OpenVPN einrichten

[AllOnline]

Hallo,

mal wieder OpenVPN
und gegoogelt und ncihts passendes gefunden, also wäre nett wenn ihr mir mal wieder helfen könnt.

Ich geh gerade nach diesem tut vor:
http://www.linuxforen.de/forums/showthread.php?t=169354

Scheint ja eigentlich ganz einfach zu sein ABER
erstens habe ich bei anderen gelesen das man erst noch tun etc aktivieren muss wobei dort garnicht drauf eingegangen wird.

nun zum eigenlichem problem.:

/etc/openvpn/zertifikate # openssl req -days 3650 -nodes -new -x509 -keyout ca.key -out ca1.crt
Unable to load config info from /etc/openvpn/zertifikate/openssl.cnf

Jetzt habe ich gelesen das man noch etwas entpacken muss, nur meine Frage was und wohin?!

Danke im vorraus!

edit: habe die beispiel datei einfach reinkopiert
Fragen kommn gleich noch

Edit2:
In dem tut ist ja das Beispiel für geroutet gezeigt:
OpenVPN Server: Netzwerk Home: 192.168.1.1/24, VPN Adresse: 10.1.0.1
OpenVPN Client: Netzwerk Home; 192.168.1.1/24, VPN Adresse; 10.1.0.2

Was ist nun wenn der VPN Server im Internetsteht und eine ganz andere adresse hat?

Edit3:
Nebenbei mal den client wie odrt beschrieben angepackt:

dev tun
remote 85.114.1**.**
tls-client
ca C:/vpn/ca.crt
cert C:/vpn/client1.crt
key C:/vpn/client1.key
pull
port 1194
cipher AES-256-CBC
comp-lzo
verb 3

Mon Nov 16 18:39:48 2009 OpenVPN 2.1_rc21 i686-pc-mingw32 [SSL] [LZO2] [PKCS11] built on Nov 12 2009
Mon Nov 16 18:39:48 2009 WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
Mon Nov 16 18:39:48 2009 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Mon Nov 16 18:39:48 2009 Cannot load certificate file C:/vpn/client1.crt: error:02001002:system library:fopen:No such file or directory: error:20074002:BIO routines:FILE_CTRL:system lib: error:140AD002:SSL routines:SSL_CTX_use_certificate_file:system lib
Mon Nov 16 18:39:48 2009 Exiting

edit4:
Ich habe ja auch nur die daten client1.csr client1.key ca.crt

 

[AllOnline]

Ist das nach den ganzen edits überhaupt noch lesbar?
Wenn ihr es net versteht bzw ich mich falsch ausdrücke gerne bescheid sagen!

 

[henk77]

Hallo AllOnline,

eine .csr enthält in der Regel einen Certificate Request. Diesen Request musst du mit deiner CA signieren, dann bekommst du die .crt.

 

[AllOnline]

Habe den Punkt gefunden, hab doch was übersprungen bzw den fehler nicht gesehen:

p011:/etc/openvpn/zertifikate # openssl ca -days 3650 -out server.crt -in server.csr
Using configuration from /etc/ssl/openssl.cnf
unable to load CA private key
9265:error:0906D06C:PEM routines:PEM_read_bio:no start line:pem_lib.c:647:Expecting: ANY PRIVATE KEY

edit: bevor ihr fragt, der pfad in der cnf stimmt!

 

[Whistler]

Wenn man nur zwei Rechner hat, kann man statt Zertifikaten auch preshared static Keys verwenden - macht die Konfiguration einfacher.

Schaust Du auch in der richtigen Config?
Du gibst mal /etc/ssl/openssl.cnf und mal /etc/openvpn/zertifikate/openssl.cnf an.

Den Key kann man mit -inkey übrigens auch direkt angeben. Falls er verschlüsselt abgelegt ist, muß man noch das Paßwort eingeben.

 

[AllOnline]

Da es um mehr rechner geht ist es so schon gut ;-)

Wo verwende ich den unterschiedliche pfade?
und was genau muss ich dann da angeben also welche datei?

nachdem ich den pfad geändert habe bzw an die richtie stelle kopiert habe ging es...
wer weiteres berichten, danke

 

[Whistler]

[post=227988]Hier[/post] und [post=228093]hier[/post].

Eine Key-Datei beginnt mit

-----BEGIN RSA PRIVATE KEY-----
Proc-Type: 4,ENCRYPTED
DEK-Info: DES-EDE3-CBC,...

oder

-----BEGIN RSA PRIVATE KEY-----

 

[AllOnline]

So alle Probleme behoben und beim client gesagt connect dann kommt folgendes:

Tue Nov 17 21:44:27 2009 OpenVPN 2.1_rc21 i686-pc-mingw32 [SSL] [LZO2] [PKCS11] built on Nov 12 2009
Tue Nov 17 21:44:27 2009 WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
Tue Nov 17 21:44:27 2009 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Tue Nov 17 21:44:28 2009 LZO compression initialized
Tue Nov 17 21:44:28 2009 Control Channel MTU parms [ L:1558 D:138 EF:38 EB:0 ET:0 EL:0 ]
Tue Nov 17 21:44:28 2009 Data Channel MTU parms [ L:1558 D:1450 EF:58 EB:135 ET:0 EL:0 AF:3/1 ]
Tue Nov 17 21:44:28 2009 Local Options hash (VER=V4): '22188c5b'
Tue Nov 17 21:44:28 2009 Expected Remote Options hash (VER=V4): 'a8f55717'
Tue Nov 17 21:44:28 2009 Socket Buffers: R=[8192->8192] S=[8192->8192]
Tue Nov 17 21:44:28 2009 UDPv4 link local (bound): [undef]:1194
Tue Nov 17 21:44:28 2009 UDPv4 link remote: 85.114.133.45:1194

Allerdings nicht mehr,
firewall ist nicht aktiv.

Muss ich openvpn nicht noch irgend wie auf den server aktivieren oder so?

bisschen gegooglet und gefunden einfach openvpn --config..
kommt aber folgendes:

openvpn --config /etc/openvpn/server.conf
Options error: the --push directive should have at most 1 parameter. To pass a list of arguments as one of the parameters, try enclosing them in double quotes ("").

 

[Thunderbyte]

Wenn es um mehrere (Client?) Rechner geht, wäre dann nicht vielleicht der OpenVPN Access Server etwas für Dich?

Als Videodemonstration wird das Ding in http://www.hak5.org/episodes/episode-605 erwähnt (dritter Lesezeichenpunkt in der Timeline).

 

[AllOnline]

Danke für den Tipp, aber ich probier erstmal das eine, es sind zwar mehere clients
aber einmal eingerechnet sollte es doch gehen^^

Zudem liegt auf dem Server ein apache und andere Webseiten,
ich behaupte das läg sich im weg, oder glaubt ihr das der das hinkriegt?

zudem ist es nicht kostenlos.
Nur der obige Fehler stört noch, ansonsten kann man ja schön basteln^^

Also bitte im vorigem Post das Problem helfen zu lösen, danke

edit:
mal noch was weiter gesucht, es gibt nen push befehl, aber läuft alles noch nciht so wie es soll

openvpn --push "etc/openvpn/server.conf" --dev tun
Wed Nov 18 14:42:49 2009 OpenVPN 2.0.9 i586-suse-linux [SSL] [LZO] [EPOLL] built on Jun  7 2008
Wed Nov 18 14:42:49 2009 IMPORTANT: OpenVPN's default port number is now 1194, based on an official port number assignment by IANA.  OpenVPN 2.0-beta16 and earlier used 5000 as the default port.
Wed Nov 18 14:42:49 2009 ******* WARNING *******: all encryption and authentication features disabled -- all data will be tunnelled as cleartext
Wed Nov 18 14:42:49 2009 TUN/TAP device tun0 opened
Wed Nov 18 14:42:49 2009 UDPv4 link local (bound): [undef]:1194
Wed Nov 18 14:42:49 2009 UDPv4 link remote: [undef]

 

[wstuermer]

Dein Fehler ist in der Datei /etc/openvpn/server.conf

Options error: the --push directive should have at most 1 parameter.

Fragen?

 

[AllOnline]

ja! wo den bzw was muss in push rein?

dev tun
proto udp
port 1194
server 10.8.0.0 255.255.255.0
mode server
ifconfig-pool-persist /etc/openvpn/ipp.txt
tls-server
dh /etc/openvpn/zertifikate/dh2048.pem
ca /etc/openvpn/zertifikate/ca.crt
cert /etc/openvpn/zertifikate/server.crt
key /etc/openvpn/zertifikate/server.key
push „route 192.168.1.0 255.255.255.0“
client-to-client
cipher AES-256-CBC
user nobody
group nogroup
status /etc/openvpn/openvpn-status.log
comp-lzo
verb 3

hab zwar nichts geänadert aber nun so

p043:~ # openvpn --config /etc/openvpn/server.conf
Wed Nov 18 14:51:37 2009 OpenVPN 2.0.9 i586-suse-linux [SSL] [LZO] [EPOLL] built on Jun 7 2008
Wed Nov 18 14:51:37 2009 WARNING: you are using user/group/chroot without persist-key/persist-tun -- this may cause restarts to fail
Wed Nov 18 14:51:37 2009 WARNING: --keepalive option is missing from server config
Wed Nov 18 14:51:37 2009 Diffie-Hellman initialized with 2048 bit key
Wed Nov 18 14:51:37 2009 WARNING: file '/etc/openvpn/zertifikate/server.key' is group or others accessible
Wed Nov 18 14:51:37 2009 TLS-Auth MTU parms [ L:1558 D:138 EF:38 EB:0 ET:0 EL:0 ]
Wed Nov 18 14:51:37 2009 TUN/TAP device tun0 opened
Wed Nov 18 14:51:37 2009 /bin/ip link set dev tun0 up mtu 1500
Wed Nov 18 14:51:37 2009 /bin/ip addr add dev tun0 local 10.8.0.1 peer 10.8.0.2
Wed Nov 18 14:51:37 2009 /bin/ip route add 10.8.0.0/24 via 10.8.0.2
Wed Nov 18 14:51:37 2009 Data Channel MTU parms [ L:1558 D:1450 EF:58 EB:135 ET:0 EL:0 AF:3/1 ]
Wed Nov 18 14:51:37 2009 GID set to nogroup
Wed Nov 18 14:51:37 2009 UID set to nobody
Wed Nov 18 14:51:37 2009 UDPv4 link local (bound): [undef]:1194
Wed Nov 18 14:51:37 2009 UDPv4 link remote: [undef]
Wed Nov 18 14:51:37 2009 MULTI: multi_init called, r=256 v=256
Wed Nov 18 14:51:37 2009 IFCONFIG POOL: base=10.8.0.4 size=62
Wed Nov 18 14:51:37 2009 IFCONFIG POOL LIST
Wed Nov 18 14:51:37 2009 Initialization Sequence Completed

user geht aber immer noch nicht weiter

Wed Nov 18 14:58:07 2009 OpenVPN 2.1_rc21 i686-pc-mingw32 [SSL] [LZO2] [PKCS11] built on Nov 12 2009
Wed Nov 18 14:58:07 2009 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Wed Nov 18 14:58:07 2009 LZO compression initialized
Wed Nov 18 14:58:07 2009 Control Channel MTU parms [ L:1542 D:138 EF:38 EB:0 ET:0 EL:0 ]
Wed Nov 18 14:58:07 2009 Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:0 EL:0 AF:3/1 ]
Wed Nov 18 14:58:07 2009 Local Options hash (VER=V4): '41690919'
Wed Nov 18 14:58:07 2009 Expected Remote Options hash (VER=V4): '530fdded'
Wed Nov 18 14:58:07 2009 Socket Buffers: R=[8192->8192] S=[8192->8192]
Wed Nov 18 14:58:07 2009 UDPv4 link local: [undef]
Wed Nov 18 14:58:07 2009 UDPv4 link remote: 85.114.133.342:1194

wie überprüfe ich ob der server läuft wenn ich folgendes eingegeben habe?

openvpn --config /etc/openvpn/server.conf --daemon openvpn

 

[AllOnline]

Keiner eine Ahnung warum alles läuft aber A nichts von B weiß und andersrum?