net(t)forum
net(t)work(s) - fli4l - eisfair

Startseite » fli4l » spline.fli4l.opt » OpenVPN-Roadwarrior-Config?
OpenVPN-Roadwarrior-Config? [Beitrag #73004] Wed, 24 July 2019 21:12 Zum nächsten Beitrag gehen
Dirk Alberti ist gerade offline  Dirk Alberti
Beiträge: 1077
Registriert: July 2010
Senior Member
Hallo Gemeinde,


ich verzweifle seit Umstieg zu Fli4l-4 langsam an der Einrichtung einer
Konfig für einen (Linux-)Roadwarrior, der von außerhalb per opt_openvpn
so ins LAN integriert werden soll, als wäre er direkt angeschlossen,
also quasi Vollzugriff, inklusive surfen durch den Tunnel, Samba und DNS.

Hätte mal bitte jemand eine funktionierende Konfig für mich?



Meine nicht funktionierende Konfig:


tunnel.ovpn auf dem Roadwarrior:


remote <mein_noip_zugang>
rport 10041
secret einwahl.secret
dev tun
ifconfig 192.168.0.2 192.168.0.1
route 192.168.1.0 255.255.255.0
comp-lzo
persist-tun
persist-key
ping-timer-rem
ping-restart 60
proto udp
tun-mtu 1500
fragment 1300
mssfix


openvpn.txt auf dem Fli4l-4.x:


OPENVPN_4_NAME='Tunnel'                 # Name des Clients
OPENVPN_4_LOCAL_PORT='10041'             # Eingehender Port fuer die
Verbindu
OPENVPN_4_SECRET='einwahl.secret'        # Key-Datei des Clients
OPENVPN_4_TYPE='tunnel'
OPENVPN_4_REMOTE_VPN_IP='192.168.0.2'       # Client-IP-Adresse
OPENVPN_4_LOCAL_VPN_IP='192.168.0.1'        # Server-IP-Adresse
OPENVPN_4_ROUTE_N='1'
OPENVPN_4_ROUTE_1='192.168.1.0/24'
OPENVPN_4_PF_INPUT_N='2'
OPENVPN_4_PF_INPUT_1='ACCEPT'
OPENVPN_4_PF_INPUT_2='if:VPNDEV:any tmpl:dns ACCEPT'
OPENVPN_4_PF_FORWARD_N='1'
OPENVPN_4_PF_FORWARD_1='IP_NET_2 ACCEPT BIDIRECTIONAL'


Ich erhalte bei mkfli4l folgende Fehlermeldung:

Error: OpenVPN: You can't use OPENVPN_4_LOCAL_VPN_IP='192.168.0.1' as
       a local vpn ip since it is routed with
       OPENVPN_4_ROUTE_1='192.168.0.0/24'!
Error: OpenVPN: You can't use OPENVPN_4_REMOTE_VPN_IP='192.168.0.2' as
       a remote vpn ip since it is routed with
       OPENVPN_4_ROUTE_1='192.168.0.0/24'!

Probiert habe ich es auch schon mit OPENVPN_4_ROUTE_1='192.168.0.0/24' ,
mit demselben Ergebnis.

Mein LAN ist 192.168.1.0/24, der Fli4l hat die 192.168.1.1 auf
eth0/br0/IP_NET_1 und die 192.168.2.2 auf eth1/IP_NET_2 internetseitig
vom Speedport her.


OPENVPN_1_x  bis OPENVPN_3_x sind Bridges, die seit Fli4l-4 auch nicht
mehr laufen, die ich aber eh nicht mehr wirklich nutzen will.


Gruß

Dirk
Re: OpenVPN-Roadwarrior-Config? [Beitrag #73179 ist eine Antwort auf Beitrag #73004] Wed, 31 July 2019 11:11 Zum vorherigen Beitrag gehen
B. Sprenger ist gerade offline  B. Sprenger
Beiträge: 384
Registriert: July 2010
Senior Member
Hallo Dirk,

Am 24.07.2019 um 21:12 schrieb Dirk Alberti:
> ich verzweifle seit Umstieg zu Fli4l-4 langsam an der Einrichtung einer
> Konfig für einen (Linux-)Roadwarrior, der von außerhalb per opt_openvpn
> so ins LAN integriert werden soll, als wäre er direkt angeschlossen,
> also quasi Vollzugriff, inklusive surfen durch den Tunnel, Samba und DNS.
>
> Meine nicht funktionierende Konfig:
> tunnel.ovpn auf dem Roadwarrior:
>
>
> remote <mein_noip_zugang>
> rport 10041
> secret einwahl.secret
> dev tun
> ifconfig 192.168.0.2 192.168.0.1
> route 192.168.1.0 255.255.255.0
> comp-lzo
> persist-tun
> persist-key
> ping-timer-rem
> ping-restart 60
> proto udp
> tun-mtu 1500
> fragment 1300
> mssfix
>
>
> openvpn.txt auf dem Fli4l-4.x:
>
>
> OPENVPN_4_NAME='Tunnel'                 # Name des Clients
> OPENVPN_4_LOCAL_PORT='10041'             # Eingehender Port fuer die
> Verbindu
> OPENVPN_4_SECRET='einwahl.secret'        # Key-Datei des Clients
> OPENVPN_4_TYPE='tunnel'
> OPENVPN_4_REMOTE_VPN_IP='192.168.0.2'       # Client-IP-Adresse
> OPENVPN_4_LOCAL_VPN_IP='192.168.0.1'        # Server-IP-Adresse
> OPENVPN_4_ROUTE_N='1'
> OPENVPN_4_ROUTE_1='192.168.1.0/24'
> OPENVPN_4_PF_INPUT_N='2'
> OPENVPN_4_PF_INPUT_1='ACCEPT'
> OPENVPN_4_PF_INPUT_2='if:VPNDEV:any tmpl:dns ACCEPT'
> OPENVPN_4_PF_FORWARD_N='1'
> OPENVPN_4_PF_FORWARD_1='IP_NET_2 ACCEPT BIDIRECTIONAL'
>
>

Der Fehler liegt in den IP-Adressen.
Für das Routing wird ein "Zwischennetz" benötigt



Bei mir sieht das so aus:
auf dem Fli4l:

OPENVPN_7_NAME= 'TMS-Notebook'
#OPENVPN_7_REMOTE_HOST= ''
#OPENVPN_7_REMOTE_PORT= '1028'
OPENVPN_7_LOCAL_PORT= '1029'
OPENVPN_7_SECRET= 'TMS_Notebook.key'
OPENVPN_7_TYPE= 'tunnel'
OPENVPN_7_REMOTE_VPN_IP= '192.168.200.245'
OPENVPN_7_LOCAL_VPN_IP= '192.168.200.246'
OPENVPN_7_ROUTE_N= '0'
#OPENVPN_7_ROUTE_1= '192.168.50.0/24'
OPENVPN_7_PF_INPUT_N= '1'
OPENVPN_7_PF_INPUT_1= 'ACCEPT'
OPENVPN_7_PF_FORWARD_N= '1'
OPENVPN_7_PF_FORWARD_1= 'ACCEPT BIDIRECTIONAL'
OPENVPN_7_CIPHER= 'AES-256-CBC'
OPENVPN_7_DIGEST='SHA512'


und die OVPN auf dem Client:

remote ????.dyndns.org
rport 1029
secret TMS_Notebook.key
dev tun
cipher AES-256-CBC
auth SHA512
ifconfig 192.168.200.245 192.168.200.246
route 172.16.0.0 255.255.0.0
persist-tun
persist-key
ping-timer-rem
ping-restart 60
proto udp
tun-mtu 1500
fragment 1300
mssfix



Da LAN ist ein Klasse B-Netz mit 172.16.x.x
Dahin werde die Pakete vom Client geroutet.


Folgende Einschränkung gelten für die IP-Adressen:
#Specifically, the last octet in the IP address of each endpoint pair
must be taken from this set:
#
#[ 1, 2] [ 5, 6] [ 9, 10] [ 13, 14] [ 17, 18]
#[ 21, 22] [ 25, 26] [ 29, 30] [ 33, 34] [ 37, 38]
#[ 41, 42] [ 45, 46] [ 49, 50] [ 53, 54] [ 57, 58]
#[ 61, 62] [ 65, 66] [ 69, 70] [ 73, 74] [ 77, 78]
#[ 81, 82] [ 85, 86] [ 89, 90] [ 93, 94] [ 97, 98]
#[101,102] [105,106] [109,110] [113,114] [117,118]
#[121,122] [125,126] [129,130] [133,134] [137,138]
#[141,142] [145,146] [149,150] [153,154] [157,158]
#[161,162] [165,166] [169,170] [173,174] [177,178]
#[181,182] [185,186] [189,190] [193,194] [197,198]
#[201,202] [205,206] [209,210] [213,214] [217,218]
#[221,222] [225,226] [229,230] [233,234] [237,238]
#[241,242] [245,246] [249,250] [253,254]
#


Für das Bridging sieht es bei mir so aus:
(die Gegenstelle natürlich entsprechend, mit getauschten IPs und Ports)
OPENVPN_2_NAME= 'abc'
OPENVPN_2_REMOTE_HOST= '????.dyndns.org'
OPENVPN_2_REMOTE_PORT= '1010'
OPENVPN_2_LOCAL_PORT= '1011'
OPENVPN_2_SECRET= 'xxxx.key'
OPENVPN_2_TYPE= 'tunnel'
OPENVPN_2_REMOTE_VPN_IP= '192.168.200.206'
OPENVPN_2_LOCAL_VPN_IP= '192.168.200.197'
OPENVPN_2_ROUTE_N= '1'
OPENVPN_2_ROUTE_1= '172.20.0.0/16'
OPENVPN_2_PF_INPUT_N= '1'
OPENVPN_2_PF_INPUT_1= 'ACCEPT'
OPENVPN_2_PF_FORWARD_N= '1'
OPENVPN_2_PF_FORWARD_1= 'ACCEPT'
OPENVPN_2_PF_INPUT_POLICY='ACCEPT'
OPENVPN_2_PF_FORWARD_POLICY='ACCEPT'
OPENVPN_2_CIPHER= 'AES-256-CBC'
OPENVPN_2_DIGEST='SHA512'


Die Option comp-lzo sollte man wohl weglassen.
Anscheinend ist das ein Angriffspunkt (habe ich irgendwo gelesen)

LG
Boris
Vorheriges Thema: FFL-1444: Banana Pi R2
Nächstes Thema: Erfahrung mit Umstieg von Vigor 130 uaf Vigor 165
Gehe zum Forum:
  


aktuelle Zeit: Tue Dec 10 01:59:41 CET 2019

Insgesamt benötigte Zeit, um die Seite zu erzeugen: 0.52233 Sekunden