Peter1

OK...jetzt hab ich es. "-p 50000" hat gefehlt. Dieser Tip wäre sicher hilfreicher gewesen als die Diskussion über die Manpages:(

Es ist doch offensichtlich, dass ich von Linux nicht viel Ahnung habe. Und weil das so ist, kann ich damit:

"Specifies that the given port on the remote (server) host is to

be forwarded to the given host and port on the local side. This

works by allocating a socket to listen to port on the remote

side, and whenever a connection is made to this port, the

connection is forwarded over the secure channel, and a connection

is made to host port hostport from the local machine.

Port forwardings can also be specified in the configuration file.

Privileged ports can be forwarded only when logging in as root on

the remote machine. IPv6 addresses can be specified by enclosing

the address in square braces.

By default, the listening socket on the server will be bound to

the loopback interface only. This may be overridden by

specifying a bind_address. An empty bind_address, or the address

`*', indicates that the remote socket should listen on all

interfaces. Specifying a remote bind_address will only succeed

if the server's GatewayPorts option is enabled (see

sshd_config(5)).

If the port argument is `0', the listen port will be dynamically

allocated on the server and reported to the client at run time.

When used together with -O forward the allocated port will be

printed to the standard output."

rein gar nichts anfangen. Von meinen Englischkenntnissen ganz zu schweigen, die hier wohl als "verhandlungssicher" eingeschätzt wurden. Des Weiteren habe ich noch nie jemanden, der mich was gefragt hat, geantwortet: "Schau ins Lexikon...da stehts". Denn wenn es danach geht, sind diese ganze Foren überflüssig, da sowieso alles schonmal irgendwo steht, sei es in Büchern oder auf Internetseiten. Genau genommen braucht man noch nicht mal Schulen oder Universitäten, denn alles was dort gelehrt wird steht in Büchern.

Aus diesem Grund appeliere ich an eure Hilfsbereitschaft, die ich auch sehr zu schätzen weiß. Nur bitte ich darauf zu achten, dass ich eben kein "Fachinformatiker" bin, wie es die Seite vielleicht vermuten lässt.

Nach wie vor verstehe ich den Befehl nämlich nicht. Ich bekomme immer einen Time-Out. Nebenbei, die Option "-nNT" funktioniert bei mir nicht und wird ignoriert. Was auch immer das bedeutet. Z.B. habe ich es mit folgenden Befehl versucht:

ssh -l user -nNT -R 50000:192.168.0.1:22 Server-IP

192.168.0.1 ist die lokale IP des Client-PCs. 50000 ist der Port unter dem mein SSH Server (der der auf dem Server läuft) von außen erreichbar ist. Durch den Router wird er auf Port 22 umgeleitet, wo dann auch der SSH Dienst läuft. Allerdings läuft diese Verbindung ins Time Out. Warum?

Auf so eine Antwort habe ich gehofft. Die DD-WRT Firmware kennt diesen Befehl nicht!!!

Hallo zusammen,

ich habe einen Server, der problemslos zu erreichen ist und ich habe einen Client PC, der hinter einer Firewall sitzt, die Verbindungen von außen blockiert. Die Namen "Client" und "Server" seien hier nur zur Veranschaulichung gewählt, damit man weiß von welchen Computer ich gerade rede.

Ab und zu muss ich aus dem Netz in dem der Server steht den Client PC erreichen.

Die Lösung dazu ist Reverse SSH. D.h. ich baue eine Verbindung vom Cilent PC zum Server auf. Dieser baut dann scheinbar (wenn ich es richtig verstanden habe) eine Verbindung zurück auf. Soweit zu Theorie. Kommen wir zur Praxis. Vieler Orts habe ich gelesen, dass man zunächst folgenden Befehl auf dem Client PC ausführen muss:

ssh -l user -nNT -R 1337:192.168.0.123:22 Server-IP

Zunächst, was bedeutet "-nNT"? Und v.a. was genau bedeutet das hier: "1337:192.168.0.123:22"? Ist "192.168.0.123" die lokale IP des Servers? Welche bedeutungen haben die Ports "1337" und "22"? Mein Server erreiche ich per SSH auf Port "50000" (wird dann vom vor dem Server stehenden Router auf Port 22 umgeleitet). Was muss ich nun genau für einen Befehl benutzen? Muss ich einen neuen Port in dem Router vor dem Server öffnen?

Als nächstes soll man diesen Befehl ausführen (auf dem Client PC?):

ssh -p 1337 localhost

Was macht der nun genau?

Ich habe auch folgenden Hinweis zu der Thematik gefunden:

"Nutzen Sie beim Aufbauen des Tunnels wo immer möglich den FQDN, auch und gerade bei wechselden IP-Adressen (dyndns.org). Der Kunde wird sonst jedes Mal, wenn er die Verbindung aufbaut, die Sicherheitsabfrage vom SSH-Client bekommen."

Was bedeutet das?

Außerdem habe ich Alternativ zu obigen Befehl auch diesen gefunden:

ssh -R *:1337:localhost:22 user@server.net

Wo liegen die Unterschiede?

Vielen Dank für eure Mühen!!!

Gruß

Peter

Das tut uns allen sicher Leid, dass wir dir nicht helfen konnten, aber es kann ja niemand was dafür, wenn man sich nicht mit Windows Server 2008 R2 auskennt, da man mit verlaub vielleicht gerade nicht die 600€ übrig hat, um damit ein bisschen rumzuspielen.

Ich finde Windows Server sehr sehr komplex und nur was für Freaks. Ein Linux Server ist da deutlich schneller aufgesetzt und konfiguriert. An deinen Posts ist zu erkennen, dass du eher in die Kategorie Hobbyadministrator fällst (ist nicht böse gemeint...bin ich auch bloß), von daher ist Win Server eine Nummer zu groß für dich, ohne dir Nahe treten zu wollen, aber wahrscheinlich hast du jetzt mehr Löcher in deinem Netzwerk als vorher, insbesondere auch weil PPTP als alles andere als sicher gilt.

Fazit: Nimm lieber eine Linux Maschine mit OpenVPN und nicht Win Server nur weil du es gerade kostenlos von der Uni bekommst.

Super "ns-cert-type server" wars!

Was genau bedeutet das?

Ich habe in die Server Config nun "push route "192.168.2.0 255.255.255.0"" mit aufgenommen, damit ich auf die Freigaben des NAS (auf dem der VPN Server läuft) zugreifen kann. Das ich das eintragen muss, damit es funktioniert habe ich durchs googlen herausgefunden aber was genau bedeutet dieser Befehl netzwerktechnisch? (Die NAS sitzt hinter einem Router)

Ist es nun auch möglich andere Rechner hinter dem Router zu erreichen? Ich vermutet die NAS müsste dann einige Routing Aufgaben übernehmen?

Ich möchte jetzt einen zweiten Rechner den Zugriff auf das VPN ermöglichen (auch gleichzeitig). Ist das jetzt ohne weiteres möglich oder müsste ich da die configs verändern? Ich habe schonmal was von bridged und peer-to-peer gehört. Dafür müsste ich auf bridged umstellen oder?

Danke für eure Hilfe:-)

Das war auf jeden Fall schon mal ein sehr guter Hinweis, allerdings gibt es jetzt wieder einen Fehler:

Server-Log:

TLS_ERROR: BIO read tls_read_plaintext error: error:140890B2:SSL routines:SLL3_GET_CLIENT_CERTIFICATE:no certificate returned

TLS Error: TLS handshake failed

Client-Log:

TLS key negotiation failed to occur within 60 seconds (check your network connectivity)

TLS Error: TLS handshake failed

Also irgendwie kommt kein Client Zertifikat zurück, wenn ich das richtig interpretiere. Ich habe die Server und Client config entsprechend den Hinweisen bzgl. pcks12 angepasst. Es steht jetzt nur noch einmal in jeder Config.

Den Fehler in der Client-Log erkläre ich mir dadurch, dass der Server aus Sicherheitsgründen wahrscheinlich nicht mehr antwortet.

Noch eine Idee?

Ich habe es gerade noch alles kontrolliert. Das müsste eigentlich stimmen. Kann sein, dass der Fehler in der config liegt?

Ich habe vorher noch nie mit diesen p12-Dateien gearbeitet. Diese habe ich ja wie oben geschrieben mit pkcs12 [Pfad] in die Config eingebunden. Jetzt fällt mir aber gerade auf, dass der Server oder auch der Client gar nicht wissen in welcher von beiden Dateien sich das CA bzw. das Server/Client Zertifikat befindet.

Fehlt da noch ein Befehl z.B. "ca pcks12 [Pfad]"?

Aso ja...das habe ich mir schon fast gedacht.

Auf jeden Fall eine Lösung, zumindest für dich. Dein Server ist auf jeden Fall sicher und dein Ziel ist auch erreicht. Viele wollen aber nicht auf die Verschlüsselung verzichten und genau das ist es ja was auch OpenVPN ausmacht. Aus diesem Grund würde ich eine OpenVPN-Lösung auch in deinem Fall immer bevorzugen, denn eines muss dir klar sein, deine Daten werden im Klartext über das Internet übertragen. Aber vielleicht benutzt du ja auch irgendein sicheres Protokoll...wer weiß.

Dennoch würde mich interessieren wie du OpenVPN auf einem vServer zum laufen bekommen hast:-)

Ja ok...aber was hat das mit den pingen und den IPs jetzt mit OpenVPN zu tun? Habe ich jetzt was falsch verstanden?

Wenn OpenVPN bei dir auf einem vServer funktioniert, dann lade doch mal die configs (Server, Client) hoch, damit auch andere was davon haben;-)

Hallo zusammen,

sorry für die 2 Themen innerhalb zur kurzer Zeit, aber mein Ausgangsproblem hat mit dem nichts mehr zu tun.

Also beim Versuch mich mit dem OpenVPN-Server zu verbinden, kommen folgende Fehler:

VERIFY ERROR: depth=1, error=self signed certificate in certificate chain

TLS_ERROR: BIO read tls_read_plaintext error: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed

TLS Error: TLS object -> incoming plaintext read error

TLS Error: TLS handshake failed

Nun habe ich im Netz zwei Ursachen gefunden:

Zertifikate falsch erstellt: Kann ich prinzipiell ausschließen, da ich es zweimal sehr gewissenhaft mittels XCA gemacht habe (Schlüsselverwaltung mit XCA).

Provider ist Schuld: Kann ich eigentlich auch ausschließen, denn ich habe selbiges auch über den Zugang mein Mobiltelefons versucht (heute Abend folgt noch ein dritter Versuch über einen anderen DSL Anschluss). Den ersten Versuch habe ich im übrigen aus der Uni heraus gemacht.

Weitere Fehler fallen mir nicht ein...kann mir jemand helfen?

config:

client


dev tun


proto udp


remote xxxxxxxxxxx

pull


resolv-retry infinite


nobind


persist-key

persist-tun


pkcs12 "C:\\Program Files (x86)\\OpenVPN\\config\\VPN_clientChristoph.p12"

pkcs12 "C:\\Program Files (x86)\\OpenVPN\\config\\VPN_CA.p12"


ns-cert-type server

Jap...das war der Fehler danke:-)

Nun habe ich ein anderes Problem:

VERIFY ERROR: depth=1, error=self signed certificate in certificate chain

TLS_ERROR: BIO read tls_read_plaintext error: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed

TLS Error: TLS object -> incoming plaintext read error

TLS Error: TLS handshake failed

Habe die Zertifiakte mehrfach sehr gewissenhaft mit XCA erstellt, aber irgendwie mag es nicht funktionieren. Woran kann es noch liegen?

Sorry, dass ich erst so spät antworte. Ich habe das Thema nicht weiter verfolgt. Ich habe meine Vorhaben nicht umsetzen können. Ich glaube mittlerweile, dass es auf einem vServer schlicht nicht realisierbar ist. Die VPN Verbindung stand zwar, aber das wars auch. Ich konnte sie nicht so nutzen wie ich mir das vorgestellt habe. Ich rate auch jedem davon ab das nochmal zu versuchen, außer er nennt sich selbst freak und durchschaut das komplexe Thema VPN komplett. Aber falls es doch jemand hingekriegt darf er gerne den Rest der Welt teilhaben lassen;-)

configs habe ich leider nicht mehr, aber die wesentlichen Punkte stehen hier in den Beiträgen drinne.

Danke an Helfer:-)

Hallo zusammen,

ich habe eine NAS auf der ein Openvpn-Server ohne Probleme läuft. Allerdings habe ich sowohl auf meinem Laptop als auch auf meinem Rechner Probleme mich mit diesem zu verbinden. Die Fehlermeldung ist immer dieselbe: "Error opening file C:\Program (OpenSSL)"!

Für mich hört sich das so an als wäre OpenSSL nicht installiert, allerdings war ich der Meinung, dass das mit OpenVPN mitinstalliert wird!?

Ich hatte früher schonmal mit OpenVPN zu, aber da gab es damit keine Probleme.

Meine config (client-seitig):

client


dev tun


proto udp


remote xxxxxxxxxxx

pull


resolv-retry infinite


nobind


persist-key

persist-tun


pkcs12 C:\\Program Files (x86)\\OpenVPN\\config\\VPN_clientChristoph.p12

pkcs12 C:\\Program Files (x86)\\OpenVPN\\config\\VPN_CA.p12


ns-cert-type server


comp-lzo

Hat jemand eine Idee?

Vielen Dank für eure Hilfe:-)

ciao Peter

Mh ich komme nicht weiter. Ich wollte nunmal überprüfen, ob eventuell eine Firewall blockiert wegen "MULTI: bad source address from client [10.0.0.126], packet dropped". Ich selbst habe zwar nichts konfiguriert, um dies als Fehlerquelle auszuschließen, aber eventuell ist ja bereits einiges vorkonfiguriert. Leider funktioniert "iptables" nicht (command not found). Das Modul ist aber geladen (siehe oben). An was kann das liegen?

Also die Subnetz Maske der Clients ist 255.255.255.252. Ich probier mal die /32 Subnetzmaske aus.

Also am tun device lässt sich nichts ändern. Subnetzmaske ist fest. Ich habe mal mit "lsmod" geschaut welche Module geladen sind:

Module Size Used by

tun 12939 2

sch_htb 12456 1

scsi_transport_iscsi 24728 1

xt_tcpudp 2263 1

nf_conntrack_ipv4 9395 2

nf_defrag_ipv4 1195 1 nf_conntrack_ipv4

xt_state 1183 2

nf_conntrack 46263 2 nf_conntrack_ipv4,xt_state

xt_multiport 1598 1

iptable_filter 1200 1

ip_tables 13520 1 iptable_filter

x_tables 13988 5 xt_tcpudp,xt_state,xt_multiport,iptable_filter,ip_tables

dm_mod 56212 89

i2c_i801 7294 0

i2c_core 14887 1 i2c_i801

i5000_edac 7244 0

edac_core 29907 3 i5000_edac

ioatdma 32206 20

serio_raw 3888 0

container 2429 0

dca 4337 1 ioatdma

rng_core 3118 0

tpm_tis 7072 0

tpm 9509 1 tpm_tis

tpm_bios 4657 1 tpm

i5k_amb 4351 0

button 4754 0

processor 19944 0

sd_mod 23690 10

ahci 19441 8

libahci 16034 1 ahci

e1000e 116581 0

libata 135522 2 ahci,libahci

scsi_mod 154723 3 scsi_transport_iscsi,sd_mod,libata

uhci_hcd 18204 0

ehci_hcd 31868 0

thermal 11890 0

fan 3226 0

thermal_sys 12070 3 processor,thermal,fan

Nix zu sehen von "masquereade". Kann es daran liegen?

Hmmm... also welche IP das Tunnelinterface deines Servers hat, solltest du ja wohl problemlos per "ipconfig [tunnelinterfacename]" herausfinden können.

Joa...das habe ich mir auch gedacht. Die Ausgabe von "ifconfig" habe ich ja oben schon geschrieben. Da steht 10.0.0.125. Leider kann ich die IP nicht pingen. Ich habe jetzt mal spaßeshalber das ganze Netz durchgepingt. Leider auch ohne Erfolg. Die einzige IP, die reagiert ist 10.0.0.126, also die IP des Clientes, was ja kein wunder ist.

Danke für den Link. Schau ich mir gleich mal an:-)

IPv6 wird erst ab nächsten Jahr unterstützt;-)

Ja das Gateway klappt. Das Ding ist halt, dass ich die VPN-IP des Servers nicht manipulieren kann, d.h. ich bin mir nicht sicher, ob 10.0.0.125 überhaupt mein server ist. Ein ping funkioniert jedenfalls nicht. Sollte ich vielleicht mal alle 254 IPs durchpingen?

Ich habe mal den Haken bei IPv6 (Windows client; eigenschaften tap/tun device) herausgenommen. Jetzt ist die Fehlermeldung weg und es kommt:

"MULTI: bad source address from client [10.0.0.126], packet dropped"

Bzgl. Routing: Ich habe keine Routen in meiner Server-Config eingetragen (s. oben). Was müsste da u.U. rein?

Also ich habe nochmal nachgeschaut...es wird kein IPv6 vom Provider unterstützt. Gut...das muss jetzt natürlich nicht heißen, dass irgendwas in den Einstellungen nicht stimmt.

Kann gut sein, dass der Server IPv6 unterstützt. Mit welchen Befehlen kann ich herausfinden, ob IPv6 geroutet wird? Und wenn ja, wie könnte ich das Problem lösen?

Bei der Config bin ich jetzt soweit, dass das Gateway mit eingetragen wird, aber das Problem besteht weiterhin.

Vielen Dank:-)

Hat keiner eine Idee oder einen Ansatz?

Hier mal noch die Ausgabe von "ifconfig":

tun844-33 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00

inet addr:10.0.0.125 P-t-P:10.0.0.126 Mask:255.255.255.255

UP POINTOPOINT NOARP MULTICAST MTU:1500 Metric:1

RX packets:0 errors:0 dropped:0 overruns:0 frame:0

TX packets:0 errors:0 dropped:0 overruns:0 carrier:0

collisions:0 txqueuelen:100

RX bytes:0 (0.0 TX bytes:0 (0.0

Ich habe mal das geplante Netz aufgezeichnet und angehangen. Eine direkte Verbindung zwischen beiden Netzen ohne Server ist nicht möglich. Mir würde es zunächst ausreichen von client1 aus den VPN Server als Gateway zu nutzen.

Nochmals danke für die Hilfe.

Netzwerk.pdf

Wenn ich verbunden bin (Client) und mir den Status bei dem TUN-Device anschaue (unter Windows), dann sehe ich, dass das Feld hinter Gateway leer ist. Müsste da nicht was drinne stehen?