Koozali.org: home of the SME Server
Other Languages => Deutsch => Topic started by: m.p. on October 04, 2007, 09:11:27 AM
-
Hallo Leute,
ich setze SME Server 7.2 ein und habe OpenVPN nach dieser Anleitung (http://sme.firewall-services.com/spip.php?article4) installiert. SME Server läuft im Server-only-Modus, Zugang zum Internet erfolgt über eine FritzBox. Über eine DynDNS-Adresse kann auf die FritzBox vom Internet aus zugegriffen werden, der Port für OpenVPN wird an SME Server weitergeleitet.
Ich kann mich im Netzwerk über den OpenVPN-Client für WinXP mit dem SME Server verbinden (nur zum testen, ist ja ansonsten ziemlich sinnlos ;)), eine Verbindung aus dem Internet kann ich nicht herstellen. Der Server scheint auf die Anfrage nicht zu reagieren.
Muss ich irgend etwas zusätzlich zu der oben verlinkten Anleitung machen? Funktioniert OpenVPN zusammen mit SME Server im Server-only-Modus überhaupt?
Gruß,
Martin
-
Würde dir empfehlen den SME Server als Server mit Gateway' einzurichten, dann ist deine FritzBox sozusagen das Frontzend Firewall und der SME der Hauptfirewall, du kannst aber auch in der Fritzbox das ganze interne Netzwerk als DMZ deklarieren, dann ist für alle Sicherheitsbelange der SME zuständig.
Vorteil:
Der SME 7 kennt 'Umstände' zur Konfiguration von Firewall und Routings, die die FritzBox nicht kann.
Habe beide Umfelder (allerdings mit größerem Netgear SecureRouter) schon durchgespielt und kam zu den Schluss das PPPOE auf den SME 7 Server ausreichend ist (für SOHO Betrieb) , zuwas ein Gerät mehr wenn es die Umstände nicht zwingend erfodern?
-
Der SME Server ist in ein funktionierendes Netzwerk hinzugekommen und soll auch, bis auf die OpenVPN-Gateway-Funktionalität, nur Dienste im Netzwerk anbieten. Zumal momentan das ganze noch in der Testphase ist und somit möglichst ohne große Eingriffe in die Infrastruktur laufen soll.
Funktioniert die Kombination SME Server 7.2 im Server-only-Modus und OpenVPN überhaupt? Wenn ja, was muss ich machen, damit es läuft?
-
...die vorgesehene Kombination funktioniert auf jeden Fall, da schon selber realisiert. Hast Du auch den UDP Port auf Deiner Fritzbox auf den SME Server umgeleitet??
Ist fuer den remote user auch der VPN Zugang freigeschaltet? (siehe https://sme-server-name/server-manager)
Ist der Adress Bereich vom remote netzwork auch unterschiedlich zu dem aus dem local network? Lies mal die Beitraege zu diesem Item im englischsprachigen Forum, da wirst Du eine Menge an Infos finden...
Muss jetzt aber das Board fuer heute verlassen, melde mich morgen wieder zu diesem Theme - falls noetig.
gruss
gerd
-
Hallo Gerd,
UDP auf Port 1194 wird von der FritzBox auf den SME Server weitergeleitet, für den User ist VPN freigeschaltet. Das mit den unterschiedlichen Adressbereichen scheint für die Herstellung der Verbindung keine Voraussetzung zu sein, intern im Netzwerk funktioniert diese. Wenn ich aber dann über die DynDNS-Adresse versuche, die Verbindung aufzubauen, bleibt die OpenVPN-Client-GUI beim Verbindungsaufbau bis zum Timeout an dieser Stelle hängen:[...]
Thu Oct 04 12:28:14 2007 us=315650 OpenVPN 2.0.9 Win32-MinGW [SSL] [LZO] built on Oct 1 2006
Thu Oct 04 12:28:18 2007 us=93222 Control Channel Authentication: using 'ta.key' as a OpenVPN static key file
Thu Oct 04 12:28:18 2007 us=93283 Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Thu Oct 04 12:28:18 2007 us=93311 Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Thu Oct 04 12:28:18 2007 us=93360 LZO compression initialized
Thu Oct 04 12:28:18 2007 us=93532 Control Channel MTU parms [ L:1574 D:166 EF:66 EB:0 ET:0 EL:0 ]
Thu Oct 04 12:28:20 2007 us=162543 Data Channel MTU parms [ L:1574 D:1450 EF:42 EB:135 ET:32 EL:0 AF:3/1 ]
Thu Oct 04 12:28:20 2007 us=162624 Local Options String: 'V4,dev-type tap,link-mtu 1574,tun-mtu 1532,proto UDPv4,comp-lzo,keydir 1,cipher BF-CBC,auth SHA1,keysize 128,tls-auth,key-method 2,tls-client'
Thu Oct 04 12:28:20 2007 us=162661 Expected Remote Options String: 'V4,dev-type tap,link-mtu 1574,tun-mtu 1532,proto UDPv4,comp-lzo,keydir 0,cipher BF-CBC,auth SHA1,keysize 128,tls-auth,key-method 2,tls-server'
Thu Oct 04 12:28:20 2007 us=162710 Local Options hash (VER=V4): '13a273ba'
Thu Oct 04 12:28:20 2007 us=162742 Expected Remote Options hash (VER=V4): '360696c5'
Thu Oct 04 12:28:20 2007 us=162812 Socket Buffers: R=[8192->8192] S=[8192->8192]
Thu Oct 04 12:28:20 2007 us=162847 UDPv4 link local: [undef]
Thu Oct 04 12:28:20 2007 us=162869 UDPv4 link remote: ???.??.??.??:1194
Mir scheint es so, als wenn OpenVPN auf externe IPs nicht reagiert.
Gruß,
Martin
-
Hallo Gerd,
UDP auf Port 1194 wird von der FritzBox auf den SME Server weitergeleitet, für den User ist VPN freigeschaltet. Das mit den unterschiedlichen Adressbereichen scheint für die Herstellung der Verbindung keine Voraussetzung zu sein, intern im Netzwerk funktioniert diese. Wenn ich aber dann über die DynDNS-Adresse versuche, die Verbindung aufzubauen, bleibt die OpenVPN-Client-GUI beim Verbindungsaufbau bis zum Timeout an dieser Stelle hängen:[...]
Thu Oct 04 12:28:14 2007 us=315650 OpenVPN 2.0.9 Win32-MinGW [SSL] [LZO] built on Oct 1 2006
Thu Oct 04 12:28:18 2007 us=93222 Control Channel Authentication: using 'ta.key' as a OpenVPN static key file
Thu Oct 04 12:28:18 2007 us=93283 Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Thu Oct 04 12:28:18 2007 us=93311 Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Thu Oct 04 12:28:18 2007 us=93360 LZO compression initialized
Thu Oct 04 12:28:18 2007 us=93532 Control Channel MTU parms [ L:1574 D:166 EF:66 EB:0 ET:0 EL:0 ]
Thu Oct 04 12:28:20 2007 us=162543 Data Channel MTU parms [ L:1574 D:1450 EF:42 EB:135 ET:32 EL:0 AF:3/1 ]
Thu Oct 04 12:28:20 2007 us=162624 Local Options String: 'V4,dev-type tap,link-mtu 1574,tun-mtu 1532,proto UDPv4,comp-lzo,keydir 1,cipher BF-CBC,auth SHA1,keysize 128,tls-auth,key-method 2,tls-client'
Thu Oct 04 12:28:20 2007 us=162661 Expected Remote Options String: 'V4,dev-type tap,link-mtu 1574,tun-mtu 1532,proto UDPv4,comp-lzo,keydir 0,cipher BF-CBC,auth SHA1,keysize 128,tls-auth,key-method 2,tls-server'
Thu Oct 04 12:28:20 2007 us=162710 Local Options hash (VER=V4): '13a273ba'
Thu Oct 04 12:28:20 2007 us=162742 Expected Remote Options hash (VER=V4): '360696c5'
Thu Oct 04 12:28:20 2007 us=162812 Socket Buffers: R=[8192->8192] S=[8192->8192]
Thu Oct 04 12:28:20 2007 us=162847 UDPv4 link local: [undef]
Thu Oct 04 12:28:20 2007 us=162869 UDPv4 link remote: ???.??.??.??:1194
Mir scheint es so, als wenn OpenVPN auf externe IPs nicht reagiert.
Gruß,
Martin
Verschaft der server DHCP zum netz? Wann Ja: Welchem IP bereich?
Welchem IP bereich hast du spezifiziert fur dein VPN clients?
Vielleicht kannst du ein schematischer Zeichnung dazu machen mit Layout von dem netz zB.VPN --- FritzBox --- LAN
|
SME ServeroderVPN --- FritzBox --- SME Server --- LAN[code][/code]
-
@ Martin
Zum Thema Netzwerk/remote PC mal ein Beispiel:
- Dein SME Server hat die Adresse 192.168.5.2, die Fritzbox die Adresse 192.168.5.3, der DHCP Dienst (entweder nur die FritzBox oder nur der SME Server) verteilt die Adressen 192.168.5.4 bis 192.168.5.80. Dann sorgst Du im OVPN Panel dafuer, dass OVPN die Adressen z.B. von 192.168.5.90 -192.168.5.100 bekommt (dieser Adressbereich muss ausserhalb des Adressbereichs sein, der im lokalen Netz zur Verfuegung gestellt wird (aber gleiches Subnetz).
- Dein Remote PC, der sich via Internet mit dem SME-Server verbinden soll, hat z.B. die Adresse 192.168.9.78 - eine Adresse im Bereich von 192.168.5.xx funktioniert definitiv nicht !!! (Siehe hierzu auch diverse Beitraege im engl. sprachigen Forum). Wenn die Verbindung aufgabaut ist, bekommt Dein remote PC eine "virtuelle Adresse" vom SME Server mitgeteilt - bei mir wuerde dies die 192.168.5.90 sein. Ansonsten waere eine Skizze nicht verkehrt um der Ursache auf den Grund zu gehen.
Dass Du Deine dyndns Adresse anpingen kannst, setze ich jetzt einfach mal voraus. Dass Deine Schluessel und die config Datei im OVPN client korrekt eingetragen sind ebenfalls. Ich habe damit zu Anfang leichte Probleme gehabt - bis ich rausbekommen habe, dass ich die Zertifikate und Keys nur mit dem Internet Explorer korrekt abspeichern konnte (mit Opera oder Firefox funktionierte dies merkwuerdigerweise nicht). Schoen ist, dass man an der SME Firewall nicht "rumfummeln" muss, aber auch sonst ist dieses OVPN contrib ziemlich problemlos (auch fuer einen SNE Novizen wie mich). Ich habe inzwischen bei Freunden fuenf OVPN Netze eingerichtet, davon eins mit einer Hardware wie bei Dir vorhanden (dabei macht die Fritzbox DHCP). Deshalb bin ich ziemlich sicher, dass Du es ebenfalls schaffen wirst, OVPN erfolgreich einzurichten.
Und nochmals den Rat sich im englischsprachigen Forum schlau zu machen, die Beitrage zum OVPN gehoeren zu den mit am haeufigsten gelesenen und kommentierten Beitraegen.
Melde Dich mal wie es morgen bei Dir ausschaut.
gruss
gerd
-
Hallo,
das Verbinden innerhalb vom Netzwerk klappt (das Verbinden, Zugriff klappt dann natürlich nicht), der IP-Bereich ist außerhalb des DHCP-Bereiches (wie es auch auf der Web-Konfig-Seite zu OVPN vom Server-Manager steht). Wenn ich jetzt aber von einem Rechner außerhalb des Netzwerkes über Internet mit dem OVPN verbinden will, bleibt er an der oben beschriebenen Stelle hängen. Das die Port-Weiterleitung der Fritzbox grundsätzlich funktioniert, sehe ich daran, dass ein HTTP-Server im Netzwerk von außen erreichbar ist. Die Schlüssel habe ich heruntergeladen und ins Config-Verzeichnis von OpenVPN-GUI gepackt, die angebotene Vorlage für die Config-Datei nutze ich auch, nur der Server wurde natürlich geändert.
Ich habe immer noch die Vermutung, dass der OpenVPN auf externe IPs nicht reagiert/reagieren will.
Gruß,
Martin
-
humm, unter:
Thu Oct 04 12:28:20 2007 us=162869 UDPv4 link remote: ???.??.??.??:1194
muesste anstelle der Fragezeichen die IP Adresse Deiner Fritzbox stehen, ich habe das gerade mal bei mir nochmal ueberprueft.
Kannst Du Deine .dyndns Adresse vom Internet aus anpingen?? Oder hast Du die Fragezeichen ganz bewusst dort eingefuegt?? Dass in Deinem config file die dyndns Adresse auch 1:1 uebernommen worden ist, setze ich mal voraus....
Hast Du schon einmal geguckt unter: http://forums.contribs.org/index.php?topic=33043.0
Den OVPN Dienst hast du ja wahrscheinlich auch gestartet.....merkwuerdig.
Jupp, ich weiss - sind ne Menge Seiten - aber anhand derer habe ich erfolgreich mein erstes OVPN aufgesetzt.
In welchem PLZ Gebiet hast Du denn Dein Domizil?
gerd
-
Hallo,
die Fragezeichen sind bewusst gesetzt, da steht natürlich die IP der FritzBox. Wie gesagt, die Port-Weiterleitung auf einen HTTP-Server funktioniert ja. SME Server ist übrigens nicht der DHCP-Server im Netzwerk, falls das irgend eine Relevanz haben sollte. Und der Adressraum, den man auf der Config-Seite von OVPN im Server-Manager angeben muss, ist natürlich außerhalb des DHCP-Bereiches
Gruß,
Martin
-
Habe OPENVPN ebenfalls nach dieser Anleitung (http://sme.firewall-services.com/spip.php?article4) eingerichtet.
Leider finde ich nirgends eine Info, welche Ports ich alle weiterleiten lassen muss vom Router!!!
Kann mir das jemand sagen?
Vielen Dank für eine Antwort.
Gruß
Benny
-
Wenn Du einen Router einsetzt und den SME im Server-Only Modus betreibst, dann schau mal auf die Advanced Configuration Page von OVPN im Server-Manager. Dort ist unter "enter port to listen on" ein Port angegeben. Diesen Port auf leitest Du in Deinem Router auf die IP Adresse Deines SME-Servers um.
Das war's schon.
Mehr brauchst Du bei dieser Konfiguration nicht zu machen.
gerd
-
Dort ist unter "enter port to listen on" ein Port angegeben. Diesen Port auf leitest Du in Deinem Router auf die IP Adresse Deines SME-Servers um.
Vielen Dank für die schnelle Antwort.
Leider funktioniert das trotzdem noch nicht. Deshalb hätte ich da jetzt mal eine ergänzende Frage:
Ich habe erstmal im Server-Manager die "Authentication method" auf "1" gestellt. Was für mich theoretisch bedeutet, daß ich keine Zertifikate oder ähnliches auf dem Winclient einrichten muss und einfach ganz normal bei WindowsXP eine VPN-Verbindung einrichten kann mit Benutzername und Passwort.
Ist das korrekt, oder irre ich mich und brauche ich da noch diesen OpenVPN-Client?
-
Benny,
Du hast geschrieben:
"Habe OPENVPN ebenfalls nach dieser Anleitung eingerichtet".
Dann solltest Du dies auch so machen wie in der Anleitung beschrieben. Lies doch einfach mal was unter Punkt 3 "client configuration" steht....
gruss
gerd
-
Benny,
ich vergass:
Ich mach bei mir die authentication method auf "4" eingestellt.
So Du denn zu einem spaeteren Zeitpunkt den Verschluesselungslevel von 1 auf
4 umstellen moechtest, musst Du die confog Dateien entsprechend neu erstellen
und auf dem VPN client neu einspielen
gruss
gerd
-
Hallo zusammen...
Ich wollte mich nur für die Hilfe bedanken. Ich dachte der PUnkt 3 (Client Config) war nur nötig bei einer anderen Authentifizierungs Methode. Aber klar: Wer lesen kann ist klar im Vorteil!
Es klappt bei mir alles wunderbar... Vielen Dank! Ihr seit spitze.
Ich kann leider nicht mit so viel Fachwissen weiterhelfen, weshalb ich mich im Forum mit Hilfestellungen leider etwas zurückhalten muss....
Bis denne...
Benny
-
...und ich habe schon gedacht Du waerst abgetaucht. :-(
Glueckwunsch zur gelungenen Installation. Vielleicht - so noch nicht geschehen - solltest
Du einmal ueber die Authentifizierungsmethode nachdenken, nachdem es prinzipiell bei Dir
ja funktioniert.
gruss
gerd
-
Werde ich definitiv ausprobieren und dann auf die sicherste Methode gehen.
Prinzipiell läuft es jetzt ja....
-
Eine Frage noch: Die normale Datensicherung, die man beim SME machen kann...
Sichert die auch alle Einstellungen von OpenVPN?
Also kann ich im Falle eines Absturzes einfach einen "sauberen" SME7.2 installieren und dann das Backup einspielen und alles ist auf dem funktionierenden Stand inkl. OPENVPN?
-
Hallo Leute,
bei uns im Netzwerk lief ein AVM Ken! für die Arbeitsplatzrechner und der hat die ausgehende Verbindung geblockt. Habe des Netzwerk jetzt umgekrempelt, SME-Server ist jetzt das Gateway für alle Rechner im Netzwerk.
Von außerhalb kann ich mich jetzt auch auf den SME-Server mit OpenVPN verbinden, ich bekomme aber keinen Zugriff auf andere Rechner im Netzwerk. Kann nur den SME-Server anpingen und vom SME-Server aus den OVPN-Client.
Schönen Gruß,
Martin
-
Hallo Leute,
bei uns im Netzwerk lief ein AVM Ken! für die Arbeitsplatzrechner und der hat die ausgehende Verbindung geblockt. Habe des Netzwerk jetzt umgekrempelt, SME-Server ist jetzt das Gateway für alle Rechner im Netzwerk.
Von außerhalb kann ich mich jetzt auch auf den SME-Server mit OpenVPN verbinden, ich bekomme aber keinen Zugriff auf andere Rechner im Netzwerk. Kann nur den SME-Server anpingen und vom SME-Server aus den OVPN-Client.
Schönen Gruß,
Martin
Vielleicht funktioniert die Routung nicht. Benutzen sie ein router und Local Networks (ich weiss das Deutsch Wort dafür leider nicht)? Dan brauchst du vielleicht die Route zum Konfiguration hin zu ze fugen. Ich hab damals einem Patch geschikt zum Author, hab nicht geschaut ob es seitdem noch einem neuen Release gegeben hat.
-
Hallo,
die Routing-Tabelle auf dem SME-Server sieht folgendermaßen aus:Kernel IP Routentabelle
Ziel Router Genmask Flags Metric Ref Use Iface
192.168.2.0 0.0.0.0 255.255.255.0 U 0 0 0 br0
192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1
0.0.0.0 192.168.1.1 0.0.0.0 UG 0 0 0 eth1192.168.2.0 ist das interne Netzwerk, 192.168.1.0 ist das externe Netzwerk, in dem eine Fritzbox den Zugang zum Internet zur Verfügung stellt. Port-Weiterleitung für OVPN ist in der Fritzbox natürlich eingerichtet, ich kann ja auch eine OVPN-Verbindung mit dem SME-Server aufbauen. Die Clients im .2.0-Netzwerk haben alle den SME-Server als Gateway eingetragen.
Gruß,
Martin
-
Hallo,
die Routing-Tabelle auf dem SME-Server sieht folgendermaßen aus:Kernel IP Routentabelle
Ziel Router Genmask Flags Metric Ref Use Iface
192.168.2.0 0.0.0.0 255.255.255.0 U 0 0 0 br0
192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1
0.0.0.0 192.168.1.1 0.0.0.0 UG 0 0 0 eth1192.168.2.0 ist das interne Netzwerk, 192.168.1.0 ist das externe Netzwerk, in dem eine Fritzbox den Zugang zum Internet zur Verfügung stellt. Port-Weiterleitung für OVPN ist in der Fritzbox natürlich eingerichtet, ich kann ja auch eine OVPN-Verbindung mit dem SME-Server aufbauen. Die Clients im .2.0-Netzwerk haben alle den SME-Server als Gateway eingetragen.
Aber es geht um die Routung auf dem Client und alles zwischen SME Server und Klient denke ich, damals war meinem Problem das die VPN Verbindung nicht die richtiger routerung aus teilte.
-
Hallo,
achso. Dann hier die Routing-Tabelle des Clients:===========================================================================
Schnittstellenliste
0x1 ........................... MS TCP Loopback interface
0x2 ...00 ff b3 7a 63 27 ...... TAP-Win32 Adapter V8
0x1000004 ...00 10 a4 86 22 ff ...... Intel(R) PRO Adapter
0x2000005 ...00 53 45 00 00 00 ...... WAN (PPP/SLIP) Interface
===========================================================================
===========================================================================
Aktive Routen:
Netzwerkziel Netzwerkmaske Gateway Schnittstelle Anzahl
0.0.0.0 0.0.0.0 90.187.163.172 90.187.163.172 1
90.187.163.172 255.255.255.255 127.0.0.1 127.0.0.1 1
90.255.255.255 255.255.255.255 90.187.163.172 90.187.163.172 1
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
192.168.2.0 255.255.255.0 192.168.2.90 192.168.2.90 1
192.168.2.90 255.255.255.255 127.0.0.1 127.0.0.1 1
192.168.2.255 255.255.255.255 192.168.2.90 192.168.2.90 1
224.0.0.0 224.0.0.0 90.187.163.172 90.187.163.172 1
224.0.0.0 224.0.0.0 192.168.2.90 192.168.2.90 1
255.255.255.255 255.255.255.255 192.168.2.90 192.168.2.90 1
Standardgateway: 90.187.163.172
===========================================================================
Ständige Routen:
KeineDer Client ist ein Laptop mit Windows 2000 SP4 und OpenVPN-GUI. Eingerichtet sind eine LAN- und eine WLAN-Schnittstelle, die jedoch beide nicht aktiv sind. Ein Cisco-VPN-Client ist auch installiert aber nicht aktiv. Mit dem Internet bin ich über ein USB-UMTS-Modem verbunden.
Achso: der Client bekommt für OVPN die IP 192.168.2.90, der IP-Bereich für OVPN liegt natürlich außerhalb des DHCP-Bereiches des Netzwerks.
Schönen Gruß,
Martin
-
Hallo,
nachdem ich SME Server komplett neu installiert und eingerichtet habe, funktioniert OpenVPN jetzt. Ich weiß allerdings nicht, was da falsch gelaufen ist, ich habe die gleichen Einstellungen vorgenommen.
Schönen Gruß,
Martin