VPN für Anfänger

cosmovitelli

cosmovitelli

Aktives Mitglied
Thread Starter
Dabei seit
04.10.2004
Beiträge
269
Reaktionspunkte
0
Tag zusammen,

für eine Projektzusammenarbeit möchte ich ein VPN aufbauen. Mein Rechner soll als Server dienen damit andere über VPN mit einem Programm(Merlin) auf meiner Kiste arbeiten können.

Wenn ich richtig informiert bin können meine Partner über die Systemeinstellungen Netzwerk VPN (Tiger), auf meinen Rechner zugreifen.

Dafür muss ich auf meinem Rechner Cisco oder VPN Tracker installieren um ihn als Server einzurichten.
Soweit meine Vermutungen.

Hat jemand einen Link mit dem ich mich als Anfänger informieren kann oder gibt es eine Anleitung for Dummies?

cosmo
 
okay, danke für die Antwort,
da ich auch mal gerne ein Buch in die Hand nehme.
Ist eins von den beiden empfehlenswert?

OpenVPN kurz & gut von Sven Riedel
OpenVPN. Grundlagen, Konfiguration, Praxis

cosmo
 
Zu den Büchern kann ich dir nix sagen, weil ich die nicht kenne.

OpenVPN ist aber schon eine gute Wahl.
In der ct 9/2007 stand ein howto für OpenVPN-Server unter OS X, das ganz brauchbar ist. Das gibt es gegen ein paar Cent zum download.

Was im ct Tutorial noch fehlt, ist der Link zu den TUN/TAP Kernel Extensions.
 
Zuletzt bearbeitet von einem Moderator:
  • Gefällt mir
Reaktionen: emmmmmi
Das how-to aus der ct ist sehr einfach und strukturiert.
Es scheint sich aber ein Fehler eingeschlichen zu haben. Also falls jemand das openVPN how-to benutzen will:

Beim anlegen eines CSR für den Server:

openssl req -new -genrsa \ (so steht es in dem Artikel)

bei mir funktionierte nur:

sudo openssl req -new -genrsa \
 
emmmmmi schrieb:
Beim anlegen eines CSR für den Server:
Zum Vergrößern anklicken....
hmm, wird bei apples openvpn-Variante nicht auch die easy-rsa-Umgebung mitgeliefert?
Die scripte vereinfachen doch einiges wenn man nur eine ca für openvpn benötigt.
 
@ magheinz
Das ist das gleiche Source Code Package wie für Linux, also keine Apple-spezifische Variante.
Die von der ct haben lediglich darauf verzichtet, die easy-rsa Skripte zu verwenden, und erklären dafür im Howto den Weg "zu Fuss". ;)
 
  • Gefällt mir
Reaktionen: magheinz
Genau, es wird darauf verzichtet, da die easy-rsa skripte angeblich nicht immer korrekt funktionieren. Ist die Aussagen aus der c't.

Vielleicht kann mir hier noch jemand weiter helfen. Alles ist soweit korrekt eingerichtet, aber es kommt keine Verbindung zustande. Tunnelblick macht keinen mucks. Wenn ich auf connect klicke passiert einfach nichts.
Ich hab die Beispielkonfigurationen aus dem Artikel genommen.

Mein Log sagt mir folgendes:

26.03.08 19:04:00 openvpn[118] OpenVPN 2.0.9 i686-apple-darwin9.2.2 [SSL] [LZO] built on Mar 26 2008
26.03.08 19:04:00 openvpn[118] MANAGEMENT: TCP Socket listening on 127.0.0.1:7505
26.03.08 19:04:00 openvpn[118] Diffie-Hellman initialized with 2048 bit key
26.03.08 19:04:01 openvpn[118] WARNING: file '/etc/openvpn/server.key' is group or others accessible
26.03.08 19:04:01 openvpn[118] TLS-Auth MTU parms [ L:1558 D:138 EF:38 EB:0 ET:0 EL:0 ]
26.03.08 19:04:01 openvpn[118] gw 192.168.1.1
26.03.08 19:04:01 openvpn[118] TUN/TAP device /dev/tun0 opened
26.03.08 19:04:01 openvpn[118] /sbin/ifconfig tun0 delete
26.03.08 19:04:01 openvpn[118] NOTE: Tried to delete pre-existing tun/tap instance -- No Problem if failure
26.03.08 19:04:01 openvpn[118] /sbin/ifconfig tun0 10.100.100.1 10.100.100.2 mtu 1500 netmask 255.255.255.255 up
26.03.08 19:04:01 openvpn[118] /sbin/route add -net 10.100.100.0 10.100.100.2 255.255.255.0
26.03.08 19:04:01 openvpn[118] Data Channel MTU parms [ L:1558 D:1450 EF:58 EB:135 ET:0 EL:0 AF:3/1 ]
26.03.08 19:04:01 openvpn[124] GID set to nobody
26.03.08 19:04:01 openvpn[124] UID set to nobody
26.03.08 19:04:01 openvpn[124] UDPv4 link local (bound): [undef]:1194
26.03.08 19:04:01 openvpn[124] UDPv4 link remote: [undef]
26.03.08 19:04:01 openvpn[124] MULTI: multi_init called, r=256 v=256
26.03.08 19:04:01 openvpn[124] IFCONFIG POOL: base=10.100.100.4 size=62
26.03.08 19:04:01 openvpn[124] IFCONFIG POOL LIST
26.03.08 19:04:01 openvpn[124] Initialization Sequence Completed


Scheint so als ob der Server einwandfrei starten würde.
Ich habe die Server.conf nur dahin geändert, dass ich als remote meine serveradresse eingetragen hab.
Jemand noch Ideen?

gruß emmi
 
emmmmmi schrieb:
Ich habe die Server.conf nur dahin geändert, dass ich als remote meine serveradresse eingetragen hab.
Jemand noch Ideen?
Zum Vergrößern anklicken....
Das macht ja keinen Sinn, dann kann der Server ja nur mit sich selber verbinden. in der remote-Variablen steht immer die Gegenstelle. Bei den clients also die server und beim server die clients. remote beim server kann man auch einfach weg lassen
 
Ok, ich bin schlauer geworden.
Hab nun eine kleine config, allerdings sagt Tunnelblick mir nun das:

Thu 03/27/08 12:36 PM: WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
Thu 03/27/08 12:36 PM: WARNING: file 'emmi-key.pem' is group or others accessible
Thu 03/27/08 12:36 PM: ******* WARNING *******: null cipher specified
Thu 03/27/08 12:36 PM: Control Channel MTU parms [ L:1557 D:138 EF:38 EB:0 ET:0 EL:0 ]
Thu 03/27/08 12:36 PM: Cannot open TUN/TAP dev openvpn: No such file or directory (errno=2)

Ich habe gerade auf dem Client tun/tap frisch installiert und einen neustart gemacht. tuncfg läuft, aber es gibt weder tun0 noch tap0 als interface wenn ich ifconfig aufrufe.
Auf dem Server ähnlich, no tun/tap dev found.

27.03.08 12:08:27 openvpn[118] Cannot open TUN/TAP dev openvpn: No such file or directory (errno=2)


server.conf:

Code: 
local 192.168.1.108   ;IP der NIC 
port 1194 
proto udp 
dev tap 
dev-node openvpn    ;Name der Netzerkverbindung 
mode server 
tls-server 
ifconfig 10.0.0.1 255.255.255.0 
ifconfig-pool 10.0.0.1 10.0.0.6 255.255.255.0 
ca ca.crt 
key server.key 
cert server.crt 
dh dh2048.pem 
cipher none 
client-to-client 
max-clients 4 
route-gateway 10.0.0.1 
verb 3

client.conf

Code: 
remote xxx.xxx.xxx.xxx   ;WAN IP des Servers 
port 1194
dev tap 
proto udp 
dev-node openvpn   ;Name der Netzwerkverbindung 
ca ca.crt 
key emmi-key.pem 
cert emmi-cert.pem 
tls-client 
cipher none 
ifconfig 10.0.0.2 255.255.255.0 
route-gateway 10.0.0.1 
verb 3

Erkennt jemand den Fehler?
Ich lese mich schon durch alle how-to und dokumentationen ..
 
Zuletzt bearbeitet:
Hast du auf dem Server die in Post #4 verlinkten tun/tap-devices installiert?
Auf dem Client macht das Tunnelblick.
 
emmmmmi schrieb:
Ich habe gerade auf dem Client tun/tap frisch installiert und einen neustart gemacht. tuncfg läuft, aber es gibt weder tun0 noch tap0 als interface wenn ich ifconfig aufrufe.
Auf dem Server ähnlich, no tun/tap dev found.
Zum Vergrößern anklicken....

Ich werde sie jetzt nochmal runter schmeißen und neu installieren. Aber irgendwie scheint da der Wurm drin zu sein. Müsste nicht ein "extra" device beim starten erstellt werden? Also von openvpn selber?!
 
emmmmmi schrieb:
Müsste nicht ein "extra" device beim starten erstellt werden? Also von openvpn selber?!
Zum Vergrößern anklicken....

Nach dem Serverstart siehst du das device mit
Code: 
ifconfig tun0

Edit: sehe gerade, in deinen Conf-Dateien hast du "dev tap" genommen. Tausche das mal gegen "dev tun"
 
ifconfig tun0
ifconfig: interface tun0 does not exist

Habe es in client und server.conf geändert. Es existieren einfach keine interfaces. openvpn startet auf dem Server aufgrund des fehlenden device nicht ..

Code: 
27.03.08 12:59:15 com.apple.SystemStarter[28] Initializing tun devices 
27.03.08 12:59:15 com.apple.SystemStarter[28] kextload: /Library/Extensions/tun.kext loaded successfully 
27.03.08 12:59:16 kernel tun kernel extension version 20080121 <mattias.nissler@gmx.de> 
27.03.08 12:59:16 openvpn[105] Cannot open TUN/TAP dev openvpn: No such file or directory (errno=2)

Das spuckt mir die Konsole des Servers aus.
Laut log sollte es ja gestartet sein, sieht mein Server aber anders :D
 
Noch mehr wildes hin und her, aber jetzt hab ich eine andere Fehlermeldung von Tunnelblick:

Thu 03/27/08 03:52 PM: WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
Thu 03/27/08 03:52 PM: WARNING: file 'jan2-key.pem' is group or others accessible
Thu 03/27/08 03:52 PM: Control Channel MTU parms [ L:1557 D:138 EF:38 EB:0 ET:0 EL:0 ]
Thu 03/27/08 03:52 PM: Data Channel MTU parms [ L:1557 D:1450 EF:57 EB:4 ET:0 EL:0 ]
Thu 03/27/08 03:52 PM: Local Options hash (VER=V4): '2dd3fcaf'
Thu 03/27/08 03:52 PM: Expected Remote Options hash (VER=V4): '8114d01c'
Thu 03/27/08 03:52 PM: UDPv4 link local (bound): [undef]:1194
Thu 03/27/08 03:52 PM: UDPv4 link remote: 87.123.52.13:1194
Thu 03/27/08 03:52 PM: TLS: Initial packet from 87.123.52.13:1194
Thu 03/27/08 03:52 PM: VERIFY ERROR: depth=1
Thu 03/27/08 03:52 PM: TLS_ERROR: BIO read tls_read_plaintext error: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed
Thu 03/27/08 03:52 PM: TLS Error: TLS object -> incoming plaintext read error
Thu 03/27/08 03:52 PM: TLS Error: TLS handshake failed
Thu 03/27/08 03:52 PM: TCP/UDP: Closing socket
Thu 03/27/08 03:52 PM: SIGUSR1[soft
Thu 03/27/08 03:52 PM: WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
Thu 03/27/08 03:52 PM: WARNING: file 'jan2-key.pem' is group or others accessible
Thu 03/27/08 03:52 PM: Control Channel MTU parms [ L:1557 D:138 EF:38 EB:0 ET:0 EL:0 ]
Thu 03/27/08 03:52 PM: Data Channel MTU parms [ L:1557 D:1450 EF:57 EB:4 ET:0 EL:0 ]
Thu 03/27/08 03:52 PM: Local Options hash (VER=V4): '2dd3fcaf'
Thu 03/27/08 03:52 PM: Expected Remote Options hash (VER=V4): '8114d01c'
Thu 03/27/08 03:52 PM: UDPv4 link local (bound): [undef]:1194
Thu 03/27/08 03:52 PM: UDPv4 link remote: 87.123.52.13:1194
Thu 03/27/08 03:52 PM: TLS: Initial packet from 87.123.52.13:1194
Thu 03/27/08 03:52 PM: VERIFY ERROR: depth=1
Thu 03/27/08 03:52 PM: TLS_ERROR: BIO read tls_read_plaintext error: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed
Thu 03/27/08 03:52 PM: TLS Error: TLS object -> incoming plaintext read error
Thu 03/27/08 03:52 PM: TLS Error: TLS handshake failed
Thu 03/27/08 03:52 PM: TCP/UDP: Closing socket
Thu 03/27/08 03:52 PM: SIGUSR1[soft
Thu 03/27/08 03:52 PM: WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
Thu 03/27/08 03:52 PM: WARNING: file 'jan2-key.pem' is group or others accessible
Thu 03/27/08 03:52 PM: Control Channel MTU parms [ L:1557 D:138 EF:38 EB:0 ET:0 EL:0 ]
Thu 03/27/08 03:52 PM: Data Channel MTU parms [ L:1557 D:1450 EF:57 EB:4 ET:0 EL:0 ]
Thu 03/27/08 03:52 PM: Local Options hash (VER=V4): '2dd3fcaf'
Thu 03/27/08 03:52 PM: Expected Remote Options hash (VER=V4): '8114d01c'
Thu 03/27/08 03:52 PM: UDPv4 link local (bound): [undef]:1194
Thu 03/27/08 03:52 PM: UDPv4 link remote: 87.123.52.13:1194
Thu 03/27/08 03:52 PM: TLS Error: Unroutable control packet received from 87.123.52.13:1194 (si=3 op=P_ACK_V1)

Die Zertifikate sollten eigentlich richtig sein. Ich versteh es einfach nicht.
Da ich jetzt mal langsam anfangen sollte zu lernen, werde ich das erstmal zurück stellen.

Danke für die Hilfe bis hier.

Gruß emmi
 
Bevor du Tunnelblick ins Spiel bringst, sollte der Server einschl. tun-device richtig starten.

Hat der Server eine feste IP im LAN?

Funktioniert die Portweiterleitung auf dem Router bzw, kannst du den Server auf seiner öffentlichen IP sehen/anpingen?

Den dev-node Eintrag aus der Server Konf würde ich mal rausnehmen, den braucht der Mac als Server nicht.

Falls du die Anleitung befolgt hast, müsstest du auf dem Server die LZO Kompressionsbibliothek installiert haben.
In deiner Server Konf fehlt aber der entsprechende "comp-lzo" Eintrag.

Edit:
die Verschlüsselungsmethode hast du auch nicht eingestellt.
Statt "cipher none" z.B. cipher AES-256-CBC

Edit:
Bei der Server-Conf orientiere dich an den Beispielen im OpenVPN-HOWTO, die sind aussagekräftiger als im ct HOWTO.

Um noch mal auf die TUN/TAB Kernel Extensions zurückzukommen:
Schau dir die README.installer zum pgk an und installiere die Extensions auf dem Server als StartupItem, dann werden sie bei jedem Systemstart automatisch geladen.
In der /var/log/system.log solltest du dann das vorfinden:
Code: 
Mar 27 19:17:35 mini kernel[0]: tun kernel extension version ...
Mar 27 19:17:35 mini kernel[0]: tap kernel extension version ...
 
Zuletzt bearbeitet:
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben Unten