Discussion:
OpenVPN-Roadwarrior-Config?
(zu alt für eine Antwort)
Dirk Alberti
2019-07-24 19:12:13 UTC
Permalink
Hallo Gemeinde,


ich verzweifle seit Umstieg zu Fli4l-4 langsam an der Einrichtung einer
Konfig für einen (Linux-)Roadwarrior, der von außerhalb per opt_openvpn
so ins LAN integriert werden soll, als wäre er direkt angeschlossen,
also quasi Vollzugriff, inklusive surfen durch den Tunnel, Samba und DNS.

Hätte mal bitte jemand eine funktionierende Konfig für mich?



Meine nicht funktionierende Konfig:


tunnel.ovpn auf dem Roadwarrior:


remote <mein_noip_zugang>
rport 10041
secret einwahl.secret
dev tun
ifconfig 192.168.0.2 192.168.0.1
route 192.168.1.0 255.255.255.0
comp-lzo
persist-tun
persist-key
ping-timer-rem
ping-restart 60
proto udp
tun-mtu 1500
fragment 1300
mssfix


openvpn.txt auf dem Fli4l-4.x:


OPENVPN_4_NAME='Tunnel'                 # Name des Clients
OPENVPN_4_LOCAL_PORT='10041'             # Eingehender Port fuer die
Verbindu
OPENVPN_4_SECRET='einwahl.secret'        # Key-Datei des Clients
OPENVPN_4_TYPE='tunnel'
OPENVPN_4_REMOTE_VPN_IP='192.168.0.2'       # Client-IP-Adresse
OPENVPN_4_LOCAL_VPN_IP='192.168.0.1'        # Server-IP-Adresse
OPENVPN_4_ROUTE_N='1'
OPENVPN_4_ROUTE_1='192.168.1.0/24'
OPENVPN_4_PF_INPUT_N='2'
OPENVPN_4_PF_INPUT_1='ACCEPT'
OPENVPN_4_PF_INPUT_2='if:VPNDEV:any tmpl:dns ACCEPT'
OPENVPN_4_PF_FORWARD_N='1'
OPENVPN_4_PF_FORWARD_1='IP_NET_2 ACCEPT BIDIRECTIONAL'


Ich erhalte bei mkfli4l folgende Fehlermeldung:

Error: OpenVPN: You can't use OPENVPN_4_LOCAL_VPN_IP='192.168.0.1' as
       a local vpn ip since it is routed with
       OPENVPN_4_ROUTE_1='192.168.0.0/24'!
Error: OpenVPN: You can't use OPENVPN_4_REMOTE_VPN_IP='192.168.0.2' as
       a remote vpn ip since it is routed with
       OPENVPN_4_ROUTE_1='192.168.0.0/24'!

Probiert habe ich es auch schon mit OPENVPN_4_ROUTE_1='192.168.0.0/24' ,
mit demselben Ergebnis.

Mein LAN ist 192.168.1.0/24, der Fli4l hat die 192.168.1.1 auf
eth0/br0/IP_NET_1 und die 192.168.2.2 auf eth1/IP_NET_2 internetseitig
vom Speedport her.


OPENVPN_1_x  bis OPENVPN_3_x sind Bridges, die seit Fli4l-4 auch nicht
mehr laufen, die ich aber eh nicht mehr wirklich nutzen will.


Gruß

Dirk
B. Sprenger
2019-07-31 09:11:22 UTC
Permalink
Hallo Dirk,
Post by Dirk Alberti
ich verzweifle seit Umstieg zu Fli4l-4 langsam an der Einrichtung einer
Konfig für einen (Linux-)Roadwarrior, der von außerhalb per opt_openvpn
so ins LAN integriert werden soll, als wäre er direkt angeschlossen,
also quasi Vollzugriff, inklusive surfen durch den Tunnel, Samba und DNS.
remote <mein_noip_zugang>
rport 10041
secret einwahl.secret
dev tun
ifconfig 192.168.0.2 192.168.0.1
route 192.168.1.0 255.255.255.0
comp-lzo
persist-tun
persist-key
ping-timer-rem
ping-restart 60
proto udp
tun-mtu 1500
fragment 1300
mssfix
OPENVPN_4_NAME='Tunnel'                 # Name des Clients
OPENVPN_4_LOCAL_PORT='10041'             # Eingehender Port fuer die
Verbindu
OPENVPN_4_SECRET='einwahl.secret'        # Key-Datei des Clients
OPENVPN_4_TYPE='tunnel'
OPENVPN_4_REMOTE_VPN_IP='192.168.0.2'       # Client-IP-Adresse
OPENVPN_4_LOCAL_VPN_IP='192.168.0.1'        # Server-IP-Adresse
OPENVPN_4_ROUTE_N='1'
OPENVPN_4_ROUTE_1='192.168.1.0/24'
OPENVPN_4_PF_INPUT_N='2'
OPENVPN_4_PF_INPUT_1='ACCEPT'
OPENVPN_4_PF_INPUT_2='if:VPNDEV:any tmpl:dns ACCEPT'
OPENVPN_4_PF_FORWARD_N='1'
OPENVPN_4_PF_FORWARD_1='IP_NET_2 ACCEPT BIDIRECTIONAL'
Der Fehler liegt in den IP-Adressen.
Für das Routing wird ein "Zwischennetz" benötigt



Bei mir sieht das so aus:
auf dem Fli4l:

OPENVPN_7_NAME= 'TMS-Notebook'
#OPENVPN_7_REMOTE_HOST= ''
#OPENVPN_7_REMOTE_PORT= '1028'
OPENVPN_7_LOCAL_PORT= '1029'
OPENVPN_7_SECRET= 'TMS_Notebook.key'
OPENVPN_7_TYPE= 'tunnel'
OPENVPN_7_REMOTE_VPN_IP= '192.168.200.245'
OPENVPN_7_LOCAL_VPN_IP= '192.168.200.246'
OPENVPN_7_ROUTE_N= '0'
#OPENVPN_7_ROUTE_1= '192.168.50.0/24'
OPENVPN_7_PF_INPUT_N= '1'
OPENVPN_7_PF_INPUT_1= 'ACCEPT'
OPENVPN_7_PF_FORWARD_N= '1'
OPENVPN_7_PF_FORWARD_1= 'ACCEPT BIDIRECTIONAL'
OPENVPN_7_CIPHER= 'AES-256-CBC'
OPENVPN_7_DIGEST='SHA512'


und die OVPN auf dem Client:

remote ????.dyndns.org
rport 1029
secret TMS_Notebook.key
dev tun
cipher AES-256-CBC
auth SHA512
ifconfig 192.168.200.245 192.168.200.246
route 172.16.0.0 255.255.0.0
persist-tun
persist-key
ping-timer-rem
ping-restart 60
proto udp
tun-mtu 1500
fragment 1300
mssfix



Da LAN ist ein Klasse B-Netz mit 172.16.x.x
Dahin werde die Pakete vom Client geroutet.


Folgende Einschränkung gelten für die IP-Adressen:
#Specifically, the last octet in the IP address of each endpoint pair
must be taken from this set:
#
#[ 1, 2] [ 5, 6] [ 9, 10] [ 13, 14] [ 17, 18]
#[ 21, 22] [ 25, 26] [ 29, 30] [ 33, 34] [ 37, 38]
#[ 41, 42] [ 45, 46] [ 49, 50] [ 53, 54] [ 57, 58]
#[ 61, 62] [ 65, 66] [ 69, 70] [ 73, 74] [ 77, 78]
#[ 81, 82] [ 85, 86] [ 89, 90] [ 93, 94] [ 97, 98]
#[101,102] [105,106] [109,110] [113,114] [117,118]
#[121,122] [125,126] [129,130] [133,134] [137,138]
#[141,142] [145,146] [149,150] [153,154] [157,158]
#[161,162] [165,166] [169,170] [173,174] [177,178]
#[181,182] [185,186] [189,190] [193,194] [197,198]
#[201,202] [205,206] [209,210] [213,214] [217,218]
#[221,222] [225,226] [229,230] [233,234] [237,238]
#[241,242] [245,246] [249,250] [253,254]
#


Für das Bridging sieht es bei mir so aus:
(die Gegenstelle natürlich entsprechend, mit getauschten IPs und Ports)
OPENVPN_2_NAME= 'abc'
OPENVPN_2_REMOTE_HOST= '????.dyndns.org'
OPENVPN_2_REMOTE_PORT= '1010'
OPENVPN_2_LOCAL_PORT= '1011'
OPENVPN_2_SECRET= 'xxxx.key'
OPENVPN_2_TYPE= 'tunnel'
OPENVPN_2_REMOTE_VPN_IP= '192.168.200.206'
OPENVPN_2_LOCAL_VPN_IP= '192.168.200.197'
OPENVPN_2_ROUTE_N= '1'
OPENVPN_2_ROUTE_1= '172.20.0.0/16'
OPENVPN_2_PF_INPUT_N= '1'
OPENVPN_2_PF_INPUT_1= 'ACCEPT'
OPENVPN_2_PF_FORWARD_N= '1'
OPENVPN_2_PF_FORWARD_1= 'ACCEPT'
OPENVPN_2_PF_INPUT_POLICY='ACCEPT'
OPENVPN_2_PF_FORWARD_POLICY='ACCEPT'
OPENVPN_2_CIPHER= 'AES-256-CBC'
OPENVPN_2_DIGEST='SHA512'


Die Option comp-lzo sollte man wohl weglassen.
Anscheinend ist das ein Angriffspunkt (habe ich irgendwo gelesen)

LG
Boris

Loading...