View previous topic :: View next topic |
Author |
Message |
Cpt_McLane Tux's lil' helper
Joined: 08 Apr 2005 Posts: 133 Location: /home/mclane
|
Posted: Tue Nov 01, 2005 7:07 am Post subject: |
|
|
moin,
wie aus vorigem Beitrag ersichtlich funktioniert mein VPN über das WLAN nun. Ich bin bis auf ein paar Abweichungen strikt nach dem Howto vorgegangen, hab nur meine systemspezifischen Angaben (die Netzwerkkarten und IP-Adressen geändert, kein DHCP genutzt) angepasst. Dennoch bin ich auf ein paar Probleme gestoßen. Hier meine Lösungen:
- Beim Erstellten der Zertifikate unbedingt alle Angaben ausfüllen, sonst steigt openssl mit einer Warnung aus und erstellt zwar die Dateien, aber mit leerem Inhalt
- Beim Erstellen der Zertifikate kommt Fehlermeldung, dass index.txt nicht gefunden wurde
Dies lässt sich beheben, indem einfach die Datei erstellt wird:
Beim Erstellen der Zertifikate kommt Fehlermeldung, dass serial nicht gelesen werden kann.
diese Datei muss mit Inhalt 02 erstellt werden:
Beim Erstellen des Clientzertifikats schimpft openssl dann, dass es mit dem inhalt der index.txt nichts anfangen kann. also wieder löschen und leer neu anlegen. (Anmerkung: Ich bin in Sachen openssl und ssl allgemein sehr unerfahren, wenn jmd. weiß was openssl mir hier sagen wollte, bin ich sehr dankbar. Da es aber funktioniert mache ich mir erstmal keinen Kopf drum )
Code: | rm index.txt
touch index.txt |
OpenVPN Client kann nicht zum Server verbinden.
Mittlerweile hat OpenVPN einen offiziellen Port zugewiesen gekriegt, der nun auch standardmäßig verwendet wird. In der Client Konfiguration muss hinter der IP des OpenVPN Server der Port 5000 durch 1194 ersetzt werden. Dies sollte dann dementsprechend auch im IPTables Script erledigt werden.
Erweiterungsvorschlag: Der Server hinter dem AP ist ja nun durch iptables "abgedichtet" allerdings sind die Clients im WLAN noch offen.
Hier kann ebenfalls fast aller Verkehr über das normale Interface abgewiesen werden:
Code: | iptables -t filter -A INPUT --protocol udp --sport 1194 -j ACCEPT -i eth1 # eth1 ist das Interface an dem der AP hängt
iptables -t filter -A INPUT -j REJECT -i eth1 #oder -j DROP, je nach Geschmack
/etc/init.d/iptables save
|
Das waren nun allesamt die Probleme mit denen ich gekämpft habe und wie ich sie behoben habe. Ob irgendein Vorgehen an dieser Stelle grundsätzlich falsch war weiß ich nicht.
MfG McLane _________________ »Sir! We we are surrounded!« - »Perfect! Now we can shoot in any direction...« |
|
Back to top |
|
|
LL0rd l33t
Joined: 24 May 2004 Posts: 652 Location: Schlundcity
|
Posted: Wed Nov 02, 2005 2:26 pm Post subject: |
|
|
Hi,
deshalb habe ich ja auch gesagt, dass das TUN/TAP modul fehlt
Nun habe ich jetzt aber auch ein Problem mit VPN, bzw. mit dem Routing. Ich habe bei mir auf dem Laptop derzeit Windows XP. Ich würde gerne eine Verbindung vom Uni Netz zu mir nach Hause herstellen. Nur leider funktioniert das nicht richtig.
Die OpenVPN Verbindung soll so laufen.
WLAN Karte -> offenes WLAN -> (Cisco IPsec) VPN ins Internet -> OpenVPN nach Hause
Über das VPN nach Hause will ich nur auf die Rechner zugreifen, nicht online gehen. Die Verbindung zum OpenVPN Server wird aufgebaut, nur kann ich leider auf die Rechner zu Hause nicht zugreifen. Das Netzwerkinterface ist gestartet und hat sich sogar die IP vom DHCP besorgt. Die Rechner sind einfach nicht pingbar. Gehe ich aber einen anderen Weg:
WLAN Karte -> offenes WLAN (WebAuth) -> OpenVPN nach Hause
Dann kann ich normal auf das Netz zugreifen. Nur leider ist der Traffic zum AP nicht verschlüsselt und das sollte schon sein. Was kann / muss ich denn jetzt machen, damit ich auf das VPN Netz zugreifen kann? Ich vermute, es liegt an der Routing Tabelle. Die sieht nämlich so aus, als hätte da eine Bombe eingeschlagen:
Code: |
===========================================================================
Schnittstellenliste
0x1 ........................... MS TCP Loopback interface
0x2 ...00 0c f1 11 aa df ...... Intel(R) PRO/Wireless LAN 2100 3B Mini PCI Adap
er - Paketplaner-Miniport
0x3 ...00 0f b5 23 b3 4e ...... NETGEAR 108 Mbps Wireless PC Card WG511T - Pake
planer-Miniport
0x4 ...00 00 f0 7e f2 a2 ...... Realtek RTL8139-Familie-PCI-Fast Ethernet-NIC -
Paketplaner-Miniport
0x5 ...00 ff b0 74 62 d0 ...... TAP-Win32 Adapter V8 - Paketplaner-Miniport
0x20007 ...00 05 9a 3c 78 00 ...... Cisco Systems VPN Adapter - Paketplaner-Min
port
===========================================================================
===========================================================================
Aktive Routen:
Netzwerkziel Netzwerkmaske Gateway Schnittstelle Anzahl
0.0.0.0 0.0.0.0 10.1.0.1 10.1.0.30 30
0.0.0.0 0.0.0.0 129.13.78.243 129.13.78.243 1
0.0.0.0 0.0.0.0 193.196.44.254 193.196.44.220 25
10.0.0.0 255.0.0.0 10.1.0.30 10.1.0.30 30
10.0.0.0 255.0.0.0 193.196.44.254 193.196.44.220 1
10.1.0.30 255.255.255.255 127.0.0.1 127.0.0.1 30
10.255.255.255 255.255.255.255 10.1.0.30 10.1.0.30 30
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
129.13.0.0 255.255.0.0 129.13.78.243 129.13.78.243 25
129.13.72.1 255.255.255.255 193.196.44.254 193.196.44.220 1
129.13.78.243 255.255.255.255 127.0.0.1 127.0.0.1 25
129.13.239.0 255.255.255.0 193.196.44.254 193.196.44.220 1
129.13.240.0 255.255.248.0 193.196.44.254 193.196.44.220 1
129.13.255.255 255.255.255.255 129.13.78.243 129.13.78.243 25
172.21.12.0 255.255.252.0 193.196.44.254 193.196.44.220 1
172.21.64.246 255.255.255.255 193.196.44.254 193.196.44.220 1
193.196.44.128 255.255.255.128 193.196.44.220 193.196.44.220 25
193.196.44.128 255.255.255.128 129.13.78.243 129.13.78.243 1
193.196.44.220 255.255.255.255 127.0.0.1 127.0.0.1 25
193.196.44.254 255.255.255.255 193.196.44.220 193.196.44.220 1
193.196.44.255 255.255.255.255 193.196.44.220 193.196.44.220 25
224.0.0.0 240.0.0.0 10.1.0.30 10.1.0.30 30
224.0.0.0 240.0.0.0 129.13.78.243 129.13.78.243 25
224.0.0.0 240.0.0.0 193.196.44.220 193.196.44.220 25
255.255.255.255 255.255.255.255 10.1.0.30 2 1
255.255.255.255 255.255.255.255 10.1.0.30 10.1.0.30 1
255.255.255.255 255.255.255.255 10.1.0.30 4 1
255.255.255.255 255.255.255.255 129.13.78.243 129.13.78.243 1
255.255.255.255 255.255.255.255 193.196.44.220 193.196.44.220 1
Standardgateway: 129.13.78.243
===========================================================================
Ständige Routen:
Keine
|
WLAN Karte: 193.196.44.220
IPSec VPN: 129.13.78.243
Interne IP des Notebooks im VPN Netz: 10.1.0.30
Interne IP des VPN Servers im VPN Netz: 10.1.0.1
Das Netz hat IP Adressen aus dem Bereich 10.0.0.x _________________ Alte Mathematiker sterben nicht - sie verlieren nur einige ihrer Funktionen. |
|
Back to top |
|
|
Anarcho Advocate
Joined: 06 Jun 2004 Posts: 2970 Location: Germany
|
Posted: Sun Nov 06, 2005 12:26 pm Post subject: |
|
|
Für die Einwahl von ausserhalb würde ich eine etwas andere OpenVPN Konfiguration nehmen. Dieses HowTO ist speziell für den Internetzugang über VPN gedacht.
Ich würde ein 2. VPN laufen lassen auf einem anderen Port der nach aussen offen ist und natürlich auch ein anderes Subnetz verwendet.
Die dhcp config würde ich so anpassen das über dieses netzwerk kein standardgateway verwendet wird aber openvpn eine route für das interne Netzwerk pushed. _________________ ...it's only Rock'n'Roll, but I like it! |
|
Back to top |
|
|
LL0rd l33t
Joined: 24 May 2004 Posts: 652 Location: Schlundcity
|
Posted: Mon Nov 07, 2005 8:46 am Post subject: |
|
|
ok, gesagt, getan. Aber es geht trotzdem irgendwie nicht. Windows scheint die Route irgendwie durcheinander zu bringen. Ich habe jetzt im DHCPD einfach das Standartgateway gekillt und einen zweiten VPN Daemon gestartet, der auf einem anderen Port lauscht und ein anderes IP Netz ist. Nur leider habe ich da das gleiche Problem. Authe ich mich am Web Server, so kann ich problemlos die VPN Verbindung herstellen. Wenn ich nun aber das ganze über die VPN Verbindung versuche, bekomme ich zwar noch die IP Adresse vom DHCP Server, aber das wars auch schon.
Genau das gleiche habe ich auch, wenn ich mich mit dem VPN Server des Unternehmens verbinden will, bei dem ich arbeite (IPSec).
BTW. Ich dachte, dass es daran liegt, dass er nicht das VPN Gateway nimmt, sondern direlt über die WLAN Karte rausgehen will, aber das ist auch nicht der fall. Ich habe sowohl den Tunnel aufgebaut, als mich auch übers WEB Authentifiziert. Same... _________________ Alte Mathematiker sterben nicht - sie verlieren nur einige ihrer Funktionen. |
|
Back to top |
|
|
eGore911 Apprentice
Joined: 11 Mar 2003 Posts: 290
|
Posted: Fri Dec 07, 2007 6:42 pm Post subject: |
|
|
Folgendes wäre besser:
/etc/conf.d/net
Code: | ifconfig_tap0=( "dhcp" )
depend_tap0() {
need openvpn
}
|
und dann:
Code: | cd /etc/init.d
ln -s net.lo net.tap0
rc-update add net.tap0 default
|
|
|
Back to top |
|
|
Treborius Guru
Joined: 18 Oct 2005 Posts: 585 Location: Berlin
|
Posted: Tue Sep 27, 2011 6:55 am Post subject: |
|
|
ich stehe gerade völlig auf dem schlauch,
bei mir sieht das setup ein wenig anders aus, meine gentoo box fungiert schon als wlan router
ich habe also
eth0 ==> WAN
ath0 ==> WLAN
eth0 <==> ath0
vor kurzem habe ich openvpn eingerichtet um ein paar services die auf eth0 laufen zu verschlüsseln
(ssh und svn verbindungen)
openvpn lauscht dabei nur auf verbindungen auf eth0
nach dem lesen dieses tutorials würde nun gerne auch sämtlichen wlan0 verkehr über openvpn laufen lassen,
kann mir aber nichtmal die netzwerkarchitektur so richtig vorstellen
ath0 hat immer eine statische ip,
wlan-verbindungen werden per hostapd (WPA2) verteilt,
dhcpd vergibt dann im wlan die ips
meine gedanken waren nun folgende :
jeglichen traffic auf ath0 blocken, und nur verbindungen auf dem openvpn port zulassen,
dann das routing nichtmehr auf ath0 sondern auf tun0 umlenken
kann ich mir dann eigentlich den dhcpd irgendwie sparen?
(eigentlich ja nicht, ich brauch ja erstmal ne ip um eine openvpn verbindung zu bekommen)
würde das so funktionieren? oder denke ich gerade in die völlig falsche richtung?
edit : warum ich das machen möchte ist folgendes :
der router hat nur 500MHz und stösst dabei manchmal an seine grenzen wenn ich zB scp zum filetransfer verwende
vpn verbindungen kann ich aber imho über die geode-aes-engine in hardware verschlüsseln _________________ Systems running gentoo :
Desktop, Laptop, ZOTAC AD-10 media-center, odroid-xu4 server / wLan-router |
|
Back to top |
|
|
LL0rd l33t
Joined: 24 May 2004 Posts: 652 Location: Schlundcity
|
Posted: Tue Sep 27, 2011 9:28 am Post subject: |
|
|
Hi,
im Grunde hast du schon recht mit dem, was du da geschrieben hast. Allerdings habe ich das Gefühl, dass du die Interfaces etwas durcheinander wirfst. Deshalb mal eine kurze Erklärung. In dem Accesspoint (oder Router) hast du drei wichtige Netzwerkkarten. Einmal ist es die WLAN Karte, die WAN Verbindung zur Außenwelt und das VPN Interface.
Das Setup sagt jetzt folgendes:
Ein Client verbindet sich nun ohne eine Authentifizierung zum AP. Das ist auch in Ordnung so, jedoch darf er ausschließlich auf den VPN Server zugreifen. Deshalb werden alle Ports auf dem WLAN Interface gesperrt, außer dem Port für die VPN Verbindung und DHCP.
Hat ein Client sich jedoch auf dem VPN Server authentifiziert, so kann der Client das AP nicht nur über den WLAN Adapter erreichen, sondern ZUSÄTZLICH auch über das VPN Interface. Deshalb richtet man hier in der Regel auch ein Routing ein, dass der Client z.B. ins Internet gelangen kann. Das richtet man auf dem AP VPN Interface ein.
Wieso du dir den DHCP sparen möchtest, verstehe ich nicht so ganz. Der DHCP bringt Komfort. Was die geode-aes-engine betrifft, so kann ich dir da nicht wirklich helfen. Ich habe leider keine großen Erfahrungen mit Hardware-Verschlüsselungskarten. _________________ Alte Mathematiker sterben nicht - sie verlieren nur einige ihrer Funktionen. |
|
Back to top |
|
|
Treborius Guru
Joined: 18 Oct 2005 Posts: 585 Location: Berlin
|
Posted: Tue Sep 27, 2011 12:22 pm Post subject: |
|
|
LL0rd wrote: |
Wieso du dir den DHCP sparen möchtest, verstehe ich nicht so ganz. Der DHCP bringt Komfort. Was die geode-aes-engine betrifft, so kann ich dir da nicht wirklich helfen. Ich habe leider keine großen Erfahrungen mit Hardware-Verschlüsselungskarten. |
war blödsinn was ich geschrieben habe, hab nur mal wieder was durcheinander geworfen
- dhcpcd läuft dann auf eth0 und holt ip vom modem ( als client)
- dhcpd läuft dann auf ath0 und vergibt ips für (als server für die clients im wlan)
- der interne dhcp von openvpn vergibt dann die ips für die clients im vpn
ich muss mir das mal aufmalen, aber danke,
hab ich am wochenende was vor
edit :
kann ich nach diesem setup dann nicht sogar WPA2 und sogar WEP völlig weglassen?
kann mir ja egal sein wer sich aus meiner näheren umgebung dann im WLAN anmeldet
er hat ja nur zugriff auf den VPN port _________________ Systems running gentoo :
Desktop, Laptop, ZOTAC AD-10 media-center, odroid-xu4 server / wLan-router |
|
Back to top |
|
|
LL0rd l33t
Joined: 24 May 2004 Posts: 652 Location: Schlundcity
|
Posted: Fri Sep 30, 2011 1:13 pm Post subject: |
|
|
Treborius wrote: |
kann ich nach diesem setup dann nicht sogar WPA2 und sogar WEP völlig weglassen?
kann mir ja egal sein wer sich aus meiner näheren umgebung dann im WLAN anmeldet
er hat ja nur zugriff auf den VPN port |
Sorry, hab dein Edit jetzt erst gesehen.
Also WEP ist ja volle Kanne für die Tonne, ob du auf WPA(2) verzichten kannst, kannst du nur selbst beurteilen, denn es kommt darauf an, was du schützen möchtest.
Ich möchte es dir mal verdeutlichen.
Ich habe an meinem WLAN "normale" Rechner angeschlossen, Smartphones, WLAN Kameras, Drucker, die PS3 und meinen Fernseher. Einige der Geräte möchten nur ins Internet gehen oder auf "unwichtige" Ressourcen des Netzwerks zugreifen. Was ich gemacht habe ist, dass ich das WLAN WPA2 verschlüsselt habe. Hat man die WPA2 Barriere überwunden, dann bekommt man Zugriff auf das Internet + auf die NAS mit Filmen, MP3 Files, etc. Die Rechner sind dan per Client Separation voneinander getrennt. Hat man sich zusätzlich per VPN authentifiziert, so hat man zusätzlich noch den Zugriff auf den Fileserver mit wichtigen Daten sowie auf die anderen Rechner. _________________ Alte Mathematiker sterben nicht - sie verlieren nur einige ihrer Funktionen. |
|
Back to top |
|
|
|
|
You cannot post new topics in this forum You cannot reply to topics in this forum You cannot edit your posts in this forum You cannot delete your posts in this forum You cannot vote in polls in this forum
|
|