Verwaltung von Clients bei OpenVPN

Aurum

Neuer User
Mitglied seit
6 Mrz 2006
Beiträge
19
Punkte für Reaktionen
0
Punkte
0
Hallo zusammen,

es geht um Folgendes Szenario.

Auf der FritzBox läuft der openvpnserver auf den sich Personen von außen verbinden, um mit einer Datenbank in diesem Netzwerk hinter der FB abzugleichen.

(Darstellung vom Netz)
Code:
[FONT=Courier New]         VPNClient1               [/FONT][FONT=Courier New]VPNClient2[/FONT]
[FONT=Courier New]             |                        |
             --------------------------
                            |
                         Internet
                            |
                         FritzBox
                      192.168.178.1
                           |
        ----------------------------------
        |              |                 |
        |              |                 |
    Server            PC1               PC2
192.168.178.2    192.168.178.10   192.168.178.11
[/FONT]
Bei der ganzen Sache ergeben sich nun einige Probleme bzw. Schwierigkeiten, wo ich keine wirklichen Ideen habe. :noidea:

1. Besteht eine Möglichkeit das die über VPN verbundenen Rechner nur den Server (...178.2) sehen?
2. Dann brauche ich eine Weboberfläche (Vorzugsweise auf der FB wegen Passwortschutz) wo alle verbundenen VPN Clients aufgelistet werden mit derMmöglichkeit einzelne Clients zu kicken und/oder zu bannen.
3. Starten und stopen des VPN Servers über das oben genante Webinterface.
4.Ist es möglich beim openvpn Server einzustellen das nur zu gewissen Zeiten sich Clients verbinden können? (z.B. 17:00-19:00)
[EDIT]
5. Wenn sich ein Client verbindet soll eine netsend Nachricht an PC1 gesendet werden.
[EDIT]

Die Punkte 3 und 4 sind nicht unbedingt notwendig, aber schön wenn sie funktionieren.;)


Ich danke schonmal im Vorraus für die Zeit die ihr fürs Überlegen einsetzt. :)


mfg
Aurum
 
Zuletzt bearbeitet:
HAllo

wieviele Clients gleichzeitig? Bei mehr als einem scheidet der erwähnte DS-Mod leider aus, da momentan keine Multi-Client Lösung existiert

Aurum schrieb:
1. Besteht eine Möglichkeit das die über VPN verbundenen Rechner nur den Server (...178.2) sehen?
Ja, du kannst die Routen auf ein gesamtes Netz (192.168.178.0) oder einzelnen Client (192.168.178.2) setzen

Aurum schrieb:
2. Dann brauche ich eine Weboberfläche (Vorzugsweise auf der FB wegen Passwortschutz) wo alle verbundenen VPN Clients aufgelistet werden mit derMmöglichkeit einzelne Clients zu kicken und/oder zu bannen.
Es gibt kein mir bekanntes WebFrontend, was auf der Box laufen kann. (Außer DS-MOD aber dort geht kein Kciken und bannen)

Aurum schrieb:
3. Starten und stopen des VPN Servers über das oben genante Webinterface.
Da wäre der DS-MOD zu empfehlen, allerdings benötigst du eine FBF 7170,da das VPN Package momentan zu groß für alle anderen Boxen ist.

Aurum schrieb:
4.Ist es möglich beim openvpn Server einzustellen das nur zu gewissen Zeiten sich Clients verbinden können? (z.B. 17:00-19:00)
Du könntest den Server über Crond (auch DS-MOD) starten und beenden
Aurum schrieb:
5. Wenn sich ein Client verbindet soll eine netsend Nachricht an PC1 gesendet werden.

Hmm, vielleicht gibts sowas, hab ich aber noch nie von gehört
 
Hi

AndreR schrieb:
wieviele Clients gleichzeitig? Bei mehr als einem scheidet der erwähnte DS-Mod leider aus, da momentan keine Multi-Client Lösung existiert
Also imo sind es 3 Clients die sich drauf verbinden müssen. das funzt auch soweit alles gut.

AndreR schrieb:
Ja, du kannst die Routen auf ein gesamtes Netz (192.168.178.0) oder einzelnen Client (192.168.178.2) setzen
Interresant. wenn du mir nun noch beschreiben kannst wie das ganze geht bin ich immerhin einen schrit weiter. Im Howto von OVPN hab ich dazu nichts gefunden (oder ich bin zu doof zum lesen) :-Ö

AndreR schrieb:
Da wäre der DS-MOD zu empfehlen, allerdings benötigst du eine FBF 7170,da das VPN Package momentan zu groß für alle anderen Boxen ist.
Nun bisher wird alles per USB Stick geladen und das wolte ich auch so belassen, denn ds-mod ist mir ein recht großer eingriff in die Box. Obwohl es sehr interressant ist


mfg
Aurum
 
Ich benutze folgende Server-Konfig:

Code:
# OpenVPN v2.0.5 config:
#
# Grundsaetzliches
port 1194
proto udp
dev tap0
dev-node /dev/misc/net/tun
daemon

# Authentifizierung und Verschluesselung
mode server
tls-server

# Diese Option kann anstelle von --ca, --cert und --key verwendet werden
pkcs12 7170-VPN.p12

dh dh1024.pem
auth SHA1
cipher AES-256-CBC
# Abgeben der Prozess-Rechte nach dem Start:
# * persist-key   Lese die Schluessel nicht beim Neustart durch
#                 SIGUSR1 bzw. --ping-restart ein
# * persist-tun   Analog fuer den Zugriff auf das TUN/TAP-Device
# persist-key
# persist-tun

# Server-Einstellungen
server-bridge 192.168.110.254 255.255.255.0 192.168.110.200 192.168.110.230
ifconfig-pool-persist hosts.ovpn

# Routing:
#
# Dies ist der IP-Bereich vom Server-LAN
# push "route 192.168.110.0 255.255.255.0"
push "dhcp-option DNS 192.168.110.254"
client-to-client

# Erhalte Verbindung falls Client-IP-Adressen
# waehrend der Verbindung sich aendern sollten.
# (z.B. bei Dial-Up-Reconnect)
# float

# Sonstiges
keepalive 10 60

Mit der Option server-bridge 192.168.110.254 255.255.255.0 192.168.110.200 192.168.110.230 weise ich den Clients dynamisch (wie dhcp) IPs aus dem Raum 192.168.110.200 bis 192.168.110.230 zu.
Leider würde so ein Client, je nachdem wann er connectet, immer eine andere IP haben. Das wäre für uns schlecht in diesem Fall.
Also bekommt openVPN ein Gedächtnis verpasst, damit ein Client immer die gleiche IP wiederbekommt. Dies tut die Option ifconfig-pool-persist hosts.ovpn
Jetzt entsteht eine Art /etc/hosts. Nur stehen darin die Zertifikatsnamen den IPs gegenüber. Sieht ungefähr so aus:

Code:
mm-laptop,192.168.110.200
labrat,192.168.110.201
7050-mobil,192.168.110.230

Da nun die IPs bekannt sind, kann man im DS-MOD per cron iptables darauf ansetzen. Diesbezüglich gibts bei frozentux.net ein Spitzentutorial!

Ich hoffe das hilft Dir weiter...
 
Hi meimi039,

weiterhelfen tut es. Thx.

Es gibt nur ein kleines Prob. Das ganze soll ohne DS-Mod laufen, wenn das überhaupt möglich ist.

Ich vermute bei der Sache mit dem Webinterfache für die Verwaltung werde ich nicht drum rum kommen.
Oder kennst du ne Idee wie man eigene Shell-scripte in die normale FB-Oberfläche einarbeiten kann.
Das ändern von vorhandenen Dateien ist ja kein Problem nur das erstellen neuer war für mich bisher nicht lösbar.

mfg
Aurum
 
Also ich bin mittlerweile soweit das ich mir eine eigenes CTool schreibe was den VPN Logfile direkt vom USB Stick ausliest. Und eine Anzeige von allen verbundenen Clients macht.

Folgene Probleme sind dabei aufgetreten.

1. Kann man per Shellscript dem VPN-Server sagen der Client wird gekickt?
2. Laut Hilfe ist es Möglich per FTP Schripte zu starten (Bsp: ls -la). Bin ich richtig das ich mich mit root Rechten dafür am FTP Server anmelden muss? Und vorallem Wie?

mfg
Aurum
 
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.