diwe
14.03.09, 00:27
Hallo @all
ich bin langsam am Verzweifeln; eingerichtet habe ich:
OVPNserver unter debian 4 rc3
Zertifikate alles soweit ok.
Firewall IPcop und Fritzbox mit deaktivierter Firewall; also alle Anfragen gehen weiter an den IPcop
zwischen IPcop und Fritz habe ich einen Switch; dort ist mein Test-PC für OVPN
überall 24Bit subnet mask
Lan FB-IPcop (rot): 152.168.0.0
FB=1
Router=254
Segment LAN (grün) 152.168.1.0
Router=254
OpenVPNserver=250
Tunnel durch Firewall (IPcop) ok
Server config:
-------------
local 152.168.1.250
mode server
tls-server
port 1194
proto udp
dev tap
# Die Server-IP-Adresse
ifconfig 10.10.0.1 255.255.255.0
# Dynamische IP-Adressen von 10.10.0.10 bis 100
ifconfig-pool 10.10.0.10 10.10.0.20 255.255.255.0
push "route-gateway 10.10.0.1"
push "route 152.168.1.0 255.255.255.0"
# nebenbei
# sind die beiden push-Befehl identisch mit ???
# push "route 152.168.1.0 255.255.255.0 10.10.0.1" ???
client-to-client
# damit soll man die clients hinter OVPN-server sehen
# funktioniert nicht
# oder fehlt etwas
# ist nötig wenn der Server via Client zugreifen will
# in ein anderes Segment
# route 152.168.0.0 255.255.255.0
# Die Pakete werden auf dieser Grösse gekapselt
#tun-mtu 1500
#1500 ist default warum 1492 ??? (aber auch nur so nebenbei)
tun-mtu 1492
fragment 1300
mssfix
# Pfad zu den Zertifikaten
ca /etc/ssl/vpn-ca.pem
key /etc/ssl/private/server_key.pem
cert /etc/ssl/Zertifikate/server_cert.pem
# Diffie-Hellmann Parameter
dh /etc/ssl/dh2048.pem
# Gleiche IP-Adresse in der nächsten Session
ifconfig-pool-persist /etc/openvpn/ipp.txt
# Der Verschlüsselungs-Algorithmus
cipher aes-256-cbc
# Authentifikation
auth SHA1
#Kompression
comp-lzo
# Setzen der Rechte nach dem Verbindungs-Aufbau
user nobody
group nogroup
# Dies wird benötigt, da Benutzer nobody/group nobody
persist-key
persist-tun
status /etc/openvpn/openvpn-status.log
keepalive 20 120
verb 3
Client config
------------
client
# ist gleich tls-client und pull
# Festlegen als was fungiert wird
# tls-client und pull ist sozusagen redundant ???
tls-client
pull
# Die Server-IP-Adresse
remote 152.168.0.254 1194
port 1194
# ist sozusagen redundant
proto udp
dev tap
nobind
persist-key
persist-tun
#zu verwendende Zertifikate und Schlüssel
ca C:\\Applications\\OpenVPN\\config\\vpn-ca.pem
key C:\\Applications\\OpenVPN\\config\\Client1_key.pem
cert C:\\Applications\\OpenVPN\\config\\Client1_cert.pe m
# Verschlüsselung
cipher AES-256-CBC
# Authentifizierungsmethode
auth SHA1
tun-mtu 1492
fragment 1300
mssfix
mute 20
comp-lzo
verb 3
-----------------------------------------------------
Vom Client aus möglich:
ping 10.10.0.1 also den OpenVPNserver (vpn)
ping 152.168.1.250 also den OpenVPNserver (LAN)
ping 152.168.1.xyz geht nicht
auf client Seite:
---------------
Ethernet adapter Local Area Connection:
Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : Intel(R) PRO/100 VM Network Connection
Physical Address. . . . . . . . . : 00-08-02-14-03-5E
DHCP Enabled. . . . . . . . . . . : Yes
Autoconfiguration Enabled . . . . : Yes
IP Address. . . . . . . . . . . . : 152.168.0.55
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . : 152.168.0.1
DHCP Server . . . . . . . . . . . : 152.168.0.1
DNS Servers . . . . . . . . . . . : 152.168.0.1
Primary WINS Server . . . . . . . : 151.168.1.22
Lease Obtained. . . . . . . . . . : Wednesday, March 11, 2009 7:03:32 PM
Lease Expires . . . . . . . . . . : Saturday, March 21, 2009 7:03:32 PM
Ethernet adapter Local Area Connection 43:
Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : TAP-Win32 Adapter V8
Physical Address. . . . . . . . . : 00-FF-29-BB-8C-F4
DHCP Enabled. . . . . . . . . . . : Yes
Autoconfiguration Enabled . . . . : Yes
IP Address. . . . . . . . . . . . : 10.10.0.10
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . :
DHCP Server . . . . . . . . . . . : 10.10.0.0
Lease Obtained. . . . . . . . . . : Saturday, March 14, 2009 12:14:31 AM
Lease Expires . . . . . . . . . . : Sunday, March 14, 2010 12:14:31 AM
Active Routes:
Network Destination Netmask Gateway Interface Metric
0.0.0.0 0.0.0.0 152.168.0.1 152.168.0.55 20
10.10.0.0 255.255.255.0 10.10.0.10 10.10.0.10 30
10.10.0.10 255.255.255.255 127.0.0.1 127.0.0.1 30
10.255.255.255 255.255.255.255 10.10.0.10 10.10.0.10 30
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
152.168.0.0 255.255.255.0 152.168.0.55 152.168.0.55 20
152.168.0.55 255.255.255.255 127.0.0.1 127.0.0.1 20
152.168.0.254 255.255.255.255 152.168.0.1 152.168.0.55 1
152.168.1.0 255.255.255.0 10.10.0.1 10.10.0.10 1
152.168.255.255 255.255.255.255 152.168.0.55 152.168.0.55 20
224.0.0.0 240.0.0.0 10.10.0.10 10.10.0.10 30
224.0.0.0 240.0.0.0 152.168.0.55 152.168.0.55 20
255.255.255.255 255.255.255.255 10.10.0.10 10.10.0.10 1
255.255.255.255 255.255.255.255 152.168.0.55 152.168.0.55 1
das mit push erhaltene gateway wird nicht in der ipconfig angezeigt, allerdings ist die Route
152.168.1.0 255.255.255.0 10.10.0.1 10.10.0.10
ersichtlich aus dem route print Befehl
also müsste ich 152.168.1.xyz anpingen können
ich hatte auch schon add route probiert; verhielt sich wie der push Befehl: nur ping auf die 250.
Danke im Voraus
Gruss Dieter
ich bin langsam am Verzweifeln; eingerichtet habe ich:
OVPNserver unter debian 4 rc3
Zertifikate alles soweit ok.
Firewall IPcop und Fritzbox mit deaktivierter Firewall; also alle Anfragen gehen weiter an den IPcop
zwischen IPcop und Fritz habe ich einen Switch; dort ist mein Test-PC für OVPN
überall 24Bit subnet mask
Lan FB-IPcop (rot): 152.168.0.0
FB=1
Router=254
Segment LAN (grün) 152.168.1.0
Router=254
OpenVPNserver=250
Tunnel durch Firewall (IPcop) ok
Server config:
-------------
local 152.168.1.250
mode server
tls-server
port 1194
proto udp
dev tap
# Die Server-IP-Adresse
ifconfig 10.10.0.1 255.255.255.0
# Dynamische IP-Adressen von 10.10.0.10 bis 100
ifconfig-pool 10.10.0.10 10.10.0.20 255.255.255.0
push "route-gateway 10.10.0.1"
push "route 152.168.1.0 255.255.255.0"
# nebenbei
# sind die beiden push-Befehl identisch mit ???
# push "route 152.168.1.0 255.255.255.0 10.10.0.1" ???
client-to-client
# damit soll man die clients hinter OVPN-server sehen
# funktioniert nicht
# oder fehlt etwas
# ist nötig wenn der Server via Client zugreifen will
# in ein anderes Segment
# route 152.168.0.0 255.255.255.0
# Die Pakete werden auf dieser Grösse gekapselt
#tun-mtu 1500
#1500 ist default warum 1492 ??? (aber auch nur so nebenbei)
tun-mtu 1492
fragment 1300
mssfix
# Pfad zu den Zertifikaten
ca /etc/ssl/vpn-ca.pem
key /etc/ssl/private/server_key.pem
cert /etc/ssl/Zertifikate/server_cert.pem
# Diffie-Hellmann Parameter
dh /etc/ssl/dh2048.pem
# Gleiche IP-Adresse in der nächsten Session
ifconfig-pool-persist /etc/openvpn/ipp.txt
# Der Verschlüsselungs-Algorithmus
cipher aes-256-cbc
# Authentifikation
auth SHA1
#Kompression
comp-lzo
# Setzen der Rechte nach dem Verbindungs-Aufbau
user nobody
group nogroup
# Dies wird benötigt, da Benutzer nobody/group nobody
persist-key
persist-tun
status /etc/openvpn/openvpn-status.log
keepalive 20 120
verb 3
Client config
------------
client
# ist gleich tls-client und pull
# Festlegen als was fungiert wird
# tls-client und pull ist sozusagen redundant ???
tls-client
pull
# Die Server-IP-Adresse
remote 152.168.0.254 1194
port 1194
# ist sozusagen redundant
proto udp
dev tap
nobind
persist-key
persist-tun
#zu verwendende Zertifikate und Schlüssel
ca C:\\Applications\\OpenVPN\\config\\vpn-ca.pem
key C:\\Applications\\OpenVPN\\config\\Client1_key.pem
cert C:\\Applications\\OpenVPN\\config\\Client1_cert.pe m
# Verschlüsselung
cipher AES-256-CBC
# Authentifizierungsmethode
auth SHA1
tun-mtu 1492
fragment 1300
mssfix
mute 20
comp-lzo
verb 3
-----------------------------------------------------
Vom Client aus möglich:
ping 10.10.0.1 also den OpenVPNserver (vpn)
ping 152.168.1.250 also den OpenVPNserver (LAN)
ping 152.168.1.xyz geht nicht
auf client Seite:
---------------
Ethernet adapter Local Area Connection:
Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : Intel(R) PRO/100 VM Network Connection
Physical Address. . . . . . . . . : 00-08-02-14-03-5E
DHCP Enabled. . . . . . . . . . . : Yes
Autoconfiguration Enabled . . . . : Yes
IP Address. . . . . . . . . . . . : 152.168.0.55
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . : 152.168.0.1
DHCP Server . . . . . . . . . . . : 152.168.0.1
DNS Servers . . . . . . . . . . . : 152.168.0.1
Primary WINS Server . . . . . . . : 151.168.1.22
Lease Obtained. . . . . . . . . . : Wednesday, March 11, 2009 7:03:32 PM
Lease Expires . . . . . . . . . . : Saturday, March 21, 2009 7:03:32 PM
Ethernet adapter Local Area Connection 43:
Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : TAP-Win32 Adapter V8
Physical Address. . . . . . . . . : 00-FF-29-BB-8C-F4
DHCP Enabled. . . . . . . . . . . : Yes
Autoconfiguration Enabled . . . . : Yes
IP Address. . . . . . . . . . . . : 10.10.0.10
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . :
DHCP Server . . . . . . . . . . . : 10.10.0.0
Lease Obtained. . . . . . . . . . : Saturday, March 14, 2009 12:14:31 AM
Lease Expires . . . . . . . . . . : Sunday, March 14, 2010 12:14:31 AM
Active Routes:
Network Destination Netmask Gateway Interface Metric
0.0.0.0 0.0.0.0 152.168.0.1 152.168.0.55 20
10.10.0.0 255.255.255.0 10.10.0.10 10.10.0.10 30
10.10.0.10 255.255.255.255 127.0.0.1 127.0.0.1 30
10.255.255.255 255.255.255.255 10.10.0.10 10.10.0.10 30
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
152.168.0.0 255.255.255.0 152.168.0.55 152.168.0.55 20
152.168.0.55 255.255.255.255 127.0.0.1 127.0.0.1 20
152.168.0.254 255.255.255.255 152.168.0.1 152.168.0.55 1
152.168.1.0 255.255.255.0 10.10.0.1 10.10.0.10 1
152.168.255.255 255.255.255.255 152.168.0.55 152.168.0.55 20
224.0.0.0 240.0.0.0 10.10.0.10 10.10.0.10 30
224.0.0.0 240.0.0.0 152.168.0.55 152.168.0.55 20
255.255.255.255 255.255.255.255 10.10.0.10 10.10.0.10 1
255.255.255.255 255.255.255.255 152.168.0.55 152.168.0.55 1
das mit push erhaltene gateway wird nicht in der ipconfig angezeigt, allerdings ist die Route
152.168.1.0 255.255.255.0 10.10.0.1 10.10.0.10
ersichtlich aus dem route print Befehl
also müsste ich 152.168.1.xyz anpingen können
ich hatte auch schon add route probiert; verhielt sich wie der push Befehl: nur ping auf die 250.
Danke im Voraus
Gruss Dieter