4
OpenVPN - windows-config auf dem mac?
Hallo zusmamen,
erstmal vorweg: ich hab von diesem vpn-zeugs nicht so die Ahnung. Wie man es konfiguriert usw usf.
ich verbinde mich mit meinem Windows-Notebook per OpenVPN zum einem Server... da klappt alles wunderbar ohne jegliche Probleme. Nun habe ich mir gedacht, dass ich das genauso gut mit mienem MacBook machen könnte um die Arbeitsläufe zu vereinfachen. Dafür habe ich mir das App "Tunnelblick" geladen und es entsprechend konfiguriert. Ich habe mir die config vom windows geschnappt und diese einfach in den entsprechenden ordner auf meinem mach gepackt.
Nun erstmal zu den Problemen:
Sun 03/01/09 05:30 PM: WARNING: file 'xxxxx.key' is group or others accessible
Sun 03/01/09 05:30 PM: WARNING: file 'ta.key' is group or others accessible
Was bedeutet das? Die Datei xxxxx.key steht im Windows für den Netzwerk-Namen des Rechners. Ich habe meinen mac nun mal testweise den selben namen gegeben, aber es funkt leider auch nicht damit. Das gleichnamige Zertifikat wird nicht erwähnt also wohl auch erfolgreich verwendet. Warum er die ta.key nicht nimmt ist mir ebenfalls schleierhaft.
Am ende sagt mir Tunnelblick dennoch, dass ich erfolgreich verbundne bin... was aber leider nicht der Fall ist.
Eine wietere Sache in der Windows-Config ist die hier:
Im windows muss ich, wie es da steht, den adapter in "name name name" umbenennen. Im OS X soll das nciht nötig sein, habe ich irgendwo gelesen... von daher habe ich den dev-node bei meiner config auskommentiert. Denn wenn ich es drin lasse, kann Tunnelblick nicht verbinden. Kann es daran liegen..? und wenn ja, wie benenne ich den openvpn adapter denn in diesem Fall um?
Eine weitere Sache eventuell: im windows muss ich, bevor VPN es tut, eine Datei namens "subinacl.exe" (von Microsoft --> "SubInACL is a command-line tool that enables administrators to obtain security information about files, registry keys, and services, and transfer this information from user to user, from local or global group to group, and from domain to domain.") ausführen und meinen benutzernamen 'freischalten' dies geht mit: "subinacl /SERVICE "OpenVPNService" /GRANT=username=TO" ... gibt es dazu eventuell ein passendes Gegenstück für den mac?!
Danke für eure hilfe jungs
erstmal vorweg: ich hab von diesem vpn-zeugs nicht so die Ahnung. Wie man es konfiguriert usw usf.
ich verbinde mich mit meinem Windows-Notebook per OpenVPN zum einem Server... da klappt alles wunderbar ohne jegliche Probleme. Nun habe ich mir gedacht, dass ich das genauso gut mit mienem MacBook machen könnte um die Arbeitsläufe zu vereinfachen. Dafür habe ich mir das App "Tunnelblick" geladen und es entsprechend konfiguriert. Ich habe mir die config vom windows geschnappt und diese einfach in den entsprechenden ordner auf meinem mach gepackt.
Nun erstmal zu den Problemen:
Sun 03/01/09 05:30 PM: WARNING: file 'xxxxx.key' is group or others accessible
Sun 03/01/09 05:30 PM: WARNING: file 'ta.key' is group or others accessible
Was bedeutet das? Die Datei xxxxx.key steht im Windows für den Netzwerk-Namen des Rechners. Ich habe meinen mac nun mal testweise den selben namen gegeben, aber es funkt leider auch nicht damit. Das gleichnamige Zertifikat wird nicht erwähnt also wohl auch erfolgreich verwendet. Warum er die ta.key nicht nimmt ist mir ebenfalls schleierhaft.
Am ende sagt mir Tunnelblick dennoch, dass ich erfolgreich verbundne bin... was aber leider nicht der Fall ist.
Eine wietere Sache in der Windows-Config ist die hier:
- Windows needs the TAP-Win32 adapter name
- from the Network Connections panel
- if you have more than one. On XP SP2,
- you may need to disable the firewall
- for the TAP adapter.
Im windows muss ich, wie es da steht, den adapter in "name name name" umbenennen. Im OS X soll das nciht nötig sein, habe ich irgendwo gelesen... von daher habe ich den dev-node bei meiner config auskommentiert. Denn wenn ich es drin lasse, kann Tunnelblick nicht verbinden. Kann es daran liegen..? und wenn ja, wie benenne ich den openvpn adapter denn in diesem Fall um?
Eine weitere Sache eventuell: im windows muss ich, bevor VPN es tut, eine Datei namens "subinacl.exe" (von Microsoft --> "SubInACL is a command-line tool that enables administrators to obtain security information about files, registry keys, and services, and transfer this information from user to user, from local or global group to group, and from domain to domain.") ausführen und meinen benutzernamen 'freischalten' dies geht mit: "subinacl /SERVICE "OpenVPNService" /GRANT=username=TO" ... gibt es dazu eventuell ein passendes Gegenstück für den mac?!
Danke für eure hilfe jungs
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 110268
Url: https://administrator.de/contentid/110268
Printed on: April 27, 2024 at 05:04 o'clock
4 Comments
Latest comment
Sun 03/01/09 05:30 PM: WARNING: file 'xxxxx.key' is group or others accessible
Sun 03/01/09 05:30 PM: WARNING: file 'ta.key' is group or others accessible
Sun 03/01/09 05:30 PM: WARNING: file 'ta.key' is group or others accessible
Die Fehlermeldung sagt doch eigentlich schon alles über sich selbst aus:
OpenVPN warnt dich, dass die Dateien xxxx.key und ta.key von Benutzern in der Gruppe gelesen werden kann, was ein Sicherheitsrisiko ist.
Weil du nicht verrätst welches OS X du hast, die Lösung für alle:
Terminal öffnen (in Programme > Dienstprogramme)
Dort eingeben cd<LEERZEICHEN> und dann den ordner in dem sich die beiden Dateien befinden per Drag und Drop ins Fenster ziehen (so, dass dort steht "cd /Users/horst/.openvpn/" o.Ä.) - Enter
Dann folgende Befehle ausführen:
chmod go-rwx xxxxx.key
chmod go-rwx ta.key
Fertig
Übrigens hast du ein Sicherheitsrisiko wenn du die selbe Keyfile auf zwei Rechnern verwendest: Wird einer geklaut musst du sie auf allen PCs ändern. Bei OpenVPN sollte AFAIK ein Rechner eine Keyfile haben, damit man die kompromittierte schneller rauswerfen kann.
Grüße
Max
Hallo, Danke für diene Antwort. Habe den guten Leo am laufen... hab die rechte nun gefixed und die Meldung ist weg... aber funktionieren tut das ganze immernoch nicht, leider.
Das mit dem Risiko ist mir bewusst, nur wollte ich erst einmal mit einer vorhandenen key-datei testen, bevor ich mir eine neue erstelle.
Das Tunnelblick-Log sieht wie folgt aus:
vielleicht hilft das ja.
Die conf-Datei sieht hingegen so aus:
Das mit dem Risiko ist mir bewusst, nur wollte ich erst einmal mit einer vorhandenen key-datei testen, bevor ich mir eine neue erstelle.
Das Tunnelblick-Log sieht wie folgt aus:
Thu 01/01/70 01:00 AM: SUCCESS: pid=14106
Thu 01/01/70 01:00 AM: SUCCESS: real-time state notification set to ON
Thu 01/01/70 01:00 AM: SUCCESS: real-time log notification set to ON
Sun 03/01/09 07:29 PM: OpenVPN 2.1_rc15 i386-apple-darwin9.5.0 [SSL] [LZO2] built on Nov 19 2008
Sun 03/01/09 07:29 PM: MANAGEMENT: TCP Socket listening on 127.0.0.1:1337
Sun 03/01/09 07:29 PM: waiting...
Sun 03/01/09 07:29 PM: MANAGEMENT: Client connected from 127.0.0.1:1337
Thu 01/01/70 01:00 AM: END
Thu 01/01/70 01:00 AM: SUCCESS: hold release succeeded
Sun 03/01/09 07:29 PM: WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
Sun 03/01/09 07:29 PM: NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
Sun 03/01/09 07:29 PM: Control Channel Authentication: using 'ta.key' as a OpenVPN static key file
Sun 03/01/09 07:29 PM: Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Sun 03/01/09 07:29 PM: Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Sun 03/01/09 07:29 PM: LZO compression initialized
Sun 03/01/09 07:29 PM: Control Channel MTU parms [ L:1542 D:166 EF:66 EB:0 ET:0 EL:0 ]
Sun 03/01/09 07:29 PM:
Sun 03/01/09 07:29 PM: Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:0 EL:0 AF:3/1 ]
Sun 03/01/09 07:29 PM: Local Options hash (VER=V4): '504e774e'
Sun 03/01/09 07:29 PM: Expected Remote Options hash (VER=V4): '14168603'
Sun 03/01/09 07:29 PM: Socket Buffers: R=[42080->65536] S=[9216->65536]
Sun 03/01/09 07:29 PM: UDPv4 link local: [undef]
Sun 03/01/09 07:29 PM: UDPv4 link remote: 79.205.148.87:1194
Sun 03/01/09 07:29 PM:
Sun 03/01/09 07:29 PM:
Sun 03/01/09 07:29 PM: sid=76fb0b61 78896d97
Sun 03/01/09 07:29 PM: /C=DE/ST=xxxxxxxxx/L=xxxxxxxxx/O=xxxxxxxxx/CN=OpenVPN_CA/emailAddress=info@xxxxxxxxx.de
Sun 03/01/09 07:29 PM: /C=DE/ST=xxxxxxxxx/O=xxxxxxxxx/CN=xxxxxxxx.xxxxxxxxx.de/emailAddress=info@xxxxxxxxx.de
Sun 03/01/09 07:29 PM: remote='link-mtu 1546'
Sun 03/01/09 07:29 PM: remote='mtu-dynamic'
Sun 03/01/09 07:29 PM: Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Sun 03/01/09 07:29 PM: Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Sun 03/01/09 07:29 PM: Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Sun 03/01/09 07:29 PM: Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Sun 03/01/09 07:29 PM: 2048 bit RSA
Sun 03/01/09 07:29 PM: [xxxxxxxx.xxxxxxxxx.de] Peer Connection Initiated with xx.xxx.xxx.xx:1194
Sun 03/01/09 07:29 PM:
Sun 03/01/09 07:29 PM: SENT CONTROL [xxxxx.xxxxx.de]: 'PUSH_REQUEST' (status=1)
Sun 03/01/09 07:29 PM: ifconfig 192.168.2.102 192.168.2.101'
Sun 03/01/09 07:29 PM: OPTIONS IMPORT: timers and/or timeouts modified
Sun 03/01/09 07:29 PM: OPTIONS IMPORT: --ifconfig/up options modified
Sun 03/01/09 07:29 PM: OPTIONS IMPORT: route options modified
Sun 03/01/09 07:29 PM: OPTIONS IMPORT: --ip-win32 and/or --dhcp-option options modified
Sun 03/01/09 07:29 PM: ROUTE default_gateway=192.168.0.1
Sun 03/01/09 07:29 PM: TUN/TAP device /dev/tun0 opened
Sun 03/01/09 07:29 PM:
Sun 03/01/09 07:29 PM: /sbin/ifconfig tun0 delete
Sun 03/01/09 07:29 PM: NOTE: Tried to delete pre-existing tun/tap instance -- No Problem if failure
Sun 03/01/09 07:29 PM: /sbin/ifconfig tun0 192.168.2.102 192.168.2.101 mtu 1500 netmask 255.255.255.255 up
Sun 03/01/09 07:29 PM: /Applications/Tunnelblick.app/Contents/Resources/client.up.osx.sh tun0 1500 1542 192.168.2.102 192.168.2.101 init
Sun 03/01/09 07:29 PM:
Sun 03/01/09 07:29 PM: /sbin/route add -net 192.168.6.0 192.168.2.101 255.255.255.0
Sun 03/01/09 07:29 PM: /sbin/route add -net 192.168.2.1 192.168.2.101 255.255.255.255
Sun 03/01/09 07:29 PM: Initialization Sequence Completed
Sun 03/01/09 07:29 PM: xx.xxx.xxx.xxx
Sun 03/01/09 07:29 PM: Bad LZO decompression header byte: 0
Sun 03/01/09 07:29 PM: Bad LZO decompression header byte: 0
Sun 03/01/09 07:29 PM: Bad LZO decompression header byte: 0
Sun 03/01/09 07:30 PM: Bad LZO decompression header byte: 0
Sun 03/01/09 07:30 PM: Bad LZO decompression header byte: 0
Sun 03/01/09 07:30 PM: Bad LZO decompression header byte: 0
Sun 03/01/09 07:30 PM: Bad LZO decompression header byte: 0
Sun 03/01/09 07:30 PM: Bad LZO decompression header byte: 0
Sun 03/01/09 07:30 PM: Bad LZO decompression header byte: 0
Sun 03/01/09 07:31 PM: Bad LZO decompression header byte: 0
Sun 03/01/09 07:31 PM: Bad LZO decompression header byte: 0
Sun 03/01/09 07:31 PM: restarting
Sun 03/01/09 07:31 PM: TCP/UDP: Closing socket
Sun 03/01/09 07:31 PM: process restarting
Sun 03/01/09 07:31 PM:
Thu 01/01/70 01:00 AM: SUCCESS: hold release succeeded
Sun 03/01/09 07:31 PM: WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
Sun 03/01/09 07:31 PM: NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
Sun 03/01/09 07:31 PM: Re-using SSL/TLS context
Sun 03/01/09 07:31 PM: LZO compression initialized
Sun 03/01/09 07:31 PM: Control Channel MTU parms [ L:1542 D:166 EF:66 EB:0 ET:0 EL:0 ]
Sun 03/01/09 07:31 PM: vielleicht hilft das ja.
Die conf-Datei sieht hingegen so aus:
client
dev tun
proto udp
remote xxxxx.xxxxx.xx 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert xxxxx.crt
key xxxxx.key
tls-auth ta.key 1
comp-lzo
verb 3
Sorry, hab OpenVPN schon länger nicht mehr benutzt, aber einen Fehler sehe ich da nicht...
Was sagen denn ping und traceroute?
Was sagen denn ping und traceroute?
ich habe folgende 3 Zeilen an die config drangehangen:
tun-mtu 1500
fragment 1400
mssfix 1400
... und nun tut's. Trotzdem Danke für diene Hilfe!
tun-mtu 1500
fragment 1400
mssfix 1400
... und nun tut's
. Trotzdem Danke für diene Hilfe!