MonkeyT
11.09.08, 20:43
Hi!
Habe 2 Netze
192.168.0.0
192.168.1.0
Jedes Netz ist durch einen Router im Internet. Router haben IP .254
Mein Windows-PC ist in Netz 2. IP lautet 192.168.1.1
Linux Server ist in Netz 1 mit IP 192.168.0.1
VPN Tunnel über Port 1194 wird auch aufgebaut. Server is 10.8.0.1 und mein PC 10.8.0.6.
Von meinem PC geht auch ein ping auf 192.168.0.1. Jedoch nicht auf 192.168.0.2 (ein weiter Linux-Server). ping von 192.168.0.1 auf .2 geht natürlich...
# Wir fuegen die Optionen fragment und
# mssfix hinzu, um ein Aushandeln der
# Paketgroessen zu ermoeglichen
tun-mtu 1492
fragment 1300
mssfix
# Die Pfade zu den Keys und Zertifikaten.
# Ich kopiere die Pähen spär in das
# openvpn Verzeichnis, um Wirrwarr vorzubeugen.
ca /etc/openvpn/certs/ca.crt
cert /etc/openvpn/certs/server.crt
key /etc/openvpn/certs/server.key
# der Pfad zu den Diffie-Hellmann Parametern.
# Auch diese werde ich spaeter ins openvpn
# Verzeichnis kopieren.
dh /etc/openvpn/certs/dh2048.pem
# Durch die Angabe von server veranlassen
# wir openvpn im Servermodus zu lauern.
# Hier uebergeben wir auch den Adressbereich
# und die Netzwerkmaske fuer virtuelle
# Netzwerk. Der Server wird automatisch
#auf der ersten IP lauschen - also 10.8.0.1
server 10.8.0.0 255.255.255.0
# Wir koennen einen Pool fuer Virtuellen
# Adressen angeben. Falls ein Client die
# Verbindung beendet, bekommt er bei der
# naechsten Verbindung automatisch die selbe
# IP zugewiesen.
ifconfig-pool-persist ipp.txt
# Mit dem push Befehl koennen wir die
# Clients veranlassen ihre Routing Tabellen
# automatisch beim Verbindungsaufbau neu
# zu schreiben. Wir veranlassen also die Clients
# die Route in den Adressbereich
# 192.168.0.0 automatisch ueber vpn zu routen
route 192.168.0.0 255.255.255.0
push "route 192.168.0.0 255.255.255.0"
# Mit keepalive koennen wir uns
# informieren, ob die Gegenstelle noch
# erreichbar ist. Wir setzen alle 10 Sekunden
# ein ping aehnliches Paket ab und gehen
# davon aus, dass die Gegenstelle weg ist,
# wenn nach 120 Sekunden keine Antwort kommt.
keepalive 10 120
# Unsere Authentifizierungsmethode
auth SHA1
# Unsere Verschluesselungsmethode
cipher AES-256-CBC
# Wir wollen komprimierten Datenverkehr
comp-lzo
# Wir reduzieren die Rechte, mit dem der
# Server laeuft nach dem Verbindungsaufbau.
# Dies wird allerdings zur Folge haben, dass er keine Berechtigung mehr hat die
# Routing Tabelle in den urspruenglichen
# Zustand zu versetzen, was hier aber kein
# Problem darstellt.
user nobody
group nobody
# Die persist Optionen werden die Keys
# und Zertifikate im Speicher behalten,
# so dass sie auch noch gelesen werden
# koennen nachdem Gruppe und User
# gewechselt wurden.
persist-key
persist-tun
# Fuer unsere Versuche setzen wir die Geschwäigkeit
# auf Level 3
verb 5
client
float
dev tun
tun-mtu 1492
fragment 1300
mssfix
proto udp
remote adresse.de
port 1196
# Wir erlauben nur eine Verbindung zu
# unserem Server. Wir haben bei der
# Zertifiakt Erstellung dem Server
# den Common Name server gegeben und
# erzwingen so, dass sich auch der Server
# beim Client authentifizieren muss
tls-remote hermes
ca certs/ca.crt
cert certs/client1.crt
key certs/client1.key
auth SHA1
cipher aes-256-cbc
nobind
comp-lzo
persist-key
persist-tun
verb 3
Was stimmt nicht?
grz
Monkey
Habe 2 Netze
192.168.0.0
192.168.1.0
Jedes Netz ist durch einen Router im Internet. Router haben IP .254
Mein Windows-PC ist in Netz 2. IP lautet 192.168.1.1
Linux Server ist in Netz 1 mit IP 192.168.0.1
VPN Tunnel über Port 1194 wird auch aufgebaut. Server is 10.8.0.1 und mein PC 10.8.0.6.
Von meinem PC geht auch ein ping auf 192.168.0.1. Jedoch nicht auf 192.168.0.2 (ein weiter Linux-Server). ping von 192.168.0.1 auf .2 geht natürlich...
# Wir fuegen die Optionen fragment und
# mssfix hinzu, um ein Aushandeln der
# Paketgroessen zu ermoeglichen
tun-mtu 1492
fragment 1300
mssfix
# Die Pfade zu den Keys und Zertifikaten.
# Ich kopiere die Pähen spär in das
# openvpn Verzeichnis, um Wirrwarr vorzubeugen.
ca /etc/openvpn/certs/ca.crt
cert /etc/openvpn/certs/server.crt
key /etc/openvpn/certs/server.key
# der Pfad zu den Diffie-Hellmann Parametern.
# Auch diese werde ich spaeter ins openvpn
# Verzeichnis kopieren.
dh /etc/openvpn/certs/dh2048.pem
# Durch die Angabe von server veranlassen
# wir openvpn im Servermodus zu lauern.
# Hier uebergeben wir auch den Adressbereich
# und die Netzwerkmaske fuer virtuelle
# Netzwerk. Der Server wird automatisch
#auf der ersten IP lauschen - also 10.8.0.1
server 10.8.0.0 255.255.255.0
# Wir koennen einen Pool fuer Virtuellen
# Adressen angeben. Falls ein Client die
# Verbindung beendet, bekommt er bei der
# naechsten Verbindung automatisch die selbe
# IP zugewiesen.
ifconfig-pool-persist ipp.txt
# Mit dem push Befehl koennen wir die
# Clients veranlassen ihre Routing Tabellen
# automatisch beim Verbindungsaufbau neu
# zu schreiben. Wir veranlassen also die Clients
# die Route in den Adressbereich
# 192.168.0.0 automatisch ueber vpn zu routen
route 192.168.0.0 255.255.255.0
push "route 192.168.0.0 255.255.255.0"
# Mit keepalive koennen wir uns
# informieren, ob die Gegenstelle noch
# erreichbar ist. Wir setzen alle 10 Sekunden
# ein ping aehnliches Paket ab und gehen
# davon aus, dass die Gegenstelle weg ist,
# wenn nach 120 Sekunden keine Antwort kommt.
keepalive 10 120
# Unsere Authentifizierungsmethode
auth SHA1
# Unsere Verschluesselungsmethode
cipher AES-256-CBC
# Wir wollen komprimierten Datenverkehr
comp-lzo
# Wir reduzieren die Rechte, mit dem der
# Server laeuft nach dem Verbindungsaufbau.
# Dies wird allerdings zur Folge haben, dass er keine Berechtigung mehr hat die
# Routing Tabelle in den urspruenglichen
# Zustand zu versetzen, was hier aber kein
# Problem darstellt.
user nobody
group nobody
# Die persist Optionen werden die Keys
# und Zertifikate im Speicher behalten,
# so dass sie auch noch gelesen werden
# koennen nachdem Gruppe und User
# gewechselt wurden.
persist-key
persist-tun
# Fuer unsere Versuche setzen wir die Geschwäigkeit
# auf Level 3
verb 5
client
float
dev tun
tun-mtu 1492
fragment 1300
mssfix
proto udp
remote adresse.de
port 1196
# Wir erlauben nur eine Verbindung zu
# unserem Server. Wir haben bei der
# Zertifiakt Erstellung dem Server
# den Common Name server gegeben und
# erzwingen so, dass sich auch der Server
# beim Client authentifizieren muss
tls-remote hermes
ca certs/ca.crt
cert certs/client1.crt
key certs/client1.key
auth SHA1
cipher aes-256-cbc
nobind
comp-lzo
persist-key
persist-tun
verb 3
Was stimmt nicht?
grz
Monkey