Gateprotect und OpenVPN GUI (Windows) Konfigurationsdatei

tropical
Goto Top

Einrichtung von der OpenVPN GUI unter Windows in zusammenhang mit GateProtect Firewall V8.1

Hallo,

da ich das Problem selber gelöst habe Poste ich anstatt der Fehlerbeschreibung hier jetzt meine Lösung.

Die Konfigurationsdatei muss wie folgt im config Verzeichniss von OpenVPN GUI angelegt werden:


Man kann die Einstellungen auch alle mittels Push-Verfahren von der Firewall bekommen. Ich hatte jedoch das Problem, das er ungültige Einstellungen bekommen hat (Bei ifconfig). Deshalb der manuelle Weg.

Wichtig ist auch in der Konfigurations der Firewall eine feste IP zu Vergeben. Die IP hat die Maske 255.255.255.252. Daraus ergibt sich auch oben genannter ifconfig-Befehl. Dieser muss an die jeweilige Konfigurations angepasst werden.


Unter https://www.gateprotect.com/mygateprotect/content/category/5/21/91/ steht übrigens wie es unter Linux mit dem OpenVPN-Admin eingestellt werden soll.

Viele Grüße,

Tobi

Content-Key: 124773

Url: https://administrator.de/contentid/124773

Ausgedruckt am: 27.06.2022 um 09:06 Uhr

Mitglied: aqui
aqui 13.09.2009, aktualisiert am 18.10.2012 um 18:39:19 Uhr
Goto Top
Entsprechende Tutorials gibt es hier aber auch bei Administrator.de:

https://www.administrator.de/wissen/openvpn-teil-1-installation%2c-konfi ...
und
https://www.administrator.de/wissen/openvpn-teil-2-openvpn-konfiguration ...
Bzw. eins für die Praxis:
https://www.administrator.de/wissen/openvpn-server-installieren-auf-dd-w ...

2 zusätzliche Dinge:

1.) Die o.a. Konfig beinhaltet einen Kardinalsfehler der mit ziemlicher Sicherheit zu Frust und Nichtfunktion führt:
"link-mtu 1560" ist natürlich hahnebüchender Unsinn !
Grund ist das Ethernet Frames per se nur max. 1500 Byte groß sein dürfen. Allein durch diese Tatsache ist dieser Wert von 1560 dann schon Unsinn in sich !
Da ein DSL Anschluss durch den PPPoE Overhead maximal 1492 Byte übertragen kann ist ein höherer Wert hier gefährlich, denn er zwing den Router zu fragmentieren, was die Performance erheblich in die Knie zwingt. Meist ist mit Setzen des "Dont fragment Bit" so oder so ein Fragmentieren verboten und dann steht die VPN Verbindung bei größen Framesizes. Sollen hier noch in per VPN Daten encasuliert werden muss die MTU weiter entsprechend verkleinert werden. z.B. auf 1452 Byte.
Es ist also vollkommen kontraproduktiv diesen Wert auf 1560 zu setzen und zeugt eher von Unkenntnis von MTU Framegrößen und Protokollhandling !!
Besser ist ihn ganz zu löschen und mit den OpenVPN Defaults zu leben. Wenn man ihn aber unbedingt setzen will, sollte er nicht größer als 1452 sein !

2.) Die "Push" Variante ist zur Übertragung externer Routen immer aus Sicherheitgründen vorzuziehen. Warum du dort falsche Einstellungen bekommen hast ist unverständlich und kann sich nur um einen Konfigurations- oder Adressierungsfehler deinerseits handeln wie bei dem MTU Fauxpas oben, denn das funktioniert fehlerlos ! (Siehe DD-WRT Tutorial oben !)
Mitglied: tropical
tropical 13.09.2009 um 19:22:31 Uhr
Goto Top
Hi,

ok das mit der MTU war wirklich dumm. Man lernt es als erstes.

Das Problem mit der Konfiguration ist, dass auf der Firewall kaum Einstellung für das OpenVPN gemacht werden können. Bzw. nur direkt an der Konsole und dort wird sich nicht an die Standards von OpenVPN gehalten. Es gibt dort die Datei /etc/openvpn/c2s_server/openvpn.cfg


Die bringt einen aber auch nicht wirklich weiter.

Ich habe daraufhin einmal den Client vom Hersteller benutzt. Im LOG ist zu erkennen wie die OpenVPN aufrufen:


Wenn ich jedoch eine Konfigurationsdatei mit o.g. Parametern erstelle funktioniert es natürlich nicht.

Was mache ich falsch?
Mitglied: aqui
aqui 14.09.2009, aktualisiert am 18.10.2012 um 18:39:20 Uhr
Goto Top
Besorg dir einen anständigen DD-WRT Router, installier OpenVPN da drauf und dann hast du auch keine Probleme mehr:

https://www.administrator.de/wissen/openvpn-server-installieren-auf-dd-w ...

Oder nimm gleich eine kostenfreie IPsec fähige Firewall:
https://www.administrator.de/wissen/ipsec-vpn-auf-m0n0wall-oder-pfsense- ...
und setze dazu den freien Gateprotect oder Shrew Client ein:
http://www.gateprotect.com/de/vpn_download.php
http://www.shrew.net/
Dann stellen sich diese Problem auch gar nicht erst...

So bist du immer von der Gnade und dem Wohlwollen eines Herstellers abhängig...nicht immer die beste Lösung !