It is currently 26.07.2017 06:42


All times are UTC




Post new topic Reply to topic  [ 30 posts ]  Go to page Previous  1, 2
Author Message
 Post subject:
PostPosted: 05.06.2008 21:09 
openvpn.eu Admin
openvpn.eu Admin
User avatar

Joined: 23.01.2006 08:05
Posts: 3321
Location: near Vienna
Hab das Thema mal hierhin verschoben, da es etwas weggleitet von OpenVPN bzw OpenVPN nicht das primäre Topic ist.

_________________
regards,
note
Please take a look at our rules. Besucht mal unsere Wiki !


Top
Offline Profile  
Reply with quote  
 Post subject:
PostPosted: 06.06.2008 10:36 
AES 192 bit
AES 192 bit

Joined: 29.05.2008 20:00
Posts: 121
ok, danke!

Ich dachte SSL VPNs kommen immer ohne Client Software aus (clientless)
Bei OpenVPN muss aber auf den Clients ein Programm installiert werden?
Leitet das dann für alle Anwendungen über den Tunnel an den anderen Endpunkt?


Top
Offline Profile  
Reply with quote  
 Post subject:
PostPosted: 06.06.2008 11:17 
openvpn.eu Admin
openvpn.eu Admin
User avatar

Joined: 23.01.2006 08:05
Posts: 3321
Location: near Vienna
Keine echten VPNs kommen ohne Driver/Software aus, daher ist ein Einsatz auf non-standard Betriebssystemen oft schwer. Ein Javaapplet im Browser ist kein VPN.

Ja OpenVPN kann den Traffic durch den Tunnel leiten.

_________________
regards,
note
Please take a look at our rules. Besucht mal unsere Wiki !


Top
Offline Profile  
Reply with quote  
 Post subject:
PostPosted: 06.06.2008 12:16 
AES 192 bit
AES 192 bit

Joined: 18.04.2008 16:55
Posts: 134
Hallo,

vpnblubb wrote:
Ich dachte SSL VPNs kommen immer ohne Client Software aus (clientless)


Entschuldige bitte, aber irgendwer muß doch wohl das SSL betreiben, oder? Es mag ja sein, daß die meisten PC-Betriebssysteme ab Werk auch einen Webbrowser mitbringen, aber die Voraussetzungen sind oft noch umfassender. So wird neben dem Internet Explorer meistens nur noch ein oder zwei weitere Alternativen unterstützt und es muß Java laufen.

vpnblubb wrote:
Bei OpenVPN muss aber auf den Clients ein Programm installiert werden?


Wie Du leicht auf der Homepage von OpenVPN hättest feststellen können, muß natürlich etwas installiert werden, und zwar unter Windows mit Administratorrechten. Der Betrieb eines Tunnels setzt nicht unbedingt Administratorrechte voraus, muß aber entsprechend konfiguriert werden.

vpnblubb wrote:
Leitet das dann für alle Anwendungen über den Tunnel an den anderen Endpunkt?


OpenVPN stellt virtuelle Netzwerkadapter zur Verfügung. Im OSI-Layer 2-Betrieb hat man damit den Rechner mit einem weiteren Ethernet-Segment verbunden, so wie man ja auch zwei oder mehr physische Netzwerkkarten in einen Rechner einbauen kann. Im OSI-Layer 3-Betrieb kommt ein IP-Link dazu, den man in der Routingtabelle des Betriebssystems berücksichtigt. Die Anwendungen merken davon nichts, denn das Betriebssystem wird in Abhängigkeit von der Zieladresse zum richtigen NIC gehen bzw. wie sonst auch die Routingtabelle abarbeiten und daraus die richtige Schnittstelle ermitteln.

Mit freundlichen Grüßen
LPW


Top
Offline Profile  
Reply with quote  
 Post subject:
PostPosted: 06.06.2008 17:45 
AES 192 bit
AES 192 bit

Joined: 29.05.2008 20:00
Posts: 121
super danke für deine Ausführungen!

Kapier aber eins noch nicht ganz.
ich habe jetzt einen OpenVPN Server und Client aufgesetzt. Die connecten auch.
Auf dem OpenVPN Server ist auch der Proxy über den es ins Internet geht.
die ip von ihm ist 192.168.1.2, die vpnip ist 10.8.0.1
muss ich jetzt auf dem client im Browser für den proxy jetzt die 192.168.1.2 3128 oder 10.8.0.1 3128 einstellen??


Top
Offline Profile  
Reply with quote  
 Post subject:
PostPosted: 06.06.2008 17:58 
AES 192 bit
AES 192 bit

Joined: 18.04.2008 16:55
Posts: 134
Hallo,

vpnblubb wrote:
ich habe jetzt einen OpenVPN Server und Client aufgesetzt. Die connecten auch.
Auf dem OpenVPN Server ist auch der Proxy über den es ins Internet geht.
die ip von ihm ist 192.168.1.2, die vpnip ist 10.8.0.1
muss ich jetzt auf dem client im Browser für den proxy jetzt die 192.168.1.2 3128 oder 10.8.0.1 3128 einstellen??


Beides sollte gehen. In der Praxis wird man natürlich fordern, daß schon 192.168.1.2 zum Ziel führt, damit der Rechner - i.d.R. ja ein Notebook - sowohl im LAN als auch aus der Ferne per VPN gleichermaßen ohne Änderung der Konfiguration funktioniert. Deshalb trägt OpenVPN eine Route ein, die dem Betriebssystem sagt, daß das Netz 192.168.1.0 über 10.8.0.2 (vermutlich die IP-Adresse des TUN-Adapters des Clients) anzusteuern ist, solange der Tunnel steht.

Mit freundlichen Grüßen
LPW


Top
Offline Profile  
Reply with quote  
 Post subject:
PostPosted: 06.06.2008 18:10 
AES 192 bit
AES 192 bit

Joined: 29.05.2008 20:00
Posts: 121
ah ok.

komisch ist jetzt, dass ich 192.168.1.2 pingen kann die 10.8.0.1 aber nicht.
hast du dafür vll eine Antwort ? sorry das pingen geht jetzt!
wo kann ich unter ubuntu die ip von dem tun adapter nachschauen?
ich hab das ganze unter vmware gemacht. kann das auch probleme verursachen? der server kriegt aber schon mit wenn ich am client eine connection starte..

ich habe gerade wireshark angemacht. also der Traffic ist nicht verschlüsselt auch wenn ich den tunnel anmache. Ich sehe auch dass auf dem tun0 interface keine packete ankommen

edit: pingen kann ich von den clients die 10.8.0.1 und der server kann auch die clients anpingen!

was mach ich falsch, dass er die packete nicht über den tunnel schickt sondern normal an die 192.168.2.1?

edit2: ok also wenn ich bei den clients die 10.8.0.1 als proxy eintrage, dann funktionierts ( musste im squid die acl anpassen )

wie krieg ich jetzt hin dass er auch über die 192.168.1.2 den tunnel benutzt?

ahm und was sehr seltsam ist. bei wireshark ist der traffic immer noch im klartext?. liegt das daran, dass ich den wireshark auf dem server laufen habe und der dann die daten abgreift nachdem sie entschlüsselt wurden?


Top
Offline Profile  
Reply with quote  
 Post subject:
PostPosted: 06.06.2008 18:34 
AES 192 bit
AES 192 bit

Joined: 18.04.2008 16:55
Posts: 134
Hallo,

vpnblubb wrote:
ich habe gerade wireshark angemacht. also der Traffic ist nicht verschlüsselt auch wenn ich den tunnel anmache. Ich sehe auch dass auf dem tun0 interface keine packete ankommen


Welchen Adapter hörst Du denn ab? Am TUN-Adapter gibt es selbstverständich nur Klartext, allein der physische Adapter hat dann das Chiffrat. Wenn Du Dich also davon überzeugen willst, daß wirklich verschlüsselt wird, mußt Du den physischen Adapter abhören. Und hier können auch nur die Pakete verschlüsselt sein, die zum VPN-Traffic gehören. Diese Pakete werden als Zieladresse die öffentliche IP-Adresse haben, über die das VPN-Gateway zu erreichen ist - jedenfalls wenn Du für Deine Experimente wirklich zwei verschiedene LANs verwendest und das VPN über das Internet läuft.

Ich habe meinen Arbeitsplatz-PC in mein privates VPN eingebunden und diesen Tunnel als "Bau- und Reparaturtunnel" verwendet. Den Arbeitsplatz-PC fernsteuernd habe ich das dienstliche VPN errichtet und natürlich auch ein Zertifikat für meinen privaten Rechner erstellt. So konnte ich vernünftig testen.
Das ist auch im laufenden Betrieb praktisch, wenn auf einer Seite mal DynDNS versagt. Dann kann man das immer noch über den jeweils funktionierenden Tunnel in Ordnung bringen.

Mit freundlichen Grüßen
LPW


Top
Offline Profile  
Reply with quote  
 Post subject:
PostPosted: 06.06.2008 19:06 
AES 192 bit
AES 192 bit

Joined: 29.05.2008 20:00
Posts: 121
ok danke funktioniert.
aber wenn ich per 192.168.1.2 im browser als proxy eingeb, dann ist es unverschlüsselt.

kann ich jetzt auch noch zusätzlich einen benutzername + pass für die authentisierung der clients verwenden, um es noch stärker abzusichern?
ich habs mit auth-user-pass-verify... probiert da kommt dann auch eine name und pass abfrage. aber es kommt immer ein fehler. habe auch ein auth-script.sh erstellt mit den userdaten
das auth-script wird auch ausgewertet. es sieht so aus:
#!/bin/sh
ALLOWED_USER="alice"
ALLOWED_PASS="ecila"

if [ "$username" == "$ALLOWED_USER" ] && [ "$password" == "$ALLOWED_PASS" ]
then exit 0
fi

exit 1

weil wenn ich exit 0 mach dann macht er eine Verbindung.
muss ich irgendwo die variable "$username definieren?



Also am liebsten hätte ich ein internetportal wo man sich einloggen muss (also wenn du weißt was ich meine)

edit: warum ist in der Adressleiste kein SSL Icon? also eigentlich ist die Verbindung doch SSL verschlüsselt


Top
Offline Profile  
Reply with quote  
 Post subject:
PostPosted: 06.06.2008 22:35 
AES 192 bit
AES 192 bit

Joined: 18.04.2008 16:55
Posts: 134
Hallo,

vpnblubb wrote:
ok danke funktioniert.
aber wenn ich per 192.168.1.2 im browser als proxy eingeb, dann ist es unverschlüsselt.


Was ist wo unverschlüsselt? Wie hast Du das festgestellt?

vpnblubb wrote:
edit: warum ist in der Adressleiste kein SSL Icon? also eigentlich ist die Verbindung doch SSL verschlüsselt


Entschuldige bitte, aber wie kam Dein Dozent eigentlich auf den Gedanken, Dir eine derartige Aufgabe zu stellen? Auf welcher Uni, FH oder sonstigen Einrichtung studierst Du? Deine Fragen zeigen, daß Du damit bei weitem überfordert bist. Die fehlen elementarste Grundlagen zum Aufbau von Betriebssystemen. Vermutlich fehlt Dir auch die Bereitschaft, mal selbst auch nur ein Viertelstündchen was zu lesen.

Woher und warum sollte der Browser wissen, über welchen NIC er gerade kommuniziert und wie der das abwickelt? Das bestimmt das Betriebssystem, die Namensauflösung eingeschlossen. Der Browser kann eine SSL-Verbindung nur dann erkennen und kenntlich machen, wenn er sie auch selbst ausgehandelt hat wie bei einer https-Kommunikation. Ich habe Dir noch vorhin erläutert, daß OpenVPN zusätzliche Netzwerkkarten bereitstellt, also klar auf der Ebene des Betriebssystems angesiedelt ist und mit Browsern oder anderen Anwendungen genau gar nichts zu tun hat.

Mit freundlichen Grüßen
LPW


Top
Offline Profile  
Reply with quote  
 Post subject:
PostPosted: 06.06.2008 23:45 
openvpn.eu Admin
openvpn.eu Admin
User avatar

Joined: 23.01.2006 08:05
Posts: 3321
Location: near Vienna
vpnblubb wrote:
ok danke funktioniert.
aber wenn ich per 192.168.1.2 im browser als proxy eingeb, dann ist es unverschlüsselt.


Wenn dein VPN Client im selben Netzwerk (192.168.1.x) ist, dann wird er immer den direkten Weg nutzen und nicht über das VPN gehen, da er 192.168.1.2 über sein physisches NIC erreicht. Das lässt sich in diesem Fall auch nicht verhindern, da 192.168.1.2 gleichzeitig dein VPN Server ist. Du musst das ganze mit einem Client testen, der logisch nicht im selben Netzwerk wie der VPN Server ist.

_________________
regards,
note
Please take a look at our rules. Besucht mal unsere Wiki !


Top
Offline Profile  
Reply with quote  
 Post subject:
PostPosted: 06.06.2008 23:57 
AES 192 bit
AES 192 bit

Joined: 29.05.2008 20:00
Posts: 121
ok, stimmt ist logisch :)

sorry dass manche Fragen ein wenig naiv sind. Ich kenn mich mit betriebssystemen tatsächlich nicht gut aus.

Könnt ihr mir noch das mit der Authentisierung über user-auth erklären?
Habe dazu jetzt schon einige Beiträge hier im Forum gelesen, aber das hat mir nicht weitergeholfen.
per via-env wird der username und password per Umgebungsvariable übergeben. das Skript habe ich chmod a+x gesetzt und auch die Rechte vergeben die es braucht. Leider kommt aber immer ein Fehler wenn ich mit dem Client die Credentials eingebe.

Mit dem "Webportal" würde ich mich auch über Anregungen freuen.


Top
Offline Profile  
Reply with quote  
 Post subject:
PostPosted: 10.06.2008 18:26 
AES 192 bit
AES 192 bit

Joined: 29.05.2008 20:00
Posts: 121
weiß niemand eine Lösung zu dem Authentication Problem?

und jetzt nochmal zu VPNs

bei OpenVPN braucht man eine Clientsoftware, das ist klar.
NUr frag ich mich folgendes:
SSL VPNs arbeiten clientless. Also man braucht nichts auf den Clients zu installieren. Das ganze läuft dann über den Browser (der kann ja SSL)
Aber welches SSL VPN nutzt beim Client den Browser? openvpn tut das ja offensichtlich nicht.
Ich hoffe ihr versteht meine Denke. Ich glaub ich hab da irgend nen Knoten drin und wäre dankbar wenn mir den jmd lösen könnte :)

edit: auf mein Problem bezogen, da ich nur http traffic habe. würde ja eine https verbindung zum proxy reichen. nennt sich das dann auch vpn? ich bin grad ein wenig durcheinander


Top
Offline Profile  
Reply with quote  
 Post subject:
PostPosted: 12.06.2008 11:36 
AES 192 bit
AES 192 bit

Joined: 29.05.2008 20:00
Posts: 121
Hallo,

ich hätte noch eine Frage:

bei der Konstellation, dass man nur einen HTTP Proxy verwendet. Wäre da ein VPN überhaupt sinnvoll?
Würde da nicht eine HTTPS Verbindung reichen?


Top
Offline Profile  
Reply with quote  
 Post subject:
PostPosted: 30.06.2008 11:21 
openvpn.eu Admin
openvpn.eu Admin
User avatar

Joined: 23.01.2006 08:05
Posts: 3321
Location: near Vienna
Vermutlich ja, jedoch hat man bei (anonymen) HTTPS keine Authenzität der Clients.

_________________
regards,
note
Please take a look at our rules. Besucht mal unsere Wiki !


Top
Offline Profile  
Reply with quote  
Display posts from previous:  Sort by  
Post new topic Reply to topic  [ 30 posts ]  Moderator: Moderators Go to page Previous  1, 2

All times are UTC


Who is online

Users browsing this forum: No registered users and 1 guest


You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot post attachments in this forum

Search for:
Jump to:  
Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group
Theme created StylerBB.net