[NSLU2] OpenVPN configureren

[Exro]

Ik ben bezig met een VPN-server op te zetten. (Deze wil ik draaien op een Linksys NSLU2, maar dat ter zijde.)

 

De benodigde ipkg pakketten geïnstalleerd, geen probleem.

Nu moet ik de server nog configureren.

Zijn er mensen die ervaring hebben met het configureren hiervan?

 

1) Allereerst: kan ik een VPN lokaal testen?

 

Hierbij twee config-files, waarvan ik denk dat ze geconfigureerd moeten worden:

/opt/etc/openvpn/openvpn.conf

Code:

## Sample OpenVPN configuration file for# home using a pre-shared static key.## '#' or ';' may be used to delimit comments.# Use a dynamic tun device.# For Linux 2.2 or non-Linux OSes,# you may want to use an explicit# unit number such as "tun1".# OpenVPN also supports virtual# ethernet "tap" devices.dev tun# 10.1.0.1 is the local side of the VPN connection (slug side)# 10.1.0.2 is the remote side of the VPN connection (client side)ifconfig 10.1.0.1 10.1.0.2# Our up script will establish routes# once the VPN is alive.up ./openvpn.up# In SSL/TLS key exchange, Office will# assume server role and Home# will assume client role.tls-server# Diffie-Hellman Parameters (tls-server only)dh dh1024.pem# Certificate Authority fileca my-ca.crt# Our certificate/public keycert slug-certificate.crtkey  slug-certificate.key# OpenVPN uses UDP port 1194 by default.# Each OpenVPN tunnel must use# a different port number.# lport or rport can be used# to denote different ports# for local and remote.; port 1194# Downgrade UID and GID to# "nobody" after initialization# for extra security.; user nobody; group nobody# If you built OpenVPN with# LZO compression, uncomment# out the following line.; comp-lzo# Send a UDP ping to remote once# every 15 seconds to keep# stateful firewall connection# alive.  Uncomment this# out if you are using a stateful# firewall.; ping 15# For DHCP users, this will handle change of address within 5 minutes# Can be commented out if only static addresses are used.ping               15ping-restart      300 # 5 minutesresolv-retry      300 # 5 minutespersist-tunpersist-key# Verbosity level.# 0 -- quiet except for fatal errors.# 1 -- mostly quiet, but display non-fatal network errors.# 3 -- medium output, good for normal operation.# 9 -- verbose, good for troubleshootingverb 3

 

2) Ik begrijp adressen 'local-site' en 'remote site' niet helemaal.

3) Moeten deze niet in de range zitten van de router: 10.0.0.xxx?

4) Moeten er andere instellingen in deze config worden aangepast?

 

/opt/etc/openvpn/openvpn.up

Code:

#!/bin/bashroute add -net 192.168.1.0 netmask 255.255.255.0 gw $5

 

5) Ook hierin geldt weer: aanpassen netwerkrange?

 

6) Zijn er nog andere bestanden die geconfigureerd moeten worden?

7) Gaat dit werken i.c.m. Windows (XP) protocollen?

 

Iemand een ideetje?

[Gast]

Ad 1) Ja, zie ook Ad 7)

Ad 2) Da's simpel. Local-site ben jij, remote site is de andere kant van de tunnel?

Ad 3) Nee, dat mag van alles zijn. Er wordt namelijk een virtuele NIC aangemaakt (da's die TUN- of TAP-device). Het is zelfs verstandiger om deze in een andere range te plaatsen dan de "echte" IP-range die je gebruikt.

Ad 4) Ligt er maar helemaal aan wat je wilt bereiken...

Ad 5) Zie Ad 4) . Maar het is wel duidelijk dat nooit zal gaan werken? Je voert met dat commando na het opkomen van de VPN-tunnel namelijk een 2e "Default gateway" in. Dat gaat bijten...

Ad 6) idem.

Ad 7) Nee. Maar no fear, er is ook een Win32-versie...

 

Je ziet, er is nog zoveel onduidelijk... Maar kijk gewoon eens op de site van de bouwer. Daar is zóveel te lezen!

 

Greetz!

[Exro]

@Psycho

Bedankt voor de antwoorden, so far,

er staan alleen nog een hoop vragen open:

 

Ad 5) Zie Ad 4) . Maar het is wel duidelijk dat nooit zal gaan werken? Je voert met dat commando na het opkomen van de VPN-tunnel namelijk een 2e "Default gateway" in. Dat gaat bijten...

 

Wat bedoel je precies hiermee? Hoe moet ik dit configureren?

 

Ad 7) Nee. Maar no fear, er is ook een Win32-versie...

 

Dus als ik onder Win XP een VPN verbinding op wil zetten, dan zal dit niet gaan lukken?

 

(Uiteraard had ik de site van de bouwer al doorgekeken, alleen kon ik mijn vragen niet geheel beantwoord krijgen.)

[Gast]

Ad 5) Je "Default Gateway" is het punt waardoor je PC het internet opgaat. Als je er dus 2 hebt, dan weet je PC niet meer welke te gebruiken. Of hij kiest de laatst ingevoerde en gaat de machine via het VPN het internet proberen aan te roepen. Als dan "de andere kant" niet routeert gebeurt er vrij weinig... Oplossing: een ";" voor de regel 'up ./openvpn.up' zetten.

 

Ad 7) Inderdaad. Maar er is dus ook een versie voor windows die je kan gebruiken met dezelfde config. Je moet dan alleen 'local' en 'remote' omwisselen...

 

Mag ik voorstellen dat je de gewenste situatie eens schetst!?

 

Greetz!

[Exro]

Mag ik voorstellen dat je de gewenste situatie eens schetst!?

 

Graag! Dan zal het inderdaad wat duiderlijker worden.

 

Situatie:

 

Locatie 1:

Vast IP, Server met linux compilatie op een Linksys NSLU2, met daarop OpenVPN package geïnstalleerd.

Tevens 3x Win XP computer in lokaalnetwerk: IP range 10.0.0.xxx

 

Locatie 2:

Dynamisch IP, Win XP machine, waar ik het lokale netwerk van locatie 1 wil tunnelen. IP range 192.168.1.xxx

 

Ik hoop dat dit voldoende informatie geeft om de situatie in kaart te brengen. Ik kan zo even niks meer bedenken om erbij te vermelden.

 

In ieder geval al dank voor het helpen zover.

[Exro]

Uiteraard wil ik het lokaal eerst even testen, om te kijken of ie het doet.

Ik wil dus op een Win XP machine in dezelfde IP range een VPN verbinding opzetten.

 

Ik begrijp dus dat de standaard VPN verbinding in Windows niet gaat werken op een OpenVPN server?

 

Moet ik daarvoor dan de Win32 applicatie installeren?

[Gast]

Dit zou moeten werken tussen de server en 1 PC op locatie 1:

 

Server:

remote <IP Client>

dev tap

ifconfig 10.3.0.1 10.3.0.2

secret static.key

ping 10

verb 3

mute 10

 

client:

remote <IP Server>

dev tap

ifconfig 10.3.0.2 10.3.0.1

secret static.key

ping 10

verb 3

mute 10

 

Maar nog een vraag, waarom wil je LOKAAL ook een VPN gaan draaien?

[Exro]

Dat wil ik gewoon om te testen. Anders moet ik telkens naar locatie 2. Aangezien dat niet erg om de hoek is, lijkt me het makkerlijker om het lokaal te testen.

That's All,

 

Ik zal het een en ander gaan testen.

 

PS: Het gaat niet lukken met de VPN verbinding van Windows? (Ik kan niet echt uitsluitsel in de antwoorden terugvinden)

[Gast]

Citaat:

PS: Het gaat niet lukken met de VPN verbinding van Windows? (Ik kan niet echt uitsluitsel in de antwoorden terugvinden)

Nee. OpenVPN heeft een eigen structuur.

Maar als je echt een windows-client wil gebruiken, dan moet je gewoon een IPsec- of PPTP-server draaien op die Linux-machine?

[Exro]

Het gaat de goede kant op!

Ik heb wel een extra executeble op de Win XP geïnstalleerd: openvpn-2.0_XX-gui-1.0_XX-install.exe

Hiermee kan ik een verbinding opzetten.

Ik heb de instellingen nu conform bovenstaande reply. Ik heb het idee dat ik verbinding heb, alleen als ik de log-file bekijk dan zie ik erg veel 'foutmeldingen':

 

 

Code:

Thu Jun 02 12:07:57 2005 OpenVPN 2.0 Win32-MinGW [sSL] [LZO] built on Apr 17 2005Thu Jun 02 12:07:57 2005 IMPORTANT: OpenVPN's default port number is now 1194, based on an official port number assignment by IANA.  OpenVPN 2.0-beta16 and earlier used 5000 as the default port.Thu Jun 02 12:07:57 2005 WARNING: --ping should normally be used with --ping-restart or --ping-exitThu Jun 02 12:07:57 2005 Static Encrypt: Cipher 'BF-CBC' initialized with 128 bit keyThu Jun 02 12:07:57 2005 Static Encrypt: Using 160 bit message hash 'SHA1' for HMAC authenticationThu Jun 02 12:07:57 2005 Static Decrypt: Cipher 'BF-CBC' initialized with 128 bit keyThu Jun 02 12:07:57 2005 Static Decrypt: Using 160 bit message hash 'SHA1' for HMAC authenticationThu Jun 02 12:07:57 2005 WARNING: Since you are using --dev tap, the second argument to --ifconfig must be a netmask, for example something like 255.255.255.0. (silence this warning with --ifconfig-nowarn)Thu Jun 02 12:07:57 2005 TAP-WIN32 device [OpenVPN] opened: \\.\Global\{7F661005-77F5-4278-8DC5-35FFB1F0462A}.tapThu Jun 02 12:07:57 2005 TAP-Win32 Driver Version 8.1 Thu Jun 02 12:07:57 2005 TAP-Win32 MTU=1500Thu Jun 02 12:07:57 2005 Notified TAP-Win32 driver to set a DHCP IP/netmask of 10.3.0.2/10.3.0.1 on interface {7F661005-77F5-4278-8DC5-35FFB1F0462A} [DHCP-serv: 10.3.0.0, lease-time: 31536000]Thu Jun 02 12:07:57 2005 Successful ARP Flush on interface [131075] {7F661005-77F5-4278-8DC5-35FFB1F0462A}Thu Jun 02 12:07:57 2005 Data Channel MTU parms [ L:1576 D:1450 EF:44 EB:4 ET:32 EL:0 ]Thu Jun 02 12:07:57 2005 Local Options hash (VER=V4): '1734509c'Thu Jun 02 12:07:57 2005 Expected Remote Options hash (VER=V4): '1734509c'Thu Jun 02 12:07:57 2005 UDPv4 link local (bound): [undef]:1194Thu Jun 02 12:07:57 2005 UDPv4 link remote: 10.0.0.xxx:1194Thu Jun 02 12:07:57 2005 read UDPv4: Connection reset by peer (WSAECONNRESET) (code=10054)Thu Jun 02 12:07:58 2005 read UDPv4: Connection reset by peer (WSAECONNRESET) (code=10054)Thu Jun 02 12:07:58 2005 read UDPv4: Connection reset by peer (WSAECONNRESET) (code=10054)Thu Jun 02 12:07:59 2005 read UDPv4: Connection reset by peer (WSAECONNRESET) (code=10054)Thu Jun 02 12:08:00 2005 read UDPv4: Connection reset by peer (WSAECONNRESET) (code=10054)Thu Jun 02 12:08:00 2005 read UDPv4: Connection reset by peer (WSAECONNRESET) (code=10054)Thu Jun 02 12:08:01 2005 read UDPv4: Connection reset by peer (WSAECONNRESET) (code=10054)Thu Jun 02 12:08:03 2005 read UDPv4: Connection reset by peer (WSAECONNRESET) (code=10054)Thu Jun 02 12:08:06 2005 read UDPv4: Connection reset by peer (WSAECONNRESET) (code=10054)Thu Jun 02 12:08:06 2005 read UDPv4: Connection reset by peer (WSAECONNRESET) (code=10054)Thu Jun 02 12:08:16 2005 NOTE: --mute triggered...Thu Jun 02 12:11:17 2005 28 variation(s) on previous 10 message(s) suppressed by --muteThu Jun 02 12:11:17 2005 TCP/UDP: Closing socketThu Jun 02 12:11:17 2005 Closing TUN/TAP interfaceThu Jun 02 12:11:17 2005 SIGTERM[hard,] received, process exiting

 

1) zitter er foutmeldingen in deze log?

2) hoe kan ik het e.e.a. het beste testen om te kijken of de VPN-verbinding daadwerkelijk werkt.

3) Hoe moet ik omgaan met een dynamisch IP op locatie 2?

 

Bij voorbaad dank.