papo
Einsteiger
Registriert seit: 03.2007
Beiträge:2
| OpenVPN Debian Server hinter FritzBox - Client Macbook
Hallo,
erstmal vielen Dank für das übersichtliche Tutorial! Super.
Auch wenn im Titel nichts von einem Problem steht, habe ich natürlich eins ;-)
Aufgrund mangelnder Erfahrung mit VPN auf Client und Serverseite fällt es mir gerade schwer den Fehler einzukreisen. Grob gesagt bekomme ich keine Verbindung zustande. Aber erstmal etwas zum Setup:
AKTUELLES SETUP:
Mein Netzwerk ist über eine FritzBox mit dem Internet verbunden. Dort läuft ein DHCP Server und verteilt im Bereich 192.168.178.xxx Adressen an interne Wlan und Ethernet Clients (Mac, Windows und Linux).
Ein Debian Server (Sarge, 2.6.8-3-386 Kernel) fungiert als Samba-Fileserver und ist per Ethernet verbunden.
Ein Netzwerkdrucker stellt seine Dienste sowohl den Windows (Freigabe) als auch den Mac clients (Bonjour) zur Verfügung.
Von Aussen erreiche ich das Netzwerk per DynDns. So z.B. den Debian Server per SSH ohne Probleme.
GEWÜNSCHTES VPN SETUP:
Der vorhandene Debian Server soll zusätzlich als OpenVPN Server arbeiten. Ich habe ihn entsprechend der Anleitung konfiguriert und den Port 1195 von der Fritzbox weiterleiten lassen.
Als Clients kommen hauptsächlich 3 MacBooks ins Spiel, die von überall auf alle Dienste des Netzwerkes zugreifen sollen (Fileserver, Drucker). Zusätzlich soll die VPN Verbindung auch den Netzwerkverkehr beim Surfen aus Offenen Wlans absichern.
Da die Anzahl der Clients überschaubar bleibt, bekommt jeder ein eigenes Zertifikat.
Auf dem MacBook nutze ich momentan "Tunnelblick" Als Clientsoftware und habe entsprechend der Anleitung eine config angelegt.
PROBLEME UND FRAGEN:
Vom MacBook / anderen Clients aus kann ich keine Verbindung aufbauen. Tunnelblick bricht ohne Kommentar ab.
Gibt es Probleme mit der Fritzbox 7050 und dahinter liegendem OpenVPN Server, oder mit UDP ?
Braucht der Debian Server eine zweite Netzwerkkarte damit er unter seiner internen IP auch in seiner Rolle als Fileserver erreichbar bleibt?
Serverkonfiguration scheint in Ordnung. Liest openvpn die server.config unter /etc/openvpn wenn ich es per /etc/init.d/openvpn start starte?
Gibt es Probleme mit Mac Clients oder der verwendeten Software "Tunnelblick"
Wie teste ich am besten die einzelnen Möglichen Ursachen und in welcher Reihenfolge?
So das war eine ganze Menge zu lesen. Ich danke allen die so weit gekommen sind und mir evtl. helfen können ;-)
Viele Grüße,
Paul
|
Simon
Online-tutorials.net Administrator
Registriert seit: 01.1970
Wohnort:Dornbirn
Beiträge:1181
| OpenVPN Verbindung
Hallo papo,
/etc/init.d/openvpn sucht alle .conf Dateien im /etc/openvpn Verzeichnis und startet sie, bei meinem Client z.B. habe ich die Datei client.conf im /etc/openvpn Verzeichnis. Wenn ich /etc/init.d/openvpn starte wird für jede Datei (in meinem Fall client.conf) Starting virtual... angezeigt:
Code:
Cottonmouth:/home/simon# /etc/init.d/openvpn start
Starting virtual private network daemon: client(OK).
Cottonmouth:/home/simon#
Ich vermute es liegt daran, dass du die Datei .config und nicht .conf genannt hast.
Tunnelblick kenne ich persöhnlich leider nicht. Ich würde zuerst schauen ob auf der Server-Seite alles ok ist. Zuerst würde cd /etc/openvpn machen und dann dort mit openvpn server.conf die konfiguration starten. Wenn dort Initialize sequence... kommt sollte der Server ok sein. Mit telnet <ip oder dyndns vom server> <tcp port> könntest du den Server von aussen darauf testen ob die Weiterleitung vom Router funktioniert, das geht allerdings nur wenn du TCP benutzt hast, sonst könntest du mit nmap <ip oder dyndns vom server> einen Portscann durchführen und schauen ob da was offen ist.
Wenn das passt könntest du noch verb in der Server config verändern, und in den debug mode wechseln um zu schauen was der Client macht. Wenn das nicht hilft gibt es vielleicht noch bei Tunnelblick einen verbose Modus wo du besser loggen kannst.
Ich hoffe das hilft dir. 
------------------- http://www.online-tutorials.net/wiki/funktionsname
Für was Personal Firewalls GnuGP emails verschlüsseln C++ Tutorial Sicherheits Tutorials
|
papo
Einsteiger
Registriert seit: 03.2007
Beiträge:2
|
Quote:
Zuerst würde cd /etc/openvpn machen und dann dort mit openvpn server.conf die konfiguration starten. Wenn dort Initialize sequence... kommt sollte der Server ok sein.
Hm die config ist bei mir auch richtig benannt, hatte mich nur im Posting verschrieben.
Code:
# openvpn --config /etc/openvpn/server.conf
wird ausgeführt, meldet aber nichts auf der Konsole. Im Syslog kommt einzig die Meldung:
Code:
localhost kernel: tap0: no IPv6 routers present
was muss ich in der Config eintragen um debug infos zu bekommen?
Danke und Grüße
Paul
|
blueice_haller
Einsteiger
Registriert seit: 11.2007
Wohnort:Deutschland
Beiträge:2
| OpenVPN Debian Server hinter FritzBox
Hallo Leutz,
Ich habe auch ein Problem, zunächst die Hardware/Konfiguration
Mein Router
* Fritz!Box 7050
* Serverdienste: DHCP, DNS, Gateway
* Interne IP: 192.168.178.1/24
Port Weiterleitungen:
* 443/UDP -> 192.168.178.10 (TCP soll später verwendet werden)
* 22 /TCP -> 192.168.178.10
Mein Debian Server
* 350 MHz (Pentium 2) / 256 MB Ram
* Zwei Netzwerkkarten
* Debian Etch
* Serverdienste: Samba, OpenVPN, eventuell bind9 und dhcp bzw. dhcp-relay
* Interne IP: 192.168.178.10/24
OpenVPN Konfiguration (server.conf):
Code:
# Port
port 443
# TCP oder UDP?
#proto tcp-server
proto udp
mode server
tls-server
# tun oder tap?
# Das tun Device erstellt einen IP Tunnel,
# während das tap Device einen Ethernet Tunnel erstellt.
#tun or tap device
#tun is an IP tunnel,
#tap an ethernet tunnel
dev tap
#Our Server IP
ifconfig 10.0.0.1 255.255.255.0
#dynamic clients from 10.0.0.2-10.0.0.254
ifconfig-pool 10.0.0.2 10.0.0.254
#Die pakete werden auf dieser größe gekapselt
tun-mtu 1492
#fragment 1300
mssfix
#Paths to the certs
ca certs/vpn-ca.pem
cert certs/servercert.pem
key certs/serverkey.pem
#Clients können miteinander kommunizieren
#client-to-client
#Diffie-Hellmann Parameters
dh certs/dh1024.pem
#Same Ip in the next session
ifconfig-pool-persist ipp.txt
#Routes the packages to the intern network, you should use iptables instead of this
# push "route 192.168.178.0 255.255.255.0"
#Tests the connection with a ping like paket. (wait=120sec)
keepalive 10 120
#Authenication
auth SHA1
#Our encryption algorithm
#cipher aes-256-ecb
#openvpn --show-ciphers for testing
#comp
comp-lzo
#Sets new rights after the connection
user nobody
group nogroup
#We need this because of user nobody/group nobody.
persist-key
persist-tun
#Logging 0, (testing:5)
Routing mit iptables (/etc/init.d/firewall):
Code:
#!/bin/sh
#
# iptables firewall script v0.3
#
# get newer versions at www.zleep.org
# (c)2003 by mr_abe <cg@zleep.org>
#
IPTABLES=/sbin/iptables
#finden wir mit ifconfig heraus
VPN_DEV=tap0
#VPN Netzwerk
VPN_NET=10.0.0.0/24
#internes netzwerk
INT_DEV=eth1
#leitet alles was per Port 445 kommt zum Internen Netzwerk
$IPTABLES -t nat -A PREROUTING -i $VPN_DEV -p tcp --dport 445 -j DNAT --to 192.168.178.10
#lässt alles in's VPN durch
$IPTABLES -A FORWARD -i $INT_DEV -o $VPN_DEV -s $VPN_NET -p tcp -j ACCEPT
$IPTABLES -A FORWARD -i $INT_DEV -o $VPN_DEV -s $VPN_NET -p udp -j ACCEPT
Mein Client #1
* Notebook 1,86 GHz / 448 MB Ram
* Eine Netzwerkkarte
* Ein Modem (Momentan verwendet)
* Windows XP
* OpenVPN Client
OpenVPN Konfiguration:
Code:
client
float
dev tap
#MTU
tun-mtu 1492
#fragment 1300
mssfix
#device name, unter linux nicht mehr auskommentieren (# löschen)
#dev-node vsn-device
#tcp oder udp
proto udp
#Server IP
remote meinhostname.dyndns.com 443
#force authentication
#WICHTIG: hier den COMMON Name vom Server Zertifikat nehmen!
tls-remote server
ca vpn-ca.pem
cert blueice_haller_lan_cert.pem
key blueice_haller_lan_key.pem
auth SHA1
#cipher aes-256-cbc
nobind
comp-lzo
persist-key
persist-tun
verb 4
# Nach dem Verbindungsaufbau wird eine Route zum lokalen Netz vom Server aus aufgebaut
# AUSKOMMENTIERT
# Beispiel: Subnetz 192.168.2.0/24
#route 192.168.2.0 255.255.255.0
# Default route ueber VPN
# AUSKOMMENTIERT
#route remote_host 255.255.255.255 net_gateway
#route 0.0.0.0 0.0.0.0 vpn_gateway
* Verwendete Anleitung: OpenVPN Tutorial
Ziele:
* Ich möchte von Unterwegs über das Notebook über VPN auf meinen Debian Server zugreifen.
* Dadurch kann ich verschlüsselt Einstellungen in der Weboberfläche der Fritz!Box vornehmen.
* Ich stelle den Server, sobald ich auf die Oberfläche der Fritz!Box komme, auf 443/TCP um.
* Später soll auf der Fritz!Box mein Debian Server über einen Anruf gestartet und über SSH heruntergefahren werden. Wie das geht, weiß ich aber schon.
Verlauf:
* Ich kann mich per VPN in den Server einwählen. Dazu bekomme ich über DHCP im Netzwerkadapter folgende Konfiguration:
IP-Adresse: 10.0.0.2/24 , DHCP-Server: 10.0.0.0 , Gateway, DNS, WINS: (wird nicht zugewiesen)
* Ping Versuche: 192.168.178.1 : Nicht erreichbar, 10.0.0.0 : Nicht erreichbar, 10.0.0.1 : ~ 240 ms
* Die Fritz!Box Oberfläche kann ich auch (noch) nicht erreichen.
Frage:
* Was muss ich noch anpassen, damit ich auf die Oberfläche der Fritz!Box komme ?
* sowie auf andere Client PCs im Internenen LAN zugreifen kann ? Dieser Beitrag wurde zuletzt am 28.11.2007 17:00 von blueice_haller editiert.
-------------------
MFG blueice_haller
|
Archiv-Version: View only!
