Verbindung zum OpenVPN Server und in das Internet paralell

[Chicago Whistle]

Hallo!

In diesem Thread soll es um die Client Konfiguration zum

- Zugriff auf einen openVPN Server und die
- gleichzeitige Nutzung einer direkten Internetverbindung gehen.

Dazu wird ein openVPN Server — in diesem Fall eine Fritz!Box Fon 5050 — und ein VPN Client für MacOSX namens Tunnelblick eingesetzt.

Die Server und Client Konfiguration ist sehr einfach und Tunnelblick meldet eine bestehende Verbindung.

Meine Fragen dazu kommen jetzt:
Wie kann man dem Client erklären, für welche Verbindungen er auf die VPN-Verbindung zugreifen und für welche er eine direkte Verbindung in das Internet nehmen soll.

Über die VPN Verbindung soll ein LAN erreicht werden. In dem LAN sollen smb Freigaben, freigegebene Drucker und das iTunes Sharing genutzt werden.

Falls da jemand weiter weiß, oder welche Hebel dafür überhaupt zuständig sind, wäre ich für Tips sehr dankbar.

Grüße,
Chicago Whistle.

edit: der Zugriff auf smb ist auch hier bei openVPN beschrieben.

Schritt oder Frage 1 wäre jetzt, wie man die direkte Internetverbindung weiter nutzt, wenn die VPN Verbindung steht.

edit2: eigentlich sollte das gewünschte Verhalten sowieso schon genauso laufen, wenn VPN läuft. Aber wieso verliert dann Adium die Verbindung, sobald die Verbindung steht?

 

[BalkonSurfer]

Ist das nicht routing? Also dem Rechner sagen, das Netz x kannst Du über Router y erreichen?

"route" im Terminal evtl

 

[maceis]

Ich beschäftige mich auch gerade mit dem Thema, bin aber noch am Einlesen.

Was mir bei Deiner Frage nicht ganz klar ist:
Wo sind die beiden Tunnel Endpunkte?
Wie viele Rechner sind beteiliegt und wo stehen die (in Bezug auf das Internet)?

Ich denke aber, dass BalkonSurfer im Prinzip Recht hat. Es scheint ein Routing Problem zu sein. Man müsste aber mehr über Deine Netzwerkumgebung wissen, um konkrete Tipps geben zu können.

 

[Chicago Whistle]

Der Aufbau ist so:

Fritz!Box Fon 5050
hängt als Router am Internet und fungiert als DHCP Server für das LAN, auf der Fritz!Box läuft der VPN Server

Mac mit 10.3.9 im LAN bietet diverse Dienste an. (smb, Drucker, itunes)

Rechner aus dem Internet verbindet sich über openVPN mit der Box.

Der Aufbau funktioniert auch, Tunnelblick ist in diesem Fall der openVPN Client und meint, die Verbindung wäre da (und Adium verliert dann die Verbindung).

Es geht auch, sich aus dem LAN mit dem VPN Server zu verbinden, (da wir kein WLAN haben macht das aber wohl wenig Sinn).

Ich kann jetzt leider gerade nichts pingen oder sonstwie testen, müßte erst nochmal den Kollegen am Client wieder am Start haben.

Laut dem openVPN Howto sollte die Verbindung für den Client eigentlich out of the box hinhauen, also er sollte wissen, wann er die VPN Verbindung und wann er seine eigene direkte Internetverbindung (in diesem Fall eine PPPoE-Verbindung zu einem Breitbandmodem) wählen soll.

Um das LAN über VPN erreichbar zu machen, muß man noch was an der Fritz!Box schrauben, ich muß mir das auch nochmal in Ruhe zu Gemüte führen. Allerdings habe ich noch nie irgendwie eine Route gesetzt und wüßte auch nicht wo, aber ich glaube auch für mein gesundes Halbwissen ist da noch etwas Handlungsspielraum.

Ich habe das vor einiger Zeit erstmal sein gelassen, aber jetzt wo ich sehe, daß hier noch mehr Leute mit VPN was machen, sollte es eigentlich nicht mehr viel sein.

Jetzt erstmal die Server Konfiguration wiederfinden…

 

[Chicago Whistle]

Konfiguration

okeldidokeldi.

um ein hinter dem VPN Server liegendens LAN zu erreichen geht man so vor: openVPN Scope Howto

die mit the-contruct.com erstellte server.openvpn hat jetzt bereits den Eintrag

push "route 10.0.0.0 255.255.255.0"

. Ist das das DHCP äquivalent zu dem bei openVPN erwähnten

push "route 10.66.0.0 255.255.255.0"

?

Die ganze server.openvpn liest sich so:

dev tun0
dev-node /dev/misc/net/tun
ifconfig 10.0.0.2 10.0.0.1
secret /var/tmp/secret.key
proto tcp-server
port 1194
tun-mtu 1500
float
keepalive 10 60
verb 4
mssfix
route 10.0.0.0 255.255.255.0
push "route 10.0.0.0 255.255.255.0"
daemon

Die Client Konfiguration (für Tunnelblick) sieht so aus:

ifconfig 10.0.0.1 10.0.0.2
remote name.dyndns.org
secret /Users/ich/Krempel/openVPN/secret.key
dev tun0
proto tcp-client
port 1194
ping 15
ping-restart 300 # 5 minutes
resolv-retry 300 # 5 minutes
#resolv-retry infinite
tun-mtu 1500
mssfix
persist-tun
persist-key
verb 4
route 10.0.0.0 255.255.255.0
push "route 10.0.0.0 255.255.255.0"
push "dhcp-option DNS 10.0.0.1"
route-gateway 10.0.0.1
redirect-gateway

Mit dieser (bis auf die dyndns Adresse) nicht weiter von mir abgepassten Konfiguration lief es das letzt mal. Ich wollte mich jetzt mal spaßeshalber übers LAN mit dem VPNServer verbinden, das ging das letzte mal auch, heute bleibt Tunnelblick bei ADD_ROUTES kleben.

Hm, vielleicht ist das der Zustand, in dem der übers Internet zu verbindende Rechner das letzte mal auch stehengeblieben ist, es hat bloß keiner gemerkt, denn die Internetverbindung wird so auch beeinflußt:

Der Browser bekommt keine Seiten mehr aufgerufen. Ping und Traceroute auf die in der Konfiguration angegebene dyndns Adresse laufen durch, ein Ping auf web.de funktioniert nicht mehr, sobald ich mit Tunnelblick verbinden will.

#######

edit: Ja es ist so, daß die Verbindung doch nicht zustande kommt, Tunnelblick bleibt bei ADD_ROUTES stehen.

Ist es wohl der Aufruf von ifconfig.
Die IP des Routers im LAN ist 192.168.178.1
ist die Angabe 10.0.0.1 in meinem Fall also totaler Käse?

 

[TirasX]

das ist meine server config:

# OpenVPN v2.0.5 config:
#
# Grundsaetzliches
port 1194
proto udp
dev tap
# Server-Einstellungen
mode server
tls-server
server 10.0.0.0 255.255.255.0
client-to-client
# Dies ist der IP-Bereich von eurem FritzBox-LAN
push "route 192.168.178.0 255.255.255.0"
# Authentifizierung und Verschluesselung
ca /var/tmp/vpn/ca.crt
cert /var/tmp/vpn/fritzbox.crt
key /var/tmp/vpn/fritzbox.key
dh /var/tmp/vpn/dh1024.pem
auth SHA1
cipher AES-256-CBC
# Sonstiges
ping 10
push "ping 10"
ping-restart 60
push "ping-restart 60"
conf

und hier der client

# OpenVPN v2.0.5 config:
#
# Grunds?§tzliches (Was soll der CLIENT nutzen)
port 1194
proto udp
dev tap
# Client-Einstellungen
tls-client
ns-cert-type server
remote alias.dyndns.org 1194
# Authentifizierung und Verschl?ºsselung
ca ca.crt
cert client01.crt
key client01.key
auth SHA1
cipher AES-256-CBC
# Sonstiges
pull

nich an dem zusätzlichem Kram stören, ich nutzte Zertifikate!

 

[TirasX]

@ chikago whistle
ich würde mal das mit den route in den client config mal auskommentieren und ausprobieren
außerdem willst du ja das lan hinter der box erreichen, was warsch 192.168.178.0 ist, also würde ich das mal per server "pushen"

 

[Chicago Whistle]

Danke! Würdest Du mir sagen,

wie

Du das pushen würdest?

Da gibt es ja noch die Sache mit der Firewall auf der Box, die die auf Prt 1194 kommenden Pakete nicht an sich selber weiterleiten kann.

Ich bin da der Anleitung nach Post 192 aus dem ip phone forum vorgegangen. Ich habe die Schritte von da mal kopiert und füge Sie hier ein:

auf der Box per Telnet (oder SSH):

cat /var/flash/ar7.cfg > /var/tmp/ar7.cfg
vi /var/tmp/ar7.cfg

in der ar7.cfg:

forwardrules = "tcp 0.0.0.0:1194 0.0.0.0:1194",

speichern


und

cp /var/tmp/ar7.cfg /var/flash/ar7.cfg
reboot

Bei mir hat die Box daraufhin zuverlässig (4x) die Zugangsdaten zum Provider vergessen.

in der ar7.cfg sieht es bei mir so aus:

# vi /var/tmp/ar7.cfg

"/var/tmp/ar7.cfg" line 1 of 1 --100%--

Zum Glück kann man die Konfiguration speichern.

 

[maceis]

Mit nvi kann man die ar7.cfg auch direkt im Flash bearbeiten. Da passiert sowas nicht .

nvi /var/flash/ar7.cfg

Außerdem musst Du nach Änderungen in der ar7.cfg nicht zwingend neu booten.
Mit folgendem Kommando kannst Du Änderungen auch während des laufenden Betriebs übernehmen.

/bin/ar7cfgchanged

 

[TirasX]

also meine einzige push regel ist : push "route 192.168.178.0 255.255.255.0"
diese überegibt der server an den client

 

[Chicago Whistle]

Vielen Dank für die Hilfe wollte ich nochmal sagen.

Ich habe den VPN Server von der Box wieder heruntergenommen, weil die so unerträglich lahm wurde. Ob es jetzt tatsächlich an dem VPN Server lag weiß ich nicht, aber ohne ihn laufen Dial!Fritz (Wählhilfe) und der Least Cost Router von Telefon-Sparbuch.de viel fluffiger.

Grüße!