Eigentlich wollte ich mich hier nicht mehr zu Wort melden; aber da ich mich in letzter Zeit etwas ausgiebiger mit OpenVPN beschäftigt habe (zwar nur unter Linux und Windows, sollte aber egal sein), kann ich vielleicht etwas sinnvolles beitragen:
die serverconfig:
Code:
# Port Standartport 1194
port 1194
crl-verify /etc/ssl/crl.pem
Lass das "crl-verify" mal weg, sofern das nicht etwas OSX-erforderliches ist (habe den c't-Artikel leider noch nicht gelesen)
Code:
# TCP oder UDP?
proto udp
mode server
tls-server
"mode tls-server" sollte die letzten beiden Zeilen ersetzen können, aber einzeln gehts m.W. auch.
Code:
dev tun
#Unsere Server IP
ifconfig 10.10.10.1 255.255.255.255
#Server IP Adresse (Adressbereich. in dem Fall alles von 10.10.10.0)
server 10.10.10.0 255.255.255.0
Bin mir jetzt aus dem Stegreif nicht völlig sicher:
Möchtest Du eine Multiclient-Server-Architektur, oder einfach nur einen Kanal zwischen zwei Rechnern (Ubuntu-Server, OSX-Client)?
Falls letzteres, dann nimm lieber
"ifconfig 10.10.10.1 10.10.10.2" (auf dem Server)
und analog auf dem Client
"ifconfig 10.10.10.2 10.10.10.1"
Die Direktive "server 10.10.10.0 255.255.255.0" ganz streichen.
#Wo liegen unsere Zertifikate
ca ./easy-rsa2/keys/ca.crt
cert ./easy-rsa2/keys/server.crt
key ./easy-rsa2/keys/server.key # Diese Datei geheim halten.
dh ./easy-rsa2/keys/dh2048.pem # Diffie-Hellman-Parameter
Code:
#Die Selbe IP in der nchsten Sitzung vergeben
ifconfig-pool-persist ipp.txt
Wenn Du es wie oben vorgeschlagen abänderst und nur zwei Rechner verbindest, dann brauchst Du das nicht. Ich würde aber in beide Konfigurationen die Direktive "float" einbauen.
Code:
#IPs in den IP Tables eintragen, DNS neu vergeben und
#er Den Server das Routing machen, dass man z.B.
#er den Tunnel auf ein lokaes Intranet zuzugreifen
push "route 10.0.0.0 255.0.0.0"
push "dhcp-option DNS 192.168.2.xyz"
push "redirect-gateway"
push "route 0.0.0.0 0.0.0.0"
Aus dem Stegreif weiß ich auch dazu nicht alles; Du willst offenbar auf Dein internes Netz zugreifen, in dem der Ubuntu-Server ebenfalls hängt? Falls ja, ist es IMO etwas ungeschickt, dafür das Netz 10.0.0.0/8 zu verwenden.
ich kann auf jeden fall schonmal den server starten. da kommt kein error.
und nun zu der client config:
Code:
#Festlegen als was fungiert wird
tls-client
pull
# Methode festlegen tun oder tap
dev tun
# Protokoll auswaehlen udp oder tcp
proto udp
# IP/Name und Port des Servers
remote jf6c.dyndns.org 1194
# Auflösen des Hostnames des Servers (wegen nicht permanent mit dem Internet verbundenen Rechnern)
resolv-retry infinite
# Lacalen Port festlegen oder freigeben
nobind
Warum "nobind"? I.d.R. sollte es auch auf dem Client keine Probleme mit einem festgelegten Port geben?
Code:
# Verbindung immer gleich halten
persist-key
persist-tun
#zu verwendende Zertifikate und Schlüssel
ca /Users/hannes/Library/openvpn/keys/ca.crt
cert /Users/hannes/Library/openvpn/keys/client01.crt
key /Users/hannes/Library/openvpn/keys/client01.key
# Verschlüsselung
cipher AES-256-CBC
# Komprimiernug
comp-lzo
# Authentifizierungsmethode
auth SHA1
# "Gesprächigkeit" des Tunnels
verb 5
# Silence repeating messages
mute 20
Die doofe Frage:
Hast Du es schonmal im LAN probiert? Port-Forwarding eingerichtet?
Falls gewünscht, kann ich eine bei mir funktionierende (Linux&Windows) Konfiguration angeben, die Du mal testen kannst.