openvpn als gateway

Freifunk Firmware, Programme für den Router, Entwicklungen, Fragen und Anleitungen
Antworten
bwar
Beiträge: 206
Registriert: 03.04.2007 16:05

openvpn als gateway

Beitrag von bwar »

Hallo!

Ich werkel schon seit geraumer Zeit an einem vpn-gateway.
Ich habe mein vpn-Gateway nach dem wiki eingerichtet.

Ich habe das Problem, dass der Client einfach keine Gateway-IP zugewiesen bekommt, obwohl der Server eine Vergabe meldet.
Ich kann auch den VPN-Server im internen Netz nicht anpingen. (10.8.0.1)
Dabei habe ich meine Firewall deaktiviert.

Kann mir jemand sagen, wo der Fehler liegt?

Viele Grüße,

Bwar

Ausgabe vom Server (IPs teilweise verfälscht)

Code: Alles auswählen

ks359620:/etc/openvpn/keys# openvpn --config /etc/openvpn/keys/server.conf.txt 
Sun Nov  2 16:15:32 2008 OpenVPN 2.0.9 i486-pc-linux-gnu [SSL] [LZO] [EPOLL] built on Sep 20 2007
Sun Nov  2 16:15:32 2008 Diffie-Hellman initialized with 1024 bit key
Sun Nov  2 16:15:32 2008 WARNING: file '/etc/openvpn/keys/server01.key' is group or others accessible
Sun Nov  2 16:15:32 2008 TLS-Auth MTU parms [ L:1541 D:138 EF:38 EB:0 ET:0 EL:0 ]
Sun Nov  2 16:15:32 2008 TUN/TAP device tun0 opened
Sun Nov  2 16:15:32 2008 ifconfig tun0 10.8.0.1 pointopoint 10.8.0.2 mtu 1500
Sun Nov  2 16:15:32 2008 route add -net 10.8.0.0 netmask 255.255.255.0 gw 10.8.0.2
Sun Nov  2 16:15:32 2008 Data Channel MTU parms [ L:1541 D:1450 EF:41 EB:4 ET:0 EL:0 ]
Sun Nov  2 16:15:32 2008 UDPv4 link local (bound): [undef]:1194
Sun Nov  2 16:15:32 2008 UDPv4 link remote: [undef]
Sun Nov  2 16:15:32 2008 MULTI: multi_init called, r=256 v=256
Sun Nov  2 16:15:32 2008 IFCONFIG POOL: base=10.8.0.4 size=62
Sun Nov  2 16:15:32 2008 Initialization Sequence Completed
Sun Nov  2 16:15:44 2008 MULTI: multi_create_instance called
Sun Nov  2 16:15:44 2008 202.48.203.1:62859 Re-using SSL/TLS context
Sun Nov  2 16:15:44 2008 202.48.203.1:62859 Control Channel MTU parms [ L:1541 D:138 EF:38 EB:0 ET:0 EL:0 ]
Sun Nov  2 16:15:44 2008 202.48.203.1:62859 Data Channel MTU parms [ L:1541 D:1450 EF:41 EB:4 ET:0 EL:0 ]
Sun Nov  2 16:15:44 2008 202.48.203.1:62859 Local Options hash (VER=V4): '239669a8'
Sun Nov  2 16:15:44 2008 202.48.203.1:62859 Expected Remote Options hash (VER=V4): '3514370b'
Sun Nov  2 16:15:44 2008 202.48.203.1:62859 TLS: Initial packet from 202.48.203.1:62859, sid=ad3ab9d4 40c04e20
Sun Nov  2 16:15:59 2008 202.48.203.1:62859 VERIFY OK: depth=1, /C=DE/ST=SA/L=HALLE/O=OpenVPN/CN=micha/emailAddress=me@myhost.mydomain
Sun Nov  2 16:15:59 2008 202.48.203.1:62859 VERIFY OK: depth=0, /C=DE/ST=SA/O=OpenVPN/CN=vpnclient01/emailAddress=me@myhost.mydomain
Sun Nov  2 16:16:01 2008 202.48.203.1:62859 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Sun Nov  2 16:16:01 2008 202.48.203.1:62859 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Sun Nov  2 16:16:01 2008 202.48.203.1:62859 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Sun Nov  2 16:16:01 2008 202.48.203.1:62859 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Sun Nov  2 16:16:01 2008 202.48.203.1:62859 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
Sun Nov  2 16:16:01 2008 202.48.203.1:62859 [vpnclient01] Peer Connection Initiated with 141.48.223.1:62859
Sun Nov  2 16:16:01 2008 vpnclient01/141.48.223.1:62859 MULTI: Learn: 10.8.0.6 -> vpnclient01/141.48.223.1:62859
Sun Nov  2 16:16:01 2008 vpnclient01/141.48.223.1:62859 MULTI: primary virtual IP for vpnclient01/141.48.223.1:62859: 10.8.0.6
Sun Nov  2 16:16:07 2008 vpnclient01/141.48.223.1:62859 PUSH: Received control message: 'PUSH_REQUEST'
Sun Nov  2 16:16:07 2008 vpnclient01/141.48.223.1:62859 SENT CONTROL [vpnclient01]: 'PUSH_REPLY,redirect-gateway def1,dhcp-option DNS 91.121.158.185,dhcp-option DNS 213.186.33.99,[B]route 10.8.0.1[/B],ping 20,ping-restart 180,ifconfig 10.8.0.6 10.8.0.5' (status=1)

Config des Servers:

Code: Alles auswählen

server 10.8.0.0 255.255.255.0

dev tun
port 1194
proto udp

ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/server01.crt
key /etc/openvpn/keys/server01.key
dh /etc/openvpn/keys/dh1024.pem

# Nächste 3 Zeilen erst aktivieren wenn die VPN Verbindung klappt
push "redirect-gateway def1" # leitet den Internettraffic am Client zum Server um
push "dhcp-option DNS 91.121.158.185" # DNS-Server 1
push "dhcp-option DNS 213.186.33.99" # DNS-Server 2 (falls vorhanden)

ping-timer-rem
keepalive 20 180

persist-key
persist-tun

# user nobody # hier könnt ihr einen unprivilegierten User einstellen unter dem OpenVPN nach dem Start läuft
# group nogroup # und eine Gruppe

verb 3
mute 50


Config des Clients:

Code: Alles auswählen

client

remote 91.121.158.185 1194 # Hostname/externe IP und Port des Servers
proto udp
dev tun

# Hier die Pfade anpassen um auf die erstellten Keys zu verweisen
ca ca.crt
cert vpnclient01.crt
key vpnclient01.key
ns-cert-type server

verb 3
mute 50

Eintrag für IP-Tables:

Code: Alles auswählen

echo "1" > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o eth0 -s 10.8.0.0/24 -j SNAT --to 91.121.158.185
iptables -t nat -A POSTROUTING -o eth0 -s 10.8.0.0/24 -j MASQUERADE
ipconfig auf dem Client:

Code: Alles auswählen

Windows IP Configuration

   Host Name . . . . . . . . . . . . : Studi-PC
   Primary Dns Suffix  . . . . . . . :
   Node Type . . . . . . . . . . . . : Hybrid
   IP Routing Enabled. . . . . . . . : No
   WINS Proxy Enabled. . . . . . . . : No

Ethernet adapter Local Area Connection 5:

   Connection-specific DNS Suffix  . :
   Description . . . . . . . . . . . : TAP-Win32 Adapter V8
   Physical Address. . . . . . . . . : 00-FF-EF-99-48-06
   DHCP Enabled. . . . . . . . . . . : Yes
   Autoconfiguration Enabled . . . . : Yes
   IPv4 Address. . . . . . . . . . . : 10.8.0.6(Preferred)
   Subnet Mask . . . . . . . . . . . : 255.255.255.252
   Lease Obtained. . . . . . . . . . : Sonntag, 2. November 2008 16:57:41
   Lease Expires . . . . . . . . . . : Montag, 2. November 2009 16:57:41
   Default Gateway . . . . . . . . . :
   DHCP Server . . . . . . . . . . . : 10.8.0.5
   DNS Servers . . . . . . . . . . . : 91.121.158.185
                                       213.186.33.99
   NetBIOS over Tcpip. . . . . . . . : Enabled

わたちはまるゆです。
bwar
Beiträge: 206
Registriert: 03.04.2007 16:05

Re: openvpn als gateway

Beitrag von bwar »

Nochmals vielen Dank für die rege Anteilnahme. ;-)

Das Problem ist gefunden, aber nicht gelöst. Unter Vista lässt sich wegen den Administratorrechten keine neue Route vergeben. Auch nicht als workaround manuell.
Unter XP läuft alles prima.

Falls sich jemand ausprobieren möchte und über ein VPN-Gateway surfen will, kann mir bescheid geben. Ich würde einen Zugang herrichten.
わたちはまるゆです。
mono
Beiträge: 458
Registriert: 20.09.2006 09:14
Wohnort: Halle

Re: openvpn als gateway

Beitrag von mono »

Du musst dich wohl damit abfinden, das Du ab jetzt der Spezialist für das Thema bist :mrgreen:
Benutzeravatar
tox
Beiträge: 1417
Registriert: 11.08.2007 16:33
Wohnort: Halle
Kontaktdaten:

Re: openvpn als gateway

Beitrag von tox »

nuja, wenn es an den fehlenden berechtigungen liegt, hilft es denn nichts, wenn du die konsole mal als admin startest?
みんなはばかだ。
Mein öffentlicher Schlüssel (OpenPGP)
Mein öffentlicher Schlüssel (SSH2, kommerzielles Format)
Verwalter von 7.42, 7.43, 7.44, 9.42, 10.42, 10.43, 15.42 und 28.1.
Anschluss: T-Com Call & Surf Comfort Plus inkl. HotSpot-Flat 16/1 Mbit
Modem, Router, TK-Anlage: Speedport W 700V
FF-Router: Buffalo WHR-HP-G54, FFF-Leipzig 1.6.10-core-1-halle-3, Doppel-Biquad-Antenne
3dfxatwork
Beiträge: 1271
Registriert: 29.07.2007 21:40
Wohnort: Halle

Re: openvpn als gateway

Beitrag von 3dfxatwork »

Da du ja nun der spezialist bist: Wie bekomme ich die alte Standardroute zurück, wenn ich openvpn auf dem client beende, oder geschieht das automatisch ?
Anschluss: Muth 100/2MBit Modem: Thomson THG570
Router: virtuelles Endian 3.0 (KVM) Hardware: FX-8120, 16 GB Ram
FF-Gateway: virtuelles OpenWRT Attitude Adjustment (KVM) inkl. VPN
Buffalo WHR-HP-G54: OpenWRT 1.6.10-core-1-halle-3 (Stummel)
bwar
Beiträge: 206
Registriert: 03.04.2007 16:05

Re: openvpn als gateway

Beitrag von bwar »

Unter Vista läuft es auch nicht, wenn man die Konsole als Admin ausführt.

Die Standartroute wird unter XP nicht mehr automatisch vergeben. Ich musste es immer wieder manuell umstellen.
わたちはまるゆです。
3dfxatwork
Beiträge: 1271
Registriert: 29.07.2007 21:40
Wohnort: Halle

Re: openvpn als gateway

Beitrag von 3dfxatwork »

gibt es sowas wie push-on-close oder sowas, damit ich automatisch die alte standard route zurück bekomme?
Anschluss: Muth 100/2MBit Modem: Thomson THG570
Router: virtuelles Endian 3.0 (KVM) Hardware: FX-8120, 16 GB Ram
FF-Gateway: virtuelles OpenWRT Attitude Adjustment (KVM) inkl. VPN
Buffalo WHR-HP-G54: OpenWRT 1.6.10-core-1-halle-3 (Stummel)
4huf
Beiträge: 677
Registriert: 19.04.2007 14:56
Wohnort: Zscherben

Re: openvpn als gateway

Beitrag von 4huf »

Ich versuche mich mal. Ich betreibe ein openvpn-Gateway in meine Firma.
Allerdings biege ich nicht das default-Gateway um sondern pushe nur die Routing-
und DNS-Informationen für die entsprechenden Netze zum Client.
Das geht problemlos.
In der Firma hab ich noch einen openvpn-Client auf einem W2K-Server der den Remotezugang
für einen Dienstleister bereit stellt.
Der Client bekommt auch öfter keine IP nach der Einwahl und hat dann eine 169er Adresse
Hier hilft immer ein "ipconfig /renew" auf der Kommandozeile.

Zum Vista:
Welche Version vom openvpn nimmst du ?
openvpn-2.1_rc7 soll Vista-fähig sein.
Das man trotz Anmeldung als Administrator Programme trotzdem mit "Rechtsclick/Als Adminitrator ausführen" starten muss ist dir bekannt ?
Ich glaube das trifft auch ( oder gerade) für die Installation zu.
Im Vergleich der client-configs von hier https://po2.uni-stuttgart.de/~ruslucas/openvpn-howto/
fällt auf das die dort für Vista diese 2 Zeilen extra haben :
# Windows Vista
route-method exe
route-delay 2
Außerdem wäre interessant was der Client im Log schreibt.
. eine Antenne ist der beste HF-Verstärker
.funktionierende Antennen : Short-Backfire, AMOS-5, AMOS-3, Doppelquad, 4fach-Quad
bwar
Beiträge: 206
Registriert: 03.04.2007 16:05

Re: openvpn als gateway

Beitrag von bwar »

4huf hat geschrieben:
Das man trotz Anmeldung als Administrator Programme trotzdem mit "Rechtsclick/Als Adminitrator ausführen" starten muss ist dir bekannt ?
Ja, das ist mir bekannt. Ich habe allerdings schon lange Wut auf Vista, weshalb ich nach der Aktion das OS von meiner Platte verbannt habe.

Danke der Nachfrage.
わたちはまるゆです。
4huf
Beiträge: 677
Registriert: 19.04.2007 14:56
Wohnort: Zscherben

Re: openvpn als gateway

Beitrag von 4huf »

Glückwunsch :!:
Ich nutze es ja auch nicht, nur NX3 hat es auf seinem Notebook und ab und an kommt
man in der Firma bei privaten Notebooks in Kontakt.
Als Firma machen wir auch einen Bogen drum ...
. eine Antenne ist der beste HF-Verstärker
.funktionierende Antennen : Short-Backfire, AMOS-5, AMOS-3, Doppelquad, 4fach-Quad
mono
Beiträge: 458
Registriert: 20.09.2006 09:14
Wohnort: Halle

Re: openvpn als gateway

Beitrag von mono »

Ich bin dankbar für Vista.
War für mich der letzte Arschtritt um (fast) komplett auf Linux umzusteigen.
Antworten