It is currently 20.09.2017 20:13


All times are UTC




Post new topic Reply to topic  [ 8 posts ] 
Author Message
 Post subject: Wechselnde IP per net2net und UMTS
PostPosted: 29.09.2009 09:23 
Tripple-DES
Tripple-DES

Joined: 05.02.2009 21:27
Posts: 23
Hallo zusammen,
Ich habe da ein kleines Problem, an dem ich schon seit längerem grübel und durch
googlen bis jetzt noch keine Lösung gefunden habe.

Ich habe mit zwei IPcops und Zerina zwei Standorte über net2net verbunden.
Die Clientseite ist über eine UMTS Anbindung (Gateway) angebunden.
Die Serverseite besitzt eine feste IP.

Auf der Serverseite muß ja in der Configdatei der Verbindung die remote Seite angegeben werden.

Normalerweise: remote [IP]

Das Problem der wechselnden IP auf der Clientseite habe ich jetzt gelöst indem ich eine
dynDNS Adresse verwendet habe und die auf der Serverseite unter remote eingetragen habe, anstatt der IP. So läuft das ganze jetzt seit einiger Zeit stabiel.

Jetzt mein Problem:

Das UMTS Gateway kann mehrere UMTS Zugänge bündeln. Diese Funktion soll demnächst aktiviert werden. Hierdurch habe ich gleichzeitig bis zu 3 unterschiedliche
IP Adressen. Hierdurch kommen auch die IP Pakete des VPN Tunnels über unterschiedliche IPs. Außerdem habe ich bei der dynDNS Lösung das Problem, dass wenn mein dynDNS Anbieter ein Problem hat läuft auch mein Tunnel nicht mehr.

Kann ich die config auf der Serverseite irgentwie so einstellen, dass dem Server die Client-IP egal ist? Oder würde es auch funktionieren den Hostnamen der IPcops zu verwenden? Weglassen des remote Eintrag?

Hat da jemand eine Idee?


Top
Offline Profile  
Reply with quote  
 Post subject: Re: Wechselnde IP per net2net und UMTS
PostPosted: 29.09.2009 13:27 
openvpn.eu Admin
openvpn.eu Admin
User avatar

Joined: 23.01.2006 08:05
Posts: 3321
Location: near Vienna
OpenVPN hat eine Server-Client-Architektur, zumindest bei der Tunnelverbindung. Der "Server" lauscht normalerweise, während der Client die Verbindung initiiert. D.h. beim Client exisitiert eine remote Anweisung mit der IP des Servers, während die Serverseite diese Anweisung nicht enthält.

Wenn der Client gleichzeitig mehr als eine IP verwendet wirds vermutlich problematisch, da OpenVPN jeden Client eindeutig über sein (IP, port) Tupel identifiziert. Es gibt zwar die Anweisung "float", die wechselnde IPs erlaubt, aber das funktioniert soviel ich weiß nur bei gelegentlichen Wechseln (z.B. wegen Zwangstrennung).

_________________
regards,
note
Please take a look at our rules. Besucht mal unsere Wiki !


Top
Offline Profile  
Reply with quote  
 Post subject: Re: Wechselnde IP per net2net und UMTS
PostPosted: 30.09.2009 08:13 
Tripple-DES
Tripple-DES

Joined: 05.02.2009 21:27
Posts: 23
Die "float" Anweisung ist zumindest schon mal ein Anfang.
Wie muss die denn in die Conf Datei geschrieben werden? EInfach nur float?

Ich wundere mich die ganze Zeit darüber das der Server normalerweise keine
remote Anweisung hat? Zuminndest bei ZERINA.

Ich muss ja auch die remote IP in der Web Oberfläche eintragen
und in der conf Datei auf der Serverseite wird auch automatisch ein remote Eintrag
erzeugt :?:

Wenn auf der Serverseite kein remote Eintrag vorhanden ist dürfte es openVPN doch eigentlich egal sein von welcher IP der Tunnel kommt?

Wenn sich ein Außendienstmitarbeiter ständig mit seinem Laptop über UMTS beispielsweise
in der Firma einloggen soll müßte, würde doch das gleiche Problem bestehen. Bei jeder erneuten einwahl hat er eine neue IP. Oder ist die IP nur im Fall eine Roadwarrior egal?

Danke schonmal für die Hilfe.


Top
Offline Profile  
Reply with quote  
 Post subject: Re: Wechselnde IP per net2net und UMTS
PostPosted: 30.09.2009 08:48 
openvpn.eu Admin
openvpn.eu Admin
User avatar

Joined: 23.01.2006 08:05
Posts: 3321
Location: near Vienna
Um noch tiefer in die Materie von Server-Client bei OpenVPN einzutauchen.... OpenVPN hat zwei Verbindungsmodi, wenn man es so nennen darf:
1. Peer-to-Peer Modus. In diesem Modus verwendet OpenVPN einen statischen Schlüssel zur Verschlüsselung der Daten (--secret Direktive). Der Nachteil an diesem Modus, außer dass statische Verschlüsselungen nicht so sicher sind, ist, dass sich nur ein Peer verbinden kann. Im UDP Modus ist es komplett egal ob nur eine Seite eine remote Anweisung hat oder beide. Ist keine remote Anweisung auf einer Seite angegeben, wartet diese Seite so lange, bis ein Paket von einem anderen Host ankommt. Dann wird dieser Host zum Peer. Praktisch gibt es in diesem Modus bei UDP keine Unterscheidung zwischen Server und Client. Bei TCP ist es ein bisschen anders, dort muss man mit "proto tcp-server" und "proto tcp-client" die entsprechenden Rollen verteilen. Der Server horcht, während der Client die Verbindung aufbaut.

2. TLS-Modus. OpenVPN verwendet dazu Zertifikate und handelt die Verschlüsselung automatisch aus. Das ist wesentlich sicherer. Ein OpenVPN Server kann auch mehrere Clients bedienen. Unterschieden werden diese Clients über ihr Zertifikat und ihr (IP,Port) Tupel. In der normalen Konfiguration kann nur jeweils ein IP,Port Tupel mit einem Zertifikat verbunden sein, d.h. nicht 2mal das selbe Zertifikat für unterschiedliche Clients.
Da UDP stateless ist, ist es grundsätzlich nicht möglich zu erkennen, ob ein Client seine Verbindung getrennt bzw. verloren hat. Daher gibt es mehrere Möglichkeiten wann eine Verbindung als verloren angesehen wird:
1. Es wird ping, ping-restart bzw. keepalive verwendet und der Client sendet keine pings mehr innerhalb der konfigurierten Zeit. Die Verbindung zu diesem Client wird entfernt.
2. Der Client schickt ein exit-Paket. Die Verbindung wird ebenfalls entfernt.
3. Ein neuer Client verbindet sich mit dem Zertifikat eines anderen evtl. verbundenen Clients. Der alte Client wird entfernt.
4. Es kommen Pakete einer bestehenden Sitzung von einem neuen IP:Port Tupel und der Server hat "float" aktiviert. Es wird versucht die Verbindung fortzusetzen. Ohne "float" wird die Verbindung abgebrochen.


Fazit: "float" ist eine Möglichkeit, funktioniert aber in der Praxis nicht besonders. Wenn der Client seine IP ändert, sollte er auch seine VPN Verbindung neu aufbauen.

_________________
regards,
note
Please take a look at our rules. Besucht mal unsere Wiki !


Top
Offline Profile  
Reply with quote  
 Post subject: Re: Wechselnde IP per net2net und UMTS
PostPosted: 24.11.2009 21:04 
Tripple-DES
Tripple-DES

Joined: 05.02.2009 21:27
Posts: 23
Hallo ich habe inzwischen etwas umgebaut und nicht mehr ganz das Problem,
mit sich ständig wechselnden IP Adressen. Aber ein fast ähnliches Problem.

Mein Cient hat im moment einmal eine Anbindung über UMTS
(Nur eine dyn IP die er eine zeitlang hält) oder eine Satellitenverbindung. Die Satellitenverbindung hat immer eine feste IP.

Somit kommen nur 2 Verbindungen in frage.

feste IP
oder dyn.dns Adresse.

Ich würde den Server gerne so konfigurieren das er beides unterstützt und am
liebsten noch mit float.

Meine jetzige Serverkonfiguration:

Code:
dev tun
mtu-disc yes
link-mtu 1000
proto udp
port 4711
ifconfig 10.116.127.1 10.116.127.2
remote dyn DNS Adresse
tls-server
ca /var/ipcop/ovpn/ca/cacert.pem
cert /var/ipcop/ovpn/certs/servercert.pem
key /var/ipcop/ovpn/certs/serverkey.pem
dh /var/ipcop/ovpn/ca/dh1024.pem
route 192.168.213.128 255.255.255.192
keepalive 10 60
cipher AES-256-CBC
comp-lzo
verb 3
#192.168.213.128/255.255.255.192
daemon OVPN_ELVerb
#status /var/ipcop/ovpn/n2nconf/ELVerb/ELVerb.log 2


Reicht es eventuell einfach auf der Serverseite den Remoteintrag wegzulassen?

Reicht es einfach ein Remoteeintrag für die dyn DNS Adressse und einen für die feste IP Adresse zu machen?

Wie sieht die Syntax für einen oder zwei Remoteinträge mit float aus?


Da es sich im moment noch um eine Testplatform handelt würde ich es gerne einfach mal ausprobieren und gerne hier mal berichten wie das Verhalten ist. Ich finde in meinen OVPN Büchern nur nichts zum float Befehl und im Internet hab ich auch nicht sonderlich viel gefunden.

Meine Befürchtung ist einfach, dass wenn die VPN Verbindung über UMTS also die dyn DNS Adresse besteht und wärend dessen die Verbindung abbricht (wodurch die Satellitenverbindung mit der festen IP aktiv wird), baut der Client zwar nach der keepalive Time wieder eine neue Verbindung über die feste IP auf aber der Server
der Server akzeptiert immer noch nur Datenpakete mit der alten IP (dyn DNS).

Hier erhoffe ich mir eventuell eine Verbesserung mit float.

Schon mal vielen Dank die Infos waren bis jetzt sehr hilfreich.


Top
Offline Profile  
Reply with quote  
 Post subject: Re: Wechselnde IP per net2net und UMTS
PostPosted: 25.11.2009 07:44 
openvpn.eu Admin
openvpn.eu Admin
User avatar

Joined: 23.01.2006 08:05
Posts: 3321
Location: near Vienna
Du kannst beim Server immer --remote Anweisungen weglassen. Wenn der Server eine fixe IP hat, können die Clients ja immer die Verbindung aufbauen.

Am besten du testest das mal durch mit den Clients. Sollte es zu Problemen kommen, versuch float in die Server.conf einzufügen.

_________________
regards,
note
Please take a look at our rules. Besucht mal unsere Wiki !


Top
Offline Profile  
Reply with quote  
 Post subject: Re: Wechselnde IP per net2net und UMTS
PostPosted: 25.11.2009 19:05 
Tripple-DES
Tripple-DES

Joined: 05.02.2009 21:27
Posts: 23
OK wie müste ich denn float Eintragen?

einfach
float in eine Zeile einfügen :?:

Das frage ich mich nämlich schon länger


Top
Offline Profile  
Reply with quote  
 Post subject: Re: Wechselnde IP per net2net und UMTS
PostPosted: 26.11.2009 15:16 
openvpn.eu Admin
openvpn.eu Admin
User avatar

Joined: 23.01.2006 08:05
Posts: 3321
Location: near Vienna
Genau, einfach
Code:
float
in eine leere Zeile schreiben und dann den OpenVPN Prozess neustarten. Wobei es laut Manpage nicht wirklich notwendig ist das beim Server anzugeben. Aber schaden tuts vermutlich nicht.

_________________
regards,
note
Please take a look at our rules. Besucht mal unsere Wiki !


Top
Offline Profile  
Reply with quote  
Display posts from previous:  Sort by  
Post new topic Reply to topic  [ 8 posts ]  Moderator: Moderators

All times are UTC


Who is online

Users browsing this forum: No registered users and 2 guests


You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot post attachments in this forum

Search for:
Jump to:  
Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group
Theme created StylerBB.net