Posts by Konstantin

    Hallo zusammen,


    vielen Dank für die Antworten. Wenn es nach mir ginge, hätte ich das VPN als "client-to-client" konfiguriert (hatte ich auch ursprünglich) und würde die Authentifizierung per ssh-key machen. Nur geht zweiteres nicht überall, da die Raspberries leider nicht mir gehören. Die Benutzer haben teilweise noch irgendwelche Wetterstationen drauf laufen, auf die sie von außen drauf zugreifen wollen, und leider haben sie teilweise noch das Standardpasswort und so... als dann der erste RPi plötzlich angefangen hat, irgenwelche Crypto-Währungen zu berechnen, hab ich erst mal das "client-to-client" entfernt, damit die anderen Raspberries nicht auch noch gekapert werden können.


    Ich denke, eine Lösung per iptables bzw. nftables, wie sie auf der OpenVPN-Seite beschrieben wird, dürfte die Lösung sein.


    Vielen Dank und viele Grüße

    Konstantin

    Die Anweisung "client-to-client" hatte ich ursprünglich drin, dann konnten jedoch alle Clients mit allen Clients reden, und das möchte ich nicht. Ich möchte, dass:

    1. 10.9.0.1 (server) mit 10.9.x.x (alle Clients) reden kann
    2. 10.9.0.4 (admin1) nur mit 10.9.1.x, jedoch nicht mit 10.9.2.x reden kann
    3. 10.9.0.8 (admin2) nur mit 10.9.2.x, jedoch nicht mit 10.9.1.x reden kann

    Kann man das bei "client-to-client" irgendwie einrichten? Oder bin ich komplett auf dem Holzdampfer, und ich benötige mehrere VPNs?


    Viele Grüße

    Konstantin

    Hallo,


    ich habe ein VPN (10.9.0.0), in dem es neben dem Server (10.9.0.1) zwei Administratoren (10.9.0.4 und 10.9.0.8) gibt, sowie jede Menge Raspberries (10.9.1.x für Admin 1 und 10.9.2.x für Admin 2). Wie bekomme ich es hin, dass die Admins nur "ihre" Raspberries ansprechen können? Aktuell loggen sich die Admins auf dem Server und dann auf dem Raspberry ein, um dort zu arbeiten. Ich möchte aber gerne, dass der 10.9.0.4 sich ohne Umweg auf 10.9.1.x einloggen kann, der Admin 10.9.0.8 auf 10.9.2.x etc ...


    Der VPN-Server läuft auf einem Debian9, die Konfiguration ist wie folgt:

    Code: ccd/Admin1
    ifconfig-push 10.9.0.4 255.255.0.0
    Code: ccd/Raspberry23
    ifconfig-push 10.9.1.23 255.255.0.0

    Mir ist einfach nicht klar, wo ich angreifen muß: am OpenVPN-Server? Am Server selbst?


    Viele Grüße

    Konstantin

    Ich habe doch geschrieben, dass Du tcpdump vor der netcat-Ausführung starten (und laufen lassen) sollst.

    Ja, das habe ich ja auch gemacht: tcpdump in dem einen Terminal, und dann netcat in einem zweiten Terminal gemacht. Der tcpdump-Befehl lief die ganze Zeit, und ich habe ihn erst abgebrochen, nachdem im zweiten Terminal der Befehl abgearbeitet war.


    Dein geänderter Aufruf liefert jetzt:


    Ich hoffe, das hilft dir irgendwie. Für mich ist das jetzt nur noch chinesisch... vielen Dank aber schon mal für die geopferte Zeit von dir.

    Das ergibt:

    Code
    pi@raspberry:~ $ sudo tcpdump -c 100 -vvven tcp port 50001
    tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 262144 bytes
    ^C
    0 packets captured
    0 packets received by filter
    0 packets dropped by kernel

    Wobei alles ab ^C erst gekommen ist, als ich nach einer Weile (> 10s) Strg+C gedrückt habe. Ich habe dann in einem zweiten Terminal den netcat-Befehl ausgeführt, das Ergebnis war unverändert.


    Vielleicht noch kurz, was ich z.B. mit Telnet bekomme:



    Viele Grüße

    Konstantin

    Hi rpi444,


    ich bekomme (unabhängig ob mit jessie oder stretch) folgende Ausgabe:


    Code
    pi@raspberry:~ $ nc -zv localhost 50001
    nc: connect to localhost port 50001 (tcp) failed: Connection refused
    Connection to localhost 50001 port [tcp/*] succeeded!


    Viele Grüße

    Konstantin

    Hallo,


    in einem Bash-Skript analysiere ich den Datenstrom, der von einem Telnetserver kommt (Port 50001). Mir geht es dabei um Fehlermeldungen, die im Fall eines Fehlers sekündlich übermittelt werden, darum reichen mir 2s. Bisher hatte ich dafür folgenden Befehl:


    Code
    output=$(sleep 2 | nc localhost 50001)


    Das hat problemlos funktioniert bis incl. Jessie. Ab Stretch läuft diese Zeile endlos. Es gibt keine Fehlermeldung und kein Ende. Die Befehle einzeln (also "sleep 2" und "nc localhost 50001") laufen problemlos durch. Ich habe versucht herauszufinden, ob sich irgendetwas an netcat (also nc) geändert hat, konnte aber nichts finden.


    Hat jemand eine Idee, warum der Code unter Stretch nicht mehr funktioniert? Oder wie er wieder funktionieren könnte?


    Viele Grüße

    Konstantin

    Alternativ zur hosts-Datei und wenn es nur um ssh geht bzw. es feste IP-Adressen gibt, kannst Du es auch mit einer config-Datei (Stichwort "Host") für ssh machen. Oder mit einem dnsmasq auf deinem PI oder, wenn Du einen erreichbaren Router (... der die Namensauflösung machen kann; z. B. wie die FritzBox) in deinem VPN hast, dann auch mit nsupdate.


    Zuerst einmal: WOW, danke für die schnellen Antworten. Ich nutze die /etc/hosts-Datei, wir sind allerdings mehrere Leute, die dann alle immer die Hosts ändern müssen, wenn neue Clients dazukommen. Auf den ersten Blick ist dnsmasq das, was ich brauche. Vielen Dank für den Tipp, ich muss da wohl dann mal durch :)


    Viele Grüße
    Konstantin

    Hallo zusammen,


    ich habe auf einem Raspberry einen OpenVPN Server laufen, der mittlerweile 30 Clients versorgt. Ich möchte die Clients jedoch nicht immer mit "ssh 10.8.0.x" ansprechen, sondern einfacher mit dem Namen des Clienten, also z.B. "ssh Berlin". Geht das irgendwie mit den Bordmitteln von OpenVPN, oder muß ich einen DNS auf dem Raspberry erstellen?


    Viele Grüße
    Konstantin

    Danke, das war die Lösung! Um die Clients wieder ansprechen zu können, habe ich für jeden Client in der Server-Konfiguration ein

    Code
    push "route 10.8.0.0 255.255.255.0 10.8.0.x"

    eingefügt. Dann konnte ich die Clients rebooten und beim Server wieder die ursprüngliche Konfiguration benutzen.


    Viele Grüße
    Konstantin

    Hallo zusammen,


    ich habe ein merkwürdiges Problem mit meinem VPN. Die Situation ist folgende:
    ich habe auf einem RPi3 einen VPN-Server laufen. In dem VPN hängen 15 weitere Raspberries, nur zwei davon in meiner Wohnung (also mit direktem Zugriff), der Rest ist teilweise extrem schwer erreichbar (z.B. Berggipfel auf > 2700m, 300km weiter entfernt, lange Geschichte...). Ich hatte nun die dumme Idee, von TUN auf TAP zu wechseln, habe die Änderung aber nur am Server durchgeführt. Natürlich hat das nicht funktioniert, also habe ich die Konfiguration zurückgedreht. Leider haben die Clients einen Schaden davon getragen, und zwar machen sie das Routing zum Server falsch. Ein Reboot behebt das Problem, aber wie gesagt: ich kann nicht auf alle Clients zugreifen.


    Auf meinen Clients zuhause habe ich versucht zu verstehen, wo das Problem ist. Dabei habe ich entdeckt, dass das Routing nicht mehr funktioniert. Auf den "guten" Clients sieht es so aus:

    Code
    Kernel IP routing table
    Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
    default         easy.box        0.0.0.0         UG    0      0        0 eth0
    10.8.0.0        10.8.0.21       255.255.255.0   UG    0      0        0 tun0
    10.8.0.21       *               255.255.255.255 UH    0      0        0 tun0
    192.168.2.0     *               255.255.255.0   U     0      0        0 eth0


    Auf den "schlechten" Clients sieht es so aus:

    Code
    Kernel IP routing table
    Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
    default         easy.box        0.0.0.0         UG    0      0        0 wlan0
    10.8.0.26       *               255.255.255.255 UH    0      0        0 tun0
    192.168.2.0     *               255.255.255.0   U     0      0        0 wlan0


    Es fehlt also die Route vom Client ins VPN. Wenn ich die Route wieder hinzufüge, dann läuft alles wieder:

    Code
    route add -net 10.8.0.0 netmask 255.255.255.0 gw 10.8.0.26 dev tun0


    Die Server-Config sieht so aus:


    Die Client-Config sieht so aus:



    Hat jemand eine Idee, wie die fehlende Route wieder hinbekomme, und zwar nur über die VPN-Server-Konfiguration?


    Viele Grüße
    Konstantin