Gentoo Forums
Gentoo Forums
Gentoo Forums
Quick Search: in
Wlan mit OpenVPN schützen
View unanswered posts
View posts from last 24 hours
View posts from last 7 days

Goto page Previous  1, 2, 3, 4, 5  Next  
Reply to topic    Gentoo Forums Forum Index Deutsches Forum (German) Deutsche Dokumentation
View previous topic :: View next topic  
Author Message
Anarcho
Advocate
Advocate


Joined: 06 Jun 2004
Posts: 2970
Location: Germany

PostPosted: Fri Sep 16, 2005 8:43 am    Post subject: Reply with quote

Das siehst du richtig. Wobei ein kleiner Fehler noch drin steckt:
(Der AP hat nur ne IP für das Webinterface. Theoretisch kannst du dem, wenn du nicht mehr aufs Webinterface zugreifen mussst, jede beliebige IP geben. Hauptsache die IP mit dem Rechner auf der anderen Seite stimmt, also dem auf dem OpenVPN läuft. Aber in der Regel hat der AP eine IP aus dem gleichen Subnet.)

Und per Firewall kannst du dann alles ausser Port 1194 (5000) verbieten, ebenso Forwarding.
_________________
...it's only Rock'n'Roll, but I like it!
Back to top
View user's profile Send private message
LL0rd
l33t
l33t


Joined: 24 May 2004
Posts: 652
Location: Schlundcity

PostPosted: Fri Sep 16, 2005 9:47 am    Post subject: Reply with quote

Anarcho, du kannst mir evtl. noch bei meinem kleinen Problem helfen. Aus irgendeinem Grund bekommt openvpn keine Verbindung mehr zum Server.

Code:
Sep  9 12:53:00 book openvpn[8051]: TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Sep  9 12:53:00 book openvpn[8051]: TLS Error: TLS handshake failed


Diese Meldung taucht so einige Male auf, alle 60 Secs. Nach ca. 5 Mal auftauchen ist das tap0 Interface auch weg. Diese Meldung taucht so oft auf, bis ich openvon restartet habe. Danach geht alles wieder. Das Problem scheint auch nicht am WLAN zu hängen. Ich habe das gleiche Problem auch, wenn ich mein Notebook per Kabel an den AP anschließe. Neben Linux habe ich bei mir auf dem Notebook auch noch Windows drauf. Unter Windows funzt openvpn ohne Probleme (auch über WLAN) wenn die WLAN Verbindung sogar unterbrochen wird, dann passiert nichts mit den aktuellen Datentransfers (wenn die Unterbrechung kurz ist), die werden nach der wiederherstellung der Verbindung einfach wieder fortgesetzt.
_________________
Alte Mathematiker sterben nicht - sie verlieren nur einige ihrer Funktionen.
Back to top
View user's profile Send private message
Anarcho
Advocate
Advocate


Joined: 06 Jun 2004
Posts: 2970
Location: Germany

PostPosted: Fri Sep 16, 2005 2:24 pm    Post subject: Reply with quote

Hi,

Also wenn ich das richtig verstehe, dann klappt es ne zeit lang und dann tauchen die Fehler auf, richtig?
Dann musst du restarten und dann geht es wieder ne Zeit lang.
Kann es sein das es immer ca. ne Stunde lang geht und dann die Verbindung abbricht?

hast du vielleicht was an den Firewall einstellungen geändert?


Poste mal deine .conf vom Client (bei dem Taucht das ja in den Meldungen auf, oder?)
_________________
...it's only Rock'n'Roll, but I like it!
Back to top
View user's profile Send private message
toskala
Advocate
Advocate


Joined: 14 Dec 2002
Posts: 2080
Location: hamburg, germany

PostPosted: Fri Sep 16, 2005 5:15 pm    Post subject: Reply with quote

so,

also die verbindung klappt nun mit dem openvpn server. allerdings scheint das mit dem dhcp und dem routing nicht hinhauen zu wollen.

ich bekomme vom openvpn folgende meldung

Code:
initialization sequence completed


allerdings geht dies nur, wenn ich diesem tunnel device eine feste IP aus dem vpn bereich gebe. der dhcp wird irgendwie noch nicht durchgeroutet, respektive er lauscht noch nicht am korrekten interface.

das dürfte aber auch erstmal noch kein problem sein, da ich eine korrekte feste IP aus dem vpn netz vergeben habe.

vpn netz hat die 10.1.0.0/24
das tap0 device am server hat 10.1.0.1
das tunnel device am client hat 10.1.0.100 von mir zugewiesen bekommen und als default gw 10.1.0.1.

problem ist nun allerdings, ich kann weder das zugewiesene default gw 10.1.0.1 pingen noch sonstwas.

woran könnte der schotter denn liegen?
_________________
adopt an unanswered post
erst denken, dann posten
Back to top
View user's profile Send private message
toskala
Advocate
Advocate


Joined: 14 Dec 2002
Posts: 2080
Location: hamburg, germany

PostPosted: Fri Sep 16, 2005 5:25 pm    Post subject: Reply with quote

hmmmm kommando zurück.

also ich kann allerdings sehr wohl ins internet.

also ein ping www.linux.de

ist erfolgreich von der windows karre aus.
um sicherzugehen, dass auch mein vpn tunnel device verwendet wird hab ich frecherweise einen "tracert www.heise.de" gemacht, da wird mir in der ersten zeile auch direkt als 1. hop 10.1.0.1 angegeben.

alsogut, es geht nu über den tunnel.

wie aber komme ich nun noch an den rest meines lans welches in 192.168.0.0/24 sich befindet?

irgendwie bin ich grade saublöd oder total puzzled :)
_________________
adopt an unanswered post
erst denken, dann posten
Back to top
View user's profile Send private message
Anarcho
Advocate
Advocate


Joined: 06 Jun 2004
Posts: 2970
Location: Germany

PostPosted: Fri Sep 16, 2005 5:34 pm    Post subject: Reply with quote

Zum DHCP:

Der Daemon muss nach dem OpenVPN gestartet werden bzw. das tap0 device muss schon existieren wenn dhcp gestartet wird.

Alternativ dazu kann man auch einfach das OpenVPN interne DHCP verwenden (ab Version 2.0 erst glaube ich):

statt:

Code:
ifconfig 10.1.0.1 255.255.255.0

eintragen:
Code:
server 10.8.0.0 255.255.255.0


und den Eintrag tls-server entfernen.

Dann kann man noch das default gw und den DNS Server "pushen":

Code:
push "redirect-gateway def1"
push "dhcp-option DNS 10.1.0.1"


Zum "nicht pingen":

Hast du vielleicht per Firewall ping verboten oder sogar noch mehr eingeschränkt?

Was sagt denn
iptables -L -v
_________________
...it's only Rock'n'Roll, but I like it!
Back to top
View user's profile Send private message
toskala
Advocate
Advocate


Joined: 14 Dec 2002
Posts: 2080
Location: hamburg, germany

PostPosted: Fri Sep 16, 2005 5:43 pm    Post subject: Reply with quote

porr ey... dont drink and root sach ich hier nur...

klar, ich hatte vergessen in meiner firewall folgendes zu erlauben:

Code:
        iptables -A INPUT -p tcp -s $VPN -d $INTERN -j ACCEPT
        iptables -A INPUT -p udp -s $VPN -d $INTERN -j ACCEPT
        iptables -A INPUT -p icmp -s $VPN -d $INTERN -j ACCEPT


es funktioniert nun also auch schonmal dieses, nun muss nur noch das dhcp geraffel gelöst werden dann hab ichs. *weiterbastel*
_________________
adopt an unanswered post
erst denken, dann posten
Back to top
View user's profile Send private message
LL0rd
l33t
l33t


Joined: 24 May 2004
Posts: 652
Location: Schlundcity

PostPosted: Fri Sep 16, 2005 5:57 pm    Post subject: Reply with quote

Also die config sieht so aus:

Code:
dev tap
# IP des Servers
remote 192.168.1.1 1194
tun-mtu 1500
mssfix 1400
tls-client
ca /etc/openvpn/wireless/my-ca.crt
cert /etc/openvpn/wireless/laptop.crt
key /etc/openvpn/wireless/laptop.key
# Kompression der Daten
comp-lzo
# Optional, siehe oben
tls-auth /etc/openvpn/wireless/wireless.key 1
user nobody
group nobody


Die Verbindung wird in ziehmlich unregelmäßigen Abständen abgebrochen. Manchmal sind es 40 min, manchmal sinds 10 Stunden
_________________
Alte Mathematiker sterben nicht - sie verlieren nur einige ihrer Funktionen.
Back to top
View user's profile Send private message
toskala
Advocate
Advocate


Joined: 14 Dec 2002
Posts: 2080
Location: hamburg, germany

PostPosted: Fri Sep 16, 2005 6:03 pm    Post subject: Reply with quote

so nun hab ichs komplett.

nun geht auch dhcp. also ja, ich sollte vielleicht in zukunft erstmal die kranken firewall geschichten abstellen, kucken obs geht und danach weiterbasteln.
achja, vielleicht noch die eine oder andere ergänzug fürs howto:

1. erwähne vielleicht noch direkt, dass man für einen dhcp server noch in der /etc/conf.d/dhcp noch das eth2 tap0 device eintragen muss
2. vielleicht noch kurz die anmerkungen reintackern wenn die serial, index.txt usw. beim zertifikat erzeugen fehlen
3. man kann die certs nicht signen wenn man bei beiden client und server exakt die selben daten verwendet

ich glaub das wars? darüber bin ich ad hoc gestolpert. aber sonst super howto :)
_________________
adopt an unanswered post
erst denken, dann posten
Back to top
View user's profile Send private message
Anarcho
Advocate
Advocate


Joined: 06 Jun 2004
Posts: 2970
Location: Germany

PostPosted: Fri Sep 16, 2005 8:18 pm    Post subject: Reply with quote

Ja stimmt, der Zertifikat-Teil ist ein wenig kurz geraten. Ich werde das ganze bald mal Grundüberholen.
Dann kommen auch Infos zum Thema revocation lists dazu.

Aber erst wenn ich meinen ISDN Netzwerk Anrufmonitor mit GTK Fenster am Client und 64x128 Pixel externem LCD am Server und MySQL Namesauflösung vom Webinterface fertig habe... (Ich hoffe das LCD kommt morgen)
_________________
...it's only Rock'n'Roll, but I like it!
Back to top
View user's profile Send private message
Anarcho
Advocate
Advocate


Joined: 06 Jun 2004
Posts: 2970
Location: Germany

PostPosted: Fri Sep 16, 2005 8:31 pm    Post subject: Reply with quote

LL0rd wrote:
Also die config sieht so aus:

Code:
dev tap
# IP des Servers
remote 192.168.1.1 1194
tun-mtu 1500
mssfix 1400
tls-client
ca /etc/openvpn/wireless/my-ca.crt
cert /etc/openvpn/wireless/laptop.crt
key /etc/openvpn/wireless/laptop.key
# Kompression der Daten
comp-lzo
# Optional, siehe oben
tls-auth /etc/openvpn/wireless/wireless.key 1
user nobody
group nobody


Die Verbindung wird in ziehmlich unregelmäßigen Abständen abgebrochen. Manchmal sind es 40 min, manchmal sinds 10 Stunden


Hm, sieht vernünftig aus.

Du könntest OpenVPN am Client mal in der Konsole starten (als root natürlich):
Code:
cd /etc/openvpn/wireless
openvpn --config local.conf --verb 3


Und dann warten bis der Fehler auftaucht. Poste dann mal die letzten Zeilen.

Vielleicht läuft das WLAN unter Windows aber auch einfach stabiler und daher taucht der Fehler da nicht auf.
_________________
...it's only Rock'n'Roll, but I like it!
Back to top
View user's profile Send private message
toskala
Advocate
Advocate


Joined: 14 Dec 2002
Posts: 2080
Location: hamburg, germany

PostPosted: Sat Sep 17, 2005 6:55 am    Post subject: Reply with quote

hey hey,

ein bug/problem ist mir noch aufgefallen. und zwar wenn ich auf meinem client das interface tap0 so adde wie du im howto beschrieben hast, dann bootet mein notebook nich mehr sondern hängt sich weg genau dann, wenn irgendein dienst gestartet wird der auf need_net verweist.

booten im interactive mode und alle netzwerk-dienste skippen und ein
Code:
rc-update del net.tap0 default


hat das problem dann gelöst.

ich verwende hier eine intel ipw2100 karte die, starte ich das device manuell, auch wunderbar funktioniert.

ich schau mal ob ich den fehler hierbei noch finde :-)

oh, wichtig: ich fahre auf dem notebook unstable :-) also von dem her, ich weiss was ich da tue und wenns ärger gibt kanns durchaus daran liegen :-).
_________________
adopt an unanswered post
erst denken, dann posten
Back to top
View user's profile Send private message
Anarcho
Advocate
Advocate


Joined: 06 Jun 2004
Posts: 2970
Location: Germany

PostPosted: Sat Sep 17, 2005 8:45 am    Post subject: Reply with quote

Auf dem Laptop, auf dem das OpenVPN nach meiner Anleitung läuft, ist noch das alte Baselayout drauf.
Vielleicht liegt es ja auch daran.

In welcher Reihenfolge werden denn die Dienste bei dir gestartet (net.eth0, openvpn, net.tap0)?
_________________
...it's only Rock'n'Roll, but I like it!
Back to top
View user's profile Send private message
l3u
Advocate
Advocate


Joined: 26 Jan 2005
Posts: 2610
Location: Konradsreuth (Germany)

PostPosted: Sat Sep 17, 2005 7:33 pm    Post subject: Reply with quote

Ich hab mal gehört, daß auf der AVM FritzBox auch ne Linux-Variante läuft. Könnte man mit dem Ding theoretisch auch ein VPN-Netzwerk aufziehen? Also ohne, daß ständig ein Computer als Router läuft?
Back to top
View user's profile Send private message
LL0rd
l33t
l33t


Joined: 24 May 2004
Posts: 652
Location: Schlundcity

PostPosted: Sat Sep 17, 2005 7:57 pm    Post subject: Reply with quote

wird schwer...... auch wenn es möglich ist linux auf dem router zu installieren, wird der Speicherplatz für openvpn und alles was dazugehört scheitern.
_________________
Alte Mathematiker sterben nicht - sie verlieren nur einige ihrer Funktionen.
Back to top
View user's profile Send private message
Anarcho
Advocate
Advocate


Joined: 06 Jun 2004
Posts: 2970
Location: Germany

PostPosted: Sat Sep 17, 2005 8:55 pm    Post subject: Reply with quote

Ich kenn mich mit der Fritzbox nicht aus, aber unter OpenWRT für manche WLAN-Router kannst du sehr wohl OpenVPN installieren.
_________________
...it's only Rock'n'Roll, but I like it!
Back to top
View user's profile Send private message
LL0rd
l33t
l33t


Joined: 24 May 2004
Posts: 652
Location: Schlundcity

PostPosted: Sun Sep 18, 2005 8:51 am    Post subject: Reply with quote

Anarcho, ich habe openvpn nun per Hand gestartet. Schau mal, was er mir (nach ca. 7 Stunden) gesagt hat:

http://staff.rootix.de/openvpn.jpg
_________________
Alte Mathematiker sterben nicht - sie verlieren nur einige ihrer Funktionen.
Back to top
View user's profile Send private message
Anarcho
Advocate
Advocate


Joined: 06 Jun 2004
Posts: 2970
Location: Germany

PostPosted: Sun Sep 18, 2005 9:27 am    Post subject: Reply with quote

Alles klar,

war wie ich mir schon dachte:
Du wechselst nach dem starten von root zum User Nobody, was auch richtig so ist. Jedoch wird irgendwann die Verbindung resetet und dann muss das key-file neu eingelesen werden. Auf Grund der Zugriffsgeschränkungen geht das aber nicht mehr und daher bricht die Verbindung ab. Beim neustarten wird das file als root neu eingelesen und es klappt wieder usw.

Füge also folgende Zeilen in die local.conf mit ein:

persist-key
persist-tun

Dann sollte es gehen. Ich werde das auf der Hauptseite hinzufügen.
_________________
...it's only Rock'n'Roll, but I like it!
Back to top
View user's profile Send private message
Mgiese
Veteran
Veteran


Joined: 23 Mar 2005
Posts: 1628
Location: indiana

PostPosted: Wed Sep 21, 2005 10:43 am    Post subject: Reply with quote

kurze einfache frage:

tracert x.com geht nicht, ich habe kein tracert .. wieso ? ist das nicht standard ? habe 40gb standard opensource auf dem computer und kein tracert dabei ???

wozu sind dann all die 1000 netzwertools ? ich versteh das nicht...
_________________
I do not have a Superman complex, for I am God not Superman :D

Ryzen9 7950x (powersave governor) ; Geforce 3050 (70w) ; kernel 6.10.6 ; XFCE
Back to top
View user's profile Send private message
LL0rd
l33t
l33t


Joined: 24 May 2004
Posts: 652
Location: Schlundcity

PostPosted: Wed Sep 21, 2005 11:28 am    Post subject: Reply with quote

lol.. versuchs mal mit "traceroute"
_________________
Alte Mathematiker sterben nicht - sie verlieren nur einige ihrer Funktionen.
Back to top
View user's profile Send private message
Anarcho
Advocate
Advocate


Joined: 06 Jun 2004
Posts: 2970
Location: Germany

PostPosted: Wed Sep 21, 2005 1:22 pm    Post subject: Reply with quote

@LLord:

Läuft es nun stabil?

@Mgiese:

Ich frage mich zwar ernsthaft ob du wirklich 40GB software drauf hast, aber das tool ist im Paket traceroute und muss erst installiert werden.
_________________
...it's only Rock'n'Roll, but I like it!
Back to top
View user's profile Send private message
LL0rd
l33t
l33t


Joined: 24 May 2004
Posts: 652
Location: Schlundcity

PostPosted: Wed Sep 21, 2005 1:28 pm    Post subject: Reply with quote

ja, die Verbindung ist nun stabil - DANKE!!! -, aber irgendwie stimmt bei mir etwas mit dem Routing nicht.... einige, wenige seiten sind vom Laptop aus nicht erreichbar... Keine Ahnung wieso...
_________________
Alte Mathematiker sterben nicht - sie verlieren nur einige ihrer Funktionen.
Back to top
View user's profile Send private message
Cpt_McLane
Tux's lil' helper
Tux's lil' helper


Joined: 08 Apr 2005
Posts: 133
Location: /home/mclane

PostPosted: Mon Oct 31, 2005 7:27 am    Post subject: Reply with quote

hi...

habe es soweit geschafft, das der Rechner am AP mit meinem Laptop per VPN übers WLAN kommuniziert.
Nun wollte ich in einen weiteren Rechner an das VPN anbinden ("Normaler" PC, also kein Laptop) mit einer Ethernet/WLAN Bridge.
Habe dort aber das Problem, das OpenVPN das /dev/net/tun device nicht findet:
Code:
Oct 31 08:09:53 [openvpn] Note: Cannot open TUN/TAP dev /dev/net/tun: No such file or directory (errno=2)
Oct 31 08:09:53 [openvpn] Note: Attempting fallback to kernel 2.2 TUN/TAP interface
Oct 31 08:09:53 [openvpn] Cannot allocate TUN/TAP dev dynamically
Oct 31 08:09:53 [openvpn] Exiting

allerdings gibt ifconfg -a u. a. folgendes aus:
Code:
tunl0     Link encap:IPIP Tunnel  HWaddr
          NOARP  MTU:1480  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:0 (0.0 b)  TX bytes:0 (0.0 b)


hab's mit einem Vanilla 2.6.11.4 und jetzt mit einem 2.6.13-gentoo-r5 Kernel probiert, Ergebnis ist immer das gleiche. Was mich wundert, da der Laptop und der Server hinter dem AP ebenfalls 2.6.23-gentoo-5 als Kernel haben und dort OpenVPN diesen Fehler nicht meldet.

Wenn jmd. was einfällt, bin für jede Idee dankbar...

MfG McLane
_________________
»Sir! We we are surrounded!« - »Perfect! Now we can shoot in any direction...«
Back to top
View user's profile Send private message
LL0rd
l33t
l33t


Joined: 24 May 2004
Posts: 652
Location: Schlundcity

PostPosted: Mon Oct 31, 2005 8:23 am    Post subject: Reply with quote

ähm... es sieht so aus, als hättest du kein TUN Device in deinem Kernel. Überpfüf das mal bitte.
_________________
Alte Mathematiker sterben nicht - sie verlieren nur einige ihrer Funktionen.
Back to top
View user's profile Send private message
Cpt_McLane
Tux's lil' helper
Tux's lil' helper


Joined: 08 Apr 2005
Posts: 133
Location: /home/mclane

PostPosted: Mon Oct 31, 2005 5:27 pm    Post subject: Reply with quote

danke für die Hilfe, sorry, dass ich erst jetzt antworte, war auf arbeit...
Code:
Device Drivers  --->
  Networking support  --->
    Networking options  --->
      <*>   IP: tunneling

und ifconfig tunl0 gibt mir
Code:
tunl0     Link encap:IPIP Tunnel  HWaddr
          NOARP  MTU:1480  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:0 (0.0 b)  TX bytes:0 (0.0 b)

leider ist es wohl nicht ganz so einfach...

[edit]
ja, wenn man nochmal ne nacht drüber schläft, gehts meist besser... natürlich, das TUN/TAP Device... (eigen blödheit, das zu übersehen)
Code:
Device Drivers  --->
  Networking support  --->
    <M>   Universal TUN/TAP device driver support

das hatte ich bis eben nicht an. hab gerade das modul kompiliert und geladen und siehe da, ich hab ein /dev/net/tun node und openvpn startet ohne probleme...
_________________
»Sir! We we are surrounded!« - »Perfect! Now we can shoot in any direction...«
Back to top
View user's profile Send private message
Display posts from previous:   
Reply to topic    Gentoo Forums Forum Index Deutsches Forum (German) Deutsche Dokumentation All times are GMT
Goto page Previous  1, 2, 3, 4, 5  Next
Page 4 of 5

 
Jump to:  
You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot vote in polls in this forum