VPN-Server in Box integrieren

[Temp]

ist eigentlich egal.
Ich nehm immer ein tap interface (virt. lan)

 

[ts201]

klappt denn bei irgendejmanden das routen ?!

 

[coolmove]

Hi,

ich bin neu in dem Forum. Danke an alle für eure Hilfe und Tipps. Bei mir läuft der VPN Server Problemlos.

Ich habe mir ein kleines Python Script geschrieben. Welches alles vom PC aus leichter macht.

Kurze Beschreibung:
Es baut eine Telnet Verbinung auf logged sich an kopiert alle file von einem tftp server, wenn sie nich vorhanden sind und startet den VPN Server

ich stelle es euch zur Verfügung, da es mir die Arbeit und das Testen sehr erleichtert hat. Und natürlich als Dankeschön!!!

import sys
import telnetlib
from time import sleep
from string import find

HOST = "XXX.XXX.XXX.XXX"  # Fritzbox IP
TFTP = "XXX.XXX.XXX.XXX"  # tfpt Host

CONFIG = "fbvpnservercfg"

#add all files you want to get via tftp
TFTP_FILES = ["openvpn",
              "libssl.so.0.9.7",
              "liblzo.so.1",
              "libgcc_s.so.1",
              "libcrypto.so.0.9.7",
              "static.key"]

tn = telnetlib.Telnet(HOST)

print tn.open(HOST)
print ("telnet open")

temp = tn.read_until("Fritz!Box web password: ",5)
if find( temp, "Fritz!Box web password: ")>0:
    #login process
    print ("Connected...")
    print ("Login...")
    tn.write("<hier euer PW>\n")
    print tn.read_until("# ",5)
    print ("Login OK...")
    print ("Startup VPN Server")
    #set lib path to /var/tmp
    tn.write("export LD_LIBRARY_PATH=/var/tmp\n")
    print tn.read_until("# ",1)
    sleep(1)
    #set dir to /var/tmp
    tn.write("cd /var/tmp\n")
    print tn.read_until("# ",1)
    sleep(1)

    #uncomment to have a nice way to test configs
    tn.write("rm " + CONFIG + "\n")        
    print tn.read_until("# ",1)
    sleep(1)

    #list files
    tn.write("ls\n")        
    files=tn.read_until("# ",1)
    print file
    sleep(1)
    #config file

    if find(files,CONFIG)==-1:
        print ("get " + CONFIG + " from tftp")
        tn.write("tftp -g -l " + CONFIG + " " + TFTP + "\n")        
        print tn.read_until("# ",1)
        sleep(1)  
    else:
        print (CONFIG +" found")

    #check for libs
    for file in TFTP_FILES:
        if find(files,file)==-1:
            print ("get " + file + " from tftp")
            tn.write("tftp -g -l " + file + " " + TFTP + "\n")        
            print tn.read_until("# ",1)
            sleep(1)  
        else:
            print (file +" found")
        
    #make openvpn executeable
    tn.write("chmod +x openvpn \n")        
    print tn.read_until("# ",1)
    sleep(1)

    #kill openvpn job if already running for restart
    tn.write("killall openvpn\n")        
    print tn.read_until("# ",1)
    sleep(1)

    #start openvpn serverconfig
    tn.write("./openvpn --config " + CONFIG + " --dev-node /dev/misc/net/tun\n")
    sleep(1)
    temp = tn.read_until("UDPv4 link remote: [undef]",20)
    if find( temp, "UDPv4 link remote: [undef]")>0:
        print temp    
        print ("Server Online")
    else:
        print temp    
        print ("Server Error")
    sleep(1)
    tn.write("exit\n")        
    sleep(1)
    
else:
    print ("No connection");

print tn.close()
print ("telnet close")

Ihr müsst natürlich vorher euren tftp server starten und die files bereitstellen.

 

[xray84]

Ich habe dank diesem Forum nun auch einen OpenVPN Server auf der Box und mit dem OpenVPN Client klappt alles problemlos, aber ich würde gerne den in Windows integrierten Client nutzen. Leider habe ich dazu bisher wenig gefunden, hat diese Konstellation jemand hier hinbekommen?

Wäre dankbar für ein Feedback dazu

 

[shadow000]

Port80 und 21 TCP sind belegt...

443 schon probiert? ;-)

 

[Pumbaa80]

Um nochmal auf die Zertifikate zurückzukommen:

wie bekommt man den das Zertifikat auf die Box, dauerhaft!

Ich will nur noch mal eindringlich darauf hinweisen, dass das Nachladen von privaten Keys nichts aber auch garnichts mehr mit Sicherheit zu tun hat! Die Keys und Zertifikate gehören auf die Box und auch NUR auf die Box und nicht auf irgendeinen Webserver.

Bin neu in diesem Thread und habe openvpn (noch) nicht auf der Box, aber es sollte doch genauso funktionieren wie die Variante mit static.key.
Also einfach in die debug.cfg schreiben.
Habe openvpn auf dem PC laufen, und die Zertifiakte wurden erzeugt mit

openssl req -new -newkey rsa:1024 -out client.req -nodes -keyout client.sslkey -days 3650 -config openssl.cnf
openssl ca -days 3650 -out client.crt -in client.req -config openssl.cnf -keyfile ca.sslkey -cert ca.crt

Die sind im plain-text-Format, wo liegt also das Problem?
Habe ich was übersehen? :gruebel:

 

[coolmove]

Hi,

ich versuche vergeblich einen Server mit mehreren Clients auzubauen.

Ich bekomme folgenden Fehler an der Box:

Nov 3 18:22:25 igdd[350]: check_noip_devices: new iface tap0 found or changed
Nov 3 18:22:30 igdd[350]: join to mcast group 239.255.255.250 on interface XXX.XXX.XXX.XXX for 0.0.0.0:1900 failed - Address already in use (125)

Kann mir jemand beantworten was es mit diesem Port 1900 auf sich hat und ob das ein Problem beim austausch von Zertifikaten darstellt?

Wenn ja wie kann ich das Problem umgehen?

 

[Pumbaa80]

Hm, also bei mir funktioniert das auch nicht mit dem Multiclient-Server.
Es scheint aber nicht an der von Dir erwähnten Fehlermeldung zu scheitern.
Habe die debug.cfg von mfehr ( danke! )
übernommen, die ar7.cfg angepasst und folgende Konfiguration:

debug.cfg

/usr/sbin/telnetd -l /sbin/ar7login

sslurl="192.168.178.10"
sslurlx="/fritz"

while !(ping -c 1 $sslurl); do
sleep 5
done

cd /var/tmp
wget http://$sslurl$sslurlx/openvpn
wget http://$sslurl$sslurlx/fritz.ovpn
wget http://$sslurl$sslurlx/ca.crt
wget http://$sslurl$sslurlx/fritz.crt
wget http://$sslurl$sslurlx/dh1024.pem
chmod +x openvpn

cat > fritz.sslkey << "EOFRITZ"
-----BEGIN RSA PRIVATE KEY-----
[mein Private Key]
-----END RSA PRIVATE KEY-----
EOFRITZ
chmod 600 fritz.sslkey

/var/tmp/openvpn --mktun --cd /var/tmp --dev-type tap --dev-node /dev/misc/net/tun --dev tap0

ar7cfgfile=/var/flash/ar7.cfg
cat $ar7cfgfile > /var/tmp/ar7.cfg.backup
sed -e '/brinterfaces {$/,/}/s/"wdsdw3";/"wdsdw3", "tap0";/' < /var/tmp/ar7.cfg.backup > $ar7cfgfile
/etc/init.d/rc.net reload
cat /var/tmp/ar7.cfg.backup > $ar7cfgfile
/var/tmp/openvpn --cd /var/tmp --daemon --config fritz.ovpn
#echo "/var/flash/debug.cfg completed" > /var/tmp/I_am_done

(Ich sehe kein Problem in der Tatsache, dass die Zertifikate auf einem externen Server liegen; siehe http://openvpn.net/howto.html Abschnitt "Key Files")
fritz.ovpn:

local 192.168.178.1
client-to-client

log ovpn.log
server 10.0.0.0 255.255.255.0
;tun-mtu 1400
fragment 1300
mssfix
port 1194
proto udp
dev-node /dev/misc/net/tun
dev tap0
ca ca.crt
cert fritz.crt
key fritz.sslkey
dh dh1024.pem
keepalive 10 120
verb 7

client.ovpn:

remote fritz.box 1194
key client.sslkey
cert client.crt

dev-node VPN ;Name der Netzwerkverbindung

client
ns-cert-type server
nobind
proto udp
dev tap
fragment 1300
mssfix
ca ca.crt
verb 6

Zunächst scheint alles zu funktionieren, es werden einige Daten zum Handshake ausgetauscht, dieser schlägt aber fehl.
Irgendwann hört die Box einfach auf, Daten zu senden. Jedenfalls habe ich das so aus dem Log herausgelesen.
Woran kann das denn liegen?

[hr:37c2dcbbb6]

ich würde gerne den in Windows integrierten Client nutzen

Das klappt nicht. Dieser Client ist nicht openvpn-Kompatibel.

 

[BoLzI]

Ich hab jetzt mal eine Frage.
Was genau kann das OpenVPN als VPN-Server jetzt auf der Box?
Können da über das Internet z.B. mehrer FritzBoxen mit OpenVPN-Mod sich connecten, so daß man quasi lokal was zocken könnte?

Bzw. kann sich jemand mit nem VPN-Client auf den OpenVPN-Server der Fritzbox anmelden und ist dann im lokalen LAN angemeldet?

MFG, BoLzI

 

[Pumbaa80]

Ja und ja.
:doktor: http://de.wikipedia.org/wiki/Vpn

 

[coolmove]

Hi,

ich habe jetzt galube ich alles getestet um den multi server zum laufen zu bringen. Es scheitert leider immer wieder an den Zertifikaten.

könnte man das nicht umgehen in dem man die parameter

-client-cert-not-required
-auth-user-pass-verify <file> via-file

benutzt?

leider habe ich nicht gefunden wie ein solches file aussehen muss. Hat das schon jemand getestet?

 

[slu125]

Hallo!
Hab mir aus diesem Thread alle Informationen zusammengesucht, so dass OpenVPN als Client auf meiner FritzBox zu einem OpenVPN Server über das Internet verbindet.

Das Problem: Ich kann nicht von meinem Laptop der an der FritzBox (via LAN) angeschlossen ist auf den OpenVPN Server oder das dahinterliegende LAN zugreifen.

Folgende Daten zu meinem Netzwerk:

FritzBox LAN IP: 192.168.1.1
Laptop an Fritzbox IP: 192.168.1.4
FritzBox OpenVPN IP: 192.168.2.2
<<=Internet=>>
OpenVPN Server IP: 192.168.2.1
OpenVPN Server LAN IP: 192.168.0.3

Folgendes gibt einen Erfolg zurück:

fritzbox# ping 192.168.2.1
fritzbox# ping 192.168.0.3
server# ping 192.168.2.2
laptop# ping 192.168.2.2

Folgendes schlägt fehl:

server# ping 192.168.1.1
server# ping 192.168.1.4
erhalte jeweils die meldung:
From 213.196.xxx.xxx icmp_seq=1 Packet filtered
laptop# ping 192.168.2.1 ->TimeOut
laptop# ping 192.168.0.3 ->TimeOut

Vermutung: Die Firewallregeln der FritzBox filtern den Traffic für das Netz 192.168.0.0 und 192.168.2.0.

Wie und wo muss ich die Firewall entsprechend anpassen?

Schonmal vielen Dank im Voraus für eure Hilfe.

Grüße,
Stefan

P.S. Danke für die openvpn binary, olistudent.

 

[spoi]

also hat es denn jetzt jemand geschafft auf die fritzbox einen OpenVPN Server zu interlieren, so dass mehrere Clients aus dem Internet auf die Box connecten können und diese Clients sich dann so verhalten als ob diese per Netzwerkkabel direkt mit der Fritzbox verbunden währen.
Auth. währe am schönsten, wenn diese über PW und BN stattfinden könnte statt mit einem Zertifikat.

 

[coolmove]

@slu125:

Das sieht nach einem routing Problem aus. Hast du irgenwelche routes eingetragen?



@spoi:

bisher gibt es nur die möglichkeit über mehrere TAP/TUN devices ein verbindung zu mehreren Clients aufzubauen. Ein Master mit mehreren Clients scheitert immer wieder an dem TLS-Handshake.
Ich habe versucht nur über PW und BN zu gehen, aber leider komme ich mit dem authorize file des servers nicht klar. Vielleicht hast du ja noch ein paar Ideen.

Gruß
Oli

 

[Guest]

Hallo Leute, erstmal wollte ich sagen, dass ich dieses Board super toll finde aufgrund der tollen Dinge, die hier mit Routern angestellt werden! *hrhrhr

Also es geht darum, ich würde gerne OpenVPN und Etherwake auf meiner Fritzbox laufen lassen, die momentan noch die aktuellste 1und1-Firmware hat und nur konfiguriert wurde. Also keine Änderungen oder Mods!

Hat jemand von euch vll MSN-Messenger oder ICQ, der sich damit auskennt, damit wir darüber kommunizieren können? Das wäre klasse...

Hab nämlich keinen Plan wie ich das anstellen soll...

 

[fritzchen]

hier meine icq-Adresse:
http://ip-phone-forum.de/forum/viewtopic.php?t=26655

 

[Basty2]

Hallo Community,
leider bin ich nach 3 Stunden herumprobieren nicht weitergekommen. Ich habe den mod 4.28 drauf. Leider bekomme ich das mit openvpn nicht hin. Installiert hat der mit wget irgendwas, aber so richtig blick ich leider nicht durch. Es wäre super, wenn ihr jetzt, nachdem viel klar ist, eine leicht verständliche Anleitungen erstellt. Sorry, nur leider ist es immer schwierig, etwas nachzuvollziehen, das man nicht versteht und dann so verteilt ist.
Gruß

 

[fritzchen]

Hallo Basty2,

ich weiß leider nicht wo ich anfangen soll bei Deiner Beschreibung. Also schildere doch bitte was du probiert hast, was nicht funktioniert und welche Meldungen aussehen und vor allem wie Deine Konfiguration aussieht.

 

[Basty2]

Hallo Fritzchen,
danke das du dir die Zeit nimmst mein Problemchen dir anzuhören.
Da ich mich in der Materie überhaupt nicht auskenne und nur Bruchteile hier mitbekommen habe, fange ich einfach mal damit an, warum ich überhaupt meine so gut funktionierende Fritzbox ändern will.
Ich bin viel unterwegs und möchte deshalb von außen (andere Netzwerke) auf mein Heimnetzwerk zugreifen.
Mein Heimnetzwerk sieht so aus. Fritzbox (im Keller)- per stromlan zu einem Linksys WRT54G und von da in 2 PC-per LAN und an 3 PCs per W-LAN.
jetzt habe ich gehört, dass man auf der Fritzbox openvpn installieren kann und somit auf das heimische Netzwerk zugreifen kann.
Dies wollte ich machen.
Erst habe ich erfolglos versucht mit linux den mod 4.28. auf die aktuelle Firmware zu spielen.
ich habe einfach im internet geschaut, und unter http://www.darkyputz.de/Exchange/****
die schon installierte version für die 7050er.
Soweit so gut.
Dann habe ich die debug.cfg versucht zu editieren, d.h. bei openvpn=1 und den Server eingegeben, den ich gerade besorgt habe.
dann habe ich wget +server geladen und das hat funktioniert, danach habe chmod (war es glaube ich) ausgeführt. es stand nix da, also habe ich angenommen dass alles funktioniert hat.
Jetzt wollte ich neu booten und dann findet er openvpn nicht.
Also wie schon gesagt, eine Anleitung wäre super. Was vorallem wichtig ist, ist die Frage, windows / Linux und wie bekomme ich den auf der Fritzbox generierten schlüssel auf den Laptop? usw...
sorry, für dich klingt das bestimmt nach kindergarten.

 

[fritzchen]

Hi,

leider bist Du wohl auch einer von der Sorte, die lieber andere für sich arbeiten lassen wollen, sonst hättest Du diesen thread gelesen
hier http://ip-phone-forum.de/forum/viewtopic.php?p=176850#176850

findest Du z.B. eine kleine Anleitung. Zu beachten ist weiterhin, dass alles verloren geht bei einem Neustart, einzig der Inhalt der debug.cfg überlebt...