OpenVPN tun/tap Schnittstellen auf Strato V-Server

[Firewire2002]

Wie wärs mit Server4You.

 

[Col_Kernel]

Das steht aber in direkten Widerspruch zu #6 und zu der Aussage, die ich mal vom Strato-Support erhalten habe (#9).

@AnyKey: Kannst du uns deinen Hostnamen nennen (ggfs. PM), damit wir den Strato-Support hier festnageln können?

 

[mr_brain]

Die Verwendung des tun/tap in Verbindung mit virtuellen Servern ist potentiell unsicher.

Edit: Wenn Berechtigungen auf dem Host nicht korrekt gesetzt sind.

 

[Firewire2002]

Könntest du die Aussage bitte Begründen?

 

[lumber]

[...] Ich meinte (sauer), es funktioniert sehr wohl, wollte ihm schon fast erklären wie er das einrichtet, dann lenkt er ein, verbessert sich, es gibt bei Strato V-Root-Servern keine virtuellen Devices und wird auch keine geben.

Ich suche mich jetzt nach einer Strato-Alternative um.....ein Hammer-Service....

Hi padda,
mich würde interessieren wie du dein Device eingerichtet hast, mit vtun oder was anderem?
wgn der Strato-Alternative soltes du bedenken das die Problematik eher einen technischen Hintergrund hat, also warscheinlich die meisten vServer-Anbieter davon betroffen sind (Gegenteiliges bitte posten).

Mieser Support ist jedoch ein berechtigter Wechselgrund

@mr_brian: Würde mich auch Interessieren welche Gefahren drohen und warum....

 

[draner]

Ich besitze auch einen Vserver bei Strato, und mich würde interessieren ob ihr beim Support erfolg hattet ein tap/tun device Support zu bekommen?

Ich selber habe meinen Vserver unter Gentoo laufen und stehe vor dem gleichen Problem

Thu Jan 3 15:18:27 2008 OpenVPN 2.0.6 i686-pc-linux-gnu [SSL] [LZO] [EPOLL] built on Jan 2 2008
Thu Jan 3 15:18:27 2008 Diffie-Hellman initialized with 2048 bit key
Thu Jan 3 15:18:27 2008 TLS-Auth MTU parms [ L:1558 D:138 EF:38 EB:0 ET:0 EL:0 ]
Thu Jan 3 15:18:27 2008 Note: Cannot open TUN/TAP dev /dev/net/tun: No such file or directory (errno=2)
Thu Jan 3 15:18:27 2008 Note: Attempting fallback to kernel 2.2 TUN/TAP interface
Thu Jan 3 15:18:27 2008 Cannot allocate TUN/TAP dev dynamically
Thu Jan 3 15:18:27 2008 Exiting

Danke schonmal im Voraus für alle Anworten.

P.S.: habe selber den Support schon angeschrieben, aber bisher noch keine Antwort erhalten.

 

[amost]

Howto TUN

Ich habe den Support angeschrieben und tatsächlich nach zwei Tagen eine Antwort erhalten:

Die Devices sind in der Tat Teil des Kernels allerdings lässt die Virtualisierung keinen Zugriff zu, dies wurde mit dem Suse 10.3 Image behoben.

Mit Opensuse 10.3 funktionierte es dann tatsächlich auch. Also wieder Gentoo (aus /private-backup) draufgespielt und dann ging es leider doch nicht...
Folgendes hat es dann zum Laufen gebracht:

# mkdir /dev/net
# mknod /dev/net/tun c 10 200
# chmod 666 /dev/net/tun

Danach ließ sich ein virtuelles Netzwerk mit ssh problemlos aufsetzen:

Als root:
# ssh -w 0 mein-server.invalid

Auf mein-server.invalid:
# ifconfig tun0 10.0.0.2 netmask 255.255.255.0

...und lokal:
# ifconfig tun0 10.0.0.1 netmask 255.255.255.0

und dann mit 
# ping 10.0.0.2
testen.

Unter anderen Distris sollte es so auch funktionieren.

Viel Spaß beim VPN'en
Andreas.

 

[Col_Kernel]

Also bei mir führt das leider nicht zum Erfolg. Das "ssh -w 0 $SERVER" funktioniert zwar erstmal, wenn ich aber noch ein -v einfüge steht in der Debug-Ausgabe

debug1: sys_tun_open: failed to configure tunnel (mode 1): Operation not permitted

Die nachfolgen ifconfig-Befehle (als normaler User bzw. root) schlagen dann auch bei Client und Server fehl mit

SIOCSIFADDR: No such device
tun0: ERROR while getting interface flags: No such device
SIOCSIFNETMASK: No such device

System: aktuelles Debian Etch (nicht das Strato-Image, sondern seinerzeit selbst mit debootstrap aufgesetzt).

 

[Col_Kernel]

Nachdem mir die Ausführugnen in #27 neuen Mut gemacht haben, dass es irgendwie scheinbar doch möglich ist, habe ich jetzt das ganze nochmal probiert.

Mit meinem selbt installierten Debian Etch geht es nicht (genau wie anfangs als ich den Thread eröffnet hatte).

Also hab ich von dem ganzen System ein Backup gemacht und das von Strato angebotene Image für Debian Etch installiert. Damit hat es ohne Probleme funktioniert.

Daraufhin habe ich die komplette Installiation gelöscht und mein Backup zurückgespielt. Und auf einmal hat es auch hier funktioniert.

Ich vermute, dass durch Installation des neuen Debian-Images auch auf der Host-Seite irgendwelche Konfigurationsoptionen beinflusst wurden. Anders kann ich mir nicht erklären warum es jetzt auf einmal geht. Möglicherweise wurde auch die Konfiguration von Strato explizit geändert, kommt aber nur durch einen Neustart des virtuellen Servers zum Tragen.

Interessanterweise hat die zwischenzeitliche Installation des von Strato angebotenen Images noch einen weiteren Nebeneffekt. Früher haben sich die Prozentangaben in top auf 200% addiert (jedenfalls laut munin), jetzt nur noch auf 100%.

Tipp: Wer die Backups in /private-backup packt spart sich das anschließende Hochladen. Auf das Runterladen würde ich aus Sicherheitsgründen trotzdem nicht verzichten. (Und dem Strato-Backup-Dingens vertraue ich nicht so ganz.)

 

[Col_Kernel]

Nachtrag: Das VPN ist ja kein Selbstzweck, sondern hat einen Hintergrund. Insbesondere will ich bei WLAN-Hotspots etc. den gesamten Client-Traffic über das VPN routen. Auf Client-Seite gibt es dazu ja die Option --redirect-gateway def1.

Serverseitig funktioniert Masquerading in dieser Form
iptables -t nat -A POSTROUTING -s $SOURCE -o $IFACE -j MASQUERADE.
leider nicht (No chain/target/match by that name). Allerdings geht's mit
iptables -t nat -A POSTROUTING -s $SOURCE -o $IFACE -j SNAT --to-source $SERVERIP
ohne Probleme.

 

[Huschi]

Ich vermute, dass durch Installation des neuen Debian-Images auch auf der Host-Seite irgendwelche Konfigurationsoptionen beinflusst wurden.

Nicht die Konfiguration, sondern Du bist wahrscheinlich auf einen anderen Host-Server umgezogen, der ein aktuelleres Virtuozzo fährt. Denn die Möglichkeit für das TUN/TAP gibt es erst seit Version 2.6.1.

huschi.