Topic: SME Server 7.2 und OpenVPN

[m.p.]

Hallo Leute,

ich setze SME Server 7.2 ein und habe OpenVPN nach dieser Anleitung installiert. SME Server läuft im Server-only-Modus, Zugang zum Internet erfolgt über eine FritzBox. Über eine DynDNS-Adresse kann auf die FritzBox vom Internet aus zugegriffen werden, der Port für OpenVPN wird an SME Server weitergeleitet.

Ich kann mich im Netzwerk über den OpenVPN-Client für WinXP mit dem SME Server verbinden (nur zum testen, ist ja ansonsten ziemlich sinnlos ), eine Verbindung aus dem Internet kann ich nicht herstellen. Der Server scheint auf die Anfrage nicht zu reagieren.

Muss ich irgend etwas zusätzlich zu der oben verlinkten Anleitung machen? Funktioniert OpenVPN zusammen mit SME Server im Server-only-Modus überhaupt?

Gruß,
Martin

[capri]

Würde dir empfehlen den SME Server als Server mit Gateway' einzurichten, dann ist deine FritzBox sozusagen das Frontzend Firewall und der SME der Hauptfirewall, du kannst aber auch in der Fritzbox das ganze interne Netzwerk als DMZ deklarieren, dann ist für alle Sicherheitsbelange der SME zuständig.

Vorteil:
Der SME 7 kennt 'Umstände' zur Konfiguration von Firewall und Routings, die die FritzBox nicht kann.

Habe beide Umfelder (allerdings mit größerem Netgear SecureRouter) schon durchgespielt und kam zu den Schluss das PPPOE auf den SME 7 Server ausreichend ist (für SOHO Betrieb) , zuwas ein Gerät mehr wenn es die Umstände nicht zwingend erfodern?

[m.p.]

Der SME Server ist in ein funktionierendes Netzwerk hinzugekommen und soll auch, bis auf die OpenVPN-Gateway-Funktionalität, nur Dienste im Netzwerk anbieten. Zumal momentan das ganze noch in der Testphase ist und somit möglichst ohne große Eingriffe in die Infrastruktur laufen soll.

Funktioniert die Kombination SME Server 7.2 im Server-only-Modus und OpenVPN überhaupt? Wenn ja, was muss ich machen, damit es läuft?

[gerd]

...die vorgesehene Kombination funktioniert auf jeden Fall, da schon selber realisiert. Hast Du auch den UDP Port auf Deiner Fritzbox auf den SME Server umgeleitet??

Ist fuer den  remote user auch der VPN Zugang freigeschaltet? (siehe https://sme-server-name/server-manager)

Ist der Adress Bereich vom remote netzwork auch unterschiedlich zu dem aus dem local network? Lies mal die Beitraege zu diesem Item im englischsprachigen Forum, da wirst Du eine Menge an Infos finden...

Muss jetzt aber das Board fuer heute verlassen, melde mich morgen wieder zu diesem Theme - falls noetig.

gruss

gerd

[m.p.]

Hallo Gerd,

UDP auf Port 1194 wird von der FritzBox auf den SME Server weitergeleitet, für den User ist VPN freigeschaltet. Das mit den unterschiedlichen Adressbereichen scheint für die Herstellung der Verbindung keine Voraussetzung zu sein, intern im Netzwerk funktioniert diese. Wenn ich aber dann über die DynDNS-Adresse versuche, die Verbindung aufzubauen, bleibt die OpenVPN-Client-GUI beim Verbindungsaufbau bis zum Timeout an dieser Stelle hängen:

Code: [Select]

[...]
Thu Oct 04 12:28:14 2007 us=315650 OpenVPN 2.0.9 Win32-MinGW [SSL] [LZO] built on Oct  1 2006
Thu Oct 04 12:28:18 2007 us=93222 Control Channel Authentication: using 'ta.key' as a OpenVPN static key file
Thu Oct 04 12:28:18 2007 us=93283 Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Thu Oct 04 12:28:18 2007 us=93311 Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Thu Oct 04 12:28:18 2007 us=93360 LZO compression initialized
Thu Oct 04 12:28:18 2007 us=93532 Control Channel MTU parms [ L:1574 D:166 EF:66 EB:0 ET:0 EL:0 ]
Thu Oct 04 12:28:20 2007 us=162543 Data Channel MTU parms [ L:1574 D:1450 EF:42 EB:135 ET:32 EL:0 AF:3/1 ]
Thu Oct 04 12:28:20 2007 us=162624 Local Options String: 'V4,dev-type tap,link-mtu 1574,tun-mtu 1532,proto UDPv4,comp-lzo,keydir 1,cipher BF-CBC,auth SHA1,keysize 128,tls-auth,key-method 2,tls-client'
Thu Oct 04 12:28:20 2007 us=162661 Expected Remote Options String: 'V4,dev-type tap,link-mtu 1574,tun-mtu 1532,proto UDPv4,comp-lzo,keydir 0,cipher BF-CBC,auth SHA1,keysize 128,tls-auth,key-method 2,tls-server'
Thu Oct 04 12:28:20 2007 us=162710 Local Options hash (VER=V4): '13a273ba'
Thu Oct 04 12:28:20 2007 us=162742 Expected Remote Options hash (VER=V4): '360696c5'
Thu Oct 04 12:28:20 2007 us=162812 Socket Buffers: R=[8192->8192] S=[8192->8192]
Thu Oct 04 12:28:20 2007 us=162847 UDPv4 link local: [undef]
Thu Oct 04 12:28:20 2007 us=162869 UDPv4 link remote: ???.??.??.??:1194
Mir scheint es so, als wenn OpenVPN auf externe IPs nicht reagiert.

Gruß,
Martin

[cactus]

Hallo Gerd,

UDP auf Port 1194 wird von der FritzBox auf den SME Server weitergeleitet, für den User ist VPN freigeschaltet. Das mit den unterschiedlichen Adressbereichen scheint für die Herstellung der Verbindung keine Voraussetzung zu sein, intern im Netzwerk funktioniert diese. Wenn ich aber dann über die DynDNS-Adresse versuche, die Verbindung aufzubauen, bleibt die OpenVPN-Client-GUI beim Verbindungsaufbau bis zum Timeout an dieser Stelle hängen:

Code: [Select]

[...]
Thu Oct 04 12:28:14 2007 us=315650 OpenVPN 2.0.9 Win32-MinGW [SSL] [LZO] built on Oct  1 2006
Thu Oct 04 12:28:18 2007 us=93222 Control Channel Authentication: using 'ta.key' as a OpenVPN static key file
Thu Oct 04 12:28:18 2007 us=93283 Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Thu Oct 04 12:28:18 2007 us=93311 Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Thu Oct 04 12:28:18 2007 us=93360 LZO compression initialized
Thu Oct 04 12:28:18 2007 us=93532 Control Channel MTU parms [ L:1574 D:166 EF:66 EB:0 ET:0 EL:0 ]
Thu Oct 04 12:28:20 2007 us=162543 Data Channel MTU parms [ L:1574 D:1450 EF:42 EB:135 ET:32 EL:0 AF:3/1 ]
Thu Oct 04 12:28:20 2007 us=162624 Local Options String: 'V4,dev-type tap,link-mtu 1574,tun-mtu 1532,proto UDPv4,comp-lzo,keydir 1,cipher BF-CBC,auth SHA1,keysize 128,tls-auth,key-method 2,tls-client'
Thu Oct 04 12:28:20 2007 us=162661 Expected Remote Options String: 'V4,dev-type tap,link-mtu 1574,tun-mtu 1532,proto UDPv4,comp-lzo,keydir 0,cipher BF-CBC,auth SHA1,keysize 128,tls-auth,key-method 2,tls-server'
Thu Oct 04 12:28:20 2007 us=162710 Local Options hash (VER=V4): '13a273ba'
Thu Oct 04 12:28:20 2007 us=162742 Expected Remote Options hash (VER=V4): '360696c5'
Thu Oct 04 12:28:20 2007 us=162812 Socket Buffers: R=[8192->8192] S=[8192->8192]
Thu Oct 04 12:28:20 2007 us=162847 UDPv4 link local: [undef]
Thu Oct 04 12:28:20 2007 us=162869 UDPv4 link remote: ???.??.??.??:1194
Mir scheint es so, als wenn OpenVPN auf externe IPs nicht reagiert.

Gruß,
Martin

Verschaft der server DHCP zum netz? Wann Ja: Welchem IP bereich?
Welchem IP bereich hast du spezifiziert fur dein VPN clients?
Vielleicht kannst du ein schematischer Zeichnung dazu machen mit Layout von dem netz zB.

Code: [Select]

VPN --- FritzBox --- LAN
           |
       SME Serveroder

Code: [Select]

VPN --- FritzBox --- SME Server --- LAN[code][/code]

[gerd]

@ Martin
Zum Thema Netzwerk/remote PC mal ein Beispiel:

- Dein SME Server hat die Adresse 192.168.5.2, die Fritzbox die Adresse 192.168.5.3, der DHCP Dienst (entweder nur die FritzBox oder nur der SME Server) verteilt die Adressen 192.168.5.4 bis 192.168.5.80. Dann sorgst Du im OVPN Panel dafuer, dass OVPN die Adressen z.B. von 192.168.5.90 -192.168.5.100 bekommt (dieser Adressbereich muss ausserhalb des Adressbereichs sein, der im lokalen Netz zur Verfuegung gestellt wird (aber gleiches Subnetz).

- Dein Remote PC, der sich via Internet mit dem SME-Server verbinden soll, hat z.B. die Adresse 192.168.9.78 - eine Adresse im Bereich von 192.168.5.xx funktioniert definitiv nicht !!! (Siehe hierzu auch diverse Beitraege im engl. sprachigen Forum). Wenn die Verbindung aufgabaut ist, bekommt Dein remote PC eine "virtuelle Adresse" vom SME Server mitgeteilt - bei mir wuerde dies die 192.168.5.90 sein. Ansonsten waere eine Skizze nicht verkehrt um der Ursache auf den Grund zu gehen.

Dass Du Deine dyndns Adresse anpingen kannst, setze ich jetzt einfach mal voraus. Dass Deine Schluessel und die config Datei im OVPN client korrekt eingetragen sind ebenfalls. Ich habe damit zu Anfang leichte Probleme gehabt - bis ich rausbekommen habe, dass ich die Zertifikate und Keys nur mit dem Internet Explorer korrekt abspeichern konnte (mit Opera oder Firefox funktionierte dies merkwuerdigerweise nicht). Schoen ist, dass man an der SME Firewall nicht "rumfummeln" muss, aber auch sonst ist dieses OVPN contrib ziemlich problemlos (auch fuer einen SNE Novizen wie mich). Ich habe inzwischen bei Freunden fuenf OVPN Netze eingerichtet, davon eins mit einer Hardware wie bei Dir vorhanden (dabei macht die Fritzbox DHCP). Deshalb bin ich ziemlich sicher, dass Du es ebenfalls schaffen wirst, OVPN erfolgreich einzurichten.

Und nochmals den Rat sich im englischsprachigen Forum schlau zu machen, die Beitrage zum OVPN gehoeren zu den mit am haeufigsten gelesenen und kommentierten Beitraegen.

Melde Dich mal wie es morgen bei Dir ausschaut.

gruss

gerd

[m.p.]

Hallo,

das Verbinden innerhalb vom Netzwerk klappt (das Verbinden, Zugriff klappt dann natürlich nicht), der IP-Bereich ist außerhalb des DHCP-Bereiches (wie es auch auf der Web-Konfig-Seite zu OVPN vom Server-Manager steht). Wenn ich jetzt aber von einem Rechner außerhalb des Netzwerkes über Internet mit dem OVPN verbinden will, bleibt er an der oben beschriebenen Stelle hängen. Das die Port-Weiterleitung der Fritzbox grundsätzlich funktioniert, sehe ich daran, dass ein HTTP-Server im Netzwerk von außen erreichbar ist. Die Schlüssel habe ich heruntergeladen und ins Config-Verzeichnis von OpenVPN-GUI gepackt, die angebotene Vorlage für die Config-Datei nutze ich auch, nur der Server wurde natürlich geändert.

Ich habe immer noch die Vermutung, dass der OpenVPN auf externe IPs nicht reagiert/reagieren will.

Gruß,
Martin

[gerd]

humm, unter:

Thu Oct 04 12:28:20 2007 us=162869 UDPv4 link remote: ???.??.??.??:1194

muesste anstelle der Fragezeichen die IP Adresse Deiner Fritzbox stehen, ich habe das gerade mal bei mir nochmal ueberprueft.

Kannst Du Deine .dyndns Adresse vom Internet aus anpingen?? Oder hast Du die Fragezeichen ganz bewusst dort eingefuegt?? Dass in Deinem config file die dyndns Adresse auch 1:1 uebernommen worden ist, setze ich mal voraus....

Hast Du schon einmal geguckt unter: http://forums.contribs.org/index.php?topic=33043.0
Den OVPN Dienst hast du ja wahrscheinlich auch gestartet.....merkwuerdig.

Jupp, ich weiss - sind ne Menge Seiten - aber anhand derer habe ich erfolgreich mein erstes OVPN aufgesetzt.

In welchem PLZ Gebiet hast Du denn Dein Domizil?

gerd

[m.p.]

Hallo,

die Fragezeichen sind bewusst gesetzt, da steht natürlich die IP der FritzBox. Wie gesagt, die Port-Weiterleitung auf einen HTTP-Server funktioniert ja. SME Server ist übrigens nicht der DHCP-Server im Netzwerk, falls das irgend eine Relevanz haben sollte. Und der Adressraum, den man auf der Config-Seite von OVPN im Server-Manager angeben muss, ist natürlich außerhalb des DHCP-Bereiches

Gruß,
Martin

[bluestar]

Habe OPENVPN ebenfalls nach dieser Anleitung eingerichtet.

Leider finde ich nirgends eine Info, welche Ports ich alle weiterleiten lassen muss vom Router!!!
Kann mir das jemand sagen?

Vielen Dank für eine Antwort.

Gruß
Benny

[gerd]

Wenn Du einen Router einsetzt und den SME im Server-Only Modus betreibst, dann schau mal auf die Advanced Configuration Page von OVPN im Server-Manager. Dort ist unter "enter port to listen on" ein Port angegeben. Diesen Port auf leitest Du in Deinem Router auf die IP Adresse Deines SME-Servers um.

Das war's schon.

Mehr brauchst Du bei dieser Konfiguration nicht zu machen.

gerd

[bluestar]

Dort ist unter "enter port to listen on" ein Port angegeben. Diesen Port auf leitest Du in Deinem Router auf die IP Adresse Deines SME-Servers um.

Vielen Dank für die schnelle Antwort.

Leider funktioniert das trotzdem noch nicht. Deshalb hätte ich da jetzt mal eine ergänzende Frage:
Ich habe erstmal im Server-Manager die "Authentication method" auf "1" gestellt. Was für mich theoretisch bedeutet, daß ich keine Zertifikate oder ähnliches auf dem Winclient einrichten muss und einfach ganz normal bei WindowsXP eine VPN-Verbindung einrichten kann mit Benutzername und Passwort.
Ist das korrekt, oder irre ich mich und brauche ich da noch diesen OpenVPN-Client?

[gerd]

Benny,

Du hast geschrieben:

"Habe OPENVPN ebenfalls nach dieser Anleitung eingerichtet".

Dann solltest Du dies auch so machen wie in der Anleitung beschrieben. Lies doch einfach mal was unter Punkt 3 "client configuration" steht....

gruss

gerd

[gerd]

Benny,
ich vergass:

Ich mach bei mir die authentication method auf "4" eingestellt.

So Du denn zu einem spaeteren Zeitpunkt den Verschluesselungslevel von 1 auf
4 umstellen moechtest, musst Du die confog Dateien entsprechend neu erstellen
und auf dem VPN client neu einspielen

gruss

gerd