noch mal OpenVPN

L I V E Stammtisch ab 20:30 Uhr im Chat
  • Hallo,

    da Ihr mir das letzte Mal schon hervorragend geholfen habt, hoffe ich, Ihr könnt mir bei einer weiteren Problemlösung behilflich sein :)!?

    Bis jetzt hat mir ja Portunity einen OpenVPN-Server zur Verfügung gestellt. Da dieser Server aber sporadisch ausfällt, muss mich mir eine
    andere Lösung einfallen lassen.

    Würde folgendes Szenario funktionieren?

    Ich:

    LTE Zuhause von Vodafone (ohne öffentliche IP)
    Fritzbox 6840 LTE
    Raspi
    Heimnetzwerk 192.168.1.0

    Meine Ellies:

    DSL (öffentliche IP)
    Fritzbox 7272
    Raspi
    Heimnetz 192.168.178.0

    Wenn ich nun den Raspi bei meinen Eltern als OpenVPN-Server aufsetze und meinen als Client, könnte ich dann von unterwegs mit Smartphone auf mein Heimnetzwerk zugreifen? Und wenn ja, wie gehe ich da am besten vor?

    Grüße und danke

    Einmal editiert, zuletzt von Taf73 (6. Juni 2015 um 21:25)

  • Hi,

    ich würde das VPN der Fritz Box mit einem Dyn DNS benutzen.
    Das scheint mir die einfachste Lösung zu sein.

    Das ist einfach zu konfigurieren.
    Schau mal bei AVM vorbei und suche nach vpn einrichten.

    Mit meinem IPAD und IPod klappt das prima.

    Gruß Spitfire


  • Hi,

    ich würde das VPN der Fritz Box mit einem Dyn DNS benutzen.
    Das scheint mir die einfachste Lösung zu sein.

    Das ist einfach zu konfigurieren.
    Schau mal bei AVM vorbei und suche nach vpn einrichten.

    Mit meinem IPAD und IPod klappt das prima.

    Gruß Spitfire

    Danke Dir, leider funktioniert bei mir kein DynDNS, da ich keine öffentliche IP bekomme.

    Einmal editiert, zuletzt von Taf73 (7. Juni 2015 um 00:08)


  • Sorry für die doofe Frage - aber wie geht Internet ohne öffentliche IP? Was bekommst du denn von Vodafone dann?


    Ich denke, dass er eine IP-Adresse aus dem "privaten Bereich" bekommt. (10er Bereich?) Bei T-Mobile bekomme ich auf jeden Fall so eine. Diese wird im Internet nicht weiter geleitet. Somit hat man (Vodafon / T-Mobile / ...) ein riesiges "Heimnetzwerk", welches von außen nicht erreichbar ist. Läuft dann quasi so wie zuhause mit den 192.168.x.x


    Danke Dir, leider funktioniert bei mir kein DynDNS, da ich keine öffentliche IP bekomme.

    Ich Denke mal, dass hier gemeint ist, dass das bei den Eltern eingerichtet werden sollte. Also von deiner Fritzbox zur Fritzbox deiner Eltern.

    Mit zwei Rasberry Pi, so wie von dir angegeben sollte das auch möglich sein.
    Grob:
    Bei den Eltern:
    DynDNS besorgen. (Ob der Client auf dem Raspberry Pi oder der Fritzbox läuft ist egal)
    Port für OpenVPN auf der Fritzbox zum Raspberry Pi weiterleiten
    Eine statische Route in der Fritzbox einrichten und als Gateway den Raspberry Pi angeben.
    OpenVPN-Server auf dem Raspberry Pi einrichten. ("client-to-client" muss dann in die Konfiguration)
    Weiterleitung auf dem Raspberry Pi

    Bei Dir:
    OpenVPN-Client auf dem Raspberry Pi einrichten.
    Eventuell Weiterleitung auf Raspberry Pi einrichten.

    (Natürlich keinen Anspruch auf Vollständigkeit. Besser: Ich habe bestimmt etwas vergessen ...)

    Viele Grüße
    Olaf

    Wer nicht gekennzeichnete Rechtschreibfehler findet darf sie gerne behalten..

  • Ich denke, dass er eine IP-Adresse aus dem "privaten Bereich" bekommt. (10er Bereich?) Bei T-Mobile bekomme ich auf jeden Fall so eine. Diese wird im Internet nicht weiter geleitet. Somit hat man (Vodafon / T-Mobile / ...) ein riesiges "Heimnetzwerk", welches von außen nicht erreichbar ist. Läuft dann quasi so wie zuhause mit den 192.168.x.x

    Jup, bei LTE Zuhause läuft das dummerweise genau so :(.


    Server und Client laufen mittlerweile, steh aber momentan völlig auf dem Schlauch wie ich weiter vorgehen soll :daumendreh2: .

    Grüße Taf


  • Server und Client laufen mittlerweile, steh aber momentan völlig auf dem Schlauch wie ich weiter vorgehen soll :daumendreh2: ,
    könnte mir Noob dabei noch mal jemand helfen?

    Danke und Grüße Taf

    PS: Kann man eigene Beiträge irgendwie löschen?

    Einmal editiert, zuletzt von Taf73 (7. Juni 2015 um 10:15)

  • Hallo Taf,


    Server und Client laufen mittlerweile, steh aber momentan völlig auf dem Schlauch wie ich weiter vorgehen soll :daumendreh2: ,
    könnte mir Noob dabei noch mal jemand helfen?

    das geht ja flott.
    Hast Du das über die Fritzbox- / AVM-Tools (wozu ich eigentlich fast nichts weiß) gemacht oder über OpenVPN?

    Wie weit bist Du genau?

    • Verbindung (OpenVPN) steht zwischen Zuhause und Eltern. Sind von beiden Seiten die IP-Adressen von OpenVPN pingbar?
    • Eine Verbindung(OpenVPN) steht zwischen einem weiterem Endgerät und Eltern. Sind von beiden Seiten die IP-Adressen von OpenVPN pingbar?


    Viele Grüße
    Olaf

    Wer nicht gekennzeichnete Rechtschreibfehler findet darf sie gerne behalten..

  • Danke für Deine Hilfe!

    Alles über OpenVPN, wie Fritzbox zu Fritzbox funktioniert weiß ich auch nicht ;).

    Also, der Server bei meinen Ellies kann vom OpenVPN-Windows-Client bei mir problemlos erreicht werden.
    Mein Raspi startet zwar OpenVPN, baut aber keine Verbindung zum Elternhaus auf, anpingen funktioniert aber beiderseitig.

    Einmal editiert, zuletzt von Taf73 (7. Juni 2015 um 15:22)

  • So siehts aus :s

    Sun Jun 7 16:50:02 2015 OpenVPN 2.2.1 arm-linux-gnueabihf [SSL] [LZO2] [EPOLL] [PKCS11] [eurephia] [MH] [PF_INET6] [IPv6 payload 20110424-2 (2.2RC2)] built on Dec 1 2014
    Sun Jun 7 16:50:02 2015 NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
    Sun Jun 7 16:50:02 2015 WARNING: file '/etc/openvpn/openvpnkeys/Taf.key' is group or others accessible
    Sun Jun 7 16:50:02 2015 LZO compression initialized
    Sun Jun 7 16:50:02 2015 Control Channel MTU parms [ L:1558 D:138 EF:38 EB:0 ET:0 EL:0 ]
    Sun Jun 7 16:50:02 2015 Socket Buffers: R=[163840->131072] S=[163840->131072]
    Sun Jun 7 16:50:03 2015 Data Channel MTU parms [ L:1558 D:1450 EF:58 EB:135 ET:0 EL:0 AF:3/1 ]
    Sun Jun 7 16:50:03 2015 Local Options hash (VER=V4): '22188c5b'
    Sun Jun 7 16:50:03 2015 Expected Remote Options hash (VER=V4): 'a8f55717'
    Sun Jun 7 16:50:03 2015 UDPv4 link local: [undef]
    Sun Jun 7 16:50:03 2015 UDPv4 link remote: [AF_INET]79.250.205.73:4837
    Sun Jun 7 16:50:03 2015 TLS: Initial packet from [AF_INET]79.250.205.73:4837, sid=17059707 e492288f
    Sun Jun 7 16:50:04 2015 VERIFY OK: depth=1, /C=DE/ST=SA/L=Freiberg/O=meine_OU/CN=meine_OU_CA/emailAddress=taf@dem-squad.de
    Sun Jun 7 16:50:04 2015 VERIFY OK: nsCertType=SERVER
    Sun Jun 7 16:50:04 2015 VERIFY OK: depth=0, /C=DE/ST=SA/L=Freiberg/O=meine_OU/CN=spock173/emailAddress=
    Sun Jun 7 16:50:05 2015 Data Channel Encrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
    Sun Jun 7 16:50:05 2015 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
    Sun Jun 7 16:50:05 2015 Data Channel Decrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
    Sun Jun 7 16:50:05 2015 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
    Sun Jun 7 16:50:05 2015 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
    Sun Jun 7 16:50:05 2015 [spock173] Peer Connection Initiated with [AF_INET]79.250.x.x
    Sun Jun 7 16:50:07 2015 SENT CONTROL [spock173]: 'PUSH_REQUEST' (status=1)
    Sun Jun 7 16:50:07 2015 PUSH: Received control message: 'PUSH_REPLY,route 10.0.0.0 255.255.255.0,route 192.168.2.0 255.255.255.0,route 10.0.0.1,topology net30,ping 10,ping-restart 120,ifconfig 10.0.0.6 10.0.0.5'
    Sun Jun 7 16:50:07 2015 OPTIONS IMPORT: timers and/or timeouts modified
    Sun Jun 7 16:50:07 2015 OPTIONS IMPORT: --ifconfig/up options modified
    Sun Jun 7 16:50:07 2015 OPTIONS IMPORT: route options modified
    Sun Jun 7 16:50:07 2015 ROUTE default_gateway=192.168.1.1
    Sun Jun 7 16:50:07 2015 TUN/TAP device tun1 opened
    Sun Jun 7 16:50:07 2015 TUN/TAP TX queue length set to 100
    Sun Jun 7 16:50:07 2015 do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
    Sun Jun 7 16:50:07 2015 /sbin/ifconfig tun1 10.0.0.6 pointopoint 10.0.0.5 mtu 1500
    Sun Jun 7 16:50:07 2015 /sbin/route add -net 10.0.0.0 netmask 255.255.255.0 gw 10.0.0.5
    SIOCADDRT: File exists
    Sun Jun 7 16:50:07 2015 ERROR: Linux route add command failed: external program exited with error status: 7
    Sun Jun 7 16:50:07 2015 /sbin/route add -net 192.168.2.0 netmask 255.255.255.0 gw 10.0.0.5
    SIOCADDRT: File exists
    Sun Jun 7 16:50:07 2015 ERROR: Linux route add command failed: external program exited with error status: 7
    Sun Jun 7 16:50:07 2015 /sbin/route add -net 10.0.0.1 netmask 255.255.255.255 gw 10.0.0.5
    SIOCADDRT: File exists
    Sun Jun 7 16:50:07 2015 ERROR: Linux route add command failed: external program exited with error status: 7
    Sun Jun 7 16:50:07 2015 Initialization Sequence Completed

    Einmal editiert, zuletzt von Taf73 (7. Juni 2015 um 18:53)

  • Hallo Taf,

    das soll jetzt kein meckern sein: Vielleicht editierst Du noch mal Deinen Beitrag und machst Deine Mailadresse unkenntlich. Die letzten Stellen der IP-Adresse der Gegenstelle müssen auch nicht unbedingt sein (79.250.XXX.XXX oder so)


    Zum Log: Sieht doch schon mal schnike aus.

    Du hast Zuhause auf dem Raspi die 10.0.0.6 bekommen. Der Raspi bei deinen Eltern hat (hierzu) die 10.0.0.5.

    Ein paar Routen können nicht gesetzt werden. Aber das kann man noch hin bekommen.

    Ich gehe mal davon aus, dass Du von Zuhause zu Deinen Eltern pingen kannst

    Zitat

    ping 10.0.0.5

    ssh sollte vom Raspi-Zuhause zu Deinen Eltern auch laufen.

    (geht nachher weiter ...)

    Wer nicht gekennzeichnete Rechtschreibfehler findet darf sie gerne behalten..

    Einmal editiert, zuletzt von korky2 (7. Juni 2015 um 17:21)

  • Danke Dir für die Hilfe!

    Der Raspi meiner Eltern zeigt als IP-Adresse des TUN-Devices 10.0.0.1 an, von meinem Raspi klappt der Ping auf 10.0.0.5 leider nicht, was läuft da nur falsch?.

    Einmal editiert, zuletzt von Taf73 (7. Juni 2015 um 21:08)

  • Hallo Taf,

    jetzt geht es wieder ...


    Der Raspi meiner Eltern zeigt als IP-Adresse des TUN-Devices 10.0.0.1 an, von meinem Raspi klappt der Ping auf 10.0.0.5 leider nicht, was läuft da nur falsch?.

    Sorry! Muss 10.0.0.1 sein. Die sollte anpingbar sein.
    (Wenn hier zuhause der Teufel ( drei Jahre:-) loslegt ...)


    Wenn die Verbindung steht, dann muss "nur noch" das Routing geklärt werden. Ich habe bei mir dieses mit Client-Konfiguration gemacht:
    In der Openvpn-Server-Konfiguration (bei den Eltern):

    Code
    client-to-client
    
    
    route 192.168.1.0 255.255.255.0
    client-config-dir /etc/openvpn/ccd


    Dazu noch im Verzeichnis "/etc/openvpn/ccd" (anlegen) eine Datei mit dem Clientzertifikatsnamen anlegen. Diese müsste bei dir dann wahrscheinlich "/etc/openvpn/ccd/spock173" heißen und ungefähr folgenden Inhalt haben:

    Code
    iroute 192.168.1.0 255.255.255.0  # clientnetz + netmask
    push-reset

    Openvpn neu starten

    Beim Verbinden sollte auf dem Server etwas wie:

    Code
    OPTIONS IMPORT: reading client specific options from: /etc/openvpn/ccd/spock173


    erscheinen.


    Auf dem Raspi-Zuhause müsste noch die Route in die OpenVPN-Konfiguration eingetragen werden

    Code
    route 192.168.178.0 255.255.255.0


    Sorry, wenn ich es so "vorsichtig" schreibe bzw. wenn das so direkt nicht läuft.
    Ich habe es so am laufen. Die Konfiguration habe ich ein Mal eingerichtet (natürlich mit "basteln") und läuft.
    Ich habe versucht die Subnetze und Zertifikatsnamen so gut es ging an deine Situation anzupassen.

    Um die Routen sauber hinzu bekommen entweder alle vorherigen Routen löschen oder einen Reboot

    HTH

    Viele Grüße
    Olaf

    Wer nicht gekennzeichnete Rechtschreibfehler findet darf sie gerne behalten..

  • Danke, dass Du Dir trotz kleinem "Teufel" daheim :D soviel Zeit für mich nimmst :thumbs1:

    Da ich mittlerweile mit den ganzen Zertifikaten durcheinander komme,...kann man die einfach lösen und neu erstellen?

    Hab alles in die OpenVPN-Config auf dem Server eingetragen, leider bringt er mir dann diese Fehlermeldung:

    Mon Jun 8 11:52:41 2015 TCP/UDP: Socket bind failed on local address [undef]: Address already in use

    Danke Dir noch mal

    Grüße Swen

  • Hallo Swen,

    ja mit dem Teufel ist schon der Klopper. Nun gut. Jeder hat sein Brot zu tragen :D (oder so)
    (Der Kleine ist zwischendurch "Gast" hier. Wenn es zum Eis essen geht, dann muss man halt alles stehen und liegen lassen ...)
    Ich wollte auch nicht, dass ich das Geschriebene wieder vergesse.


    Da ich mittlerweile mit den ganzen Zertifikaten durcheinander komme,...kann man die einfach lösen und neu erstellen?

    Wenn Du die Zertifikate mit easy-rsa erstellt hast, dann wieder in das Verzeichnis wechseln und

    Code
    source ./vars
    ./clean-all # Danach sind die "alten" Zertifikate, im Verzeichnis keys, weg!


    Dann kannst Du die Zertifikate alle neu erstellen. Du musst die dann wieder passend an alle Beteiligten verteilen.

    Ein "Mischmasch" aus alten und neu erstellten Zertifikaten klappt meistens nicht.
    (Wenn das ca-Zertifikat geändert wurde)


    Hab alles in die OpenVPN-Config auf dem Server eingetragen, leider bringt er mir dann diese Fehlermeldung:

    Mon Jun 8 11:52:41 2015 TCP/UDP: Socket bind failed on local address [undef]: Address already in use


    Hast Du zufällig zwei Konfigurationsdateien auf dem Server (Raspi-Eltern) mit gleichem Port?
    Für Deine Konstellation benötigst Du nur eine. Da können sich mehrere Clients einwählen.

    Viele Grüße
    Olaf

    Wer nicht gekennzeichnete Rechtschreibfehler findet darf sie gerne behalten..

  • Hi Olaf,

    hab nur eine Konfigurationsdatei auf dem Server. Da mein Client nach den neuen Zertifikaten OpenVPN überhaupt nicht mehr starten wollt, hab ich den mal neu aufgesetzt.
    Als Fehlermeldung bringt er nun dieses

    Mon Jun 8 18:54:01 2015 ERROR: Linux route add command failed: external program exited with error status: 7

    Jetzt bin ich echt am verzweifeln :s .

    Einmal editiert, zuletzt von Taf73 (8. Juni 2015 um 18:58)

  • Hallo Swen,

    mmh. Da kann eine Route nicht gesetzt werden. Über der Zeile im Log müsste das interessante stehen.

    Kannst Du die noch mal schreiben?

    Viele Grüße
    Olaf

    Wer nicht gekennzeichnete Rechtschreibfehler findet darf sie gerne behalten..

  • Moin Olaf,

    danke nochmals für Deine Hilfe, mittlerweile habe ich die Fehlermeldung ausmerzen können :thumbs1:.

    Wie kann ich denn prüfen, ob die Route steht, und muss ich evtl. eine Route in der Fritzbox meiner Eltern eintragen?

    Grüße Swen

  • Mahlzeit Swen,


    mittlerweile habe ich die Fehlermeldung ausmerzen können :thumbs1:.

    Cool.


    Wie kann ich denn prüfen, ob die Route steht,


    Routen kannst du mit "route -n" überprüfen.
    Bei dem Raspi deiner Eltern müsste dann etwa so aussehen: (Nur schöner. Ich bekomme das mit dem formatieren nicht hin ... :sleepy: )

    Code
    Kernel-IP-Routentabelle
    Ziel                     Router                 Genmask             Flags Metric Ref    Use Iface
    0.0.0.0               192.168.178.1     0.0.0.0                 UG     0        0        0     eth0
    192.168.178.0   0.0.0.0                 255.255.255.0     U        0        0        0     eth0
    10.0.0.0             10.0.0.2               255.255.255.0     UG     0        0        0     tun0
    10.0.0.2             0.0.0.0                 255.255.255.255 UH      0        0        0     tun0
    192.168.1.0       10.0.0.2               255.255.255.0     UG     0        0        0     tun0


    Achtung: Die IP-Adresse 10.0.0.2 ist jetzt geraten!

    Interessant ist eigentlich die letzte Zeile mit deinem Netzwerk zuhause. Diese muss auf das "tun"-Interface zeigen.


    muss ich evtl. eine Route in der Fritzbox meiner Eltern eintragen?

    Wenn du von dem Netzwerk deiner Eltern auf dein Netzwerk zuhause willst, dann ja. (Wenn nur per VPN-Einwahl, dann ist das nicht nötig)
    Fritzbox (Eltern): Heimnetzwerk -> 2. Lasche (Netzwerkeinstellungen) -> Buton "IPv4-Route".
    Hier dann dein Netzwerk zuhause eintragen (192.168.1.0) Subnetmaske 255.255.255.0 und als Gateway die IP-Adresse des Raspi bei deinen Eltern (192.168.1.xxx). Nicht getestet. Müsste aber nach der Beschreibung gehen.
    Hier bitte vorsichtig und genau vorgehen! Die Warnung bei der Fritzbox ist ernst gemeint!

    Zudem wirst du hierzu auch IP-Forwarding aktivieren müssen. Dazu in der Datei "/etc/sysctl.conf" den folgenden Abschnitt wie dargestellt abändern:

    Code
    # Uncomment the next line to enable packet forwarding for IPv4
    net.ipv4.ip_forward=1


    (Also das # am Anfang der zweiten Zeile entfernen)

    Danach ein mutiges "sysctl -p". Oder Reboot.

    IP-Forwarding müsstest du auch bei deinem Raspi bei dir zuhause aktivieren.

    Viele Grüße
    Olaf

    Wer nicht gekennzeichnete Rechtschreibfehler findet darf sie gerne behalten..

Jetzt mitmachen!

Du hast noch kein Benutzerkonto auf unserer Seite? Registriere dich kostenlos und nimm an unserer Community teil!