VPN an den Clients

[frodon]

Hallo,
ich spiele mit dem Gedanken an den Clientboxen VPN einzurichten damit ich im Notfall auf die Box verbinden kann und per putty neustarten, dyndns ändern, ect kann.

Reci ist der Xtrend 4000 mit openpli wo ja openvpn (VPN Client) drauf laufen soll, meine Frage nun kann man am VPS (VPN Server) es so einstellen das man die Anfragen von den Clienten deaktiviert und somit keine Verbindung besteht und nur bei Problemen dann VPN aktiviert. Praktisch wäre dies wenn es für jeden einzelnen Client aktivierbar wäre.

Das man den VPN Dienst am VPS starten und stoppen kann ist mir klar aber dies ist ja nicht möglich da sonst der VPN Tunnel zu meinen lokalen Karten weg ist. Das einzige was mir eingefallen ist auf die schnelle, einen extra Port für die VPN Clients verwenden und diesen an der VPS Firewall dicht machen. Dazu müßte aber Vpn zweimal auf dem VPS laufen, weiss nicht ob dies geht.

Ideen ?

 

[pr0j3ctx]

AW: VPN an den Clients

openVPN kannst du mehrmals laufen lassen.
Warum dann nicht direkt alles durch den Tunnel laufen lassen?

Die Frage ist, wie willst du Probleme erkennen oder wie definierst du Probleme?

Gesendet von meinem Nexus 4 mit Tapatalk

 

[frodon]

AW: VPN an den Clients

wenn alles durch den Tunnel läuft und vpn sich aufhängt oder so dann geht nix mehr, wäre halt eine Fehlerquelle mehr. Weiss ja nicht wie Stabil dieses VPN Plugin am reci rennt. Ahhh ok wenn ich es mehrmals laufen lassen kann dann kann ich es einfach ein zweites mal installieren mit einem anderen Port und diesen Port öffnen wenn ich was an den Clients machen will.

Ein Problem hatte ich erst da mein dyndns 30 Tage ausgelaufen ist und ich es verplant habe, paar kumpels haben angerufen naja war dann schnell klar was das Problem ist. Seitdem habe ich einen anderen Anbieter für Dyndns aber wäre nun eben praktisch wenn ich es bei den Clients ändern könnte ohne das sie etwas davon mitbekommen. Außerdem haben die meisten keine ahnung von putty, ftp ect...

 

[pr0j3ctx]

AW: VPN an den Clients

Also openvpn kann ich dir grundsätzlich empfehlen.

Nutze ich mehrfach. Du musst es nicht ein zweites mal installieren, sondern einfach eine weitere Konfigurationsdatei erstellen die einen anderen Port nutzt. Natürlich auch ein anderes IP-Subnetz

Wenn du die Clients an den VPN-Server anbindest und kein Default-GW auf den Tunnel setzt, läuft alles weiter über die DSL-Verbindung. Du kannst dann von deinem Server aber auf die Clients zugreifen. Sollte es Probleme geben, biegst du die Config des Clients so um, das er anstelle der öffentlichen Server-IP, die Server-IP des Tunnels nutzt.

Ein bekannter hat keinen Linux-Server zu Hause und nutzt für die Verbindung nach Hause sein VU Solo als OpenVPN Server. Mit 3 Geräten parallel kommt diese gut zurecht.

 

[frodon]

AW: VPN an den Clients

danke für die Info, ich werds am Wochenende mal testen

 

[frodon]

AW: VPN an den Clients

Habe es nun getestet und erste tests funktionieren mittels einer extra DYNDNS für diesen Service kann ich bei Bedarf einfach aktivieren/deaktivieren außerdem gibt es da ein nettes Tool wo man die verbundenen User sieht mit Name und IP "OpenVpn User Manager", sieht auf den ersten Blick ganz gut aus da ich ja eine Zuordnung brauche welcher User gerade welche IP hat. Mit meiner Test-VM (Win7) funktioniert es bestens.

Da ich die VPN Dyndns eigtl immer ins nirvana leite stellt sich noch die Frage ob die Clients einen auto reconnect haben oder ob er nach 10 versuchen aufhört. Glaube "resolv-retry infinite" ist der Befehl für dauer reconnect oder? Desweiteren dürfte "connect-retry 300" bewirken das nur alle 5Minuten ein reconnect statt findet.

 

[frodon]

AW: VPN an den Clients

habe gestern vpn von windows zu windows erfolgreich getestet und danach dann einen xt als client aber er kommt immer folgende Meldung "TLS Error: TLS handshake failed" Zertifikate passen 100% denke ich habe ein PRoblem in den Configs da mein Server eine Windowskiste ist (bewusst so gewählt) und die Clients alle Linux sind.

Server.conf

Spoiler

# Zertifikate
ca "C:\\Program Files\\OpenVPN\\easy-rsa\\keys\\ca.crt"
cert "C:\\Program Files\\OpenVPN\\easy-rsa\\keys\\vpn01.crt"
key "C:\\Program Files\\OpenVPN\\easy-rsa\\keys\\vpn01.key"
dh "C:\\Program Files\\OpenVPN\\easy-rsa\\keys\\dh1024.pem"


# Management User Console
management 127.0.0.1 5555 VPNpass.txt


# Server und Netzwerk
local 192.168.178.34
port 1194
proto udp
dev tap
server 192.168.10.0 255.255.255.0
ifconfig-pool-persist ipp.txt
comp-lzo
persist-key
persist-tun
keepalive 10 120
client-to-client


# Log
status "C:\\Program Files\\OpenVPN\\log\\openvpn-status.log"
log "C:\\Program Files\\OpenVPN\\log\\openvpn.log"
log-append "C:\\Program Files\\OpenVPN\\log\\openvpn.log"
verb 3

server.log

Spoiler

Wed Jun 18 11:16:23 2014 xxx:53763 TLS: Initial packet from [AF_INET]xxx:53763, sid=c8e1b5ab d8607c2d
Wed Jun 18 11:17:23 2014 xxx:53763 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Wed Jun 18 11:17:23 2014 xxx:53763 TLS Error: TLS handshake failed
Wed Jun 18 11:17:23 2014 xxx:53763 SIGUSR1[soft,tls-error] received, client-instance restarting
Wed Jun 18 11:17:25 2014 xxx:41691 TLS: Initial packet from [AF_INET]xxx:41691, sid=b652f0b5 8cbd8f6a

client.conf

Spoiler

client
dev tun
port 1194
proto udp
remote DYNDNS
nobind
ca /etc/openvpn/ca.crt
cert /etc/openvpn/xt.crt
key /etc/openvpn/xt.key
persist-key
persist-tun
verb 3

client.log

Spoiler

Wed Jun 18 11:17:39 2014 us=316925 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Wed Jun 18 11:17:39 2014 us=317514 TLS Error: TLS handshake failed
Wed Jun 18 11:17:39 2014 us=323315 TCP/UDP: Closing socket
Wed Jun 18 11:17:39 2014 us=327519 SIGUSR1[soft,tls-error] received, process restarting
Wed Jun 18 11:17:39 2014 us=333353 Restart pause, 2 second(s)

Habe nochmal alles neu installiert aber die Zertifikate passen und im Log sieht man das der Client bis zum Server kommt also muss es an der Config lieger (Windows-Linux). Hoffe es kann mir einer helfen

 

[pr0j3ctx]

AW: VPN an den Clients

Schau dir mal den letzten Punkt an:

Sie müssen registriert sein, um Links zu sehen.

Warum willst du denn die Clients per DynDNS "nullrouten". Die paar UDP Pakete machen doch keinen Traffic.

Gruß

 

[frodon]

AW: VPN an den Clients

werds mir heut Abend mal ansehen, weil ich vpn nur nutzen will wenn ich an den Clients was ändern muss wie Dyndns und da dies ja sehr selten vorkommt, müßen sie ja nicht immer verbunden sein
bezüglich dem letzten Punkt "windows-Firewall", habe den Dienst direkt deaktiviert also die ist nicht das Problem.