PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : OpenVPN steht, aber...



Tocotac
22.06.05, 19:28
Hallo,

ich bin gerade dabei ein VPN (OpenVPN) einzurichten.
Folgende Ausgangssituartion:
Rechner1 (Debian 3.1): netzwerk: 192.168.0.0 netmask: 255.255.255.0 defaultGW: 192.168.0.1
Rechner2 (SuSE 9.?): netzwerk: 192.168.2.0 netmask: 255.255.255.0 defaultGW: 192.168.2.1
Beide Rechner haben über die defaultGW eine Verbindung zum Internet.
auf Rechner1 habe ich mittels apt-get install openvpn openvpn installiert und auf rechner2 mittels Yast.

auf beidem Rechner habe ich eine Konfigurationsdatei angelegt, mit folgendem Inhalt:
Rechner1 :


dev tun
tun-mtu 1500
fragment 1500
mssfix
remote rechner2.dyndns.org
ifconfig 10.0.0.1 10.0.0.2


Rechner2:


dev tun
tun-mtu 1500
fragment 1500
mssfix
remote rechner1.dyndns.org
ifconfig 10.0.0.2 10.0.0.1
port 5000


ein /etc/init.d/openvpn start, auf Rechner1 bringt:


OpenVPN 2.0 i386-pc-linux [SSL] [LZO] [EPOLL] built on Apr 18 2005
******* WARNING *******: all encryption and authentication features disabled -- all data will be tunnelled as cleartext
TUN/TAP device tun0 opened
/sbin/ifconfig tun0 10.0.0.1 pointopoint 10.0.0.2 mtu 1500
UDPv4 link local (bound): [undef]:5000
UDPv4 link remote: 84.191.xx.xx:5000
Peer Connection Initiated with 84.191.xx.xx:5000
Initialization Sequence Completed


ein /etc/init.d/openvpn start, auf Rechner2 bringt:


OpenVPN 1.5.0 i686-pc-linux-gnu [SSL] [LZO] [PTHREAD] built on Apr 6 2004
******* WARNING *******: all encryption and authentication features disabled -- all data will be tunnelled as cleartext
TUN/TAP device tun0 opened
/sbin/ifconfig tun0 10.0.0.2 pointopoint 10.0.0.1 mtu 1500
PTHREAD support initialized
UDPv4 link local (bound): [undef]:5000
UDPv4 link remote: 82.144.xx.xx:5000
Peer Connection Initiated with 82.144.xx.xx:5000


Ausgabe von /sbin/ifconfig und /sbin/route -n auf Rechner1:


eth0 Link encap:Ethernet HWaddr 00:E0:7D:C0:24:34
inet addr:192.168.0.102 Bcast:192.168.0.255 Mask:255.255.255.0
inet6 addr: fe80::2e0:7dff:fec0:2434/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:1494 errors:0 dropped:0 overruns:0 frame:0
TX packets:8464 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:165980 (162.0 KiB) TX bytes:567184 (553.8 KiB)
Interrupt:9 Base address:0xb400

lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:24 errors:0 dropped:0 overruns:0 frame:0
TX packets:24 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:2433 (2.3 KiB) TX bytes:2433 (2.3 KiB)

tun0 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
inet addr:10.0.0.1 P-t-P:10.0.0.2 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1
RX packets:2 errors:0 dropped:0 overruns:0 frame:0
TX packets:5 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:168 (168.0 b) TX bytes:420 (420.0 b)




Destination Gateway Genmask Flags Metric Ref Use Iface
10.0.0.2 0.0.0.0 255.255.255.255 UH 0 0 0 tun0
192.168.0.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
0.0.0.0 192.168.0.1 0.0.0.0 UG 0 0 0 eth0


Ausgabe von /sbin/ifconfig und /sbin/route -n auf Rechner2:


eth0 Protokoll:Ethernet Hardware Adresse 00:0B:6A:87:47:19
inet Adresse:192.168.2.2 Bcast:192.168.2.255 Maske:255.255.255.0
inet6 Adresse: fe80::20b:6aff:fe87:4719/64 Gültigkeitsbereich:Verbindung
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:1845353 errors:0 dropped:0 overruns:0 frame:0
TX packets:2222545 errors:0 dropped:0 overruns:0 carrier:0
Kollisionen:0 Sendewarteschlangenlänge:1000
RX bytes:272133244 (259.5 Mb) TX bytes:1586152008 (1512.6 Mb)
Interrupt:10 Basisadresse:0xd400

lo Protokoll:Lokale Schleife
inet Adresse:127.0.0.1 Maske:255.0.0.0
inet6 Adresse: ::1/128 Gültigkeitsbereich:Maschine
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:74577 errors:0 dropped:0 overruns:0 frame:0
TX packets:74577 errors:0 dropped:0 overruns:0 carrier:0
Kollisionen:0 Sendewarteschlangenlänge:0
RX bytes:7998982 (7.6 Mb) TX bytes:7998982 (7.6 Mb)

tun0 Protokoll:Punkt-zu-Punkt Verbindung
inet Adresse:10.0.0.2 P-z-P:10.0.0.1 Maske:255.255.255.255
UP PUNKTZUPUNKT RUNNING NOARP MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
Kollisionen:0 Sendewarteschlangenlänge:10
RX bytes:0 (0.0 b) TX bytes:0 (0.0 b)




Ziel Router Genmask Flags Metric Ref Use Iface
10.0.0.1 0.0.0.0 255.255.255.255 UH 0 0 0 tun0
192.168.2.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
169.254.0.0 0.0.0.0 255.255.0.0 U 0 0 0 eth0
127.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 lo
0.0.0.0 192.168.2.1 0.0.0.0 UG 0 0 0 eth0


Ein Ping von Rechner1 auf die IP 10.0.0.2 funktioniert und von Recher2 auf die IP 10.0.0.1 auch.

Nun zu meiner Frage: Was muss ich tun damit ich von Rechner1 die PC im 192.168.2.0 Netzwerk erreiche und anders herum?

IP-Forward ist mittels echo "1" > /proc/sys/net/ipv4/ip_forward auf beiden Rechner aktiviert.

Zum Schluss: Ich habe das VPN noch als Plaintext. Falls ich das VPN zum laufen bekomme, werde ich mich um die Sicherheit kümmern. Ich habe die Sicherheit erstmal aussen vor gelassen, um alle dies als mögliche Fehlerquelle ausschliessen zu können.

Vielen Dank

Stormbringer
22.06.05, 21:55
Hi,

hier mal eine Beispielkonfig:


--local 4711.dyndns.org
--remote 217.x.y.z
--resolv-retry "infinite"
--float
--dev tun3
--ifconfig 10.4.1.1 10.4.1.2
--verb 4
--secret /batch/key.line-x
--daemon
--log-append /var/log/openvpn/line-x.log
--comp-lzo
--route 192.168.0.0 255.255.255.0 10.4.1.1 1
--ping 15
--ping-restart 120
--port 1194
--tun-mtu 1500
--tun-mtu-extra 32
--mssfix 1450

(Dir fehlt halt noch die 'route' Angabe ...)

Gruß

Tocotac
23.06.05, 19:53
danke, ich habe die route hinzugefügt.
ich kann jetzt auch von 192.168.0.102 (Rechner1) die 192.168.2.2 (Rechner2) pingen.
Wie stelle ich das jetzt an, das pc's aus dem LAN1 (192.168.0.0) pc's aus dem LAN2 (192.168.2.0) ereichen?

Ich habe erst,al versucht vom Rechner1 aus pc's aus dem LAN2 zu erreichen Bsp.: Rechner1:~ # ping 192.168.2.143). Bisher ohne Erfolg. Der PC (192.168.2.143) existiert aber, es kommt anscheinend nur nicht durch.

auf beidem Rechnern ist in /etc/sys/net/ipv4/ip_forward eine "1" vorhanden.

ich hänge mal die routingtables an:
Rechner 1:

Destination Gateway Genmask Flags Metric Ref Use Iface
10.0.0.2 0.0.0.0 255.255.255.255 UH 0 0 0 tun0
192.168.2.0 10.0.0.1 255.255.255.0 UG 0 0 0 tun0
192.168.0.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
0.0.0.0 192.168.0.1 0.0.0.0 UG 0 0 0 eth0

Rechner 2:

Ziel Router Genmask Flags Metric Ref Use Iface
10.0.0.1 0.0.0.0 255.255.255.255 UH 0 0 0 tun0
192.168.2.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
192.168.0.0 10.0.0.2 255.255.255.0 UG 0 0 0 tun0
169.254.0.0 0.0.0.0 255.255.0.0 U 0 0 0 eth0
127.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 lo
0.0.0.0 192.168.2.1 0.0.0.0 UG 0 0 0 eth0

habt ihr noch weitere Ideen?

Vielen Dank