Openvpn-Server eingerichtet, und jetzt?

[Osprey]

AW: Openvpn-Server eingerichtet, und jetzt?

Nein, der Browser ist nicht zu ändern. Das Icon unten sollte "grün" werden. Kannst du es vom Handy aus probieren oder einen anderen openvpn Client?

 

[freddchen]

AW: Openvpn-Server eingerichtet, und jetzt?

$IPT -A INPUT -p icmp -m icmp --icmp-type 8 -j DROP

damit haus du alle eingehenden pings raus, sowohl ausm internet als auch ausm vpn.


kannste auch drin stehen lassen, füg aber davor in der VPN Sektion folgendes hinzu:

$IPT -A INPUT -p icmp -i tun+ -j ACCEPT
$IPT -A OUTPUT -p icmp -o tun+ -j ACCEPT

dann müsste der ping im VPN klappen.
zumindest zum Server. Andere clients kannst du dann aber wahrscheinlich immernoch nicht pingen

 

[axel]

AW: Openvpn-Server eingerichtet, und jetzt?

Das Icon unten sollte "grün" werden.

Da haben wir schon den Fehler. So ein Käse...

Ja mit dem iPhone, aber das ist ja noch mehr gekasper, oder?

Edit:

@freddchen, leider nicht (Einträge an die "VPN-Sektion" angehängt; Firewall neugestartet):

C:\Users\xxx>ping 10.10.0.1

Ping wird ausgeführt für 10.10.0.1 mit 32 Bytes Daten:
Zeitüberschreitung der Anforderung.
Zeitüberschreitung der Anforderung.

Ping-Statistik für 10.10.0.1:
Pakete: Gesendet = 2, Empfangen = 0, Verloren = 2
(100% Verlust),
STRG-C
^C

######################################

So, vielleicht hilft das Syslog vom Server weiter (aus dem ich nicht wirlich schlau werde leider):

Spoiler

Aug 16 21:38:38 xxx ovpn-server[595]: x.x.x.x:56518 TLS: Initial packet from [AF_INET]x.x.x.x:56518, sid=161a532d 1972fce7
Aug 16 21:38:38 xxx ovpn-server[595]: x.x.x.x:56518 VERIFY ERROR: depth=1, error=self signed certificate in certificate chain: C=DE, ST=BY, L=STADT, O=DOMAIN VPN, CN=DOMAIN VPN CA, name=EasyRSA, emailAddress=root@DOMAIN
Aug 16 21:38:38 xxx ovpn-server[595]: x.x.x.x:56518 TLS_ERROR: BIO read tls_read_plaintext error: error:140890B2:SSL routines:SSL3_GET_CLIENT_CERTIFICATE:no certificate returned
Aug 16 21:38:38 xxx ovpn-server[595]: x.x.x.x:56518 TLS Error: TLS object -> incoming plaintext read error
Aug 16 21:38:38 xxx ovpn-server[595]: x.x.x.x:56518 TLS Error: TLS handshake failed
Aug 16 21:38:38 xxx ovpn-server[595]: x.x.x.x:56518 SIGUSR1[soft,tls-error] received, client-instance restarting

(xxx = hostname, x.x.x.x = öffentliche IP Zuhause, a.b.c.d = IP des Servers, Domain = Topleveldomain)

So wie es aussieht habe ich irgendwie ein "Handshake"-Problem bei der Verbindung(?). :emoticon-0150-hands :JC_hmmm:

Wo kann ich den Fehler suchen?

 

[axel]

AW: Openvpn-Server eingerichtet, und jetzt?

Also...

es läuft!!! :emoticon-0169-dance:dance4:arty::yahoo:

Log:

Spoiler

Mon Aug 17 00:30:15 2015 Warning: cannot open --log file: C:\Program Files\OpenVPN\log\WORKSTATION.log: Zugriff verweigert (errno=5)
Mon Aug 17 00:30:15 2015 OpenVPN 2.3.8 x86_64-w64-mingw32 [SSL (OpenSSL)] [LZO] [PKCS11] [IPv6] built on Aug 4 2015
Mon Aug 17 00:30:15 2015 library versions: OpenSSL 1.0.1p 9 Jul 2015, LZO 2.08
Mon Aug 17 00:30:15 2015 MANAGEMENT: TCP Socket listening on [AF_INET]127.0.0.1:25340
Mon Aug 17 00:30:15 2015 Need hold release from management interface, waiting...
Mon Aug 17 00:30:15 2015 MANAGEMENT: Client connected from [AF_INET]127.0.0.1:25340
Mon Aug 17 00:30:15 2015 MANAGEMENT: CMD 'state on'
Mon Aug 17 00:30:15 2015 MANAGEMENT: CMD 'log all on'
Mon Aug 17 00:30:15 2015 MANAGEMENT: CMD 'hold off'
Mon Aug 17 00:30:15 2015 MANAGEMENT: CMD 'hold release'
Mon Aug 17 00:30:16 2015 Socket Buffers: R=[65536->65536] S=[65536->65536]
Mon Aug 17 00:30:16 2015 MANAGEMENT: >STATE:1439764216,RESOLVE,,,
Mon Aug 17 00:30:16 2015 UDPv4 link local: [undef]
Mon Aug 17 00:30:16 2015 UDPv4 link remote: [AF_INET]a.b.c.d:1194
Mon Aug 17 00:30:16 2015 MANAGEMENT: >STATE:1439764216,WAIT,,,
Mon Aug 17 00:30:16 2015 MANAGEMENT: >STATE:1439764216,AUTH,,,
Mon Aug 17 00:30:16 2015 TLS: Initial packet from [AF_INET]a.b.c.d:1194, sid=1275f6bd 599ecb2f
Mon Aug 17 00:30:16 2015 VERIFY OK: depth=1, C=DE, ST=NRW, L=STADT, O=DOMAIN, CN=DOMAIN CA, name=EasyRSA, emailAddress=root@DOMAIN
Mon Aug 17 00:30:16 2015 VERIFY OK: nsCertType=SERVER
Mon Aug 17 00:30:16 2015 VERIFY OK: depth=0, C=DE, ST=NRW, L=STADT, O=DOMAIN, CN=xxx, name=EasyRSA, emailAddress=root@DOMAIN
Mon Aug 17 00:30:16 2015 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Mon Aug 17 00:30:16 2015 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Mon Aug 17 00:30:16 2015 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Mon Aug 17 00:30:16 2015 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Mon Aug 17 00:30:16 2015 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 2048 bit RSA
Mon Aug 17 00:30:16 2015 [xxx] Peer Connection Initiated with [AF_INET]a.b.c.d:1194
Mon Aug 17 00:30:17 2015 MANAGEMENT: >STATE:1439764217,GET_CONFIG,,,
Mon Aug 17 00:30:18 2015 SENT CONTROL [ns305085]: 'PUSH_REQUEST' (status=1)
Mon Aug 17 00:30:18 2015 PUSH: Received control message: 'PUSH_REPLY,route 10.10.0.1,topology net30,ping 10,ping-restart 120,ifconfig 10.10.0.6 10.10.0.5'
Mon Aug 17 00:30:18 2015 OPTIONS IMPORT: timers and/or timeouts modified
Mon Aug 17 00:30:18 2015 OPTIONS IMPORT: --ifconfig/up options modified
Mon Aug 17 00:30:18 2015 OPTIONS IMPORT: route options modified
Mon Aug 17 00:30:18 2015 do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
Mon Aug 17 00:30:18 2015 MANAGEMENT: >STATE:1439764218,ASSIGN_IP,,10.10.0.6,
Mon Aug 17 00:30:18 2015 open_tun, tt->ipv6=0
Mon Aug 17 00:30:18 2015 TAP-WIN32 device [Ethernet 2] opened: \\.\Global\{E0345480-AFCA-4A69-9DC1-E7DDE440563D}.tap
Mon Aug 17 00:30:18 2015 TAP-Windows Driver Version 9.21
Mon Aug 17 00:30:18 2015 Notified TAP-Windows driver to set a DHCP IP/netmask of 10.10.0.6/255.255.255.252 on interface {E0345480-AFCA-4A69-9DC1-E7DDE440563D} [DHCP-serv: 10.10.0.5, lease-time: 31536000]
Mon Aug 17 00:30:18 2015 NOTE: FlushIpNetTable failed on interface [6] {E0345480-AFCA-4A69-9DC1-E7DDE440563D} (status=5) : Zugriff verweigert
Mon Aug 17 00:30:23 2015 TEST ROUTES: 1/1 succeeded len=1 ret=1 a=0 u/d=up
Mon Aug 17 00:30:23 2015 MANAGEMENT: >STATE:1439764223,ADD_ROUTES,,,
Mon Aug 17 00:30:23 2015 C:\Windows\system32\route.exe ADD 10.10.0.1 MASK 255.255.255.255 10.10.0.5
Mon Aug 17 00:30:23 2015 ROUTE: route addition failed using CreateIpForwardEntry: Zugriff verweigert [status=5 if_index=6]
Mon Aug 17 00:30:23 2015 Route addition via IPAPI failed [adaptive]
Mon Aug 17 00:30:23 2015 Route addition fallback to route.exe
Mon Aug 17 00:30:23 2015 env_block: add PATH=C:\Windows\System32;C:\WINDOWS;C:\WINDOWS\System32\Wbem
Mon Aug 17 00:30:23 2015 ERROR: Windows route add command failed [adaptive]: returned error code 1
Mon Aug 17 00:30:23 2015 Initialization Sequence Completed
Mon Aug 17 00:30:23 2015 MANAGEMENT: >STATE:1439764223,CONNECTED,SUCCESS,10.10.0.6,a.b.c.d

Problem war bei Erzeugung der Zertifikate der "Common Name", dort habe ich "Experte" immer meine Domäne angegeben, nicht den Hostnamen des Rechners (xxx). :wacko1:

Wenn jemand damit auch ein Problem hat, ich bin nach dieser Anleitung hier gegangen:

Sie müssen registriert sein, um Links zu sehen.

############

So, Tagesziel erreicht. Surfen kann ich nicht drüber, das liegt wahrscheinlich hierran??

Mon Aug 17 00:30:23 2015 C:\Windows\system32\route.exe ADD 10.10.0.1 MASK 255.255.255.255 10.10.0.5
Mon Aug 17 00:30:23 2015 ROUTE: route addition failed using CreateIpForwardEntry: Zugriff verweigert [status=5 if_index=6]
Mon Aug 17 00:30:23 2015 Route addition via IPAPI failed [adaptive]
Mon Aug 17 00:30:23 2015 Route addition fallback to route.exe
Mon Aug 17 00:30:23 2015 env_block: add PATH=C:\Windows\System32;C:\WINDOWS;C:\WINDOWS\System32\Wbem
Mon Aug 17 00:30:23 2015 ERROR: Windows route add command failed [adaptive]: returned error code 1

EGAL!

Tagesziel war das hier:

Mon Aug 17 00:30:23 2015 MANAGEMENT: >STATE:1439764223,CONNECTED,SUCCESS,10.10.0.6,a.b.c.d

:thank_you::dance3:

Edit:

So, wenn man die OpenVPN GUI Als Administrator ausführt, sind die Fehlermeldungen weg:

Spoiler

Mon Aug 17 01:03:04 2015 MANAGEMENT: >STATE:1439766184,ADD_ROUTES,,,
Mon Aug 17 01:03:04 2015 C:\Windows\system32\route.exe ADD 10.10.0.1 MASK 255.255.255.255 10.10.0.5
Mon Aug 17 01:03:04 2015 ROUTE: CreateIpForwardEntry succeeded with dwForwardMetric1=20 and dwForwardType=4
Mon Aug 17 01:03:04 2015 Route addition via IPAPI succeeded [adaptive]
Mon Aug 17 01:03:04 2015 Initialization Sequence Completed
Mon Aug 17 01:03:04 2015 MANAGEMENT: >STATE:1439766184,CONNECTED,SUCCESS,10.10.0.6,a.b.c.d

Drüber surfen geht trotzdem nicht...

Na egal, morgen ist auch noch ein Tag!

Edit2:

So, nun klappt auch das surfen darüber.. :ja

Das hier muss in die "server.conf":

# Nächste 3 Zeilen erst aktivieren wenn die VPN Verbindung klappt
push "redirect-gateway def1" # leitet den Internettraffic am Client zum Server um
push "dhcp-option DNS 8.8.8.8" # DNS-Server 1
push "dhcp-option DNS 8.8.4.4" # DNS-Server 2 (falls vorhanden)

So, jetzt kann ich zufrieden ins Bett gehen.

Paar mehr Fragen an die Experten hätte ich dann noch...

Danke

 

[axel]

AW: Openvpn-Server eingerichtet, und jetzt?

So,

ich nochmal...

Folgende Fragen noch:

Ich habe ja das jetzt nur für einen Windows-Client aufgesetzt.

- Wie verhält sich die Geschichte, wenn ich mein Gateway (IPfire) bzw. den dahinterhängenden Router mit OpenWRT mit Zertifikaten bestücke?
Läuft dann sämtlicher Heim-Traffic ohne weitere Zertifikate "automatisch" darüber (ohne weitere Zertifikate an den Clients dahinter?)?

- Wenn ich nun Samba auf dem Rootserver einrichte, müsste ich doch auch via VPN Daten hin- und herschieben können?

- Hat das jemand mit einem iPhone hinbekommen? Wenn ja, wie?

Danke & Gruß

 

[freddchen]

AW: Openvpn-Server eingerichtet, und jetzt?

So,

- Wie verhält sich die Geschichte, wenn ich mein Gateway (IPfire) bzw. den dahinterhängenden Router mit OpenWRT mit Zertifikaten bestücke?
Läuft dann sämtlicher Heim-Traffic ohne weitere Zertifikate "automatisch" darüber (ohne weitere Zertifikate an den Clients dahinter?)?

- Wenn ich nun Samba auf dem Rootserver einrichte, müsste ich doch auch via VPN Daten hin- und herschieben können?

- Hat das jemand mit einem iPhone hinbekommen? Wenn ja, wie?

1. Ja, wenn du in deinem Router den VPN Gateway einrichtest, laufen alle PC´s die da dran hängen auch über diesen Gateway, ohne weitere Zertifikte etc.

2. Ja, das kannst du.... du musst dann allerdings in deiner firewall die Ports für Samba NUR für das VPN freigeben. Ich habe da allerdings schlechts erfahrungen mit gemacht. Läuft irgendwie nicht so zuverlässig wie, als wenns im eigenen Netzwerk wäre. Eine NFS freigabe hat da wesentlich besser funktioniert, oder man bleibt beim guten alten FTP.

3. für iphone lädst du die APP OpenVPN ausm Appstore. Dann packst du alle deine client dateien in eine datei mit der endung .ovpn . Diese schiebst du dann einfach per itunes ´, dann Apps und dann unten openVPN da rein, wenn du dein handy angeschlossen hast.

bei mir sieht die .ovpn etwa so aus:

client
dev tun
remote server.ip 20000 udp
remote server.ip 20000 udp6
resolv-retry infinite
nobind
comp-lzo
user nobody
group nogroup
persist-key
persist-tun
<ca>
-----BEGIN CERTIFICATE-----
BLABLABLA
-----END CERTIFICATE-----
</ca>
<cert>
-----BEGIN CERTIFICATE-----
BLABLABLA
-----END CERTIFICATE-----
</cert>
<key>
-----BEGIN RSA PRIVATE KEY-----
BLABLABLA
-----END RSA PRIVATE KEY-----
</key>
keepalive 10 60
verb 3

BLABLABLA natürlich durch deine Zertifikate ersetzen

 

[supraracer]

AW: Openvpn-Server eingerichtet, und jetzt?

OpenVPN läuft unter iOS mittlerweile besser als ich es für möglich gehalten hätte. :emoticon-0148-yes:

-supraracer

 

[axel]

Erstmal danke für die Antworten.

Mir ist noch nicht ganz klar, wo am besten ich das einrichte, Ipfire oder Openwrt(?).
Beide können das wohl.

Aufbau: Modem - Ipfire - Openwrt - LAN

###

Den OpenVPN Client habe ich installiert.

Ich würde jetzt die Geschichte via Email nehmen?

Du musst Regestriert sein, um das angehängte Bild zusehen.

 

[freddchen]

AW: Openvpn-Server eingerichtet, und jetzt?

tja, in welchem gerät du das dann machst ist eigentlich ziemlich egal...

##

per mail? Ich weiß ja nicht wofür du das VPN genau brauchst, aber höchste Sicherheit bietet Mail in den meisten fällen nicht. Das handy per kabel mit itunes verbinden geht vermutlich sogar auch noch schneller.

 

[supraracer]

AW: Openvpn-Server eingerichtet, und jetzt?

Ich habe es mit iTunes gemacht, Sinn von VPN ist nicht unbedingt dass man die VPN Zertifikate erst mal per E-Mail über das Internet verschickt. ;-)

-supraracer

 

[axel]

AW: Openvpn-Server eingerichtet, und jetzt?

Gut, das ist bei mir aber auch nicht das Pentagon etc. hier...

Werde die Geschichte dann trotzdem mit iTunes ausprobieren dann.

Danke