Installation Openvpn auf Openvz VM

[chris085]

Moin,

ich probiere gerade schon seit ein paar Stunden, Openvpn auf einem virtuellen Server zum laufen zu kriegen.
Hauptsächlich orientiere ich mich an diesem Tut.
https://knecht.homelinux.net/phpBB2/viewtopic.php?t=449

Leider kommt beim restart ständig ein failed.
Ich vermute es hat mit dem "tun" zu tun, sicher bin ich mir nicht.

Auf jeden Fall gibt es diesen Adapter nicht bei meinen Interfaces.
Habe deshalb schon, VPN via the TUN/TAP device - OpenVZ Wiki angewandt.

Leider auch ohne Erfolg.
Gibts Erfahrungen, Vorschläge dazu ?

Gruß chris

 

[CentY]

Wenn dein Provider keinen tun/tap Support im Kernel aktiviert hat wird das nix mit OpenVPN auf der VM.

 

[chris085]

Mein eigener Rootserver Kernel 2.6.26-1-openvz-amd64

lsmod | grep tun
tun 15492 2 vzrst,vzcpt

 

[CentY]

Dann poste doch mal die genaue Logausgabe.

 

[chris085]

Fehler

/etc/init.d/openvpn restart
 * Stopping virtual private network daemon.
   ...done.
 * Starting virtual private network daemon.
 * server (FAILED)
   ...done.

syslog

ar 29 21:01:23 apps ovpn-server[469]: OpenVPN 2.1_rc7 x86_64-pc-linux-gnu [SSL] [LZO2] [EPOLL] built on Jun 11 2008
Mar 29 21:01:23 apps ovpn-server[469]: Diffie-Hellman initialized with 1024 bit key
Mar 29 21:01:23 apps ovpn-server[469]: /usr/bin/openssl-vulnkey -q -b 1024 -m <modulus omitted>
Mar 29 21:01:23 apps ovpn-server[469]: Control Channel Authentication: using 'ta.key' as a OpenVPN static key file
Mar 29 21:01:23 apps ovpn-server[469]: Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Mar 29 21:01:23 apps ovpn-server[469]: Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Mar 29 21:01:23 apps ovpn-server[469]: TLS-Auth MTU parms [ L:1574 D:166 EF:66 EB:0 ET:0 EL:0 ]Mar 29 21:01:23 apps ovpn-server[469]: RESOLVE: Cannot resolve host address: <your: [NO_RECOVERY] A non-recoverable name server error occurr
ed.
Mar 29 21:01:23 apps ovpn-server[469]: Exiting
Mar 29 21:01:24 apps /usr/sbin/cron[788]: (CRON) INFO (pidfile fd = 3)
Mar 29 21:01:24 apps /usr/sbin/cron[789]: (CRON) STARTUP (fork ok)
Mar 29 21:01:24 apps /usr/sbin/cron[789]: (CRON) INFO (Running @reboot jobs)
Mar 29 21:04:38 apps ovpn-server[946]: OpenVPN 2.1_rc7 x86_64-pc-linux-gnu [SSL] [LZO2] [EPOLL] built on Jun 11 2008
Mar 29 21:04:38 apps ovpn-server[946]: Note: cannot open openvpn-status.log for WRITE
Mar 29 21:04:38 apps ovpn-server[946]: Note: cannot open ipp.txt for READ/WRITE
Mar 29 21:04:38 apps ovpn-server[946]: Diffie-Hellman initialized with 1024 bit keyMar 29 21:04:38 apps ovpn-server[946]: Cannot load private key file server.key: error:0200100D:system library:fopen:Permission denied: error
:20074002:BIO routines:FILE_CTRL:system lib: error:140B0002:SSL routines:SSL_CTX_use_PrivateKey_file:system lib
Mar 29 21:04:38 apps ovpn-server[946]: Error: private key password verification failed
Mar 29 21:04:38 apps ovpn-server[946]: Exiting

 

[CentY]

: Cannot load private key file server.key: error:0200100D:system library:fopenermission denied: error

Da steht doch was sein Problem ist Er kann nicht auf deinen server.key zugreifen überprüf mal die Rechte.

 

[chris085]

Ne, ich hab das jetzt gefixt.
Ich habe auch kein virtuelles Netzwerkinterface auf das alles gebridged wird.

Eigentlich müsste ich doch sowas haben, oder nicht ?

Greets

 

[CentY]

Zeig mal die Ausgabe von ifconfig

 

[chris085]

lo        Link encap:Lokale Schleife  
          inet Adresse:127.0.0.1  Maske:255.0.0.0
          inet6-Adresse: ::1/128 Gültigkeitsbereich:Maschine
          UP LOOPBACK RUNNING  MTU:16436  Metrik:1
          RX packets:69493 errors:0 dropped:0 overruns:0 frame:0
          TX packets:69493 errors:0 dropped:0 overruns:0 carrier:0
          Kollisionen:0 Sendewarteschlangenlänge:0 
          RX bytes:9024955 (8.6 MB)  TX bytes:9024955 (8.6 MB)

venet0    Link encap:UNSPEC  Hardware Adresse 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00  
          UP BROADCAST PUNKTZUPUNKT RUNNING NOARP  MTU:1500  Metrik:1
          RX packets:13524862 errors:0 dropped:0 overruns:0 frame:0
          TX packets:7108161 errors:0 dropped:0 overruns:0 carrier:0
          Kollisionen:0 Sendewarteschlangenlänge:0 
          RX bytes:922277661 (879.5 MB)  TX bytes:1108295335 (1.0 GB)

venet0:0  Link encap:UNSPEC  Hardware Adresse 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00  
          inet Adresse:87.106.xxx.xxx  P-z-P:87.106.xxx.xxx  Bcast:0.0.0.0  Maske:255.255.255.255
          UP BROADCAST PUNKTZUPUNKT RUNNING NOARP  MTU:1500  Metrik:1

 

[CentY]

Hm da existiert tatsächlich kein Tunnelinterface. Gibt es in den Logdateien irgendwelche Meldungen dass das Tunnelinterface nicht initalisiert werden konnte?

 

[chris085]

Jop gibt es

daemon.log:Mar 29 16:43:19 apps ovpn-server[3004]: Note: Cannot open TUN/TAP dev /dev/net/tun: No such file or directory (errno=2)

 

[CentY]

Was macht ein modprobe tun?

 

[chris085]

HNode habe ich es schon geladen

lsmod | grep tun
tun                    15492  2 vzrst,vzcpt

VM

modprobe tun
FATAL: Could not load /lib/modules/2.6.26-1-openvz-amd64/modules.dep: No such file or directory

lsmod | grep tun
=> gibt keinen Output

 

[chris085]

Hi,

ich hab jetzt rumgefixt.. und es lief dann irgendwie, warum auch immer.
Leider gab es danach wieder Openvz spezifische Probleme und ich habs nun sein lassen.
Es läuft nun auf einem richtigen Server.

Leider ist mir auch nach ein paar Stunden suchen und googlen nicht ganz klar, wie ich meinen Traffic über den OpenVPN (Gateway) leite.

Ich habe folgendes in der server.conf

push "route-gateway 10.2.0.2 255.255.0.0"
#Routing
push "redirect-gateway def1"

Wenn ich route eingebe steht unter tun 0

10.2.0.0 10.2.0.2 255.255.0.0 UG 0 0 0 tun0

geht leider nicht.
Was muss ich hier eintragen ?

Gruß

 

[CentY]

Wer soll denn den Traffic über das VPN leiten? Wenn die Clients das machen sollen stimmen deine Einstellungen. Jedoch musst du auch noch ip_forward bei deinem Server auf 1 stellen.

 

[chris085]

falls du "
echo "1" > /proc/sys/net/ipv4/ip_forward" meinst, das habe ich bereits.
Geht leider nicht.

server.conf

# Port an dem der Server "lauschen" soll
port 1194

# TCP oder UDP Server? TCP üCP zu Tunneln geht schief!
proto udp

# "dev tun" füoutete Netze, "dev tap" erstellt einen ethernet Tunnel.
dev tun

persist-key
persist-tun

#certificates and encryption
ca ca.crt
cert server.crt
key server.key  # This file should be kept secret
dh dh1024.pem
tls-auth ta.key 0 # This file is secret

cipher BF-CBC        # Blowfish (default)
comp-lzo


# Pfadangaben der Zertifikate und Schlüca /etc/ssl/cacert.pem
#cert /etc/ssl/certs/openvpnserver_cert.pem
#key /etc/ssl/private/openvpnserver_key.pem      # This file should be kept secret

# Diffie hellman Parameter.
#dh /etc/ssl/dh2048.pem

# Einstellen des Server Mode und definieren des Netzbereiches aus dem die
# Clients Ihre Adressen wäen kön. Der Server erhä die Adresse 10.2.0.1
server 10.2.0.0 255.255.0.0

# Erstellung einer Zuordnung von Client <-> virtuellen IP-Adress-Assitiationen.
# (Ãer Neustart hinaus)
ifconfig-pool-persist ipp.txt

# Clients erhalten spezifische direktiven.
client-config-dir ccd

# Erlaubt Clients untereinander zu kommunizieren
;client-to-client

# Ping-artige Nachrichten werden zwischen Server und Client hin- und
# hergeschickt, damit beide Seiten erkennen, sobald die Vernundung unterbrochen
# ist.
# Hier: Alle 10 Sekunden ein Ping; Sollte er nicht binnen 120 Sekunden erwidert
# werden, wird die Verbindung als abgebrochen definiert.
keepalive 10 120

# FIXME: Extrasicherung durch "HMAC Firewall"

# Aktivieren der Konpression (muÃauch beim Client aktiviert sein)
comp-lzo

# Heruntersetzten der Serverprivilegien nach der Initialisierung
# ACHTUNG: Nur Nicht-Windows-Nutzer
user nobody

# Verhindert den Zugriff auf bestimmte Ressourcen, die eventuell nicht läer
# zugreifbar sind.
persist-key
persist-tun

# Erstellen einer kurzen Statusdatei, die jede Minute neu geschrieben wird.
status /var/log/openvpn-status.log

# Angabe einer eigenen Logdatei. "log" ühreibt die Datei nach jedem
# Neustart, "log-append" nicht (logrotate-Regel einrichten)
;log openvpn.log
log-append /var/log/openvpn/openvpn.log

# Gibt an, wie "redselig" die Logausgabe ist.
#
# 0 still, auÃr fatale Fehler
# 4 allgemeine Ausgabe fü Standardgebrauch
# 5 und 6 kann beim debuggen von Problemen helfen
# 9 extrem viel Aufgabe

# Unterdrüvon sich wiederholenden Nachrichten. Hötens 20
# aufeinanderfolgende Nachrichten einer Kategorie werden in die Logdatei
# geschrieben
;mute 20

#push "route-gateway 10.255.255.1 0.0.0.0"
push "route-gateway 10.2.0.0 255.255.0.0"
#Routing
push "redirect-gateway def1"

 

[CentY]

Was möchtest du erreichen? Dass die Clients den Traffic über den VPN Server schicken ja oder nein?

 

[chris085]

Ich vermute ja, wenn ich richtig In der Annahme bin das surfen dazu gehört.

 

[CentY]

Das push route-gateway gehört schonmal nicht in die Config.

push "dhcp-option DNS DNS-Serverdeinerwahl"
push "redirect-gateway def1"

Probiers mal damit

 

[chris085]

Hi,

geht leider nicht.
Sobald ich den Eintrag push route-gateway entferne kommt in meiner Client Log folgendes:

NOTE: unable to redirect default gateway -- VPN gateway parameter (--route-gateway or --ifconfig) is missing

mit der entsprechenden Zeile

/sbin/route add -net 87.106.249.xxx 172.20.254.254 255.255.255.255
Sun 04/05/09 09:28 PM: /sbin/route add -net 0.0.0.0 10.2.0.0 128.0.0.0
Sun 04/05/09 09:28 PM: /sbin/route add -net 128.0.0.0 10.2.0.0 128.0.0.0
Sun 04/05/09 09:28 PM: 
Sun 04/05/09 09:28 PM: /sbin/route add -net 10.2.0.1 10.2.0.0 255.255.255.255

Ich kanns nicht bewerten, ob dies ein fortschritt oder Rückschritt ist.
Muss vielleicht die Client config irgendwelche Informationen über Gateway etc. enthalten ?

Gruß