openVPN und Routing Probleme

[balubaer]

hallo zusammen,

habe openvpn 2.0 beta laut anleitungen installiert. tunnel läßt sich auch aufbauen.
ping ist erfolgreich an das jeweilige tunnelende. 192.168.3.2 (=virt. IP des servers) vom client; und 192.168.3.1 vom server
allerdings werden die anderen rechner im netzwerk nicht erreicht.
folgende konstellation

client w2k isdn
openvpn_client.config
######################## Anfang
lport 5000
rport 5000
remote meineadressebei.dynamischerIP
float
ifconfig 192.168.3.1 255.255.255.252
route 192.168.1.0 255.255.255.0 192.168.3.2
dev tap
#tun-mtu 1500
#mtu-test
#fragment 1450
secret geheim.key
persist-key
persist-tun
ping-timer-rem
ping-restart 60
ping 10
comp-lzo
verb 5
############################ Ende
routing tabelle client
vor dem verbdinungsaufbau
Schnittstellenliste
0x1 ........................... MS TCP Loopback interface
0x2 ...00 ff 66 d5 bf 7e ...... TAP-Win32 Adapter V8
0x1000004 ...00 04 76 13 59 02 ...... 3Com EtherLink PCI
===============================================
Aktive Routen:
Netzwerkziel Netzwerkmaske Gateway Schnittstelle Anzahl
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
255.255.255.255 255.255.255.255 255.255.255.255 2 1
=============================================
Ständige Routen:
Keine

tabelle nach dem verbindungsaufbau (=einwahl und vpn connect)

Aktive Routen:
Netzwerkziel Netzwerkmaske Gateway Schnittstelle Anzahl
0.0.0.0 0.0.0.0 62.180.204.43 62.180.204.43 1
62.180.8.23 255.255.255.255 62.180.204.43 62.180.204.43 1
62.180.204.43 255.255.255.255 127.0.0.1 127.0.0.1 1
62.255.255.255 255.255.255.255 62.180.204.43 62.180.204.43 1
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
192.168.1.0 255.255.255.0 192.168.3.2 192.168.3.1 1
192.168.3.0 255.255.255.252 192.168.3.1 192.168.3.1 1
192.168.3.1 255.255.255.255 127.0.0.1 127.0.0.1 1
192.168.3.255 255.255.255.255 192.168.3.1 192.168.3.1 1
224.0.0.0 224.0.0.0 62.180.204.43 62.180.204.43 1
224.0.0.0 224.0.0.0 192.168.3.1 192.168.3.1 1
255.255.255.255 255.255.255.255 192.168.3.1 192.168.3.1 1
Standardgateway: 62.180.204.43
=============================================
Ständige Routen:

_____________________________________________
=> router mit dynamischerIP - IP 192.168.1.1
port 5000 weitergeleitet an 192.168.1.99
openvpn_server.config
######################## Anfang
daemon openvpn
float
lport 5000
rport 5000
dev tap
#fragment 1450
#tun-mtu 1500
#mtu-test
ifconfig 192.168.3.2 255.255.255.252

############################ Ende
routing server
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
192.168.3.0 * 255.255.255.252 U 0 0 0 tap0
192.168.1.0 * 255.255.255.0 U 0 0 0 eth0
192.168.8.0 * 255.255.255.0 U 0 0 0 eth1
default 192.168.1.1 0.0.0.0 UG 0 0 0 eth0


vpn meldung beim client
Sat Oct 09 17:52:54 2004 us=401496 config = 'client.ovpn'
Sat Oct 09 17:52:54 2004 us=401519 mode = 0
Sat Oct 09 17:52:54 2004 us=401540 show_ciphers = DISABLED
Sat Oct 09 17:52:54 2004 us=401563 show_digests = DISABLED
Sat Oct 09 17:52:54 2004 us=401584 genkey = DISABLED
Sat Oct 09 17:52:54 2004 us=401606 askpass = DISABLED
Sat Oct 09 17:52:54 2004 us=401627 show_tls_ciphers = DISABLED
Sat Oct 09 17:52:54 2004 us=401649 proto = 0
Sat Oct 09 17:52:54 2004 us=401670 local = '[UNDEF]'
Sat Oct 09 17:52:54 2004 us=401694 remote_list[0] = {'dynamischer ip dienst', 5000}
Sat Oct 09 17:52:54 2004 us=401717 remote_random = DISABLED
Sat Oct 09 17:52:54 2004 us=401745 local_port = 5000
Sat Oct 09 17:52:54 2004 us=401768 remote_port = 5000
Sat Oct 09 17:52:54 2004 us=401790 remote_float = ENABLED
Sat Oct 09 17:52:54 2004 us=401811 ipchange = '[UNDEF]'
Sat Oct 09 17:52:54 2004 us=401833 bind_local = ENABLED
Sat Oct 09 17:52:54 2004 us=401854 dev = 'tap'
Sat Oct 09 17:52:54 2004 us=401875 dev_type = '[UNDEF]'
Sat Oct 09 17:52:54 2004 us=401897 dev_node = '[UNDEF]'
Sat Oct 09 17:52:54 2004 us=401919 tun_ipv6 = DISABLED
Sat Oct 09 17:52:54 2004 us=401940 ifconfig_local = '192.168.3.1'
Sat Oct 09 17:52:54 2004 us=401963 ifconfig_remote_netmask = '255.255.255.252'
Sat Oct 09 17:52:54 2004 us=401986 ifconfig_noexec = DISABLED
Sat Oct 09 17:52:54 2004 us=402008 ifconfig_nowarn = DISABLED
Sat Oct 09 17:52:54 2004 us=402030 shaper = 0
Sat Oct 09 17:52:54 2004 us=402051 tun_mtu = 1500
Sat Oct 09 17:52:54 2004 us=402072 tun_mtu_defined = ENABLED
Sat Oct 09 17:52:54 2004 us=402094 link_mtu = 1500
Sat Oct 09 17:52:54 2004 us=402115 link_mtu_defined = DISABLED
Sat Oct 09 17:52:54 2004 us=402138 tun_mtu_extra = 32
Sat Oct 09 17:52:54 2004 us=402160 tun_mtu_extra_defined = ENABLED
Sat Oct 09 17:52:54 2004 us=402181 fragment = 0
Sat Oct 09 17:52:54 2004 us=402203 mtu_discover_type = -1
Sat Oct 09 17:52:54 2004 us=402224 mtu_test = 0
Sat Oct 09 17:52:54 2004 us=402244 mlock = DISABLED
Sat Oct 09 17:52:54 2004 us=402266 keepalive_ping = 0
Sat Oct 09 17:52:54 2004 us=402288 keepalive_timeout = 0
Sat Oct 09 17:52:54 2004 us=402309 inactivity_timeout = 0
Sat Oct 09 17:52:54 2004 us=402331 ping_send_timeout = 10
Sat Oct 09 17:52:54 2004 us=402353 ping_rec_timeout = 60
Sat Oct 09 17:52:54 2004 us=402376 ping_rec_timeout_action = 2
Sat Oct 09 17:52:54 2004 us=402398 ping_timer_remote = ENABLED
Sat Oct 09 17:52:54 2004 us=402420 explicit_exit_notification = 0
Sat Oct 09 17:52:54 2004 us=402441 persist_tun = ENABLED
Sat Oct 09 17:52:54 2004 us=402463 persist_local_ip = DISABLED
Sat Oct 09 17:52:54 2004 us=402485 persist_remote_ip = DISABLED
Sat Oct 09 17:52:54 2004 us=402507 persist_key = ENABLED
Sat Oct 09 17:52:54 2004 us=402528 mssfix = 1450
Sat Oct 09 17:52:54 2004 us=520011 resolve_retry_seconds = 0
Sat Oct 09 17:52:54 2004 us=520073 connect_retry_seconds = 5
Sat Oct 09 17:52:54 2004 us=520095 username = '[UNDEF]'
Sat Oct 09 17:52:54 2004 us=520117 groupname = '[UNDEF]'
Sat Oct 09 17:52:54 2004 us=520139 chroot_dir = '[UNDEF]'
Sat Oct 09 17:52:54 2004 us=520161 cd_dir = '[UNDEF]'
Sat Oct 09 17:52:54 2004 us=520182 writepid = '[UNDEF]'
Sat Oct 09 17:52:54 2004 us=520204 up_script = '[UNDEF]'
Sat Oct 09 17:52:54 2004 us=520227 down_script = '[UNDEF]'
Sat Oct 09 17:52:54 2004 us=520249 up_restart = DISABLED
Sat Oct 09 17:52:54 2004 us=520271 up_delay = DISABLED
Sat Oct 09 17:52:54 2004 us=520293 daemon = DISABLED
Sat Oct 09 17:52:54 2004 us=520314 inetd = 0
Sat Oct 09 17:52:54 2004 us=520335 log = DISABLED
Sat Oct 09 17:52:54 2004 us=520356 nice = 0
Sat Oct 09 17:52:54 2004 us=520378 verbosity = 5
Sat Oct 09 17:52:54 2004 us=520399 mute = 0
Sat Oct 09 17:52:54 2004 us=520420 gremlin = DISABLED
Sat Oct 09 17:52:54 2004 us=520442 status_file = '[UNDEF]'
Sat Oct 09 17:52:54 2004 us=520465 status_file_update_freq = 60
Sat Oct 09 17:52:54 2004 us=520487 occ = ENABLED
Sat Oct 09 17:52:54 2004 us=520509 rcvbuf = 0
Sat Oct 09 17:52:54 2004 us=520530 sndbuf = 0
Sat Oct 09 17:52:54 2004 us=520552 http_proxy_server = '[UNDEF]'
Sat Oct 09 17:52:54 2004 us=520574 http_proxy_port = 0
Sat Oct 09 17:52:54 2004 us=520597 http_proxy_auth_method = '[UNDEF]'
Sat Oct 09 17:52:54 2004 us=520620 http_proxy_auth_file = '[UNDEF]'
Sat Oct 09 17:52:54 2004 us=520643 http_proxy_retry = DISABLED
Sat Oct 09 17:52:54 2004 us=520666 socks_proxy_server = '[UNDEF]'
Sat Oct 09 17:52:54 2004 us=520689 socks_proxy_port = 0
Sat Oct 09 17:52:54 2004 us=520711 socks_proxy_retry = DISABLED
Sat Oct 09 17:52:54 2004 us=520734 comp_lzo = ENABLED
Sat Oct 09 17:52:54 2004 us=520756 comp_lzo_adaptive = ENABLED
Sat Oct 09 17:52:54 2004 us=520778 route_script = '[UNDEF]'
Sat Oct 09 17:52:54 2004 us=520801 route_default_gateway = '[UNDEF]'
Sat Oct 09 17:52:54 2004 us=520823 route_noexec = DISABLED
Sat Oct 09 17:52:54 2004 us=520845 route_delay = 0
Sat Oct 09 17:52:54 2004 us=520867 route_delay_window = 30
Sat Oct 09 17:52:54 2004 us=520889 route_delay_defined = ENABLED
Sat Oct 09 17:52:54 2004 us=520938 route 192.168.1.0/255.255.255.0/192.168.3.2/nil
Sat Oct 09 17:52:54 2004 us=520963 shared_secret_file = 'geheim.key'
Sat Oct 09 17:52:54 2004 us=520987 key_direction = 0
Sat Oct 09 17:52:54 2004 us=521009 ciphername_defined = ENABLED
Sat Oct 09 17:52:54 2004 us=521031 ciphername = 'BF-CBC'
Sat Oct 09 17:52:54 2004 us=521053 authname_defined = ENABLED
Sat Oct 09 17:52:54 2004 us=521075 authname = 'SHA1'
Sat Oct 09 17:52:54 2004 us=521096 keysize = 0
Sat Oct 09 17:52:54 2004 us=521117 engine = DISABLED
Sat Oct 09 17:52:54 2004 us=521139 replay = ENABLED
Sat Oct 09 17:52:54 2004 us=613763 mute_replay_warnings = DISABLED
Sat Oct 09 17:52:54 2004 us=613825 replay_window = 64
Sat Oct 09 17:52:54 2004 us=613848 replay_time = 15
Sat Oct 09 17:52:54 2004 us=613869 packet_id_file = '[UNDEF]'
Sat Oct 09 17:52:54 2004 us=613891 use_iv = ENABLED
Sat Oct 09 17:52:54 2004 us=613912 test_crypto = DISABLED
Sat Oct 09 17:52:54 2004 us=613934 tls_server = DISABLED
Sat Oct 09 17:52:54 2004 us=613956 tls_client = DISABLED
Sat Oct 09 17:52:54 2004 us=613978 key_method = 2
Sat Oct 09 17:52:54 2004 us=614000 ca_file = '[UNDEF]'
Sat Oct 09 17:52:54 2004 us=614022 dh_file = '[UNDEF]'
Sat Oct 09 17:52:54 2004 us=614043 cert_file = '[UNDEF]'
Sat Oct 09 17:52:54 2004 us=614066 priv_key_file = '[UNDEF]'
Sat Oct 09 17:52:54 2004 us=614088 pkcs12_file = '[UNDEF]'
Sat Oct 09 17:52:54 2004 us=614110 cipher_list = '[UNDEF]'
Sat Oct 09 17:52:54 2004 us=614132 tls_verify = '[UNDEF]'
Sat Oct 09 17:52:54 2004 us=614154 tls_remote = '[UNDEF]'
Sat Oct 09 17:52:54 2004 us=614176 crl_file = '[UNDEF]'
Sat Oct 09 17:52:54 2004 us=614198 tls_timeout = 2
Sat Oct 09 17:52:54 2004 us=614220 renegotiate_bytes = 0
Sat Oct 09 17:52:54 2004 us=614242 renegotiate_packets = 0
Sat Oct 09 17:52:54 2004 us=614278 renegotiate_seconds = 3600
Sat Oct 09 17:52:54 2004 us=614302 handshake_window = 60
Sat Oct 09 17:52:54 2004 us=614325 transition_window = 3600
Sat Oct 09 17:52:54 2004 us=614347 single_session = DISABLED
Sat Oct 09 17:52:54 2004 us=614369 tls_auth_file = '[UNDEF]'
Sat Oct 09 17:52:54 2004 us=614424 server_network = 0.0.0.0
Sat Oct 09 17:52:54 2004 us=614451 server_netmask = 0.0.0.0
Sat Oct 09 17:52:54 2004 us=614477 server_bridge_ip = 0.0.0.0
Sat Oct 09 17:52:54 2004 us=614502 server_bridge_netmask = 0.0.0.0
Sat Oct 09 17:52:54 2004 us=614546 server_bridge_pool_start = 0.0.0.0
Sat Oct 09 17:52:54 2004 us=614573 server_bridge_pool_end = 0.0.0.0
Sat Oct 09 17:52:54 2004 us=614596 client = DISABLED
Sat Oct 09 17:52:54 2004 us=614618 pull = DISABLED
Sat Oct 09 17:52:54 2004 us=614640 ifconfig_pool_defined = DISABLED
Sat Oct 09 17:52:54 2004 us=614664 ifconfig_pool_start = 0.0.0.0
Sat Oct 09 17:52:54 2004 us=614689 ifconfig_pool_end = 0.0.0.0
Sat Oct 09 17:52:54 2004 us=614714 ifconfig_pool_netmask = 0.0.0.0
Sat Oct 09 17:52:54 2004 us=614737 n_bcast_buf = 256
Sat Oct 09 17:52:54 2004 us=614759 tcp_queue_limit = 64
Sat Oct 09 17:52:54 2004 us=614782 real_hash_size = 256
Sat Oct 09 17:52:54 2004 us=614804 virtual_hash_size = 256
Sat Oct 09 17:52:54 2004 us=614827 client_connect_script = '[UNDEF]'
Sat Oct 09 17:52:54 2004 us=614849 learn_address_script = '[UNDEF]'
Sat Oct 09 17:52:54 2004 us=614872 client_disconnect_script = '[UNDEF]'
Sat Oct 09 17:52:54 2004 us=614895 client_config_dir = '[UNDEF]'
Sat Oct 09 17:52:54 2004 us=614916 tmp_dir = '[UNDEF]'
Sat Oct 09 17:52:54 2004 us=614939 push_ifconfig_defined = DISABLED
Sat Oct 09 17:52:54 2004 us=704552 push_ifconfig_local = 0.0.0.0
Sat Oct 09 17:52:54 2004 us=704616 push_ifconfig_remote_netmask = 0.0.0.0
Sat Oct 09 17:52:54 2004 us=704640 enable_c2c = DISABLED
Sat Oct 09 17:52:54 2004 us=704662 duplicate_cn = DISABLED
Sat Oct 09 17:52:54 2004 us=704683 cf_max = 0
Sat Oct 09 17:52:54 2004 us=704705 cf_per = 0
Sat Oct 09 17:52:54 2004 us=704727 max_clients = 1024
Sat Oct 09 17:52:54 2004 us=704755 show_net_up = DISABLED
Sat Oct 09 17:52:54 2004 us=704778 route_method = 0
Sat Oct 09 17:52:54 2004 us=704801 ip_win32_defined = DISABLED
Sat Oct 09 17:52:54 2004 us=704824 ip_win32_type = 3
Sat Oct 09 17:52:54 2004 us=704846 dhcp_masq_offset = 0
Sat Oct 09 17:52:54 2004 us=704870 dhcp_lease_time = 31536000
Sat Oct 09 17:52:54 2004 us=704892 tap_sleep = 0
Sat Oct 09 17:52:54 2004 us=704913 dhcp_options = DISABLED
Sat Oct 09 17:52:54 2004 us=704935 dhcp_renew = DISABLED
Sat Oct 09 17:52:54 2004 us=704958 dhcp_release = DISABLED
Sat Oct 09 17:52:54 2004 us=704980 domain = '[UNDEF]'
Sat Oct 09 17:52:54 2004 us=705002 netbios_scope = '[UNDEF]'
Sat Oct 09 17:52:54 2004 us=705024 netbios_node_type = 0
Sat Oct 09 17:52:54 2004 us=705168 OpenVPN 2.0_beta11 Win32-MinGW [SSL] [LZO] built on Aug 18 2004
Sat Oct 09 17:52:54 2004 us=705994 Static Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Sat Oct 09 17:52:54 2004 us=706063 Static Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Sat Oct 09 17:52:54 2004 us=706230 Static Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Sat Oct 09 17:52:54 2004 us=706268 Static Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Sat Oct 09 17:52:54 2004 us=706314 LZO compression initialized
Sat Oct 09 17:52:54 2004 us=938080 TAP-WIN32 device [LAN-Verbindung 3] opened: \\.\..irgendeinname.......tap
Sat Oct 09 17:52:54 2004 us=940500 TAP-Win32 Driver Version 8.1
Sat Oct 09 17:52:54 2004 us=942404 TAP-Win32 MTU=1500
Sat Oct 09 17:52:54 2004 us=944337 Notified TAP-Win32 driver to set a DHCP IP/netmask of 192.168.3.1/255.255.255.252 on interface {66D5BF7E-C51D-4101-9DDA-3EE714F97744} [DHCP-serv: 192.168.3.0, lease-time: 31536000]
Sat Oct 09 17:52:54 2004 us=951390 Successful ARP Flush on interface [2] {66D5BF7E-C51D-4101-9DDA-3EE714F97744}
Sat Oct 09 17:52:54 2004 us=958550 Data Channel MTU parms [ L:1577 D:1450 EF:45 EB:19 ET:32 EL:0 ]
Sat Oct 09 17:52:54 2004 us=961036 Local Options String: 'V4,dev-type tap,link-mtu 1577,tun-mtu 1532,proto UDPv4,ifconfig 192.168.3.0 255.255.255.252,comp-lzo,cipher BF-CBC,auth SHA1,keysize 128,secret'
Sat Oct 09 17:52:54 2004 us=963212 Expected Remote Options String: 'V4,dev-type tap,link-mtu 1577,tun-mtu 1532,proto UDPv4,ifconfig 192.168.3.0 255.255.255.252,comp-lzo,cipher BF-CBC,auth SHA1,keysize 128,secret'
Sat Oct 09 17:52:54 2004 us=965430 Local Options hash (VER=V4): 'df79be74'
Sat Oct 09 17:52:54 2004 us=967454 Expected Remote Options hash (VER=V4): 'df79be74'
Sat Oct 09 17:52:54 2004 us=969961 Socket Buffers: R=[8192->8192] S=[8192->8192]
Sat Oct 09 17:52:54 2004 us=972244 UDPv4 link local (bound): [undef]:5000
Sat Oct 09 17:52:54 2004 us=974285 UDPv4 link remote: 217.236.87.245:5000
Sat Oct 09 17:53:02 2004 us=660699 Peer Connection Initiated with 217.236.87.245:5000
Sat Oct 09 17:53:03 2004 us=284629 TEST ROUTES: 1/1 succeeded len=1 ret=1 a=0 u/d=up
Sat Oct 09 17:53:03 2004 us=286999 route ADD 192.168.1.0 MASK 255.255.255.0 192.168.3.2
Sat Oct 09 17:53:03 2004 us=292487 Route addition via IPAPI succeeded
Sat Oct 09 17:53:03 2004 us=294747 Initialization Sequence Completed

ich vermute ja schwer daß es am routing auf dem server liegt.

kann mir jemand helfen ? wäre schön, da ich schon einiges an zeit investiert habe und openvpn eigentlich nicht beiseite legen wollte.

folgende fragen hätte ich da auch noch:

- wie sichert die config dateien auf dem client z.b. unter win9x vor unberechtigtem zugriff ? mir schwebt da pgpdisk oder ähnliches vor.
- was muß ich einstellen, daß jeder verkehr vom client über den tunnel geht ?
- welche firewall setzt ihr auf dem client ein ?
- ein gutes firewallscript für den server ?
- euere erfahrungen ?
- step by step howto für die neueste version ? doku ist ja ganz gut, aber zum teil etwas kryptisch.

vielen dank im voraus

balubaer

 

[gaw]

Also ich habe openvpn mit xp am laufen. allerdings handelt es sich dabei um die Absicherung eines Wireless LAN.
In den meisten Fällen bauen die Leute einen Tunnel auf und verwechseln die physikalischen Schnittstellen mit den Tunnelendpunkten und haben dann Probleme die anderen Rechner im Netz zu erkennen und ihr Netz.

Ich vermute auch dass es sich um ein Routing Problem handelt. Aus deinen Daten läßt sich das das Netzwerk aber nicht genau erkennen. Vielleicht zeichnest du mal eine ASCII-Skizze deiner Netzkonfiguration auf, das man in etwa weiß welcher Rechner mit welchen Schnittstellen für was verantwortlich ist.

Über die Absicherung der preshared keys mache ich mir im Moment noch keine großen Gedanken, weil das nur eine vorläufige Lösung darstellt, und ich wenn ich wieder Zeit habe, das ganze über einen MIT oder Heimdall Kerberos laufen lassen möchte. Im Moment reichen mir die daher die Sicherheitseinschränkungen des NTFS-FS unter XP.

Auf der Linuxbox lasse ich ein eigenes Firewallsript laufen. Wichtig ist dass du die Ports auf denen der VPN-Tunnel über die physikalischen Schnittstellen aufgebaut wird geöffnet lässt

Die Firewallregeln für den VPN-Tunnel könnten zum Beispiel so aussehen:

iptables -A INPUT -p UDP -i $INTERFACE_INT -s PHYS_CLIENT0_IP -d $INTERFACE_INT_IP --sport $OPENVPN0_PORT --dport $OPENVPN0_PORT - j ACCEPT
ipatbles -A OUTPUT -p UDP -o $INTERFACE_INT -s $INTERFACE_INT_IP -d PHYS_CLIENT0_IP --sport $OPENVPN0_PORT --dport $OPENVPN0_PORT -j ACCEPT

Die Bedeutungen
INTERFACE_INT: die physikalische Schnittstelle über die die verschlüsselten VPN-Pakete hereinkommen. Hier dient der Tunnel zum Absichern eines WLAN und schirmt die Adresse nach innen ab, stellt also das Interface ethx dar über das mein Router mit dem Accespoint verbunden ist. Bei einem VPN über das Internet mußt du wahrscheinlich ppp0 einsetzen
INTERFACE_INT_IP: die IP-Adresse die mit INTERFACE_INT verbunden ist.
PHYS_CLIENT0_IP: Die IP-Adresse über die ein Client die openvpn Verbindung öffnet, bei mir also die ip, die mit der wireless Karte verbunden ist.
OPENVPN0_PORT: Der UDP Port über die die VPN-Verbindung getunnelt wird, z.b. 5000

Diese Regel kann ich gleich mehrfach aufsetzen (mit OPENVPN1_PORT/PHYS_CLIENT1_IP, OPENVPN2_PORT/PHYS_CLIENT2_IP und so jede VPN-Verbindung einzeln ein und ausschalten ohne die anderen zu stören.

Ich hoffe ich konnte helfen

mfg
gaw

 

[balubaer]

vielen dank für die antwort.
das mit den iptables muß ich mir genauer anschauen; allerdings erst wenn´s richtig funktioniert. momentan sind iptables nicht aktiviert.

hier der versuch der netzwerkskizze:

client via ISDN ===> Router mit dyndns =============> SuSE 9.0
IP vom Prov..............IP vom Prov. / intern 192.168.1.1.......... eth0 mit 192.168.1.99
.......................................................255.255.255.0.................255.255.255.0
tap0 = 192.168.3.1................................................................tap0 mit 192.168.3.2 netmask 255.255.255.252.

Port 5000 wird auch ordnungsgemäß vom router zum vpn server weitergeleitet.
ping 192.168.3.2 ist möglich.
wie müßte die route auf dem server aussehen bzw. was für ein route befehl müßte ich angeben ?

gruß

balubaer

 

[gaw]

Wenn dein ping funktioniert ist der Tunnel auch aufgebaut, Glückwunsch.

Um nun auf den Router einkommende Pakete auf andere Zielrechner weiterleiten, nehmen wir an an das Netz IP 192.168.8.0/24 müsstes du etwas in der Art probieren:

route add 192.168.8.0 netmask 255.255.255.0 interface


interface ist dabei die Schnittstelle zum Netz 192.168.8.0 zum Beispiel eth0, eth1 eth2 oder irgendetwas anderes, so genau kenne ich dein Netz nicht.

wenn du route ohne Parameter aufrufst müsste so eine ähnliche Zeile mit dabei sein:

192.168.8.0 * 255.255.255.0 U 0 0 0 interface

wobei interface wieder eth1, eth2 usw. oder eube andere Schnittstelle sein kann.

Das ist natürlich nur zum testen, später kannts du das mit yast oder in der Datei /etc/sysconfig/network/routes entsprechend eintragen

Ebenso müsste ein Eintrag vorhanden sein, der Pakete mit der IP 192.168.3.0 nach tap0 schickt aber das geschieht standradmäßig, aber eine Kontrolle ist besser.

Und dann mit ping austesten.

Du kannst natürlich erst einmal schauen ob der Tunnel auch ordungsgemäss verschlüsselt. Setz einen Apache oder Webmin auf der SuSE 9.0 Box auf und binde ihn an die Adresse 192.168.3.2 (Bei Webmin kannst du das irgendwo im Menü einstellen, bei Apache in der http.conf). Mit ethereal auf der Linux-Box sieht du dann die Originalpakete wenn du das capture an tap0 bindest und die verschlüsselten Pakete wenn du an eth0 lauscht.

Wenn du dann alles am Laufen hast kommt der Teil mit dem Absichern, da hat das Scripten mit iptables einen Vorteil, du kannst jede Regel auspropieren und so Stück für Stück eine maßangefertigte Firewall kreiieren. Nach jeder neuen Regel solltest du die Funktion testen, dann sind Bugs schneller auffindbar.

Wie gesagt, Im Prinzip läuft dein Tunnel schon und der Rest ist ein wenig tüffteln

mfg
gaw

 

[balubaer]

das ist richtig. der tunnel wird aufgebaut und ich kann die virt. adressen 192.168.3.1 und 2 pingen. vom client kommt auch der ping 192.168.1.15 auf dem tap0 an; (tcpdump -i tap0) allerdings wird nichts zurückgeschickt.
verschlüsselung funktioniert soweit wohl auch (getestet mit spez. ping der zeichen enthält)
mit dem route add kommando habe ich auf dem server schon herumexperimentiert; komme aber auf keinen grünen zweig.
route add -net 192.168.3.0 netmask 255.255.255.0 gw 192.168.3.1 (=client) dev tap0
das wäre für mich logisch. allerdings funktioniert es nicht. :-(

schade, da es ja eigentlich funktioniert.
hat jemand alternativen zu openvpn ?

gruß

balubaer

 

[gaw]

Ping antwortet nicht? Dann ist der Tunnel vielleicht doch noch nicht korrekt aufgebaut, irgendetwas stimmt auf jeden Fall nicht. Vielleicht ist auf der SuSE eine Firewall aktiv und der ICMP-Verkehr wird erst gar nicht rausgelassen?

mfG
gaw

Den Sinn deines Routingbefehls verstehe ich nicht.

 

[dspayre]

Ich hatte auch so einproblem. bei mir wars die suse-firewall. nachdem ich mit webmin den udp-port 5000 als offen geschlüsselt hatte lief auch der ping (einfach mal firewall aus und testen). allerdings kann ich das nicht dauerhaft einstellen, bei jedem neustart wird die webmin-einstellung überschrieben.