVC++ [SSL] [LZO2] built on Oct 11 2008
Fri Nov 14 16:41:46 2008 MANAGEMENT: TCP Socket listening on [undef]:10000
Fri Nov 14 16:41:46 2008 Need hold release from management interface, waiting...
Fri Nov 14 16:41:46 2008 MANAGEMENT: Client connected from [undef]:10000
Fri Nov 14 16:41:46 2008 Using Windows Connection Manager with destination 'auto' resolving to provider guid {436EF144-B4FB-4863-A041-8F905A62C572} (exclusive)
Fri Nov 14 16:41:46 2008 Acquisition of Windows Connection Manager provider succeeded...
Fri Nov 14 16:41:46 2008 Static Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Fri Nov 14 16:41:46 2008 Static Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Fri Nov 14 16:41:46 2008 Static Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Fri Nov 14 16:41:46 2008 Static Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Fri Nov 14 16:41:46 2008 LZO compression initialized
Fri Nov 14 16:41:46 2008 MANAGEMENT: >STATE:1226677306,RESOLVE,,,
Fri Nov 14 16:41:47 2008 WARNING: potential TUN/TAP adapter subnet conflict between local LAN [10.0.0.0/255.0.0.0] and remote VPN [10.8.0.2/255.255.255.255]
Fri Nov 14 16:41:47 2008 MANAGEMENT: >STATE:1226677307,ASSIGN_IP,,10.8.0.2,
Fri Nov 14 16:41:47 2008 TAP-WIN32 device [TAP1:] opened: TAP1:
Fri Nov 14 16:41:47 2008 TAP-Win32 Driver Version 9.4
Fri Nov 14 16:41:47 2008 TAP-Win32 MTU=1500
Fri Nov 14 16:41:47 2008 Notified TAP-Win32 driver to set a DHCP IP/netmask of 10.8.0.2/255.255.255.252 on interface TAP1: [DHCP-serv: 10.8.0.1, lease-time: 31536000]
Fri Nov 14 16:41:47 2008 Successful ARP Flush on interface [196611] TAP DEVICE 1
Fri Nov 14 16:41:47 2008 Data Channel MTU parms [ L:1547 D:1450 EF:47 EB:135 ET:0 EL:0 AF:3/1 ]
Fri Nov 14 16:41:47 2008 Local Options hash (VER=V4): '7062f606'
Fri Nov 14 16:41:47 2008 Expected Remote Options hash (VER=V4): '8a81629e'
Fri Nov 14 16:41:47 2008 Attempting to establish TCP connection with 77.182.254.58:443
Fri Nov 14 16:41:47 2008 MANAGEMENT: >STATE:1226677307,TCP_CONNECT,,,
Fri Nov 14 16:41:47 2008 TCP connection established with 77.182.254.58:443
Fri Nov 14 16:41:47 2008 Socket Buffers: R=[32768->32768] S=[16384->16384]
Fri Nov 14 16:41:47 2008 TCPv4_CLIENT link local (bound): [undef]
Fri Nov 14 16:41:47 2008 TCPv4_CLIENT link remote: 77.182.254.58:443
Fri Nov 14 16:41:48 2008 Peer Connection Initiated with 77.182.254.58:443
Fri Nov 14 16:41:54 2008 TEST ROUTES: 0/0 succeeded len=-1 ret=1 a=0 u/d=up
Fri Nov 14 16:41:54 2008 Initialization Sequence Completed
Fri Nov 14 16:41:54 2008 MANAGEMENT: >STATE:1226677314,CONNECTED,SUCCESS,10.8.0.2,77.182.254.58


Echt vielen dank für deine schnelle Hilfe
 
Meckern tut der Client einmal über die Netze (das "LAN" des Mobilteils schient das Netz 10.0.0.0 zu sein...)
Daher würde ich mal die "ifconfigs" im Server und Client ändern auf andere IPs, z.B.

Server(Fritz Box) Lokale IP 192.168.200.1 -- Remote IP 192.168.200.2 (wird dann in der Config zu "ifconfig 192.168.200.2 192.168.200.2")

und im Client "ifconfig 192.168.200.2 192.168.200.1"

Wenn du dann immer über die Box gehen willst, musst du beim Client noch "redirect-gateway" nutzen.

Jörg
 
So, einmal alle Logs und Configs, ich glaube so langsam kommen wir der Sache näher:

Client Log:

Fri Nov 14 17:23:49 2008 OpenVPN 2.1_rc13 Win32-MSVC++ [SSL] [LZO2] built on Oct 11 2008
Fri Nov 14 17:23:49 2008 MANAGEMENT: TCP Socket listening on 127.0.0.1:10000
Fri Nov 14 17:23:49 2008 Need hold release from management interface, waiting...
Fri Nov 14 17:23:49 2008 MANAGEMENT: Client connected from 127.0.0.1:10000
Fri Nov 14 17:23:49 2008 Using Windows Connection Manager with destination 'auto' resolving to provider guid {436EF144-B4FB-4863-A041-8F905A62C572} (exclusive)
Fri Nov 14 17:23:50 2008 Acquisition of Windows Connection Manager provider succeeded...
Fri Nov 14 17:23:50 2008 Static Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Fri Nov 14 17:23:50 2008 Static Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Fri Nov 14 17:23:50 2008 Static Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Fri Nov 14 17:23:50 2008 Static Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Fri Nov 14 17:23:50 2008 LZO compression initialized
Fri Nov 14 17:23:50 2008 MANAGEMENT: >STATE:1226679830,RESOLVE,,,
Fri Nov 14 17:23:50 2008 MANAGEMENT: >STATE:1226679830,ASSIGN_IP,,192.168.200.2,
Fri Nov 14 17:23:50 2008 TAP-WIN32 device [TAP1:] opened: TAP1:
Fri Nov 14 17:23:50 2008 TAP-Win32 Driver Version 9.4
Fri Nov 14 17:23:50 2008 TAP-Win32 MTU=1500
Fri Nov 14 17:23:50 2008 Notified TAP-Win32 driver to set a DHCP IP/netmask of 192.168.200.2/255.255.255.252 on interface TAP1: [DHCP-serv: 192.168.200.1, lease-time: 31536000]
Fri Nov 14 17:23:50 2008 Successful ARP Flush on interface [720899] TAP DEVICE 1
Fri Nov 14 17:23:50 2008 Data Channel MTU parms [ L:1547 D:1450 EF:47 EB:135 ET:0 EL:0 AF:3/1 ]
Fri Nov 14 17:23:50 2008 Local Options hash (VER=V4): '805e0635'
Fri Nov 14 17:23:50 2008 Expected Remote Options hash (VER=V4): '3807b795'
Fri Nov 14 17:23:50 2008 Attempting to establish TCP connection with 77.182.254.58:443
Fri Nov 14 17:23:50 2008 MANAGEMENT: >STATE:1226679830,TCP_CONNECT,,,
Fri Nov 14 17:23:50 2008 TCP connection established with 77.182.254.58:443
Fri Nov 14 17:23:50 2008 Socket Buffers: R=[32768->32768] S=[16384->16384]
Fri Nov 14 17:23:50 2008 TCPv4_CLIENT link local (bound): [undef]
Fri Nov 14 17:23:50 2008 TCPv4_CLIENT link remote: 77.182.254.58:443
Fri Nov 14 17:23:50 2008 Peer Connection Initiated with 77.182.254.58:443
Fri Nov 14 17:23:56 2008 TEST ROUTES: 0/0 succeeded len=-1 ret=0 a=0 u/d=down
Fri Nov 14 17:23:56 2008 Route: Waiting for TUN/TAP interface to come up...
Fri Nov 14 17:24:00 2008 TEST ROUTES: 0/0 succeeded len=-1 ret=1 a=0 u/d=up
Fri Nov 14 17:24:00 2008 Initialization Sequence Completed
Fri Nov 14 17:24:00 2008 MANAGEMENT: >STATE:1226679840,CONNECTED,SUCCESS,192.168.200.2,77.182.254.58


Client Config:

proto tcp-client
dev tun
secret "\\static.key"
remote cytech.ftpaccess.cc
port 443
resolv-retry infinite
nobind
persist-key
persist-tun
mute-replay-warnings
comp-lzo
verb 3
ifconfig 192.168.200.2 192.168.200.1
tun-mtu 1500
float
mssfix
keepalive 10 60
cipher BF-CBC


Server config:

# OpenVPN 2.1 Config, Fri Nov 14 17:20:15 CET 2008
proto tcp-server
dev tun
secret /tmp/flash/static.key
port 443
ifconfig 192.168.200.1 192.168.200.2
tun-mtu 1500
mssfix
verb 3
daemon
cipher BF-CBC
comp-lzo
keepalive 10 60
push "redirect-gateway"
push "dhcp-option DNS 192.168.200.1"
push "route 192.168.178.0 255.255.255.0"


Hoffe das hilft
 
Sorry hab das mit redirect gateway beim client nicht gesehen, bekommt der Server das auch?
 
Zunächst mal solltest du jetzt unter 192.168.200.1 die Oberfläche der Box erreichen können.

Die Einstellung der "push" Sachen im Server bringt so nix, weil das nur mit Zertifikaten geht (und zudem der Client dazu "pull" machen müsste).
Du musst also z.B. ein "redirect-gateway" direkt in der Client-Config machen...

Jörg

EDIT: Bitte schreibe "Nachträge" nicht über "Antworten" rein, sondern nutze den "Ändern" Knopf dafür (sonst meckern die Mods). Für längere Textausgaben fügst du diese am besten in [noparse]
Code:
 und
[/noparse] ein, dann wird es deutlich übersichtlicher...
 
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.