OpenVPN, ich versteh es nicht... -.-

[pollux12]

Hallo, ich weiss nicht ob das ganze hierhin passt, aber ich hab leider ein kleines Problem mit OpenVPN.

Ich hab einen OpenVPn Server auf mein FreeBSD 8.2 installiert, Zertifikate etc. erstellt alles eingestellt so wie ichs haben möchte.. (nach diesem tut: http://www.pronix.de/pronix-935.html)

Dann habe ich den OpenVPN Client auf meinem Windows7 installiert, die benötigten dateien in den config Ordner kopiert die Config überarbeitet und habe versucht zu connecten..

Allerdings connected er nicht, ich erhalte aber keine WARNINGs mehr.. Bzw was ich so sehen kann versteh ich nicht wirklich^^
Das finde ich etwas seltsam... Ich habe jetzt 2 Tage damit gespielt und habe es einfach nicht hinbekommen..

Währe nice wenn mir so schnell wie möglich jemand helfen könnte, da ich morgen früh in Urlaub fahre und das bis dahin am laufen haben sollte..

MfG pollux12

PS.: Die Configs sind natürlich im Anhang sowie die Fehlermeldung (auf verb 5).
--------------------------------------------------------------------------------------------------------------------------------

€dit: Mittlerweile startet OpenVPN erst garnichtmehr, obwohl ich das in der rc.d eingestellt habe, dass es beim booten starten soll..
Und mein eingebautes Script macht es auch irgendwie nicht mehr... (alles aus der Anleitung oben entnommen)

 

[Crest]

Erstens FreeBSD 8.2 ist EOL.
Zweitens könntest du bitte die Logs beider Seiten mit synchronisierten Uhren pasten.

 

[Frank]

Guck mal hier:
http://openvpn.net/index.php/open-source/documentation/howto.html
denn Dein pronix Link ist schon ziemlich alt....


Die Route die Du pushst (server-conf) scheint nicht zu stimmen.
Aber das allein ist es nicht...

 

[pollux12]

Ich hab eventuell ein Problem gefunden... Wie öffne ich denn in der Firewall einen Port? (also unter Freebsd^^)

 

[Frank]

Schalte sie erstmal ganz aus um zu gucken ob es dann geht.
Welche nutzt Du denn?

Schon mal hier geguckt
http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/firewalls.html

 

[cla]

Ich weiß nicht ob du es schon berücksichtigt hast, aber hast du dran gedacht den OpenVPN Client unter Windows mit Administrationsrechten zu starten?
Wenn du das nämlich nicht tust, scheint alles zu funktionieren, aber der Client kann am Ende die Netzwerkroute nicht eintragen...was dazu führt, das keine Packete durchkommen und es so aussieht, als wenn die Firewall es blockt, obwohl sie gar nix dafür kann.

Im Logfile vom Client solltest du entsprechende Fehlermeldung bzgl. der Route sehen können.

 

[Frank]

Hoffe Du hast es noch ans Laufen gebracht.
Schönen Urlaub

 

[pollux12]

Ich weiß nicht ob du es schon berücksichtigt hast, aber hast du dran gedacht den OpenVPN Client unter Windows mit Administrationsrechten zu starten?
Wenn du das nämlich nicht tust, scheint alles zu funktionieren, aber der Client kann am Ende die Netzwerkroute nicht eintragen...was dazu führt, das keine Packete durchkommen und es so aussieht, als wenn die Firewall es blockt, obwohl sie gar nix dafür kann.

Ja habe ich, als nicht-admin kann ich es nichtmal ausführen

Schalte sie erstmal ganz aus um zu gucken ob es dann geht.
Welche nutzt Du denn?

Hab ich dann im endeffekt auch erstmal getan, hat aber nicht funktioniert..
Und welche das FreeBSD drauf hat weiss ich leider nicht genau.. :/

Hoffe Du hast es noch ans Laufen gebracht.
Schönen Urlaub

Dank dir, aber bin jetzt doch jeden Abend wenigstens zuhause, also kann ich da noch etwas rumprobieren..

Zweitens könntest du bitte die Logs beider Seiten mit synchronisierten Uhren pasten.

Kann ich machen, sobald ich die gecleart habe und dann beides einmal gestartet habe

 

[BoS]

OpenVPN

in der Server Config fehlen einige Pareter oder sind falsch - deshalb startet der Server nicht mehr

Ich habe hier einige Varianten am laufen FBSD 8.1/XP FBSD 8.2/XP FBSD 9.0/WIN7

Sie funktionieren alle ohne Probleme.
nach einigen Testen und Hilfe entstand diese Client conf:

-----------snip client win 7----------------------------------
client
float
dev tun
proto udp
tun-mtu 1500
fragment 1300
mssfix
resolv-retry infinite
nobind
cipher AES-256-CBC
auth sha512
persist-key
persist-tun
comp-lzo yes
verb 3
mute 20
ns-cert-type server
route-method exe
route-delay 2
ifconfig 10.1.8.2 10.1.8.1
redirect-gateway
tls-client
pull
tls-auth ta.key 1

---- snip win7 end --------------------------------------------------

cu,
BoS

 

[pollux12]

-----------snip client win 7----------------------------------
client
float
dev tun
proto udp
tun-mtu 1500
fragment 1300
mssfix
resolv-retry infinite
nobind
cipher AES-256-CBC
auth sha512
persist-key
persist-tun
comp-lzo yes
verb 3
mute 20
ns-cert-type server
route-method exe
route-delay 2
ifconfig 10.1.8.2 10.1.8.1
redirect-gateway
tls-client
pull
tls-auth ta.key 1

---- snip win7 end --------------------------------------------------

d.h. ich muss die beiden configs quasi gleich haben nur halt das für server extra in der server.conf und das für den client in der client.conf?

und dann nochwas: wofür steht tls-auth? bzw ich hab keinen ta.key...

€dit: Danke für die config, werde die dann spätestens donnerstag mal testen.

 

[BoS]

d.h. ich muss die beiden configs quasi gleich haben nur halt das für server extra in der server.conf und das für den client in der client.conf?

und dann nochwas: wofür steht tls-auth? bzw ich hab keinen ta.key...

€dit: Danke für die config, werde die dann spätestens donnerstag mal testen.

nein, nur für den Client - zum Server hab ich atm keine connect - maintenance service

sobald ich ran komme, poste ich den Rest

<UPDATE> hier die Erklärung ta.key:
DoS Attacken verhindern

Dies bedarf einer verteilten TLS-Authentifikations-Datei. Diese kann auf einem Rechner mit dem folgenden Befehl erzeugt werden

openvpn --genkey --secret ta.key

und muss dann sowohl auf Server als auch auf allen Clients präsent sein.

Am Server und Client wird der Schutz in die Konfigurationsdatei durch folgende Zeile aktiviert:

tls-auth ta.key

Als zweiter Parameter kann eine Richtung angegeben werden (z.B. 0 auf dem Server und 1 auf den Clients), ist jedoch nicht erforderlich.

Achtung: Diese zusätzliche Authentifizierung bietet keinen zusätzlichen Verschlüsselungsschutz, sondern signiert lediglich alle TLS Pakete. Dadurch kann der Server schon vor dem Handshake einen unberechtigten Client erkennen und die Verbindung beenden. Es dient daher lediglich als eine Art Firewall.
</UPDATE>

BoS

 

[BoS]

hier ein Link:

http://openvpn.net/index.php/open-source/documentation/howto.html#examples

kommentiere mal folgendes aus: push route ... auf dem Server

und bitte neu starten

<UPDATE>
DIe o.g. Client conf erhebt keinen Anspruch auf Perfektion oder Fehlerfreiheit, sie ist halt nur funktional. WIrd noch ein Fehler entdeckt, bitte hierein posten.
>/UPDATE>

BoS

 

[pollux12]

Problem Solved

Vielen vielen dank für die Ratschläge und Hilfen, aber ich habe das Problem mittlerweile
selbst gelöst

Ich habe mir ein anderes Tutorial genommen, es nach diesem gemacht und nun geht es intern, wie übers handyinternet, wie bei meinen Kollegen aus

Für alle, die ähnliche Probleme haben, hier der Link zum Tutorial
http://wowtutorial.org/node/347

Nochmals vielen Dank für eure Mühe
MfG
pollux12