OpenVPN mit der Fritzbox

Mit OpenVPN ist es möglich, den Netzwerkverkehr zu verschlüsseln. Zusammen mit der Fritzbox ergeben sich u.a. folgende Anwendungsgebiete:

  • Sicheres Verbinden eines externen Rechners über das Internet mit dem Heimnetzwerk
  • Verstärken der Sicherheit der internen Verbindungen gegen Abhören (z.B. bei schwacher WLAN-Verschlüsselung)
  • Zusammenschalten zweier Netzwerke zu _einem_ „virtuellen“ Netzwerk über das Internet mit Hilfe zweier Fritzboxen (oder anderer Router)


Gleich vorneweg: Mit den „kleineren“ Fritz!Boxen, die unter 32MB RAM besitzen (siehe VoIP-Router und -Adapter: AVM), funktioniert es *möglicherweise*. Wer jedoch noch weitere Modifikationen hinzufügt, wird seine Box sicherlich überfordern. Mögliche Konsequenzen sind ständiges Neustarten der Box oder keine funktionierende Telefonie mehr. Hier empfielt es sich, das Laden und Ausführen der etwa 3MB großen openvpn-Datei in der debug.cfg auszukommentieren und diese Zeilen über telnet manuell auszuführen. Stürzt die Box dabei ab, ist können die Zeilen einfach wieder entfernt werden.

OpenVPN ist u.a. als Bestandteil des danisahne-mods verfügbar und kann dort direkt als Paket für die Mod-Firmware ausgewählt werden. Dadurch erspart man sich die Prozedur, OpenVPN bei jedem Firtz!Box-Neustart per wegt nachzuladen. Allerdings ist der Flash-Bereich einiger Fritz!Boxen so klein, dass OpenVPN dort nicht hineinpasst. Dann kann man nur die unten aufgeführte Variante per wget ausprobieren. Weitere Details zum OpenVPN ds-mod Package und Konfigurationsbeispiele für Clients findet man hier.

Der nachfolgende Text basiert ursprünglich auf dem How-To von Hellspawn
(http://www.ip-phone-forum.de/showpost.php?p=531364). Wer im Moment Hilfe sucht, folge bitte dem Link.

Achtung neue Firmware: Die AVM hat mit der Firmwareversion (29.04.29?, bei FBF 7170) den Kernel von 2.4 auf 2.6 geändert. Anregungen zur Anpassung und verändertes Binary finden sich hier: http://www.ip-phone-forum.de/showthread.php?t=123410

Edit: Da meine Boxen Kernel 2.6 nutzen, werde ich versuchen, alles auf den neuen Kernel anzupassen(hoffentlich vergesse ich nichts). Als Anmerkung sei gesagt, dass es auch problemlos möglich ist, mehr als eine Openvpn-Instanz und damit mehrere unterschiedliche Verbindungen gleichzeitig laufen zu lassen.
Vi ist ohne Frage ein klasse Editor, aber hin und wieder nervt er schon etwas. Um das ganze Editieren und die Dateiverwaltung um einiges einfacher zu machen, nutze ich nun mit meiner neuen 7170 den USB-Stick als Speicher, zusammen mit dem USB-Autostarter. Alle Dateien liegen hier auf dem USB-Stick, Änderungen mache ich über FTP. Ich bin vom Webspace unabhängig und kann bei Problemen den Stick einfach abziehen. Wer also einen USB-Stick anschliessen kann, kann sich die Einrichtung sehr verieinfachen.

risaer 2007/04/01 04:26

Fritzbox als Server - Externer Rechner Client

0. Kurzanleitung

1. Voraussetzungen

Ich setze ein gewisses Wissen voraus. Denn ich werde jetzt nicht anfangen die Grundlagen zu erklären. Das ist ja auch nicht Sinn und Zweck von diesem Thread. Mal abgesehen davon, haben andere Leute diese grundlegenden Sachen schon sehr gut erklärt. Wenn du von Fritz!Box Modifikationen keine Ahnung hast, dann musst du diese Sachen lesen, verstehen und umgesetzt haben (!!!):

1.1 Grundlagen schaffen

Titel: Tuning und Hacks für die Fritz!Box

Autor: www.tecchannel.de
Ziel: Grundsätzliches (Systemebene, flash, tmp, debug.cfg), Telnet- und FTP-Zugang
Link: http://www.tecchannel.de/server/linux/432803/
Anmerkung 1: bis einschließlich Seite 13, der Rest danach ist nicht wichtig
Anmerkung 2: Nach dem ersten Eintrag in der debug.cfg (Start des Telnet-Daemons), sollte das hier als zweites eingetragen werden:

while !(ping -c 1 www.google.de);
do 
   sleep 5
done

Das bewirkt, dass die Verarbeitung der debug.cfg erst voranschreitet, wenn das Internet erreichbar ist.

Titel: Crash-Kurs: Arbeiten mit vi

Autor: www.tecchannel.de
Ziel: vi kennenlernen
Link: http://www.tecchannel.de/server/linux/431407/
Anmerkung: Die ersten drei Seiten reichen aus

Titel: Fritz!Box-Hack: Computer über das Internet starten und fernsteuern

Autor: www.tecchannel.de
Ziel: DynDNS, ar7.cfg
Link: http://www.tecchannel.de/server/linux/432967/
Anmerkung: Die Einbindung von WOL und SSH sind nicht zwingend erforderlich

Titel: Diverse

1.2 Programm

Windows: OpenVPN ist beheimatet auf http://www.openvpn.net. Ich bevorzuge aber Klicki-Bunti und daher empfehle ich auf http://www.openvpn.se das „Installation Package“ herunterzuladen (ist mit einem GUI) und auf dem Windows Rechner zu installieren (Besondere Angaben sind bei der Installation nicht notwendig. Immer auf „Weiter“ klicken, die Treiberinstallation bestätigen. Vermeide Leerzeichen im Pfad, verwende das gleiche Laufwerk!! (z.B. wie in „c:\Program Files\ovpn“)
FritzBox: Die Binary für die Fritz!Box gibt hier ( http://www.ip-phone-forum.de/showpost.php?p=527338&postcount=180 , openvpn.2.0.5(static).zip) , kompiliert von jspies (Danke noch mal dafür!). Die Datei müsst ihr (in Windows natürlich) runterladen, entpacken und auf euren Webspace laden

1.3 Infrastruktur-Beispiel

             Fritz!Box----------[Internet]------ anderer Router
            (VPN Server)                         (Linux,extern)
           192.168.178.1                           192.168.1.1
             10.0.0.1                               |        |
              |    |                                |        |
       +------+    +------+                  +------+        +------+
       |                  |                  |                      |
     PC-i1              PC-i2              PC-e1                  PC-e2
192.168.178.2       192.168.178.3        192.168.1.2             192.168.1.3
                                      10.0.0.2 (VPN Client)   

1.4 Hinweis zum Editor

Welche Datei erstelle ich wo und womit?

Datei Wo erstellen? Womit erstellen?
Zertifikate PC .bat Dateien, siehe Punkt 2
Keys PC .bat Dateien, siehe Punkt 2
client01.ovpn PC Editor, egal welcher
server.conf Fritz!Box vi / nvi

Wenn ihr die server.conf auf einem Windows-Rechner erstellen wollt, dann braucht ihr einen Editor der Unix-Zeilenumbrüche unterstützt! Wer ein paar Euro übrig hat, dem kann ich ich UltraEdit32 empfehlen! Ein weiterer extrem vielseitiger Texteditor ist TextPad 4. Hier gibt es eine uneingeschränkte Shareware-version.

2. Zertifikate erstellen

Wozu?
Zertifikate werden für jeden Rechner ausgestellt. Sie entsprechen dem private und dem public key von PGP. Jeder Client besitzt seinen privaten und öffentlichen key und den öffentlichen key des Servers. Der Server besitzt seinen privaten und öffentlichen key und die öffentlichen keys jedes Clients, der sich mit ihm verbinden will. Der Vorteil hierbei im Gegensatz zum shared key ist, daß es nicht nur einen Schlüssel gibt, der verteilt wird. Gelangt dieser einmal in falsche Hände oder soll einem bestimmtem Client der Zugang verwehrt werden, müsste in diesem Fall ein neuer Schlüssel generiert, an alle anderen verteilt und wieder eingerichtet werden. Zum Entziehen der Zugangsberechtigung wird einfach das entsprechende Zertifikat entfernt und der Server neu gestartet. Die übrigen Clients bekommen davon nichts mit.
Ohne den entsprechenden Secret key kann sich ausserdem kein anderer Rechner als ein bestimmter Client oder als Server ausgeben und sich so ins Netzwerk einschleichen.


Die Zertifikate erstellen wir der Einfachheit halber auf der Windows Maschine (PC-i1). Hierbei gilt es zu beachten, dass die erstellten Keys, also alles was SECRET ist, unbedingt auch geheim gehalten wird. Wer diese Schlüssel einfach offen verschickt (z.B. als Email), kann sich die Mühe des Verschlüsselns auch fast sparen.
Die folgenden Sachen sind in der Windows Eingabeaufforderung (start→Ausführen→cmd) einzugeben (nach jeder Zeile Enter drücken):

cd c:\programme\openvpn\ 
mkdir keys 
cd easy-rsa 
init-config

Die cmd nun unbedingt geöffnet lassen! Nun die Datei c:\programme\openvpn\easy-rsa\vars.bat mit einem Text-Editor wie z.B. Scite bearbeiten. Zur Not geht dies auch sonst mit:

notepad vars.bat
Hier sind verschiedene Werte zu definieren.

KEY_SIZE: Diese steht standardmäßig auf 1024 Bit. Wird dieser Wert genutzt, wird die Datei „dh1024.pem“ erzeugt. Wählt ihr 2048 Bit, wird die Datei „dh2048.pem“ erzeugt. Diese Dokumentation geht von 1024 Bit aus. Solltet ihr den Wert ändern, dann berücksichtigt dies, wenn ihr mit copy&paste arbeiten solltet. Noch eine Info zu der Größe vom Key:

Zitat aus der vars.bat
Increase this to 2048 if you are paranoid. This will slow down TLS negotiation performance as well as the one-time DH parms generation process.
KEY_DIR muss so aussehen:

set KEY_DIR=c:\programme\openvpn\keys

Zudem sind diese 5 Parameter an euch anzupassen:
set KEY_COUNTRY= (max. 2 Stellen) 
set KEY_PROVINCE= 
set KEY_CITY= 
set KEY_ORG= 
set KEY_EMAIL=

Nun vars.bat speichern und schließen und wieder in die cmd wechseln. Dort folgendes eingeben:

vars 
clean-all 
build-ca (berechtigt zum erstellen der Zertifikate; Alles mit Enter bestätigen, bei "Common Name" ca eintragen) 
build-dh (Dauert ca. 5 Minuten) 
build-key-server fritzbox (Alles mit Enter bestätigen, bei "Common Name" EBENFALLS fritzbox eintragen, Fragen mit y bestätigen) 
build-key client01 (Alles mit Enter bestätigen, bei "Common Name" EBENFALLS client01 eintragen, Fragen mit y bestätigen)

  • Für jeden Client muss ein Key erstellt werden!
  • Verwendet pro Client beim Befehlsaufruf (build-key xyz) und beim „Common Name“ die selben Namen!
  • „ca“, „fritzbox“ und „client01“ sind natürlich frei wählbare Namen. Diese können durch beliebige ersetzt werden. Wenn ihr andere benutzen wollt, dann denkt natürlich daran bei copy&paste aufzupassen!
  • Info: Die Zertifikate und Keys wurden zwar auf einer Windows-Maschine erzeugt, liegen aber im Unix-Format vor (ist nichts außergewöhnliches!). Ihr habt keinen Grund, diese Dateien zu ändern! Aber wenn ihr das aus irgendeinem Grund doch machen wollt, dann denkt daran, dass ihr die Dateien die für die Fritz!Box sind mit einem Editor bearbeitet, der Unix-Zeilenumbrüche unterstützt!!!

3. OpenVPN-Server (Fritz!Box) konfigurieren und starten

a. Installation - Pseudo-Updates

Die wohl einfachste Methode ist mit Hilfe eines Pseudo-Updates von http://www.the-construct.com.
Hier würde ich jedoch nicht empfehlen, den wirklichen Schlüssel einzugeben, sondern einfach leer lassen. Alles weitere unter (c), jedoch muss einiges dementsprechend angepasst werden.

Wer gerne bastelt, oder es gern manuell machen möchte:

b. Installation - die manuelle Methode

Firmwareversion auswählen, OpenVPN auswählen und den Anweisungen folgen.

Portfreigabe aus dem Netz

auf virtuelle IP 1). Ihr müsst auf der Fritz!Box den UDP Port 1194 in der ar7.cfg freigeben (Wie bereits bei den Grundlagen gelernt). Ich werde trotzdem nochmal kurz auf die Grundlagen eingehen. Um das ganze richtig zu machen geht ihr wie folgt vor.

1.: Geht in die Web-Oberfläche von eurer Fritz!Box in den Menüpunkt Internet / Portfreigabe / Neue Portfreigabe. Dort nehmen wir einen Scheineintrag vor, um gleich die richtige Stelle in der ar7.cfg zu finden. Tragt folgendes ein:

Bezeichnung             HIER BIST DU RICHTIG
Protokoll               udp
von Port                12345     bis Port   12345
an IP-Adresse           192.168.178.123
an Port                 12345
Den Haken setzen, übernehmen klicken, fertig!

2.: Nun per Telnet, SSH oder wie auch immer auf die Systemebene und folgendes eingeben:

nvi /var/flash/ar7.cfg
Nun durchsucht ihr eure ar7.cfg nach eurem Eintrag. So sieht dann der eingerückte Block aus. Das Markierte ist der Eintrag, den ihr hinzufügen müsst: Achtung: Falsche Einträge in der ar7cfg können die Box lahmlegen. Grundlagen von vi sind hier essentiell. Ein aktuelles firmware-image und eine Anleitung zum Wiederbeleben der Box zu haben ist vor dem nächsten Schritt nicht verkehrt. Unbedingt auf die Kommas, Semicolons und Anführungszeichen achten

forwardrules = 
               "tcp 0.0.0.0:0 0.0.0.0:0 1 out", 
               "udp 0.0.0.0:0 0.0.0.0:0 1 out", 
**Diese Zeile hinzufügen ** --> "udp 0.0.0.0:1194 0.0.0.0:1194", 
               "udp 0.0.0.0:5060 0.0.0.0:5060", 
               "udp 0.0.0.0:7078 0.0.0.0:7078", 
               "udp 0.0.0.0:7079 0.0.0.0:7079", 
               "udp 0.0.0.0:7080 0.0.0.0:7080", 
               "udp 0.0.0.0:7081 0.0.0.0:7081", 
               "udp 0.0.0.0:7082 0.0.0.0:7082", 
               "udp 0.0.0.0:7083 0.0.0.0:7083", 
               "udp 0.0.0.0:7084 0.0.0.0:7084", 
               "udp 0.0.0.0:7085 0.0.0.0:7085", 
               "udp 0.0.0.0:7086 0.0.0.0:7086", 
               "udp 0.0.0.0:7087 0.0.0.0:7087", 
               "udp 0.0.0.0:7089 0.0.0.0:7089", 
               "udp 0.0.0.0:7090 0.0.0.0:7090", 
               "udp 0.0.0.0:7091 0.0.0.0:7091", 
               "udp 0.0.0.0:7092 0.0.0.0:7092", 
               "udp 0.0.0.0:7093 0.0.0.0:7093", 
               "udp 0.0.0.0:7094 0.0.0.0:7094", 
               "udp 0.0.0.0:7095 0.0.0.0:7095", 
               "udp 0.0.0.0:7096 0.0.0.0:7096", 
               "udp 0.0.0.0:7097 0.0.0.0:7097", 
               "udp 0.0.0.0:12345 192.168.178.123:12345 0 # HIER BIST DU RICHTIG";
               shaper = "globalshaper";

3.: Folgendes eingeben:

/bin/ar7cfgchanged

c Anpassung

Wenn die Fritz!Box wieder da ist, wieder per telnet oder SSH einloggen. Zu Übersichtlichkeit arbeiten wir nicht in /var/tmp, sondern erstellen uns einen Unterordner:

cd /var/tmp 
mkdir ovpn 
cd ovpn

Nun zurück zum Windows-Client. Nun übertragen wir die Dateien per FTP zur Fritz!Box. Den FTP habt ihr ja schon drauf, weil ihr die Grundlagen durchgearbeitet habt, oder? Achtet darauf, dass die Dateien binär übertragen werden! Die meisten FTP-Clients erkennen das selber, aber kontrolliert sichheitshalber eure Einstellungen! Folgende Dateien auf Fritz!Box nach /var/tmp/vpn übertragen:

ca.crt 
fritzbox.crt 
fritzbox.key 
dh1024.pem

Wieder zur Fritz!Box: Dort laden wir uns jetzt OpenVPN auf die Fritz!Box und machen es ausführbar2)

wget -O /var/tmp/ovpn/openvpn http://www.Deine-WebSpace-URL.de/openvpn20 
chmod +x /var/tmp/ovpn/openvpn

Nun erstellen wir auf der Fritz!Box die Server Konfiguration mit dem mitgeliefertem Editor „vi“. Wenn ihr euch nicht an die Anleitung halten wollt und die server.conf auf dem Windows-Rechner erstellen wollt, um sie dann per FTP zu übertragen, dann benutzt einen Editor der Unix-Zeilenumbrüche unterstützt! Achtet auf die richtigen Dateinamen und Pfadangaben! Gebt nun auf Systemeeben diesen Befehl ein:

vi /var/tmp/ovpn/server.conf

Nun gebt ihr folgendes ein

# OpenVPN v2.0.5 config:
####################################################
# Authentifizierung und Verschluesselung
ca ca.crt
cert fritzbox.crt
key fritzbox.key
dh dh1024.pem

auth SHA1
cipher AES-256-CBC

####################################################
# Grundsaetzliches
port 1194
proto udp
dev tap
# insert onto shell: mknod /var/tmp/tun c 10 200
dev-node /var/tmp/tun


####################################################
# Server-Einstellungen
mode server
tls-server
client-to-client
server 10.0.0.0 255.255.255.0

ifconfig-pool-persist ipp.txt  # assign right IP-Addresses (optional)
mssfix 


#server:
#Routen setzen, bei route Subnetz des Clients
# bei push Subnetz des eigenen Servers eintragen
route 192.168.2.0 255.255.255.0 10.0.0.5
push "route 192.168.178.0 255.255.255.0"
push "redirect-gateway"


#client:
#Routen setzen, bei route Subnetz der Server-Box
# bei push Subnetz der eignen Client-Box eintragen
;route 192.168.178.0 255.255.255.0
;push "route 192.168.2.0 255.255.255.0"


# Don't close and reopen TUN/TAP device or run up/down 
# scripts across SIGUSR1 or --ping-restart restarts.
persist-tun 

# Change process priority after initialization 
# n>0 : lower priority; n<0 : higher priority).
nice 1
    

####################################################
# Verbindung aufrecht halten
#-- Server:
ping 10
ping-restart 60


#-- Client:
push "ping              15" # keep firewall open
push "ping-restart      60" # 1 minute
push "resolv-retry      infinite"




####################################################
## Enable compression
## server & client entry must be the same!
comp-lzo


####################################################
# Protokollierungseinstellung
verb 4

####################################################
# Daemon (Wenn alles funktioniert)
;daemon

####################################################
#Allow remote peer to change its IP address and/or port number, such as due to DHCP
# float tells OpenVPN to accept authenticated packets from any address, not only the 
# address which was specified in the --remote option.
float 

Jetzt erstellen wir für den Kernel 2.6 noch folgenden Eintrag

mknod /var/tmp/tun c 10 200

und starten darauf den OpenVPN Server auf der Fritz!Box

/var/tmp/ovpn/openvpn --cd /var/tmp/ovpn --config server.conf

Wenn ihr „Initialization Sequence Completed“ lesen könnt, dann ist alles super gelaufen. Er sagt, dass „keepalive“ fehlt, das ist aber ok. Denn dafür gibt es „ping“ und „ping-restart“ (Diese beiden Optionen kann man im Gegensatz zu keepalive pushen). mssfix, fragment und tun-mtu sind nicht soo wichtig. Das Fein-Tuning kommt später… OpenVPN könnt ihr nun mit Strg-C beenden. Sollte sich OpenVPN mal aufhängen, dann verbindet eine zweite Sitzung und gebt dort ein:

killall -9 openvpn

OpenVPN könnt ihr mit Hintergrund laufen lassen, indem das Semikolon vor „daemon“ in der server.conf entfernt wird.

4a. OpenVPN-Client (Windows = PC-i1) konfigurieren und starten

Die folgenden Dateien von „c:\programme\openvpn\keys“ nach „c:\programme\openvpn\config“ kopieren:

ca.crt
client01.crt
client01.key

Die client.ovpn

# OpenVPN v2.0.5 config:
####################################################
# Authentifizierung und Verschluesselung
cd c:\\programme\\openvpn\\config # Pfadanpassung; bzw. /etc/keys/...
ca ca.crt
cert kleiner.crt
key kleiner.key

auth SHA1
cipher AES-256-CBC

####################################################
# Grundsaetzliches
dev tap
proto udp
# ggf. ist es bei Linux-Clients noetig, den "dev-node" (Pfad zum tun-Device) anzugeben
#for 2.4: 
# dev-node /dev/misc/net/tun 
# for 2.6:
#do not forget to insert onto shell: mknod /var/tmp/tun c 10 200
# dev-node /var/tmp/tun

nobind


####################################################
# Client-Einstellungen
tls-client
ns-cert-type server #for OVP2.0 and below: check the server.crt
pull	# Fetch configuration from Server


####################################################
# Server-Einstellungen
remote your.dnsalias.com 1194    #Server IP/URI und evtl. port anpassen

####################################################
## Enable compression
## server & client entry must be equal!
comp-lzo

####################################################
# Protokollierungseinstellung
verb 4

####################################################
# Daemon
;daemon #ausführung im Hintergrund


#server:
#Routen setzen, bei route Subnetz des Clients
# bei push Subnetz des eigenen Servers eintragen
;route 192.168.xx.0 255.255.255.0
;push "route 192.168.yy.0 255.255.255.0"


#client:
#Routen setzen, bei route Subnetz der Server-Box
# bei push Subnetz der eignen Client-Box eintragen
route 192.168.178.0 255.255.255.0 10.0.0.1
push "route 192.168.1.0 255.255.255.0"


# Don't close and reopen TUN/TAP device or run up/down 
# scripts across SIGUSR1 or --ping-restart restarts.
persist-tun 

# Don't re-read key files on reconnect
persist-key

# Change process priority after initialization 
# n>0 : lower priority; n<0 : higher priority).
nice 1
    

####################################################
# Verbindung aufrecht halten
ping 10
ping-restart 60


Manuell verbinden:
Auf dem Windows Rechner ist euch sicherlich ein neues Symbol im Tray aufgefallen (zwei rote Monitore und eine Weltkugel). Dort macht ihr einen Rechtsklick drauf, und wählt Connect (Solltet ihr mehrere Configs auf eurem Windows Rechner haben, dann wählt im Kontextmenü „Verbindung zu meiner FritzBox“ und dort dann Connect). Wenn die beiden Monitore grün werden, dann ist eure OpenVPN Verbindung hergestellt!

Automatisch verbinden:
Um sofort nach dem Systemstart eine Verbindung herzustellen, benutzen wir den Dienst von OpenVPN. Wenn eine Verbindung hergestellt ist, beendet diese. Nun öffnet ihr: Start / Einstellungen / Systemsteuerung / Verwaltung / Dienste. Dort Rechtsklick auf OpenVPN Service, Starttyp auf Automatisch stellen und auf Starten klicken. Wenn nun keine Fehlermeldung erscheinen hat alles geklappt. Übrigens: Das GUI wird in diesem Fall nichts anzeigen!

Firewall:
Denkt dran eure Firewall zu konfigurieren:
1. Muss OpenVPN kommunizieren dürfen (Daten senden oder Daten empfangen / Verbindung mit xy herstellen usw., je nachdem wie es euch eure Firewall meldet)
2. Der IP-Bereich 10.0.0.0 sollte zum vertrauten Bereich hinzugefügt werden (Das kann man z.B. bei ZoneAlarm oder Norton einstellen!)
3. Wenn ihr euch total unsicher seid, dann schaltet die Firewall kurzfristig ab (Gefährlich!)

4b. Zweite FB oder anderen (Linux)-Router als Client konfigurieren und starten

Funktioniert im allgemeinen genauso, wie beim Windows-client, allerdings müssen für die FB die benötigten Dateien wie für den Serverbetrieb nachgeladen und in die debug.cfg eingebunden werden.

Nach erfolgreicher Verbindung des Windows-clients mit dem Server, kann die Konfigurationsdatei nahezu ohne Änderung übernommen werden. Lediglich die Routenanpassung muss getätigt werden.




weitere Clients hinzufügen

Um weitere Clients, egal ob Fritz!Boxen, sonstige Router, Linux- oder Windowsrechner, ist die Prozedur im Prinzip wie unter (2).

build-key <client_neu>

Troube Shooting

  • die Checkliste von MicAlter:

http://www.ip-phone-forum.de/showpost.php?p=537103&postcount=225

  • Route ins Server-Subnetz wird nicht angenommen:

Der Befehl um die Routen aufzulisten heisst:

route print
Dort sollte sich die 10.0.0.x befinden, sowie die 192.168.178.x. Ist die 10er Route nicht vorhanden, werden auch zusätzliche Routen nicht angenommen. Manuell sieht ein Hinzufügen unter Windows so aus:
route add 192.168.178.0 mask 255.255.255.0 10.0.0.1
Eventuell hilft hier eine Fehlermeldung weiter.

Das Entfernen der Route ist dementsprechend:
route delete 192.168.178.0 mask 255.255.255.0 10.0.0.1

Wenn alles erfolgreich verlief, sieht das Ergebnis am Client (PC-A) in etwa so aus:

C:\>route print
===========================================================================
Schnittstellenliste
0x1 ........................... MS TCP Loopback interface
0x2 ...xx xx xx xx xx xx ...... Intel(R) PRO/Wireless 2200BG Network Connection - Paketplaner-Miniport
0x3 ...xx xx xx xx xx xx ...... Realtek RTL8139-Familie-PCI-Fast Ethernet-NIC - Paketplaner-Miniport
0x20004 ...xx xx xx xx xx xx ...... TAP-Win32 Adapter V8 - Paketplaner-Miniport
===========================================================================
===========================================================================
Aktive Routen:
     Netzwerkziel    Netzwerkmaske          Gateway   Schnittstelle  Anzahl
          0.0.0.0          0.0.0.0      192.168.1.1     192.168.1.2       25
         10.0.0.0    255.255.255.0         10.0.0.2        10.0.0.2       30
         10.0.0.2  255.255.255.255        127.0.0.1       127.0.0.1       30
   10.255.255.255  255.255.255.255         10.0.0.2        10.0.0.2       30
        127.0.0.0        255.0.0.0        127.0.0.1       127.0.0.1       1
      192.168.1.0    255.255.255.0      192.168.1.2     192.168.1.2       25
      192.168.1.2  255.255.255.255        127.0.0.1       127.0.0.1       25
    192.168.1.255  255.255.255.255      192.168.1.2     192.168.1.2       25
    192.168.178.0    255.255.255.0         10.0.0.1        10.0.0.2       1
        224.0.0.0        240.0.0.0         10.0.0.2        10.0.0.2       30
        224.0.0.0        240.0.0.0      192.168.1.2     192.168.1.2       25
  255.255.255.255  255.255.255.255         10.0.0.2               3       1
  255.255.255.255  255.255.255.255         10.0.0.2        10.0.0.2       1
  255.255.255.255  255.255.255.255      192.168.1.2     192.168.1.2       1
Standardgateway:       192.168.1.1
===========================================================================
Ständige Routen:
  Keine


Wer zu den glücklichen Besitzern eines Toshiba-Notebooks gehört, sollte den Connection-Doctor von Config-free bemühen. Mir ist nicht ganz klar, was er tut, aber im Gegensatz zu dem lachhaften „reparieren“-Button von Windows, der vermutlich noch niemandem wirklich geholfen hat, bringt der Connection Doctor fast jedes (Windows) Netzwerkproblem mit einem Klick wieder in Ordnung.
<gefährlichesHalbwissen>Folgende Möglichkeiten sind evtl.: Die Leases von allen Netzwerkkarten lösen, den DNS-, und den ARP-Cache löschen, Windows' „Reparieren-Button“ versuchen.</gefährlichesHalbwissen>

Wer in vielen verschiedenen Netzwerken unterwegs ist, der sollte sich das voll funktionstüchtige (etwas ältere) Sharewareprogramm Netswitcher anschauen. Es ermöglicht es verschiedene Netzwerkprofile anzulegen und dabei per Mausklick (optional) sehr viele Einstellungen wie z.B. IP-Einstellungen, Dateifreigaben, Bookmarks uvm. zu speichern und zu wechseln. Hat man eine __funktionierende_ Netzwerkeinstellung einmal gespeichert, stellt es diese recht erfolgreich wieder her.

  • TLS Certifikat wird nicht erkannt

Ist die Weiterleitung in der ar7.cfg korrekt?

Links

Viele Infos:
http://vpnforum.de/ext/OpenVPN_man_DE.rtf

Gutes Tutorial:
http://www.vpnforum.de/viewtopic.php?t=467

das Original von Hellspawn:
http://www.ip-phone-forum.de/showpost.php?p=531364

OpenVPN-FAQ (en):
http://openvpn.net/faq.html

Entfernen von Zertifikaten:
http://openvpn.net/howto.html#revoke

Erklärung zum Routing und der Planung:
http://www.openvpn-forum.de/ext/RoutingIvan.pdf

kleine Zusammenfassung:
http://sarwiki.informatik.hu-berlin.de/OpenVPN_%28deutsch%29

===== z.Zt. unbenutzte Schnipsel ===== (Gibt es auch WIKI-Quelltext-kommentare??) ==== 1. OpenVPN-Server auf der Fritzbox installieren ==== Die wohl einfachste Methode ist mit Hilfe eines Pseudo-Updates von [[http://www.the-construct.com]]: Firmwareversion auswählen, OpenVPN auswählen und den Anweisungen folgen. === 2. eigenen Key erzeugen und einfügen === Wer wirklich Wert auf Sicherheit legt, sollte sich den Schlüssel auf dem eigenen Rechner erzeugen und nicht unverschlüsselt über das Internet schicken, wie bei (1) angeboten wird. * Schlüssel lokal erzeugen * per telnet einloggen * ändern der Zeilen, die den Schlüssel in der debug.cfg enthalten * Box Neustarten ==== 3. OpenVPN-Client auf dem externen Rechner installieren und einrichten ==== * download von [[http://openvpn.se/]] (OpenVPN incl. GUI) * installieren * secret.key aus (2) in das Konfigurationsverzeichnis kopieren * Konfigurationsdatei anpassen
risaer 2006/09/29 00:08

1) Nicht notwendig, wenn die Box als IP-Client hinter einem anderen Router hängt
2) Alternativen: laden vom USB-Stick bzw. direkt von dort ausführen(sicherer), per Pseudo-Firmware-Update(s.o)
 
gateways/avm/howtos/mods/openvpn.txt · Zuletzt geändert: 2009/03/15 12:42 von MaxMuster
 
Impressum
Recent changes RSS feed Creative Commons License Powered by PHP Valid XHTML 1.0 Valid CSS Driven by DokuWiki