Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Campus Netzwerk OVPN in DDWRT für PS4 bzw Amzn FireTV

Frage Netzwerke Router & Routing

Mitglied: mjharis

mjharis (Level 1) - Jetzt verbinden

06.11.2014, aktualisiert 07.11.2014, 1219 Aufrufe, 15 Kommentare, 1 Danke

Moin,

habe an sich exakt das Problem des Fragestellers dieser Frage:
http://www.administrator.de/frage/ps4-im-wohnheim-vpn-hilfe-vpn-router- ...

Ich möchte, dass mein Router (TP-Link WDR3600 / N600 mit aktuellem DD-WRT) sozusagen das Internet mittels VPN bereitstellt. [Ja ich weiß hölzern, aber Netzwerke sind bömische Dörfer für mich ;)]. Damit ich dann Geräte nutzen kann, die nicht so ohne weiteres einen Openvpn client nutzen können.(PS4/Amazon FireTV/Mobile Geräte...). Habe mir diesen Router extra für DDWRT gekauft, habe ansonsten noch eine Fritz.Box 7390 hier rumliegen.
Die verteilt das Campus lan momentan per Wlan, sodass mein MacBook dann mittels Tunnelblick und der von der Uni bereitgestellten .ovpn dabei ins netz kommt.

Habe schon mittels diverser Tutorials versucht aus der .ovpn datei die entsprechenden Schlüssel rauszukopieren und dann in DD WRT einzusetzen, aber das klappt nicht so wie erwünscht.
Dieses Tutorial http://www.administrator.de/wissen/openvpn-server-installieren-auf-dd-w ...
hilft mir ebenso wenig, da ich nicht blicke wie ich das in DDWRT eintrage sodass es wie beschrieben klappt.


Zusammenfassend, bräuchte ich lediglich eine Stütze wie ich von der .ovpn zu einem funktionierenden Client in DDWRT komme.

Hoffe man wird hieraus schlau...



Habe mal die imo relevanten Stellen der ovpn Datei zusammenkopiert.




01.
script-security 2 
02.
client 
03.
dev tun 
04.
proto udp 
05.
remote 12212222 
06.
remote 11111122 
07.
remote 1111122 
08.
remote 11111111 
09.
remote-random 
10.
link-mtu 1558 
11.
auth-user-pass 
12.
tls-client 
13.
#tls-auth keygedöns_ta.key 1 
14.
tls-remote "C=DE, ST=., L=stadt, O=unigedöns CN=blaba, email" 
15.
ns-cert-type server 
16.
cipher AES-256-CBC 
17.
auth RSA-SHA1 
18.
route-delay 1 30 
19.
persist-key 
20.
persist-tun 
21.
nobind 
22.
comp-lzo 
23.
verb 3 
24.
[...] 
25.
 
26.
Certificate : 
27.
 
28.
    Subject Public Key Info: 
29.
            Public Key Algorithm: rsaEncryption 
30.
            RSA Public Key: (2048 bit) 
31.
                Modulus (2048 bit): 
32.
.... 
33.
 
34.
Key Agreement 
35.
            X509v3 Extended Key Usage: critical 
36.
                TLS Web Client Authentication 
37.
            Netscape Cert Type:  
38.
                SSL Client 
39.
    Signature Algorithm: md5WithRSAEncryption 
40.
 
41.
 
Mitglied: orcape
07.11.2014 um 08:22 Uhr
Hi mjharis,
bevor der ganze Kram hier nochmals "aufgewärmt" wird....
Hast Du mal den Versuch gemacht @Ruinedgames eine PN zu schreiben.
Vielleicht kann er Dir unter "Zockerkollegen" ja mal direkt Hilfestellung geben.
Gruß orcape
Bitte warten ..
Der Kommentar von aqui wurde vom Moderator Frank am 10.11.14 ausgeblendet!
Der Kommentar von mjharis wurde vom Moderator Frank am 10.11.14 ausgeblendet!
Der Kommentar von aqui wurde vom Moderator Frank am 10.11.14 ausgeblendet!
Mitglied: orcape
07.11.2014 um 17:10 Uhr
Also mal ruhig mit die "jungen Pferde"....
Für einen DD-WRT OpenVPN-Client sind eigentlich nur 4 Dinge von Bedeutung, damit das Ganze funktioniert...
root@bengie:/tmp/openvpncl# ls
ca.crt client.crt client.key openvpn.conf
Also im GUI des Clienten die OpenVPN Config eingeben und die beiden Zertifikate und den Schlüssel in die dafür vorgesehene Felder kopieren.
Das ist alles kein Hexenwerk und Dank @Aquis Tutorial schaffen das auch Leute, die zwar Laien sind, aber ein wenig Geduld aufbringen und nicht gleich bei dem ersten Problem die Flinte ins Korn werfen.
Denn auch wenn @aqui das manchmal etwas anders darstellt, ein Grundschüler bringt das nicht in 5 Minuten...
Gruß orcape
Bitte warten ..
Mitglied: aqui
07.11.2014 um 20:10 Uhr
OK...wolln wir mal fair sein. In 20 Minuten schafft er das aber ganz sicher !?
Bitte warten ..
Mitglied: mjharis
07.11.2014, aktualisiert um 21:46 Uhr
Nachtrag DD-WRT Version Firmware: DD-WRT v24-sp2 (03/25/13) std

Danke für deine Antwort.
Habe mal einen Screenshot gemacht wie ich die Teile der Config, aus dem ersten Beitrag in die WebGui von DDWRT eingetragen habe. Stimmt das soweit, oder habe ich manche Zeilen falsch interpretiert?

http://s14.directupload.net/images/141107/f6gdzv3l.png

Auf dem Screenshot nicht enthalten sind die drei anderen Felder für Schlüssel. Die aber ebenfalls eingetragen sind.
Folgende Punkte sind aus der config.ovpn eingetragen:
1. TLS Auth Key:
01.
<tls-auth> 
02.
-----BEGIN OpenVP....
2. CA Cert :
01.
<ca> 
02.
 
03.
-----BEGIN CERTIFIC....
3. Public Client Key:
01.
<cert>... 
02.
-----BEGIN CERTIFICATE-----
4.Private Client Key
01.
<key> 
02.
-----BEGIN RSA PRIVATE KEY-----


Bei Punkt 3 gibt es noch zwei weitere "Keys" die wie folgt aufgebaut sind, welche ich aber bisher nicht verwendet habe, da solche in keinem Tutorial vorkamen welches ich bisher gelesen habe.

01.
Subject Public Key Info: 
02.
            Public Key Algorithm: rsaEncryption 
03.
            RSA Public Key: (2048 bit) 
04.
                Modulus (2048 bit): 
05.
                    2c:62:19:de:af:a7:ae:ef:db:cd:cf:8d:64:54:16:7f:94:ed: 
06.
[...] 
07.
 
08.
Key Agreement 
09.
            X509v3 Extended Key Usage: critical 
10.
                TLS Web Client Authentication 
11.
            Netscape Cert Type:  
12.
                SSL Client 
13.
    Signature Algorithm: md5WithRSAEncryption 
14.
        2c:62:19:de:af:a7:ae:ef:db:cd:cf:8d:64:54:16:7f:94:ed:
Muss ich mit denen etwas machen?


Für das "auth-user-pass" Verfahren habe ich folgendes in der OVPN WEbGui unter Aditional Config:
01.
auth user pass /tmp/login.txt
Gehört in das Additional Config Feld noch etwas rein?


Und unter Administration/Command folgendes als Start up um die benutzerdaten bereitzustellen.
01.
 echo "Nickname" > /temp/login.txt 
02.
echo "passwort" >> /temp/login.txt

Zu :

<root@bengie:/tmp/openvpncl# ls
ca.crt client.crt client.key openvpn.conf>

Im Terminal zeigt er mir an der Ordner existiere nicht, bzw. im root verzeichnis zeigt er mir mit ls nichts an, habe mit der eingetragenen Config mehrmals neugestartet. Denke ich bin falsch connectet...
Siehe hierzu diesen Screenshot:
http://s14.directupload.net/images/141107/zyh3tzrn.png

Abschließend noch eine Frage welche ich gerne klar beantwortet hätte, brauche ich den Server/Deamen von OVPN? Oder kann ich es komplett wie du es angedeutet hast mittels der WebGUI mittels des Client Unterpunktes machen.
Bitte warten ..
Mitglied: orcape
08.11.2014 um 09:47 Uhr
Was Deine Einträge betrifft, scheinst Du da etwas durcheinander zu bringen....
3. Public Client Key:
<cert>... -----BEGIN CERTIFICATE-----
01.
<cert>..
...Du hast ein Zertifikat ins Key-Feld eingetragen.
Nur folgende 4 Felder sind interessant.
- TLS Auth Key
- Öffentliches CA-Zertifikat
- Öffentliches Client-Zertifikat
- Privater Client-Schlüssel
Das "client.conf" Feld kann auch frei bleiben, es sei denn es werden irgendwelche zusätzlichen Einstellungen benötigt, die sich im GUI vorher nicht einstellen lassen.
Im Terminal zeigt er mir an der Ordner existiere nicht, bzw. im root verzeichnis zeigt er mir mit ls nichts an, habe mit der eingetragenen Config mehrmals neugestartet. Denke ich bin falsch connectet...
Dann aktiviere mal den ssh-Server auf dem Router und verbinde dich per ssh.
Der von mir angegebene Pfad ist schon richtig (tmp/openvpncl), ausserdem dürfte erst ein...
cd /
eine Anzeige von ls möglich machen.
Beispiel...
root@winnie:~# cd /
root@winnie:/# ls
bin dev etc jffs lib mmc mnt opt proc sbin sys tmp usr var www
Noch ein Hinweis, die in "/tmp" gespeicherten Daten sind "flüchtig", d.h. bei einem Neustart des Routers wird nur geladen, was im GUI eingegeben oder per Startscript angegeben ist.
Alles was Du per vi auf der Konsole eingibst, ist im "/tmp" Ordner nach einem Router-Reboot wieder weg.
Zu Deiner abschließenden Frage.
Abschließend noch eine Frage welche ich gerne klar beantwortet hätte, brauche ich den Server/Deamen von OVPN?
Der Server steht doch in der UNI, wieso brauchst Du dann einen 2. ?
Also klare Antwort, alle Einträge in den Client, den Daemon deaktiviert lassen.
Gruß orcape
Bitte warten ..
Mitglied: mjharis
08.11.2014, aktualisiert um 14:41 Uhr
Moin, klappen tuts natürlich nicht. Das mit dem Key Feld, war mein Fehler habe es falsch gepostet das Feld 3. in dem das Zertifikat eingetragen ist heißt in der WebGui von DDWRT Public Client Cert.
Auch klappt es mit dem Terminal, nachdem SSH aktiviert wird :/

Habe nochmal einen Screenshot gemacht wie es aktuell eingetragen ist (im ersten Post die entsprechende ausgansconfig).

http://s14.directupload.net/images/141108/5rtzmt4t.png
http://s14.directupload.net/images/141108/h7rwkftu.png



Was mir beim vergleichen der ovpn.conf im Terminal mit der von der Uni Bereitgestellten Config aufgefallen ist, das dort immer noch verschiedene Sachen drin stehen.
Links die von mir über WEbGui erstellte Config, rechts der vergleichswert aus ddwrt:

Uni = dev tun DDWRT = dev tun1

Uni = auth RSA-SHA1 DDWRT = auth sha1

Es stehen halt auch noch weitere Sachen in den Configs die es jeweils nur in einer Datei gibt.

Uni =route-delay 1 30
DDWRT = management 123.0.0.1 11
DDWRT = fast-io
DDWRT = tun-ipv6

RSA ist ja ein vorgeschalteter Verschlüsselungsalgorythmus, wenn ich das bei einer kurzen google recherche richtig verstanden habe. Kann der ovpnclient von ddwrt diese art überhaupt? Bzw wo finde ich die Einstellung.
Des weiteren gibt es in der Uni Config noch einen vorgeschalteten Teil zum Public Client Zertifikat. :

01.
Subject Public Key Info: 
02.
            Public Key Algorithm: rsaEncryption 
03.
            RSA Public Key: (2048 bit) 
04.
                Modulus (2048 bit): 
05.
                    00:ef:9a:49:a5:a0:74:2h:60:ee:c3:4b:b6:6c:eb: 
06.
 
07.
[...] 
08.
 
09.
    Exponent: 65537 (0x10001) 
10.
        X509v3 extensions: 
11.
            X509v3 Key Usage: critical 
12.
                Digital Signature, Non Repudiation, Key Encipherment, Data Encipherment, Key Agreement 
13.
            X509v3 Extended Key Usage: critical 
14.
                TLS Web Client Authentication 
15.
            Netscape Cert Type:  
16.
                SSL Client 
17.
    Signature Algorithm: md5WithRSAEncryption 
18.
        2c:62:19:de:af:a7:ae:ef:db:cd:cf:8d:66:54:16:7f:94:ed: 
19.
[...] 
20.
-----BEGIN CERTIFICATE----- 
21.
MIIFbjCCBFagAwIBAgIJANbS4bFp55m6MA0GCSqGSIb3DQEB
Für mich wäre das ja der Teil für RSA?

Die auth-user-pass Variante wie ich sie eingebaut habe, müsste so doch funktionieren? Die login.txt wird auch bei jedem erbot brav ins tmp Verzeichnis geschrieben.

Gruß
Bitte warten ..
Mitglied: orcape
08.11.2014 um 14:58 Uhr
Uni = dev tun DDWRT = dev tun1
DD-WRT registriert das nur als dev/tun1, hat nichts zu sagen und sollte trotzdem funktionieren.
Poste mal die Ausgabe von..
root@DD-WRT:~# openvpn /tmp/openvpncl/openvpn.conf
..und von..
route
Ob das mit dem Verschlüsselungsalgorythmus so OK ist, sollte sich wenn möglich @aqui noch mal dazu äußern.
Gruß orcape
Bitte warten ..
Mitglied: mjharis
08.11.2014 um 15:12 Uhr
Ok, wenn ich das erste Kommando eingebe, passiert nichts.
Falls dich der Inhalt der openvpn.conf interessiert, dass wäre dieser hier.
01.
ca /tmp/openvpncl/ca.crt 
02.
cert /tmp/openvpncl/client.crt 
03.
key /tmp/openvpncl/client.key 
04.
management 127.0.0.1 16 
05.
management-log-cache 100 
06.
verb 3 
07.
mute 3 
08.
syslog 
09.
writepid /var/run/openvpncl.pid 
10.
client 
11.
resolv-retry infinite 
12.
nobind 
13.
persist-key 
14.
persist-tun 
15.
script-security 2 
16.
dev tun1 
17.
proto udp 
18.
cipher aes-256-cbc 
19.
auth sha1 
20.
remote 111.11.11.11  1194   # ip verfälscht :P 
21.
comp-lzo no 
22.
tls-client 
23.
tun-mtu 1558 
24.
mtu-disc yes 
25.
ns-cert-type server 
26.
fast-io 
27.
tun-ipv6 
28.
tls-auth /tmp/openvpncl/ta.key 1 
29.
auth-user-pass /tmp/login.txt
route :

01.
Kernel IP routing table 
02.
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface 
03.
default         10.238.1.1      0.0.0.0                 UG    0      0        0 vlan2 
04.
10.238.0.0      *               255.255.0.0              U     0       0        0 vlan2 
05.
127.0.0.0       *                   255.0.0.0               U     0      0        0 lo 
06.
169.254.0.0     *               255.255.0.0             U     0      0        0 br0 
07.
192.168.1.0     *               255.255.255.0         U     0      0        0 br0
Bitte warten ..
Mitglied: orcape
08.11.2014 um 15:26 Uhr
Ok, wenn ich das erste Kommando eingebe, passiert nichts.
Damit baut sich normalerweise der Tunnel auf, was er laut Routingtabelle auch nicht getan hat.
Hast du vielleicht noch eine Firewall, die Port 1194 blockt?
Bitte warten ..
Mitglied: mjharis
08.11.2014 um 15:54 Uhr
Der DDWRT Router hängt ja direkt am Campus netz. Habe im DDWRT Router die Firewall mal deaktiviert und da hat sich auch nix getan. Wüsste nicht welche Firewall dazwischen funken sollte, auf welche ich direkten Einfluss haben kann.

Er gibt mir bei Status/OPenvpn folgendes als Meldung aus:

State
Server: : Local Address: Remote Address: Client: RECONNECTING: tls-error Local Address: Remote Address:
Bitte warten ..
Mitglied: orcape
08.11.2014 um 16:04 Uhr
tls-error
..nun weißt Du doch schon woran es liegt.
z.B. Fehler beim kopieren des TLS-Keys.
Da hast Du wohl etwas verkehrt eingetragen.
Bitte warten ..
Mitglied: mjharis
08.11.2014, aktualisiert um 16:36 Uhr
Den Teil habe ich bei TLS Auth Key eingetragen:


01.
<tls-auth> 
02.
03.
# 2048 bit OpenVPN static key 
04.
05.
//von hier 
06.
-----BEGIN OpenVPN Static key V1----- 
07.
[...] 
08.
-----END OpenVPN Static key V1----- 
09.
//bis hier 
10.
</tls-auth>
Kann es damit zusammen hängen, dass das auth user pass verfahren nicht korrekt arbeitet und somit ein tls error erzeugt wird?
Bitte warten ..
Mitglied: orcape
08.11.2014, aktualisiert um 16:44 Uhr
Du musst den kompletten Key übertragen...
#
  1. 2048 bit OpenVPN static key
..das gehört dazu.
Sorry, irgendwie wollen die # Zeichen nicht so wie ich.
Bitte warten ..
Mitglied: mjharis
08.11.2014, aktualisiert um 17:12 Uhr
habe es so probiert, tut sich immer noch nichts :P
Das ist der Teil des logs, der sich periodisch beim rechnet wiederholt.
Ich als Laie würde sagen, dass das Zertifikat ungültig ist, da ich aber aktuell darüber mittels tunnelblick verbunden bin, kann das nicht sein .

Das auth user pass verfahren? Könntest du mal schauen ob ich da einen Fehler in der Syntax habe?

Oder der RSA Teil funkt dazwischen.



01.
Serverlog Clientlog 19700101 00:11:44 Socket Buffers: R=[163840->131072] S=[163840->131072]  
02.
19700101 00:11:44 I UDPv4 link local: [undef]  
03.
19700101 00:11:44 I UDPv4 link remote: [AF_INET]11.111.1.11:1194  
04.
19700101 00:11:44 TLS: Initial packet from [AF_INET]11.111.1.11:1194 sid=a13775e7 5ca43cc4  
05.
19700101 00:11:44 N VERIFY ERROR: depth=1 error=certificate is not yet valid: C=DE L=Nord O=Universitaet OU=Rechenzentrum / Computing Center CN=blablabla emailAddress=service@.de 
06.
19700101 00:11:44 N TLS_ERROR: BIO read tls_read_plaintext error: error:14090086:lib(20):func(144):reason(134)  
07.
19700101 00:11:44 N TLS Error: TLS object -> incoming plaintext read error  
08.
19700101 00:11:44 NOTE: --mute triggered...  
09.
19700101 00:11:44 1 variation(s) on previous 3 message(s) suppressed by --mute  
10.
19700101 00:11:44 I SIGUSR1[soft tls-error] received process restarting  
11.
19700101 00:11:44 Restart pause 2 second(s)  
12.
19700101 00:11:46 W NOTE: the current --script-security setting may allow this configuration to call user-defined scripts  
13.
19700101 00:11:46 W WARNING: normally if you use --mssfix and/or --fragment you should also set --tun-mtu  
14.
1500 (currently it is 1541)  
15.
19700101 00:11:46 Socket Buffers: R=[163840->131072] S=[163840->131072] 
Bitte warten ..
Mitglied: orcape
08.11.2014 um 17:36 Uhr
Sorry, viel mehr wie einen TLS-Fehler kann ich da auch nicht herauslesen.
Da ist sicher noch ein Fehler beim kopieren mit im Spiel, hatte ich bei meinem ersten Tunnel auch so meine Probleme.
13. 19700101 00:11:46 W WARNING: normally if you use --mssfix and/or --fragment you should also set --tun-mtu
14. 1500 (currently it is 1541)
Der mtu-Wert ist normalerweise mit 1500 vom Server vorgegeben, in Deiner Client.conf mit tun-mtu 1558 angegeben, deshalb die o.g. Warnung.
Bitte warten ..
Neuester Wissensbeitrag
Microsoft

Lizenzwiederverkauf und seine Tücken

(5)

Erfahrungsbericht von DerWoWusste zum Thema Microsoft ...

Ähnliche Inhalte
LAN, WAN, Wireless
Neuplanung Netzwerk mit VLAN, VOIP, Gästenetz (2)

Frage von GKKKAT zum Thema LAN, WAN, Wireless ...

Windows Netzwerk
Windows Server 2003 SBS Netzwerk durch neuen Server Ersetzen (9)

Frage von MultiStorm zum Thema Windows Netzwerk ...

Windows Netzwerk
USB-Gerät ins Netzwerk (Domäne) einbinden (4)

Frage von griss0r zum Thema Windows Netzwerk ...

Monitoring
Netzwerk-Qualität Monitoring Toolempfehlung (9)

Frage von michmeie zum Thema Monitoring ...

Heiß diskutierte Inhalte
Windows Server
Outlook Verbindungsversuch mit Exchange (15)

Frage von xbast1x zum Thema Windows Server ...

Microsoft Office
Keine Updates für Office 2016 (13)

Frage von Motte990 zum Thema Microsoft Office ...

Grafikkarten & Monitore
Tonprobleme bei Fernseher mit angeschlossenem Laptop über HDMI (11)

Frage von Y3shix zum Thema Grafikkarten & Monitore ...