It is currently 26.07.2017 14:50


All times are UTC




Post new topic Reply to topic  [ 27 posts ]  Go to page 1, 2  Next
Author Message
 Post subject: Configs sammeln? / FAQ Bereich? / Spezial-Configs
PostPosted: 08.01.2005 11:20 
AES 192 bit
AES 192 bit

Joined: 06.06.2004 14:49
Posts: 165
Location: Hildesheim
Hi,

was haltet ihr davon, wenn wir so eine Art Sammelstelle für Configs einrichten, die alle einen bestimmten Zweck erfüllen und sich dann einfach an die jeweiligen User-Bedürfnisse anpassen ließen?

Also z.B eine "speed-optimierte" Site-2-Site Config, eine Config für Gamer mit bridgin und ebenfalls Speed enhancements, eine für WLAN-Absicherung mit allem Routing-Kram um die mobilen Clients einfach und "normal" im Netz zu benutzen, eine "richtig-sichere" Config, mit TLS (passphrase), Username+Password, extra Key. Vielleicht auch noch eine für normale Roadwarrior VPNs, und und und...

Was meint ihr? Vielleicht könnte jeder, der eine Idee hat, das hier posten und wir verfeinern es gemeinsam um es dann irgendwie als FAQ aufzubereiten?

phredd


Top
Offline Profile  
Reply with quote  
 Post subject:
PostPosted: 08.01.2005 11:33 
Tripple-DES
Tripple-DES

Joined: 02.11.2004 08:28
Posts: 39
Bin ich dafür ^^ Wenn da dann auch steht wie das mit den Zertifikaten und open SSL geht^^

mfg Santa


Top
Offline Profile  
Reply with quote  
 Post subject:
PostPosted: 08.01.2005 11:45 
AES 192 bit
AES 192 bit

Joined: 06.06.2004 14:49
Posts: 165
Location: Hildesheim
also das mit den Zertifikaten ist doch für Windows super erklärt unter: http://www.vpnforum.de/openvpn-forum/viewtopic.php?t=253.

Für die anderen OSes gibts ja easy-rsa.

phredd


Top
Offline Profile  
Reply with quote  
 Post subject:
PostPosted: 08.01.2005 19:14 
Top-Supporter
Top-Supporter
User avatar

Joined: 13.09.2004 08:51
Posts: 1465
Location: Schwobaländle
super Idee. Das mit den Zertifikate wurde schon öfters erklärt. Ist auch ein bisschen Aufwendig da eine gute Erklärung zu schreiben. Werd ich vielleicht mal für RC6 Installation mit easyrsa am Montag nochmal reinstellen.
Erstmal meine Config. Ohne Bridging (da keiner von uns XP hat) speedoptimiert. Multiclient fürs spielen mit max. 4 Clients.
Besonderes: Jeder bekommt eine feste IP der übersicht wegen (daher auch kein push und pull Befehle).
server:
Code:
local xxx.xxx.xxx.xxx   ;IP der NIC
port 5000
proto udp
dev tap
dev-node openvpn    ;Name der Netzerkverbindung
mode server
tls-server
ifconfig 10.0.0.1 255.255.255.0
ifconfig-pool 10.0.0.1 10.0.0.6 255.255.255.0
ca ca.crt
key server.key
cert server.crt
dh dh1024.pem
cipher none
client-to-client
max-clients 4
route-gateway 10.0.0.1
verb 3



client:
Code:
remote xxx.xxx.xxx.xxx   ;WAN IP des Servers
port 5000
dev tap
proto udp
dev-node openvpn   ;Name der Netzwerkverbindung
ca ca.crt
key client01.key
cert client01.crt
tls-client
cipher none
ifconfig 10.0.0.2 255.255.255.0
route-gateway 10.0.0.1
verb 3


Jeder Client bekommt seine eigen IP und key-File und cert-File


Last edited by dabu66 on 11.02.2005 21:45, edited 1 time in total.

Top
Offline Profile  
Reply with quote  
 Post subject: Zertifikate mit easy-rsa von openvpn erstellen
PostPosted: 10.01.2005 10:35 
Top-Supporter
Top-Supporter
User avatar

Joined: 13.09.2004 08:51
Posts: 1465
Location: Schwobaländle
So hier mal eine kleine Anweisung zum erstellen der Zertifikate. Hoffentlich zum letzten mal :)
Es finden sich bestimmt ein paar die das ausprobieren, müsste aber soweit komplett sein.

Vollinstallation von openvpn-rc6
1. Im Installationsverzeichnis von openvpn die Zip-Datei openvpn-2.0_rc6 mit Verzeichnisstruktur entpacken.
2. Das easy-rsa Verzeichnis in openvpn-2.0rc6\openvpn-2.0_rc6 ins Installationsverzeichnis von openvpn verschieben.
3. Alle Dateien von easy-rsa\Windows ins darüberliegende easy-rsa Verzeichnis kopieren/verschieben
3. Unter easy-rsa die Datei vars.bat bearbeiten.
sollte das Installationsverzeichnis von openvpn c:\Programme\openvpn sein, sind folgende Variablen zu ergänzen
Code:
set HOME=%ProgramFiles%\OpenVPN\easy-rsa
set KEY_COUNTRY=de
set KEY_PROVINCE=BadenWuerttemberg
set KEY_CITY=STU
set KEY_ORG=meinvpn
set KEY_EMAIL=mail@irgendwo.de

bis auf die HOME Variable sind alle anderen nur als Beispiel
Jetzt geht es an das erstellen der Files.
Eingabeaufforderung öffnen.
Ins Verzeichnis easy-rsa wechseln
cd c:\Programme\openvpn\easy-rsa
Jetzt sind folgende Befehle der Reihe nach in der selben Eingabeaufforderung einzugeben. Wird eine neue Eingabeaufforderung geöffnet muss vars neu ausgeführt werden, da die Variaben nur für diese eine Eingabeaufforderung gültig sind.

vars <enter>

clean-all <enter> ;es kommt eine Fehlermeldung wenn noch kein my-openvpn-keys Verzeichnis besteht die unbedeutend ist.

build-ca <enter> ;erstellt ca.crt einmal für alle Rechner. Abfragen mit enter bestätigen der Wert in eckiger Klammer wird übernommen. Einträge für Organizational Unit Name und Common Name können gleich sein müssen aber für jedes erstellte File das noch kommt unterschiedlich sein.

build-dh <enter> ; einmal dh1024.pem für Server

build-key-server <machine-name> <enter>; erstellt maschine-name.key und maschine-name.crt für Server. Auch hier gilt Einträge für Organizational Unit Name und Common Name können gleich sein müssen aber zu anderen unterschiedlich sein. Passwort ist optional. Weitere y/n Abfragen mit y bestätigen.

build-key <maschine-name> <enter> ; erstellt maschine-name.key und maschine-name.crt für den Client. Ist für jeden Client einmal auszuführen.

fertig.
Alle Files befinden sich im Verzeichnis c:\Programme\openvpn\easy-rsa\my-openvpn-keys

EDIT:
=======================================
Ab der Version RC-13 wurden die Batch-Dateien soweit korrigiert das easy-rsa nach beiliegender Beschreibung (readme) ohne Probleme durchgeführt werden kann.
=======================================


Last edited by dabu66 on 21.02.2005 09:21, edited 1 time in total.

Top
Offline Profile  
Reply with quote  
 Post subject:
PostPosted: 10.01.2005 17:50 
AES 256 bit
AES 256 bit
User avatar

Joined: 04.06.2004 12:08
Posts: 363
Location: Hannover
Ich häng das dann mal oben dran. Dann können wir zusammen ein paar Konfigurationen sammeln und das dann als FAQ zusammenstellen...


Top
Offline Profile  
Reply with quote  
 Post subject:
PostPosted: 21.01.2005 19:36 
DES
DES

Joined: 20.01.2005 18:07
Posts: 6
Hi, danke für das Zertifikat Tutorial, hat alles geklappt allerdings habe ich noch eine Frage.

Quote:
build-key <maschine-name> <enter> ; erstellt maschine-name.key und maschine-name.crt für den Client. Ist für jeden Client einmal auszuführen.


Muss ich das als Server für jeden Client erstellen oder muss das jeder Client selbst machen? Bzw. wie ist es bei den anderen Dateien?

Vielen Dank
Beutju


Top
Offline Profile  
Reply with quote  
 Post subject:
PostPosted: 21.01.2005 20:43 
Top-Supporter
Top-Supporter
User avatar

Joined: 13.09.2004 08:51
Posts: 1465
Location: Schwobaländle
Um alle Funktionen der Administration zu erhalten und nicht die Sicherheit einzuschränken ist es ratsam jedem Client sein Zertifikat zu erstellen.
Wird dies nicht gemacht kann es Probleme geben wenn mit up-Scripts gearbeitet wird und Clients feste IP's bekommen sollen.
Es ist dann auch nicht mehr Möglich ein Zertifikat für ungültig zu erklären und damit dem Client zu verbieten das er sich connected.
Der Aufwand einzelne Zertifikate zu erstellen ist nicht zu groß finde ich.

Im Normalfall werden die Zertifikate vom Server aus erstellt. Nur dort sind alle Informationen vorhanden um gültige Zertifikate zu erstellen. Die Erstellung muss zwar nicht auf dem Server erfolgen sondern nur gemeinsam.

Folgende Dateien müssen erstellt werden und wie folgt verteilt werden.

Server:
ca.cert ;einmal erstellt und für alle gleich
dh1024.pem ;einmal erstellt und nur für den Server
(oder für höhere Sicherheit auch dh2048.pem)
server.cert ;einmal erstellt und nur für den Server
server.key ;einmal erstellt und nur für den Server


Client 1...n
ca.cert ;gleiche Datei für alle
client1..n.cert ;für jeden Client sein eigenes cert
client1..n.key ;für jeden Client sein eigenes key


P.S.: Auf dem Server in der config duplicate-cn müsste es erlauben Zertifikate mehrmals zu verwenden.


Top
Offline Profile  
Reply with quote  
 Post subject:
PostPosted: 26.01.2005 22:41 
DES
DES

Joined: 26.01.2005 22:39
Posts: 1
Kann jemand mal ne Config schreiben für mehrere Clients mit WinXP zum zocken?


Top
Offline Profile  
Reply with quote  
 Post subject: Diese Config habe ich nachgebaut, aber .....
PostPosted: 29.01.2005 13:05 
DES
DES

Joined: 29.01.2005 10:51
Posts: 4
ich schaffe es nicht,
eine Workstation im Servernetzwerk zu pingen.

Liegt das vielleicht daran, das mann den Server an eine IP bindet.
Der Server läuft auf einer SUSE 9.0, Clients währen XP, w2k ....
Es geht nur darum, das die Clients auf eine zentrale DB zugreifen müssen.

thx a lot im vorraus.

NEtFLEx


Top
Offline Profile  
Reply with quote  
 Post subject:
PostPosted: 31.01.2005 09:06 
Top-Supporter
Top-Supporter
User avatar

Joined: 13.09.2004 08:51
Posts: 1465
Location: Schwobaländle
Hi net-flex,
Sollte die Datenbank nicht auf dem Rechner sein auf dem VPN läuft ist der Rechner erstmal nicht errreichbar.
Entweder musst du dann mit routing arbeiten oder es muss ein bridging eingerichtet werden. Unter linux kann ich dir aber keine Hilfe bieten.


Top
Offline Profile  
Reply with quote  
 Post subject: Workaround für Windows XP und TAP nimmt ifconfig nicht an.
PostPosted: 31.01.2005 09:28 
Top-Supporter
Top-Supporter
User avatar

Joined: 13.09.2004 08:51
Posts: 1465
Location: Schwobaländle
Immer wieder kommt es vor das unter XP das TAP-Device nicht mit ifconfig konfiguriert werden kann.
Kontrolliert man die IP-Addresse in der Eingabeaufforderung mit ipconfig /all stellt man fest das dem TAP eine IP in der Art 192.xxx.xxx.xxx 255.255.0.0 vergeben wurde.
Hintergrund: ifconfig scheint auf bestimmten Rechnerkonstellationen nicht zu funktionieren. Da TAP auf das automatische Beziehen der IP-Addresse konfiguriert ist, wird diese irgendwann von Windows vergeben. Dies IP ist natürlich nicht für die VPN-Verbindung gebrauchbar.

Lösung:
Eigenschaften der VPN-Verbindung unter DFÜ- und Netzwerkverbindungen öffnen.
Eigenschaften von Internetprotokoll (TCP/IP) öffnen.
IP und Netmaske manuell und passend zum VPN vergeben (z.B. 10.0.0.10 255.255.255.0)

Folgende Einträge in der Konfig ergänzen
ifconfig 10.0.0.10 255.255.255.0
ifconfig-noexec


Sollte das Problem auf einer Client Seite sein muss zusätzlich
Der Eintrag pull gelöscht werden.
Beachten:
1. client ist gleichbedeutend tls-client und pull
d.h. client muss gegen tls-client ausgetauscht werden.

2. Alle push Befehle müssen auf der betroffenen Client-Seite in der Konfig ergänzt werden (zur erinnerung pull muss gelöscht werden)

3. Vorsicht bei der Vergabe von IP's evtl. ist jetzt eine Client IP fix vergeben doppeltvergabe ist möglich.


P.S.: Leider hatte ich noch keinen Rechner der dieses Verhalten aufweist und konnte das Problem nicht näher untersuchen. Sollte jemand eine Lösung gefunden haben, wäre es nett wenn er diese hier reinstellen würde.


Top
Offline Profile  
Reply with quote  
 Post subject:
PostPosted: 31.01.2005 11:29 
DES
DES

Joined: 20.01.2005 18:07
Posts: 6
Hm das Problem ist, dass ich nicht den TAP-Netzwerkadapter einzeln über WinXP konfigurieren kann, da ich eine Netzwerkbrücke zw dem TAP-Adapter und meiner LAN Karte, die mit dem Router verbunden ist, zum Spielen über vpn habe (Was allerdings nicht funktioniert...). Ich kann nur die IP für die Brücke vergeben, und die muss ja mit dem Router zusammen stimmen.

mfg
Beutju


Top
Offline Profile  
Reply with quote  
 Post subject:
PostPosted: 31.01.2005 12:24 
Top-Supporter
Top-Supporter
User avatar

Joined: 13.09.2004 08:51
Posts: 1465
Location: Schwobaländle
@Beutju

in dem Fall funktioniert das genauso. Das TAP hat die IP der Netzwerkbrücke. Folgende Zeilen in die config
ifconfig ip-der-brücke netmask-der-brücke
ifconfig-noexec


Beim Start des VPN ändert sichnicht der Status des TAP's. Das Symbol bleibt im Status Netzwerkkabel wurde entfernt. Es funktioniert aber trotzdem


Top
Offline Profile  
Reply with quote  
 Post subject:
PostPosted: 12.03.2005 12:47 
DES
DES

Joined: 12.03.2005 12:25
Posts: 4
Hi,

ich habe vor, eine sichere Server zu Client-Verbindung aufzubauen. Die jeweiligen Netze hinter den Nat-Routern brauchen vom Server und Client im VPN nicht erreichbar sein. Muss ich dann überhaupt eine Netzwerbrücke einrichten? Das wäre für mein Vorhaben das sicherste, da es nur darum geht, den Terminalserver auf dem VPN-Server, der nur über das InTRAnet erreichbar ist, zu verwenden. Es isnicht nötig, dass ich von meinem Client zu Hause den Server inkl. des dahinterliegenden Netzes zu sehen. Der Server selbst reicht.

Daher nochmal die Frage (nun etwas auf den Punkt gebracht ;) ) :
Brauche ich auf der Server-(und auch Client)-Seite eine Bridge?

Danke erstmal an alle für die ausführlichen Tutorials!


Top
Offline Profile  
Reply with quote  
Display posts from previous:  Sort by  
Post new topic Reply to topic  [ 27 posts ]  Moderator: Moderators Go to page 1, 2  Next

All times are UTC


Who is online

Users browsing this forum: No registered users and 1 guest


You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot post attachments in this forum

Search for:
Jump to:  
Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group
Theme created StylerBB.net