VPN für Anfänger

Diskutiere das Thema VPN für Anfänger im Forum Netzwerk.

  1. cosmovitelli

    cosmovitelli Thread Starter Mitglied

    Beiträge:
    269
    Zustimmungen:
    0
    Mitglied seit:
    04.10.2004
    Tag zusammen,

    für eine Projektzusammenarbeit möchte ich ein VPN aufbauen. Mein Rechner soll als Server dienen damit andere über VPN mit einem Programm(Merlin) auf meiner Kiste arbeiten können.

    Wenn ich richtig informiert bin können meine Partner über die Systemeinstellungen Netzwerk VPN (Tiger), auf meinen Rechner zugreifen.

    Dafür muss ich auf meinem Rechner Cisco oder VPN Tracker installieren um ihn als Server einzurichten.
    Soweit meine Vermutungen.

    Hat jemand einen Link mit dem ich mich als Anfänger informieren kann oder gibt es eine Anleitung for Dummies?

    cosmo
     
  2. magheinz

    magheinz Mitglied

    Beiträge:
    2.863
    Zustimmungen:
    608
    Mitglied seit:
    06.02.2005
    Nimm OpenVPN, das ist wesentlich einfacher.

    http://openvpn.net/index.php/documentation/howto.html
    Entweder die howtos, oder die example-konfigs.
     
  3. cosmovitelli

    cosmovitelli Thread Starter Mitglied

    Beiträge:
    269
    Zustimmungen:
    0
    Mitglied seit:
    04.10.2004
    okay, danke für die Antwort,
    da ich auch mal gerne ein Buch in die Hand nehme.
    Ist eins von den beiden empfehlenswert?

    OpenVPN kurz & gut von Sven Riedel
    OpenVPN. Grundlagen, Konfiguration, Praxis

    cosmo
     
  4. MacMännchen

    MacMännchen Mitglied

    Beiträge:
    2.881
    Zustimmungen:
    213
    Mitglied seit:
    03.10.2006
    Zu den Büchern kann ich dir nix sagen, weil ich die nicht kenne.

    OpenVPN ist aber schon eine gute Wahl.
    In der ct 9/2007 stand ein howto für OpenVPN-Server unter OS X, das ganz brauchbar ist. Das gibt es gegen ein paar Cent zum download.

    Was im ct Tutorial noch fehlt, ist der Link zu den TUN/TAP Kernel Extensions.
     
  5. emmmmmi

    emmmmmi Mitglied

    Beiträge:
    514
    Zustimmungen:
    18
    Mitglied seit:
    15.01.2006
    Das how-to aus der ct ist sehr einfach und strukturiert.
    Es scheint sich aber ein Fehler eingeschlichen zu haben. Also falls jemand das openVPN how-to benutzen will:

    Beim anlegen eines CSR für den Server:

    openssl req -new -genrsa \ (so steht es in dem Artikel)

    bei mir funktionierte nur:

    sudo openssl req -new -genrsa \
     
  6. magheinz

    magheinz Mitglied

    Beiträge:
    2.863
    Zustimmungen:
    608
    Mitglied seit:
    06.02.2005
    hmm, wird bei apples openvpn-Variante nicht auch die easy-rsa-Umgebung mitgeliefert?
    Die scripte vereinfachen doch einiges wenn man nur eine ca für openvpn benötigt.
     
  7. MacMännchen

    MacMännchen Mitglied

    Beiträge:
    2.881
    Zustimmungen:
    213
    Mitglied seit:
    03.10.2006
    @ magheinz
    Das ist das gleiche Source Code Package wie für Linux, also keine Apple-spezifische Variante.
    Die von der ct haben lediglich darauf verzichtet, die easy-rsa Skripte zu verwenden, und erklären dafür im Howto den Weg "zu Fuss". ;)
     
  8. emmmmmi

    emmmmmi Mitglied

    Beiträge:
    514
    Zustimmungen:
    18
    Mitglied seit:
    15.01.2006
    Genau, es wird darauf verzichtet, da die easy-rsa skripte angeblich nicht immer korrekt funktionieren. Ist die Aussagen aus der c't.

    Vielleicht kann mir hier noch jemand weiter helfen. Alles ist soweit korrekt eingerichtet, aber es kommt keine Verbindung zustande. Tunnelblick macht keinen mucks. Wenn ich auf connect klicke passiert einfach nichts.
    Ich hab die Beispielkonfigurationen aus dem Artikel genommen.

    Mein Log sagt mir folgendes:

    26.03.08 19:04:00 openvpn[118] OpenVPN 2.0.9 i686-apple-darwin9.2.2 [SSL] [LZO] built on Mar 26 2008
    26.03.08 19:04:00 openvpn[118] MANAGEMENT: TCP Socket listening on 127.0.0.1:7505
    26.03.08 19:04:00 openvpn[118] Diffie-Hellman initialized with 2048 bit key
    26.03.08 19:04:01 openvpn[118] WARNING: file '/etc/openvpn/server.key' is group or others accessible
    26.03.08 19:04:01 openvpn[118] TLS-Auth MTU parms [ L:1558 D:138 EF:38 EB:0 ET:0 EL:0 ]
    26.03.08 19:04:01 openvpn[118] gw 192.168.1.1
    26.03.08 19:04:01 openvpn[118] TUN/TAP device /dev/tun0 opened
    26.03.08 19:04:01 openvpn[118] /sbin/ifconfig tun0 delete
    26.03.08 19:04:01 openvpn[118] NOTE: Tried to delete pre-existing tun/tap instance -- No Problem if failure
    26.03.08 19:04:01 openvpn[118] /sbin/ifconfig tun0 10.100.100.1 10.100.100.2 mtu 1500 netmask 255.255.255.255 up
    26.03.08 19:04:01 openvpn[118] /sbin/route add -net 10.100.100.0 10.100.100.2 255.255.255.0
    26.03.08 19:04:01 openvpn[118] Data Channel MTU parms [ L:1558 D:1450 EF:58 EB:135 ET:0 EL:0 AF:3/1 ]
    26.03.08 19:04:01 openvpn[124] GID set to nobody
    26.03.08 19:04:01 openvpn[124] UID set to nobody
    26.03.08 19:04:01 openvpn[124] UDPv4 link local (bound): [undef]:1194
    26.03.08 19:04:01 openvpn[124] UDPv4 link remote: [undef]
    26.03.08 19:04:01 openvpn[124] MULTI: multi_init called, r=256 v=256
    26.03.08 19:04:01 openvpn[124] IFCONFIG POOL: base=10.100.100.4 size=62
    26.03.08 19:04:01 openvpn[124] IFCONFIG POOL LIST
    26.03.08 19:04:01 openvpn[124] Initialization Sequence Completed


    Scheint so als ob der Server einwandfrei starten würde.
    Ich habe die Server.conf nur dahin geändert, dass ich als remote meine serveradresse eingetragen hab.
    Jemand noch Ideen?

    gruß emmi
     
  9. magheinz

    magheinz Mitglied

    Beiträge:
    2.863
    Zustimmungen:
    608
    Mitglied seit:
    06.02.2005
    Das macht ja keinen Sinn, dann kann der Server ja nur mit sich selber verbinden. in der remote-Variablen steht immer die Gegenstelle. Bei den clients also die server und beim server die clients. remote beim server kann man auch einfach weg lassen
     
  10. emmmmmi

    emmmmmi Mitglied

    Beiträge:
    514
    Zustimmungen:
    18
    Mitglied seit:
    15.01.2006
    Ok, ich bin schlauer geworden.
    Hab nun eine kleine config, allerdings sagt Tunnelblick mir nun das:

    Thu 03/27/08 12:36 PM: WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
    Thu 03/27/08 12:36 PM: WARNING: file 'emmi-key.pem' is group or others accessible
    Thu 03/27/08 12:36 PM: ******* WARNING *******: null cipher specified
    Thu 03/27/08 12:36 PM: Control Channel MTU parms [ L:1557 D:138 EF:38 EB:0 ET:0 EL:0 ]
    Thu 03/27/08 12:36 PM: Cannot open TUN/TAP dev openvpn: No such file or directory (errno=2)

    Ich habe gerade auf dem Client tun/tap frisch installiert und einen neustart gemacht. tuncfg läuft, aber es gibt weder tun0 noch tap0 als interface wenn ich ifconfig aufrufe.
    Auf dem Server ähnlich, no tun/tap dev found.

    27.03.08 12:08:27 openvpn[118] Cannot open TUN/TAP dev openvpn: No such file or directory (errno=2)


    server.conf:

    Code:
    local 192.168.1.108   ;IP der NIC 
    port 1194 
    proto udp 
    dev tap 
    dev-node openvpn    ;Name der Netzerkverbindung 
    mode server 
    tls-server 
    ifconfig 10.0.0.1 255.255.255.0 
    ifconfig-pool 10.0.0.1 10.0.0.6 255.255.255.0 
    ca ca.crt 
    key server.key 
    cert server.crt 
    dh dh2048.pem 
    cipher none 
    client-to-client 
    max-clients 4 
    route-gateway 10.0.0.1 
    verb 3
    client.conf

    Code:
    remote xxx.xxx.xxx.xxx   ;WAN IP des Servers 
    port 1194
    dev tap 
    proto udp 
    dev-node openvpn   ;Name der Netzwerkverbindung 
    ca ca.crt 
    key emmi-key.pem 
    cert emmi-cert.pem 
    tls-client 
    cipher none 
    ifconfig 10.0.0.2 255.255.255.0 
    route-gateway 10.0.0.1 
    verb 3
    Erkennt jemand den Fehler?
    Ich lese mich schon durch alle how-to und dokumentationen ..
     
  11. MacMännchen

    MacMännchen Mitglied

    Beiträge:
    2.881
    Zustimmungen:
    213
    Mitglied seit:
    03.10.2006
    Hast du auf dem Server die in Post #4 verlinkten tun/tap-devices installiert?
    Auf dem Client macht das Tunnelblick.
     
  12. emmmmmi

    emmmmmi Mitglied

    Beiträge:
    514
    Zustimmungen:
    18
    Mitglied seit:
    15.01.2006
    Ich werde sie jetzt nochmal runter schmeißen und neu installieren. Aber irgendwie scheint da der Wurm drin zu sein. Müsste nicht ein "extra" device beim starten erstellt werden? Also von openvpn selber?!
     
  13. MacMännchen

    MacMännchen Mitglied

    Beiträge:
    2.881
    Zustimmungen:
    213
    Mitglied seit:
    03.10.2006
    Nach dem Serverstart siehst du das device mit
    Code:
    ifconfig tun0
    Edit: sehe gerade, in deinen Conf-Dateien hast du "dev tap" genommen. Tausche das mal gegen "dev tun"
     
  14. emmmmmi

    emmmmmi Mitglied

    Beiträge:
    514
    Zustimmungen:
    18
    Mitglied seit:
    15.01.2006
    ifconfig tun0
    ifconfig: interface tun0 does not exist

    Habe es in client und server.conf geändert. Es existieren einfach keine interfaces. openvpn startet auf dem Server aufgrund des fehlenden device nicht ..

    Code:
    27.03.08 12:59:15 com.apple.SystemStarter[28] Initializing tun devices 
    27.03.08 12:59:15 com.apple.SystemStarter[28] kextload: /Library/Extensions/tun.kext loaded successfully 
    27.03.08 12:59:16 kernel tun kernel extension version 20080121 <mattias.nissler@gmx.de> 
    27.03.08 12:59:16 openvpn[105] Cannot open TUN/TAP dev openvpn: No such file or directory (errno=2) 
    
    Das spuckt mir die Konsole des Servers aus.
    Laut log sollte es ja gestartet sein, sieht mein Server aber anders :D
     
  15. emmmmmi

    emmmmmi Mitglied

    Beiträge:
    514
    Zustimmungen:
    18
    Mitglied seit:
    15.01.2006
    Noch mehr wildes hin und her, aber jetzt hab ich eine andere Fehlermeldung von Tunnelblick:

    Thu 03/27/08 03:52 PM: WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
    Thu 03/27/08 03:52 PM: WARNING: file 'jan2-key.pem' is group or others accessible
    Thu 03/27/08 03:52 PM: Control Channel MTU parms [ L:1557 D:138 EF:38 EB:0 ET:0 EL:0 ]
    Thu 03/27/08 03:52 PM: Data Channel MTU parms [ L:1557 D:1450 EF:57 EB:4 ET:0 EL:0 ]
    Thu 03/27/08 03:52 PM: Local Options hash (VER=V4): '2dd3fcaf'
    Thu 03/27/08 03:52 PM: Expected Remote Options hash (VER=V4): '8114d01c'
    Thu 03/27/08 03:52 PM: UDPv4 link local (bound): [undef]:1194
    Thu 03/27/08 03:52 PM: UDPv4 link remote: 87.123.52.13:1194
    Thu 03/27/08 03:52 PM: TLS: Initial packet from 87.123.52.13:1194
    Thu 03/27/08 03:52 PM: VERIFY ERROR: depth=1
    Thu 03/27/08 03:52 PM: TLS_ERROR: BIO read tls_read_plaintext error: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed
    Thu 03/27/08 03:52 PM: TLS Error: TLS object -> incoming plaintext read error
    Thu 03/27/08 03:52 PM: TLS Error: TLS handshake failed
    Thu 03/27/08 03:52 PM: TCP/UDP: Closing socket
    Thu 03/27/08 03:52 PM: SIGUSR1[soft
    Thu 03/27/08 03:52 PM: WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
    Thu 03/27/08 03:52 PM: WARNING: file 'jan2-key.pem' is group or others accessible
    Thu 03/27/08 03:52 PM: Control Channel MTU parms [ L:1557 D:138 EF:38 EB:0 ET:0 EL:0 ]
    Thu 03/27/08 03:52 PM: Data Channel MTU parms [ L:1557 D:1450 EF:57 EB:4 ET:0 EL:0 ]
    Thu 03/27/08 03:52 PM: Local Options hash (VER=V4): '2dd3fcaf'
    Thu 03/27/08 03:52 PM: Expected Remote Options hash (VER=V4): '8114d01c'
    Thu 03/27/08 03:52 PM: UDPv4 link local (bound): [undef]:1194
    Thu 03/27/08 03:52 PM: UDPv4 link remote: 87.123.52.13:1194
    Thu 03/27/08 03:52 PM: TLS: Initial packet from 87.123.52.13:1194
    Thu 03/27/08 03:52 PM: VERIFY ERROR: depth=1
    Thu 03/27/08 03:52 PM: TLS_ERROR: BIO read tls_read_plaintext error: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed
    Thu 03/27/08 03:52 PM: TLS Error: TLS object -> incoming plaintext read error
    Thu 03/27/08 03:52 PM: TLS Error: TLS handshake failed
    Thu 03/27/08 03:52 PM: TCP/UDP: Closing socket
    Thu 03/27/08 03:52 PM: SIGUSR1[soft
    Thu 03/27/08 03:52 PM: WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
    Thu 03/27/08 03:52 PM: WARNING: file 'jan2-key.pem' is group or others accessible
    Thu 03/27/08 03:52 PM: Control Channel MTU parms [ L:1557 D:138 EF:38 EB:0 ET:0 EL:0 ]
    Thu 03/27/08 03:52 PM: Data Channel MTU parms [ L:1557 D:1450 EF:57 EB:4 ET:0 EL:0 ]
    Thu 03/27/08 03:52 PM: Local Options hash (VER=V4): '2dd3fcaf'
    Thu 03/27/08 03:52 PM: Expected Remote Options hash (VER=V4): '8114d01c'
    Thu 03/27/08 03:52 PM: UDPv4 link local (bound): [undef]:1194
    Thu 03/27/08 03:52 PM: UDPv4 link remote: 87.123.52.13:1194
    Thu 03/27/08 03:52 PM: TLS Error: Unroutable control packet received from 87.123.52.13:1194 (si=3 op=P_ACK_V1)

    Die Zertifikate sollten eigentlich richtig sein. Ich versteh es einfach nicht.
    Da ich jetzt mal langsam anfangen sollte zu lernen, werde ich das erstmal zurück stellen.

    Danke für die Hilfe bis hier.

    Gruß emmi
     
  16. MacMännchen

    MacMännchen Mitglied

    Beiträge:
    2.881
    Zustimmungen:
    213
    Mitglied seit:
    03.10.2006
    Bevor du Tunnelblick ins Spiel bringst, sollte der Server einschl. tun-device richtig starten.

    Hat der Server eine feste IP im LAN?

    Funktioniert die Portweiterleitung auf dem Router bzw, kannst du den Server auf seiner öffentlichen IP sehen/anpingen?

    Den dev-node Eintrag aus der Server Konf würde ich mal rausnehmen, den braucht der Mac als Server nicht.

    Falls du die Anleitung befolgt hast, müsstest du auf dem Server die LZO Kompressionsbibliothek installiert haben.
    In deiner Server Konf fehlt aber der entsprechende "comp-lzo" Eintrag.

    Edit:
    die Verschlüsselungsmethode hast du auch nicht eingestellt.
    Statt "cipher none" z.B. cipher AES-256-CBC

    Edit:
    Bei der Server-Conf orientiere dich an den Beispielen im OpenVPN-HOWTO, die sind aussagekräftiger als im ct HOWTO.

    Um noch mal auf die TUN/TAB Kernel Extensions zurückzukommen:
    Schau dir die README.installer zum pgk an und installiere die Extensions auf dem Server als StartupItem, dann werden sie bei jedem Systemstart automatisch geladen.
    In der /var/log/system.log solltest du dann das vorfinden:
    Code:
    Mar 27 19:17:35 mini kernel[0]: tun kernel extension version ...
    Mar 27 19:17:35 mini kernel[0]: tap kernel extension version ...
    
     
Die Seite wird geladen...

MacUser.de weiterempfehlen

  1. Diese Seite verwendet Cookies. Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies. Akzeptieren Weitere Informationen...