[PUG] OpenVPN über HTTP Proxy
hi, im Hotel hier habe ich Zugang ins Netz über einen http Proxy der unter anderem »connect« zulässt, weshalb es mir mit »corkscrew« gelingt, mich per SSH auf meine Kiste einzuloggen. Nach diesem Erfolg wollte ich das nun mit OpenVPN testen und er kommt immerhin bis zum ersten Teil. Soll heißen, er tauscht Schlüssel und ich erhalte dann eine IP. Doch beim pushen der Routen geht irgendwas schief: --- Sun Jun 22 21:52:45 2008 Control Channel Authentication: using 'ta.key' as a OpenVPN static key file Sun Jun 22 21:52:45 2008 LZO compression initialized Sun Jun 22 21:52:45 2008 Attempting to establish TCP connection with 192.168.10.200:3180 [nonblock] Sun Jun 22 21:52:46 2008 TCP connection established with 192.168.10.200:3180 Sun Jun 22 21:52:48 2008 TCPv4_CLIENT link local: [undef] Sun Jun 22 21:52:48 2008 TCPv4_CLIENT link remote: 192.168.10.200:3180 Sun Jun 22 21:52:54 2008 [sakura.4lin.net] Peer Connection Initiated with 192.168.10.200:3180 Sun Jun 22 21:52:56 2008 TUN/TAP device tun0 opened Sun Jun 22 21:52:56 2008 ifconfig tun0 10.9.0.6 pointopoint 10.9.0.5 mtu 1500 Sun Jun 22 21:52:56 2008 Initialization Sequence Completed Sun Jun 22 21:52:59 2008 read TCPv4_CLIENT []: No route to host (code=113) Sun Jun 22 21:53:03 2008 read TCPv4_CLIENT []: No route to host (code=113) Sun Jun 22 21:53:09 2008 read TCPv4_CLIENT []: No route to host (code=113) Sun Jun 22 21:53:16 2008 event_wait : Interrupted system call (code=4) - 192.168.10.200:3180 = Proxy im Hotel In den Server logs finde ich: --- un 22 19:40:20 sakura ovpn-server[16728]: TCP connection established with 84.141.254.37:20151 Jun 22 19:40:20 sakura ovpn-server[16728]: TCPv4_SERVER link local: [undef] Jun 22 19:40:20 sakura ovpn-server[16728]: TCPv4_SERVER link remote: 84.141.254.37:20151 Jun 22 19:40:20 sakura ovpn-server[16728]: 84.141.254.37:20151 TLS: Initial packet from 84.141.254.37:20151, sid=02e33c06 326a4fb1 Jun 22 19:40:23 sakura ovpn-server[16728]: 84.141.254.37:20151 VERIFY OK: depth=1, /C=DE/ST=HESSEN/L=DARMSTADT/O=Private_VPN/CN=4lin.net/[EMAIL PROTECTED] Jun 22 19:40:23 sakura ovpn-server[16728]: 84.141.254.37:20151 VERIFY OK: depth=0, /C=DE/ST=HESSEN/O=Private_VPN/CN=kusanagi/[EMAIL PROTECTED] Jun 22 19:40:24 sakura ovpn-server[16728]: 84.141.254.37:20151 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key Jun 22 19:40:24 sakura ovpn-server[16728]: 84.141.254.37:20151 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication Jun 22 19:40:24 sakura ovpn-server[16728]: 84.141.254.37:20151 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key Jun 22 19:40:24 sakura ovpn-server[16728]: 84.141.254.37:20151 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication Jun 22 19:40:25 sakura ovpn-server[16728]: 84.141.254.37:20151 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 2024 bit RSA Jun 22 19:40:25 sakura ovpn-server[16728]: 84.141.254.37:20151 [kusanagi] Peer Connection Initiated with 84.141.254.37:20151 Jun 22 19:40:25 sakura ovpn-server[16728]: kusanagi/84.141.254.37:20151 MULTI: Learn: 10.9.0.6 - kusanagi/84.141.254.37:20151 Jun 22 19:40:25 sakura ovpn-server[16728]: kusanagi/84.141.254.37:20151 MULTI: primary virtual IP for kusanagi/84.141.254.37:20151: 10.9.0.6 Jun 22 19:40:26 sakura ovpn-server[16728]: kusanagi/84.141.254.37:20151 PUSH: Received control message: 'PUSH_REQUEST' Jun 22 19:40:26 sakura ovpn-server[16728]: kusanagi/84.141.254.37:20151 SENT CONTROL [kusanagi]: 'PUSH_REPLY,redirect-gateway,dhcp-option DNS 10.9.0.1,route 10.9.0.1,ping 10,ping-restart 120,ifconfig 10.9.0.6 10.9.0.5' (status=1) - Jetzt frage ich mich natürlich, warum der Rest scheinbar nicht über den Proxy läuft. Habt ihr eine Idee? cu denny This message was sent using IMP, the Internet Messaging Program. -- PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] OpenVPN über HTTP Proxy
Denny Schierz schrieb: Sun Jun 22 21:52:56 2008 Initialization Sequence Completed Sun Jun 22 21:52:59 2008 read TCPv4_CLIENT []: No route to host (code=113) Sun Jun 22 21:53:03 2008 read TCPv4_CLIENT []: No route to host (code=113) Sun Jun 22 21:53:09 2008 read TCPv4_CLIENT []: No route to host (code=113) Schießt Dir Dein OpenVPN die Route übers Hotel-WLAN weg? Die Falle ist beliebt. -martin signature.asc Description: OpenPGP digital signature -- PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] OpenVPN über HTTP Proxy
hi, Martin Schmitt schrieb: Schießt Dir Dein OpenVPN die Route übers Hotel-WLAN weg? Die Falle ist beliebt. jupp, tut er. Ich lasse ihn jetzt innerhalb von SSH laufen, das klappt zwar ohne Probleme, ist aber ein wenig strange. Also den Grund wüsste ich zu gern, weshalb er das nur so klappt. cu denny -- Stoppt den Überwachungswahn - Stoppt den Schäuble Katalog: http://www.nopsis.de signature.asc Description: OpenPGP digital signature -- PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] OpenVPN über HTTP Proxy
Denny Schierz schrieb: Schießt Dir Dein OpenVPN die Route übers Hotel-WLAN weg? Die Falle ist beliebt. jupp, tut er. Ich lasse ihn jetzt innerhalb von SSH laufen, das klappt zwar ohne Probleme, ist aber ein wenig strange. Also den Grund wüsste ich zu gern, weshalb er das nur so klappt. Da gibts eine Option, mit der dem OpenVPN-Client gesagt wird, daß er die Defaultroute aufs VPN legen soll. In dem Moment kann er aber seinen Server nicht mehr erreichen. Works as designed. Man kann OpenVPN aber so konfigurieren, daß es vorm Umsetzen der Defaultroute eine statische Route zum Server legt. Wie das geht? Weiß ich so auch nicht mehr. Mir war OpenVPN bei meinen Tests zu zickig und zu fehleranfällig, gerade beim Routing. -martin signature.asc Description: OpenPGP digital signature -- PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] OpenVPN über HTTP Proxy
Martin Schmitt schrieb: [...] Server nicht mehr erreichen. Works as designed. Man kann OpenVPN aber so konfigurieren, daß es vorm Umsetzen der Defaultroute eine statische Route zum Server legt. Das ist ja gerade der Witz: er hat gar keine Standardroute ;-) Mir wird zwar ein GW per DHCP von diesem Hotel Router übermittelt, aber darüber läuft nichts. Ich vermute eher einen Bug im Proxy Teil, denn in dem Moment wo er seine Verbindung hat, vergisst er scheinbar, dass er eigentlich über den Proxy gehen soll. Da die Route dann aber gesetzt wird, ist der Proxy selbst dann auch nicht mehr zu erreichen, aber das habe ich noch nicht nach geprüft. Hole ich morgen nach. Aber danke schonmal. cu enny -- Stoppt den Überwachungswahn - Stoppt den Schäuble Katalog: http://www.nopsis.de signature.asc Description: OpenPGP digital signature -- PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] openVPN
Hi, erst mal Danke für die Antworten. So etwas wie kvpnc habe ich gesucht, leider habe ich noch keine Verbindung damit herstellen können. Mit diesen Daten: dev tun remote XXX.dyndns.org ifconfig 192.168.3.2 192.168.3.1 secret /etc/openvpn/key_20060613.key # Geheimer Schlüssel port 1194 verb 6 läuft die Verbindung zum Server ohne Probleme (aus der Konsole, auch als deamon), mit kvpnc habe ich es schon über importieren, Assistent und freier Eingabe versucht, leider gab es immer mal wieder verschiedene Fehlermeldungen, die witzigste Keine Route zum Host obwohl die IP richtig aufgelöst wurde (im Terminal zu sehen). Ich werde noch mal ein bisschen herumexperementieren. Grüße Gregor -- PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] openVPN
Gregor Burck wrote: Hallöchen, versuche gerade zwei Rechner über openVPN zu verbinden (Linux - Linux). Klappt soweit auch ganz gut, jetzt würde ich gerne den Client so konfigurieren, das auch ein Benutzer die Verbindung aufbauen kann. 2. Frage wie mache ich das, unabhängig ob das sinnvoll ist. (sudoers?) - wenn ich openvpn ausführe, bekomme ich die Meldung das /dev/net/tun nicht zu öffnen ist -wenn ich /dev/net/tun für user schreibbar mache, kommt der nächste Fehler Zuerst mal die Frage, welche Distro Du fährst? Für Debian: Hilfreiche Unterstützung bietet /usr/share/doc/openvpn/README.Debian bzw das Unterverz. examples, von denen man ebensolche in /etc/openvpn/ kopieren und danach anpassen kann. Damit starten die Tunnel soz. als Service. Gruss Silvério -- PUG - Penguin User Group Wiesbaden - http://www.pug.org
[PUG] openVPN
Hallöchen, versuche gerade zwei Rechner über openVPN zu verbinden (Linux - Linux). Klappt soweit auch ganz gut, jetzt würde ich gerne den Client so konfigurieren, das auch ein Benutzer die Verbindung aufbauen kann. 1. Ist das sinnvoll? (Wenn ich mit dem Notebook unterwegs bin denke ich schon) 2. Frage wie mache ich das, unabhängig ob das sinnvoll ist. (sudoers?) - wenn ich openvpn ausführe, bekomme ich die Meldung das /dev/net/tun nicht zu öffnen ist -wenn ich /dev/net/tun für user schreibbar mache, kommt der nächste Fehler Grüße Gregor -- PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] openVPN
Am Mittwoch, 14. Juni 2006 15:58 schrieb Gregor Burck: Hallöchen, versuche gerade zwei Rechner über openVPN zu verbinden (Linux - Linux). Klappt soweit auch ganz gut, jetzt würde ich gerne den Client so konfigurieren, das auch ein Benutzer die Verbindung aufbauen kann. 1. Ist das sinnvoll? (Wenn ich mit dem Notebook unterwegs bin denke ich schon) 2. Frage wie mache ich das, unabhängig ob das sinnvoll ist. (sudoers?) - wenn ich openvpn ausführe, bekomme ich die Meldung das /dev/net/tun nicht zu öffnen ist -wenn ich /dev/net/tun für user schreibbar mache, kommt der nächste Fehler Das ist klar, openvpn muss ein neues Netzwerkdevice registrieren. Dass kann es nur als root (oder zumindest mit den entsprechenden Capabilities, wenn Du Capability-Management verwendest). Ich starte OpenVPN entweder via init-Script oder über kvpnc. Letzteres ist vor allem für Notebooks interessant. Max -- Max Trense -- [EMAIL PROTECTED] -- www.trense.info -- PUG - Penguin User Group Wiesbaden - http://www.pug.org
[PUG] OpenVPN über Proxy Server
hi, ein Kunde will nach Kanada und ich richte ihm VPN mittels OpenVPN ein (XP - Linux). Das Problem, ich weiß nicht was er dort für Voraussetzungen hat. Vermutlich geht er über W-Lan und einen Proxy Server. Was muss dann der Proxy Server können? Ich habe testhalber meinen Squid eingespannt, aber der OVPN bringt eine Fehlermeldung. Sat Jul 17 23:16:06 2004 TCP connection established with 192.168.3.1:3128 Sat Jul 17 23:16:08 2004 HTTP proxy returned bad status Sat Jul 17 23:16:08 2004 SIGTERM[soft,socket] received, process exiting In der Squid Log steht: 1090098456.695 46049 192.168.3.157 TCP_MISS/503 0 CONNECT bartmann.dyndns.org:5000 - DIRECT/84.135.174.207 - 1090098469.696709 192.168.3.157 TCP_MISS/503 0 CONNECT bartmann.dyndns.org:5000 - DIRECT/84.135.174.207 - Was ist dann das Problem? -- cu denny NEW(!) Gnupg key can be found under pgp.mit.edu, key ID 0xAB7D3FE0 signature.asc Description: Dies ist ein digital signierter Nachrichtenteil