mjharis
Goto Top

Campus Netzwerk OVPN in DDWRT für PS4 bzw Amzn FireTV

Moin,

habe an sich exakt das Problem des Fragestellers dieser Frage:
PS4 im Wohnheim, VPN Hilfe, VPN-Router hilfreich?

Ich möchte, dass mein Router (TP-Link WDR3600 / N600 mit aktuellem DD-WRT) sozusagen das Internet mittels VPN bereitstellt. [Ja ich weiß hölzern, aber Netzwerke sind bömische Dörfer für mich ;)]. Damit ich dann Geräte nutzen kann, die nicht so ohne weiteres einen Openvpn client nutzen können.(PS4/Amazon FireTV/Mobile Geräte...). Habe mir diesen Router extra für DDWRT gekauft, habe ansonsten noch eine Fritz.Box 7390 hier rumliegen.
Die verteilt das Campus lan momentan per Wlan, sodass mein MacBook dann mittels Tunnelblick und der von der Uni bereitgestellten .ovpn dabei ins netz kommt.

Habe schon mittels diverser Tutorials versucht aus der .ovpn datei die entsprechenden Schlüssel rauszukopieren und dann in DD WRT einzusetzen, aber das klappt nicht so wie erwünscht.
Dieses Tutorial OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
hilft mir ebenso wenig, da ich nicht blicke wie ich das in DDWRT eintrage sodass es wie beschrieben klappt.


Zusammenfassend, bräuchte ich lediglich eine Stütze wie ich von der .ovpn zu einem funktionierenden Client in DDWRT komme.

Hoffe man wird hieraus schlau...


Habe mal die imo relevanten Stellen der ovpn Datei zusammenkopiert.


script-security 2
client
dev tun
proto udp
remote 12212222
remote 11111122
remote 1111122
remote 11111111
remote-random
link-mtu 1558
auth-user-pass
tls-client
#tls-auth keygedöns_ta.key 1
tls-remote "C=DE, ST=., L=stadt, O=unigedöns CN=blaba, email"  
ns-cert-type server
cipher AES-256-CBC
auth RSA-SHA1
route-delay 1 30
persist-key
persist-tun
nobind
comp-lzo
verb 3
[...]

Certificate :

    Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
            RSA Public Key: (2048 bit)
                Modulus (2048 bit):
....

Key Agreement
            X509v3 Extended Key Usage: critical
                TLS Web Client Authentication
            Netscape Cert Type: 
                SSL Client
    Signature Algorithm: md5WithRSAEncryption

Content-Key: 254070

Url: https://administrator.de/contentid/254070

Ausgedruckt am: 30.03.2024 um 08:03 Uhr

Mitglied: orcape
orcape 07.11.2014 um 08:22:20 Uhr
Goto Top
Hi mjharis,
bevor der ganze Kram hier nochmals "aufgewärmt" wird....
Hast Du mal den Versuch gemacht @Ruinedgames eine PN zu schreiben.
Vielleicht kann er Dir unter "Zockerkollegen" ja mal direkt Hilfestellung geben.
Gruß orcape
Mitglied: orcape
orcape 07.11.2014 um 17:10:00 Uhr
Goto Top
Also mal ruhig mit die "jungen Pferde"....
Für einen DD-WRT OpenVPN-Client sind eigentlich nur 4 Dinge von Bedeutung, damit das Ganze funktioniert...
root@bengie:/tmp/openvpncl# ls
ca.crt client.crt client.key openvpn.conf
Also im GUI des Clienten die OpenVPN Config eingeben und die beiden Zertifikate und den Schlüssel in die dafür vorgesehene Felder kopieren.
Das ist alles kein Hexenwerk und Dank @aquis Tutorial schaffen das auch Leute, die zwar Laien sind, aber ein wenig Geduld aufbringen und nicht gleich bei dem ersten Problem die Flinte ins Korn werfen.
Denn auch wenn @aqui das manchmal etwas anders darstellt, ein Grundschüler bringt das nicht in 5 Minuten...face-wink
Gruß orcape
Mitglied: aqui
aqui 07.11.2014 um 20:10:01 Uhr
Goto Top
OK...wolln wir mal fair sein. In 20 Minuten schafft er das aber ganz sicher !? face-smile
Mitglied: mjharis
mjharis 07.11.2014 aktualisiert um 21:46:39 Uhr
Goto Top
Nachtrag DD-WRT Version Firmware: DD-WRT v24-sp2 (03/25/13) std

Danke für deine Antwort.
Habe mal einen Screenshot gemacht wie ich die Teile der Config, aus dem ersten Beitrag in die WebGui von DDWRT eingetragen habe. Stimmt das soweit, oder habe ich manche Zeilen falsch interpretiert?

http://s14.directupload.net/images/141107/f6gdzv3l.png

Auf dem Screenshot nicht enthalten sind die drei anderen Felder für Schlüssel. Die aber ebenfalls eingetragen sind.
Folgende Punkte sind aus der config.ovpn eingetragen:
1. TLS Auth Key:
<tls-auth>
-----BEGIN OpenVP....

2. CA Cert :
<ca>

-----BEGIN CERTIFIC....

3. Public Client Key:
<cert>...
-----BEGIN CERTIFICATE-----

4.Private Client Key
<key>
-----BEGIN RSA PRIVATE KEY-----



Bei Punkt 3 gibt es noch zwei weitere "Keys" die wie folgt aufgebaut sind, welche ich aber bisher nicht verwendet habe, da solche in keinem Tutorial vorkamen welches ich bisher gelesen habe.

Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
            RSA Public Key: (2048 bit)
                Modulus (2048 bit):
                    2c:62:19:de:af:a7:ae:ef:db:cd:cf:8d:64:54:16:7f:94:ed:
[...]

Key Agreement
            X509v3 Extended Key Usage: critical
                TLS Web Client Authentication
            Netscape Cert Type: 
                SSL Client
    Signature Algorithm: md5WithRSAEncryption
        2c:62:19:de:af:a7:ae:ef:db:cd:cf:8d:64:54:16:7f:94:ed:

Muss ich mit denen etwas machen?


Für das "auth-user-pass" Verfahren habe ich folgendes in der OVPN WEbGui unter Aditional Config:
auth user pass /tmp/login.txt
Gehört in das Additional Config Feld noch etwas rein?


Und unter Administration/Command folgendes als Start up um die benutzerdaten bereitzustellen.
 echo "Nickname" > /temp/login.txt  
echo "passwort" >> /temp/login.txt  


Zu :

<root@bengie:/tmp/openvpncl# ls
ca.crt client.crt client.key openvpn.conf>

Im Terminal zeigt er mir an der Ordner existiere nicht, bzw. im root verzeichnis zeigt er mir mit ls nichts an, habe mit der eingetragenen Config mehrmals neugestartet. Denke ich bin falsch connectet...
Siehe hierzu diesen Screenshot:
http://s14.directupload.net/images/141107/zyh3tzrn.png

Abschließend noch eine Frage welche ich gerne klar beantwortet hätte, brauche ich den Server/Deamen von OVPN? Oder kann ich es komplett wie du es angedeutet hast mittels der WebGUI mittels des Client Unterpunktes machen.
Mitglied: orcape
orcape 08.11.2014 um 09:47:13 Uhr
Goto Top
Was Deine Einträge betrifft, scheinst Du da etwas durcheinander zu bringen....
3. Public Client Key:
<cert>... -----BEGIN CERTIFICATE-----
01.
<cert>..
...Du hast ein Zertifikat ins Key-Feld eingetragen.
Nur folgende 4 Felder sind interessant.
- TLS Auth Key
- Öffentliches CA-Zertifikat
- Öffentliches Client-Zertifikat
- Privater Client-Schlüssel
Das "client.conf" Feld kann auch frei bleiben, es sei denn es werden irgendwelche zusätzlichen Einstellungen benötigt, die sich im GUI vorher nicht einstellen lassen.
Im Terminal zeigt er mir an der Ordner existiere nicht, bzw. im root verzeichnis zeigt er mir mit ls nichts an, habe mit der eingetragenen Config mehrmals neugestartet. Denke ich bin falsch connectet...
Dann aktiviere mal den ssh-Server auf dem Router und verbinde dich per ssh.
Der von mir angegebene Pfad ist schon richtig (tmp/openvpncl), ausserdem dürfte erst ein...
cd /
eine Anzeige von ls möglich machen.
Beispiel...
root@winnie:~# cd /
root@winnie:/# ls
bin dev etc jffs lib mmc mnt opt proc sbin sys tmp usr var www
Noch ein Hinweis, die in "/tmp" gespeicherten Daten sind "flüchtig", d.h. bei einem Neustart des Routers wird nur geladen, was im GUI eingegeben oder per Startscript angegeben ist.
Alles was Du per vi auf der Konsole eingibst, ist im "/tmp" Ordner nach einem Router-Reboot wieder weg.
Zu Deiner abschließenden Frage.
Abschließend noch eine Frage welche ich gerne klar beantwortet hätte, brauche ich den Server/Deamen von OVPN?
Der Server steht doch in der UNI, wieso brauchst Du dann einen 2. ?
Also klare Antwort, alle Einträge in den Client, den Daemon deaktiviert lassen.
Gruß orcape
Mitglied: mjharis
mjharis 08.11.2014 aktualisiert um 14:41:09 Uhr
Goto Top
Moin, klappen tuts natürlich nicht. Das mit dem Key Feld, war mein Fehler habe es falsch gepostet das Feld 3. in dem das Zertifikat eingetragen ist heißt in der WebGui von DDWRT Public Client Cert.
Auch klappt es mit dem Terminal, nachdem SSH aktiviert wird :/

Habe nochmal einen Screenshot gemacht wie es aktuell eingetragen ist (im ersten Post die entsprechende ausgansconfig).

http://s14.directupload.net/images/141108/5rtzmt4t.png
http://s14.directupload.net/images/141108/h7rwkftu.png


Was mir beim vergleichen der ovpn.conf im Terminal mit der von der Uni Bereitgestellten Config aufgefallen ist, das dort immer noch verschiedene Sachen drin stehen.
Links die von mir über WEbGui erstellte Config, rechts der vergleichswert aus ddwrt:

Uni = dev tun DDWRT = dev tun1

Uni = auth RSA-SHA1 DDWRT = auth sha1

Es stehen halt auch noch weitere Sachen in den Configs die es jeweils nur in einer Datei gibt.

Uni =route-delay 1 30
DDWRT = management 123.0.0.1 11
DDWRT = fast-io
DDWRT = tun-ipv6

RSA ist ja ein vorgeschalteter Verschlüsselungsalgorythmus, wenn ich das bei einer kurzen google recherche richtig verstanden habe. Kann der ovpnclient von ddwrt diese art überhaupt? Bzw wo finde ich die Einstellung.
Des weiteren gibt es in der Uni Config noch einen vorgeschalteten Teil zum Public Client Zertifikat. :

Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
            RSA Public Key: (2048 bit)
                Modulus (2048 bit):
                    00:ef:9a:49:a5:a0:74:2h:60:ee:c3:4b:b6:6c:eb:

[...]

    Exponent: 65537 (0x10001)
        X509v3 extensions:
            X509v3 Key Usage: critical
                Digital Signature, Non Repudiation, Key Encipherment, Data Encipherment, Key Agreement
            X509v3 Extended Key Usage: critical
                TLS Web Client Authentication
            Netscape Cert Type: 
                SSL Client
    Signature Algorithm: md5WithRSAEncryption
        2c:62:19:de:af:a7:ae:ef:db:cd:cf:8d:66:54:16:7f:94:ed:
[...]
-----BEGIN CERTIFICATE-----
MIIFbjCCBFagAwIBAgIJANbS4bFp55m6MA0GCSqGSIb3DQEB

Für mich wäre das ja der Teil für RSA?

Die auth-user-pass Variante wie ich sie eingebaut habe, müsste so doch funktionieren? Die login.txt wird auch bei jedem erbot brav ins tmp Verzeichnis geschrieben.

Gruß
Mitglied: orcape
orcape 08.11.2014 um 14:58:26 Uhr
Goto Top
Uni = dev tun DDWRT = dev tun1
DD-WRT registriert das nur als dev/tun1, hat nichts zu sagen und sollte trotzdem funktionieren.
Poste mal die Ausgabe von..
root@DD-WRT:~# openvpn /tmp/openvpncl/openvpn.conf
..und von..
route
Ob das mit dem Verschlüsselungsalgorythmus so OK ist, sollte sich wenn möglich @aqui noch mal dazu äußern.
Gruß orcape
Mitglied: mjharis
mjharis 08.11.2014 um 15:12:57 Uhr
Goto Top
Ok, wenn ich das erste Kommando eingebe, passiert nichts.
Falls dich der Inhalt der openvpn.conf interessiert, dass wäre dieser hier.
ca /tmp/openvpncl/ca.crt
cert /tmp/openvpncl/client.crt
key /tmp/openvpncl/client.key
management 127.0.0.1 16
management-log-cache 100
verb 3
mute 3
syslog
writepid /var/run/openvpncl.pid
client
resolv-retry infinite
nobind
persist-key
persist-tun
script-security 2
dev tun1
proto udp
cipher aes-256-cbc
auth sha1
remote 111.11.11.11  1194   # ip verfälscht :P
comp-lzo no
tls-client
tun-mtu 1558
mtu-disc yes
ns-cert-type server
fast-io
tun-ipv6
tls-auth /tmp/openvpncl/ta.key 1
auth-user-pass /tmp/login.txt

route :

Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
default         10.238.1.1      0.0.0.0                 UG    0      0        0 vlan2
10.238.0.0      *               255.255.0.0              U     0       0        0 vlan2
127.0.0.0       *                   255.0.0.0               U     0      0        0 lo
169.254.0.0     *               255.255.0.0             U     0      0        0 br0
192.168.1.0     *               255.255.255.0         U     0      0        0 br0
Mitglied: orcape
orcape 08.11.2014 um 15:26:22 Uhr
Goto Top
Ok, wenn ich das erste Kommando eingebe, passiert nichts.
Damit baut sich normalerweise der Tunnel auf, was er laut Routingtabelle auch nicht getan hat.
Hast du vielleicht noch eine Firewall, die Port 1194 blockt?
Mitglied: mjharis
mjharis 08.11.2014 um 15:54:47 Uhr
Goto Top
Der DDWRT Router hängt ja direkt am Campus netz. Habe im DDWRT Router die Firewall mal deaktiviert und da hat sich auch nix getan. Wüsste nicht welche Firewall dazwischen funken sollte, auf welche ich direkten Einfluss haben kann.

Er gibt mir bei Status/OPenvpn folgendes als Meldung aus:

State
Server: : Local Address: Remote Address: Client: RECONNECTING: tls-error Local Address: Remote Address:
Mitglied: orcape
orcape 08.11.2014 um 16:04:00 Uhr
Goto Top
tls-error
..nun weißt Du doch schon woran es liegt.
z.B. Fehler beim kopieren des TLS-Keys.
Da hast Du wohl etwas verkehrt eingetragen.
Mitglied: mjharis
mjharis 08.11.2014 aktualisiert um 16:36:28 Uhr
Goto Top
Den Teil habe ich bei TLS Auth Key eingetragen:


<tls-auth>
#
# 2048 bit OpenVPN static key
#
//von hier
-----BEGIN OpenVPN Static key V1-----
[...]
-----END OpenVPN Static key V1-----
//bis hier
</tls-auth>

Kann es damit zusammen hängen, dass das auth user pass verfahren nicht korrekt arbeitet und somit ein tls error erzeugt wird?
Mitglied: orcape
orcape 08.11.2014 aktualisiert um 16:44:32 Uhr
Goto Top
Du musst den kompletten Key übertragen...
#
  1. 2048 bit OpenVPN static key
#
..das gehört dazu.face-wink
Sorry, irgendwie wollen die # Zeichen nicht so wie ich.
Mitglied: mjharis
mjharis 08.11.2014 aktualisiert um 17:12:33 Uhr
Goto Top
habe es so probiert, tut sich immer noch nichts :P
Das ist der Teil des logs, der sich periodisch beim rechnet wiederholt.
Ich als Laie würde sagen, dass das Zertifikat ungültig ist, da ich aber aktuell darüber mittels tunnelblick verbunden bin, kann das nicht sein face-sad.

Das auth user pass verfahren? Könntest du mal schauen ob ich da einen Fehler in der Syntax habe?

Oder der RSA Teil funkt dazwischen.


Serverlog Clientlog 19700101 00:11:44 Socket Buffers: R=[163840->131072] S=[163840->131072] 
19700101 00:11:44 I UDPv4 link local: [undef] 
19700101 00:11:44 I UDPv4 link remote: [AF_INET]11.111.1.11:1194 
19700101 00:11:44 TLS: Initial packet from [AF_INET]11.111.1.11:1194 sid=a13775e7 5ca43cc4 
19700101 00:11:44 N VERIFY ERROR: depth=1 error=certificate is not yet valid: C=DE L=Nord O=Universitaet OU=Rechenzentrum / Computing Center CN=blablabla emailAddress=service@.de
19700101 00:11:44 N TLS_ERROR: BIO read tls_read_plaintext error: error:14090086:lib(20):func(144):reason(134) 
19700101 00:11:44 N TLS Error: TLS object -> incoming plaintext read error 
19700101 00:11:44 NOTE: --mute triggered... 
19700101 00:11:44 1 variation(s) on previous 3 message(s) suppressed by --mute 
19700101 00:11:44 I SIGUSR1[soft tls-error] received process restarting 
19700101 00:11:44 Restart pause 2 second(s) 
19700101 00:11:46 W NOTE: the current --script-security setting may allow this configuration to call user-defined scripts 
19700101 00:11:46 W WARNING: normally if you use --mssfix and/or --fragment you should also set --tun-mtu 
1500 (currently it is 1541) 
19700101 00:11:46 Socket Buffers: R=[163840->131072] S=[163840->131072] 
Mitglied: orcape
orcape 08.11.2014 um 17:36:22 Uhr
Goto Top
Sorry, viel mehr wie einen TLS-Fehler kann ich da auch nicht herauslesen.
Da ist sicher noch ein Fehler beim kopieren mit im Spiel, hatte ich bei meinem ersten Tunnel auch so meine Probleme.
13. 19700101 00:11:46 W WARNING: normally if you use --mssfix and/or --fragment you should also set --tun-mtu
14. 1500 (currently it is 1541)
Der mtu-Wert ist normalerweise mit 1500 vom Server vorgegeben, in Deiner Client.conf mit tun-mtu 1558 angegeben, deshalb die o.g. Warnung.