Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
Kommentar vom Moderator Dani am 29.12.2014 um 15:30:59 Uhr
Formatierung hinzugefügt.
GELÖST

OPEN VPN vergibt immer nur eine IP

Frage Microsoft Windows Netzwerk

Mitglied: huber-andreas

huber-andreas (Level 1) - Jetzt verbinden

29.12.2014, aktualisiert 30.12.2014, 1253 Aufrufe, 13 Kommentare

Hallo zusammen,

WIr haben uns vor kurzem über OPENVPN drüber gestürzt.
So weit läuft alles wie wir uns das vorgestellt haben. Anforderung hatten wir nur für einen Client, wo sich verschieder Benutzer anmelden.
Glöst haben wir das mit dem Befehl auth-user-pass-verify und dem TXT-File, wo Username und Passwort hinterlegt sind.

Jetzt benötigen wir einen 2. Client, der sich per VPN verbinden soll. Wir verwenden das gleiche Zertifikat wie bei Client1.
Jetzt ist es aber so, das jeder die IP 10.8.0.6 bekommt wenn er sich verbindet, also kappt er beim anderen Cient die Verbindung.

Kann ich das so konfigurieren, das ein gewisser User eine gewisse IP bekommt?

Hier wäre unsere server.ovpn:
01.
port 1194 
02.
proto udp 
03.
dev tun 
04.
;dev-node MyTap 
05.
ca ca.crt 
06.
cert SERVER.crt 
07.
key SERVER.key  # This file should be kept secret 
08.
 
09.
dh dh1024.pem 
10.
 
11.
;topology subnet 
12.
 
13.
server 10.8.0.0 255.255.255.0 
14.
 
15.
ifconfig-pool-persist ipp.txt 
16.
 
17.
;server-bridge 10.8.0.4 255.255.255.0 10.8.0.50 10.8.0.100 
18.
 
19.
;server-bridge 
20.
 
21.
;push "route 192.168.10.0 255.255.255.0" 
22.
;push "route 192.168.20.0 255.255.255.0" 
23.
 
24.
;client-config-dir ccd 
25.
;route 192.168.40.128 255.255.255.248 
26.
 
27.
;client-config-dir ccd 
28.
;route 10.9.0.0 255.255.255.252 
29.
 
30.
 
31.
;learn-address ./script 
32.
 
33.
;push "redirect-gateway def1 bypass-dhcp" 
34.
;push "dhcp-option DNS 213.33.99.70" 
35.
;push "dhcp-option DNS 208.67.220.220" 
36.
 
37.
;client-to-client 
38.
 
39.
;duplicate-cn 
40.
 
41.
keepalive 2 1200 
42.
;tls-auth ta.key 0 # This file is secret 
43.
 
44.
;cipher BF-CBC        # Blowfish (default) 
45.
;cipher AES-128-CBC   # AES 
46.
;cipher DES-EDE3-CBC  # Triple-DES 
47.
 
48.
comp-lzo 
49.
 
50.
;max-clients 100 
51.
 
52.
;user nobody 
53.
;group nobody 
54.
 
55.
persist-key 
56.
persist-tun 
57.
 
58.
status openvpn-status.log 
59.
 
60.
;log         openvpn.log 
61.
;log-append  openvpn.log 
62.
 
63.
verb 3 
64.
 
65.
;mute 20 
66.
 
67.
script-security 3 system 
68.
auth-user-pass-verify C:\\Programme\\OpenVPN\\config\\auth.bat via-env
Vieleicht kann mir jemand helfen und mir im alten Jahr noch zu ein - zwei Tage Urlaub verhelfen.

Mitglied: colinardo
LÖSUNG 29.12.2014, aktualisiert 30.12.2014
Hallo huber-andreas,
für dieses Szenario (mehrere User benutzen ein und das selbe Zertifikat mit dem selben common name) füge folgende Zeile zu den Server Optionen hinzu (in deinem Script von oben einfach in Zeile 39 das Kommentar entfernen):
duplicate-cn
Wenn ein Client sich mehrmals mit demselben Common Name anmeldet wird eine vorhandene Verbindung getrennt. Durch die Verwendung von der Server-Option duplicate-cn kann dies verhindert werden.

p.s. ein neuer User mit anderem Zertifikat wäre aber zu bevorzugen.

Grüße Uwe
Bitte warten ..
Mitglied: aqui
29.12.2014, aktualisiert um 16:41 Uhr
Ansonsten findest du hier alles was fürs Setup wichtig ist:
http://www.administrator.de/wissen/openvpn-server-installieren-auf-dd-w ...

Wie man dem Client statische IPs mitgibt kannst du hier nachlesen:
https://community.openvpn.net/openvpn/wiki/Concepts-Addressing
oder hier nochmal in Deutsch:
https://thomas-leister.de/internet/openvpn-statische-ips-clients-vergebe ...
Bitte warten ..
Mitglied: huber-andreas
29.12.2014 um 16:40 Uhr
Hallo Uwe,

Danke für die Info, genau das wars. Jetzt bekommt der 2. Client eine andere IP.
Wo liegt der Vorteil wenn ich für einen neuen User ein neues Zertifikat erstelle?

Das wäre bei mehreren Usern ein ziemlicher Aufwand.
Was ist, wenn man einen Mitarbeiter auf den privaten PC den Zugang einrichtet, und der dann das Unternehmen verlässt.
Da hat man ja keinen Zugriff mehr auf den Client PC.

Setze es aber trotzdem mal auf gelöst. Danke dir. Jetzt habe ich Urlaub
Bitte warten ..
Mitglied: colinardo
29.12.2014, aktualisiert um 18:27 Uhr
Wo liegt der Vorteil wenn ich für einen neuen User ein neues Zertifikat erstelle?
Wenn einer deiner Clients mal abhanden kommt oder gestohlen wird, musst du bei individuellen Zertifikaten nicht gleich alle Clients die das selbe Zertifikat verwenden, erneuern

Das wäre bei mehreren Usern ein ziemlicher Aufwand.
Wieso ? Ist doch schnell erledigt ...lässt sich ja alles scripten.

Grüße Uwe
Bitte warten ..
Mitglied: aqui
29.12.2014 um 16:43 Uhr
Jeder kann das Zertifikat fröhlich kopieren. Das ist so wenn du jedem beliebigen das Passwort verrätst. Eigentlich ist sowas ein NoGo für eine VPN Verbindung wenn man die sicher gestalten will.
Außerdem hat es den Nachteil das sollte das Zertifikat einmal kompromitiert sein oder kündigt der Kollege z.B. du es für ALLE austauschen musst. Pro User dann eben nur für den einen User ungültig machen.
Kommt man eigentlich auch von selber drauf...
Bitte warten ..
Mitglied: huber-andreas
30.12.2014 um 07:48 Uhr
Ist mir klar, dafür habe ich ja die User und Passwort abfrage:

auth-user-pass-verify C:\\Programme\\OpenVPN\\config\\auth.bat via-env


Kann man doch gleich stellen oder?
Bitte warten ..
Mitglied: aqui
30.12.2014 um 10:35 Uhr
Kann aber sollte man aus Sicherheitsgründen niemals machen ! Das dann ein VPN in Sekundenschnelle kompromitiert werden kann leigt auf der Hand.
Die Frage ist WAS du schützen willst mit dem VPN. Wenn das die Kinderbilder für Oma Grete sind sicher kein Thema. Ist das ein Firmennetz ein absolutes NoGo !
Deine eigene Sicherheitspolicy sollte den Sicherheitsanspruch definieren !
Bitte warten ..
Mitglied: huber-andreas
31.12.2014 um 05:31 Uhr
Danke euch beiden und Guten Rutsch in neue Jahr 2015.

LG Andreas
Bitte warten ..
Mitglied: huber-andreas
06.02.2015 um 13:55 Uhr
Hallo Uwe,

jetzt muß ich dich nochmals kontaktieren.

Ich habe mir die Version openvpn-install-2.3.6-I601-x86_64.exe installiert.
jetzt schaut es aus, als würde das starten eines Batchfiles verhindert.

Beim Server habe ich folgendes im config:

script-security 3 system
auth-user-pass-verify C:\\Programme\\OpenVPN\\config\\auth.bat via-env


Im Serverlog bekomme ich folgende Fehlermeldung:
WARNING: Failed running command (--auth-user-pass-verify): returned error code 1

greift bei dieser Version das "script-security 3 system" nicht mehr?

Danke schon mal für deine Mühe.
Bitte warten ..
Mitglied: colinardo
06.02.2015, aktualisiert um 18:09 Uhr
Hallo Andreas,
Zitat von huber-andreas:
greift bei dieser Version das "script-security 3 system" nicht mehr?
einmal kurz in die Doku zur Version 2.3 geschaut, und folgendes gelesen ...
OpenVPN releases before v2.3 also supported a method flag which indicated how OpenVPN should call external commands and scripts. This could be either execve or system. As of OpenVPN v2.3, this flag is no longer accepted. In most *nix environments the execve() approach has been used without any issues. 
 
To run scripts in Windows in earlier OpenVPN versions you needed to either add a full path to the script interpreter which can parse the script or use the system flag to run these scripts. As of OpenVPN v2.3 it is now a strict requirement to have full path to the script interpreter when running non-executables files. This is not needed for executable files, such as .exe, .com, .bat or .cmd files. For example, if you have a Visual Basic script, you must use this syntax now: 
 
--up 'C:\\Windows\\System32\\wscript.exe C:\\Program\ Files\\OpenVPN\\config\\my-up-script.vbs' 
 
Please note the single quote marks and the escaping of the backslashes (\) and the space character. 
 
The reason the support for the system flag was removed is due to the security implications with shell expansions when executing scripts via the system() call. 
Und den OpenVPN-Dienst natürlich mit elevated Rights starten lassen, das sollte klar sein.

Grüße Uwe
Bitte warten ..
Mitglied: huber-andreas
07.02.2015 um 07:34 Uhr
Guten Morgen Uwe,

Das habe ich auch noch gefunden gestern, aber ich bring es einfach nicht zum laufen.

Der VPN Tunnerl funktioniert wenn ich auth-user-pass-verify auskomentiere.

Das Serverconfigfile habe jetzt mit mehreren Varianten probiert, zB:

auth-user-pass-verify 'c:\\Windows\\System32\\cmd.exe C:\\Program\ Files\\OpenVPN\\config\\auth.bat' via-env

auth-user-pass-verify 'c:\\Windows\\System32\\cmd.exe C:\\Program Files\\OpenVPN\\config\\auth.bat' via-env
auth-user-pass-verify 'c:\\Windows\\System32\\cmd.exe "C:\\Program Files\\OpenVPN\\config\\auth.bat"' via-env
auth-user-pass-verify 'c:\\Windows\\System32\\cmd.exe %ProgramFiles%\\OpenVPN\\config\\auth.bat' via-env



Im Logfile steht beim SErver in der letzten Zeile:
Sat Feb 07 07:26:37 2015 91.118.128.101:53748 env_block: add PATH=C:\Windows\System32;C:\WINDOWS;C:\WINDOWS\System32\Wbem


Ich bin schon etwas konfigrationsblind und sehe vor lauter Bäume den Wald nicht mehr.
Wo habe ich den Fehler?

Danke Dir
Bitte warten ..
Mitglied: colinardo
07.02.2015, aktualisiert um 09:25 Uhr
Noch ein Grund es jetzt anzugehen und es mit personifizierten Zertifikaten abzufackeln und eine gescheite Linux-Kiste hinzustellen. Ein OpenVPN-Server unter Windows ist ein Graus ...
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Ubuntu
Open VPN auf Raspberry PI 2 (4)

Frage von Hector-User zum Thema Ubuntu ...

Router & Routing
OpenWRT als Open VPN Server im Heimnetz verwenden? (36)

Frage von Mr.Heisenberg zum Thema Router & Routing ...

Netzwerkmanagement
DHCP vergibt PROXY-IP?! (18)

Frage von Fiasko zum Thema Netzwerkmanagement ...

Netzwerke
Open VPN Server am LINKSYS LRT214 korrekt einrichten (1)

Frage von Thomas866 zum Thema Netzwerke ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (20)

Frage von Xaero1982 zum Thema Microsoft ...

Outlook & Mail
gelöst Outlook 2010 findet ost datei nicht (19)

Frage von Floh21 zum Thema Outlook & Mail ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Festplatten, SSD, Raid
M.2 SSD wird nicht erkannt (14)

Frage von uridium69 zum Thema Festplatten, SSD, Raid ...