Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss
OpenVPN-Roadwarrior-Config?
4 views
Skip to first unread message
Dirk Alberti
Jul 24, 2019, 3:12:14 PM7/24/19
to
Hallo Gemeinde,
ich verzweifle seit Umstieg zu Fli4l-4 langsam an der Einrichtung einer
Konfig für einen (Linux-)Roadwarrior, der von außerhalb per opt_openvpn
so ins LAN integriert werden soll, als wäre er direkt angeschlossen,
also quasi Vollzugriff, inklusive surfen durch den Tunnel, Samba und DNS.
Hätte mal bitte jemand eine funktionierende Konfig für mich?
Meine nicht funktionierende Konfig:
tunnel.ovpn auf dem Roadwarrior:
remote <mein_noip_zugang>
rport 10041
secret einwahl.secret
dev tun
ifconfig 192.168.0.2 192.168.0.1
route 192.168.1.0 255.255.255.0
comp-lzo
persist-tun
persist-key
ping-timer-rem
ping-restart 60
proto udp
tun-mtu 1500
fragment 1300
mssfix
openvpn.txt auf dem Fli4l-4.x:
OPENVPN_4_NAME='Tunnel' # Name des Clients
OPENVPN_4_LOCAL_PORT='10041' # Eingehender Port fuer die
Verbindu
OPENVPN_4_SECRET='einwahl.secret' # Key-Datei des Clients
OPENVPN_4_TYPE='tunnel'
OPENVPN_4_REMOTE_VPN_IP='192.168.0.2' # Client-IP-Adresse
OPENVPN_4_LOCAL_VPN_IP='192.168.0.1' # Server-IP-Adresse
OPENVPN_4_ROUTE_N='1'
OPENVPN_4_ROUTE_1='192.168.1.0/24'
OPENVPN_4_PF_INPUT_N='2'
OPENVPN_4_PF_INPUT_1='ACCEPT'
OPENVPN_4_PF_INPUT_2='if:VPNDEV:any tmpl:dns ACCEPT'
OPENVPN_4_PF_FORWARD_N='1'
OPENVPN_4_PF_FORWARD_1='IP_NET_2 ACCEPT BIDIRECTIONAL'
Ich erhalte bei mkfli4l folgende Fehlermeldung:
Error: OpenVPN: You can't use OPENVPN_4_LOCAL_VPN_IP='192.168.0.1' as
a local vpn ip since it is routed with
OPENVPN_4_ROUTE_1='192.168.0.0/24'!
Error: OpenVPN: You can't use OPENVPN_4_REMOTE_VPN_IP='192.168.0.2' as
a remote vpn ip since it is routed with
OPENVPN_4_ROUTE_1='192.168.0.0/24'!
Probiert habe ich es auch schon mit OPENVPN_4_ROUTE_1='192.168.0.0/24' ,
mit demselben Ergebnis.
Mein LAN ist 192.168.1.0/24, der Fli4l hat die 192.168.1.1 auf
eth0/br0/IP_NET_1 und die 192.168.2.2 auf eth1/IP_NET_2 internetseitig
vom Speedport her.
OPENVPN_1_x bis OPENVPN_3_x sind Bridges, die seit Fli4l-4 auch nicht
mehr laufen, die ich aber eh nicht mehr wirklich nutzen will.
Gruß
Dirk
ich verzweifle seit Umstieg zu Fli4l-4 langsam an der Einrichtung einer
Konfig für einen (Linux-)Roadwarrior, der von außerhalb per opt_openvpn
so ins LAN integriert werden soll, als wäre er direkt angeschlossen,
also quasi Vollzugriff, inklusive surfen durch den Tunnel, Samba und DNS.
Hätte mal bitte jemand eine funktionierende Konfig für mich?
Meine nicht funktionierende Konfig:
tunnel.ovpn auf dem Roadwarrior:
remote <mein_noip_zugang>
rport 10041
secret einwahl.secret
dev tun
ifconfig 192.168.0.2 192.168.0.1
route 192.168.1.0 255.255.255.0
comp-lzo
persist-tun
persist-key
ping-timer-rem
ping-restart 60
proto udp
tun-mtu 1500
fragment 1300
mssfix
openvpn.txt auf dem Fli4l-4.x:
OPENVPN_4_NAME='Tunnel' # Name des Clients
OPENVPN_4_LOCAL_PORT='10041' # Eingehender Port fuer die
Verbindu
OPENVPN_4_SECRET='einwahl.secret' # Key-Datei des Clients
OPENVPN_4_TYPE='tunnel'
OPENVPN_4_REMOTE_VPN_IP='192.168.0.2' # Client-IP-Adresse
OPENVPN_4_LOCAL_VPN_IP='192.168.0.1' # Server-IP-Adresse
OPENVPN_4_ROUTE_N='1'
OPENVPN_4_ROUTE_1='192.168.1.0/24'
OPENVPN_4_PF_INPUT_N='2'
OPENVPN_4_PF_INPUT_1='ACCEPT'
OPENVPN_4_PF_INPUT_2='if:VPNDEV:any tmpl:dns ACCEPT'
OPENVPN_4_PF_FORWARD_N='1'
OPENVPN_4_PF_FORWARD_1='IP_NET_2 ACCEPT BIDIRECTIONAL'
Ich erhalte bei mkfli4l folgende Fehlermeldung:
Error: OpenVPN: You can't use OPENVPN_4_LOCAL_VPN_IP='192.168.0.1' as
a local vpn ip since it is routed with
OPENVPN_4_ROUTE_1='192.168.0.0/24'!
Error: OpenVPN: You can't use OPENVPN_4_REMOTE_VPN_IP='192.168.0.2' as
a remote vpn ip since it is routed with
OPENVPN_4_ROUTE_1='192.168.0.0/24'!
Probiert habe ich es auch schon mit OPENVPN_4_ROUTE_1='192.168.0.0/24' ,
mit demselben Ergebnis.
Mein LAN ist 192.168.1.0/24, der Fli4l hat die 192.168.1.1 auf
eth0/br0/IP_NET_1 und die 192.168.2.2 auf eth1/IP_NET_2 internetseitig
vom Speedport her.
OPENVPN_1_x bis OPENVPN_3_x sind Bridges, die seit Fli4l-4 auch nicht
mehr laufen, die ich aber eh nicht mehr wirklich nutzen will.
Gruß
Dirk
B. Sprenger
Jul 31, 2019, 5:11:21 AM7/31/19
to
Hallo Dirk,
Am 24.07.2019 um 21:12 schrieb Dirk Alberti:
> ich verzweifle seit Umstieg zu Fli4l-4 langsam an der Einrichtung einer
> Konfig für einen (Linux-)Roadwarrior, der von außerhalb per opt_openvpn
> so ins LAN integriert werden soll, als wäre er direkt angeschlossen,
> also quasi Vollzugriff, inklusive surfen durch den Tunnel, Samba und DNS.
>
Der Fehler liegt in den IP-Adressen.
Für das Routing wird ein "Zwischennetz" benötigt
Bei mir sieht das so aus:
auf dem Fli4l:
OPENVPN_7_NAME= 'TMS-Notebook'
#OPENVPN_7_REMOTE_HOST= ''
#OPENVPN_7_REMOTE_PORT= '1028'
OPENVPN_7_LOCAL_PORT= '1029'
OPENVPN_7_SECRET= 'TMS_Notebook.key'
OPENVPN_7_TYPE= 'tunnel'
OPENVPN_7_REMOTE_VPN_IP= '192.168.200.245'
OPENVPN_7_LOCAL_VPN_IP= '192.168.200.246'
OPENVPN_7_ROUTE_N= '0'
#OPENVPN_7_ROUTE_1= '192.168.50.0/24'
OPENVPN_7_PF_INPUT_N= '1'
OPENVPN_7_PF_INPUT_1= 'ACCEPT'
OPENVPN_7_PF_FORWARD_N= '1'
OPENVPN_7_PF_FORWARD_1= 'ACCEPT BIDIRECTIONAL'
OPENVPN_7_CIPHER= 'AES-256-CBC'
OPENVPN_7_DIGEST='SHA512'
und die OVPN auf dem Client:
remote ????.dyndns.org
rport 1029
secret TMS_Notebook.key
dev tun
cipher AES-256-CBC
auth SHA512
ifconfig 192.168.200.245 192.168.200.246
route 172.16.0.0 255.255.0.0
Dahin werde die Pakete vom Client geroutet.
Folgende Einschränkung gelten für die IP-Adressen:
#Specifically, the last octet in the IP address of each endpoint pair
must be taken from this set:
#
#[ 1, 2] [ 5, 6] [ 9, 10] [ 13, 14] [ 17, 18]
#[ 21, 22] [ 25, 26] [ 29, 30] [ 33, 34] [ 37, 38]
#[ 41, 42] [ 45, 46] [ 49, 50] [ 53, 54] [ 57, 58]
#[ 61, 62] [ 65, 66] [ 69, 70] [ 73, 74] [ 77, 78]
#[ 81, 82] [ 85, 86] [ 89, 90] [ 93, 94] [ 97, 98]
#[101,102] [105,106] [109,110] [113,114] [117,118]
#[121,122] [125,126] [129,130] [133,134] [137,138]
#[141,142] [145,146] [149,150] [153,154] [157,158]
#[161,162] [165,166] [169,170] [173,174] [177,178]
#[181,182] [185,186] [189,190] [193,194] [197,198]
#[201,202] [205,206] [209,210] [213,214] [217,218]
#[221,222] [225,226] [229,230] [233,234] [237,238]
#[241,242] [245,246] [249,250] [253,254]
#
Für das Bridging sieht es bei mir so aus:
(die Gegenstelle natürlich entsprechend, mit getauschten IPs und Ports)
OPENVPN_2_NAME= 'abc'
OPENVPN_2_REMOTE_HOST= '????.dyndns.org'
OPENVPN_2_REMOTE_PORT= '1010'
OPENVPN_2_LOCAL_PORT= '1011'
OPENVPN_2_SECRET= 'xxxx.key'
OPENVPN_2_TYPE= 'tunnel'
OPENVPN_2_REMOTE_VPN_IP= '192.168.200.206'
OPENVPN_2_LOCAL_VPN_IP= '192.168.200.197'
OPENVPN_2_ROUTE_N= '1'
OPENVPN_2_ROUTE_1= '172.20.0.0/16'
OPENVPN_2_PF_INPUT_N= '1'
OPENVPN_2_PF_INPUT_1= 'ACCEPT'
OPENVPN_2_PF_FORWARD_N= '1'
OPENVPN_2_PF_FORWARD_1= 'ACCEPT'
OPENVPN_2_PF_INPUT_POLICY='ACCEPT'
OPENVPN_2_PF_FORWARD_POLICY='ACCEPT'
OPENVPN_2_CIPHER= 'AES-256-CBC'
OPENVPN_2_DIGEST='SHA512'
Die Option comp-lzo sollte man wohl weglassen.
Anscheinend ist das ein Angriffspunkt (habe ich irgendwo gelesen)
LG
Boris
Am 24.07.2019 um 21:12 schrieb Dirk Alberti:
> ich verzweifle seit Umstieg zu Fli4l-4 langsam an der Einrichtung einer
> Konfig für einen (Linux-)Roadwarrior, der von außerhalb per opt_openvpn
> so ins LAN integriert werden soll, als wäre er direkt angeschlossen,
> also quasi Vollzugriff, inklusive surfen durch den Tunnel, Samba und DNS.
>
Für das Routing wird ein "Zwischennetz" benötigt
Bei mir sieht das so aus:
auf dem Fli4l:
OPENVPN_7_NAME= 'TMS-Notebook'
#OPENVPN_7_REMOTE_HOST= ''
#OPENVPN_7_REMOTE_PORT= '1028'
OPENVPN_7_LOCAL_PORT= '1029'
OPENVPN_7_SECRET= 'TMS_Notebook.key'
OPENVPN_7_TYPE= 'tunnel'
OPENVPN_7_REMOTE_VPN_IP= '192.168.200.245'
OPENVPN_7_LOCAL_VPN_IP= '192.168.200.246'
OPENVPN_7_ROUTE_N= '0'
#OPENVPN_7_ROUTE_1= '192.168.50.0/24'
OPENVPN_7_PF_INPUT_N= '1'
OPENVPN_7_PF_INPUT_1= 'ACCEPT'
OPENVPN_7_PF_FORWARD_N= '1'
OPENVPN_7_PF_FORWARD_1= 'ACCEPT BIDIRECTIONAL'
OPENVPN_7_CIPHER= 'AES-256-CBC'
OPENVPN_7_DIGEST='SHA512'
und die OVPN auf dem Client:
remote ????.dyndns.org
rport 1029
secret TMS_Notebook.key
dev tun
cipher AES-256-CBC
auth SHA512
ifconfig 192.168.200.245 192.168.200.246
route 172.16.0.0 255.255.0.0
persist-tun
persist-key
ping-timer-rem
ping-restart 60
proto udp
tun-mtu 1500
fragment 1300
mssfix
Da LAN ist ein Klasse B-Netz mit 172.16.x.x
persist-key
ping-timer-rem
ping-restart 60
proto udp
tun-mtu 1500
fragment 1300
mssfix
Dahin werde die Pakete vom Client geroutet.
Folgende Einschränkung gelten für die IP-Adressen:
#Specifically, the last octet in the IP address of each endpoint pair
must be taken from this set:
#
#[ 1, 2] [ 5, 6] [ 9, 10] [ 13, 14] [ 17, 18]
#[ 21, 22] [ 25, 26] [ 29, 30] [ 33, 34] [ 37, 38]
#[ 41, 42] [ 45, 46] [ 49, 50] [ 53, 54] [ 57, 58]
#[ 61, 62] [ 65, 66] [ 69, 70] [ 73, 74] [ 77, 78]
#[ 81, 82] [ 85, 86] [ 89, 90] [ 93, 94] [ 97, 98]
#[101,102] [105,106] [109,110] [113,114] [117,118]
#[121,122] [125,126] [129,130] [133,134] [137,138]
#[141,142] [145,146] [149,150] [153,154] [157,158]
#[161,162] [165,166] [169,170] [173,174] [177,178]
#[181,182] [185,186] [189,190] [193,194] [197,198]
#[201,202] [205,206] [209,210] [213,214] [217,218]
#[221,222] [225,226] [229,230] [233,234] [237,238]
#[241,242] [245,246] [249,250] [253,254]
#
Für das Bridging sieht es bei mir so aus:
(die Gegenstelle natürlich entsprechend, mit getauschten IPs und Ports)
OPENVPN_2_NAME= 'abc'
OPENVPN_2_REMOTE_HOST= '????.dyndns.org'
OPENVPN_2_REMOTE_PORT= '1010'
OPENVPN_2_LOCAL_PORT= '1011'
OPENVPN_2_SECRET= 'xxxx.key'
OPENVPN_2_TYPE= 'tunnel'
OPENVPN_2_REMOTE_VPN_IP= '192.168.200.206'
OPENVPN_2_LOCAL_VPN_IP= '192.168.200.197'
OPENVPN_2_ROUTE_N= '1'
OPENVPN_2_ROUTE_1= '172.20.0.0/16'
OPENVPN_2_PF_INPUT_N= '1'
OPENVPN_2_PF_INPUT_1= 'ACCEPT'
OPENVPN_2_PF_FORWARD_N= '1'
OPENVPN_2_PF_FORWARD_1= 'ACCEPT'
OPENVPN_2_PF_INPUT_POLICY='ACCEPT'
OPENVPN_2_PF_FORWARD_POLICY='ACCEPT'
OPENVPN_2_CIPHER= 'AES-256-CBC'
OPENVPN_2_DIGEST='SHA512'
Die Option comp-lzo sollte man wohl weglassen.
Anscheinend ist das ein Angriffspunkt (habe ich irgendwo gelesen)
LG
Boris
0 new messages