Besten Dank für die schnelle Antwort -> funktioniert !
mfg
Stanger
Besten Dank für die schnelle Antwort -> funktioniert !
mfg
Stanger
Hallo,
ich habe an meinem Pi 2B den Port von 22 auf xyz mittels "sudo nano /etc/ssh/sshd_config" geändert und danach
mit "sudo /etc/init.d/ssh restart" den SSH Service neu gestartet.
Nun bekomme ich natürlich auf dem Client die Fehlermeldung daß der Service nicht gefunden wird,
was ja auch klar ist da dieser nun auf dem neuen Port ist.
Wie muß ich im das im Terminal des Clients (Linux Mint Cinammon 17.3) eingeben daß er das Pi wieder
findet ?
funzt leider nicht.
Bitte um Hilfe.
mfg
Stanger
Hi rpi,
also i-wie meine ich daß es nicht am Zertifikat liegen kann...aber ich hab diesbezüglich nur rudimentäre Kenntnisse.
Der_Imperator liegt vll. nicht ganz falsch dass es eher am routing liegen könnte, ich habe mir gerade mal das GUI vom switch angeguckt.
Dort gibts Optionen wie VLAN usw. ... i-wie habe ich vorerst die Schnautze voll von VPN@Raspberry Pi und ich nerv euch besser nicht länger damit...
Evtl. mache ich nochmal das Pi platt und starte einen neuen Versuch in ein paar Wochen...wenn man genervt von einer Sache ist geht's sowieso nicht weiter....
Bis dahin vielen lieben Dank für die Hilfe.
mfg
Stanger
Hi rpi444,
hab das vorherige Posting gerade nochmal editiert.
Hier zu deiner Frage:
Sowohl das Pi als auch der Client hängen an einem TP-Link TL-SG105E Switch welcher dann am Router (TP-Link Archer C7 V.2) hängt.
DHCP am Switch ist aus und sowohl der Pi als auch der Client bekommen per Adress-reservation vom Router ihre Feste-IP zugeteilt.
IP-Konflikte gibt es keine.
Zitat
Routen löschen ... Aber nur dann wen Du auch weißt was Du tust)
Nur so halbwegs
Bzgl. es umleitens von 10.x.x.x auf 192.168.raspIP geht das evtl. mit der Option auf dem Bild ?
[/img]
mfg
Stanger
Hallo,
also Firewall ausschalten ist kein Problem, nur
Zitat, entferne (lösche) auf dem Client folgende Routen
Da hängts bei mir schon wieder muß ich dass in der client.conf machen ?
Der_Imperator: Danke für den Link, genau darin sehe ich das Problem soweit ich das überhaupt beurteilen kann.
Edit: Ok, soweit ich das aus dem Link jetzt entnehmen kann muß im Router der Port 1194 (steht in der Server und Client.conf) an die IP meines Servers
also dem PI weitergeleitet werden. Laut dieser Anleitung muß zudem noch eine Verbindung zw. 10.8.0.0/24 zum Server, also Pi bei mir 192.168.x.y geroutet werden.
Hier schon das nächste Problem -> wie heißt die entsprechende Funkion im Router ?
Ist es evtl. sowas wie "Static route" ? Router ist ein TP-Link AC 1750 Archer C7 Rev 2.
Zurück zum Thema also das mit dem routing kann ich nicht ändern weil ich nicht weiß wo.
Ich habe gerade mal tcpdump auf dem Pi installiert, die Firewall ausgeschaltet und "sudo tcpdump -c 20 -vvveni tun0 icmp" auf dem Pi gestartet.
Den VPN-Client hab ich ebenso gestartet und den Ping auf 10.8.0.6 ausgeführt (andere Adressen kam kein Ping an -> 100% Verlust).
Die Ausgabe von "sudo tcpdump -c 20 -vvveni tun0 icmp" auf dem Pi während des pingens hat sich nicht verändert ->
tcpdump: listening on tun0, link-type RAW (Raw IP), capture size 262144 bytes
0 packets captured
0 packets received by filter
0 packets dropped by kernel
mfg
Stanger
Zitat
Ich denke, Du hast die Firewall auf dem Client, betr. VPN, nicht richtig konfiguriert (weil Du schreibst, die Ports 1194)
War ein schreibfehler natürlich muß es "den Port" lauten.
Ich habe die Firewall auch schon testweise ausgeschalten, gleiche Problematik.
mfg
Stanger
Hallo,
am Client habe ich die gfuw Firewall installiert und zwischen Client und Server den Port 1194 mit entsprechender 192.168.x.x IPs in beide Richtung zugelassen. Auf dem Server (pi) habe ich keine Firewall installiert.
Ausgabe vom Server:
avahi-dae 404 avahi 12u IPv4 9170 0t0 UDP *:5353
avahi-dae 404 avahi 13u IPv6 9171 0t0 UDP *:5353
avahi-dae 404 avahi 14u IPv4 9172 0t0 UDP *:49515
avahi-dae 404 avahi 15u IPv6 9173 0t0 UDP *:38700
dhcpcd 421 root 8u IPv4 10137 0t0 UDP *:68
openvpn 478 nobody 4u IPv4 9779 0t0 UDP *:1194
ntpd 587 ntp 16u IPv4 7897 0t0 UDP *:123
ntpd 587 ntp 17u IPv6 7898 0t0 UDP *:123
ntpd 587 ntp 18u IPv4 6653 0t0 UDP 127.0.0.1:123
ntpd 587 ntp 19u IPv4 6654 0t0 UDP 10.8.0.1:123
ntpd 587 ntp 20u IPv6 6655 0t0 UDP [::1]:123
ntpd 587 ntp 22u IPv6 49023 0t0 UDP [fe80:*entfernt*]:123
ntpd 587 ntp 23u IPv4 49040 0t0 UDP 192.168.*raspberryIP*:123
Alles anzeigen
Ausgabe vom Client:
avahi-dae 1162 avahi 13u IPv4 12170 0t0 UDP *:5353
avahi-dae 1162 avahi 14u IPv6 12171 0t0 UDP *:5353
avahi-dae 1162 avahi 15u IPv4 12172 0t0 UDP *:58507
avahi-dae 1162 avahi 16u IPv6 12173 0t0 UDP *:33803
cups-brow 1284 root 8u IPv4 12643 0t0 UDP *:631
dhclient 1837 root 6u IPv4 13275 0t0 UDP *:68
dhclient 1837 root 20u IPv4 13262 0t0 UDP *:62383
dhclient 1837 root 21u IPv6 13263 0t0 UDP *:49634
dnsmasq 1840 nobody 4u IPv4 14500 0t0 UDP 127.0.1.1:53
nmbd 2017 root 15u IPv4 15441 0t0 UDP *:137
nmbd 2017 root 16u IPv4 15442 0t0 UDP *:138
nmbd 2017 root 17u IPv4 15444 0t0 UDP 192.168.*IPclient*:137
nmbd 2017 root 18u IPv4 15445 0t0 UDP 192.168.*entfernt*:137
nmbd 2017 root 19u IPv4 15446 0t0 UDP 192.168.*IPclient:138
nmbd 2017 root 20u IPv4 15447 0t0 UDP 192.168.*entfernt*:138
nmbd 2017 root 21u IPv4 15448 0t0 UDP 172.16.212.1:137
nmbd 2017 root 22u IPv4 15449 0t0 UDP 172.16.212.255:137
nmbd 2017 root 23u IPv4 15450 0t0 UDP 172.16.212.1:138
nmbd 2017 root 24u IPv4 15451 0t0 UDP 172.16.212.255:138
nmbd 2017 root 25u IPv4 15452 0t0 UDP 172.16.201.1:137
nmbd 2017 root 26u IPv4 15453 0t0 UDP 172.16.201.255:137
nmbd 2017 root 27u IPv4 15454 0t0 UDP 172.16.201.1:138
nmbd 2017 root 28u IPv4 15455 0t0 UDP 172.16.201.255:138
openvpn 5665 root 3u IPv4 221399 0t0 UDP *:40208
Alles anzeigen
mfg
Stanger
Hi,
ZitatWie sieht es jetzt aus, nach dem Client und Server tun-Interfaces und Routen haben, kannst Du jetzt vom Client den Server per Ping so:
Client Ausgabe:
PING 10.8.0.1 (10.8.0.1) 56(84) bytes of data.
--- 10.8.0.1 ping statistics ---
3 packets transmitted, 0 received, 100% packet loss, time 2014ms
Server Ausgabe:
PING 10.8.0.6 (10.8.0.6) 56(84) bytes of data.
--- 10.8.0.6 ping statistics ---
3 packets transmitted, 0 received, 100% packet loss, time 2003m
Edit: Ich habe jetzt mal die Firewall am Client ausgeschaltet und wenn ich dann den Client starte und vom Server auf den Client den Ping ausführe kommt
im Terminal des Clients folgendes:
Fri Jul 8 18:09:46 2016 Authenticate/Decrypt packet error: packet HMAC authentication failed[/color]Fri Jul 8 18:09:47 2016 Authenticate/Decrypt packet error: packet HMAC authentication failed[color=#333333]Fri Jul 8 18:09:48 2016 Authenticate/Decrypt packet error: packet HMAC authentication failed
Bevors jetzt peinlich wird - muß ich die 10.x.x.x auch in der Firewall eintragen ? Wenn ja welche Ports noch dazu ?
Die Änderung in den iptables mache ich gleich mal und editiere hier dann ob sich was geändert hat.
So gerade mal das gepostet bzgl. IPtables gemacht:
Zitat... die Du dann auch noch persistent machen musst)
Ähm ja...ick bin doch Linux Kacknoob bitte was ist das ?
Nachtrag:
Zitatsudo iptables -t nat -I POSTROUTING 1 -o tun0 -j MASQUERADE
Brachte leider nix ... muß man dazu evtl. rebooten ?
Besten Dank derweil für die Esels-Geduld mit mir .
mfg
Stanger
Hi rpi444,
hier die Ausgabe vom Client:
Kernel-IP-Routentabelle
Ziel Router Genmask Flags Metric Ref Use Iface
0.0.0.0 10.8.0.5 128.0.0.0 UG 0 0 0 tun0
0.0.0.0 192.168.*routerIP* 0.0.0.0 UG 0 0 0 eth0
10.8.0.0 10.8.0.5 255.255.255.0 UG 0 0 0 tun0
10.8.0.5 0.0.0.0 255.255.255.255 UH 0 0 0 tun0
128.0.0.0 10.8.0.5 128.0.0.0 UG 0 0 0 tun0
172.16.201.0 0.0.0.0 255.255.255.0 U 0 0 0 vmnet8
172.16.212.0 0.0.0.0 255.255.255.0 U 0 0 0 vmnet1
192.168.*entfernt* 0.0.0.0 255.255.255.0 U 1 0 0 eth0
192.168.*raspberryIP* 192.168.*routerIP* 255.255.255.255 UGH 0 0 0 eth0
Alles anzeigen
Liebe Grüsse
Stanger
[quote]Der Client hat z. Zt. kein tun-Interface. D. h.[Du hast den OpenVPN-Client z. Zt. nicht gestartet?/quote]
Richtig. Mein Fehler, war heute Mittag etwas im Streß
Hier nun die Ausgabe bei laufendem client:
eth0 Link encap:Ethernet Hardware Adresse f8:32:e4:71:6c:36
inet Adresse:192.168.*clientIP* Bcast:192.168.*entfernt* Maske:255.255.255.0
inet6-Adresse: fe80::fa32:e4ff:fe71:6c36/64 Gültigkeitsbereich:Verbindung
UP BROADCAST RUNNING MULTICAST MTU:1500 Metrik:1
RX-Pakete:8976 Fehler:0 Verloren:0 Überläufe:0 Fenster:0
TX-Pakete:5480 Fehler:0 Verloren:0 Überläufe:0 Träger:0
Kollisionen:0 Sendewarteschlangenlänge:1000
RX-Bytes:7654823 (7.6 MB) TX-Bytes:622034 (622.0 KB)
lo Link encap:Lokale Schleife
inet Adresse:127.0.0.1 Maske:255.0.0.0
inet6-Adresse: ::1/128 Gültigkeitsbereich:Maschine
UP LOOPBACK RUNNING MTU:65536 Metrik:1
RX-Pakete:437 Fehler:0 Verloren:0 Überläufe:0 Fenster:0
TX-Pakete:437 Fehler:0 Verloren:0 Überläufe:0 Träger:0
Kollisionen:0 Sendewarteschlangenlänge:0
RX-Bytes:63125 (63.1 KB) TX-Bytes:63125 (63.1 KB)
tun0 Link encap:UNSPEC Hardware Adresse 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
inet Adresse:10.8.0.6 P-z-P:10.8.0.5 Maske:255.255.255.255
UP PUNKTZUPUNKT RUNNING NOARP MULTICAST MTU:1500 Metrik:1
RX-Pakete:0 Fehler:0 Verloren:0 Überläufe:0 Fenster:0
TX-Pakete:9 Fehler:0 Verloren:0 Überläufe:0 Träger:0
Kollisionen:0 Sendewarteschlangenlänge:100
RX-Bytes:0 (0.0 B) TX-Bytes:774 (774.0 B)
vmnet1 Link encap:Ethernet Hardware Adresse 00:50:56:c0:00:01
inet Adresse:172.16.212.1 Bcast:172.16.212.255 Maske:255.255.255.0
inet6-Adresse: fe80::250:56ff:fec0:1/64 Gültigkeitsbereich:Verbindung
UP BROADCAST RUNNING MULTICAST MTU:1500 Metrik:1
RX-Pakete:0 Fehler:0 Verloren:0 Überläufe:0 Fenster:0
TX-Pakete:125 Fehler:0 Verloren:0 Überläufe:0 Träger:0
Kollisionen:0 Sendewarteschlangenlänge:1000
RX-Bytes:0 (0.0 B) TX-Bytes:0 (0.0 B)
vmnet8 Link encap:Ethernet Hardware Adresse 00:50:56:c0:00:08
inet Adresse:172.16.201.1 Bcast:172.16.201.255 Maske:255.255.255.0
inet6-Adresse: fe80::250:56ff:fec0:8/64 Gültigkeitsbereich:Verbindung
UP BROADCAST RUNNING MULTICAST MTU:1500 Metrik:1
RX-Pakete:0 Fehler:0 Verloren:0 Überläufe:0 Fenster:0
TX-Pakete:124 Fehler:0 Verloren:0 Überläufe:0 Träger:0
Kollisionen:0 Sendewarteschlangenlänge:1000
RX-Bytes:0 (0.0 B) TX-Bytes:0 (0.0 B)
Alles anzeigen
Sooooory &
mfg
Stanger
Hallo,
bitteschön:
Client ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
valid_lft forever preferred_lft forever
inet6 ::1/128 scope host
valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
link/ether f8:32:e4:71:6c:36 brd ff:ff:ff:ff:ff:ff
inet 192.168.*entfernt*/24 brd 192.168.*entfernt* scope global eth0
valid_lft forever preferred_lft forever
inet6 fe80::fa32:e4ff:fe71:6c36/64 scope link
valid_lft forever preferred_lft forever
3: vmnet1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN group default qlen 1000
link/ether 00:50:56:c0:00:01 brd ff:ff:ff:ff:ff:ff
inet 172.16.212.1/24 brd 172.16.212.255 scope global vmnet1
valid_lft forever preferred_lft forever
inet6 fe80::250:56ff:fec0:1/64 scope link
valid_lft forever preferred_lft forever
4: vmnet8: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN group default qlen 1000
link/ether 00:50:56:c0:00:08 brd ff:ff:ff:ff:ff:ff
inet 172.16.201.1/24 brd 172.16.201.255 scope global vmnet8
valid_lft forever preferred_lft forever
inet6 fe80::250:56ff:fec0:8/64 scope link
valid_lft forever preferred_lft forever
Alles anzeigen
Client ifconfig -a
eth0 Link encap:Ethernet Hardware Adresse f8:32:e4:71:6c:36
inet Adresse:192.168.*serverIP* Bcast:192.168.*entfernt* Maske:255.255.255.0
inet6-Adresse: fe80::fa32:e4ff:fe71:6c36/64 Gültigkeitsbereich:Verbindung
UP BROADCAST RUNNING MULTICAST MTU:1500 Metrik:1
RX-Pakete:7750 Fehler:0 Verloren:0 Überläufe:0 Fenster:0
TX-Pakete:4562 Fehler:0 Verloren:0 Überläufe:0 Träger:0
Kollisionen:0 Sendewarteschlangenlänge:1000
RX-Bytes:6597808 (6.5 MB) TX-Bytes:492377 (492.3 KB)
lo Link encap:Lokale Schleife
inet Adresse:127.0.0.1 Maske:255.0.0.0
inet6-Adresse: ::1/128 Gültigkeitsbereich:Maschine
UP LOOPBACK RUNNING MTU:65536 Metrik:1
RX-Pakete:431 Fehler:0 Verloren:0 Überläufe:0 Fenster:0
TX-Pakete:431 Fehler:0 Verloren:0 Überläufe:0 Träger:0
Kollisionen:0 Sendewarteschlangenlänge:0
RX-Bytes:62656 (62.6 KB) TX-Bytes:62656 (62.6 KB)
vmnet1 Link encap:Ethernet Hardware Adresse 00:50:56:c0:00:01
inet Adresse:172.16.212.1 Bcast:172.16.212.255 Maske:255.255.255.0
inet6-Adresse: fe80::250:56ff:fec0:1/64 Gültigkeitsbereich:Verbindung
UP BROADCAST RUNNING MULTICAST MTU:1500 Metrik:1
RX-Pakete:0 Fehler:0 Verloren:0 Überläufe:0 Fenster:0
TX-Pakete:126 Fehler:0 Verloren:0 Überläufe:0 Träger:0
Kollisionen:0 Sendewarteschlangenlänge:1000
RX-Bytes:0 (0.0 B) TX-Bytes:0 (0.0 B)
vmnet8 Link encap:Ethernet Hardware Adresse 00:50:56:c0:00:08
inet Adresse:172.16.201.1 Bcast:172.16.201.255 Maske:255.255.255.0
inet6-Adresse: fe80::250:56ff:fec0:8/64 Gültigkeitsbereich:Verbindung
UP BROADCAST RUNNING MULTICAST MTU:1500 Metrik:1
RX-Pakete:0 Fehler:0 Verloren:0 Überläufe:0 Fenster:0
TX-Pakete:126 Fehler:0 Verloren:0 Überläufe:0 Träger:0
Kollisionen:0 Sendewarteschlangenlänge:1000
RX-Bytes:0 (0.0 B) TX-Bytes:0 (0.0 B)
Alles anzeigen
Client route -n
ernel-IP-Routentabelle
Ziel Router Genmask Flags Metric Ref Use Iface
0.0.0.0 192.168.*routerIP* 0.0.0.0 UG 0 0 0 eth0
172.16.201.0 0.0.0.0 255.255.255.0 U 0 0 0 vmnet8
172.16.212.0 0.0.0.0 255.255.255.0 U 0 0 0 vmnet1
192.168.*entfernt* 0.0.0.0 255.255.255.0 U 1 0 0 eth0
Client sudo iptables -nvx -L -t nat
Chain PREROUTING (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
Chain POSTROUTING (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
Alles anzeigen
Client sysctl net.ipv4.ip_forward
------------------------------------------------------------------------------------------------------
Server ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
valid_lft forever preferred_lft forever
inet6 ::1/128 scope host
valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
link/ether b8:27:eb:74:49:1c brd ff:ff:ff:ff:ff:ff
inet 192.168.*serverIP*/24 brd 192.168.*entfernt* scope global eth0
valid_lft forever preferred_lft forever
inet6 fe80::73bc:367b:d85d:3d75/64 scope link
valid_lft forever preferred_lft forever
3: tun0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN group default qlen 100
link/none
inet 10.8.0.1 peer 10.8.0.2/32 scope global tun0
valid_lft forever preferred_lft forever
Alles anzeigen
Server ifconfig -a
eth0 Link encap:Ethernet Hardware Adresse b8:27:eb:74:49:1c
inet Adresse:192.168.*serverIP* Bcast:192.168.*entfernt* Maske:255.255.255.0
inet6-Adresse: fe80::73bc:367b:d85d:3d75/64 Gültigkeitsbereich:Verbindung
UP BROADCAST RUNNING MULTICAST MTU:1500 Metrik:1
RX packets:4574 errors:0 dropped:0 overruns:0 frame:0
TX packets:1162 errors:0 dropped:0 overruns:0 carrier:0
Kollisionen:0 Sendewarteschlangenlänge:1000
RX bytes:705824 (689.2 KiB) TX bytes:137904 (134.6 KiB)
lo Link encap:Lokale Schleife
inet Adresse:127.0.0.1 Maske:255.0.0.0
inet6-Adresse: ::1/128 Gültigkeitsbereich:Maschine
UP LOOPBACK RUNNING MTU:65536 Metrik:1
RX packets:200 errors:0 dropped:0 overruns:0 frame:0
TX packets:200 errors:0 dropped:0 overruns:0 carrier:0
Kollisionen:0 Sendewarteschlangenlänge:1
RX bytes:16656 (16.2 KiB) TX bytes:16656 (16.2 KiB)
tun0 Link encap:UNSPEC Hardware Adresse 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
inet Adresse:10.8.0.1 P-z-P:10.8.0.2 Maske:255.255.255.255
UP PUNKTZUPUNKT RUNNING NOARP MULTICAST MTU:1500 Metrik:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
Kollisionen:0 Sendewarteschlangenlänge:100
RX bytes:0 (0.0 B) TX bytes:0 (0.0 B)
Alles anzeigen
Server route -n
Kernel-IP-Routentabelle
Ziel Router Genmask Flags Metric Ref Use Iface
0.0.0.0 192.168.*routerIP* 0.0.0.0 UG 202 0 0 eth0
10.8.0.0 10.8.0.2 255.255.255.0 UG 0 0 0 tun0
10.8.0.2 0.0.0.0 255.255.255.255 UH 0 0 0 tun0
192.168.*entfernt* 0.0.0.0 255.255.255.0 U 202 0 0 eth0
Server sudo iptables -nvx -L -t nat
Chain PREROUTING (policy ACCEPT 301 packets, 24599 bytes)
pkts bytes target prot opt in out source destination
Chain INPUT (policy ACCEPT 106 packets, 15171 bytes)
pkts bytes target prot opt in out source destination
Chain OUTPUT (policy ACCEPT 85 packets, 6912 bytes)
pkts bytes target prot opt in out source destination
Chain POSTROUTING (policy ACCEPT 85 packets, 6912 bytes)
pkts bytes target prot opt in out source destination
0 0 MASQUERADE all -- * eth0 10.8.0.0/24 0.0.0.0/0
Alles anzeigen
Server sysctl net.ipv4.ip_forward
Besten Dank derweil für die Hilfe & Tipps.
mfg
Stanger
Hallo zusammen,
scheint zu laufen, ABER (siehe unten):
Tue Jul 5 18:03:25 2016 OpenVPN 2.3.2 x86_64-pc-linux-gnu [SSL (OpenSSL)] [LZO] [EPOLL] [PKCS11] [eurephia] [MH] [IPv6] built on Dec 1 2014
Enter Private Key Password:
Tue Jul 5 18:03:36 2016 WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
Tue Jul 5 18:03:36 2016 Socket Buffers: R=[212992->131072] S=[212992->131072]
Tue Jul 5 18:03:36 2016 UDPv4 link local: [undef]
Tue Jul 5 18:03:36 2016 UDPv4 link remote: [AF_INET]192.168.*raspIP*:1194
Tue Jul 5 18:03:36 2016 TLS: Initial packet from [AF_INET]192.168.*raspIP*:1194, sid=3019e9da 44e128c5
Tue Jul 5 18:03:36 2016 VERIFY OK: depth=1, C=DE, ST=CA, L=SanFrancisco, O=Fort-Funston, OU=MyOrganizationalUnit, CN=OpenVPN, name=EasyRSA, emailAddress=me@myhost.mydomain
Tue Jul 5 18:03:36 2016 Validating certificate key usage
Tue Jul 5 18:03:36 2016 ++ Certificate has key usage 00a0, expects 00a0
Tue Jul 5 18:03:36 2016 VERIFY KU OK
Tue Jul 5 18:03:36 2016 Validating certificate extended key usage
Tue Jul 5 18:03:36 2016 ++ Certificate has EKU (str) TLS Web Server Authentication, expects TLS Web Server Authentication
Tue Jul 5 18:03:36 2016 VERIFY EKU OK
Tue Jul 5 18:03:36 2016 VERIFY OK: depth=0, C=DE, ST=CA, L=SanFrancisco, O=Fort-Funston, OU=MyOrganizationalUnit, CN=server, name=EasyRSA, emailAddress=me@myhost.mydomain
Tue Jul 5 18:03:36 2016 WARNING: 'link-mtu' is used inconsistently, local='link-mtu 1601', remote='link-mtu 1542'
Tue Jul 5 18:03:36 2016 WARNING: 'keydir' is present in local config but missing in remote config, local='keydir 0'
Tue Jul 5 18:03:36 2016 WARNING: 'cipher' is used inconsistently, local='cipher AES-256-CBC', remote='cipher BF-CBC'
Tue Jul 5 18:03:36 2016 WARNING: 'auth' is used inconsistently, local='auth SHA512', remote='auth SHA1'
Tue Jul 5 18:03:36 2016 WARNING: 'keysize' is used inconsistently, local='keysize 256', remote='keysize 128'
Tue Jul 5 18:03:36 2016 WARNING: 'comp-lzo' is present in remote config but missing in local config, remote='comp-lzo'
Tue Jul 5 18:03:36 2016 Data Channel Encrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
Tue Jul 5 18:03:36 2016 Data Channel Encrypt: Using 512 bit message hash 'SHA512' for HMAC authentication
Tue Jul 5 18:03:36 2016 Data Channel Decrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
Tue Jul 5 18:03:36 2016 Data Channel Decrypt: Using 512 bit message hash 'SHA512' for HMAC authentication
Tue Jul 5 18:03:36 2016 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 2048 bit RSA
Tue Jul 5 18:03:36 2016 [server] Peer Connection Initiated with [AF_INET]192.168.43.175:1194
Tue Jul 5 18:03:38 2016 SENT CONTROL [server]: 'PUSH_REQUEST' (status=1)
Tue Jul 5 18:03:38 2016 PUSH: Received control message: 'PUSH_REPLY,redirect-gateway def1 bypass-dhcp,dhcp-option DNS 85.214.20.141,dhcp-option DNS 8.8.8.8,route 10.8.0.0 255.255.255.0,topology net30,ifconfig 10.8.0.6 10.8.0.5'
Tue Jul 5 18:03:38 2016 OPTIONS IMPORT: --ifconfig/up options modified
Tue Jul 5 18:03:38 2016 OPTIONS IMPORT: route options modified
Tue Jul 5 18:03:38 2016 OPTIONS IMPORT: --ip-win32 and/or --dhcp-option options modified
Tue Jul 5 18:03:38 2016 ROUTE_GATEWAY 192.168.*raspIP*/255.255.255.0 IFACE=eth0 HWADDR=f8:32:e4:71:6c:36
Tue Jul 5 18:03:38 2016 TUN/TAP device tun0 opened
Tue Jul 5 18:03:38 2016 TUN/TAP TX queue length set to 100
Tue Jul 5 18:03:38 2016 do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
Tue Jul 5 18:03:38 2016 /sbin/ip link set dev tun0 up mtu 1500
Tue Jul 5 18:03:38 2016 /sbin/ip addr add dev tun0 local 10.8.0.6 peer 10.8.0.5
Tue Jul 5 18:03:38 2016 /sbin/ip route add 192.168.*raspIP*/32 via 192.168.*routerIP*
Tue Jul 5 18:03:38 2016 /sbin/ip route add 0.0.0.0/1 via 10.8.0.5
Tue Jul 5 18:03:38 2016 /sbin/ip route add 128.0.0.0/1 via 10.8.0.5
Tue Jul 5 18:03:38 2016 /sbin/ip route add 10.8.0.0/24 via 10.8.0.5
Tue Jul 5 18:03:38 2016 Initialization Sequence Completed
Alles anzeigen
Wenn ich eine URL eingebe sucht sich der Client dumm und dämlich, eine Verbindung ins web kommt nicht zustande...
Edit: Der Befehl "ps aux | grep -i openvpn"
gibt folgendes aus:
root 3255 0.0 0.0 91112 4696 pts/1 S+ 19:02 0:00 sudo openvpn --config /etc/openvpn/client.conf
root 3256 0.0 0.0 20220 5016 pts/1 S+ 19:02 0:00 openvpn --config /etc/openvpn/client.conf
benutzer+ 3348 0.0 0.0 13256 2248 pts/2 S+ 19:05 0:00 grep --colour=auto -i openvpn
Ping auf 10.8.0.6 funktioniert.
Edit: Muß ich auf dem Pi nicht auch mein noip.com Konto verwursteln (wenn ja, bitte um Hilfe) damit ich I-net via VPN bekomme ?
mfg
Stanger
Hallo und Danke euch,
ich hänge jetzt schon seit geraumer Zeit an folgendem Problem mit dem Client:
Eintrag der client.conf ist folgender
client
dev tun
proto udp
remote 192.168.x.y 1194
resolv-retry infinite
nobind
persist-key
persist-tun
float
remote-cert-tls server
verb 3
cipher AES-256-CBC
auth SHA512
key-direction 1
mute-replay-warnings
ca "/etc/openvpn/ca.crt"
cert "/etc/openvpn/*entfernt*.crt"
key "/etc/openvpn/*entfernt*.key"
#tls-auth "/etc/openvpn/tlsauth.key"
Alles anzeigen
Die Schlüssel wurden 2048 bit verschlüsselt und liegen jetzt im Ordner "/etc/openvpn" -stimmen die Angaben aus der Datei damit ?
Müssen die Schlüsseldatei-Namen den gleichen Namen haben wie der Benutzer des Clients ?
Also "Benutzer1.key" und Client "Benutzer1" oder geht "Beliebigername.key und Client "Meinlinuxlogin" auch ?
Wollte nämlich absichtlich einen anderen Nutzer-Namen verwenden.
Wenn ich mit
den Client starten will kommt folgende Fehlermeldung:
Tue Jul 5 15:21:55 2016 OpenVPN 2.3.2 x86_64-pc-linux-gnu [SSL (OpenSSL)] [LZO] [EPOLL] [PKCS11] [eurephia] [MH] [IPv6] built on Dec 1 2014
Tue Jul 5 15:21:55 2016 Cannot load certificate file /etc/openvpn/Benutzername.crt: error:0906D06C:PEM routines:PEM_read_bio:no start line: error:140AD009:SSL routines:SSL_CTX_use_certificate_file:PEM lib
Tue Jul 5 15:21:55 2016 Exiting due to fatal error
Ist das evtl. ein Problem mit den Dateizugriffsrechten ? Habe mal testweise die Rechte von root auf den am client angemeldeten Nutzer übertragen.
Edit: Beim stöbern im Netz bin ich auf eine mögliche Ursache gestoßen -> das .key File ist ohne Inhalt..
mfg
Stanger
Ah, super Danke für den Tipp.
Habs jetzt endlich geschafft via Terminal aber merke mir auf jeden Fall mal Filezilla
mfg
Stanger
D. h., Du musst auf deinem Client (Linux Mint 17.3 Cinnamon), noch den OpenVPN-Client installieren bzw. konfigurieren.
[/quote]
Ok, Danke für die Info bin gerade dabei rauszufinden wie ich die Zertifikate vom Pi auf den Client rüberbekomme.
USB-Stick will er atm nicht, suche weiter...vermutlich wirds i-wie mit rsync gehen....
Linux ist ganz schön heftig wenn man verwöhnt von MS-Produkten kommt... =(
mfg
Stanger
Huhu,
kommt garnix wenn ich den Befehl eingebe (Client).
Nachtrag auf dem Client läuft die gfuw Firewall, welche ich auch schon testweise deaktiviert hatte bzw. den 1194er Port zw. Client und Pi durchgeleitet habe.
mfg
Stanger
Ja, habs grade nochmal überprüft.
Kann es sein dass auf dem Pi Image von der Pi Homepage standartmässig eine Firewall installiert ist ?
Nicht daß wir uns dumm und dusselig suchen und es an so einer Lapalie hängt.
Noch kurzer Nachtrag. Sowohl der Client als auch das Pi sind über DHCP am Router.
Jedoch sind für beide Geräte mittels IP-Reservierung am Router einer festen IP zugeteilt.
mfg
Stanger
Hallo,
hier die gewünschten Ausgaben
Server raspberry Pi 2 B@raspbian
Server ifconfig -a
eth0 Link encap:Ethernet Hardware Adresse b8:*entfernt*
inet Adresse:*RaspberryIP* Bcast:192.168.*entfernt* Maske:255.255.255.0
inet6-Adresse: fe80::73bc:367b:d85d:3d75/64 Gültigkeitsbereich:Verbindung
UP BROADCAST RUNNING MULTICAST MTU:1500 Metrik:1
RX packets:5256 errors:0 dropped:5 overruns:0 frame:0
TX packets:1378 errors:0 dropped:0 overruns:0 carrier:0
Kollisionen:0 Sendewarteschlangenlänge:1000
RX bytes:759566 (741.7 KiB) TX bytes:346461 (338.3 KiB)
lo Link encap:Lokale Schleife
inet Adresse:127.0.0.1 Maske:255.0.0.0
inet6-Adresse: ::1/128 Gültigkeitsbereich:Maschine
UP LOOPBACK RUNNING MTU:65536 Metrik:1
RX packets:224 errors:0 dropped:0 overruns:0 frame:0
TX packets:224 errors:0 dropped:0 overruns:0 carrier:0
Kollisionen:0 Sendewarteschlangenlänge:1
RX bytes:18672 (18.2 KiB) TX bytes:18672 (18.2 KiB)
tun0 Link encap:UNSPEC Hardware Adresse 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
inet Adresse:10.8.0.1 P-z-P:10.8.0.2 Maske:255.255.255.255
UP PUNKTZUPUNKT RUNNING NOARP MULTICAST MTU:1500 Metrik:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:19 errors:0 dropped:0 overruns:0 carrier:0
Kollisionen:0 Sendewarteschlangenlänge:100
RX bytes:0 (0.0 B) TX bytes:1596 (1.5 KiB)
Alles anzeigen
Server route -n
Kernel-IP-Routentabelle
Ziel Router Genmask Flags Metric Ref Use Iface
0.0.0.0 *RouterIP* 0.0.0.0 UG 202 0 0 eth0
10.8.0.0 10.8.0.2 255.255.255.0 UG 0 0 0 tun0
10.8.0.2 0.0.0.0 255.255.255.255 UH 0 0 0 tun0
192.168.*entfernt* 0.0.0.0 255.255.255.0 U 202 0 0 eth0
Server sudo iptables -nvx -L -t nat
Chain PREROUTING (policy ACCEPT 476 packets, 38443 bytes)
pkts bytes target prot opt in out source destination
Chain INPUT (policy ACCEPT 165 packets, 23451 bytes)
pkts bytes target prot opt in out source destination
Chain OUTPUT (policy ACCEPT 105 packets, 8044 bytes)
pkts bytes target prot opt in out source destination
Chain POSTROUTING (policy ACCEPT 105 packets, 8044 bytes)
pkts bytes target prot opt in out source destination
0 0 MASQUERADE all -- * eth0 10.8.0.0/24 0.0.0.0/0
Alles anzeigen
----------------------------------------------------------------------------------------------------------------
Client (Linux Mint 17.3 Cinnamon)
Client ifconfig -a
th0 Link encap:Ethernet Hardware Adresse f8:*entfernt*
inet Adresse:*clientIP* Bcast:192.168.*entfernt* Maske:255.255.255.0
inet6-Adresse: fe80::fa32:e4ff:fe71:6c36/64 Gültigkeitsbereich:Verbindung
UP BROADCAST RUNNING MULTICAST MTU:1500 Metrik:1
RX-Pakete:227993 Fehler:0 Verloren:0 Überläufe:0 Fenster:0
TX-Pakete:141577 Fehler:0 Verloren:0 Überläufe:0 Träger:0
Kollisionen:0 Sendewarteschlangenlänge:1000
RX-Bytes:273375371 (273.3 MB) TX-Bytes:13149776 (13.1 MB)
lo Link encap:Lokale Schleife
inet Adresse:127.0.0.1 Maske:255.0.0.0
inet6-Adresse: ::1/128 Gültigkeitsbereich:Maschine
UP LOOPBACK RUNNING MTU:65536 Metrik:1
RX-Pakete:2163 Fehler:0 Verloren:0 Überläufe:0 Fenster:0
TX-Pakete:2163 Fehler:0 Verloren:0 Überläufe:0 Träger:0
Kollisionen:0 Sendewarteschlangenlänge:0
RX-Bytes:221284 (221.2 KB) TX-Bytes:221284 (221.2 KB)
vmnet1 Link encap:Ethernet Hardware Adresse 00:*entfernt*
inet Adresse:172.16.212.1 Bcast:172.16.212.255 Maske:255.255.255.0
inet6-Adresse: fe80::250:56ff:fec0:1/64 Gültigkeitsbereich:Verbindung
UP BROADCAST RUNNING MULTICAST MTU:1500 Metrik:1
RX-Pakete:0 Fehler:0 Verloren:0 Überläufe:0 Fenster:0
TX-Pakete:224 Fehler:0 Verloren:0 Überläufe:0 Träger:0
Kollisionen:0 Sendewarteschlangenlänge:1000
RX-Bytes:0 (0.0 B) TX-Bytes:0 (0.0 B)
vmnet8 Link encap:Ethernet Hardware Adresse 00:*entfernt*
inet Adresse:172.16.201.1 Bcast:172.16.201.255 Maske:255.255.255.0
inet6-Adresse: fe80::250:56ff:fec0:8/64 Gültigkeitsbereich:Verbindung
UP BROADCAST RUNNING MULTICAST MTU:1500 Metrik:1
RX-Pakete:0 Fehler:0 Verloren:0 Überläufe:0 Fenster:0
TX-Pakete:223 Fehler:0 Verloren:0 Überläufe:0 Träger:0
Kollisionen:0 Sendewarteschlangenlänge:1000
RX-Bytes:0 (0.0 B) TX-Bytes:0 (0.0 B)
Alles anzeigen
Client route -n
Kernel-IP-Routentabelle
Ziel Router Genmask Flags Metric Ref Use Iface
0.0.0.0 *Router IP* 0.0.0.0 UG 0 0 0 eth0
172.16.201.0 0.0.0.0 255.255.255.0 U 0 0 0 vmnet8
172.16.212.0 0.0.0.0 255.255.255.0 U 0 0 0 vmnet1
192.168.*entfernt* 0.0.0.0 255.255.255.0 U 1 0 0 eth0
Client sudo iptables -nvx -L -t nat
Chain PREROUTING (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
Chain POSTROUTING (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
Alles anzeigen
So, daß war's besten Dank schonmal vorab.
mfg
Stanger
Besten Dank, scheint zu laufen.
Sieht so aus:
● openvpn.service - OpenVPN service
Loaded: loaded (/lib/systemd/system/openvpn.service; enabled)
Active: active (exited) since So 2016-07-03 17:30:04 CEST; 28min ago
Process: 507 ExecStart=/bin/true (code=exited, status=0/SUCCESS)
Main PID: 507 (code=exited, status=0/SUCCESS)
CGroup: /system.slice/openvpn.service
DDNS habe ich jetzt von noip.com genommen und scheint auch zu laufen,
habe ich mittels diesem Tutorial eingerichtet.
Der VPN-Server lässt sich leider derzeit im LAN nicht anpingen
ping 10.8.0.0
PING 10.8.0.0 (10.8.0.0) 56(84) bytes of data.
^C
--- 10.8.0.0 ping statistics ---
19 packets transmitted, 0 received, 100% packet loss, time 17999ms
An die Android-Clients wage ich mich derzeit noch nicht heran...
Bitte um Hilfe.
mfg
Stanger
Hallo,
sorry das ich mich erst jetzt melde, hatte zu tun.
Ich hab das Tutorial von Danmann nun durch und hänge jezt bei Schritt 8.
Meine Clients sind beides Android Geräte und sollen mit OpenVPN für Android Client auf den Server zugreifen.
Ich habe ein DDNS Account bei https://www.noip.com erstellt und das müsste dann wohl in den OpenVPN Server eingerichtet werden ?
Zudem hätte ich noch die Frage ob ich den Server noch irgendwo in eine Autostart-Datei eintragen muß, ?
Und mit welchem Befehl sehe ich ob der Server läuft ?
Vielen Dank euch für die Hilfe schonmal vorab.
mfg
Stanger