.titleBar { margin-bottom: 5px!important; }

Verwaltung von Clients bei OpenVPN

Dieses Thema im Forum "FRITZ!Box Fon: Modifikationen" wurde erstellt von Aurum, 11 Okt. 2006.

  1. Aurum

    Aurum Neuer User

    Registriert seit:
    6 März 2006
    Beiträge:
    19
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Beruf:
    FIA
    #1 Aurum, 11 Okt. 2006
    Zuletzt bearbeitet: 11 Okt. 2006
    Hallo zusammen,

    es geht um Folgendes Szenario.

    Auf der FritzBox läuft der openvpnserver auf den sich Personen von außen verbinden, um mit einer Datenbank in diesem Netzwerk hinter der FB abzugleichen.

    (Darstellung vom Netz)
    Code:
    [FONT=Courier New]         VPNClient1               [/FONT][FONT=Courier New]VPNClient2[/FONT]
    [FONT=Courier New]             |                        |
                 --------------------------
                                |
                             Internet
                                |
                             FritzBox
                          192.168.178.1
                               |
            ----------------------------------
            |              |                 |
            |              |                 |
        Server            PC1               PC2
    192.168.178.2    192.168.178.10   192.168.178.11
    [/FONT]     
    
    Bei der ganzen Sache ergeben sich nun einige Probleme bzw. Schwierigkeiten, wo ich keine wirklichen Ideen habe. :noidea:

    1. Besteht eine Möglichkeit das die über VPN verbundenen Rechner nur den Server (...178.2) sehen?
    2. Dann brauche ich eine Weboberfläche (Vorzugsweise auf der FB wegen Passwortschutz) wo alle verbundenen VPN Clients aufgelistet werden mit derMmöglichkeit einzelne Clients zu kicken und/oder zu bannen.
    3. Starten und stopen des VPN Servers über das oben genante Webinterface.
    4.Ist es möglich beim openvpn Server einzustellen das nur zu gewissen Zeiten sich Clients verbinden können? (z.B. 17:00-19:00)
    [EDIT]
    5. Wenn sich ein Client verbindet soll eine netsend Nachricht an PC1 gesendet werden.
    [EDIT]

    Die Punkte 3 und 4 sind nicht unbedingt notwendig, aber schön wenn sie funktionieren.;)


    Ich danke schonmal im Vorraus für die Zeit die ihr fürs Überlegen einsetzt. :)


    mfg
    Aurum
     
  2. AndreR

    AndreR Aktives Mitglied

    Registriert seit:
    4 Jan. 2006
    Beiträge:
    1,579
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Beruf:
    Fachinformatiker für Anwendungsentwicklung
    HAllo

    wieviele Clients gleichzeitig? Bei mehr als einem scheidet der erwähnte DS-Mod leider aus, da momentan keine Multi-Client Lösung existiert

    Ja, du kannst die Routen auf ein gesamtes Netz (192.168.178.0) oder einzelnen Client (192.168.178.2) setzen

    Es gibt kein mir bekanntes WebFrontend, was auf der Box laufen kann. (Außer DS-MOD aber dort geht kein Kciken und bannen)

    Da wäre der DS-MOD zu empfehlen, allerdings benötigst du eine FBF 7170,da das VPN Package momentan zu groß für alle anderen Boxen ist.

    Du könntest den Server über Crond (auch DS-MOD) starten und beenden
    Hmm, vielleicht gibts sowas, hab ich aber noch nie von gehört
     
  3. Aurum

    Aurum Neuer User

    Registriert seit:
    6 März 2006
    Beiträge:
    19
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Beruf:
    FIA
    Hi

    Also imo sind es 3 Clients die sich drauf verbinden müssen. das funzt auch soweit alles gut.

    Interresant. wenn du mir nun noch beschreiben kannst wie das ganze geht bin ich immerhin einen schrit weiter. Im Howto von OVPN hab ich dazu nichts gefunden (oder ich bin zu doof zum lesen) :-Ö

    Nun bisher wird alles per USB Stick geladen und das wolte ich auch so belassen, denn ds-mod ist mir ein recht großer eingriff in die Box. Obwohl es sehr interressant ist


    mfg
    Aurum
     
  4. meimi039

    meimi039 Mitglied

    Registriert seit:
    7 Juni 2005
    Beiträge:
    323
    Zustimmungen:
    0
    Punkte für Erfolge:
    16
    Beruf:
    Senior IT-Security Engineer
    Ich benutze folgende Server-Konfig:

    Code:
    # OpenVPN v2.0.5 config:
    #
    # Grundsaetzliches
    port 1194
    proto udp
    dev tap0
    dev-node /dev/misc/net/tun
    daemon
    
    # Authentifizierung und Verschluesselung
    mode server
    tls-server
    
    # Diese Option kann anstelle von --ca, --cert und --key verwendet werden
    pkcs12 7170-VPN.p12
    
    dh dh1024.pem
    auth SHA1
    cipher AES-256-CBC
    # Abgeben der Prozess-Rechte nach dem Start:
    # * persist-key   Lese die Schluessel nicht beim Neustart durch
    #                 SIGUSR1 bzw. --ping-restart ein
    # * persist-tun   Analog fuer den Zugriff auf das TUN/TAP-Device
    # persist-key
    # persist-tun
    
    # Server-Einstellungen
    server-bridge 192.168.110.254 255.255.255.0 192.168.110.200 192.168.110.230
    ifconfig-pool-persist hosts.ovpn
    
    # Routing:
    #
    # Dies ist der IP-Bereich vom Server-LAN
    # push "route 192.168.110.0 255.255.255.0"
    push "dhcp-option DNS 192.168.110.254"
    client-to-client
    
    # Erhalte Verbindung falls Client-IP-Adressen
    # waehrend der Verbindung sich aendern sollten.
    # (z.B. bei Dial-Up-Reconnect)
    # float
    
    # Sonstiges
    keepalive 10 60
    
    Mit der Option server-bridge 192.168.110.254 255.255.255.0 192.168.110.200 192.168.110.230 weise ich den Clients dynamisch (wie dhcp) IPs aus dem Raum 192.168.110.200 bis 192.168.110.230 zu.
    Leider würde so ein Client, je nachdem wann er connectet, immer eine andere IP haben. Das wäre für uns schlecht in diesem Fall.
    Also bekommt openVPN ein Gedächtnis verpasst, damit ein Client immer die gleiche IP wiederbekommt. Dies tut die Option ifconfig-pool-persist hosts.ovpn
    Jetzt entsteht eine Art /etc/hosts. Nur stehen darin die Zertifikatsnamen den IPs gegenüber. Sieht ungefähr so aus:

    Code:
    mm-laptop,192.168.110.200
    labrat,192.168.110.201
    7050-mobil,192.168.110.230
    Da nun die IPs bekannt sind, kann man im DS-MOD per cron iptables darauf ansetzen. Diesbezüglich gibts bei frozentux.net ein Spitzentutorial!

    Ich hoffe das hilft Dir weiter...
     
  5. Aurum

    Aurum Neuer User

    Registriert seit:
    6 März 2006
    Beiträge:
    19
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Beruf:
    FIA
    Hi meimi039,

    weiterhelfen tut es. Thx.

    Es gibt nur ein kleines Prob. Das ganze soll ohne DS-Mod laufen, wenn das überhaupt möglich ist.

    Ich vermute bei der Sache mit dem Webinterfache für die Verwaltung werde ich nicht drum rum kommen.
    Oder kennst du ne Idee wie man eigene Shell-scripte in die normale FB-Oberfläche einarbeiten kann.
    Das ändern von vorhandenen Dateien ist ja kein Problem nur das erstellen neuer war für mich bisher nicht lösbar.

    mfg
    Aurum
     
  6. Aurum

    Aurum Neuer User

    Registriert seit:
    6 März 2006
    Beiträge:
    19
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Beruf:
    FIA
    Also ich bin mittlerweile soweit das ich mir eine eigenes CTool schreibe was den VPN Logfile direkt vom USB Stick ausliest. Und eine Anzeige von allen verbundenen Clients macht.

    Folgene Probleme sind dabei aufgetreten.

    1. Kann man per Shellscript dem VPN-Server sagen der Client wird gekickt?
    2. Laut Hilfe ist es Möglich per FTP Schripte zu starten (Bsp: ls -la). Bin ich richtig das ich mich mit root Rechten dafür am FTP Server anmelden muss? Und vorallem Wie?

    mfg
    Aurum