Peter1

Im Übrigen kommt, wenn ich mit dem Server verbunden bin und eine Anfrage starte, z.B. www.irgendEineSeite.de, dauernd die Meldung am Server: " client2/[öffentliche IP]:57491 Need IPv6 code in mroute_extract_addr_from_packet"

OK...das Problem war, dass die IPs (remot und local bei ifconfig) nebeneinander liegen müssen. Ich habe deshalb folgende Sachen in der client.conf ausprobiert: ifconfig 10.0.0.125 10.0.0.126 ifconfig 10.0.0.126 10.0.0.125 Ich konnte die Verbindung mit den obigen Einstellungen zwar herstellen (Monitore auf Grün), aber beides brachte leider keinen Erfolg in der Sache. Kann die lokale VPN-IP des Servers nicht anpingen (wobei ich immer noch nicht weiß, ob es die richtige ist) und als Gateway kann ich ihn auch nicht nutzen. Kann es am Router liegen hinter dem der Client liegt?

Folgende Information wollte ich noch hinzufügen: Ich kann den Server nicht pingen und ich weiß auch nicht so ganz genau welche Adresse (VPN) er hat, weil die Konfiguration nur dem Provider obliegt und ich die Adresse nicht mit "server ..." festlgen kann. Ok...folgende Frage: Wenn ich auf dem Server "Ifconfig" nutze, dann stehen bei dem TUN-Dev folgende IPs: inet: 10.0.0.125 und p-t-p: 10.0.0.126. Ich bin jetzt mal davon ausgegangen, dass 10.0.0.125 seine IP im VPN ist. Deshalb habe ich die letzte Zeile in der client.conf umgeändert zu "ifconfig 10.0.0.2 10.0.0.125". Daraufhin kann ich mich aber nicht mehr mit dem Server verbinden. Der Client gibt folgende Fehlermeldung: "There is a problem in your selection --ifconfig endpoints. The local and remote VPN endpoints must exist within the same 255.255.255.252 subnet. This is a limitation of --dev tun when used the TAP-WIN32 driver. Try "openvpn --show-valid-subnets" option for more info." Heißt das jetzt, dass die lokale VPN-IP des Servers doch 10.0.0.1 ist? Wie kommt die Netzmaske zustande? Eigentlich sind sie ja im selben Netz, da die Netzmaske zwei Benutzer erlaubt!? Wo soll ich "openvpn --show-valid-subnets" ausprobieren? Ich danke für die Unterstützung:-) Gruß Peter

Hallo zusammen, also mein VPN Server läuft soweit (feste IP, da gemieteter Server) und ich kann mich auch verbinden (von Client hinter Router). Leider kann ich ihn nicht als Gateway nutzen. Meine configs: server: local [IP] port 51261 proto udp dev tun844-33 tls-server mode server ca /etc/openvpn/examples/easy-rsa/2.0/keys/ca.crt cert /etc/openvpn/examples/easy-rsa/2.0/keys/server.crt key /etc/openvpn/examples/easy-rsa/2.0/keys/server.key dh /etc/openvpn/examples/easy-rsa/2.0/keys/dh1024.pem push "redirect-gateway def1" push "dhcp-option DNS [DNS IP]" push "dhcp-option DNS [DNS IP]" comp-lzo keepalive 10 60 ping-timer-rem persist-tun persist-key client: client dev tun proto udp remote [IP] resolv-retry infinite nobind persist-key persist-tun ca ca.crt cert client.crt key client.key ns-cert-type server comp-lzo verb 3 ifconfig 10.0.0.2 10.0.0.1 resolv-retry infinite route-method exe route-delay 2 Leider komme ich nicht ins Internet. Danke... Gruße:-) Peter

zu 1.) Soll ja nicht ständig so sein. Nur an unsicheren Orten, ergo offenen WLANs. --> Außerdem Traffic-Flat;-) Werde es jetzt mal ausprobieren. zu 2.) Leider konnte ich eben die IP Adresse nicht festlegen, da man die Konfiguration des TUN Dev auf vServer nicht ändern darf. "ifconfig" ergab 10.0.0.125 bzw. 10.0.0.126. Leider konnte ich weder die eine noch die andere Adresse pingen.

OK...Es geht:-) Ich bin jetzt verbunden. "ifconfig" hat in der client.ovpn gefehlt. Damit stellt man quasi die "lokale VPN-IP" ein. Dennoch zwei Fragen: 1. Wie bekomme ich das hin, dass der komplette Internet-Verkehr durch den VPN-Server läuft (also als Gateway)? 2. Woher bekomme ich die "lokale VPN-IP" des Servers? (das müsste doch eigentlich die sein, die ich bei "ifconfig" hinter dem Tun Dev angezeigt bekomme oder?)

Ich habe das Ganze auf Port 443 (SSL) umgestellt. Ist das problematisch? Es scheint jetzt "besser" zu gehen. Der Client-log sieht jetzt so aus: Die letzten Zeilen des Server-logs waren: An was kann der Fehler liegen?

Kann das auch an dem liegen: Note: Cannot set tx queue length on tun844-33: Operation not permitted (errno=1)?

Stimmt...ich habe versucht port 1194 zu erreichen. Das geht nicht. Welche anderen Ports bieten sich an bzw. welche sind wahrscheinlich offen?

Sorry für die verschiedenen Bezeichnungen, aber ja die IPs sind gleich. Ich habe iptables nicht installiert und ich denke, dass es auch nicht vorinstalliert ist. Müsste ich mal checken. Falls es doch installiert ist, wie müsste ich es konfigurieren? Könnte es auch noch an was anderes liegen?

Mh...irgendwas stimmt nicht. Der Fehler passiert unabhängig davon ob der VPN-Server läuft oder nicht. Kann das sein, dass der Client den Server nicht erreicht? Ich kann den Server im übrigen problemlos pingen. Muss ich eventuell dem Server irgendwas in Richtung "Forwarding" beibringen? Meine "Server-Logs" beim starten: Mein Client-Logs: server.conf: local xxx.xxx.xxx.xxx port 1149 proto udp dev tun844-33 tls-server mode server ca /etc/openvpn/examples/easy-rsa/2.0/keys/ca.crt cert /etc/openvpn/examples/easy-rsa/2.0/keys/server.crt key /etc/openvpn/examples/easy-rsa/2.0/keys/server.key dh /etc/openvpn/examples/easy-rsa/2.0/keys/dh1024.pem comp-lzo keepalive 10 60 ping-timer-rem persist-tun persist-key status openvpn-status.log client.conf: client dev tun proto udp remote XXX.YYY.ZZZ.XXX 1194 resolv-retry infinite nobind persist-key persist-tun ca ca.crt cert client.crt key client.key comp-lzo verb 3 Danke für eure Hilfe:-)

Ja genau...daran lags auch. Auf vServern ist das TUN Dev schon vorkonfiguriert, d.h. man darf z.B. "server [iP]" nicht verwenden, weil eben die Rechte fehlen. Jetzt muss ich nur noch den Fehler mit dem TLS-Handshake lösen.

Sooo...jetzt ist das Problem auch aus der Welt. Jetzt steht da: Initialization Sequence Completed Ich denke mal das heißt soviel wie "ich bin am Ziel". Dennoch gibt es zwei Probleme: Zum einen kann sich der Client nicht verbinden ("TLS Handshake failed") und es steht weiterhin da: "Note: Cannot set tx queue length on tun844-33: Operation not permitted (errno=1)" --> Ist das problematisch? Ich hoffe mir kann jemand helfen. Danke:-)

OK...das war schonmal ein sehr guter Tip...DANKE:-) Das TUN-Device hieß in Wirklichkeit TUN844-33 (herausgefunden mit ifconfig) und ich hatte in der Config nur "dev tun" stehen. Ok...hätte man auch selbst drauf kommen können, anstatt ales blind abzuschreiben. Leider hat sich dadurch ein neuer Fehler ergeben: Note: Cannot set tx queue length on tun844-33: Operation not permitted (errno=1) SIOCSIFADDR: Permission denied SIOCSIFFLAGS: Permission denied SIOCSIFDSTADDR: Permission denied SIOCSIFFLAGS: Permission denied SIOCSIFMTU: Operation not permitted Tue May 10 07:58:45 2011 Linux ifconfig failed: external program exited with error status: 1 Aus den Fehlermeldungen werde ich nun gar nicht schlau, außer dass nichts gesendet werden kann, weil nicht erlaubt und dass irgendein Programm ifconfig beendet hat? Ist diese Interpretation richtig. An was kann das wieder liegen?

Achso...das TUN/TAP Device wird ausdrücklich unterstützt. Es ist auch da (überprüft mit "lsmod"). Nur kann man es nicht konfigurieren laut Provider, aber für diese Zwecke sollte es funktionieren.

Mit einem VPN bin ich aber flexibler. Ich kann ohne größere Umstände neue Nutzer aufnehmen und Daten austauschen oder Spiele spielen. Des Weiteren sind dann alle Rechner in meinem Heimnetz verbunden, sonst müsste ich ja auf jeden einen SSH-Client installieren und so macht das DD-WRT;-) Mit 2-3 Clients meinte ich jeweils Router (es kann aber auch vorkommen, dass sich ein einzelner PC verbindet z.B. öffentliches WLAN).

Hallo, ich habe mir einen vServer gemietet, den ich als VPN-Server nutzen möchte. Zunächste habe ich mich erstmal mit Linux beschäftigt und das Ding hoffentlich "halbwegs" abgesichert (langes komplexes Root-Pw, direkten Root-Login verboten, SSH-Verbindung mit PublicKey und Passphrase, nur einen Benutzer...falls jemand noch Ideen hat, das Ganze noch besser abzusichern, darf er sich gerne äußern:-)). Auf dem vServer soll außschließlich OpenVPN laufen (vielleicht noch sftp) und zwar für folgenden Zweck: Es gibt eine beliebige Anzahl von Clients (in der Realität werden es 2 bis 3 sein), die sich mit dem VPN Server verbinden sollen (natürlich mit bestmöglicher Verschlüsselung --> Zertifikate). Das Ganze soll zwei Zwecke erfüllen: Zum einen sollen die Clients Daten austauschen können (wie im LAN eben auch), am besten auch mit dem Server, wobei dafür auch sftp bereitsteht, von daher nicht ganz so wichtig, und zum anderen um den Server als Gateway zu nutzen. Dazu habe ich folgendes Tutorial verwendet: Henning Dippel » OpenVPN-Server 1. Installation ging problemlos! 2. Erstellen der Zertifikate auch! 3. Starten des Server geht nicht! Bei Punkt 3 brauche ich Hilfe, da es meiner Meinung nach hier ein wenig "vServer-spezifisch" wird, was im Tutorial nicht berücksichtigt ist. Starte ich den OpenVPN-Server mit folgender Config, dann erhalte ich eine Fehlermeldung mit folgenden Wortlaut: local [IP] port 1149 proto udp dev tun server 10.8.0.0 255.255.255.0 ifconfig-pool-persist ipp.txt ca /etc/openvpn/examples/easy-rsa/2.0/keys/ca.crt cert /etc/openvpn/examples/easy-rsa/2.0/keys/server.crt key /etc/openvpn/examples/easy-rsa/2.0/keys/server.key dh /etc/openvpn/examples/easy-rsa/2.0/keys/dh1024.pem push "route 10.8.0.0 255.255.255.0" # teste einmal mit und ohne "route 10.8.0.0 255.255.255.0" push "redirect-gateway def1" ;push "dhcp-option DNS 208.67.222.222" Was das ist weiß ich nicht, darum kommentiert ;push "dhcp-option DNS 208.67.220.220" comp-lzo keepalive 10 60 ping-timer-rem persist-tun persist-key status openvpn-status.log Das Problem hört sich danach an, als würde ich versuchen das TUN-Device zu konfigurieren, obwohl ich das nicht "darf". Deswegen habe ich mal die Zeile mit "server ..." kommentiert, weil ich die Befürchtung hatte, dass es daran liegen könnte. Dann erhalte ich jedoch die Meldung: Benutze ich die entsprechenden Parameter (z.B. openvpn --TLS-Server [server.conf]), dann wird mir gesagt, dass ich den Pfad des CA angeben muss. Wenn ich den angebe, fragt er nach DH usw. Irgendwann habe ich ein vierzeiliges Kommando und es geht trotzdem nicht weiter, zumal es ja in der server.conf drinne steht. Meine Frage wäre jetzt: Wie sieht eine vernünftige/funktionierende Server-Config für meine Ansprüche, der die Besonderheiten eines vServers beachtet, aus? Vielen Dank... ciao Peter

Ja schön wärs...dann hätte ich es auch so gemacht. Ja es stimmt, ich habe dann eine interne IP, aber die IP ist nicht im Subnetz meines "Heim-Routers" und Rechner innerhalb eines Subnetzes sind nur innerhalb genau diesem Subnetz erreichbar. Somit funktioniert es leider nicht.

Ja...die Uni bietet einen offiziellen VPN Zugang. Den kann man aber dafür nicht verwenden meiner Erachtens nach.

OK...neues Problem. OpenVPN meldet, dass es das TUN Device nicht finden kann. Nach meinen Recherchen ist das der virtuelle Netzwerkadapter. Ich habe festgestellt, dass dieser auf der Distrubition (Ubuntu 10 (Kernel 2.6.26)) meines vServers nicht installiert ist. Jetzt habe ich schon einiges über Module gelsen. Leider steige ich da nicht ganz durch. Wie muss ich vorgehen, um das TUN Device auf meiner Version zu installieren? Vielen Dank:-)

Hat sich erledigt. Habe eine SFTP Verbindung mit Filezilla hergestellt.

Jetzt ist es leider schon zu spät. Also ich habe es mit scp und sftp versucht. Bei scp habe ich folgendes versucht: scp test.crt root@server-ip c:/test.crt Er soll also test.crt vom server auf den lokalen Rechner laden (Verzeichnis c:/test.crt). Aber irgendwie funktioniert das nicht.

Um ehrlich zu sein traue ich mir das nicht zu. Aber wie soll ich es lernen, wenn ich es nicht ausprobiere;-) Schließlich kosten die Dingern nicht viel und laden förmlich zum ausprobieren ein. Aber wenn dir viel daran liegt, dass keine neue Spamschleuder entsteht, kannst du mir ja Tips geben, dass genau das nicht passiert;-)

Vielen Dank für die Hilfe...Ich habe jetzt einen vServer. Linux + Konsole ist ein wenig gewöhnungsbedürftigt. Jetzt habe ich aber ein Problem. Der Anbieter stellt kein Tool zur Verfügung um Daten auszutauschen. Jetzt muss ich aber die erstellten Schlüssel und Zertifikate auf meinen Rechner bekommen. Wie geht das? Wie kann ich zwischen mir und dem Server Daten austauschen? Ich nehme an, dass das bei jedem Anbieter gleich funktioniert, aber ich hatte noch nie einen Server von daher habe ich auch keine Ahnung. Bisher habe ich mich einfach per Putty (SSH) verbunden. Danke:-)

Vielen Dank für die ausführliche Antwort. Auf was muss ich bei der Auswahl (bzgl. meines Vorhabens) meines vServers achten? Ich habe bei einigen Anbietern gesehen, dass sie z.B. kein VPN unterstützen. Kennst du einen empfehlenswerten Anbieter? Mh...also "cron-jobs" habe ich noch nie gehört, aber nach ein bisschen googln habe ich herausgefunden, dass man im Web-Interface "zusätzliche Cron Jobs" eintragen kann (http://www.question-defense.com/wp-content/uploads/2011/03/dd-wrt-administration-management-web-access-http.gif). Wenn ich mich im internen Netz mit Putty verbinde, dann habe ich auch eine Konsole, wobei ich auch da 0 Erfahrung habe. Des Weiteren gibt es einen PPTP Client bei DD-WRT und man kann einen OpenVPN Client zusätzlich installieren. Was ist hier die Beste Variante? Andere Frage: Woher hast du das ganze Wissen? Wenn ich in ein Buch über Netzwerktechnik schaue, dann schaue ich da rein wie ein Schwein ins Uhrwerk. Hast du Tips, wie man sein Wissen auf diesem Gebiet ausbauen kann? Wahrscheinlich einfach machen und ausprobieren... Edit: Welches Betriebssystem sollte der vServer haben? Die meisten haben Linux, aber damit kenne ich mich nicht aus. Ist dann Windows die bessere Variante?