noch mal OpenVPN

L I V E Stammtisch ab 20:30 Uhr im Chat
  • Hi Mel,

    auch dir ein dickes Danke fürs helfen.

    Zitat
    • Du hast zwei Netzwerke die du gerne Verbinden würdest. Der openVPN Server soll auf einem Pi im Netz deiner Eltern laufen!?


    Jup, ganz genau.

    Zitat
    • Du möchtest von deinem Handy von Unterwegs über UMTS/HSDPA/LTE in das Heimnetz deiner Eltern?

    Nee, eher nicht, ich möchte eigentlich nur in mein eigenes Netzwerk daheim um auf Haussteuerung, Sat-Receiver etc, zugreifen zu können. Funktioniert bei mir leider nicht über DynDNS da keine öffentliche IP.

    Zitat
    • Du hast bei dir daheim eine Internetzugang via FritzBox über das LTE Netz. An der FritzBox hängt ein Pi, der soll ebenfalls (mit/ohne Autostart) eine Verbindung zu dem Heimnetz deiner Eltern aufbauen?

    Ja, mein Pi soll sich durch die Fritzbox über LTE auf den Raspi bei meinen Ellis verbinden.

    Danke und Grüße Swen

    PS: Werd mit dem Tutorial vom Imperator nochmal ganz von vorn beginnen :s

    Einmal editiert, zuletzt von Taf73 (13. Juni 2015 um 16:06)

  • So, alles noch mal neu aufgesetzt,

    mein Windows-Rechner und der Pi verbinden sich nun mit dem Raspi-Server bei meinen Ellis, ich kann von meinem
    Heimnetzwerk auch Geräte im Elternnetzwerk anpingen.

    Nur andersrum geht es leider noch nicht.

    Hier das Log

    Sat Jun 13 16:50:50 2015 event_wait : Interrupted system call (code=4)
    Sat Jun 13 16:50:50 2015 TCP/UDP: Closing socket
    Sat Jun 13 16:50:50 2015 /sbin/route del -net 10.0.0.0 netmask 255.255.255.0
    SIOCDELRT: Operation not permitted
    Sat Jun 13 16:50:50 2015 ERROR: Linux route delete command failed: external program exited with error status: 7
    Sat Jun 13 16:50:50 2015 Closing TUN/TAP interface
    Sat Jun 13 16:50:50 2015 /sbin/ifconfig tun0 0.0.0.0
    SIOCSIFADDR: Operation not permitted
    SIOCSIFFLAGS: Operation not permitted
    Sat Jun 13 16:50:50 2015 Linux ip addr del failed: external program exited with error status: 255
    Sat Jun 13 16:50:50 2015 SIGTERM[hard,] received, process exiting
    Sat Jun 13 16:50:52 2015 OpenVPN 2.2.1 arm-linux-gnueabihf [SSL] [LZO2] [EPOLL] [PKCS11] [eurephia] [MH] [PF_INET6] [IPv6 payload 20110424-2 (2.2RC2)] built on Dec 1 2014
    Sat Jun 13 16:50:52 2015 NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
    Sat Jun 13 16:50:52 2015 Diffie-Hellman initialized with 1024 bit key
    Sat Jun 13 16:50:52 2015 WARNING: file '/etc/openvpn/certstore/pivpn.key' is group or others accessible
    Sat Jun 13 16:50:52 2015 TLS-Auth MTU parms [ L:1558 D:138 EF:38 EB:0 ET:0 EL:0 ]
    Sat Jun 13 16:50:52 2015 Socket Buffers: R=[163840->131072] S=[163840->131072]
    Sat Jun 13 16:50:52 2015 ROUTE default_gateway=192.168.178.1
    Sat Jun 13 16:50:52 2015 TUN/TAP device tun0 opened
    Sat Jun 13 16:50:52 2015 TUN/TAP TX queue length set to 100
    Sat Jun 13 16:50:52 2015 do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
    Sat Jun 13 16:50:52 2015 /sbin/ifconfig tun0 10.0.0.1 pointopoint 10.0.0.2 mtu 1500
    Sat Jun 13 16:50:52 2015 /sbin/route add -net 10.0.0.0 netmask 255.255.255.0 gw 10.0.0.2
    Sat Jun 13 16:50:52 2015 Data Channel MTU parms [ L:1558 D:1450 EF:58 EB:135 ET:0 EL:0 AF:3/1 ]
    Sat Jun 13 16:50:52 2015 GID set to nogroup
    Sat Jun 13 16:50:52 2015 UID set to nobody
    Sat Jun 13 16:50:52 2015 UDPv4 link local (bound): [undef]
    Sat Jun 13 16:50:52 2015 UDPv4 link remote: [undef]
    Sat Jun 13 16:50:52 2015 MULTI: multi_init called, r=256 v=256
    Sat Jun 13 16:50:52 2015 IFCONFIG POOL: base=10.0.0.4 size=62, ipv6=0
    Sat Jun 13 16:50:52 2015 ifconfig_pool_read(), in='client1,10.0.0.4', TODO: IPv6
    Sat Jun 13 16:50:52 2015 succeeded -> ifconfig_pool_set()
    Sat Jun 13 16:50:52 2015 ifconfig_pool_read(), in='client2,10.0.0.8', TODO: IPv6
    Sat Jun 13 16:50:52 2015 succeeded -> ifconfig_pool_set()
    Sat Jun 13 16:50:52 2015 IFCONFIG POOL LIST
    Sat Jun 13 16:50:52 2015 client1,10.0.0.4
    Sat Jun 13 16:50:52 2015 client2,10.0.0.8
    Sat Jun 13 16:50:52 2015 Initialization Sequence Completed

  • Hey Swen,

    das du deinen PC nicht von deinen Eltern aus "pingen" kannst ist nicht weiter schlimm, wenn du nun sicher gestellt hast, dass eine Verbindung aufgebaut ist, kannst du es wieder mit deinem PI versuchen!

    Falls du zuvor deinen "Ping-Test" machen möchtest, gehe in deine Firewall (auf deinem PC) und erlaube dem TUN/TAP Adapter Verbindungen in beide Richtungen.

    Für den Fall, dass du den Kompletten Datenverkehr routen willst benötigst du eine Regel auf dem openVPN Server. An sich ist das für deine Anwendungen jedoch nicht notwendig!

    Gruß, der Mel

  • Moin Swen,

    Installationen gehen ja flott bei Dir.

    Um meine "Idee" weiter zu konfigurieren, auf dem Server folgendes machen:
    Verzeichnis "/etc/openvpn/ccd" anlegen, wenn noch nicht vorhanden.

    In dem Verzeichnis eine Datei namens "client1" anlegen. (Ohne Endung = "/etc/openvpn/ccd/client"). Darin folgenden Inhalt schreiben:

    Code
    iroute 192.168.1.0 255.255.255.0  # clientnetz + netmask
    push-reset


    (Daimt weiß der Server, dass das Netzwerk 192.168.1.0 zu dem Client, mit dem Zerifikatsnamen (CN) "client1", gehört. Und Sonstige Routen dem Client nicht mitzugeben sind)

    In der Konfigurationsdatei des Servers noch folgende Zeilen ergänzen/anhängen:

    Code
    client-to-client
    route 192.168.1.0 255.255.255.0
    client-config-dir /etc/openvpn/ccd


    ("client-to-client" --> Die Clients können sich sehen)
    (route .... --> Das Netzwerk geht über diesen Server)
    (client-config-dir ... --> Clientabhängige Konfiguration)


    HTH

    Viele Grüße
    Olaf

    Wer nicht gekennzeichnete Rechtschreibfehler findet darf sie gerne behalten..

  • Hallo Ihr zwei,

    wie kann ich denn genau prüfen ob die beiden Raspis miteinander verbunden sind?

    Wie gehe ich dann weiter vor?...Reicht es aus, mich mit dem Smartphone zum Raspi meiner
    Eltern zu verbinden und hab dann Zugriff auf mein Heimnetzwerk? Oder muss ich da noch einige
    Einstellungen machen?

    Vielen Dank und Grüße Swen

  • Salve Swen,


    wie kann ich denn genau prüfen ob die beiden Raspis miteinander verbunden sind?


    Indem Du die Raspi mit den jeweiligen 10er-IP-Adresse anpingst.

    Vom Raspi-Zuhause müsste es dann

    Code
    ping 10.0.0.1


    (hoffentlich) zum Erfolg führen.



    Wie gehe ich dann weiter vor?...Reicht es aus, mich mit dem Smartphone zum Raspi meiner
    Eltern zu verbinden und hab dann Zugriff auf mein Heimnetzwerk? Oder muss ich da noch einige
    Einstellungen machen?


    Um Zugriff auf Dein Heimnetz zu bekommen müssen noch Routen eingestellt werden.
    Automatisch sollte es etwas mit dem was ich heute morgen geschrieben hatte etwas werden.

    Viele Grüße
    Olaf

    Wer nicht gekennzeichnete Rechtschreibfehler findet darf sie gerne behalten..

  • Hi Olaf,

    mit Deinem Eintrag lässt sich keiner von beiden anpingen, hab den Eintrag mal deaktiviert, da funktioniert
    der Ping auf 10.0.0.1 aber der Ping auf 10.0.0.5 von meinen Eltern aus funktioniert leider nicht :(.

    Vielen Dank

  • Hallo Swen,

    der Raspi-Zuhause sollte, nach dem letzten Log (Beitrag #42), die IP 10.0.0.4 oder 10.0.0.8 haben.

    Cool wäre, wenn Du das Log vom Server (Raspi-Eltern) schreiben könntest, wenn "meine" Einträge drin sind und der Raspi-Zuhause gerade eine Verbindung aufgebaut hat.
    Also erst auf dem Raspi-Eltern Einträge wieder rein, dann openvpn neu starten. Danach auf dem Raspi-Zuhause openvpn neu starten.


    Eigentlich sollten die Änderungen nichts an den 10er-IP-Adressen verfummeln. :s
    Sonst nimm mal den Eintrag "route 192.168.1.0 255.255.255.0" heraus.

    So langsam :wallbash::lol:


    Viele Grüße
    Olaf

    Wer nicht gekennzeichnete Rechtschreibfehler findet darf sie gerne behalten..

    Einmal editiert, zuletzt von korky2 (14. Juni 2015 um 14:36)

  • So, deine Anweisung rein, beide neu gestartet, Log mit Verb 5


    Einmal editiert, zuletzt von Taf73 (14. Juni 2015 um 15:20)

  • Hallo Swen,


    So, deine Anweisung rein, beide neu gestartet, Log mit Verb 5


    Code
    [...]
    Sun Jun 14 14:40:26 2015 us=488045   ifconfig_local = '10.0.0.1'
    Sun Jun 14 14:40:26 2015 us=488166   ifconfig_remote_netmask = '10.0.0.2'
    [...]

    Sehr ominös! Netzmaske 10.0.0.2?
    (Jetzt schreibe mir schon selbst :lol: )

    Jetzt schaue ich seit Stunden auf das Log :lol: .
    Na, das stimmt nicht so. Es wurmt mich, dass es bei Dir nicht läuft. Aber Stunden waren es auch wieder nicht.

    Jetzt werden wir wieder ernst.

    Ich fasse es nicht, dass es nicht läuft.
    Ich habe ein Verdacht, aber ist auch wieder nur eine Vermutung. Bevor wir weiter im trüben fischen würde ich vorschlagen, dass Du die unten aufgeführten Konfigurationen noch mal probierst.

    Hierzu alle Zertifikate und das ccd-Verzeichnis in Ruhe lassen. Nur die Konfigurations-Dateien ersetzen.
    Ich gehe davon aus, dass das Zertifikat "client1" auf dem Raspi-Zuhause ist.

    "<IPoderHOSTNAME>" natürlich entsprechend anpassen. Aber das kennst Du ja.

    Auf dem Client (Raspi-Zuhause):

    Auf dem Server (Raspi-Eltern) die vorhandene Konfigurationsdatei mit folgenden Inhalt ersetzen:


    Ich habe jetzt meine Konfiguration frisch von den Rechnern geholt und nach den Umständen angepasst. (Hoffentlich richtig)

    Danach auf beiden Raspi openvpn neu starten, oder ein reboot.

    Ich bin, wie immer, auf die Rückmeldung von Dir gespannt.

    Viele Grüße
    Olaf

    PS
    Gerade noch probiert:
    Mein Rechner Zuhause baut eine Verbindung zu dem Server in Frankreich auf. Per OpenVPN. Die Verbindung besteht immer.
    Mit meinem Android-Handy über Freifunk eine OpenVPN-Verbindung zu dem Server in Frankreich.
    Vom Handy ein Ping auf die IP des Notebooks vor dem ich (im Heimnetz) sitze kommt durch. Portscan klappt...
    Umgekehrt geht es auch (Lappy -> Handy)

    Wer nicht gekennzeichnete Rechtschreibfehler findet darf sie gerne behalten..

  • Hallo Olaf,

    Konfiguration hab ich mal so übernommen,

    hier das Log

    Kann keinen Computer im anderen Netzwerk anpingen, bei der Route auf Client1 läuft auch irgendetwas schief:

    iel Router Genmask Flags Metric Ref Use Iface
    0.0.0.0 192.168.1.1 0.0.0.0 UG 202 0 0 eth0
    10.0.0.5 0.0.0.0 255.255.255.255 UH 0 0 0 tun0
    192.168.1.0 0.0.0.0 255.255.255.0 U 202 0 0 eth0

    Grüße und danke Swen

    Einmal editiert, zuletzt von Taf73 (15. Juni 2015 um 20:54)

  • Hallo Swen,

    das ist ja komisch.

    Code
    Mon Jun 15 20:36:49 2015 Initialization Sequence Completed


    Sag mal, ist Deine SD-Karte voll? Das Log geht ja immer nur bis dahin. :s

    Normalerweise sollte der Server erfolgreiche und vergebliche Verbindungsversuche aufschreiben...
    (auch mit "verb 3")

    Ich habe drei openVPN Tunnel, mit Raspbian und Debian Wheezy, am laufen. Sogar über IPv6. Wenn sie laufen, dann laufen sie. Wenn ich in die Logs, vom Server, schaue steht aber immer danach etwas. Welcher Client mit welchen Zertifikat und welcher IP-Adresse sich verbunden, bzw. wer es versucht
    (Ich glaube, das ist Abends zu spät für mich :sleepy: )

    Magst du nur den Client noch mal neu starten?


    Danach muss dann aber im Log auf dem Server mehr kommen.


    Da ist doch irgendwo der Wurm drin. :@

    - Die Konfigurationsdateien haben jeweils ".conf" am Ende?
    - Port wird richtig weiter geleitet
    - /etc/default/openvpn alle "AUTOSTART" auskommentiert bzw. nur "all" aktiv
    - Keine Firewall auf den Raspis
    - Alle IPTable-Regeln aus
    - Äääh, pff. Sonst gibt es bestimmt noch 1000 andere Sachen


    Viele Grüße
    Olaf

    Wer nicht gekennzeichnete Rechtschreibfehler findet darf sie gerne behalten..

  • Pack mal

    Code
    script-security 2


    in deine Client Config.
    Sonst ist dem OpenVPN Clienten nicht erlaubt die Routen zu ändern.

    Zitat


    --script-security level [method]
    This directive offers policy-level control over OpenVPN's usage of external programs and scripts. Lower level values are more restrictive, higher values are more permissive. Settings for level:

    0 -- Strictly no calling of external programs.
    1 -- (Default) Only call built-in executables such as ifconfig, ip, route, or netsh.
    2 -- Allow calling of built-in executables and user-defined scripts.
    3 -- Allow passwords to be passed to scripts via environmental variables (potentially unsafe).


    https://openvpn.net/index.php/open…openvpn-21.html

    Offizieller Schmier und Schmutzfink des Forum.
    Warum einfach wenn's auch schwer geht ?

    Kein Support per PN !
    Fragen bitte hier im Forum stellen. So hat jeder etwas davon.

  • Hallo,

    war gestern bei meinen Ellies und hab den Raspberry komplett neu aufgesetzt,
    nach dem Restart des OpenVPN folgendes Log

    So langsam weiß ich nicht mehr weiter :(

    Danke für Eure Hilfe

    Grüße Swen

    Einmal editiert, zuletzt von Taf73 (17. Juni 2015 um 15:23)

  • Hallo Swen,

    sieh doch gut aus oder?


    Für "client1" wurde die Client-Config eingelesen. Die interne Route sollte beim Raspi-Eltern richtig gesetzt sein.
    Rein theoretisch (ich bin da mal vorsichtig) sollte die Routen auf dem Raspi-Eltern richtig gesetzt sein.
    Dein Netzwerk (192.168.1.0) sollte auf "tun0" zeigen.


    Wenn Du dich mit einem weiteren Gerät einen Tunnel aufbaust passiert was?
    Oder anders gefragt, was kannst Du da per Ping erreichen? (Raspi-Zuhause, Geräte in Deinem Netzwerk?)

    Viele Grüße
    Olaf

    Wer nicht gekennzeichnete Rechtschreibfehler findet darf sie gerne behalten..

  • Hallo Swen,


    leider lässt sich das jeweils andere Netzwerk nicht anpingen :(

    Ok. Ist jetzt nicht sooo ausagekräftig.
    Ich weiß, ich habe nicht die richtigen Fragen gestellt. Sorry.

    Aber die 10er IP-Adressen (10.0.0.1 und 10.0.0.6) sollten erreichbar sein. Oder?
    (Von den jeweiligen Raspis, bzw. vom Smartphone)

    Was sagen denn die jeweiligen Routen?
    Raspi-Eltern:

    Code
    ip r

    Raspi-Zuhause:

    Code
    ip r

    IP-Forwarding ist beim Raspi-Zuhause eingeschaltet?

    Code
    cat /proc/sys/net/ipv4/ip_forward

    Die Ausgaben wären als nächstes Intressant.


    Viele Grüße
    Olaf

    Wer nicht gekennzeichnete Rechtschreibfehler findet darf sie gerne behalten..

  • Moin Olaf,

    ip r erzeugt folgende Ausgaben

    Eltern:

    Code
    default via 192.168.178.1 dev eth0  metric 202
    10.0.0.0/24 via 10.0.0.2 dev tun0
    10.0.0.2 dev tun0  proto kernel  scope link  src 10.0.0.1
    192.168.1.0/24 via 10.0.0.2 dev tun0
    192.168.178.0/24 dev eth0  proto kernel  scope link  src 192.168.178.21  metric 202

    Zuhause:

    Code
    default via 192.168.1.1 dev eth0  metric 202
    10.0.0.5 dev tun0  proto kernel  scope link  src 10.0.0.6
    192.168.1.0/24 dev eth0  proto kernel  scope link  src 192.168.1.4  metric 202

    IP-Forwarding ist eingeschaltet

    Danke Dir

    Grüße Swen

    Einmal editiert, zuletzt von Taf73 (18. Juni 2015 um 13:42)

Jetzt mitmachen!

Du hast noch kein Benutzerkonto auf unserer Seite? Registriere dich kostenlos und nimm an unserer Community teil!