Vpn?

  • Ersteller pfannkuchen2001
  • Erstellt am
pfannkuchen2001

pfannkuchen2001

Aktives Mitglied
Thread Starter
Dabei seit
17.02.2006
Beiträge
2.600
Reaktionspunkte
48
Hallo,

hat jemand von euch ein VPN (mit openVPN) zwischen einem Mac (Client) und einem Ubunturechner (Server)???
(also Vpnserver im zu-haus-lan, und den mac von irgendwo aus dem internet dazu;))
wenn ja, dann biiiiitte postet mal die Configfiles.

ich verzweifle Langsam... (kann leider grad mein Configs nicht zeigen, da ich grad meinen Server zerschossen hab.... (wie auch immer?!?!)

Hannes
 
Wo hakt es denn?
Fehler-Logs?
 
wenn ich versuche mein ibook über airport und vpn an einem cisco anmelde segelt die verbindung nach maximal einer Minute ab. Ich denke das ist normal, mach dir also keine sorgen...
 
Warum nimmst du nicht den eingebauten VPN-Client vom 10.4?
 
Hier meine Configfiles, obwohl sie wohl nur als Anhaltspunkt dienen dürften, bei mir dient der VPN-Server als Gateway ins Internet, damit VoIP auch über UMTS funktioniert ;-)
Habe es gerade heute aufgesetzt, das Problem bei mir war aber eigentlich nur das NAT mit iptables, woran ich bestimmt 20 min. gesessen habe...

Server:
Code: 
port 443

proto tcp-server
mode server
tls-server

dev tap

ifconfig 10.0.0.1 255.255.255.0
ifconfig-pool 10.0.0.2 10.0.0.253
ifconfig-pool-persist ipp.txt

tun-mtu 1492
mssfix

ca certs/vpn-ca.pem
cert certs/servercert.pem
key certs/serverkey.pem
dh certs/dh1024.pem

keepalive 10 120

auth SHA1

comp-lzo

user nobody
group nogroup

persist-key
persist-tun

verb 3

push "route-gateway 10.0.0.1"
push "redirect-gateway def1"
push "dhcp-option DNS 217.20.116.1"
push "dhcp-option DNS 217.20.115.1"

Client:
Code: 
client 
float 
dev tap 

tun-mtu 1400 
mssfix 

proto tcp

remote cicero.xxx.de 443 

tls-remote cicero.xxx.de

ca vpn-ca.pem
cert ovid_cert.pem
key ovid_key.pem

auth SHA1
nobind 
comp-lzo 
persist-key 
persist-tun 
verb 3
 
hansmaulwurf schrieb:
wenn ich versuche mein ibook über airport und vpn an einem cisco anmelde segelt die verbindung nach maximal einer Minute ab. Ich denke das ist normal, mach dir also keine sorgen...
Zum Vergrößern anklicken....

Das ist nicht normal...
 
derlud schrieb:
Wo hakt es denn?
Fehler-Logs?
Zum Vergrößern anklicken....
Fehler-logs? --> naja im Moment gibt garkeine Logs, denn ich hab wiegesagt meinen server getötet... ich schaff es aber erst am wochenende, da mal reinzugucken... (hab grad keinen monitor hier, und per ssh komm ich auch irgendwie nichtmehr drauf.... naja)

jkm schrieb:
Hier meine Configfiles, obwohl sie wohl nur als Anhaltspunkt dienen dürften, bei mir dient der VPN-Server als Gateway ins Internet, damit VoIP auch über UMTS funktioniert ;-)
Habe es gerade heute aufgesetzt, das Problem bei mir war aber eigentlich nur das NAT mit iptables, woran ich bestimmt 20 min. gesessen habe...

Server:
Code: 
port 443

proto tcp-server
mode server
tls-server

dev tap

ifconfig 10.0.0.1 255.255.255.0
ifconfig-pool 10.0.0.2 10.0.0.253
ifconfig-pool-persist ipp.txt

tun-mtu 1492
mssfix

ca certs/vpn-ca.pem
cert certs/servercert.pem
key certs/serverkey.pem
dh certs/dh1024.pem

keepalive 10 120

auth SHA1

comp-lzo

user nobody
group nogroup

persist-key
persist-tun

verb 3

push "route-gateway 10.0.0.1"
push "redirect-gateway def1"
push "dhcp-option DNS 217.20.116.1"
push "dhcp-option DNS 217.20.115.1"

Client:
Code: 
client 
float 
dev tap 

tun-mtu 1400 
mssfix 

proto tcp

remote cicero.xxx.de 443 

tls-remote cicero.xxx.de

ca vpn-ca.pem
cert ovid_cert.pem
key ovid_key.pem

auth SHA1
nobind 
comp-lzo 
persist-key 
persist-tun 
verb 3
Zum Vergrößern anklicken....

vielen dank, ich werde mich am wochenende mal ransetzen und ein bischen basteln....

Hannes
 
In der vorletzten c't gabs eine relativ ausführliche Beschreibung zu OpenVPN auf dem Mac...
 
jkm schrieb:
Hier meine Configfiles, obwohl sie wohl nur als Anhaltspunkt dienen dürften, bei mir dient der VPN-Server als Gateway ins Internet, damit VoIP auch über UMTS funktioniert ;-)
Habe es gerade heute aufgesetzt, das Problem bei mir war aber eigentlich nur das NAT mit iptables, woran ich bestimmt 20 min. gesessen habe...

Server:
Code: 
port 443

proto tcp-server
mode server
tls-server   # was ist das?

dev tap  # ich hab aber in meinem mac in /dev nur tun - devices, schlimm?

ifconfig 10.0.0.1 255.255.255.0 #gibt die ip vom server an?
ifconfig-pool 10.0.0.2 10.0.0.253 # dhcp für clients?
ifconfig-pool-persist ipp.txt # brauch ich das?

tun-mtu 1492
mssfix  # was fixt das?

ca certs/vpn-ca.pem
cert certs/servercert.pem
key certs/serverkey.pem
dh certs/dh1024.pem

keepalive 10 120

auth SHA1 # brauch ich das?

comp-lzo

user nobody
group nogroup

persist-key # hm?
persist-tun #hm?

verb 3

push "route-gateway 10.0.0.1"  #den traffic der clients an 10.0.0.1 weiterleiten?
push "redirect-gateway def1" # was soll das def1???
push "dhcp-option DNS 217.20.116.1" was ist das für eine ip? und wofür? brauch ich das?
push "dhcp-option DNS 217.20.115.1"
# genau das gleiche...

Client:
Code: 
client 
float #was macht float?
dev tap # wiegesagt, ich hab auf dem mac nur tun0 bis tun15.... schlimm?

tun-mtu 1400 
mssfix # ???

proto tcp

remote cicero.xxx.de 443 # meinen dyndns name...? 

tls-remote cicero.xxx.de # da auch, was macht aber tls-remote?

ca vpn-ca.pem
cert ovid_cert.pem
key ovid_key.pem

auth SHA1
nobind # was soll das?
comp-lzo #komprimieren?
persist-key #???
persist-tun # ???
verb 3
Zum Vergrößern anklicken....

also, ich hab mal einige fragen zu den einzelnen Zeilen reingeschrieben.
bitte erklärt mir das jemand??! ;)

Hannes
 
Ich helfe Dir gerne, wenn Du nicht mehr weiter weißt. Aber alle Deine Fragen werden in der Dokumentation beantwortet (http://openvpn.net/man.html).
 
jkm schrieb:
Ich helfe Dir gerne, wenn Du nicht mehr weiter weißt. Aber alle Deine Fragen werden in der Dokumentation beantwortet (http://openvpn.net/man.html).
Zum Vergrößern anklicken....

ja, du hast ja ercht;)

aber nun hab ich wirklich eine Frage:

ich habe jetzt nochmal von forn angefangen:
die serverconfig:
Code: 
# Port Standartport 1194
port 1194

crl-verify /etc/ssl/crl.pem

# TCP oder UDP?
proto udp
mode server
tls-server

dev tun

#Unsere Server IP
ifconfig 10.10.10.1 255.255.255.255

#Server IP Adresse (Adressbereich. in dem Fall alles von 10.10.10.0)
server 10.10.10.0 255.255.255.0
                                             
#Wo liegen unsere Zertifikate
ca ./easy-rsa2/keys/ca.crt
cert ./easy-rsa2/keys/server.crt
key ./easy-rsa2/keys/server.key    # Diese Datei geheim halten.
dh ./easy-rsa2/keys/dh2048.pem     # Diffie-Hellman-Parameter

#Die Selbe IP in der nchsten Sitzung vergeben
ifconfig-pool-persist ipp.txt

#IPs in den IP Tables eintragen, DNS neu vergeben und
#er Den Server das Routing machen, dass man z.B.
#er den Tunnel auf ein lokaes Intranet zuzugreifen
push "route 10.0.0.0 255.0.0.0"
push "dhcp-option DNS 192.168.2.xyz"
push "redirect-gateway"
push "route 0.0.0.0 0.0.0.0"

#Authentifizierungsmethode
auth SHA1

#Verschlsselungs Algorithmus
cipher aes-256-cbc

#Benutze Komprimierung
comp-lzo

#Setzt die Rechte
user nobody
group nogroup

#Wird wegen user nobody/group nobody bent.
persist-key
persist-tun

#Logging 0, (Zum testen:5)
verb 7

ich kann auf jeden fall schonmal den server starten. da kommt kein error.
und nun zu der client config:
Code: 
#Festlegen als was fungiert wird
tls-client
pull

# Methode festlegen tun oder tap
dev tun

# Protokoll auswaehlen udp oder tcp
proto udp

# IP/Name und Port des Servers
remote jf6c.dyndns.org 1194

# Auflösen des Hostnames des Servers (wegen nicht permanent mit dem Internet verbundenen Rechnern)
resolv-retry infinite

# Lacalen Port festlegen oder freigeben
nobind


# Verbindung immer gleich halten
persist-key
persist-tun

#zu verwendende Zertifikate und Schlüssel
ca /Users/hannes/Library/openvpn/keys/ca.crt
cert /Users/hannes/Library/openvpn/keys/client01.crt
key /Users/hannes/Library/openvpn/keys/client01.key

# Verschlüsselung
cipher AES-256-CBC

# Komprimiernug
comp-lzo

# Authentifizierungsmethode
auth SHA1

# "Gesprächigkeit" des Tunnels
verb 5

# Silence repeating messages
mute 20

da bekomm ich leider nichteinmal ein error von tunnelblick.
es passiert einfach garnichts!
NIX!

ist da ein blöder fehler drin?!?!
...versteh ich nicht.



Hannes

PS.: ein, es passiert incht einfach nichts, sondern Tunnelblick schließt einfach ohne was zu sagen. bums, einfach zu?!?!
 
Ich habe mich beim ersten Start von Tunnelblick auch gewundert, das Programm öffnet sich nicht wie "normale" Programme, sondern fügt rechts oben einen Eintrag in der Menüleiste hinzu. Dort kannst Du auf Details klicken und im neu geöffneten Fenster auf Connect. Dann müßte auf jeden Fall eine Ausgabe kommen.
 
das ist mir schon klar...

aber da kommt einfach keine ausgabe. wenn einmal auf connect klicke, dann passiert einfach nichts.
wenn ich das 2. mal connecte, dann schießt das Programm:
hier die ausgabe /Users/.../Library/Logs/tunnelblick.crash.log:
http://tinyurl.com/2m6mjl
Zum Vergrößern anklicken....
 
Mmh, der crash.log ist denke ich egal, Tunnelblick stürzt auch bei mir ab und zu ab, wenn ich mehrere Verbindungen nacheinander starte. Aber daß da keine Ausgabe kommt...

Um auszuschließen, daß es an Tunnelblick liegt, connecte mal direkt mit openvpn:

Code: 
sudo /Applications/Tunnelblick.app/Contents/Resources/openvpn --config /Users/hannes/Library/openvpn/openvpn.conf
 
also wenn ich eintippe, was du meintest:

MB:~ hannes$ sudo /Applications/Tunnelblick.app/Contents/Resources/openvpn --config /Users/hannes/Library/openvpn/jf6c.conf
Options error: Unrecognized option or missing parameter(s) in /Users/hannes/Library/openvpn/jf6c.conf:2: ent (2.0.5)
Use --help for more information.
MB:~ hannes$
Zum Vergrößern anklicken....

wat ist denn da jetzt schonwieder falsch?!?
 
achso, nun sagt die Console aber, wenn ich tunnelblick starte was interesanntes:

2007-05-15 14:55:08.618 Tunnelblick[4354] Animation initialised
2007-05-15 14:55:25.628 Tunnelblick[4354] File /Users/hannes/Library/openvpn/jf6c.conf has permissions: 644, is owned by 501 and needs repair...
May 15 14:55:29 MB authexec: executing /bin/chmod
2007-05-15 14:55:29.763 Tunnelblick[4354] File /Users/hannes/Library/openvpn/jf6c.conf has permissions: 644, is owned by 501 and needs repair...
May 15 14:55:29 MB authexec: executing /usr/sbin/chown
kextload: extension /Applications/Tunnelblick.app/Contents/Resources/tap.kext is already loaded
kextload: extension /Applications/Tunnelblick.app/Contents/Resources/tun.kext is already loaded
May 15 14:55:31 MB openvpn[4557]: Options error: Unrecognized option or missing parameter(s) in /Users/hannes/Library/openvpn/jf6c.conf:2: nern) (2.0.5)
2007-05-15 14:55:31.071 Tunnelblick[4354] Starting Animation
signal 10 caught!
Received fatal signal. Cleaning up...
May 15 14:55:31 MB crashdump[4558]: Tunnelblick crashed
May 15 14:55:31 MB crashdump[4558]: crash report written to: /Users/hannes/Library/Logs/CrashReporter/Tunnelblick.crash.log
Zum Vergrößern anklicken....
 
..
2007-05-15 14:55:29.763 Tunnelblick[4354] File /Users/hannes/Library/openvpn/jf6c.conf has permissions: 644, is owned by 501 and needs repair...
Zum Vergrößern anklicken....

finde ich nicht... ...sagt mir das nicht, das da die permissions nicht stimmen?!

achso, und wenn ich nur client reinschreibe, dann passiert genau das gleiche, nur das er dann an irgendeiner anderen stelle sinnlos rummeckert...
May 15 15:28:57 MB openvpn[10737]: Options error: Unrecognized option or missing parameter(s) in /Users/hannes/Library/openvpn/jf6c.conf:3: ys/client01.crt (2.0.5)
Zum Vergrößern anklicken....
... vollkommener blödsinn!!
 
Zuletzt bearbeitet:
Eigentlich wollte ich mich hier nicht mehr zu Wort melden; aber da ich mich in letzter Zeit etwas ausgiebiger mit OpenVPN beschäftigt habe (zwar nur unter Linux und Windows, sollte aber egal sein), kann ich vielleicht etwas sinnvolles beitragen:

pfannkuchen2001 schrieb:
die serverconfig:
Code: 
# Port Standartport 1194
port 1194

crl-verify /etc/ssl/crl.pem
Zum Vergrößern anklicken....
Lass das "crl-verify" mal weg, sofern das nicht etwas OSX-erforderliches ist (habe den c't-Artikel leider noch nicht gelesen)


pfannkuchen2001 schrieb:
Code: 
# TCP oder UDP?
proto udp
mode server
tls-server
Zum Vergrößern anklicken....
"mode tls-server" sollte die letzten beiden Zeilen ersetzen können, aber einzeln gehts m.W. auch.


pfannkuchen2001 schrieb:
Code: 
dev tun

#Unsere Server IP
ifconfig 10.10.10.1 255.255.255.255

#Server IP Adresse (Adressbereich. in dem Fall alles von 10.10.10.0)
server 10.10.10.0 255.255.255.0
Zum Vergrößern anklicken....
Bin mir jetzt aus dem Stegreif nicht völlig sicher:
Möchtest Du eine Multiclient-Server-Architektur, oder einfach nur einen Kanal zwischen zwei Rechnern (Ubuntu-Server, OSX-Client)?
Falls letzteres, dann nimm lieber
"ifconfig 10.10.10.1 10.10.10.2" (auf dem Server)
und analog auf dem Client
"ifconfig 10.10.10.2 10.10.10.1"
Die Direktive "server 10.10.10.0 255.255.255.0" ganz streichen.

#Wo liegen unsere Zertifikate
ca ./easy-rsa2/keys/ca.crt
cert ./easy-rsa2/keys/server.crt
key ./easy-rsa2/keys/server.key # Diese Datei geheim halten.
dh ./easy-rsa2/keys/dh2048.pem # Diffie-Hellman-Parameter

pfannkuchen2001 schrieb:
Code: 
#Die Selbe IP in der nchsten Sitzung vergeben
ifconfig-pool-persist ipp.txt
Zum Vergrößern anklicken....
Wenn Du es wie oben vorgeschlagen abänderst und nur zwei Rechner verbindest, dann brauchst Du das nicht. Ich würde aber in beide Konfigurationen die Direktive "float" einbauen.


pfannkuchen2001 schrieb:
Code: 
#IPs in den IP Tables eintragen, DNS neu vergeben und
#er Den Server das Routing machen, dass man z.B.
#er den Tunnel auf ein lokaes Intranet zuzugreifen
push "route 10.0.0.0 255.0.0.0"
push "dhcp-option DNS 192.168.2.xyz"
push "redirect-gateway"
push "route 0.0.0.0 0.0.0.0"
Zum Vergrößern anklicken....
Aus dem Stegreif weiß ich auch dazu nicht alles; Du willst offenbar auf Dein internes Netz zugreifen, in dem der Ubuntu-Server ebenfalls hängt? Falls ja, ist es IMO etwas ungeschickt, dafür das Netz 10.0.0.0/8 zu verwenden.


pfannkuchen2001 schrieb:
ich kann auf jeden fall schonmal den server starten. da kommt kein error.
und nun zu der client config:
Code: 
#Festlegen als was fungiert wird
tls-client
pull

# Methode festlegen tun oder tap
dev tun

# Protokoll auswaehlen udp oder tcp
proto udp

# IP/Name und Port des Servers
remote jf6c.dyndns.org 1194

# Auflösen des Hostnames des Servers (wegen nicht permanent mit dem Internet verbundenen Rechnern)
resolv-retry infinite

# Lacalen Port festlegen oder freigeben
nobind
Zum Vergrößern anklicken....
Warum "nobind"? I.d.R. sollte es auch auf dem Client keine Probleme mit einem festgelegten Port geben?

pfannkuchen2001 schrieb:
Code: 
# Verbindung immer gleich halten
persist-key
persist-tun

#zu verwendende Zertifikate und Schlüssel
ca /Users/hannes/Library/openvpn/keys/ca.crt
cert /Users/hannes/Library/openvpn/keys/client01.crt
key /Users/hannes/Library/openvpn/keys/client01.key

# Verschlüsselung
cipher AES-256-CBC

# Komprimiernug
comp-lzo

# Authentifizierungsmethode
auth SHA1

# "Gesprächigkeit" des Tunnels
verb 5

# Silence repeating messages
mute 20
Zum Vergrößern anklicken....

Die doofe Frage:
Hast Du es schonmal im LAN probiert? Port-Forwarding eingerichtet?

Falls gewünscht, kann ich eine bei mir funktionierende (Linux&Windows) Konfiguration angeben, die Du mal testen kannst.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben Unten