Sicheres CS über ano VPN ???

[lenny]

AW: Sicheres CS über ano VPN ???

Da so weit der Tunnel lüppt würde ich dir empfehlen - da du dich nur mit einem Client verbindest - statische IP für den Tunnel zu nehmen. Denn bislang ist es so dass
jedesmal wenn der Tunnel startet du eine neue IP bekommst. Da du deine IPtables bislang nur auf eine IP geschrieben hast wird die Portweiterleitung auch nur für 1 IP
funktionieren.
Das könnte auch der Grund für dein SSh Problem sein. Also jetzt lesen und testen ;=) ***.openvpn.net

 

[mickynapoli]

AW: Sicheres CS über ano VPN ???

hi,

danke für eure Antworten!

@Lenny
Ok, aber wie kann ich das realisieren mit den Statischen IPs?
in der Config vom Server DHCP deaktivieren? Aber ich bekomme doch immer die 10.8.0.6 also immer die gleiche?

ich würde jetzt die
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 4.2.2.4"
mit der "#" deaktivieren, richtig? und dann halt irgendwie dem Clients sagen strict ip 10.8.0.6
!??

Habe zusätlich ein weiteres Problem, das ist jetzt schon der zweite Abend wo VPN zwischen Server und Client dank euch so halbwegs läuft...aber immer so um 0 Uhr ...verliert er die VPS Verbindung dann muss ich den VPS Server openvpn restarten und am client damit mein HomeServer wieder erreichbar ist...., habt ihr eine Idee (bin nicht sicher ob das immer zur gleichen Zeit passiert... aber min. 1x täglich)??

Server Config (VPS)

local 108.xxx.xxx.xxx
proto tcp
dev tun
ca /etc/openvpn/2.0/keys/ca.crt
cert /etc/openvpn/2.0/keys/server.crt
key /etc/openvpn/2.0/keys/server.key
dh /etc/openvpn/2.0/keys/dh1024.pem

server 10.8.0.0 255.255.255.0
push "route 10.8.0.0 255.255.255.0"
push "redirect-gateway def1"
push "route-delay 10"
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 4.2.2.4"

client-to-client

keepalive 10 120
user nobody
group nogroup

persist-key
persist-tun
status openvpn-status.log
log-append openvpn.log
comp-lzo
#verb 3

HomeServer Client Config

client
dev tun
proto tcp

# The hostname/IP and port of the server.
# CHANGE THIS TO YOUR VPS IP ADDRESS
remote 108.xxx.xxx.xxx 1194

resolv-retry infinite
nobind

persist-key
persist-tun

ca ca.crt
cert client1.crt
key client1.key
ns-cert-type server
comp-lzo
verb 3

Vielen Dank!

 

[lenny]

AW: Sicheres CS über ano VPN ???

für ne static ip anstatt

server 10.8.0.0 255.255.255.0

folgendes in die Server.conf

ifconfig 10.8.0.1 10.8.0.2

und folgendes in die client.conf

ifconfig 10.8.0.2 10.8.0.1

Aber das ist ja erstmal nebensächlich.

Die Verbindungsunterbrechung kommt wahrscheinlich durch die Zwangstrennung deines Inetanbieters.
Ich habe mir ein Script dafür geschrieben das nach Tunnelabbruch der Tunnel wieder neustartet.
Ist irgendwo auf den ersten Seiten hier.
Da solltest du dir noch deine Interfaces anpassen dann sollte das funktionieren.

 

[mickynapoli]

AW: Sicheres CS über ano VPN ???

Danke Lenny,

also habe dein Scritp auf meinen HomeServer einebaut denn hab gemerkt das wenn mal die Tunnel unterbrechnung ist das es recht wenn der Client sprich mein HomeServer OpenVpn restartet wird....
ist es so gewollt das beim Starten nichts weiter passiert?
bsp. nach dem Start

root /etc/openvpn > ./check_openvpn.sh

keine Nachricht......

wenn ich eine weitere SSH verbindung über putty aufbaue und dann prüfe mit:
ps -A
sehe ich das der Prozess läuft

9060 ? 00:00:00 sshd
9062 pts/0 00:00:00 bash
9101 ? 00:00:00 openvpn
9184 ? 00:00:00 oscam.x86
9185 ? 00:00:00 oscam.x86
9877 ? 00:00:00 sshd
9879 ? 00:00:00 sftp-server
10450 ? 00:00:00 sshd
10455 pts/1 00:00:00 bash
10503 pts/0 00:00:00 check_openvpn.s
10506 pts/0 00:00:00 sleep
10507 pts/1 00:00:00 ps

sobald ich bei der SSH Verbindung die check_openvpn.sh gestartet hat wieder strg + c betätige unterbricht er dien check_openvpn.sh und im prozess verschwindet es auch.
Sollte also laufen..... aber die Verbindung muss ich bestehen lassen anderfalls stirbt der Prozess ?!?


und wegen dem SSH Verbindungs Problem von Extern per Dyndns-Adresse, du meinst also evtl. hilft es wenn ich mir eine Feste IP zulege auf Server+Client.

Danke

 

[lenny]

AW: Sicheres CS über ano VPN ???

Du solltest das Script mit der Option & aufrufen denn dann läuft es im Hintergrund.
so in etwa ./openvpn_check.sh &

Statusmeldungen findest du im syslog.
Die sehen dann so aus

TUNNEL: Tunnel Tun0 von VPN DOWN: 1 (check 26853)
TUNNEL: Maximale Anzahl (12) erreicht: Neustart des Tunnels Tun0 von VPN

Das ganze ist so aufgebaut dass alle 10 sec ein Ping über tun0 zu google geht.
Wenn das nicht klappt macht das Script das ganze 12 mal und startet dann den Tunnel neu.

Wenn deine Statusmeldungen nicht so aussehen dann müsstest du noch bc installieren.
Ich brauch das halt öfter deshalb habe ich es standardmäßig drauf.


"und wegen dem SSH Verbindungs Problem von Extern per Dyndns-Adresse, du
meinst also evtl. hilft es wenn ich mir eine Feste IP zulege auf
Server+Client."
Das wäre so mein erster Gedanke denn wenn du dich öfter verbindest bekommst du irgendwann eine
andere IP weil die eine gerade noch im Lease sein könnte. Und dann passen deine IPtables nicht mehr.
Wiegesagt das wäre mein erster Gedanke.

Der nächste Gedanke wäre zu prüfen ob der 40000 bzw. auch 22 Port offen ist und wohin weitergeleitet wird......

P.S:Nur zum Verständnis der OpenvpnServer hat immer die gleiche IP (10.0.8.1 ) nur der Client bezieht bei Verbindungsauf
immer eine neue (welche meist auch die alte IP ist)

 

[mickynapoli]

AW: Sicheres CS über ano VPN ???

Danke Lenny,

wegen dem Openvpn Checker auf dem HomeServer (Client) der läuft jetzt im hintergrund..... Dankeeee

aber er restartet nicht soweit ich das verfolgen konnte, hier mal die syslog

Spoiler

Dec 24 21:45:05 TUNNEL: Tunnel Vpntunnel DOWN: (check 25526)
Dec 24 21:45:09 TUNNEL: Tunnel Vpntunnel DOWN: (check 8428)
Dec 24 21:45:09 ovpn-client[9101]: TCP: connect to 108.xxx.xxx.xxx:1194 failed, will try again in 5 seconds: Connection timed out
Dec 24 21:45:17 TUNNEL: Tunnel Vpntunnel DOWN: (check 22224)
Dec 24 21:45:21 TUNNEL: Tunnel Vpntunnel DOWN: (check 2064)
Dec 24 21:45:24 ovpn-client[9101]: TCP: connect to 108.xxx.xxx.xxx:1194 failed, will try again in 5 seconds: Connection timed out
Dec 24 21:45:29 TUNNEL: Tunnel Vpntunnel DOWN: (check 1342)
Dec 24 21:45:33 TUNNEL: Tunnel Vpntunnel DOWN: (check 21731)
Dec 24 21:45:39 ovpn-client[9101]: TCP: connect to 108.xxx.xxx.xxx:1194 failed, will try again in 5 seconds: Connection timed out
Dec 24 21:45:41 TUNNEL: Tunnel Vpntunnel DOWN: (check 3857)
Dec 24 21:45:45 TUNNEL: Tunnel Vpntunnel DOWN: (check 23311)
Dec 24 21:45:53 TUNNEL: Tunnel Vpntunnel DOWN: (check 6367)
Dec 24 21:45:54 ovpn-client[9101]: TCP: connect to 108.xxx.xxx.xxx:1194 failed, will try again in 5 seconds: Connection timed out
Dec 24 21:45:57 TUNNEL: Tunnel Vpntunnel DOWN: (check 22654)
Dec 24 21:46:05 TUNNEL: Tunnel Vpntunnel DOWN: (check 4343)
Dec 24 21:46:09 TUNNEL: Tunnel Vpntunnel DOWN: (check 32506)
Dec 24 21:46:09 ovpn-client[9101]: TCP: connect to 108.xxx.xxx.xxx:1194 failed, will try again in 5 seconds: Connection timed out
Dec 24 21:46:17 TUNNEL: Tunnel Vpntunnel DOWN: (check 22131)
Dec 24 21:46:21 TUNNEL: Tunnel Vpntunnel DOWN: (check 21969)
Dec 24 21:46:24 ovpn-client[9101]: TCP: connect to 108.xxx.xxx.xxx:1194 failed, will try again in 5 seconds: Connection timed out
Dec 24 21:46:29 TUNNEL: Tunnel Vpntunnel DOWN: (check 29529)
Dec 24 21:46:33 TUNNEL: Tunnel Vpntunnel DOWN: (check 17698)
Dec 24 21:46:40 ovpn-client[9101]: TCP: connect to 108.xxx.xxx.xxx:1194 failed, will try again in 5 seconds: Connection timed out
Dec 24 21:46:41 TUNNEL: Tunnel Vpntunnel DOWN: (check 8698)
Dec 24 21:46:45 TUNNEL: Tunnel Vpntunnel DOWN: (check 3134)
Dec 24 21:46:53 TUNNEL: Tunnel Vpntunnel DOWN: (check 16794)
Dec 24 21:46:55 ovpn-client[9101]: TCP: connect to 108.xxx.xxx.xxx:1194 failed, will try again in 5 seconds: Connection timed out
Dec 24 21:46:58 TUNNEL: Tunnel Vpntunnel DOWN: (check 2910)
Dec 24 21:47:05 TUNNEL: Tunnel Vpntunnel DOWN: (check 16236)
Dec 24 21:47:10 TUNNEL: Tunnel Vpntunnel DOWN: (check 32332)
Dec 24 21:47:10 ovpn-client[9101]: TCP: connect to 108.xxx.xxx.xxx:1194 failed, will try again in 5 seconds: Connection timed out
Dec 24 21:47:17 TUNNEL: Tunnel Vpntunnel DOWN: (check 26550)
Dec 24 21:47:22 TUNNEL: Tunnel Vpntunnel DOWN: (check 10275)

wegen der SSH Verbindung:
also SSH Verbindung mit Adresse1.Dyndns-Adresse zum VPS mittels putty läuft perfekt....

und ebenso per Adresse2.Dyndns mit putty auf meinem HomeServer jedoch nicht wenn der OpenVPN tunneln mit dem VPS Server aktiv ist....

Irgendwie leitet der Router dann nicht zum HomeServer weiter.... trotz Forwarding port 40000 --> 192.168.1.7 (HomeServer)

breche ich die OpenVPN Verbindung im HomeServer ab, kann ich mich wieder mit Adresse2.Dyndns per putty verbinden under der Router leitet wieder wunderbar weiter per Portforwarding port 40000 --> 192.168.1.7 HomeServer

Möchte mich direkt auf den HomeServer (Adresse2.Dyndns) verbinden können und die OpenVPN verbindung muss dabei ja bestehen.

und die Netzwerk-IP sprich eth0 bleibt trotz OpenVPN immer gleich:

root /etc/openvpn > ifconfig
eth0 Link encap:Ethernet HWaddr 00:0d:b9:23:82:a8
inet addr:192.168.1.7 Bcast:192.168.1.255 Mask:255.255.255.0
inet6 addr: fe80::20d:b9ff:fe23:82a8/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:272938 errors:0 dropped:0 overruns:0 frame:0
TX packets:251341 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:32499242 (30.9 MiB) TX bytes:57105413 (54.4 MiB)
Interrupt:11 Base address:0x4000

oder liege ich da falsch!?

Vielen Dank vorallem für die Geduld

 

[lenny]

AW: Sicheres CS über ano VPN ???

Dadurch dass dein Gateway bei Aufbau des Tunnels geändert wird findet der Homeserver
keinen Weg zurück zur Fritzbox.
Du solltest mal probieren - nachdem der Tunnel steht - auf dem Homeserver eine Route zu der
Fritzbox anzulegen.(Und eventuell noch das Routing auf dem Homeserver aktivieren)
Google mal nach route add.
Sonst wüßte ich - ohne die Config zu kennen - keinen weiteren Ansatzpunkt..

 

[mickynapoli]

AW: Sicheres CS über ano VPN ???

Hi,

habe es jetzt erstmal deaktivert.... da ich nicht ca. alle 5-6 std. den Openvpn client restarten kann....
Die Konfigs sind die von dir (Lenny)
Komplett übernommen so wie die sind außer mit dem #auth SHA1 #cipher BF-CBC
konfigs=

client.conf:

client
dev tun
proto tcp
remote 109.545.112.xxx 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca /hier-DEINPFADZU/ca.crt
cert /hier-DEINPFADZU/client1.crt
key /hier-DEINPFADZU/client1.key
ns-cert-type server
#auth SHA1
#cipher BF-CBC
comp-lzo
verb 3



server.conf:

local 109.545.112.xxx
proto tcp
dev tun
ca /etc/openvpn/2.0/keys/ca.crt
cert /etc/openvpn/2.0/keys/server.crt
key /etc/openvpn/2.0/keys/server.key
dh /etc/openvpn/2.0/keys/dh1024.pem
server 10.8.0.0 255.255.255.0
push "route 10.8.0.0 255.255.255.0"
push "redirect-gateway def1"
push "route-delay 10"
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 4.2.2.4"
client-to-client
keepalive 10 120
#auth SHA1
#cipher BF-CBC
user openvpn
group openvpn
persist-key
persist-tun
status openvpn-status.log
log-append openvpn.log
comp-lzo
verb 3

Wegen dem Verbinden mit dem SSH, dann müsstest du doch bei den gleichen conifgs das gleiche Problem haben??
Also keine Verbindungsmöglichkeit außer per (intern) per Netzwerk-IP??

Werde mal bei gelegenheit nach route add suchen.

Danke schönen rest Feiertag noch.....

 

[n3cro]

-- hier stand falsches Zeug --

Kann ein Guru von euch folgendes Script basteln:

Erst wenn tun0 die Verbindung aufgebaut hat, soll OScam per "/etc/init.d/oscam start" gestartet werden.
Weil sonst habe ich das Problem, dass ich mich mit meiner normalen IP auf andere Server verbinde.
Starte ich OScam dann neu, verbindet es sich mit der IP vom VPS.

Ich wäre euch echt dankbar!!!

 

[RoterBaron]

AW: Sicheres CS über ano VPN ???

...ich könnte aber ich werds nicht tun weil hier viele immernoch denken sie wärn anonym nur weil sie VPN mit einem Drittanbieter betreiben


für ein tatsächlich echtes VPN wird ein solches Script absolut nicht benötigt!

 

[n3cro]

AW: Sicheres CS über ano VPN ???

Blablabla....woher weisst du das ICH über einen Drittanbieter arbeite und wie MEIN CS aufgebaut ist?
Manchmal denke ich echt das dein Name Programm ist und du oben in der Luft an Sauerstoffmangel gelitten hast...

Tut mir echt leid, aber hier in diesem Thread hast du bis jetzt nur den Zeigefinger gehoben und absolut NICHTS dazu beigetragen.

Zu meinem Problem:
Ich starte oscam schon als letztes über /etc/rcS.d und habe sogar ein sleep eingebaut, jedoch verbindet sich oscam zu schnell.
Die openVPN-Verbindung scheint dann noch nicht zu stehen.
Wenn ich oscam dann neu starte verbindet es sich mit der IP vom VPN auf andere Server.

 

[lenny]

AW: Sicheres CS über ano VPN ???

@necro - Wie wäre es wenn du dir den Oscam
start mit einem UP-Script in die Client.conf einbaust.Für den Aufbau des UP-Scriptes kannst du dich ja ein wenig an die rc.local langhangeln.....

 

[lenny]

AW: Sicheres CS über ano VPN ???

Also in die .conf einfach up <Pfad zu script> und für down oder up-restart passt du dir auch ein Script an..

 

[RoterBaron]

AW: Sicheres CS über ano VPN ???

Blablabla....woher weisst du das ICH über einen Drittanbieter arbeite und wie MEIN CS aufgebaut ist?
Manchmal denke ich echt das dein Name Programm ist und du oben in der Luft an Sauerstoffmangel gelitten hast...

Tut mir echt leid, aber hier in diesem Thread hast du bis jetzt nur den Zeigefinger gehoben und absolut NICHTS dazu beigetragen.

junge.... hab ich dich irgendwie persönlich angegriffen und bin über dich hergezogen?
nein? wieso machst du das dann aber?

Klar hab ich hier schon was sinnvolles zu beigetragen - ich seh hier ein paar posts für die ich bedankt wurde also hör bitte einfach auf müll zu labern, DAS trägt nix hierzu bei......



Sorry aber entweder du redest dich hier raus obwohl du doch VPN über einen Drittanbieter nutzt - oder du hast immernoch nicht wirklich verstanden wie VPN funktioniert

Wenn du OScam bzw dessen Reader so einstellen würdest das sie sich übers VPN verbinden, eben zu einem anderen ECHTEN VPN, dann brauchst du ein solches Script was du hier verlangst absolut NICHT!!
Denk da doch nur mal in ruhe drüber nach "worüber" diese VPN Verbindung aufgebaut wird.... sobald die IP "reachable" ist kann OScam auch eine verbindung aufbauen und wieviel zeit zwischen den verbindingsaufbauversuchen vergeht stellste in oscam ein etc und nur so nebenbei, bei mir funzt das super....

 

[SwitzCH]

AW: Sicheres CS über ano VPN ???

Mit welchem Paket hat man bei ivacy noch das Port-Forwading?