OpenVPN: Wie von außen erreichbar machen?

[Heiko_Heider]

Hallo,

Ich habe es soweit hingekriegt, dass wenn ich in die client.ovpn
manuell die IP meiner Fritzbox eingebe (192.168.0.1), ich aus einer
virtuellen Maschine heraus mit dem VPN verbinden kann.
Probiere ich dann jedoch, in der virtuellen Maschine, die ja über VPN
mit der FBF verbunden ist, zu surfen, geht das schonmal nicht.

Ich habe das ganze mit dem Pseudo-Image eingerichtet und wie angegeben
"Telnet, Openvpn, Dropbear + virtuellen Netzwekadapter" angewählt.

Server.ovpn + Client.ovpn stammen von the-construct.com.

Versuche ich, von einem PC an einem anderen Standort auf die Fritzbox
zuzugreifen, bekomme ich gar keine Verbindung hin.
Ich habe in der ar7.cfg schon verschiedene Portweiterleitungen probiert, u.a.

"udp 0.0.0.0:1194 0.0.0.0:1194 0 # OpenVPN",
oder
"udp 0.0.0.0:1194 192.168.0.1:1194 0 # OpenVPN",
oder
"udp 0.0.0.0:1194 192.168.178.253:1194 0 # OpenVPN",


Leider gibt es im OpenVPN-Client auf dem Remote-PC dann immer einen Timeout, obwohl Dyndns korrekt aufgelöst und meine WAN-IP angezeigt wird.


Vielen Dank für eure Antworten,
viele Grüße,

Heiko

 

[maceis]

Es wäre hilfreich, wenn Du Deine Konfiguratione posten würdest und einen Auszug aus der Logdatei. Andernfalls kann man nur raten.

 

[MaxMuster]

Probiere ich dann jedoch, in der virtuellen Maschine, die ja über VPN
mit der FBF verbunden ist, zu surfen, geht das schonmal nicht.

Ohne deine Config wird wohl keiner ergründen, woran das liegt.

Ich habe in der ar7.cfg schon verschiedene Portweiterleitungen probiert

nimm

"udp 0.0.0.0:1194 0.0.0.0:1194"

Ansonsten wären Config und evtl Logs von Interesse, ohne die tappen wir im Dunkeln.

Jörg

EDIT: maceis war schneller ;-)

 

[Heiko_Heider]

Hallo,

vielen Dank für eure schnelle Antwort.
Ich bin mir nicht ganz sicher, was ihr mit der config meint.

Meine server.ovpn:

dev tun0
dev-node /var/tmp/tun
ifconfig 10.0.0.2 10.0.0.1
secret /var/tmp/secret.key
proto tcp-server
port 1194
tun-mtu 1500
float
keepalive 10 60
verb 4
mssfix
route 10.0.0.0 255.255.255.0
push "route 10.0.0.0 255.255.255.0"
daemon

Meine client.ovpn:

ifconfig 10.0.0.1 10.0.0.2
remote ***.dyndns.org # (Internet-)Adresse der Fritz!Box eintragen
secret C:\\secret.key # Pfad zur 'secret.key' angeben ('\' muss als '\\' geschrieben werden!)
dev tun0
proto tcp-client
port 1194
ping 15
ping-restart 300 # 5 minutes
resolv-retry 300 # 5 minutes
#resolv-retry infinite
tun-mtu 1500
mssfix
persist-tun
persist-key
verb 4
route 10.0.0.0 255.255.255.0
push "route 10.0.0.0 255.255.255.0"
push "dhcp-option DNS 10.0.0.1"
route-gateway 10.0.0.1
redirect-gateway

Die Log-Datei bei Zugriffs-Versuch von aussen auf das OpenVPN:

Tue Oct 23 11:35:33 2007 us=702669 Current Parameter Settings:
Tue Oct 23 11:35:33 2007 us=702765   config = 'client.ovpn'
Tue Oct 23 11:35:33 2007 us=702782   mode = 0
Tue Oct 23 11:35:33 2007 us=702795   show_ciphers = DISABLED
Tue Oct 23 11:35:33 2007 us=702808   show_digests = DISABLED
Tue Oct 23 11:35:33 2007 us=702821   show_engines = DISABLED
Tue Oct 23 11:35:33 2007 us=702834   genkey = DISABLED
Tue Oct 23 11:35:33 2007 us=702847   key_pass_file = '[UNDEF]'
Tue Oct 23 11:35:33 2007 us=702861   show_tls_ciphers = DISABLED
Tue Oct 23 11:35:33 2007 us=702873   proto = 2
Tue Oct 23 11:35:33 2007 us=702886   local = '[UNDEF]'
Tue Oct 23 11:35:33 2007 us=702900   remote_list[0] = {'***.dyndns.org', 1194}
Tue Oct 23 11:35:33 2007 us=702913   remote_random = DISABLED
Tue Oct 23 11:35:33 2007 us=703009   local_port = 1194
Tue Oct 23 11:35:33 2007 us=703026   remote_port = 1194
Tue Oct 23 11:35:33 2007 us=703039   remote_float = DISABLED
Tue Oct 23 11:35:33 2007 us=703052   ipchange = '[UNDEF]'
Tue Oct 23 11:35:33 2007 us=703064   bind_local = ENABLED
Tue Oct 23 11:35:33 2007 us=703077   dev = 'tun0'
Tue Oct 23 11:35:33 2007 us=703089   dev_type = '[UNDEF]'
Tue Oct 23 11:35:33 2007 us=703102   dev_node = '[UNDEF]'
Tue Oct 23 11:35:33 2007 us=703114   tun_ipv6 = DISABLED
Tue Oct 23 11:35:33 2007 us=703128   ifconfig_local = '10.0.0.1'
Tue Oct 23 11:35:33 2007 us=703141   ifconfig_remote_netmask = '10.0.0.2'
Tue Oct 23 11:35:33 2007 us=703155   ifconfig_noexec = DISABLED
Tue Oct 23 11:35:33 2007 us=703191   ifconfig_nowarn = DISABLED
Tue Oct 23 11:35:33 2007 us=703209   shaper = 0
Tue Oct 23 11:35:33 2007 us=703222   tun_mtu = 1500
Tue Oct 23 11:35:33 2007 us=703235   tun_mtu_defined = ENABLED
Tue Oct 23 11:35:33 2007 us=703248   link_mtu = 1500
Tue Oct 23 11:35:33 2007 us=703262   link_mtu_defined = DISABLED
Tue Oct 23 11:35:33 2007 us=703275   tun_mtu_extra = 0
Tue Oct 23 11:35:33 2007 us=703288   tun_mtu_extra_defined = DISABLED
Tue Oct 23 11:35:33 2007 us=703301   fragment = 0
Tue Oct 23 11:35:33 2007 us=703315   mtu_discover_type = -1
Tue Oct 23 11:35:33 2007 us=703328   mtu_test = 0
Tue Oct 23 11:35:33 2007 us=703341   mlock = DISABLED
Tue Oct 23 11:35:33 2007 us=703354   keepalive_ping = 0
Tue Oct 23 11:35:33 2007 us=703367   keepalive_timeout = 0
Tue Oct 23 11:35:33 2007 us=703380   inactivity_timeout = 0
Tue Oct 23 11:35:33 2007 us=703393   ping_send_timeout = 15
Tue Oct 23 11:35:33 2007 us=703407   ping_rec_timeout = 300
Tue Oct 23 11:35:33 2007 us=703420   ping_rec_timeout_action = 2
Tue Oct 23 11:35:33 2007 us=703434   ping_timer_remote = DISABLED
Tue Oct 23 11:35:33 2007 us=703447   remap_sigusr1 = 0
Tue Oct 23 11:35:33 2007 us=703460   explicit_exit_notification = 0
Tue Oct 23 11:35:33 2007 us=703473   persist_tun = ENABLED
Tue Oct 23 11:35:33 2007 us=703487   persist_local_ip = DISABLED
Tue Oct 23 11:35:33 2007 us=703500   persist_remote_ip = DISABLED
Tue Oct 23 11:35:33 2007 us=703513   persist_key = ENABLED
Tue Oct 23 11:35:33 2007 us=703526   mssfix = 1450
Tue Oct 23 11:35:33 2007 us=703540   resolve_retry_seconds = 300
Tue Oct 23 11:35:33 2007 us=703553   connect_retry_seconds = 5
Tue Oct 23 11:35:33 2007 us=703567   username = '[UNDEF]'
Tue Oct 23 11:35:33 2007 us=703580   groupname = '[UNDEF]'
Tue Oct 23 11:35:33 2007 us=703593   chroot_dir = '[UNDEF]'
Tue Oct 23 11:35:33 2007 us=703607   cd_dir = '[UNDEF]'
Tue Oct 23 11:35:33 2007 us=703619   writepid = '[UNDEF]'
Tue Oct 23 11:35:33 2007 us=703633   up_script = '[UNDEF]'
Tue Oct 23 11:35:33 2007 us=703646   down_script = '[UNDEF]'
Tue Oct 23 11:35:33 2007 us=703659   down_pre = DISABLED
Tue Oct 23 11:35:33 2007 us=703672   up_restart = DISABLED
Tue Oct 23 11:35:33 2007 us=703685   up_delay = DISABLED
Tue Oct 23 11:35:33 2007 us=703698   daemon = DISABLED
Tue Oct 23 11:35:33 2007 us=703711   inetd = 0
Tue Oct 23 11:35:33 2007 us=703724   log = DISABLED
Tue Oct 23 11:35:33 2007 us=703737   suppress_timestamps = DISABLED
Tue Oct 23 11:35:33 2007 us=703750   nice = 0
Tue Oct 23 11:35:33 2007 us=703762   verbosity = 4
Tue Oct 23 11:35:33 2007 us=703775   mute = 0
Tue Oct 23 11:35:33 2007 us=721615   gremlin = 0
Tue Oct 23 11:35:33 2007 us=721643   status_file = '[UNDEF]'
Tue Oct 23 11:35:33 2007 us=721658   status_file_version = 1
Tue Oct 23 11:35:33 2007 us=721671   status_file_update_freq = 60
Tue Oct 23 11:35:33 2007 us=721684   occ = ENABLED
Tue Oct 23 11:35:33 2007 us=721696   rcvbuf = 0
Tue Oct 23 11:35:33 2007 us=721709   sndbuf = 0
Tue Oct 23 11:35:33 2007 us=721724   socks_proxy_server = '[UNDEF]'
Tue Oct 23 11:35:33 2007 us=721788   socks_proxy_port = 0
Tue Oct 23 11:35:33 2007 us=721804   socks_proxy_retry = DISABLED
Tue Oct 23 11:35:33 2007 us=721817   fast_io = DISABLED
Tue Oct 23 11:35:33 2007 us=721830   comp_lzo = DISABLED
Tue Oct 23 11:35:33 2007 us=721843   comp_lzo_adaptive = ENABLED
Tue Oct 23 11:35:33 2007 us=721856   route_script = '[UNDEF]'
Tue Oct 23 11:35:33 2007 us=721869   route_default_gateway = '10.0.0.1'
Tue Oct 23 11:35:33 2007 us=721882   route_noexec = DISABLED
Tue Oct 23 11:35:33 2007 us=721895   route_delay = 0
Tue Oct 23 11:35:33 2007 us=751289   route_delay_window = 30
Tue Oct 23 11:35:33 2007 us=751330   route_delay_defined = ENABLED
Tue Oct 23 11:35:33 2007 us=751368   [redirect_default_gateway local=0]
Tue Oct 23 11:35:33 2007 us=751383   route [URL="http://10.0.0.0/255.255.255.0/nil/nil"]10.0.0.0/255.255.255.0/nil/nil[/URL]
Tue Oct 23 11:35:33 2007 us=751396   management_addr = '[UNDEF]'
Tue Oct 23 11:35:33 2007 us=751409   management_port = 0
Tue Oct 23 11:35:33 2007 us=751421   management_user_pass = '[UNDEF]'
Tue Oct 23 11:35:33 2007 us=751435   management_log_history_cache = 250
Tue Oct 23 11:35:33 2007 us=751448   management_echo_buffer_size = 100
Tue Oct 23 11:35:33 2007 us=751464   management_query_passwords = DISABLED
Tue Oct 23 11:35:33 2007 us=751477   management_hold = DISABLED
Tue Oct 23 11:35:33 2007 us=751490   shared_secret_file = 'C:\secret.key'
Tue Oct 23 11:35:33 2007 us=751503   key_direction = 0
Tue Oct 23 11:35:33 2007 us=751516   ciphername_defined = ENABLED
Tue Oct 23 11:35:33 2007 us=794115   ciphername = 'BF-CBC'
Tue Oct 23 11:35:33 2007 us=794176   authname_defined = ENABLED
Tue Oct 23 11:35:33 2007 us=794190   authname = 'SHA1'
Tue Oct 23 11:35:33 2007 us=794202   keysize = 0
Tue Oct 23 11:35:33 2007 us=794215   engine = DISABLED
Tue Oct 23 11:35:33 2007 us=794227   replay = ENABLED
Tue Oct 23 11:35:33 2007 us=794239   mute_replay_warnings = DISABLED
Tue Oct 23 11:35:33 2007 us=794252   replay_window = 0
Tue Oct 23 11:35:33 2007 us=794264   replay_time = 0
Tue Oct 23 11:35:33 2007 us=794277   packet_id_file = '[UNDEF]'
Tue Oct 23 11:35:33 2007 us=794289   use_iv = ENABLED
Tue Oct 23 11:35:33 2007 us=794301   test_crypto = DISABLED
Tue Oct 23 11:35:33 2007 us=794313   tls_server = DISABLED
Tue Oct 23 11:35:33 2007 us=794326   tls_client = DISABLED
Tue Oct 23 11:35:33 2007 us=794338   key_method = 2
Tue Oct 23 11:35:33 2007 us=794350   ca_file = '[UNDEF]'
Tue Oct 23 11:35:33 2007 us=794362   dh_file = '[UNDEF]'
Tue Oct 23 11:35:33 2007 us=794375   cert_file = '[UNDEF]'
Tue Oct 23 11:35:33 2007 us=835174   priv_key_file = '[UNDEF]'
Tue Oct 23 11:35:33 2007 us=835262   pkcs12_file = '[UNDEF]'
Tue Oct 23 11:35:33 2007 us=835276   cryptoapi_cert = '[UNDEF]'
Tue Oct 23 11:35:33 2007 us=835289   cipher_list = '[UNDEF]'
Tue Oct 23 11:35:33 2007 us=835302   tls_verify = '[UNDEF]'
Tue Oct 23 11:35:33 2007 us=835315   tls_remote = '[UNDEF]'
Tue Oct 23 11:35:33 2007 us=835327   crl_file = '[UNDEF]'
Tue Oct 23 11:35:33 2007 us=835340   ns_cert_type = 0
Tue Oct 23 11:35:33 2007 us=835352   tls_timeout = 2
Tue Oct 23 11:35:33 2007 us=835364   renegotiate_bytes = 0
Tue Oct 23 11:35:33 2007 us=835376   renegotiate_packets = 0
Tue Oct 23 11:35:33 2007 us=835389   renegotiate_seconds = 3600
Tue Oct 23 11:35:33 2007 us=835401   handshake_window = 60
Tue Oct 23 11:35:33 2007 us=835414   transition_window = 3600
Tue Oct 23 11:35:33 2007 us=835427   single_session = DISABLED
Tue Oct 23 11:35:33 2007 us=835439   tls_exit = DISABLED
Tue Oct 23 11:35:33 2007 us=876909   tls_auth_file = '[UNDEF]'
Tue Oct 23 11:35:33 2007 us=876982   server_network = 0.0.0.0
Tue Oct 23 11:35:33 2007 us=876982   server_netmask = 0.0.0.0
Tue Oct 23 11:35:33 2007 us=877050   server_bridge_ip = 0.0.0.0
Tue Oct 23 11:35:33 2007 us=877065   server_bridge_netmask = 0.0.0.0
Tue Oct 23 11:35:33 2007 us=877078   server_bridge_pool_start = 0.0.0.0
Tue Oct 23 11:35:33 2007 us=877093   server_bridge_pool_end = 0.0.0.0
Tue Oct 23 11:35:33 2007 us=877286   push_list = 'route 10.0.0.0 255.255.255.0,dhcp-option DNS 10.0.0.1'
Tue Oct 23 11:35:33 2007 us=877306   ifconfig_pool_defined = DISABLED
Tue Oct 23 11:35:33 2007 us=877322   ifconfig_pool_start = 0.0.0.0
Tue Oct 23 11:35:33 2007 us=877336   ifconfig_pool_end = 0.0.0.0
Tue Oct 23 11:35:33 2007 us=877350   ifconfig_pool_netmask = 0.0.0.0
Tue Oct 23 11:35:33 2007 us=877365   ifconfig_pool_persist_filename = '[UNDEF]'
Tue Oct 23 11:35:33 2007 us=877379   ifconfig_pool_persist_refresh_freq = 600
Tue Oct 23 11:35:33 2007 us=919844   ifconfig_pool_linear = DISABLED
Tue Oct 23 11:35:33 2007 us=919884   n_bcast_buf = 256
Tue Oct 23 11:35:33 2007 us=919897   tcp_queue_limit = 64
Tue Oct 23 11:35:33 2007 us=919911   real_hash_size = 256
Tue Oct 23 11:35:33 2007 us=919923   virtual_hash_size = 256
Tue Oct 23 11:35:33 2007 us=919937   client_connect_script = '[UNDEF]'
Tue Oct 23 11:35:33 2007 us=919950   learn_address_script = '[UNDEF]'
Tue Oct 23 11:35:33 2007 us=919963   client_disconnect_script = '[UNDEF]'
Tue Oct 23 11:35:33 2007 us=919976   client_config_dir = '[UNDEF]'
Tue Oct 23 11:35:33 2007 us=919988   ccd_exclusive = DISABLED
Tue Oct 23 11:35:33 2007 us=920001   tmp_dir = '[UNDEF]'
Tue Oct 23 11:35:33 2007 us=920014   push_ifconfig_defined = DISABLED
Tue Oct 23 11:35:33 2007 us=920030   push_ifconfig_local = 0.0.0.0
Tue Oct 23 11:35:33 2007 us=920044   push_ifconfig_remote_netmask = 0.0.0.0
Tue Oct 23 11:35:33 2007 us=920057   enable_c2c = DISABLED
Tue Oct 23 11:35:33 2007 us=960048   duplicate_cn = DISABLED
Tue Oct 23 11:35:33 2007 us=960088   cf_max = 0
Tue Oct 23 11:35:33 2007 us=960101   cf_per = 0
Tue Oct 23 11:35:33 2007 us=960114   max_clients = 1024
Tue Oct 23 11:35:33 2007 us=960127   max_routes_per_client = 256
Tue Oct 23 11:35:33 2007 us=960140   client_cert_not_required = DISABLED
Tue Oct 23 11:35:33 2007 us=960153   username_as_common_name = DISABLED
Tue Oct 23 11:35:33 2007 us=960167   auth_user_pass_verify_script = '[UNDEF]'
Tue Oct 23 11:35:33 2007 us=960182   auth_user_pass_verify_script_via_file = DISABLED
Tue Oct 23 11:35:33 2007 us=960195   client = DISABLED
Tue Oct 23 11:35:33 2007 us=960208   pull = DISABLED
Tue Oct 23 11:35:33 2007 us=960221   auth_user_pass_file = '[UNDEF]'
Tue Oct 23 11:35:33 2007 us=960238   show_net_up = DISABLED
Tue Oct 23 11:35:33 2007 us=960251   route_method = 0
Tue Oct 23 11:35:33 2007 us=960263   ip_win32_defined = DISABLED
Tue Oct 23 11:35:33 2007 us=960276   ip_win32_type = 3
Tue Oct 23 11:35:34 2007 us=994   dhcp_masq_offset = 0
Tue Oct 23 11:35:34 2007 us=1034   dhcp_lease_time = 31536000
Tue Oct 23 11:35:34 2007 us=1047   tap_sleep = 0
Tue Oct 23 11:35:34 2007 us=1060   dhcp_options = DISABLED
Tue Oct 23 11:35:34 2007 us=1072   dhcp_renew = DISABLED
Tue Oct 23 11:35:34 2007 us=1084   dhcp_pre_release = DISABLED
Tue Oct 23 11:35:34 2007 us=1096   dhcp_release = DISABLED
Tue Oct 23 11:35:34 2007 us=1108   domain = '[UNDEF]'
Tue Oct 23 11:35:34 2007 us=1121   netbios_scope = '[UNDEF]'
Tue Oct 23 11:35:34 2007 us=1133   netbios_node_type = 0
Tue Oct 23 11:35:34 2007 us=1145   disable_nbt = DISABLED
Tue Oct 23 11:35:34 2007 us=1186 OpenVPN 2.0.9 Win32-MinGW [SSL] [LZO] built on Oct  1 2006
Tue Oct 23 11:35:34 2007 us=1984 Static Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Tue Oct 23 11:35:34 2007 us=2147 Static Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Tue Oct 23 11:35:34 2007 us=2229 Static Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Tue Oct 23 11:35:34 2007 us=42379 Static Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Tue Oct 23 11:35:34 2007 us=374202 TAP-WIN32 device [Local Area Connection 3] opened: \\.\Global\{757FC3D6-D3E1-4093-A60B-B73EE91E0B07}.tap
Tue Oct 23 11:35:34 2007 us=374658 TAP-Win32 Driver Version 8.4 
Tue Oct 23 11:35:34 2007 us=374724 TAP-Win32 MTU=1500
Tue Oct 23 11:35:34 2007 us=375117 Notified TAP-Win32 driver to set a DHCP IP/netmask of [URL="http://10.0.0.1/255.255.255.252"]10.0.0.1/255.255.255.252[/URL] on interface {757FC3D6-D3E1-4093-A60B-B73EE91E0B07} [DHCP-serv: 10.0.0.2, lease-time: 31536000]
Tue Oct 23 11:35:34 2007 us=426270 Successful ARP Flush on interface [3] {757FC3D6-D3E1-4093-A60B-B73EE91E0B07}
Tue Oct 23 11:35:34 2007 us=486692 Data Channel MTU parms [ L:1546 D:1450 EF:46 EB:4 ET:0 EL:0 ]
Tue Oct 23 11:35:34 2007 us=486793 Local Options String: 'V4,dev-type tun,link-mtu 1546,tun-mtu 1500,proto TCPv4_CLIENT,ifconfig 10.0.0.2 10.0.0.1,cipher BF-CBC,auth SHA1,keysize 128,secret'
Tue Oct 23 11:35:34 2007 us=486814 Expected Remote Options String: 'V4,dev-type tun,link-mtu 1546,tun-mtu 1500,proto TCPv4_SERVER,ifconfig 10.0.0.1 10.0.0.2,cipher BF-CBC,auth SHA1,keysize 128,secret'
Tue Oct 23 11:35:34 2007 us=486860 Local Options hash (VER=V4): '0eca8072'
Tue Oct 23 11:35:34 2007 us=486884 Expected Remote Options hash (VER=V4): '36c79fa1'
Tue Oct 23 11:35:34 2007 us=486931 Attempting to establish TCP connection with **.**.**.**:1194
Tue Oct 23 11:35:55 2007 us=504454 TCP: connect to **.**.**.**:1194 failed, will try again in 5 seconds

Und hier ein Auszug aus der ar7.cfg:

                        forwardrules =
                                       "tcp 0.0.0.0:443 192.168.0.1:22 0 # SSH",
                                       "udp 0.0.0.0:1194 0.0.0.0:1194 0 # OpenVPN",
                                       "tcp 0.0.0.0:0 0.0.0.0:0 1 out",
                                       "udp 0.0.0.0:0 0.0.0.0:0 1 out",
                                       "udp 0.0.0.0:5060 0.0.0.0:5060",
                                       "tcp 0.0.0.0:21 192.168.0.3:21 0 # FTP-Server",
                                       "tcp 0.0.0.0:80 192.168.0.4:80 0 # HTTP-Server",

<..gekürzt..>
                                       "tcp 0.0.0.0:5800 192.168.0.3:5800 0 # RealVNC Java",
                                       "tcp 0.0.0.0:5900 192.168.0.3:5900 0 # RealVNC";
                        shaper = "globalshaper";

Ich hoffe, das hilft weiter.
Vielen Dank.

Heiko

 

[MaxMuster]

Den ersten "Fehler" habe ich schon: Weiterleitung in der ar7.cfg ist "UDP", du nutzt aber tcp als Protokoll.

Weiter gehts:
- Der Client kann nichts zu Server "push"-en,
- das "route-gateway" des clients zeigt auf den client selbst (10.0.0.1).

Jörg

 

[Heiko_Heider]

Hallo MaxMuster,

nochmals danke für die superschnelle Antwort.

Den ersten "Fehler" habe ich schon: Weiterleitung in der ar7.cfg ist "UDP", du nutzt aber tcp als Protokoll.

Ok, werde ich ändern.
Den UDP-Forward habe ich wegen der Beschreibung hier so gesetzt:
http://wiki.ip-phone-forum.de/gateways:avm:howtos:modspenvpn?s=fritzbox+openvpn#3._openvpn-server_fritz_box_konfigurieren_und_starten
(unter Kapitel 3b, Punkt 2)

Weiter gehts:
- Der Client kann nichts zu Server "push"-en,
- das "route-gateway" des clients zeigt auf den client selbst (10.0.0.1).

Da ich mit dem Thema VPN völlig unvertraut bin, muss ich hier nochmal nachfragen:
Auf welche IP muss der Client denn Pushen?
Und wie muss das Route-Gateway eingestellt werden?

Meine Fritzbox hat die IP 192.168.0.1.
Am liebsten wäre mir, wenn auch der Remote-PC dann eine IP aus diesem Bereich bekommt, z.B. 192.168.0.51.
Ich habe auf "the-construct" zwar die virtuelle Netzwerkkarte ebenfalls angeklickt (nach Anleitung unter http://nodomain.cc/archives/2007/07/30/748-Howto-Fritz!Box-als-OpenVPN-Gateway-nutzen.html),
allerdings weiss ich nicht, ob man diese überhaupt braucht.

Viele Grüße,

Heiko

 

[MaxMuster]

Auf welche IP muss der Client denn Pushen?
Und wie muss das Route-Gateway eingestellt werden?

Der Client kan nichts "pushen" das kann nur der Server, ein Client kann nur die "gepush"ten Dinge "pull"en.

Als Gateway muss dann die VPN-IP des Servers eingetragen werden, bei dir wäre das die 10.0.0.2.

Alternativ kannst du beim Server folgendes eintragen

push "route-gateway 10.0.0.2"
push "redirect-gateway"
# und, falls der SERVER der DNS-Server sein soll
push "dhcp-option DNS 10.0.0.2"

und beim Client:

pull

(und alles hinter dem "verb 4" kann dann weg)

Jörg

 

[Heiko_Heider]

Hallo MaxMuster,

das mit dem Pull + Push ist mir jetzt auch klar.
Um eventuelle Fehlinterpretationen auszuschließen, hier also nochmal die beiden modifizierten Dateien:

server.ovpn:

dev tun0
dev-node /var/tmp/tun
ifconfig 10.0.0.2 10.0.0.1
secret /var/tmp/secret.key
proto tcp-server
port 1194
tun-mtu 1500
float
keepalive 10 60
verb 4
mssfix
route 10.0.0.0 255.255.255.0
push "route 10.0.0.0 255.255.255.0"
[B]push "route-gateway 10.0.0.2"
push "redirect-gateway"
# und, falls der SERVER der DNS-Server sein soll
push "dhcp-option DNS 10.0.0.2"[/B]
daemon

client.ovpn:

ifconfig 10.0.0.1 10.0.0.2
remote ***.dyndns.org # (Internet-)Adresse der Fritz!Box eintragen
secret C:\\secret.key # Pfad zur 'secret.key' angeben ('\' muss als '\\' geschrieben werden!)
dev tun0
proto tcp-client
port 1194
ping 15
ping-restart 300 # 5 minutes
resolv-retry 300 # 5 minutes
#resolv-retry infinite
tun-mtu 1500
mssfix
persist-tun
persist-key
[B]pull[/B]
verb 4

Wäre das jetzt so richtig?

Grüße,

Heiko

 

[MaxMuster]

Zusammen mit einem Eintrag "tcp 0.0.0.0:1194 0.0.0.0:1194" in der ar7.cfg sollte das gehen.

Jörg

 

[Heiko_Heider]

Hallo Jörg,

vielen Dank.
Jetzt funktioniert es.
Ich habe zunächst wirklich nur den Eintrag in der ar7.cfg auf tcp geändert und die 2 IPs in der client.ovpn auf die .2 für den Server.
Und jetzt funktioniert es.
Ich kann vom PC am anderen Standort über die IP der Fritzbox surfen

Mein eigentlicher Anwendungszweck soll aber der Zugriff auf ein NAS sein, das im lokalen Netz der Server-Fritzbox mit der IP 192.168.0.23 hängt.
Windows-Shares sind dort eingerichtet.

Wie kann ich es nun erreichen, dass ich über OpenVPN auf das NAS zugreife?
Muss ich die IPs dahingehend ändern, dass mein PC in der Ferne eine IP aus dem Bereich 192.168.0.x zugewiesen bekommt?

Beim Verbinden zeigt mir OpenVPN nämlich als IP 10.0.0.1 an.
Reicht das, oder muss ich jetzt alle Einstellungen entsprechend ändern und irgendwie in den 192.168.0.xer Bereich setzen?

Grüße,

Heiko

 

[MaxMuster]

Hallo Heiko,

für den Zugriff muss zum einen das Routing vom Client zum NAS bekannt sein (also der Client muss die IP vom NAS "finden") was über das redirect-gateway erfolgt ist. Dann muss vom NAS der Weg zurück klar sein, was dann gegeben ist, wenn die Fritzbox das "Defaultgateway" im LAN ist, denn die Fritzbox "kennt den Weg" zum Client 10.0.0.1. Prüfen kannst du das vom Client z.B. mit einem "ping 192.168.0.23".

Der Zugriff auf die Freigaben muss wegen der VPN-Verbindung dazwischen über die Adresse des NAS erfolgen, weil die Namensauflösung vermutlich nicht klappt. Also z.B. per "Eingabeaufforderung" mit einem

net use x: \\192.168.0.23\Freigabe

oder analog das Anbinden im Explorer über den gleichen "Namen".

Jörg

 

[Heiko_Heider]

Hallo Jörg,

ich habe in der Zwischenzeit schon ein wenig experientiert:
WinXP-Netzwerkfreigaben auf verschiedenen PCs im Ziel-LAN (also hinter der VPN-Server-Fritzbox) sind wunderbar erreichbar.

Ich kann im Windows-Explorer des Remote-Clients z.B. durch \\192.168.0.3\ oder \\192.168.0.29\ perfekt auf die Shares zugreifen etc.

für den Zugriff muss zum einen das Routing vom Client zum NAS bekannt sein (also der Client muss die IP vom NAS "finden") was über das redirect-gateway erfolgt ist. Dann muss vom NAS der Weg zurück klar sein, was dann gegeben ist, wenn die Fritzbox das "Defaultgateway" im LAN ist, denn die Fritzbox "kennt den Weg" zum Client 10.0.0.1. Prüfen kannst du das vom Client z.B. mit einem "ping 192.168.0.23".

Komischerweise ist aber die Buffalo Linkstation auf die oben beschriebene Weise im Windows-Explorer nicht erreichbar, es gibt einen Timeout.
\\192.168.0.23\Share im Remote-Client führt also zu einem Timeout, obwohl ich im LAN, in dem die Linkstation hängt, immer auf diese Weise über den Windows Explorer auf die Linkstation zugreife.

Ein Ping auf 192.168.0.23 über den Remote-Client führt zum Timeout, während ich die Windows-PC wunderbar anpingen kann.
Ein tracert führt auf die Linkstation führt ebenfalls zum Timeout; komischerweise zeigt mir Tracert aber die Hersteller-Bezeichnung (kann das der Netbios-Name sein?) an, obwohl es keine Verbindung kriegt.

Der Zugriff auf die Freigaben muss wegen der VPN-Verbindung dazwischen über die Adresse des NAS erfolgen, weil die Namensauflösung vermutlich nicht klappt. Also z.B. per "Eingabeaufforderung" mit einem

net use x: \\192.168.0.23\Freigabe

oder analog das Anbinden im Explorer über den gleichen "Namen".

Das funktioniert leider noch nicht. Warum verstehe ich auch nicht so ganz, obwohl die Windows-Freigaben ja funktionieren!

Ich habe probeweise in der client.ovpn mal folgendes ohne Erfolg eingefügt:

route 192.168.0.23 255.255.255.0
push "route 192.168.0.23 255.255.255.0"

Weiterhin ist auch das Webinterface der Linkstation im Internet Explorer nicht erreichbar, die Remote-Fritzbox erreiche ich jedoch wunderbar über http://192.168.0.1.
Merkwürdigerweise ist das Webinterface eines hinter der Fritzbox hängenden Netgear-Routers (der aber seit die Fritzbox da ist nur noch als Switch arbeitet) ebenfalls nicht über VPN erreichbar, lokal dagegen schon (192.168.0.2).

Nachtrag: Das Webinterface einer dbox2 im Remote-LAN ist über VPN erreichbar (192.168.0.35), ebenso das Webinterface einer IP-Cam (192.168.0.4).

Viele Grüße,

Heiko

 

[MaxMuster]

Die zusätzliche route brauchst du nicht einzutragen. Vermutlich fehlt auf der Linkstation ein "Defaultgateway" (das müsste dann deine Fritzbox sein) oder da ist der Zugriff aus "fremden Netzen" nicht erlaubt und dein VPN-Client hat ja eine andere Adresse. Erste Vermutung ist jedoch, dass du da noch ein Defaultgetway eintragen musst.

Jörg

 

[Heiko_Heider]

Hallo Jörg,

Die zusätzliche route brauchst du nicht einzutragen. Vermutlich fehlt auf der Linkstation ein "Defaultgateway" (das müsste dann deine Fritzbox sein) oder da ist der Zugriff aus "fremden Netzen" nicht erlaubt und dein VPN-Client hat ja eine andere Adresse. Erste Vermutung ist jedoch, dass du da noch ein Defaultgetway eintragen musst.

Genauso ist es. DefaultGateway war Disabled.
Das hätte ich echt selber merken müssen, sorry

Also vielen herzlichen Dank für diese ausführliche, ausdauernde Hilfe.
Jetzt funktioniert wirklich alles, wie es soll

Genial ist das schon.

Eine Frage zum Schluss:
Bisher verwende ich ja eine secret.key als Schlüssel.
Ginge das mit der Fritzbox auch so, dass ich bei jeder Verbindung einfach durch OpenVPN nach einem Passwort (und eventuell Username) gefragt werde?
Das wäre praktisch, wenn man mal von einem fremden System auf das Heimnetz zugreifen möchte, ohne gleich die secret.key dorthin zu kopieren...
An unserer Uni geht das so, allerdings ist das ein propritäres System von Cisco...

Viele Grüße,

Heiko

 

[MaxMuster]

Hi Heiko,

Ginge das mit der Fritzbox auch so, dass ich bei jeder Verbindung einfach durch OpenVPN nach einem Passwort (und eventuell Username) gefragt werde?

Mit OpenVPN geht das nicht ohne weiteres (doch, es geht, wenn du auf dem Server ein "Authentication-Script" erstellst und das mit "auth-user-pass-verify <script> <Methode>" mit angibst zusammen mit einem "client-cert-not-required"... Wenn du dran interessiert bist, schau einfach mal nach den Begriffen auf der OpenVPN Seite ).

Ansonsten reicht dir für den "einfachen" Zugriff vielleicht ein ssh-Server auf der Box (z.B. "dropbear"), mit dem du dann TCP-Verbindungen (z.B. FTP, HTTP usw.) tunneln kannst.

Zusätzlich gibt es auch eine pptp-Implementierung, die mit den "Windows Bordmitteln" auskommen sollte.
Generell ist aber ein "komplettes OpenVPN Verzeichnis" (einschließlich Config und Key) auf 'nem USB-Stick wohl durchaus machbar, zumal du auf jeden Fall ja einen VPN-Adapter in dem anderen System installieren müsstest, sofern es ein Windows ist.

Jörg

 

[Heiko_Heider]

Hallo Jörg,

OK, danke.
Mit SSH habe ich zuvor schon gearbeitet. Das werde ich dann weiterhin im bedarfsfall auf "fremden PCs" einsetzen.
VPN gefällt mir aber schon sehr viel besser, weil ich - ohne extra Ports tunneln zu müssen - direkt auf alle Clients im LAN zugreifen kann, als ob ich vor Ort wäre. Und mit 1Mbit, was ich vor kurzem bei meinem Alice Light bekommen kostenlos bekommen habe, ist das schon ganz brauchbar

Grüße,

Heiko

 

[nomisnitram]

Hallo,
ich habe genau die gleichen Client- und Server-Files eingerichtet wie Heiko_Heider, leider bekomme ich vom OpenVPN-Client die Meldung, dass "pull" nur bei Einrichtung eines TLS-Clients und -Servers geht. Wie kann ich das einrichten bzw. OpenVPN zu einer Verbindung überreden, damit ich vom entfernten Standort aus über meine FBF surfen kann?

 

[MaxMuster]

Ja, pull geht nur mit TLS/Zertifikaten.

Du kannst die Dinge aber auch "von Hand" beim Client eintragen (alles das was hinter "push" im Server steht direkt in die Client-Config) in dem obrigen Beispiel also:

ifconfig 10.0.0.1 10.0.0.2
route 10.0.0.0 255.255.255.0
route-gateway 10.0.0.2
redirect-gateway

dhcp-option DNS 10.0.0.2

Jörg

 

[nomisnitram]

Danke erstmal, wenn ich das jetzt also richtig verstehe, dann hat der Server (FBF) die IP 10.0.0.2 und mein Client die 10.0.0.1. Die erste Zeile steht so auch in meiner client.ovpn. Ist es egal, an welcher Stelle ich die übrigen Zeilen einfüge oder müssen die an einer bestimmten Stelle stehen? Ich frage mich jetzt nur, warum Heiko mit der oben beschriebenen Konfiguration eine Verbindung herstellen konnte.

 

[MaxMuster]

1.: Richtig verstanden
2.: Ja, die Reihenfolge ist egal
3.: Warum das dort mit pull ging, weiß ich auch nicht...

Jörg