tropical
Sep 12, 2009, updated at Oct 18, 2012 (UTC)
view22565
view3
1
Goto Top

Gateprotect und OpenVPN GUI (Windows) Konfigurationsdatei

GermansolvedQuestionRouters, RoutingNetworks

Einrichtung von der OpenVPN GUI unter Windows in zusammenhang mit GateProtect Firewall V8.1

Hallo,

da ich das Problem selber gelöst habe Poste ich anstatt der Fehlerbeschreibung hier jetzt meine Lösung.

Die Konfigurationsdatei muss wie folgt im config Verzeichniss von OpenVPN GUI angelegt werden:

dev tun
proto tcp-client
tls-client
ifconfig 192.168.254.2 192.168.254.1
link-mtu 1560
remote "MeinServer" 1194
ca ca.pem
cert host.pem
key host.key
cipher AES-128-CBC
comp-lzo
verb 3
route 192.168.120.0 255.255.255.0
route 192.168.130.0 255.255.255.0
route-gateway 192.168.254.1

Man kann die Einstellungen auch alle mittels Push-Verfahren von der Firewall bekommen. Ich hatte jedoch das Problem, das er ungültige Einstellungen bekommen hat (Bei ifconfig). Deshalb der manuelle Weg.

Wichtig ist auch in der Konfigurations der Firewall eine feste IP zu Vergeben. Die IP hat die Maske 255.255.255.252. Daraus ergibt sich auch oben genannter ifconfig-Befehl. Dieser muss an die jeweilige Konfigurations angepasst werden.


Unter https://www.gateprotect.com/mygateprotect/content/category/5/21/91/ steht übrigens wie es unter Linux mit dem OpenVPN-Admin eingestellt werden soll.

Viele Grüße,

Tobi
comment-contentCommentShareShare
Share on Facebook Share on Twitter Share on Reddit Share on Linkedin

Content-Key: 124773

Url: https://administrator.de/contentid/124773

Printed on: April 24, 2024 at 23:04 o'clock

3 Comments
Latest comment
Goto Top
Member: aqui
aqui Sep 13, 2009, updated at Oct 18, 2012 at 16:39:19 (UTC)
Goto Top
Entsprechende Tutorials gibt es hier aber auch bei Administrator.de:

OpenVPN - Teil 1 - Installation, Konfiguration und erstellung der Zertifikate
und
OpenVPN - Teil 2 - OpenVPN Konfiguration
Bzw. eins für die Praxis:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router

2 zusätzliche Dinge:

1.) Die o.a. Konfig beinhaltet einen Kardinalsfehler der mit ziemlicher Sicherheit zu Frust und Nichtfunktion führt:
"link-mtu 1560" ist natürlich hahnebüchender Unsinn !
Grund ist das Ethernet Frames per se nur max. 1500 Byte groß sein dürfen. Allein durch diese Tatsache ist dieser Wert von 1560 dann schon Unsinn in sich !
Da ein DSL Anschluss durch den PPPoE Overhead maximal 1492 Byte übertragen kann ist ein höherer Wert hier gefährlich, denn er zwing den Router zu fragmentieren, was die Performance erheblich in die Knie zwingt. Meist ist mit Setzen des "Dont fragment Bit" so oder so ein Fragmentieren verboten und dann steht die VPN Verbindung bei größen Framesizes. Sollen hier noch in per VPN Daten encasuliert werden muss die MTU weiter entsprechend verkleinert werden. z.B. auf 1452 Byte.
Es ist also vollkommen kontraproduktiv diesen Wert auf 1560 zu setzen und zeugt eher von Unkenntnis von MTU Framegrößen und Protokollhandling !!
Besser ist ihn ganz zu löschen und mit den OpenVPN Defaults zu leben. Wenn man ihn aber unbedingt setzen will, sollte er nicht größer als 1452 sein !

2.) Die "Push" Variante ist zur Übertragung externer Routen immer aus Sicherheitgründen vorzuziehen. Warum du dort falsche Einstellungen bekommen hast ist unverständlich und kann sich nur um einen Konfigurations- oder Adressierungsfehler deinerseits handeln wie bei dem MTU Fauxpas oben, denn das funktioniert fehlerlos ! (Siehe DD-WRT Tutorial oben !)
Member: tropical
tropical Sep 13, 2009 at 17:22:31 (UTC)
Goto Top
Hi,

ok das mit der MTU war wirklich dumm. Man lernt es als erstes.

Das Problem mit der Konfiguration ist, dass auf der Firewall kaum Einstellung für das OpenVPN gemacht werden können. Bzw. nur direkt an der Konsole und dort wird sich nicht an die Standards von OpenVPN gehalten. Es gibt dort die Datei /etc/openvpn/c2s_server/openvpn.cfg

# OpenVPN 2.1 configuration generated by gateProtect

verb 1
float
keepalive 10 120
persist-key
persist-tun

ca /etc/openvpn/ca.pem
cert /etc/openvpn/host.pem
key /etc/openvpn/host.key
askpass /etc/openvpn/passwd
client-connect /opt/gateprotect/bin/openvpnstat-addentry.sh
client-disconnect /opt/gateprotect/bin/openvpnstat-delentry.sh
learn-address /opt/gateprotect/bin/activateRules

ccd-exclusive

daemon OpenVPN-C2S-Server
cipher AES-128-CBC
tls-cipher DHE-RSA-AES256-SHA:DHE-DSS-AES256-SHA:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA
dh /opt/gateprotect/share/openvpn/dh2048.pem
reneg-sec 3600
comp-lzo yes


proto tcp-server
management 127.0.0.1 65401
port 1194
dev tun0
status /etc/openvpn/c2s_server/status.log
client-config-dir /etc/openvpn/c2s_server/clientconfig

topology subnet
server 192.168.254.0 255.255.255.0
ifconfig-pool-persist /etc/openvpn/c2s_server/ifconfigpool.txt
push "comp-lzo yes"

Die bringt einen aber auch nicht wirklich weiter.

Ich habe daraufhin einmal den Client vom Hersteller benutzt. Im LOG ist zu erkennen wie die OpenVPN aufrufen:

Version 2.0.3 Build 407
Sun Sep 13 18:42:13 2009 openvpn --service vpn_exit_event 0 --client --dev tun --resolv-retry infinite --nobind --persist-key --persist-tun --mute 20 --verb 3 --proto tcp --remote musterfirmabi.dyndns.org 1194 --pkcs12 "C:\Users\user\AppData\Local\Temp\VPNClient.p12" --comp-lzo --route-delay 2 --reneg-sec 0 --cipher AES-128-CBC

Sun Sep 13 18:42:13 2009 OpenVPN 2.1_rc19 i686-pc-mingw32 [SSL] [LZO2] [PKCS11] built on Jul 16 2009
Sun Sep 13 18:42:13 2009 WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
Sun Sep 13 18:42:13 2009 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Sun Sep 13 18:42:14 2009 WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
Sun Sep 13 18:42:14 2009 LZO compression initialized
Sun Sep 13 18:42:14 2009 Control Channel MTU parms [ L:1560 D:140 EF:40 EB:0 ET:0 EL:0 ]
Sun Sep 13 18:42:14 2009 Data Channel MTU parms [ L:1560 D:1450 EF:60 EB:135 ET:0 EL:0 AF:3/1 ]
Sun Sep 13 18:42:14 2009 Local Options hash (VER=V4): 'bc07730e'
Sun Sep 13 18:42:14 2009 Expected Remote Options hash (VER=V4): 'b695cb4a'
Sun Sep 13 18:42:14 2009 Attempting to establish TCP connection with aaa.bbb.ccc.ddd:1194
Sun Sep 13 18:42:14 2009 TCP connection established with aaa.bbb.ccc.ddd:1194
Sun Sep 13 18:42:14 2009 Socket Buffers: R=[8192->8192] S=[8192->8192]
Sun Sep 13 18:42:14 2009 TCPv4_CLIENT link local: [undef]
Sun Sep 13 18:42:14 2009 TCPv4_CLIENT link remote: aaa.bbb.ccc.ddd:1194
Sun Sep 13 18:42:14 2009 TLS: Initial packet from aaa.bbb.ccc.ddd:1194, sid=08d8bbc7 ab42d6bf
Sun Sep 13 18:42:15 2009 VERIFY OK: depth=1, /C=DE/ST=N/L=B/O=musterfirma_Wwe/OU=EDV/CN=EDV/emailAddress=admin@musterfirma.de
Sun Sep 13 18:42:15 2009 VERIFY OK: depth=0, /C=DE/ST=N/L=B/O=musterfirma_Wwe/OU=EDV/CN=Firewall/emailAddress=firewall@musterfirma.de
Sun Sep 13 18:42:17 2009 Data Channel Encrypt: Cipher 'AES-128-CBC' initialized with 128 bit key
Sun Sep 13 18:42:17 2009 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Sun Sep 13 18:42:17 2009 Data Channel Decrypt: Cipher 'AES-128-CBC' initialized with 128 bit key
Sun Sep 13 18:42:17 2009 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Sun Sep 13 18:42:17 2009 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
Sun Sep 13 18:42:17 2009 [Firewall] Peer Connection Initiated with aaa.bbb.ccc.ddd:1194
Sun Sep 13 18:42:18 2009 SENT CONTROL [Firewall]: 'PUSH_REQUEST' (status=1)
Sun Sep 13 18:42:18 2009 PUSH: Received control message: 'PUSH_REPLY,comp-lzo yes,route-gateway 192.168.254.1,topology subnet,ping 10,ping-restart 120,ifconfig 192.168.254.2 255.255.255.0'
Sun Sep 13 18:42:18 2009 OPTIONS IMPORT: timers and/or timeouts modified
Sun Sep 13 18:42:18 2009 OPTIONS IMPORT: LZO parms modified
Sun Sep 13 18:42:18 2009 OPTIONS IMPORT: --ifconfig/up options modified
Sun Sep 13 18:42:18 2009 OPTIONS IMPORT: route-related options modified
Sun Sep 13 18:42:18 2009 TAP-WIN32 device [Local Area Connection 2] opened: \\.\Global\{779408B4-537F-493D-B298-7E5F5E24164F}.tap
Sun Sep 13 18:42:18 2009 TAP-Win32 Driver Version 9.6 
Sun Sep 13 18:42:18 2009 TAP-Win32 MTU=1500
Sun Sep 13 18:42:18 2009 Set TAP-Win32 TUN subnet mode network/local/netmask = 192.168.254.0/192.168.254.2/255.255.255.0 [SUCCEEDED]
Sun Sep 13 18:42:18 2009 Notified TAP-Win32 driver to set a DHCP IP/netmask of 192.168.254.2/255.255.255.0 on interface {779408B4-537F-493D-B298-7E5F5E24164F} [DHCP-serv: 192.168.254.254, lease-time: 31536000]
Sun Sep 13 18:42:18 2009 Successful ARP Flush on interface [24] {779408B4-537F-493D-B298-7E5F5E24164F}
Sun Sep 13 18:42:20 2009 TEST ROUTES: 0/0 succeeded len=-1 ret=1 a=0 u/d=up
Sun Sep 13 18:42:20 2009 Initialization Sequence Completed
Sun Sep 13 18:42:20 2009 Connection established

Wenn ich jedoch eine Konfigurationsdatei mit o.g. Parametern erstelle funktioniert es natürlich nicht.

Was mache ich falsch?
Member: aqui
aqui Sep 14, 2009, updated at Oct 18, 2012 at 16:39:20 (UTC)
Goto Top
Besorg dir einen anständigen DD-WRT Router, installier OpenVPN da drauf und dann hast du auch keine Probleme mehr:

OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router

Oder nimm gleich eine kostenfreie IPsec fähige Firewall:
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
und setze dazu den freien Gateprotect oder Shrew Client ein:
http://www.gateprotect.com/de/vpn_download.php
http://www.shrew.net/
Dann stellen sich diese Problem auch gar nicht erst...

So bist du immer von der Gnade und dem Wohlwollen eines Herstellers abhängig...nicht immer die beste Lösung !
GermansolvedQuestionRouters, RoutingNetworks
Hotly discussed
gleixnerdCheck of ZFW Firewallgleixnerd - 5 CommentsjstrickerWireguard VPN on UDM Pro behind Fritzbox - Handshake did not completejstricker - 3 Comments