Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Gateprotect und OpenVPN GUI (Windows) Konfigurationsdatei

Frage Netzwerke Router & Routing

Mitglied: tropical

tropical (Level 1) - Jetzt verbinden

12.09.2009, aktualisiert 18.10.2012, 16471 Aufrufe, 3 Kommentare

Einrichtung von der OpenVPN GUI unter Windows in zusammenhang mit GateProtect Firewall V8.1

Hallo,

da ich das Problem selber gelöst habe Poste ich anstatt der Fehlerbeschreibung hier jetzt meine Lösung.

Die Konfigurationsdatei muss wie folgt im config Verzeichniss von OpenVPN GUI angelegt werden:

dev tun 
proto tcp-client 
tls-client 
ifconfig 192.168.254.2 192.168.254.1 
link-mtu 1560 
remote "MeinServer" 1194 
ca ca.pem 
cert host.pem 
key host.key 
cipher AES-128-CBC 
comp-lzo 
verb 3 
route 192.168.120.0 255.255.255.0 
route 192.168.130.0 255.255.255.0 
route-gateway 192.168.254.1
Man kann die Einstellungen auch alle mittels Push-Verfahren von der Firewall bekommen. Ich hatte jedoch das Problem, das er ungültige Einstellungen bekommen hat (Bei ifconfig). Deshalb der manuelle Weg.

Wichtig ist auch in der Konfigurations der Firewall eine feste IP zu Vergeben. Die IP hat die Maske 255.255.255.252. Daraus ergibt sich auch oben genannter ifconfig-Befehl. Dieser muss an die jeweilige Konfigurations angepasst werden.


Unter https://www.gateprotect.com/mygateprotect/content/category/5/21/91/ steht übrigens wie es unter Linux mit dem OpenVPN-Admin eingestellt werden soll.

Viele Grüße,

Tobi
Mitglied: aqui
13.09.2009, aktualisiert 18.10.2012
Entsprechende Tutorials gibt es hier aber auch bei Administrator.de:

http://www.administrator.de/wissen/openvpn-teil-1-installation%2c-konfi ...
und
http://www.administrator.de/wissen/openvpn-teil-2-openvpn-konfiguration ...
Bzw. eins für die Praxis:
http://www.administrator.de/wissen/openvpn-server-installieren-auf-dd-w ...

2 zusätzliche Dinge:

1.) Die o.a. Konfig beinhaltet einen Kardinalsfehler der mit ziemlicher Sicherheit zu Frust und Nichtfunktion führt:
"link-mtu 1560" ist natürlich hahnebüchender Unsinn !
Grund ist das Ethernet Frames per se nur max. 1500 Byte groß sein dürfen. Allein durch diese Tatsache ist dieser Wert von 1560 dann schon Unsinn in sich !
Da ein DSL Anschluss durch den PPPoE Overhead maximal 1492 Byte übertragen kann ist ein höherer Wert hier gefährlich, denn er zwing den Router zu fragmentieren, was die Performance erheblich in die Knie zwingt. Meist ist mit Setzen des "Dont fragment Bit" so oder so ein Fragmentieren verboten und dann steht die VPN Verbindung bei größen Framesizes. Sollen hier noch in per VPN Daten encasuliert werden muss die MTU weiter entsprechend verkleinert werden. z.B. auf 1452 Byte.
Es ist also vollkommen kontraproduktiv diesen Wert auf 1560 zu setzen und zeugt eher von Unkenntnis von MTU Framegrößen und Protokollhandling !!
Besser ist ihn ganz zu löschen und mit den OpenVPN Defaults zu leben. Wenn man ihn aber unbedingt setzen will, sollte er nicht größer als 1452 sein !

2.) Die "Push" Variante ist zur Übertragung externer Routen immer aus Sicherheitgründen vorzuziehen. Warum du dort falsche Einstellungen bekommen hast ist unverständlich und kann sich nur um einen Konfigurations- oder Adressierungsfehler deinerseits handeln wie bei dem MTU Fauxpas oben, denn das funktioniert fehlerlos ! (Siehe DD-WRT Tutorial oben !)
Bitte warten ..
Mitglied: tropical
13.09.2009 um 19:22 Uhr
Hi,

ok das mit der MTU war wirklich dumm. Man lernt es als erstes.

Das Problem mit der Konfiguration ist, dass auf der Firewall kaum Einstellung für das OpenVPN gemacht werden können. Bzw. nur direkt an der Konsole und dort wird sich nicht an die Standards von OpenVPN gehalten. Es gibt dort die Datei /etc/openvpn/c2s_server/openvpn.cfg

# OpenVPN 2.1 configuration generated by gateProtect 
 
verb 1 
float 
keepalive 10 120 
persist-key 
persist-tun 
 
ca /etc/openvpn/ca.pem 
cert /etc/openvpn/host.pem 
key /etc/openvpn/host.key 
askpass /etc/openvpn/passwd 
client-connect /opt/gateprotect/bin/openvpnstat-addentry.sh 
client-disconnect /opt/gateprotect/bin/openvpnstat-delentry.sh 
learn-address /opt/gateprotect/bin/activateRules 
 
ccd-exclusive 
 
daemon OpenVPN-C2S-Server 
cipher AES-128-CBC 
tls-cipher DHE-RSA-AES256-SHA:DHE-DSS-AES256-SHA:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA 
dh /opt/gateprotect/share/openvpn/dh2048.pem 
reneg-sec 3600 
comp-lzo yes 
 
 
proto tcp-server 
management 127.0.0.1 65401 
port 1194 
dev tun0 
status /etc/openvpn/c2s_server/status.log 
client-config-dir /etc/openvpn/c2s_server/clientconfig 
 
topology subnet 
server 192.168.254.0 255.255.255.0 
ifconfig-pool-persist /etc/openvpn/c2s_server/ifconfigpool.txt 
push "comp-lzo yes"
Die bringt einen aber auch nicht wirklich weiter.

Ich habe daraufhin einmal den Client vom Hersteller benutzt. Im LOG ist zu erkennen wie die OpenVPN aufrufen:

Version 2.0.3 Build 407 
Sun Sep 13 18:42:13 2009 openvpn --service vpn_exit_event 0 --client --dev tun --resolv-retry infinite --nobind --persist-key --persist-tun --mute 20 --verb 3 --proto tcp --remote musterfirmabi.dyndns.org 1194 --pkcs12 "C:\Users\user\AppData\Local\Temp\VPNClient.p12" --comp-lzo --route-delay 2 --reneg-sec 0 --cipher AES-128-CBC 
 
Sun Sep 13 18:42:13 2009 OpenVPN 2.1_rc19 i686-pc-mingw32 [SSL] [LZO2] [PKCS11] built on Jul 16 2009 
Sun Sep 13 18:42:13 2009 WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info. 
Sun Sep 13 18:42:13 2009 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables 
Sun Sep 13 18:42:14 2009 WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this 
Sun Sep 13 18:42:14 2009 LZO compression initialized 
Sun Sep 13 18:42:14 2009 Control Channel MTU parms [ L:1560 D:140 EF:40 EB:0 ET:0 EL:0 ] 
Sun Sep 13 18:42:14 2009 Data Channel MTU parms [ L:1560 D:1450 EF:60 EB:135 ET:0 EL:0 AF:3/1 ] 
Sun Sep 13 18:42:14 2009 Local Options hash (VER=V4): 'bc07730e' 
Sun Sep 13 18:42:14 2009 Expected Remote Options hash (VER=V4): 'b695cb4a' 
Sun Sep 13 18:42:14 2009 Attempting to establish TCP connection with aaa.bbb.ccc.ddd:1194 
Sun Sep 13 18:42:14 2009 TCP connection established with aaa.bbb.ccc.ddd:1194 
Sun Sep 13 18:42:14 2009 Socket Buffers: R=[8192->8192] S=[8192->8192] 
Sun Sep 13 18:42:14 2009 TCPv4_CLIENT link local: [undef] 
Sun Sep 13 18:42:14 2009 TCPv4_CLIENT link remote: aaa.bbb.ccc.ddd:1194 
Sun Sep 13 18:42:14 2009 TLS: Initial packet from aaa.bbb.ccc.ddd:1194, sid=08d8bbc7 ab42d6bf 
Sun Sep 13 18:42:15 2009 VERIFY OK: depth=1, /C=DE/ST=N/L=B/O=musterfirma_Wwe/OU=EDV/CN=EDV/emailAddress=admin@musterfirma.de 
Sun Sep 13 18:42:15 2009 VERIFY OK: depth=0, /C=DE/ST=N/L=B/O=musterfirma_Wwe/OU=EDV/CN=Firewall/emailAddress=firewall@musterfirma.de 
Sun Sep 13 18:42:17 2009 Data Channel Encrypt: Cipher 'AES-128-CBC' initialized with 128 bit key 
Sun Sep 13 18:42:17 2009 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication 
Sun Sep 13 18:42:17 2009 Data Channel Decrypt: Cipher 'AES-128-CBC' initialized with 128 bit key 
Sun Sep 13 18:42:17 2009 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication 
Sun Sep 13 18:42:17 2009 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA 
Sun Sep 13 18:42:17 2009 [Firewall] Peer Connection Initiated with aaa.bbb.ccc.ddd:1194 
Sun Sep 13 18:42:18 2009 SENT CONTROL [Firewall]: 'PUSH_REQUEST' (status=1) 
Sun Sep 13 18:42:18 2009 PUSH: Received control message: 'PUSH_REPLY,comp-lzo yes,route-gateway 192.168.254.1,topology subnet,ping 10,ping-restart 120,ifconfig 192.168.254.2 255.255.255.0' 
Sun Sep 13 18:42:18 2009 OPTIONS IMPORT: timers and/or timeouts modified 
Sun Sep 13 18:42:18 2009 OPTIONS IMPORT: LZO parms modified 
Sun Sep 13 18:42:18 2009 OPTIONS IMPORT: --ifconfig/up options modified 
Sun Sep 13 18:42:18 2009 OPTIONS IMPORT: route-related options modified 
Sun Sep 13 18:42:18 2009 TAP-WIN32 device [Local Area Connection 2] opened: \\.\Global\{779408B4-537F-493D-B298-7E5F5E24164F}.tap 
Sun Sep 13 18:42:18 2009 TAP-Win32 Driver Version 9.6  
Sun Sep 13 18:42:18 2009 TAP-Win32 MTU=1500 
Sun Sep 13 18:42:18 2009 Set TAP-Win32 TUN subnet mode network/local/netmask = 192.168.254.0/192.168.254.2/255.255.255.0 [SUCCEEDED] 
Sun Sep 13 18:42:18 2009 Notified TAP-Win32 driver to set a DHCP IP/netmask of 192.168.254.2/255.255.255.0 on interface {779408B4-537F-493D-B298-7E5F5E24164F} [DHCP-serv: 192.168.254.254, lease-time: 31536000] 
Sun Sep 13 18:42:18 2009 Successful ARP Flush on interface [24] {779408B4-537F-493D-B298-7E5F5E24164F} 
Sun Sep 13 18:42:20 2009 TEST ROUTES: 0/0 succeeded len=-1 ret=1 a=0 u/d=up 
Sun Sep 13 18:42:20 2009 Initialization Sequence Completed 
Sun Sep 13 18:42:20 2009 Connection established
Wenn ich jedoch eine Konfigurationsdatei mit o.g. Parametern erstelle funktioniert es natürlich nicht.

Was mache ich falsch?
Bitte warten ..
Mitglied: aqui
14.09.2009, aktualisiert 18.10.2012
Besorg dir einen anständigen DD-WRT Router, installier OpenVPN da drauf und dann hast du auch keine Probleme mehr:

http://www.administrator.de/wissen/openvpn-server-installieren-auf-dd-w ...

Oder nimm gleich eine kostenfreie IPsec fähige Firewall:
http://www.administrator.de/wissen/ipsec-vpn-auf-m0n0wall-oder-pfsense- ...
und setze dazu den freien Gateprotect oder Shrew Client ein:
http://www.gateprotect.com/de/vpn_download.php
http://www.shrew.net/
Dann stellen sich diese Problem auch gar nicht erst...

So bist du immer von der Gnade und dem Wohlwollen eines Herstellers abhängig...nicht immer die beste Lösung !
Bitte warten ..
Neuester Wissensbeitrag
CPU, RAM, Mainboards

Angetestet: PC Engines APU 3a2 im Rack-Gehäuse

Erfahrungsbericht von ashnod zum Thema CPU, RAM, Mainboards ...

Ähnliche Inhalte
Windows 7
gelöst Openvpn und windows 7 prof (5)

Frage von jensgebken zum Thema Windows 7 ...

Netzwerkmanagement
gelöst OpenVPN auf Windows mit AD Userlogin (5)

Frage von H4rdQu0r3 zum Thema Netzwerkmanagement ...

Windows 10
OpenVPN Windows 10 als domain user (4)

Frage von lululala zum Thema Windows 10 ...

Netzwerke
gelöst Ping zu Windows Server funktioniert im OpenVPN netz nicht (5)

Frage von ketanest112 zum Thema Netzwerke ...

Heiß diskutierte Inhalte
Grafikkarten & Monitore
Win 10 Grafikkarte Crash von Software? (13)

Frage von Marabunta zum Thema Grafikkarten & Monitore ...

Windows Server
Mailserver auf Windows Server 2012 (8)

Frage von StefanT81 zum Thema Windows Server ...

DSL, VDSL
DSL-Signal bewerten (8)

Frage von SarekHL zum Thema DSL, VDSL ...

Backup
Clients als Server missbrauchen? (8)

Frage von 1410640014 zum Thema Backup ...