| View previous topic :: View next topic |
| Author |
Message |
Anarcho
Advocate
Joined: 06 Jun 2004
Posts: 2970
Location: Germany
|
 Posted: Fri Sep 16, 2005 8:43 am Post subject: |
 |
|
Das siehst du richtig. Wobei ein kleiner Fehler noch drin steckt:
(Der AP hat nur ne IP für das Webinterface. Theoretisch kannst du dem, wenn du nicht mehr aufs Webinterface zugreifen mussst, jede beliebige IP geben. Hauptsache die IP mit dem Rechner auf der anderen Seite stimmt, also dem auf dem OpenVPN läuft. Aber in der Regel hat der AP eine IP aus dem gleichen Subnet.)
Und per Firewall kannst du dann alles ausser Port 1194 (5000) verbieten, ebenso Forwarding.
_________________
...it's only Rock'n'Roll, but I like it! |
|
| Back to top |
|
 |
LL0rd
l33t
Joined: 24 May 2004
Posts: 652
Location: Schlundcity
|
| Posted: Fri Sep 16, 2005 9:47 am Post subject: |
|
|
Anarcho, du kannst mir evtl. noch bei meinem kleinen Problem helfen. Aus irgendeinem Grund bekommt openvpn keine Verbindung mehr zum Server.
| Code: | Sep 9 12:53:00 book openvpn[8051]: TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Sep 9 12:53:00 book openvpn[8051]: TLS Error: TLS handshake failed |
Diese Meldung taucht so einige Male auf, alle 60 Secs. Nach ca. 5 Mal auftauchen ist das tap0 Interface auch weg. Diese Meldung taucht so oft auf, bis ich openvon restartet habe. Danach geht alles wieder. Das Problem scheint auch nicht am WLAN zu hängen. Ich habe das gleiche Problem auch, wenn ich mein Notebook per Kabel an den AP anschließe. Neben Linux habe ich bei mir auf dem Notebook auch noch Windows drauf. Unter Windows funzt openvpn ohne Probleme (auch über WLAN) wenn die WLAN Verbindung sogar unterbrochen wird, dann passiert nichts mit den aktuellen Datentransfers (wenn die Unterbrechung kurz ist), die werden nach der wiederherstellung der Verbindung einfach wieder fortgesetzt.
_________________
Alte Mathematiker sterben nicht - sie verlieren nur einige ihrer Funktionen. |
|
| Back to top |
|
|
Anarcho
Advocate
Joined: 06 Jun 2004
Posts: 2970
Location: Germany
|
| Posted: Fri Sep 16, 2005 2:24 pm Post subject: |
|
|
Hi,
Also wenn ich das richtig verstehe, dann klappt es ne zeit lang und dann tauchen die Fehler auf, richtig?
Dann musst du restarten und dann geht es wieder ne Zeit lang.
Kann es sein das es immer ca. ne Stunde lang geht und dann die Verbindung abbricht?
hast du vielleicht was an den Firewall einstellungen geändert?
Poste mal deine .conf vom Client (bei dem Taucht das ja in den Meldungen auf, oder?)
_________________
...it's only Rock'n'Roll, but I like it! |
|
| Back to top |
|
|
toskala
Advocate
Joined: 14 Dec 2002
Posts: 2080
Location: hamburg, germany
|
| Posted: Fri Sep 16, 2005 5:15 pm Post subject: |
|
|
so,
also die verbindung klappt nun mit dem openvpn server. allerdings scheint das mit dem dhcp und dem routing nicht hinhauen zu wollen.
ich bekomme vom openvpn folgende meldung
| Code: | | initialization sequence completed |
allerdings geht dies nur, wenn ich diesem tunnel device eine feste IP aus dem vpn bereich gebe. der dhcp wird irgendwie noch nicht durchgeroutet, respektive er lauscht noch nicht am korrekten interface.
das dürfte aber auch erstmal noch kein problem sein, da ich eine korrekte feste IP aus dem vpn netz vergeben habe.
vpn netz hat die 10.1.0.0/24
das tap0 device am server hat 10.1.0.1
das tunnel device am client hat 10.1.0.100 von mir zugewiesen bekommen und als default gw 10.1.0.1.
problem ist nun allerdings, ich kann weder das zugewiesene default gw 10.1.0.1 pingen noch sonstwas.
woran könnte der schotter denn liegen?
_________________
adopt an unanswered post
erst denken, dann posten |
|
| Back to top |
|
|
toskala
Advocate
Joined: 14 Dec 2002
Posts: 2080
Location: hamburg, germany
|
| Posted: Fri Sep 16, 2005 5:25 pm Post subject: |
|
|
hmmmm kommando zurück.
also ich kann allerdings sehr wohl ins internet.
also ein ping www.linux.de
ist erfolgreich von der windows karre aus.
um sicherzugehen, dass auch mein vpn tunnel device verwendet wird hab ich frecherweise einen "tracert www.heise.de" gemacht, da wird mir in der ersten zeile auch direkt als 1. hop 10.1.0.1 angegeben.
alsogut, es geht nu über den tunnel.
wie aber komme ich nun noch an den rest meines lans welches in 192.168.0.0/24 sich befindet?
irgendwie bin ich grade saublöd oder total puzzled 
_________________
adopt an unanswered post
erst denken, dann posten |
|
| Back to top |
|
|
Anarcho
Advocate
Joined: 06 Jun 2004
Posts: 2970
Location: Germany
|
| Posted: Fri Sep 16, 2005 5:34 pm Post subject: |
|
|
Zum DHCP:
Der Daemon muss nach dem OpenVPN gestartet werden bzw. das tap0 device muss schon existieren wenn dhcp gestartet wird.
Alternativ dazu kann man auch einfach das OpenVPN interne DHCP verwenden (ab Version 2.0 erst glaube ich):
statt:
| Code: | | ifconfig 10.1.0.1 255.255.255.0 |
eintragen:
| Code: | | server 10.8.0.0 255.255.255.0 |
und den Eintrag tls-server entfernen.
Dann kann man noch das default gw und den DNS Server "pushen":
| Code: | push "redirect-gateway def1"
push "dhcp-option DNS 10.1.0.1" |
Zum "nicht pingen":
Hast du vielleicht per Firewall ping verboten oder sogar noch mehr eingeschränkt?
Was sagt denn
iptables -L -v
_________________
...it's only Rock'n'Roll, but I like it! |
|
| Back to top |
|
|
toskala
Advocate
Joined: 14 Dec 2002
Posts: 2080
Location: hamburg, germany
|
| Posted: Fri Sep 16, 2005 5:43 pm Post subject: |
|
|
porr ey... dont drink and root sach ich hier nur...
klar, ich hatte vergessen in meiner firewall folgendes zu erlauben:
| Code: | iptables -A INPUT -p tcp -s $VPN -d $INTERN -j ACCEPT
iptables -A INPUT -p udp -s $VPN -d $INTERN -j ACCEPT
iptables -A INPUT -p icmp -s $VPN -d $INTERN -j ACCEPT |
es funktioniert nun also auch schonmal dieses, nun muss nur noch das dhcp geraffel gelöst werden dann hab ichs. *weiterbastel*
_________________
adopt an unanswered post
erst denken, dann posten |
|
| Back to top |
|
|
LL0rd
l33t
Joined: 24 May 2004
Posts: 652
Location: Schlundcity
|
| Posted: Fri Sep 16, 2005 5:57 pm Post subject: |
|
|
Also die config sieht so aus:
| Code: | dev tap
# IP des Servers
remote 192.168.1.1 1194
tun-mtu 1500
mssfix 1400
tls-client
ca /etc/openvpn/wireless/my-ca.crt
cert /etc/openvpn/wireless/laptop.crt
key /etc/openvpn/wireless/laptop.key
# Kompression der Daten
comp-lzo
# Optional, siehe oben
tls-auth /etc/openvpn/wireless/wireless.key 1
user nobody
group nobody
|
Die Verbindung wird in ziehmlich unregelmäßigen Abständen abgebrochen. Manchmal sind es 40 min, manchmal sinds 10 Stunden
_________________
Alte Mathematiker sterben nicht - sie verlieren nur einige ihrer Funktionen. |
|
| Back to top |
|
|
toskala
Advocate
Joined: 14 Dec 2002
Posts: 2080
Location: hamburg, germany
|
| Posted: Fri Sep 16, 2005 6:03 pm Post subject: |
|
|
so nun hab ichs komplett.
nun geht auch dhcp. also ja, ich sollte vielleicht in zukunft erstmal die kranken firewall geschichten abstellen, kucken obs geht und danach weiterbasteln.
achja, vielleicht noch die eine oder andere ergänzug fürs howto:
1. erwähne vielleicht noch direkt, dass man für einen dhcp server noch in der /etc/conf.d/dhcp noch das eth2 tap0 device eintragen muss
2. vielleicht noch kurz die anmerkungen reintackern wenn die serial, index.txt usw. beim zertifikat erzeugen fehlen
3. man kann die certs nicht signen wenn man bei beiden client und server exakt die selben daten verwendet
ich glaub das wars? darüber bin ich ad hoc gestolpert. aber sonst super howto
_________________
adopt an unanswered post
erst denken, dann posten |
|
| Back to top |
|
|
Anarcho
Advocate
Joined: 06 Jun 2004
Posts: 2970
Location: Germany
|
| Posted: Fri Sep 16, 2005 8:18 pm Post subject: |
|
|
Ja stimmt, der Zertifikat-Teil ist ein wenig kurz geraten. Ich werde das ganze bald mal Grundüberholen.
Dann kommen auch Infos zum Thema revocation lists dazu.
Aber erst wenn ich meinen ISDN Netzwerk Anrufmonitor mit GTK Fenster am Client und 64x128 Pixel externem LCD am Server und MySQL Namesauflösung vom Webinterface fertig habe... (Ich hoffe das LCD kommt morgen)
_________________
...it's only Rock'n'Roll, but I like it! |
|
| Back to top |
|
|
Anarcho
Advocate
Joined: 06 Jun 2004
Posts: 2970
Location: Germany
|
| Posted: Fri Sep 16, 2005 8:31 pm Post subject: |
|
|
| LL0rd wrote: | Also die config sieht so aus:
| Code: | dev tap
# IP des Servers
remote 192.168.1.1 1194
tun-mtu 1500
mssfix 1400
tls-client
ca /etc/openvpn/wireless/my-ca.crt
cert /etc/openvpn/wireless/laptop.crt
key /etc/openvpn/wireless/laptop.key
# Kompression der Daten
comp-lzo
# Optional, siehe oben
tls-auth /etc/openvpn/wireless/wireless.key 1
user nobody
group nobody
|
Die Verbindung wird in ziehmlich unregelmäßigen Abständen abgebrochen. Manchmal sind es 40 min, manchmal sinds 10 Stunden |
Hm, sieht vernünftig aus.
Du könntest OpenVPN am Client mal in der Konsole starten (als root natürlich):
| Code: | cd /etc/openvpn/wireless
openvpn --config local.conf --verb 3 |
Und dann warten bis der Fehler auftaucht. Poste dann mal die letzten Zeilen.
Vielleicht läuft das WLAN unter Windows aber auch einfach stabiler und daher taucht der Fehler da nicht auf.
_________________
...it's only Rock'n'Roll, but I like it! |
|
| Back to top |
|
|
toskala
Advocate
Joined: 14 Dec 2002
Posts: 2080
Location: hamburg, germany
|
| Posted: Sat Sep 17, 2005 6:55 am Post subject: |
|
|
hey hey,
ein bug/problem ist mir noch aufgefallen. und zwar wenn ich auf meinem client das interface tap0 so adde wie du im howto beschrieben hast, dann bootet mein notebook nich mehr sondern hängt sich weg genau dann, wenn irgendein dienst gestartet wird der auf need_net verweist.
booten im interactive mode und alle netzwerk-dienste skippen und ein
| Code: | | rc-update del net.tap0 default |
hat das problem dann gelöst.
ich verwende hier eine intel ipw2100 karte die, starte ich das device manuell, auch wunderbar funktioniert.
ich schau mal ob ich den fehler hierbei noch finde
oh, wichtig: ich fahre auf dem notebook unstable also von dem her, ich weiss was ich da tue und wenns ärger gibt kanns durchaus daran liegen .
_________________
adopt an unanswered post
erst denken, dann posten |
|
| Back to top |
|
|
Anarcho
Advocate
Joined: 06 Jun 2004
Posts: 2970
Location: Germany
|
| Posted: Sat Sep 17, 2005 8:45 am Post subject: |
|
|
Auf dem Laptop, auf dem das OpenVPN nach meiner Anleitung läuft, ist noch das alte Baselayout drauf.
Vielleicht liegt es ja auch daran.
In welcher Reihenfolge werden denn die Dienste bei dir gestartet (net.eth0, openvpn, net.tap0)?
_________________
...it's only Rock'n'Roll, but I like it! |
|
| Back to top |
|
|
l3u
Advocate
Joined: 26 Jan 2005
Posts: 2610
Location: Konradsreuth (Germany)
|
| Posted: Sat Sep 17, 2005 7:33 pm Post subject: |
|
|
| Ich hab mal gehört, daß auf der AVM FritzBox auch ne Linux-Variante läuft. Könnte man mit dem Ding theoretisch auch ein VPN-Netzwerk aufziehen? Also ohne, daß ständig ein Computer als Router läuft? |
|
| Back to top |
|
|
LL0rd
l33t
Joined: 24 May 2004
Posts: 652
Location: Schlundcity
|
| Posted: Sat Sep 17, 2005 7:57 pm Post subject: |
|
|
wird schwer...... auch wenn es möglich ist linux auf dem router zu installieren, wird der Speicherplatz für openvpn und alles was dazugehört scheitern.
_________________
Alte Mathematiker sterben nicht - sie verlieren nur einige ihrer Funktionen. |
|
| Back to top |
|
|
Anarcho
Advocate
Joined: 06 Jun 2004
Posts: 2970
Location: Germany
|
| Posted: Sat Sep 17, 2005 8:55 pm Post subject: |
|
|
Ich kenn mich mit der Fritzbox nicht aus, aber unter OpenWRT für manche WLAN-Router kannst du sehr wohl OpenVPN installieren.
_________________
...it's only Rock'n'Roll, but I like it! |
|
| Back to top |
|
|
LL0rd
l33t
Joined: 24 May 2004
Posts: 652
Location: Schlundcity
|
| Posted: Sun Sep 18, 2005 8:51 am Post subject: |
|
|
Anarcho, ich habe openvpn nun per Hand gestartet. Schau mal, was er mir (nach ca. 7 Stunden) gesagt hat:
http://staff.rootix.de/openvpn.jpg
_________________
Alte Mathematiker sterben nicht - sie verlieren nur einige ihrer Funktionen. |
|
| Back to top |
|
|
Anarcho
Advocate
Joined: 06 Jun 2004
Posts: 2970
Location: Germany
|
| Posted: Sun Sep 18, 2005 9:27 am Post subject: |
|
|
Alles klar,
war wie ich mir schon dachte:
Du wechselst nach dem starten von root zum User Nobody, was auch richtig so ist. Jedoch wird irgendwann die Verbindung resetet und dann muss das key-file neu eingelesen werden. Auf Grund der Zugriffsgeschränkungen geht das aber nicht mehr und daher bricht die Verbindung ab. Beim neustarten wird das file als root neu eingelesen und es klappt wieder usw.
Füge also folgende Zeilen in die local.conf mit ein:
persist-key
persist-tun
Dann sollte es gehen. Ich werde das auf der Hauptseite hinzufügen.
_________________
...it's only Rock'n'Roll, but I like it! |
|
| Back to top |
|
|
Mgiese
Veteran
Joined: 23 Mar 2005
Posts: 1628
Location: indiana
|
| Posted: Wed Sep 21, 2005 10:43 am Post subject: |
|
|
kurze einfache frage:
tracert x.com geht nicht, ich habe kein tracert .. wieso ? ist das nicht standard ? habe 40gb standard opensource auf dem computer und kein tracert dabei ???
wozu sind dann all die 1000 netzwertools ? ich versteh das nicht...
_________________
I do not have a Superman complex, for I am God not Superman 
Ryzen9 7950x (powersave governor) ; Geforce 3050 (70w) ; kernel 6.10.6 ; XFCE |
|
| Back to top |
|
|
LL0rd
l33t
Joined: 24 May 2004
Posts: 652
Location: Schlundcity
|
| Posted: Wed Sep 21, 2005 11:28 am Post subject: |
|
|
lol.. versuchs mal mit "traceroute"
_________________
Alte Mathematiker sterben nicht - sie verlieren nur einige ihrer Funktionen. |
|
| Back to top |
|
|
Anarcho
Advocate
Joined: 06 Jun 2004
Posts: 2970
Location: Germany
|
| Posted: Wed Sep 21, 2005 1:22 pm Post subject: |
|
|
@LLord:
Läuft es nun stabil?
@Mgiese:
Ich frage mich zwar ernsthaft ob du wirklich 40GB software drauf hast, aber das tool ist im Paket traceroute und muss erst installiert werden.
_________________
...it's only Rock'n'Roll, but I like it! |
|
| Back to top |
|
|
LL0rd
l33t
Joined: 24 May 2004
Posts: 652
Location: Schlundcity
|
| Posted: Wed Sep 21, 2005 1:28 pm Post subject: |
|
|
ja, die Verbindung ist nun stabil - DANKE!!! -, aber irgendwie stimmt bei mir etwas mit dem Routing nicht.... einige, wenige seiten sind vom Laptop aus nicht erreichbar... Keine Ahnung wieso...
_________________
Alte Mathematiker sterben nicht - sie verlieren nur einige ihrer Funktionen. |
|
| Back to top |
|
|
Cpt_McLane
Tux's lil' helper
Joined: 08 Apr 2005
Posts: 133
Location: /home/mclane
|
| Posted: Mon Oct 31, 2005 7:27 am Post subject: |
|
|
hi...
habe es soweit geschafft, das der Rechner am AP mit meinem Laptop per VPN übers WLAN kommuniziert.
Nun wollte ich in einen weiteren Rechner an das VPN anbinden ("Normaler" PC, also kein Laptop) mit einer Ethernet/WLAN Bridge.
Habe dort aber das Problem, das OpenVPN das /dev/net/tun device nicht findet:
| Code: | Oct 31 08:09:53 [openvpn] Note: Cannot open TUN/TAP dev /dev/net/tun: No such file or directory (errno=2)
Oct 31 08:09:53 [openvpn] Note: Attempting fallback to kernel 2.2 TUN/TAP interface
Oct 31 08:09:53 [openvpn] Cannot allocate TUN/TAP dev dynamically
Oct 31 08:09:53 [openvpn] Exiting
|
allerdings gibt ifconfg -a u. a. folgendes aus:
| Code: | tunl0 Link encap:IPIP Tunnel HWaddr
NOARP MTU:1480 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:0 (0.0 b) TX bytes:0 (0.0 b) |
hab's mit einem Vanilla 2.6.11.4 und jetzt mit einem 2.6.13-gentoo-r5 Kernel probiert, Ergebnis ist immer das gleiche. Was mich wundert, da der Laptop und der Server hinter dem AP ebenfalls 2.6.23-gentoo-5 als Kernel haben und dort OpenVPN diesen Fehler nicht meldet.
Wenn jmd. was einfällt, bin für jede Idee dankbar...
MfG McLane
_________________
»Sir! We we are surrounded!« - »Perfect! Now we can shoot in any direction...« |
|
| Back to top |
|
|
LL0rd
l33t
Joined: 24 May 2004
Posts: 652
Location: Schlundcity
|
| Posted: Mon Oct 31, 2005 8:23 am Post subject: |
|
|
ähm... es sieht so aus, als hättest du kein TUN Device in deinem Kernel. Überpfüf das mal bitte.
_________________
Alte Mathematiker sterben nicht - sie verlieren nur einige ihrer Funktionen. |
|
| Back to top |
|
|
Cpt_McLane
Tux's lil' helper
Joined: 08 Apr 2005
Posts: 133
Location: /home/mclane
|
| Posted: Mon Oct 31, 2005 5:27 pm Post subject: |
|
|
danke für die Hilfe, sorry, dass ich erst jetzt antworte, war auf arbeit...
| Code: | Device Drivers --->
Networking support --->
Networking options --->
<*> IP: tunneling |
und ifconfig tunl0 gibt mir | Code: | tunl0 Link encap:IPIP Tunnel HWaddr
NOARP MTU:1480 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:0 (0.0 b) TX bytes:0 (0.0 b) |
leider ist es wohl nicht ganz so einfach...
[edit]
ja, wenn man nochmal ne nacht drüber schläft, gehts meist besser... natürlich, das TUN/TAP Device... (eigen blödheit, das zu übersehen)
| Code: | Device Drivers --->
Networking support --->
<M> Universal TUN/TAP device driver support |
das hatte ich bis eben nicht an. hab gerade das modul kompiliert und geladen und siehe da, ich hab ein /dev/net/tun node und openvpn startet ohne probleme...
_________________
»Sir! We we are surrounded!« - »Perfect! Now we can shoot in any direction...« |
|
| Back to top |
|
|
|
Deutsches Forum (German) 
