It is currently 23.06.2017 01:46


All times are UTC




Post new topic Reply to topic  [ 20 posts ]  Go to page 1, 2  Next
Author Message
 Post subject: Configs für SERVER/Bridge und CLIENT/Bridge kommentiert (DE)
PostPosted: 24.02.2005 01:16 
Tripple-DES
Tripple-DES

Joined: 13.02.2005 23:42
Posts: 32
Hallo vielleicht nützen jemanden ja meine kommentierten Configs um das ganze Gewusel mit OpenVPN ein bisl besser zu verstehen. Es gibt m.E. bisher ziemlich wenige User die sich rein mit dem Bridging beschäftigen.
Dabei bietet Bridging gerade im Heimbereich die idealen Bedingungen für LAN-Gaming und die gemeinsame Nutzung verschiedener Geräte über die Netzwerkumgebung. Stichwort Netbios-Broadcasts welche nicht durch das Bridgeing behindert werden wie es beim Routing der Fall ist.
Ohne Samba oder WINS/WINS-Proxy läuft da nichts und man muss auf die Krücke LMHOST oder die IP-Adresse zurückgreifen. Gerade LAN-Spiele benutzen hin und wieder die netten Broadcasts um Daten auszutauschen.

Die Configs von mir beziehen sich auf reine Windowsumgebungen die mit DSL-Routern verbunden werden. Es wird der Standardport 1194 benutzt.

SERVER-Config
Quote:
# Diese Server-Konfiguration wurde mit der OpenVPN V2.0 RC16 erstellt und ist mit OpenVPN V2.0.2 getestet.
# Den Modus des OpenVPN-Servers festglegen.
# Als Default wird OpenVPN im Point-2-point-Modus (p2p) gestartet.
# Mit der Version 2.0 ist der multi-client-Modus (server) eingeführt worden.
mode server

# Als Zielhost entweder die IP direkt eintragen
# oder einen dynamischen Hostnamen auflösen lassen.
# Wenn ein Multi-Client-Server auf eingehende Verbindungen warten soll
# dann kommentiert die folgende Zeile aus.
; remote client-rz.dyndns.org

# Den Verbindungsprotokolltyp wählen.
# UDP-Verbindungen sind verbindungslosorientiert, und haben bei der Verwendung
# von Firewalls den Vorteil das oft keine weiteren Regeln gebraucht werden.
# TCP-Verbindungen sind verbindungsorientiert, bei einigen Firewalls müssen
# dafür dann eventuell Regeln definiert werden.
# Ohne Angabe wird UDP als Standard benutzt.
proto udp

# Hier der Device-Typ definiert
# TAP-Devices eigenen sich zum überbrücken von LAN-Adaptern.
# TUN-Device sind eher für Umgebungen wo Routing verwendet wird.
dev tap

# Bei mehreren Adaptern empfiehlt es sich den Adapter genau zu benennen.
# Es kann sonst sein das sonst ein anderer Adapter umkonfiguriert wird.
dev-node OpenVPN

# Der TAP/TUN Adapter wird mit einer eigenen IP bestückt.
# TAP-Adapter werden mit IP Subnetzmaske definiert.
# TUN-Adapter werden mit local VPN-Endpunkt remote VPN-Endpunkt
# angegeben, dabei wird nicht die Subnetzmaske übertragen.
# Bei der Verwendung von Brücken kann dies auch vom Server
# gepushed werden. Laut Manual kann beim Bridging auf die folgenden
# Zeilen verzichtet werden. http://openvpn.net/bridge.html
; ifconfig 192.168.127.111 255.255.255.0
; ifconfig-pool 192.168.127.224 192.168.127.254 255.255.255.0
; ifconfig-noexec

# Die Authentifizierung wird in diesem Abschnitt ausgehandelt.
# Die folgende Zeile sagt wir sind ein Server
tls-server
ca C:\\Programme\\OpenVPN\\easy-rsa\\certifi\\ca.crt
key C:\\Programme\\OpenVPN\\easy-rsa\\certifi\\server.key
cert C:\\Programme\\OpenVPN\\easy-rsa\\certifi\\server.crt
dh C:\\Programme\\OpenVPN\\easy-rsa\\certifi\\dh1024.pem

# Ungültige Zertifikate überprüfen, wer es aktivieren möchte
# muss auch die CRL-Liste erstellen und pflegen.
; crl-verify C:\\Programme\\OpenVPN\\easy-rsa\\certifi\\crl.pem

# Um die Verbindung zu testen reicht es ein Zertifikat zu erstellen.
# In Testumgebungen ist das ganz akzeptabel, in einer produktiven
# Umgebung ist davon eher aus Sicherheitsgründen abzuraten.
# Damit nur ein Zertifikat erstellt werden muss, kann man die
# folgende Zeile wieder "aktivieren".
; duplicate-cn

# Damit sich die Clients in der Netzwerkumgebung auch untereinander
# sehen können, muss die folgende Zeile gesetzt werden.
client-to-client

# Für Verbindungen die über eine dynamische Ip verfügen eignet
# sich die Verwendung von float, damit eingehende authentifizierte
# Pakete weiterhin akzeptiert werden.
float

# Verbindung resistenter gegen Verbindungsfehler machen
# Anstatt ping und ping-restart kann auch keepalive verwendet werden.
# ping-timer-rem sichert das nur gepingt wird wenn aktive Verbindungen
# bestehen. Nach einem normalen Disconnect wird nicht mehr gepingt.
ping 10
ping-restart 180
ping-timer-rem
push "ping 10"
push "ping-restart 90"
push "ping-timer-rem"

# Zusätzlich kann eine Kompression erzwungen werden, welche den Nachteil
# hat die verfügbare Bandbreite ein wenig zu vermindern.
# Um die Kompression zu deaktivieren folgende Zeilen auskommentieren.
; comp-lzo
; push "comp-lzo"

# Log und Status
verb 4
mute 50




CLIENT-Config
Quote:
# Diese Client-Konfiguration wurde mit der OpenVPN V2.0 RC16 erstellt und ist mit OpenVPN V2.0.2 getestet.
# Der Zielhost entweder die IP direkt eintragen
# oder einen dynamischen Hostnamen auflösen lassen.
remote server-rz.dyndns.org

# Verbindungsprotokolltyp wählen
# UDP-Verbindungen sind Verbindlosorientiert.
# TCP-Verbindungen sind verbindungsorientiert.
# UDP ist als Standard gesetzt.
proto udp

# Hier der Device-Typ definiert
# TAP-Devices eigenen sich zum überbrücken von LAN-Adaptern.
# TUN-Device sind eher für Umgebungen wo Routing verwendet wird.
dev tap

# Bei mehreren Adaptern empfiehlt es sich den Adapter genau zu benennen.
# Es kann sonst sein das sonst ein anderer Adapter umkonfiguriert wird.
dev-node OpenVPN

# Der TAP/TUN Adapter wird mit einer eigenen IP bestückt.
# TAP-Adapter werden mit IP Subnetzmaske definiert.
# TUN-Adapter werden mit local VPN-Endpunkt remote VPN-Endpunkt
# angegeben, dabei wird nicht die Subnetzmaske angegeben.
# Bei der Verwendung von Brücken kann ifconfig auch vom Server
# gepushed werden. Laut Manual kann beim Bridging auf die folgenden
# Zeilen verzichtet werden. http://openvpn.net/bridge.html
; ifconfig 192.168.127.225 255.255.255.0
; ifconfig-noexec

# Die Authentifizierung wird in diesem Abschnitt ausgehandelt.
# Die folgende Zeile sagt wir sind ein Client
tls-client
ca C:\\Programme\\OpenVPN\\Zertifikate\\ca.crt
key C:\\Programme\\OpenVPN\\Zertifikate\\client.key
cert C:\\Programme\\OpenVPN\\Zertifikate\\client.crt
ns-cert-type server

# Weitere Einstellungen vom Server holen.
# Das können z.B. die Parameter für Ping und Ping-Restart sein oder
# falls nicht manuell gesetzt die IP-Adresse oder notwendige Routen.
pull

# Log und Status
verb 4
mute 50



Bitte achtet darauf wenn ihr verschiedene LANs miteinander verbindet, das in dem Moment wo die Verbindung hergestellt wird keine IPs doppelt vergeben sind. Viele konfigurieren den Router ja meist mit der IP: 192.168.1.1 wenn ein zweiter Router im nun großen LAN mit selber IP auftaucht gibt es das tolle Phänomen das die Verbindung ca. 1Minute steht und dann schießt sich irgendein DSL-Router ins Nirwana. In dem Moment bricht dann natürlich auch die VPN-Verbindung zusammen.
Vor solchen Aktionen also die Router schön umkonfigurieren z.B. so:
LAN1: 192.168.1.1
LAN2: 192.168.1.2
LAN3: 192.168.1.3
usw.
Die Gateways der jeweiligen Rechner im LAN nicht vergessen.

Bisher habe ich 3 LANs auf diese Weise verbunden und ich kann auch
VNC, RDP benutzen um auf die anderen Maschinen zuzugreifen.
Im Prinzip reicht es wenn ihr in jedem Netz eine WinXP-Kiste oder einen W2k3-Server habt um euch so komplett zu verdrahten.

Ich hoffe das hat euch jetzt ein bisl weitergeholfen.
DataKill


Als Nachtrag:
Die Konfiguration oben läuft so auch ohne weiteres mit der aktuellen Version von OpenVPN 2.0.2
Immer wieder lese ich das versucht wird beim Bridging eine Route zu
pushen, das ist m.E. nicht nötig, da beim Aufbau einer Bridging-Lösung
alle Maschinen im selben Netz stehen müssen, somit fällt ein Routing flach.

Im Klartext heisst das BRIDGING = KEIN ROUTING

_________________
it's done when it's done
cause it's good to be bad
------------------------------------------------------
Call me Mr "Connect 4 LANs via OpenVPN"
Bridging is the solution!


Last edited by DataKill on 14.09.2005 09:30, edited 4 times in total.

Top
Offline Profile  
Reply with quote  
 Post subject:
PostPosted: 27.02.2005 20:38 
AES 256 bit
AES 256 bit
User avatar

Joined: 04.06.2004 12:08
Posts: 363
Location: Hannover
Hi Datakill,

gute arbeit. Ich pinn das mal oben an.
daniel


Top
Offline Profile  
Reply with quote  
 Post subject:
PostPosted: 22.03.2005 11:08 
Tripple-DES
Tripple-DES

Joined: 22.03.2005 11:05
Posts: 13
Hi,

ich habe bisher mit OpenVPN immer das Problem gehabt, dass ich nur eine Sternförmigeverbindung mit mehreren Netzen Aufbauen konnte. Sprich Ich konnte in alle Netze, die eine Verbindung zu mir hatten. Ich möchte jetzt aber, dass mehrere Netze sich auf einem Server einwählen und somit alle sehen, die ebenfalls eingewählt sind. Ist etwas blöd zu erklären, ich hoffe ihr habt verstanden was ich meine.

Gruß
Tux3001


Top
Offline Profile  
Reply with quote  
 Post subject:
PostPosted: 22.03.2005 13:48 
Dann muss jeder Client auch eine Netzwerkbrücke mit dem TAP-Device machen und alle sollten im gleichen IP-Bereich sein.


Top
  
Reply with quote  
 Post subject:
PostPosted: 22.03.2005 14:04 
Tripple-DES
Tripple-DES

Joined: 22.03.2005 11:05
Posts: 13
Aber es ist möglich? oder anders.... Du hast es schonmal probiert? Weil damals schon viele gesagt haben, wir routen uns das schon irgend wie zurecht, jedoch ist dort nie etwas drauß geworden :( Niemand hat es hin bekommen und wir hatten zwei Iptables freaks unter uns.

Gruß
Tux


Top
Offline Profile  
Reply with quote  
 Post subject:
PostPosted: 22.03.2005 16:15 
Tripple-DES
Tripple-DES

Joined: 19.03.2005 13:55
Posts: 15
Es funktioniert definitiv. Bridge und Routen hat imho nicht viel miteinander zutun. Bridgen läuft auf Layer 2 und Routen auf Layer 3. Mehere Bridges machen halt unter Umständen recht viel Overhead, aber sollte funktionieren.
Routen sollte auch keine Problem bereiten. Ihr könnt auch OLSR fürs Lan benutzen. Das erstellt dynamisch Routen. Funktioniert klasse und der Overhead ist minimal.

Gruß,
Jan


Top
Offline Profile  
Reply with quote  
 Post subject:
PostPosted: 22.03.2005 19:49 
Routen bringt Dir aber bei LAN-Spielen etc. nichts. Und wenn man wirklich will, dass alles genauso ist wie in einem richtigen Netzwerk, müssen alle im gleichen IP Bereich sein. Ich habe hier mein Netz und kann mich mit einem Netz von einem Freund verbinden, alle PCs sehen sich dann untereinander. Würde nun noch ein Netz dazu kommen, sollte es auch ohne Probleme gehen. Der OpenVPN-Server und der OpenVPN-Client haben jeweils die Netzwerkkarte und das TAP-Deive überbrückt.


Top
  
Reply with quote  
 Post subject: Wo ist die Bridge???
PostPosted: 25.03.2005 07:27 
DES
DES

Joined: 25.03.2005 07:13
Posts: 1
Location: DD
An welcher Stelle ist denn hier eigentlich die Bridge???

Ist es das client-to-client, was diese Konfiguration vom "normalen" VPN unterscheidet? Ich seh hier eigentlich nur einen Server, auf den von mehreren Clients durch einen VPN-Tunnel verbunden werden kann. Fehlt da nich noch was?

_________________
mfg Rob
_______________________________________


Top
Offline Profile  
Reply with quote  
 Post subject:
PostPosted: 01.04.2005 00:48 
Tripple-DES
Tripple-DES
User avatar

Joined: 27.03.2005 01:49
Posts: 18
Also ich habe alles wie im Tutorial vom Martin gemacht.

Clienten bridgen ihre LAN-Verbindung mit dem TAP-Device.
Der Server bridged die LAN-Verbindung mit dem TAP-Device.
Alle sind im gleichen IP Bereich.

Es kann jeder auf jeden zugreifen.
Jeder sieht Jeden.

Quote:
An welcher Stelle ist denn hier eigentlich die Bridge???


Da:

http://mitglied.lycos.de/admiralaki/fil ... haften.jpg

Einfach LAN und TAP makieren
rechte Maustaste->Brücke erstellen
Brücke konfigurieren


Top
Offline Profile  
Reply with quote  
 Post subject:
PostPosted: 02.08.2005 00:27 
DES
DES

Joined: 31.07.2005 18:16
Posts: 4
hi

@tux

Also ich habe es bei mir auch Sternförmig aufgebaut und die passenden Routingeinträge gesetzt und jetzt sieht jeder jeden udn alles ohne Bridge. 10 verschieden Netze mit den verschiedensten Adressbereichen.

Wo ist das Problem? Ich denke nur das Routing oder ;-)

Cu Joe


Top
Offline Profile  
Reply with quote  
 Post subject:
PostPosted: 04.08.2005 13:30 
Tripple-DES
Tripple-DES

Joined: 22.03.2005 11:05
Posts: 13
HI,

versteh ich das jetzt richtig, dass das Bridging nur mit WinXp funktioniert?? Ich möchte nämliche mein reines Linux Netz mit drei Windows Netzen verbinden. Wie müsste auf meinem Linuxserver dann das Routing aussehen??

Gibt es für solch ein Szenario eigentlich irgend ein HowTo??

Gruß
Tux3001


Top
Offline Profile  
Reply with quote  
 Post subject:
PostPosted: 10.08.2005 08:57 
AES 192 bit
AES 192 bit

Joined: 06.06.2004 14:49
Posts: 165
Location: Hildesheim
Nein, Bridging geht selbstverständlich auch mit Linux. Hinweise zu OpenVPN und bridging unter Linux findest du hier:

http://openvpn.net/bridge.html


Top
Offline Profile  
Reply with quote  
 Post subject:
PostPosted: 15.08.2005 13:22 
Tripple-DES
Tripple-DES

Joined: 22.03.2005 11:05
Posts: 13
desaster_2000 wrote:
hi

@tux

Also ich habe es bei mir auch Sternförmig aufgebaut und die passenden Routingeinträge gesetzt und jetzt sieht jeder jeden udn alles ohne Bridge. 10 verschieden Netze mit den verschiedensten Adressbereichen.

Wo ist das Problem? Ich denke nur das Routing oder ;-)

Cu Joe


Kannst du mir ein Beispiel für das Routing geben??? Einfach mal ein Routing zwischen 4 Netzen wovon in einem der Router steht. Hier ein kleines Beispiel. Das ganze ist im mom nach den Standard Bespielen (bis auf die IP-Adressen) von http://openvpn.net konfiguriert.

Image

Alle Rechner haben bekommen mit einem push die Route ins LAN-A. Ich würde jetzt gerne mit einem weiteren push das so routen, dass alle sich gegenseitig sehen. Übrigens in LAN-A steht ein Debian Sarge Server mit einem 2.6er Kernel auf dem das ganze lüppt.

Gruß
Tux[/img]


Top
Offline Profile  
Reply with quote  
 Post subject:
PostPosted: 19.08.2005 06:16 
Tripple-DES
Tripple-DES

Joined: 22.03.2005 11:05
Posts: 13
Hallo Leute,

ich habe es geschafft, dass mein Server nun bridging macht. Doch nun kann ich die Clients am anderen Ende des Tunnels nicht mehr pingen. Müssen wir jetzt alle drei Netze ins gleiche Subnet hängen und dem Tunnel ebenfalls das gleiche Subnet geben?

Gruß
Tux


Top
Offline Profile  
Reply with quote  
 Post subject:
PostPosted: 27.08.2005 11:49 
Tripple-DES
Tripple-DES

Joined: 22.03.2005 11:05
Posts: 13
hi ichnochmal ;)

also ich habe jetzt alle drei Netze in einem Subnet. 192.168.123.*
Auf dem Server habe ich nun folgende devices: tap0 eth0 br0

die Conf auf dem Server sieht folgender maßen aus:

Code:
port 1194                                       
proto udp                                       
dev tap

ca /etc/openvpn/my-ca.pem                       
cert /etc/openvpn/servercert.pem               
key /etc/openvpn/serverkey.pem                 
dh /etc/openvpn/dh1024.pem                     

server-bridge 192.168.123.50 255.255.255.0 192.168.123.128 192.168.123.254                     

ifconfig-pool-persist ipp.txt                 

keepalive 10 120                                .

auth SHA1                                     

cipher AES-256-CBC                             

comp-lzo                                       

verb 9


Ich habe so eben einen Verbindungstest gemacht gemacht. der erste Client hat die IP 192.168.123.128 bekommen. Ich kann diese IP aber vom Server aus nicht pingen.

So sieht die Conf auf dem client aus:

Code:
client               
dev tap                 

remote greyzone.homelinux.org 1194     

ca my-ca.pem                           

cert dennis3cert.pem                   

key dennis3key.pem                     

auth SHA1                               
cipher AES-256-CBC                 

comp-lzo                             


müssen die WinXP-Client ihre Verbindungen ebenfalls brücken??

gruß
Tux


Top
Offline Profile  
Reply with quote  
Display posts from previous:  Sort by  
Post new topic Reply to topic  [ 20 posts ]  Moderator: Moderators Go to page 1, 2  Next

All times are UTC


Who is online

Users browsing this forum: No registered users and 1 guest


You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot post attachments in this forum

Search for:
Jump to:  
cron
Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group
Theme created StylerBB.net