VPN-Server in Box integrieren

[chriwi]

Hallo Joerg,

ich weis schon was du meinst, ich habe wirklich hauptsaechlich mit der GUI-Methode experimentiert, habe aber auch die Methode mit der 7xx Nummer versucht (hier im Heimnetz) aber auch ohne Erfolg.

.

 

[q-stkr]

Zugriff auf Netzwerk nicht möglich!

Hallo,

ich habe ein riese Problem wo ich schon ziemlich lange dran rumbastle. Ich hoffe ihr könnt mir helfen:

Ich versuche wie viele hier eine Verbindung eines OpenVPN-Clients zu meinem Netzwerk meiner Fritzbox zu Hause aufzubauen. Hier ist der wichtigste Teil meiner debug.cfg:

[I]... ich habe das ganze ein bisschen gekürzt ...[/I]


# write 'server.conf' to file
cat > /var/tmp/server.conf << 'END-SERVER-OVPN'
# OpenVPN v2.0.5 config:
#
# Grundsaetzliches
port 1187
proto udp
dev tap
# Server-Einstellungen
mode server
tls-server
server 192.168.0.0 255.255.255.0
client-to-client
# Dies ist der IP-Bereich von eurem FritzBox-LAN
push "route 192.168.3.0 255.255.255.0"
push "dhcp-option route-gateway 192.168.3.1"
push "redirect-gateway"
# Authentifizierung und Verschluesselung
ca /var/tmp/ca.crt
cert /var/tmp/fritzbox.crt
key /var/tmp/fritzbox.key
dh /var/tmp/dh2048.pem
auth SHA1
cipher AES-256-CBC
# Sonstiges
ping 10
push "ping 10"
ping-restart 60
push "ping-restart 60"

END-SERVER-OVPN

# Programmdatei nachladen
...

# ausfhrbar machen
chmod +x /var/tmp/openvpn
chmod 0600 /var/tmp/server.conf
chmod 0600 /var/tmp/ca.key
chmod 0600 /var/tmp/fritzbox.key
chmod 0600 /var/tmp/server.conf

# OpenVPN als Daemon starten
mknod /var/tmp/tap c 10 200
/var/tmp/openvpn --cd /var/tmp --config server.conf --dev-node /var/tmp/tap

Und noch meine Clientdatei:

# OpenVPN v2.0.5 config:
#
# Grundsätzliches (Was soll der CLIENT nutzen)
port 1187
proto udp
dev tap
# Client-Einstellungen
tls-client
ns-cert-type server
remote XXXXXXXX
# Authentifizierung und Verschlüsselung
ca ca.crt
cert client01.crt
key client01.key
auth SHA1
cipher AES-256-CBC
# Sonstiges
pull

Die Verbindung steht ohne Probleme, aber ich kann weder etwas aus dem Netzwerkbereich 192.168.0.0-255.255.255.0 noch 192.168.2.1-255.255.255.0 pingen.
Des weiteren ist mir aufgefallen, dass trotz ping-Einträgen, die Verbindung des öfteren mal zusammenbricht!

Weiß jemand was ich falsch mache?

Würde mich über eine kurze Info sehr freuen.

Gruß
q-stkr

 

[chriwi]

Hallo q_stkr,

schau mal nachdem routing, das war bei mir das Problem und ist hier weiter oben beschreiben, war glaube ich so im August.

 

[q-stkr]

Hallo,

danke für deine schnelle Antwort.
Ich befürchte irgendwo da liegt das Problem. Ich habe schon versucht, die die Route durch Push (in der Server.conf) und auch in der Client.conf einzutragen, ohne Erfolg.
Im Log habe ich folgenden Eintrag gefunden:

Mon Jan 28 14:05:47 2008 OpenVPN ROUTE: omitted no-op route: 192.168.3.1/255.255.255.255 -> 192.168.3.1

Ich habe noch eine andere Vermutung:
Ich musste folgenden Befehl anwenden um ein TUN/TAP-Interface zu erstellen, da das ursprüngliche nicht vorhanden war. Dies habe ich durch folgenden Befehl gemacht:

mknod /var/tmp/tap c 10 200

Kann es vielleicht sein, dass alles zwar durch den Tunnel gesendet wird, aber es an dem neu erstellten Interface scheitert?
Ich habe sonst keinerlei Einstelungen vorgenommen, lediglich den entsprechenden Port gewordwarded, und die Einträge wie beschrieben in die debug.cfg gesetzt.

Kann da das Problem liegen?

 

[MaxMuster]

Ich vermute, du hast eher ein "Routingverständnisproblem" ;-)


Dein Client bekommt eine IP aus dem Netz 192.168.0.0. Die zugehörige Server-IP solltest du vom Client erreichen (192.168.0.1). Wenn du dem Client Routen "mitgeben" willst, so zielen diese in dieses "VPN-Netz".
Eine Route, die als "next-hop" im Netz 192.168.3.0 ist, kannst du daher nicht einrichten, denn das Netz ist nicht direkt erreichbar.

Skizzier doch mal, welche Netze wo sind und was von wo erreicht werden soll.
Am besten dann noch die Routingtabelle vom Client ohne und mit aufgebautem VPN.

Jörg

 

[q-stkr]

Hallo,

ich wollte den klassische Zugriff von Außen auf ein Netzwerk erstellen:

             Fritz!Box--------------[Internet]------------Irgendein Router
           192.168.3.1                                               192.168.100.1 (egal)
        192.168.0.1 (VPN Server)                                  |                  |              
       |                  |                                    PC-A               PC-B
     PC-1               PC-2                            192.168.100.3     192.168.100.2
192.168.3.2       192.168.3.3                192.168.0.2 (VPN Client)

Ich wollte nun gerne von einem beliebigen Punkt (wie zum Beispiel PC-A) auf meine Rechner im Privatnetzwerk (PC-1 und PC-2) zugreifen.

Die zugehörige Server-IP solltest du vom Client erreichen (192.168.0.1).

Dies ist leider auch schon nicht möglich, was mich schon sehr stutzig macht.

Was denkst du denn soll ich wo als Route setzen, bzw Route pushen??

 

[xargs]

PPtPD Server VPN Fritzbox

Hi an alle
Ich versuche verzweifelt in das Dsmod 26.15.2 unter dem Images 29.04.37 den PPTPD VPN Server für in die fritzbox 7170 ins laufen zu bringen. Installiert wird er nur wenn ich unter DSMOD DEN server starten will schlägt dieses fehl! Unter telent mit start pptpd kommt die Fehlermeldung can't resolve symbol: __uClibc_start_main?? Hat jemand es geschafft den PPTPD in Laufen zu kriegen!! ???

mfg Christian

 

[jojo-schmitz]

Dann hast DU wohl einen PPTPD, der für einen älteren 2.4er Kernel kompiliert und gegen die dazugehörige uclibc gelinkt wurde.

 

[xargs]

Dann hast DU wohl einen PPTPD, der für einen älteren 2.4er Kernel kompiliert und gegen die dazugehörige uclibc gelinkt wurde.

Danke für info gibt es denn ppTpd für 2.6 wenn ja wo habe alles druchsucht ???
lg chris

 

[AndreR]

Schonmal im WIKI gesucht? Link zu dem Paket in meiner Sig und zum Wiki hier:http://wiki.ip-phone-forum.de/software:ds-mod:pakete:pptp

 

[xargs]

Schonmal im WIKI gesucht? Link zu dem Paket in meiner Sig und zum Wiki hier:http://wiki.ip-phone-forum.de/software:ds-mod:pakete:pptp

Danke Andre für den Tipp habs gefunden ! lg Christian

 

[MaxMuster]

@q-stkr
Wenn du vom VPN-Client nichtmal den VPN-Server erreichen kannst, ist noch was grundsätzliches im Argen. Du solltest von 192.168.0.1 die 192.168.0.2 per Ping erreichen können und umgekehrt, danach kann man dann das Routing für die Netze eintragen.... (obwohl das mit einem push "redirect-gateway" eigentlich unnötig ist, dann damit "verbiegst" du das Routing so, dass alle Zugriffe vom Client nur noch über den VPN-Server gehen und nicht mehr über den lokalen Internetzugang.)

Poste doch bitte einmal das ganze Log des Verbindugsaufbaus und auch die Routingtabelle nach dem Verbindungsaufbau.

Jörg

 

[jailbird]

Bin ich hier richtig??

Tach!

Ich benutze eine 7170 an die Windoof, Linux und Dreambox angeschlossen sind. Ich möchte aus der Ferne die Geräte (PCs & Dreambox) erreichen - die Fritzbox nur optional. Telnet oder ssh würden reichen.

Mein Arbeitsplatzrechner ist ziemlich vernagelt. Hänge in einem riesigen Netzwerk, wo auch sehr viel gesperrt ist (.
Folgendes ist gegeben:

• Windows XP
• in der Domäne nur normaler User
• lokal auch Admin
• ziemlich vernagelte Firewall

Anscheinend sind nicht alle Ports offen. Ich kann http-surfen und auch vom AVM ftp-Server downloaden.
Meine fritzbox ist per DynDns samt eingesteckten USB-Stick aus dem "normalen" Internet erreichbar. Auf der Arbeit erscheint die Meldung:

Fatal Error
connect failed: Operation timed out. No response from server 89.01.123.123:80

Generated by your GeNUGate-Proxy (/usr/local/xx/sbin/wwwrelay) on xxxx.xx.xxx.de
Einiges wurde von mir anonymisiert

Ich lese mich gerade durch freetz und ovpn durch. Ich will auch nicht als lesefaul gebrandmarkt werden.


Bin ich da auf dem richtigen Weg? :noidea:
Ist das überhaupt machbar? Oder macht mir die IT ein Strich durch Rechnung? :cry:

Gilt für mich das hier ?

 

[frank_m24]

Hallo,

@funkwerk-ec: Ein VPN Server wird dir nur sehr bedingt weiterhelfen.

Dein größtes (technisches) Problem dürfte der Proxy bei euch in der Firma sein. Damit sind Standard Telnet, SSH und OpenVPN wohl allesamt nicht machbar. Dass die Box auf Port 80 nicht reagiert hat, ist kein Wunder: Der Port wird natürlich von der Box auf dem WAN Interface geblockt.

Einzige Chance wäre also, einen Server (Telnet, SSH, OpenVPN) so auf der Box einzurichten, dass der Proxy und die Firewall die Daten dahin durchlässt. ABER: Du bist dir darüber im Klaren, dass du damit ein großes Loch in die Firewall deiner Firma reißt? Über solche Umwege einen Zugriff zu ermöglichen, der von euren Admins mit viel Aufwand gesperrt wird, setzt einige kriminelle Energie voraus, das ist kein Zufall mehr. Anders ausgedrückt: Wirst du erwischt - oder noch schlimmer: fängst du dir einen Virus oder Trojaner über den Tunnel ein - dann möchte ich nicht in deiner Haut stecken, denn das hat mit Sicherheit arbeitsrechtliche Konsequenzen zur Folge. Und wenn du wirklich pfiffige Admins vor der Nase hast, dann werden sie feststellen, dass du eine Schwachstelle in ihrem System nutzt.

 

[jailbird]

@ frank_m24


Danke erstmal für deine Antwort. Mir bleiben noch zwei Fragen:

1. Warum kann ich einen AVM ftp-Server erreichen aber nicht den USB-Stick an meiner Fritzbox?
   
2. Gibt es einen anderen Ansatz, z.B. VNC?
   Ich will weder die Netzwerksicherheit im Netz auf der Arbeit aufbrechen, noch irgendwelche anderen unsauberen Lösungen durchführen.

Vielleicht bin auch zu naiv, aber ich dachte wenn per http unbeschränken Zugriff aufs www habe, dass ich dann auch irgendwie auf mein Heimnetzwerk komme.

Gruß,

 

[MaxMuster]

Ohne Aufwand kommst du nicht weiter. Die einzige, auch "legale" Variante wäre, dich "per Weboberfläche" auf die Fritz zu schalten, und von dort aus in dein Netz zu gehen. Du bräuchtest also einen http(s) Server auf der FB, die dir eine "WEB-Shell" bereitstellt, mit der du in dein LAN kommst.
Ein gaaanz einfacher Ansatz in der Richtung wäre die "Rudishel" aus dem ds-mod

Wenn du das umsetzen und ausbauen willst, fänden sich bestimmt viele Interessierte...

Jörg

 

[jailbird]

@MaxMuster

Aha, ein Newbie soll etwas neues bauen.

Na ja, grundsätzlich habe nichts dagegen, ausser ein bißchen Angst. Aber der Mensch wächst ja mit den Herausforderungen.

Nochmal (weil es zunächt für mich einfacher wäre) VNC.

Mit VNC habe ich schonmal gearbeitet, das mit der RudiShell habe ich erst einmal quergelesen.

Kann ich nicht 'einfach' per https (das Protokoll ist frei -Onlinebanking) auf meine fritzbox -> Port forwarding auf Ubuntu VNC und dort über VNC eine Konsole öffnen?

Würde da nicht die Sache mit der virtuelle weitergeleiteten Fritzbox-Netzwerkarte reichen?
(Obwohl ich ahne, dass das auch nicht in 2 Minuten geht.) Nach diesen Anfangserfolgen würde ich mich dann sicherlich weiter vortasten.

 

[chriwi]

Hallo funkwerk-ec,

ich kenndie Rudishell jetzt zwar nicht, aber so eine zu konfigurieren wenn sie schon im DS-Mod drin ist ist bestimmt auch nicht schwerer alsein VPN aufzubauen.
Ich hätte an sowas auch interesse bin aber Momentan mit zu vielen anderen Projekten beschäftigt.

 

[MaxMuster]

Also, neben den "rechtlichen Bedenken": Wenn du direkt vom PC (ohne Proxy) den Internetbrowser nutzen kannst, könntest du den https-Port wohl dafür "missbrauchen" (hier gilt wie überall "Versuch macht kluch" ;-))

EDIT: Du könntest, fällt mir gerade ein, versuchen, https auf den VNC "Java-Port" weiterzuleiten, dann könntest du wohl mit dem Browser auf den PC drauf?!?

Jörg

 

[jailbird]

@MaxMuster und Interessierte

Den proxy-freien PC habe ich nicht wirklich nahe am Arbeitsplatz. Den kann ich nur in der Pause nutzen.

Ich habe hier etwas von NX gelesen. Allerdings startet am proxy-angeschlossenen Rechner dann Java und irgendwie läuft das nicht. Da bin ich noch in der Findungsphase.

Beruflich nutze ich intern Programme die Java erfordern. Kann es sein, dass Java extern (www) gesperrt ist?

Schönes WE