Einstellungen Openvpn

[croixaigle]

Hallo zusammen,

ich habe mein Openvpn soweit eingerichtet. Server läuft, nur in der /var/log/openvpn.log habe ich ne Fehlermeldung und komme nicht weiter.

disabling NCP mode (--ncp-disable) because not in P2MP client or server mode
Options error: --ifconfig-pool/--ifconfig-pool-persist requires --mode server
Use --help for more information.

Wo muss ich die Einstellungen vornehmen? in server.conf und welche?
Wird weitere Infos benötigt?

[eggy]

Wie wärs damit die configs zu posten?
Geraten würde ich sagen, dass in Deiner server config die Option "server" fehlt (wobei ich dann aber andere Fehlermeldungen erwarteten würde). Oder, dass Du in der client config versuchst, eine der beiden genannten ifconfig-pool Optionen einzusetzen, was wie die Fehlermeldung sagt, nicht geht.

[croixaigle]

41198

Was mich wundert, das ich verb 3 und 6 stehen habe.

[TomL]

Wenn Du Deine eigene Conf besser verstehen können möchtest, würde ich Dir empfehlen, sie auf ein lesbares Format zu bringen und das Original gesichert irgendwo auf der Platte stehen lassen. So kann doch kaum einer die Zusammenhänge nachvollziehen. Effektiv enthält Deine Conf nur diese wirkenden Angaben:

Code: Alles auswählen

verb 6
log /var/log/openvpn.log
port 1394
proto udp
dev tap

ca /etc/openvpn/ca.crt
cert /etc/openvpn/server.crt
key /etc/openvpn/server.key # This file should be kept secret
dh /etc/openvpn/dh2048.pem

ifconfig-pool-persist ipp.txt
push "route 192.168.178.199 255.255.255.0"

keepalive 10 120

tls-auth /etc/openvpn/ta.key 0 # This file is secret
cipher AES-256-CBC

persist-key
persist-tun

status openvpn-status.log
verb 3
explicit-exit-notify 1

Dazu fällt mir ein:
Erstens: Eggy hat gesagt "die confs", wo ist die Zweite...?... oder gibts die noch gar nicht?
Zweitens: Bist Du sicher, dass Du mit dem Tap-Device zwei Netze bridge'n willst?

Irgendwie erinnert mich Deine Conf an dieses Modell? https://community.openvpn.net/openvpn/w ... PNBridging
Drittens: Also, was soll überhaupt am Ende mit fertigem OpenVPN herauskommen? Was ist das Ziel?

[croixaigle]

wie die zweite? vom client? Kommt vlt noch, wenn es weiter Probleme gibt (was ich nicht hoffe), erst mal server ohne Fehler.

Ich will nicht bridgen, sondern nur das 1 netz nutzen. Da der DHCP bereich von 200 - 250 ausreichend sein sollte.
Tap wäre sinnvoll

[eggy]

Die Frage nach dem was-soll-das-werden ist schon nicht so ganz unberechtigt, davon hängt ab, welche Optionen sinnvollerweise in die Config sollten.
Da gibts nen Beispiel: https://github.com/OpenVPN/openvpn/blob ... erver.conf

Code: Alles auswählen

# Configure server mode and supply a VPN subnet
# for OpenVPN to draw client addresses from.
# The server will take 10.8.0.1 for itself,
# the rest will be made available to clients.
# Each client will be able to reach the server
# on 10.8.0.1. Comment this line out if you are
# ethernet bridging. See the man page for more info.
server 10.8.0.0 255.255.255.0

Das wäre unter Umständen dann die Zeile die in der Server config fehlt. Wie gesagt, unter Umständen, kommt drauf an und so.

Und verb brauchst Du nur einmal, wie gesprächig das Teil sein soll musst Du schon selber wissen.

[TomL]

wie die zweite? vom client? Kommt vlt noch, wenn es weiter Probleme gibt (was ich nicht hoffe), erst mal server ohne Fehler.
Ich will nicht bridgen, sondern nur das 1 netz nutzen. Da der DHCP bereich von 200 - 250 ausreichend sein sollte.Tap wäre sinnvoll

Es sieht so aus, als fehlt es hier noch an grundsätzlichem Verständnis... wobei das aber nicht das Problem ist. Allerdings ist immer noch völlig unklar, was Du überhaupt erreichen möchtest. Wenn Du zwei Netze (und das sind es, denn das vorhandene statische Netzwerk ist eins, und das OpenVPN ist auch eins) verbinden willst, und das im quasi gleichen IP-Range, dann musst Du das sehr gewissenhaft mit der subnet-mask trennen.... und das ist wirklich nicht trivial. Da einfach was über den DHCP-Range zu basteln, wird nicht gelingen. Eggy's Beispiel ist nun bei Nutzung des TUN-Devices (beim schnellen drübergucken) eine Routing-Conf.

Deswegen noch mal die Frage, was willst Du überhaupt ereichen, Routing oder Bridging, mit welcher Hardware, wie soll das wann und unter welchen Bedingungen funktionieren? Solange das nicht klar ist, vermute ich, kann man Dir nicht helfen. Beschreib es einfach in ganzen Sätzen, so präzise, wie es geht, so umfassend, wie nötig, so das man das hier nachvollziehen kann. Solange warte ich mit weiteren Postings.

[croixaigle]

Aktuell habe ich mein Smartphone, Tablet mit dem vpn der fritzbox verbunden. Und da diese nicht sicher genug ist, möchte ich es mit openvpn verbinden. So wie Laptop, wenn ich unterwegs bin. Ich möchte ganz normal über die Hausip ins Internet, wenn ich mich im Ausland befinde, so wie auf meine Lokalen daten.
Was einfacher ist ob tun oder Tab, schwanke ich immer hin und her. Ich möchte ein einfaches Openvpn, das mir das bietet wie die ersten 2 Sätze.
Und welches Verb, ist 6 das bessere: Hilfe bei debug Probleme

Die config ab ich auf Vorderman gebracht und auch angepasst von eggy.

Code: Alles auswählen

log /var/log/openvpn.log
port 1394
proto udp
dev tun

ca /etc/openvpn/ca.crt
cert /etc/openvpn/server.crt
key /etc/openvpn/server.key  # This file should be kept secret
dh /etc/openvpn/dh2048.pem
tls-auth /etc/openvpn/ta.key 0 # This file is secret

server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
keepalive 10 120
cipher AES-256-CBC

persist-key
persist-tun

status openvpn-status.log
verb 6
explicit-exit-notify 1

Befehl: nano /var/log/openvpn.log ist jetzt ne lange Zeile, ein kleiner Ausschnitt:

Code: Alles auswählen

Wed Oct 11 08:31:58 2017 us=179498 Current Parameter Settings:
Wed Oct 11 08:31:58 2017 us=179540   config = '/etc/openvpn/server.conf'
Wed Oct 11 08:31:58 2017 us=179551   mode = 1
Wed Oct 11 08:31:58 2017 us=179561   persist_config = DISABLED
Wed Oct 11 08:31:58 2017 us=179571   persist_mode = 1
Wed Oct 11 08:31:58 2017 us=179580   show_ciphers = DISABLED
Wed Oct 11 08:31:58 2017 us=179589   show_digests = DISABLED
Wed Oct 11 08:31:58 2017 us=179599   show_engines = DISABLED
Wed Oct 11 08:31:58 2017 us=179608   genkey = DISABLED
Wed Oct 11 08:31:58 2017 us=179617   key_pass_file = '[UNDEF]'
Wed Oct 11 08:31:58 2017 us=179627   show_tls_ciphers = DISABLED
Wed Oct 11 08:31:58 2017 us=179636   connect_retry_max = 0
Wed Oct 11 08:31:58 2017 us=179646 Connection profiles [0]:
Wed Oct 11 08:31:58 2017 us=179655   proto = udp
Wed Oct 11 08:31:58 2017 us=179665   local = '[UNDEF]'
Wed Oct 11 08:31:58 2017 us=179674   local_port = '1394'

[TomL]

Ok, das ist nicht so schwer. Hast Du einen DynDNS-Account? Das ist notwendig und eine Voraussetzung, um von außerhalb über das Internet Deine Fritzbox zu erreichen. Da gibts es kostenpflichtige Dienste, die einfach funktionieren, da gibts es freie, die einen aber regelmäßig "zwangstrennen". Und es gibt wohl auch ganz freie, wo ich aber nix zur Stabilität und Verfügbarkeit sagen kann. Und es gibt noch das MyFritz-Konto, welches mit der Fritzbox "geliefert wurde" ist, welches kostenlos ist und welches sich bei mir als stabil erwiesen hat.

Also... bevor DynDNS nicht eingerichtet ist, brauchst Du hier nicht weiterzumachen. DynDNS ist Voraussetzung! Wie ist der Stand? Und eine abschließende Frage: Auf welcher Maschine soll für diesen Service der OpenVPN-Server laufen? Ich bin unsicher, ob Du das Fritzbox-VPN nutzen willst, oder (wie ich das mache) über einen eigenen OpenVPN-Server?

[croixaigle]

Frage DynDNS ist geklärt, da ich einen eigenen server mit debian am laufen habe. (Nextcloud, Samba, Wiki etc) und die Fritzbox als VPN (nicht so sicher ist) ist eine verübergehende Lösung.
Jetzt soll der Openvpn Dienst auf den Server, das ich auch unterwegs auf meine Daten vom Samba drauf komme.

Erst mal muss der Server sauber laufen, wenn dies der Fall ist, geht es weiter an die client.conf
Da ich schon einiges getestet habe und auch fehler vorkammen, sollte oder hoffe ich, das es nach den Einstellungen läuft.
Es bringt nichts am client zu basteln, wenn der server nicht mal sauber läuft.
Auch wenn einige bemerkt haben, es klemmt an Erfahrung, da ich neu in dem gebiet bin. So habe ich auch ne gewisse Logik, wie ich was mache und es am sinnvollsten ist.
Wo keine Logik ist, da kein Sinn.

[TomL]

.... es klemmt an Erfahrung, da ich neu in dem gebiet bin.

Das ist nunmal überhaupt kein Problem.

Frage DynDNS ist geklärt, da ich einen eigenen server mit debian am laufen habe.

Das hingegen ist jetzt ein größeres Problem, weil das eine mit dem anderen überhaupt nix zu tun hat. Der DynDNS-Service spielt sich allein zwischen Internet und Deiner Fritzbox ab. Das heisst, Du müsstest entweder irgendwo einen Account gekauft haben, oder Du nutzt einen freien Service, oder Du hast bei einem Web-Hoster eine HP gebucht und kannst darüber DynDNS nutzen... oder Du hast ein MyFritz-Konto. Ohne einen DynDNS ist es bei täglicher Zwangstrennung so gut wie nicht möglich, im Internet die eigene Fritzbox zu finden. Darüber ist ausschlaggebend für den Funktionbsumfang, was für einen DSL-Zugang zu hast. Wenn es ein DS-Lite ist, gibts konkrete Restriktionen.

Bevor man hier weitermacht und nicht mit Try and Error die Zeit verschwenden will, solltest Du etwas präziser beschreiben, wie die Rahmenbedingungen sind. Ansonsten ist das nur blind rumballern und auf zufallstreffer hoffen. Und mit zielgerichteten und logischen Vorgehen hat das nun mal gar nix zu tun.

Erst mal muss der Server sauber laufen,

Nee, überhaupt nicht.... der Server ist pillepalle, das ist nur ein Paket installieren, ein paar Keys und Certs generieren und eine Conf einrichten. Wenn das jedoch mit dem DynDns und einer korrekten Router-Einstellung (Weiterleitung und Portfreigaben) nicht klar ist, kannst Du alles vergessen... ob der Server läuft oder nicht.

[croixaigle]

ich habe einen dyndns Acount unabhänging von AVM. Dachte, es wäre aus meiner Satzbauweise erklärend.

Was fehlt zum Server noch?

Wie Präzisse. Ist soweit alles gesagt wie ich es mir vorstelle.
Port für 1394 ist schon offen.
Dyndns steht auch.
Sicherheitszertifikate sind erstellt, für server und für client.
Der client ist auch schon generriert.
Wenn der Server soweit vorbereitet ist, dann würde ich weiter machen.
Fehlt noch was? Mit präzisse: Ist die Frage was genau gemeint wird. Aktuell ist alles da an Info für die Einstellungen

[croixaigle]

Hier die client conf bzw client.ovpn

Code: Alles auswählen

client
dev tun
proto udp

remote simsons.dnshome.de 1394
ca ca.crt
cert client.crt
key client.key
remote-cert-tls server
tls-auth ta.key 1

resolv-retry infinite
nobind
persist-key
persist-tun
cipher AES-256-CBC
verb 6

Habe verb 6 genommen, wie beim Server.

[croixaigle]

so, gute Nachrichten, ich habe Verbidnung.
die schlechte ist, ich habe weder die externe IP vom Router noch kann ich ins eigene Netz.

[TomL]

Ich kann mich leider erst ab späten Nachmittag drum kümmern, sorry, aber kurz vorab

so, gute Nachrichten, ich habe Verbidnung.
die schlechte ist, ich habe weder die externe IP vom Router noch kann ich ins eigene Netz.

Wenn "Verbindung" bedeutet, dass du openvpn ohne Fehler gestartet hast, dann hast du keine Verbindung, sondern nur einen Dienst gestartet, der auf einen port lauscht.
Und ja, natürlich hast du die externe IP deines Routers. Denn genau das ist ja die Aufgabe deines dyndns-providers. Trage einfach den von dir festgelegten dns-name in die Client-conf ein.

[croixaigle]

ich habe noch was gefunden, hoffe das passt und macht keine späteren konflikt Probleme:

# nano /etc/sysctl.conf

im Texteditor, entfernen das Kommentarzeichen "#" vor der Zeile "#net.ipv4.ip_forward=1" und aktivieren nach dem Speichern der Datei die Änderung mit diesem Befehl:

# sysctl -p /etc/sysctl.conf

Nun muss noch mit dem Paketfilter iptables, der Teil des Linux-Kernels ist, eine Weiterleitung für die VPN-Pakete eingerichtet werden. Mit den beiden Befehlen

# iptables -A INPUT -i tun+ -j ACCEPT
# iptables -A FORWARD -i tun+ -j ACCEPT

erstellen Sie die Regeln für das VPN-Netzwerk-Interface und mit den weiteren drei Befehlen

# iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
# iptables -t nat -F POSTROUTING
# iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE (statt eth0 kann es sein z.b. enp0s9 oder enp0s25)

legen Sie fest, dass die VPN-Clients auch in das lokale Netzwerk und ins Internet kommen. Damit diese Regeln immer gleich automatisch nach dem Start des Raspberry Pi aktiv werden, geben Sie

# iptables-save > /etc/iptables.up.rules

ein, um die aktuellen Einstellungen von iptables zu sichern. Erstellen Sie mit

# nano /etc/network/if-pre-up.d/ iptables

eine neue Script-Datei, der Sie den Inhalt

#!/bin/bash
/sbin/iptables-restore < /etc/ iptables.up.rules

geben und speichern. Jetzt müssen Sie die Datei nur noch mit\

# chmod +x /etc/network/ if-pre-up.d/iptables

ausführbar machen.

Ich komme bei dem Befehl nicht weiter: chmod +x /etc/network/ if-pre-up.d/iptables
chmod: Zugriff auf 'if-pre-up.d/iptables' nicht möglich: Datei oder Verzeichnis nicht gefunden
Obwohl ich root bin

[TomL]

Du brauchst keine IPtables, das funktioniert auch ohne. Ich klink mich jetzt aber hier aus... das Vorgehen ist mir (trotz mehrerer Hinweise) zu unstrukturiert... einfach mal hier was machen, und da was probieren und dann wieder an anderer Stelle noch was neues machen... das führt nur mühsam und rein zufällig ans Ziel.

Wenn bisher keine Iptables gesetzt sind, kannst Du den Teil mit den Firewall-Regeln vergessen.... den braucht es nicht. Das sind in Kurzform die zu erledigenden Schritte und die notwendige Reihenfolge.

Server:
1. Keys und Zertifikate mit dem RSA-Tool erzeugen
2. Linux-seitig IPv4-Forwarding aktivieren
3. die Openvpn.conf einrichten, dabei dem VPN ein eigenes Netz vergeben
4. Das VPN für den Start über init.d deaktiveren
5. Den Start über eine Service-Unit einrichten

Router:
6. Der Fritzbox den DynDNS-Betreiber mitteilen, damit sie beim Wechsel die neue IP mitteilen kann
7. Port-Forwarding aktivieren und den Zielrechner (OpenVPN-Server) eintragen
8. VPN-Port für UDP freigeben. Wenn auch noch eine TCP-Session (z.B. für Port 443) eingerichtet werden soll, muss die auch freigegeben werden. Ich habe das so gemacht, weil es Netzbetreiber gibt, die UDP-Traffic blocken. Dann is nix mit VPN-Zugang und sicherem Surfen. Ich wechsel dann auf die zweite Session... eben TCP.

Clients:
9. Die OVPN-Confs einrichten und dort den DynDNS-Namen des Routers eintragen.
10. die zuvor auf dem Server erstellten Keys und Zertfikate für diese Maschine installieren

Testen:
10. Eine Smartphone nehmen, mobile Daten aktivieren, Thetering aktivieren und mit einem
Laptop am WLAN des Handy anmelden. Damit befindet sich der Laptop ausserhalb des
Fritzbox-Netzes und hat trotzdem einen Internetzugang.

11 mit Ping {fritzbox-DynDns} versuchen den Router zu erreichen.
12. Wenn der Router anwortet, das Server-VPN beenden, comment-tag vor den Logs in der Conf
setzen und erneut im Vordergrund starten. Dann das Client-VPN auf dem Laptop starten, ebenfalls
im Vordergrund und auf beiden System die Fehler im Terminal-Display beobachten.

Wenns läuft, alles gut, ansonsten Fehler beheben. Am ende wieder die Comment-tags entfernen und den Dienst via systemctl starten.

Das wars. An dieser Beschreibung kannst Du Dich orientieren, die entspricht dem, was Du vorhast. Aber auch hier gilt, wenn bisher keine Firewall werkelt, ist auch hier kein NAT notwendig.
http://wiki.openvpn.eu/index.php/Konfig ... etgateways

[eggy]

# chmod +x /etc/network/ if-pre-up.d/iptables

Ich komme bei dem Befehl nicht weiter: chmod +x /etc/network/ if-pre-up.d/iptables
chmod: Zugriff auf 'if-pre-up.d/iptables' nicht möglich: Datei oder Verzeichnis nicht gefunden
Obwohl ich root bin

Erstens: Wenn man Anleitungen kopiert, gehörts zum guten Ton die Quelle anzugeben.
Zweitens: Da ist nen Leerzeichen was da nicht reingehört.
Drittens: Anleitungen aus dem Netz ausführen, ohne zu verstehen was da passiert, ist ne doofe Idee. Lieber hier oder woanders (falls $woanders besser zum Thema passt) verlinken und dann gezielt nachfragen.

[croixaigle]

Entschuldigung. Die Anleitung habe ich vor längerer Zeit aus dem netz geholt und es in mein Wiki eingefügt. Ich würde zu gerne die Quelle angeben.
Aktuell habe ich nichts gemacht. Komme mit der Anleitung von Toml nicht ganz zu recht.
Firewall wurde auch nicht aktiviert oder der gleichen.
Frage ist, was ich wo eintrage, wenn ich die Anleitung vom Toml anschaue, habe ich einige Punkte abgeschlossen und andere sind die Frage, wie wo was.
So lange ich nicht auf ein nenner komme, stelle ich es erst mal ein, zumüllen geht immer. Das möchte ich nicht.