Gentoo Forums
Gentoo Forums
Gentoo Forums
Quick Search: in
Wlan mit OpenVPN schützen
View unanswered posts
View posts from last 24 hours
View posts from last 7 days

Goto page 1, 2, 3, 4, 5  Next  
Reply to topic    Gentoo Forums Forum Index Deutsches Forum (German) Deutsche Dokumentation
View previous topic :: View next topic  
Author Message
Anarcho
Advocate
Advocate


Joined: 06 Jun 2004
Posts: 2970
Location: Germany

PostPosted: Wed Jan 12, 2005 6:14 pm    Post subject: Wlan mit OpenVPN schützen Reply with quote

Motivation

Da mir persönlich die Verschlüsselung und Sicherheitsfeatures von WLAN zu schwach sind, wollte ich mein WLAN mit OpenVPN absichern. Da dies mittlerweile recht gut funktioniert, möchte ich meine Erkenntnisse mit euch teilen.

Zusammenfassung

Es wird ein AP direkt an einer nur dafür vorgesehenen Netzwerkkarte angeschlossen. Danach wird ein OpenVPN Netzwerk eingerichtet und mit iptables jeder andere Netzwerkverkehr gestoppt. Dadurch ist es nur noch möglich mit gültigen Key aufs Netzwerk zuzugreifen, selbst wenn man es geschafft hat an den WLAN Sicherungen vorbeizukommen.
Die beiden IP-Adressen werden per DHCP übermittelt.


Inhalt

0. Kernel-Vorraussetzungen
1. Konfigurieren der Netzwerkkarten am Server
2. Einrichten von OpenVPN 2.0 Server
3. Einrichten von DHCP am Server
4. Einrichten von OpenVPN am Client (Linux/Windows)
5. Konfigurieren der Netzwerkkarten am Client
6. Abdichten des Servers per iptables



0. Kernel Vorraussetzungen

OpenVPN benutzt das TUN/TAP Modul um ein virtuelles Netzwerkinterface zum tunneln zu erstellen. Dazu benötigt man die Unterstützung für das Universal TUN/TAP Device im Kernel unter Network-Support.
Wenn man es als Modul kompiliert hat, heisst es tun.

1. Konfigurieren der Netzwerkkarten am Server

Es steht mindestens eine Netzwerkkarten zur Verfügung. Ich gehe davon aus das jeder in der lage ist dieser eine IP-Adresse zuzuweisen. Ferner gehe ich davon aus das dieser Server das Gateway zum Internet darstellt und auch dieses schon eingerichtet ist (NAT, MASQUERADING, ...)
Damit sich ein eventuell vorhandes Kabelnetzwerk nicht mit dem WLAN beisst, muss sich beides an einer einzelnen Netzwerkkarte befinden. Um das VPN eindeutig zu kennzeichnen habe ich mich für das eigentliche WLAN für das Netzwerk 192.168.1.0/24 und für das VPN das Netzwerk 10.1.0.0/24 entschieden. Dadurch sind beide Netzwerke sehr einfach von einander zu unterscheiden.
Ich gebe dem Server für das normale WLAN die IP 192.168.1.1, wobei zu sagen ist das der Server ja nicht richtig im WLAN ist sondern es sich dabei nur um die IP Adresse der Netzwerkkarte zum AccessPoint handelt.
Das eventuell vorhandensein von DHCP des AccessPoints ist auszuschalten!
Folgendes haben wir bisher getan: Die Netzwerkkarte des Servers zum AP (z.b. eth1) hat nun die IP 192.168.1.1


2. Einrichten von OpenVPN 2.0 Beta am Server

Ich habe mich für OpenVPN 2.0 entschieden da der Serverbetrieb deutlich verbessert wurde. So ist es nun möglich mehrere Clients über nur 1 Interface anzubinden.
Wer nur einen Client verbinden möchte kann auch OpenVPN 1.5 oder 1.6 nehmen, ich werde an der entsprechenden Stelle auf den Unterschied hinweisen.
Ich empfehle das USE-Flag pthreads zu verwenden da dies die Performance erheblich steigern kann, gerade bei mehreren Clients.

Nach erfolgreicher Installation erstellen wir uns ein neues Verzeichnis in den alle Dateien abgelegt werden sollen:
Code:
mkdir /etc/openvpn/wireless -p


Für die folgende Schritte benötigt ihr OpenSSL, denn nun müssen wir die Zertifikate erstellen.

Als erstes müssen wir eine CA (certificate authority) welche die später erzeugten Schlüssel signiert. Dazu editieren wir als erstes die Datei openssl.cnf. Diese sollte sich bei euch im Verzeichnis /etc/ssl befinden, also
Code:
cd /etc/ssl

Angepasst werden müssen folgende Werte:
- default_days (spezifiziert wie lange das Zertifikat gültig sein soll, 3650 sind 10 Jahre)
- dir (falls ihr ein anderes Verzeichnis nehmen wollt)
- certificate (zu my-ca.crt)
- private_key (zu my-ca.key)
- default_bits (zu 2048 für mehr Sicherheit)

Nachdem wir die Änderungen vorgenommen haben können wir unsere CA erstellen. Wählt eure Angaben selber aus (Firma, Ort, usw.)
Code:
openssl req -nodes -new -x509 -keyout my-ca.key -out my-ca.crt -days 3650


Dann können wir unsere Server- und Client-Zertifikate erstellen:
Code:
openssl req -nodes -new -keyout server.key -out server.csr
openssl ca -out server.crt -in server.csr
openssl req -nodes -new -keyout client.key -out client.csr
openssl ca -out client.crt -in client.csr

Auch hier solltet ihr sinnvolle Werte selbständig finden.

Zum Schluss noch den DH-Key
Code:
openssl dhparam -out dh2048.pem 2048

Falls ihr nur 1024 in der openssl.cnf gewählt habt, solltet ihr dies hier anpassen.

Nun kopieren wir die eben erstellten Dateien in unser OpenVPN-Verzeichnis von eben.
Code:
cp server.crt server.key client.crt dh2048.pem /etc/openvpn/wireless/

Das Zertifikat der CA wird ebenfalls benötigt, per default befindet es sich in ./demoCA
Code:
cp ./demoCA/my-ca.crt /etc/openvpn/wireless/


Nun können wir ins Verzeichnis /etc/openvpn/wireless wechseln
Code:
cd /etc/openvpn/wireless


Optional

Zusätzlich empfehle ich noch einen weiteren Key hinzuzufügen. Dieser authentifiziert das anmelden und übertragen des eigenen Zertifikats. Dadurch wird die Sicherheit erhöht und mögliche DoS Attacken erschwert.
Code:
openvpn --genkey --secret wireless.key




Nun kommen wir zur eigentlichen Konfiguration von OpenVPN. Wir erstellen die Datei /etc/openvpn/wireless/local.conf mit folgendem Inhalt:

Code:
dev tap
ifconfig 10.1.0.1 255.255.255.0
mode server
tls-server
dh dh2048.pem
ca my-ca.crt
cert server.crt
key server.key
tun-mtu 1500
mssfix 1400
# Kompression
comp-lzo
# Die nächste Zeile ist optional, nur verwenden falls die Datei oben erzeugt wurde
tls-auth /etc/openvpn/wireless/wireless.key 0
# Die nächste Zeile erlaubt mehrere Clients mit gleichem Zertifikat.
# Das vereinfacht die Sache erheblich.
# Nur mit Version 2.0 Beta verwenden.
duplicate-cn
chroot /etc/openvpn/wireless/newroot
user nobody
group nobody


Dann erstellen wir noch das neue Gefängnis für unseren OpenVPN Server:
Code:
mkdir /etc/openvpn/wireless/newroot


Nun können wir den Server starten und zum default Runlevel hinzufügen.
Code:
/etc/init.d/openvpn start
rc-update add openvpn default



3. Einrichten von DHCP am Server

Ich stelle hier nur kurz eine mögliche dhcpd.conf vor (/etc/dhcp/dhcpd.conf)
Code:
default-lease-time 600;
max-lease-time 7200;
option subnet-mask 255.255.255.0;
ddns-update-style interim;

# Netzwerk des normalen WLAN
subnet 192.168.1.0 netmask 255.255.255.0
{
        range 192.168.1.12 192.168.1.120;
        # Die Nameserver solltet ihr gegen die eures Providers tauschen, diese hier sind von Arcor.
        option domain-name-servers 145.253.2.203, 145.253.2.171;
        option broadcast-address 192.168.1.255;
}

# Netzwerk des VPN
subnet 10.1.0.0 netmask 255.255.255.0
{
        range 10.1.0.12 10.1.0.120;
        # Die Nameserver solltet ihr gegen die eures Providers tauschen, diese hier sind von Arcor.
        option domain-name-servers 145.253.2.203, 145.253.2.171;
        # Erst hier wird das default Gateway übergeben, da der Verkehr über das normale Device ja geblockt ist
        option routers 10.1.0.1;
        option broadcast-address 10.1.0.255;
}



4. Einrichten von OpenVPN am Client (Linux/Windows)

Da OpenVPN 1.5/1.6 nicht 100% kompatible zu OpenVPN 2.0 ist, benötigen wir hier auch OpenVPN 2.0, für Windows XP SP2 sowieso.

Der Client benötigt folgende Dateien, die möglichst sicher übertragen werden sollten (SSH, Diskette, USB-Stick, etc.)

- client.crt
- client.key
- my-ca.crt
- wireless.key

Linux


Diese sollten sich ebenfalls im Verzeichnis /etc/openvpn/wireless befinden.
Dann erstellen wir die config-Datei: /etc/openvpn/wireless/local.conf
Code:
dev tap
# IP des Servers
remote 192.168.1.1 5000
tun-mtu 1500
mssfix 1400
tls-client
ca my-ca.crt
cert client.crt
key client.key
# Kompression der Daten
comp-lzo
# Optional, siehe oben
tls-auth /etc/openvpn/wireless/wireless.key 1
user nobody
group nobody
# Wichtige Resourcen behalten nach Wechsel zum user nobody
persist-key
persist-tun


Nun nur noch OpenVPN starten und zum default runlevel hinzufügen:
Code:
/etc/init.d/openvpn start
rc-update add openvpn default


Windows

Hier sollten sich die Datein im Config-Verzeichnis des Installationsverzeichnisses befinden. Z.b. C:\Programme\OpenVPN\config

Dort erstellen wir die Datei local.ovpn:
Code:
dev tap
remote 192.168.1.1 5000
tun-mtu 1500
mssfix 1400
# Optional, s.o.
tls-auth wireless.key 1
tls-client
ca my-ca.crt
cert client.crt
key client.key
comp-lzo


OpenVPN installiert unter Windows einen Service(Dienst). Bei diesem solltet ihr die Startart auf "Automatisch" setzen, dann wird er beim hochfahren mit gestartet (falls erwünscht)


5. Konfigurieren der Netzwerkkarten am Client


Linux

Da ich alles per DHCP übertragen lassen müsst ihr einfach in die Datei /etc/conf.d/net folgendes eintragen:
Code:
ifconfig_tap0=( "dhcp" )

Da wir das init-script für tap0 nach openvpn starten müssen, können wir keinen symlink anlegen.
Daher kopieren wir die Datei:
Code:
cd /etc/init.d
cp net.eth0 net.tap0
rc-update add net.tap0 default


Damit net.tap0 auch wirklich nach openvpn gestartet wird editieren wir nun die Datei net.tap0 und fügen unter depend() folgendes hinzu:
Code:
need openvpn


Nun sollte zuerst net.wlan0, dann openvpn und dann erst net.tap0 gestartet werden. Danach habt ihr das default-gateway per DHCP bekommen und könnt lossurfen.

Windows

Hier müsst ihr nichts mehr tun, da Windows automatisch nach einem DHCP Server sucht.


6. Abdichten des Servers per iptables

Auf dem Server wollen wir ja nur noch VPN-verbindungen dulden. Daher führen wir folgendes aus:
Code:

iptables -t filter -A INPUT --protocol udp --dport 5000 -j ACCEPT -i eth1 # eth1 ist das Interface an dem der AP hängt
iptables -t filter -A INPUT -j REJECT -i eth1 #oder -j DROP, je nach Geschmack
/etc/init.d/iptables save



So, das wars schon! Ich hoffe es haben sich keine Fehler eingeschlichen und es ist alles verständlich erklärt.
OK, das Firewall-script ist etwas flach, aber um den Rahmen nicht zu sprengen musste ich es etwas kürzen. Jedenfalls tut es genau das was es soll. Es lässt nur Verbindungen über OpenVPN durch.

Natürlich muss man kein DHCP benutzen, sondern kann auch alle Netzwerkeinstellungen am Client selber setzen. Aber ich persönlich stehe auf DHCP, da es damit alles schön zentral gesteuert wird. Wenn neue Clients hinzukommen hat man zumindest mit der Netzwerkeinstellung weniger zu tun.


Bei Fragen, Kritik und Anregungen bitte ich doch sehr sich hier zu Wort zu melden.

EDIT:

- Universal TUN/TAP Anmerkung hinzugefügt
- OpenVPN 2.0 ist im Portage
_________________
...it's only Rock'n'Roll, but I like it!


Last edited by Anarcho on Sun Sep 18, 2005 9:28 am; edited 7 times in total
Back to top
View user's profile Send private message
Sonic Lux
Guru
Guru


Joined: 07 Mar 2004
Posts: 375
Location: Dresden / Germany

PostPosted: Thu Jan 13, 2005 1:45 am    Post subject: Reply with quote

Genial, ich danke dir.

Werde ich dieses WE gleich mal umsetzen.
Back to top
View user's profile Send private message
Hilefoks
l33t
l33t


Joined: 29 Jan 2003
Posts: 849
Location: Emden / Deutschland

PostPosted: Thu Jan 13, 2005 5:00 am    Post subject: Reply with quote

Echt super,
heute erwarte ich meinen neuen WLAN-Router und siehe da!

Danke
Back to top
View user's profile Send private message
xces
Guru
Guru


Joined: 11 Oct 2002
Posts: 515

PostPosted: Thu Jan 13, 2005 5:14 pm    Post subject: Reply with quote

Als Ergänzung: Securing an 802.11a/b/g Network with a VPN using Linux 2.6
Back to top
View user's profile Send private message
unix
l33t
l33t


Joined: 06 Jul 2003
Posts: 615
Location: Dürnten ZH Switzerland

PostPosted: Thu Jan 13, 2005 5:22 pm    Post subject: Reply with quote

Supi,

Muss ich gleich mal testen ;)
_________________
Neue Funktionen in Portage 2.0.51 || BBCode Guide
Linux User #379064
Back to top
View user's profile Send private message
/dev/blackhawk
Guru
Guru


Joined: 12 Feb 2004
Posts: 380
Location: Germany

PostPosted: Thu Jan 13, 2005 5:45 pm    Post subject: Reply with quote

Echt stark!!!
Bei so einem How-To muss man das ganze ja fast ausprobieren! :wink:

MFG

/dev/blackhawk
_________________
My Work-Station:
AMD AthlonXP 1700+ @ 2450 Mhz
Epox - 8RDA3i
ATI Radeon 9800 XT @ 460 Mhz
Gentoo v.1.4; Kernel 2.6.10 Stage 1
Back to top
View user's profile Send private message
Sonic Lux
Guru
Guru


Joined: 07 Mar 2004
Posts: 375
Location: Dresden / Germany

PostPosted: Thu Mar 17, 2005 4:01 pm    Post subject: Reply with quote

Hallo,
ich habe jetzt 2 Netze miteinander verbunden, ist etwas anderes aber das Grundprinzip ist ja das selbe.

So und nun mein Problem:

wenn ich "dev tap" in die configs eintrage funktioniert es nicht
bei "dev tun" schon. Wie kommt das ?
Back to top
View user's profile Send private message
Sonic Lux
Guru
Guru


Joined: 07 Mar 2004
Posts: 375
Location: Dresden / Germany

PostPosted: Thu Mar 17, 2005 4:12 pm    Post subject: Reply with quote

Problem gelöst ....

RTFM :lol:

Quote:

Hierbei arbeitet das tun-Device auf IP-Ebene, das tap-Device auf Ethernet-Ebene (z.B. für Bridging). Anders als die normalen Netwerkinterfaces besitzt das tun- bzw tap-Device ein Devicefile (/dev/tunN, /dev/tapN), so ist es aus dem Userspace nutzbar.


Also für meine Verbindung zwschen 2 Netzen muss ich tun verwenden, alles klar. 8)
Back to top
View user's profile Send private message
aZZe
l33t
l33t


Joined: 20 Feb 2003
Posts: 965
Location: Dinslaken, Germany

PostPosted: Fri Mar 18, 2005 2:08 pm    Post subject: Reply with quote

Ich habe versucht bei mir zu Hause auch mein WLAN mit VPN abzusichern.Serverseitig sieht das bei mir so aus:

eth0 : 192.168.1.1 --> internes Netz
eth1 : ppp0 --> DSL Verbindung
eth2 : 192.168.1.2 --> Verbindung zum AP
Dem Access-Point wurde die Adresse 192.168.1.4 zugewiesen welcher direkt mit eth2 am Server verbunden ist. Müsste ja so ok sein oder?

Serverseitig habe ich auch ein device tap0 welches die Adresse 10.1.0.1 hat wie auch im Howto beschrieben. Wenn ich allerdings meinen Client einrichten will bekomme ich kein tap0 hin. Er ordnet dies keiner Netzwerkkarte zu. Normalerweise ist meine WLAN Schnittstelle eth1 auf dem Laptop. Die Fehlermeldung im syslog sieht wie folgt aus:

Code:

Mar 18 14:56:43 t42 dhcpcd[16220]: dhcpStart: ioctl SIOCGIFHWADDR: No such device


Hier noch mal die ganzen Configs:

Auf dem Server /etc/openvpn/wireless/local.conf:

Code:

dev tap
ifconfig 10.1.0.1 255.255.255.0
mode server
tls-server
dh dh2048.pem
ca ca.crt
cert server.crt
key server.key
tun-mtu 1500
mssfix 1400
comp-lzo
tls-auth /etc/openvpn/wireless/wireless.key 0
duplicate-cn
chroot /etc/openvpn/wireless/newroot
user nobody
group nobody



dhcpd.conf auf dem server:

Code:


ddns-update-style interim;
ddns-domainname "dark.lan";
ddns-rev-domainname "1.168.192.in-addr.arpa";
ddns-updates on;

default-lease-time 600;
max-lease-time 7200;
option domain-name-servers 192.168.1.1, 217.237.151.225, 217.237.150.225, 194.25.2.129;
option domain-name "dark.lan";
option broadcast-address 192.168.1.255;
option broadcast-address 10.1.0.255;
option routers 192.168.1.1;
option routers 10.1.0.1;
option subnet-mask 255.255.255.0;
server-name "larry";
allow unknown-clients;
authoritative;

# normales Netzwerk
subnet 192.168.1.0 netmask 255.255.255.0 {
        range 192.168.1.10 192.168.1.50;
        }

# VPN Netzwerk

subnet 10.1.0.0 netmask 255.255.255.0 {
        range 10.1.0.10 10.1.0.50;
        }

key DHCP_UPDATER. {
         algorithm hmac-md5;
         secret "T+Uwruh6uDFNokk310uCJQ==";
         }

zone dark.lan. {
        primary 127.0.0.1;
        key DHCP_UPDATER.;
}

zone 1.168.192.in-addr.arpa. {
        primary 127.0.0.1;
        key DHCP_UPDATER.;
}


Auf dem Client /etc/openvpn/wireless/local.conf:

Code:
dev tap
remote 192.168.1.2 1194
tun-mtu 1500
mssfix 1400
tls-client
ca ca.crt
cert laptop.crt
key laptop.key
comp-lzo
tls-auth /etc/openvpn/wireless/wireless.key 1
user nobody
group nobody




Wie gesagt ich bekomme das device tap0 nicht gestartet da ipw2200 auf eth1 läuft und tp0 dadurch keine Netzwerkkarte in dem Sinne besitzt. Aufgrund dessen kann ich auch per DHCP keine Adresse empfangen.
Hat einer eine Idee?
_________________
ASUS 4A785TD-V EVO with AMD Phenom(tm) II X4 965
4GB RAM DDR3-1333
ATI Radeon HD4870
Back to top
View user's profile Send private message
Anarcho
Advocate
Advocate


Joined: 06 Jun 2004
Posts: 2970
Location: Germany

PostPosted: Fri Mar 18, 2005 2:35 pm    Post subject: Reply with quote

Hi,

ich vermute das es daran liegt, das bei dir im Server 2 Netzwerkkarten im gleichen Subnet sind. Daher kann der Server nicht eindeutig routen.
Du solltest für die Netzwerkkarte die zum AP geht ein eigenes Subnet nehmen,

(192.168.x.1 mit x <> 1)
_________________
...it's only Rock'n'Roll, but I like it!
Back to top
View user's profile Send private message
aZZe
l33t
l33t


Joined: 20 Feb 2003
Posts: 965
Location: Dinslaken, Germany

PostPosted: Fri Mar 18, 2005 2:38 pm    Post subject: Reply with quote

OK: und der AP logischerweise dann im gleichen Subnet nicht wahr?
_________________
ASUS 4A785TD-V EVO with AMD Phenom(tm) II X4 965
4GB RAM DDR3-1333
ATI Radeon HD4870
Back to top
View user's profile Send private message
Anarcho
Advocate
Advocate


Joined: 06 Jun 2004
Posts: 2970
Location: Germany

PostPosted: Fri Mar 18, 2005 2:51 pm    Post subject: Reply with quote

Klar, wobei du die IP des APs ja nur für die Konfiguration brauchst.
_________________
...it's only Rock'n'Roll, but I like it!
Back to top
View user's profile Send private message
aZZe
l33t
l33t


Joined: 20 Feb 2003
Posts: 965
Location: Dinslaken, Germany

PostPosted: Fri Mar 18, 2005 2:54 pm    Post subject: Reply with quote

OK. Kein Problem. Nur wenn ich mein WLAN Modul starte, welches ich ja logischerweise für die VPN brauche startet dieses eth1 auf dem laptop. tap0 kann keiner HW-Adresse zugeordnet werden.
_________________
ASUS 4A785TD-V EVO with AMD Phenom(tm) II X4 965
4GB RAM DDR3-1333
ATI Radeon HD4870
Back to top
View user's profile Send private message
Anarcho
Advocate
Advocate


Joined: 06 Jun 2004
Posts: 2970
Location: Germany

PostPosted: Fri Mar 18, 2005 3:06 pm    Post subject: Reply with quote

tap0 wird von openvpn erzeugt.
Das heisst die Reihenfolge ist wichtig:

Zuerst baust du ganz normal dein eth1 auf, inklusive IP-Adresse.

Dann sollte (wenn die Firewall aus ist) alles funktionieren, insbesondere der Zugriff auf 192.168.x.1, also eth2 vom Server.
Danach startest du openvpn (in der Config natürlich die IP des Servers jetzt ändern) und baust somit eine VPN-Verbindung zum Server auf. Daraufhin wird tap0 erzeugt.
Nun kannst du per dhcpcd dort eine IP-Adresse beziehen.

Ach ja, ich würde in deiner dhcpd.conf die einzelnen Optionen, die Subnet-spezifisch sind, auch dort hineinnehmen und nicht global ganz oben bestimmen.
_________________
...it's only Rock'n'Roll, but I like it!
Back to top
View user's profile Send private message
aZZe
l33t
l33t


Joined: 20 Feb 2003
Posts: 965
Location: Dinslaken, Germany

PostPosted: Fri Mar 18, 2005 3:24 pm    Post subject: Reply with quote

Genauso hab ichs gemacht. eth2 am Server hat jetzt die 192.168.0.1. Die Netzwerkkarte im Laptop eth1 hat die 192.168.0.10. Wenn ich danach tap0 starten möchte steht wieder im syslog:

Code:


Mar 18 16:19:11 t42 dhcpcd[27630]: dhcpStart: ioctl SIOCGIFHWADDR: No such device


Er kommt ja noch nicht mal dazu eine dhcp Anfrage zu senden.
_________________
ASUS 4A785TD-V EVO with AMD Phenom(tm) II X4 965
4GB RAM DDR3-1333
ATI Radeon HD4870
Back to top
View user's profile Send private message
Anarcho
Advocate
Advocate


Joined: 06 Jun 2004
Posts: 2970
Location: Germany

PostPosted: Fri Mar 18, 2005 3:32 pm    Post subject: Reply with quote

Klappt denn die VPN Verbindung?
Wird das tap0 device erstellt?

ifconfig -a

Starte auf dem Server openvpn mal aus der Konsole, dann zeigt es verbindungsinformationen an. Gucke dort mal ob eine Verbindung hergestellt wird.
_________________
...it's only Rock'n'Roll, but I like it!
Back to top
View user's profile Send private message
aZZe
l33t
l33t


Joined: 20 Feb 2003
Posts: 965
Location: Dinslaken, Germany

PostPosted: Fri Mar 18, 2005 3:35 pm    Post subject: Reply with quote

Auf dem Server scheint es ja zu klappen. Dort hab ich ein tap0 mit der Adresse 10.1.0.1:

Code:


tap0      Protokoll:Ethernet  Hardware Adresse 00:FF:E5:97:2E:55
          inet Adresse:10.1.0.1  Bcast:10.1.0.255  Maske:255.255.255.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          Kollisionen:0 Sendewarteschlangenlänge:100
          RX bytes:0 (0.0 b)  TX bytes:0 (0.0 b)

_________________
ASUS 4A785TD-V EVO with AMD Phenom(tm) II X4 965
4GB RAM DDR3-1333
ATI Radeon HD4870
Back to top
View user's profile Send private message
Anarcho
Advocate
Advocate


Joined: 06 Jun 2004
Posts: 2970
Location: Germany

PostPosted: Fri Mar 18, 2005 3:41 pm    Post subject: Reply with quote

OK,

da gibt es auch nur selten ein Problem...

Interessanter ist die Client-Seite.
_________________
...it's only Rock'n'Roll, but I like it!
Back to top
View user's profile Send private message
AustrianCoder
Apprentice
Apprentice


Joined: 11 Oct 2003
Posts: 258
Location: �sterreich

PostPosted: Sat Mar 19, 2005 10:39 am    Post subject: Reply with quote

Tja.. evt kann mir mal jemand helfen. Ich hänge schon bei den ersten Schritten, und zwar beim erstellen der Zertifikate.

openssl ca -out server.crt -in server.csr
--->
Code:

x-factor ssl # openssl ca -out server.crt -in server.csr
Using configuration from /etc/ssl/openssl.cnf
Error opening CA private key ./demoCA/private/my-ca.key
16590:error:02001002:system library:fopen:No such file or directory:bss_file.c:278:fopen('./demoCA/private/my-ca.key','r')
16590:error:20074002:BIO routines:FILE_CTRL:system lib:bss_file.c:280:
unable to load CA private key


Das /etc/ssl Verzechnis sieht so aus:

Code:

drwxr-xr-x  2 root root 1760 Mar 18 15:47 certs
drwxr-xr-x  3 root root  136 Mar 18 15:07 demoCA
drwxr-xr-x  2 root root   48 Nov 20 13:58 lib
drwxr-xr-x  2 root root  216 Mar 13 23:30 misc
-rw-r--r--  1 root root 1281 Mar 19 11:33 my-ca.crt
-rw-r--r--  1 root root 1675 Mar 19 11:33 my-ca.key
-rw-r--r--  1 root root 7789 Mar 18 15:54 openssl.cnf
-rw-------  1 root root 7783 Mar 16 00:45 openssl.cnf.save
drwxr-xr-x  2 root root   48 Nov 20 13:58 private
-rw-r--r--  1 root root  936 Mar 19 11:34 server.csr
-rw-r--r--  1 root root 1675 Mar 19 11:34 server.key


Und hier noch meine openssl.cnf:
Quote:

####################################################################
[ ca ]
default_ca = CA_default # The default ca section

####################################################################
[ CA_default ]

dir = ./demoCA # Where everything is kept
certs = $dir/certs # Where the issued certs are kept
crl_dir = $dir/crl # Where the issued crl are kept
database = $dir/index.txt # database index file.
#unique_subject = no # Set to 'no' to allow creation of
# several ctificates with same subject.
new_certs_dir = $dir/newcerts # default place for new certs.

certificate = $dir/my-ca.crt
serial = $dir/serial # The current serial number
#crlnumber = $dir/crlnumber # the current crl number must be
# commented out to leave a V1 CRL
crl = $dir/crl.pem # The current CRL
private_key = $dir/private/my-ca.key
RANDFILE = $dir/private/.rand # private random number file


Ich weiß echt nicht, warum die Daten nicht in demoCA abgelegt werden :(
Code:

*  dev-libs/openssl
      Latest version available: 0.9.7e
      Latest version installed: 0.9.7e
      Size of downloaded files: 5,105 kB
      Homepage:    http://www.openssl.org/
      Description: Toolkit for SSL v2/v3 and TLS v1
      License:     as-is


Danke, AC
Back to top
View user's profile Send private message
Anarcho
Advocate
Advocate


Joined: 06 Jun 2004
Posts: 2970
Location: Germany

PostPosted: Sat Mar 19, 2005 12:19 pm    Post subject: Reply with quote

Entweder du verschiebst die Datein:

cd /etc/ssl
mv my-* private demoCA/

oder du editierst die openssl.cnf und änderst ./demoCA in ./
_________________
...it's only Rock'n'Roll, but I like it!
Back to top
View user's profile Send private message
Neo_0815
l33t
l33t


Joined: 24 Feb 2003
Posts: 815
Location: Leipzig

PostPosted: Sat Mar 19, 2005 12:44 pm    Post subject: Reply with quote

Frage: Welchen Vorteil siehst du, OpenVPN zu nutzen anstatt die native IPSec Implementierung + racoon?

MfG
_________________
[img:76661e22b8]http://www.biersekte.de/biersektebanner.gif[/img:76661e22b8]
Back to top
View user's profile Send private message
Anarcho
Advocate
Advocate


Joined: 06 Jun 2004
Posts: 2970
Location: Germany

PostPosted: Sat Mar 19, 2005 12:58 pm    Post subject: Reply with quote

OpenVPN läuft im Userspace und benötigt daher keine Kernelanpassung oder UNterstützung durch andere Betriebssysteme. Es muss sich nur die Software installieren lassen.
Dadurch hat es eine grosse Unabhängigkeit und Skalierbarkeit.
Dazu kommt noch beim Kernel 2.6 IPSec das es mit den Tunneln Probleme im Zusammenspiel mit iptables gibt. Das ist bei OpenVPN nicht der Fall.
Zudem ist es sehr einfach zu installieren und läuft fast überall (Linux, Windows 2000/XP and higher, OpenBSD, FreeBSD, NetBSD, Mac OS X, and Solaris)

Zudem ist es genauso sicher wie IPSec.
_________________
...it's only Rock'n'Roll, but I like it!
Back to top
View user's profile Send private message
Neo_0815
l33t
l33t


Joined: 24 Feb 2003
Posts: 815
Location: Leipzig

PostPosted: Sat Mar 19, 2005 1:08 pm    Post subject: Reply with quote

Anarcho wrote:
OpenVPN läuft im Userspace und benötigt daher keine Kernelanpassung oder UNterstützung durch andere Betriebssysteme. Es muss sich nur die Software installieren lassen.
Dadurch hat es eine grosse Unabhängigkeit und Skalierbarkeit.
Dazu kommt noch beim Kernel 2.6 IPSec das es mit den Tunneln Probleme im Zusammenspiel mit iptables gibt. Das ist bei OpenVPN nicht der Fall.
Zudem ist es sehr einfach zu installieren und läuft fast überall (Linux, Windows 2000/XP and higher, OpenBSD, FreeBSD, NetBSD, Mac OS X, and Solaris)

Zudem ist es genauso sicher wie IPSec.


Was für Tunnel Probleme? Die Anpassungen sind denke ich vertretbar ... aber das ist jedem seine Entscheidung.

MfG
_________________
[img:76661e22b8]http://www.biersekte.de/biersektebanner.gif[/img:76661e22b8]
Back to top
View user's profile Send private message
Anarcho
Advocate
Advocate


Joined: 06 Jun 2004
Posts: 2970
Location: Germany

PostPosted: Sat Mar 19, 2005 1:13 pm    Post subject: Reply with quote

Im Linux-Magazin hatten sie geschrieben das IPSec Pakete nur mit erheblichem Aufwand filterbar sind, da das Paket erst nach der Filterung durch iptables ausgepackt wird. Daher hat iptables dann keinen Einfluss mehr darauf.

Das ist bei OpenVPN anders, da dann vom tap0 device aus geroutet wird und somit die Pakete schon entpackt vorliegen und gefiltert werden können.
_________________
...it's only Rock'n'Roll, but I like it!
Back to top
View user's profile Send private message
Neo_0815
l33t
l33t


Joined: 24 Feb 2003
Posts: 815
Location: Leipzig

PostPosted: Sat Mar 19, 2005 2:52 pm    Post subject: Reply with quote

Den Artikel habe ich gelesen - mal sehn obs noch stimmt ;-).

MfG
_________________
[img:76661e22b8]http://www.biersekte.de/biersektebanner.gif[/img:76661e22b8]
Back to top
View user's profile Send private message
Display posts from previous:   
Reply to topic    Gentoo Forums Forum Index Deutsches Forum (German) Deutsche Dokumentation All times are GMT
Goto page 1, 2, 3, 4, 5  Next
Page 1 of 5

 
Jump to:  
You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot vote in polls in this forum