VPN mit OpenVPN

[chrisbi]

AW: VPN mit OpenVPN

Die musst du selbst schreiben.

So in etwa:

client
dev tun
proto udp
remote  dyndns  11194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert user1.crt
key user1.key
ns-cert-type server
comp-lzo
verb 3

Gesendet von meinem GT-I9000 mit Tapatalk 2

 

[minimi077]

AW: VPN mit OpenVPN

Hallo.

Ich habe das gerade mit dem iPad und dem iPhone zum laufen bekommen und wollte meine Erfahrungen hier teilen.

1. Schritt 13. in dem How-To musste ich raus nehmen, da ich sonst einen Connection timeout hatte. Aber ich komme trotzdem an alle anderen PC's/router im Netzwerk
2. Die vpn_connection.ovpn sieht bei mir so aus:

[/INDENT]
[INDENT]client[/INDENT]
[INDENT]dev tun[/INDENT]
[INDENT]proto udp[/INDENT]
[INDENT]remote  <DYNDNS_ADRESSE>  <PORT> #DEFINITIV ANPASSEN[/INDENT]
[INDENT]resolv-retry infinite[/INDENT]
[INDENT]nobind[/INDENT]
[INDENT]persist-key[/INDENT]
[INDENT]persist-tun[/INDENT]
[INDENT]ca ca.crt[/INDENT]
[INDENT]cert user1.crt #EVENTUELL ANPASSEN[/INDENT]
[INDENT]key user1.key #EVENTUELL ANPASSEN[/INDENT]
[INDENT]comp-lzo[/INDENT]
[INDENT]verb 3

3. Die 4 Dateien vpn_connection.ovpn, ca.crt, user1.crt und user1.key (findet ihr unter /etc/openvpn/easy-rsa2/keys) über iTunes in die App "OpenVPN" importieren
4. Die App öffnen und die Verbindung mit dem grünen Plus importieren.

 

[errut]

AW: VPN mit OpenVPN

ich habe auf einem alix ubuntu 12.04, wenn ich hierauf das openvpn installiere, kann ich dann von intern noch ohne vpn zugreifen oder muß ich auf meine dream auch openvpn installieren?

 

[minimi077]

AW: VPN mit OpenVPN

Du kannst natürlich im internen Netzwerk ohne vpn auf dein ubuntu zugreifen! Openvpn ist für den Zugriff von außen gedacht! Ganz im Gegenteil: es kann sehr schwer werden im gleichen Netz über vpn auf dein Netz zuzugreifen

 

[errut]

AW: VPN mit OpenVPN

ok, das ist schon besser.
Kann man das Plugin openvpn für die Dreambox als Client nutzen?
Werden auch alle keys aus dem Tutorial benötigt?

 

[errut]

AW: VPN mit OpenVPN

Mit der Dreambox hat sich das geklärt: ich hatte auch die Version mit preshared Key betrachtet.
Noch eine Frage zu Schritt 13 des TUT`s: wenn man nur auf den Server von außen zugreifen möchte, kann dann schritt 13 weggelassen werden?

 

[chrisbi]

AW: VPN mit OpenVPN

ja, der kann dann weggelassen werden...

 

[errut]

AW: VPN mit OpenVPN

frage zur Portfreigabe: port für server mit realer ip oder virtueller? Und 1194 auf 1194?

 

[chrisbi]

AW: VPN mit OpenVPN

Portfreigabe in der Fritze auf den Port, den du beim openvpn server in der config eingetragen hast.

Openvpn server hat z.b 11179 dann gibst in der fritzbox auch die 11179 frei.

Kannst aber auch den standard port vom openvpn lassen und einen anderen port freigeben in der fritzbox.

Sprich: openvpn reagiert auf 1179 und du willst aber den port 12345 fuer openvpn nutzen, dann gibst das in der fritzbox dementsprechend ein.
12346 freigeben und der fuehrt dann auf die 1179

Spoiler

Du musst angemeldet sein, um Bilder zu sehen.

 

[errut]

AW: VPN mit OpenVPN

wenn man nur static (preshared) nutzen will,welche Schritte fallen dann im howto weg?

 

[errut]

AW: VPN mit OpenVPN

bin jetzt doch zu den Zertfikaten gewechselt und habe den Servver nach Seite 1 Howto aufgesetzt und es hat geklappt.
Um das Ganze aus zu probieren, habe ich in meinem Heimnetzwerk auch einen Clienten laufen mit der VPN-Ip. in meinem Router habe ich entsprechend IP-routing eingeführt und den VPN-Port freigeschaltet. Es scheint zu fuktionieren allerdings habe ich eine Fehlermeldung im Log des Clienten:

UDPv4 link local: [undef]
UDPv4 link remote: 188.xxx.xxx.xxx:1194
read UDPv4 [EHOSTUNREACH]: No route to host (code=148)
read UDPv4 [EHOSTUNREACH]: No route to host (code=148)
read UDPv4 [EHOSTUNREACH]: No route to host (code=148)
read UDPv4 [EHOSTUNREACH]: No route to host (code=148)
read UDPv4 [EHOSTUNREACH]: No route to host (code=148)
read UDPv4 [EHOSTUNREACH]: No route to host (code=148)

 

[chrisbi]

AW: VPN mit OpenVPN

Naja, die Fehlermeldung übersetzt heißt ja, dass er den Server nicht findet.

Stimmt denn die IP und der Port? Überprüf das bitte nochmal... Was kommt wenn Du die IP anpingst? Ist der Host da erreichbar?

 

[errut]

AW: VPN mit OpenVPN

danke, nochmals alles überprüft: hatte im routerfirewall TCP anstatt UDP.

 

[errut]

Server und Client laufen, aber: alle 2 Minuten erfogt eine Unterbrechung , dann wird neu aufgebaut. Im Severlog steht, daß der Client neu connected ist, im clientlog steht Inactivity timeout dann restart pause. Hier der Log des Clients:

Spoiler

18:50:38 2013 [Adam] Inactivity timeout (--ping-restart), restarting
Tue Mar 26 18:50:38 2013 TCP/UDP: Closing socket
Tue Mar 26 18:50:38 2013 SIGUSR1[soft,ping-restart] received, process restarting
Tue Mar 26 18:50:38 2013 Restart pause, 2 second(s)
Tue Mar 26 18:50:40 2013 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Tue Mar 26 18:50:40 2013 Re-using SSL/TLS context
Tue Mar 26 18:50:40 2013 LZO compression initialized
Tue Mar 26 18:50:40 2013 Control Channel MTU parms [ L:1542 D:138 EF:38 EB:0 ET:0 EL:0 ]
Tue Mar 26 18:50:40 2013 Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:0 EL:0 AF:3/1 ]
Tue Mar 26 18:50:40 2013 Local Options hash (VER=V4): '41690919'
Tue Mar 26 18:50:40 2013 Expected Remote Options hash (VER=V4): '530fdded'
Tue Mar 26 18:50:40 2013 Socket Buffers: R=[103424->131072] S=[103424->131072]
Tue Mar 26 18:50:40 2013 UDPv4 link local: [undef]
Tue Mar 26 18:50:40 2013 UDPv4 link remote: 1xx.xxx.xxx.xxx:1194
Tue Mar 26 18:50:40 2013 TLS: Initial packet from 1xx.xxx.xxx.xxx:1194, sid=35abc704 10fe9517
Tue Mar 26 18:50:40 2013 VERIFY OK: depth=1, /C=XY/ST=XY/L=xxxxx/O=Ubuntu-

Server/OU=changeme/CN=abcd/name=changeme/emailAddress=xxxx@xxxx.de
Tue Mar 26 18:50:40 2013 VERIFY OK: nsCertType=SERVER
Tue Mar 26 18:50:40 2013 VERIFY OK: depth=0, /C=xy/ST=XY/L=xxxxx/O=Ubuntu-

Server/OU=changeme/CN=Adam/name=changeme/emailAddress=xxxx@xxxx.de
Tue Mar 26 18:50:41 2013 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Tue Mar 26 18:50:41 2013 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Tue Mar 26 18:50:41 2013 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Tue Mar 26 18:50:41 2013 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Tue Mar 26 18:50:41 2013 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
Tue Mar 26 18:50:41 2013 [Adam] Peer Connection Initiated with 1xx.xxx.xxx.xxx:[COLOR=#ff0000]xxxx[/COLOR]
Tue Mar 26 18:50:44 2013 SENT CONTROL [errut]: 'PUSH_REQUEST' (status=1)
Tue Mar 26 18:50:44 2013 PUSH: Received control message: 'PUSH_REPLY,route 10.8.0.1,topology net30,ping 10,ping-restart 

120,ifconfig 10.8.0.6 10.8.0.5'
Tue Mar 26 18:50:44 2013 OPTIONS IMPORT: timers and/or timeouts modified
Tue Mar 26 18:50:44 2013 OPTIONS IMPORT: --ifconfig/up options modified
Tue Mar 26 18:50:44 2013 OPTIONS IMPORT: route options modified
Tue Mar 26 18:50:44 2013 Preserving previous TUN/TAP instance: tun0
Tue Mar 26 18:50:44 2013 Initialization Sequence Completed
Tue Mar 26 18:54:34 2013 [Adam] Inactivity timeout (--ping-restart), restarting
Tue Mar 26 18:54:34 2013 TCP/UDP: Closing socket
Tue Mar 26 18:54:34 2013 SIGUSR1[soft,ping-restart] received, process restarting
Tue Mar 26 18:54:34 2013 Restart pause, 2 second(s)
Tue Mar 26 18:54:36 2013 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Tue Mar 26 18:54:36 2013 Re-using SSL/TLS context
Tue Mar 26 18:54:36 2013 LZO compression initialized
Tue Mar 26 18:54:36 2013 Control Channel MTU parms [ L:1542 D:138 EF:38 EB:0 ET:0 EL:0 ]
Tue Mar 26 18:54:36 2013 Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:0 EL:0 AF:3/1 ]
Tue Mar 26 18:54:36 2013 Local Options hash (VER=V4): '41690919'
Tue Mar 26 18:54:36 2013 Expected Remote Options hash (VER=V4): '530fdded'
Tue Mar 26 18:54:36 2013 Socket Buffers: R=[103424->131072] S=[103424->131072]
Tue Mar 26 18:54:36 2013 UDPv4 link local: [undef]
Tue Mar 26 18:54:36 2013 UDPv4 link remote: 1xx.xxx.xxx.xxx:1194
Tue Mar 26 18:54:36 2013 TLS: Initial packet from 1xx.xxx.xxx.xxx:1194, sid=de7563fb 7a9d5cf0
Tue Mar 26 18:54:37 2013 VERIFY OK: depth=1, /C=xy/ST=xy/L=xxxxx/O=Ubuntu-

Server/OU=changeme/CN=abcd/name=changeme/emailAddress=xxxx@xxxx.de
Tue Mar 26 18:54:37 2013 VERIFY OK: nsCertType=SERVER
Tue Mar 26 18:54:37 2013 VERIFY OK: depth=0, /C=xy/ST=xy/L=xxxx/O=Ubuntu-

Server/OU=changeme/CN=[COLOR=#ff0000]xxxxx[/COLOR]/name=changeme/emailAddress=[COLOR=#ff0000]xxxxxxx[/COLOR]
Tue Mar 26 18:54:38 2013 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Tue Mar 26 18:54:38 2013 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Tue Mar 26 18:54:38 2013 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Tue Mar 26 18:54:38 2013 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Tue Mar 26 18:54:38 2013 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
Tue Mar 26 18:54:38 2013 [Adam] Peer Connection Initiated with [COLOR=#ff0000]xxxxxxxxxxxx[/COLOR]
Tue Mar 26 18:54:40 2013 SENT CONTROL [Adam]: 'PUSH_REQUEST' (status=1)
Tue Mar 26 18:54:40 2013 PUSH: Received control message: 'PUSH_REPLY,route 10.8.0.1,topology net30,ping 10,ping-restart 

120,ifconfig 10.8.0.6 10.8.0.5'
Tue Mar 26 18:54:40 2013 OPTIONS IMPORT: timers and/or timeouts modified
Tue Mar 26 18:54:40 2013 OPTIONS IMPORT: --ifconfig/up options modified
Tue Mar 26 18:54:40 2013 OPTIONS IMPORT: route options modified
Tue Mar 26 18:54:40 2013 Preserving previous TUN/TAP instance: tun0
Tue Mar 26 18:54:40 2013 Initialization Sequence Completed

EDIT:
Bitte aufpassen, da standen noch Mailadressen und IP`s im Logfile!
szonic

Danke für den Service

 

[lenny]

AW: VPN mit OpenVPN

Das ist ganz normal das der Tunnel abgebaut wird.
Du hast

ping-restart 120

in der Config stehen. Das heist wenn es 120 Sekunden keinen
Traffic gibt, bekommt Openvpn einen SIGUSR1 und restartet den Tunnel.