7
VPN Installation schlägt fehl
VPN Einrichtung auf 2 Rechnern schlägt fehl
Hallo
ich möchte gern einen (oder mehrere) externe Rechner in das Firmennetzwerk integrieren.
Bisher ist die Architektur so:
Netzwerk mit Adressen 192.168.1.x (Subnet 255.255.255.0)
, die Adresse 192.168.1.50 ist der Router (D-Link)
und 192.168.1.40 ist der Server auf dem VPN laufen soll.
Auf dem Router und Server habe ich Port 10000 freigegeben und den Router so eingestellt,
das er die Pakete weiterleitet.
Auf dem Server (Debian 5.0) habe ich openvpn als Server installiert,
und die server.conf bearbeitet.
Der Inhalt der Datei:
proto udp
proto udp
ca ./easy-rsa2/keys/ca.crt
cert ./easy-rsa2/keys/key.crt
key ./easy-rsa2/keys/key.key
dh ./easy-rsa2/keys/dh1024.pem
server 10.8.0.0 255.255.255.0
server 10.8.0.0 255.255.255.0
persist-key
persist-tun
cipher AES-128-CBC
auth sha1
ping-timer-rem
keepalive 20 180
dazu net.ipv4.ip_forward=1 in die sysctl.conf eingetragen.
Die Zertifikate habe ich nach der Anleitung erstellt/generiert und auf dem Server gespeichert,
sowie die passenden Dateien auf einen USB STick übertragen.
Den Client habe ich auch nach der Anleitung eingerichtet,
die passenden Zertifikate übertragen.
mit route add habe ich die passenden Routen auf dem Client eingetragen.
Auf dem Server habe ich openvpn gestartet,
und auf dem Client auch.
Aber eine Verbindung kam nicht zustande.
nachdem ich dann openvpn --config /etc/openvpn/server.conf (bzw. client.conf)
aufgerufen habe konnte ich die Fehlermeldungen verfolgen.
Aus den Meldungen war zu ersehen,
das die TLS Aushandlung fehlgeschlagen hat.
Im IRC habe ich nun den Tipp bekommen,
statt der Zertifikate einfach einen static.key zu erstellen,
direkt mit openvpn.
openvpn --genkey --secret static-key
Das habe ich auch gemacht,
und alles entfernt aus den .conf Dateien.
Die server.conf sieht nun so aus;:
dev tun
ifconfig 192.168.1.40 10.8.0.1
secret /etc/openvpn/static-key
push "route 192.168.1.0 255.255.255.0"
port 10000
Die Client Config kann ich Anfang der Woche nachreichen.
Nun konnte ich auf dieser Weise mit dem Client auf den Server zugreifen,
und z.b. dort den Mailserver oder Internetserver nutzen.
Andere Rechner im entfernte sind nicht erreichbar.
Meine Fragen:
1. Wie kann ich das hinbekommen das ich auch andere Rechner im Lan erreichen kann?
2. Wie sicher ist der so erzeugte Key?
Hallo
ich möchte gern einen (oder mehrere) externe Rechner in das Firmennetzwerk integrieren.
Bisher ist die Architektur so:
Netzwerk mit Adressen 192.168.1.x (Subnet 255.255.255.0)
, die Adresse 192.168.1.50 ist der Router (D-Link)
und 192.168.1.40 ist der Server auf dem VPN laufen soll.
Auf dem Router und Server habe ich Port 10000 freigegeben und den Router so eingestellt,
das er die Pakete weiterleitet.
Auf dem Server (Debian 5.0) habe ich openvpn als Server installiert,
und die server.conf bearbeitet.
Der Inhalt der Datei:
proto udp
proto udp
ca ./easy-rsa2/keys/ca.crt
cert ./easy-rsa2/keys/key.crt
key ./easy-rsa2/keys/key.key
dh ./easy-rsa2/keys/dh1024.pem
server 10.8.0.0 255.255.255.0
server 10.8.0.0 255.255.255.0
persist-key
persist-tun
cipher AES-128-CBC
auth sha1
ping-timer-rem
keepalive 20 180
dazu net.ipv4.ip_forward=1 in die sysctl.conf eingetragen.
Die Zertifikate habe ich nach der Anleitung erstellt/generiert und auf dem Server gespeichert,
sowie die passenden Dateien auf einen USB STick übertragen.
Den Client habe ich auch nach der Anleitung eingerichtet,
die passenden Zertifikate übertragen.
mit route add habe ich die passenden Routen auf dem Client eingetragen.
Auf dem Server habe ich openvpn gestartet,
und auf dem Client auch.
Aber eine Verbindung kam nicht zustande.
nachdem ich dann openvpn --config /etc/openvpn/server.conf (bzw. client.conf)
aufgerufen habe konnte ich die Fehlermeldungen verfolgen.
Aus den Meldungen war zu ersehen,
das die TLS Aushandlung fehlgeschlagen hat.
Im IRC habe ich nun den Tipp bekommen,
statt der Zertifikate einfach einen static.key zu erstellen,
direkt mit openvpn.
openvpn --genkey --secret static-key
Das habe ich auch gemacht,
und alles entfernt aus den .conf Dateien.
Die server.conf sieht nun so aus;:
dev tun
ifconfig 192.168.1.40 10.8.0.1
secret /etc/openvpn/static-key
push "route 192.168.1.0 255.255.255.0"
port 10000
Die Client Config kann ich Anfang der Woche nachreichen.
Nun konnte ich auf dieser Weise mit dem Client auf den Server zugreifen,
und z.b. dort den Mailserver oder Internetserver nutzen.
Andere Rechner im entfernte sind nicht erreichbar.
Meine Fragen:
1. Wie kann ich das hinbekommen das ich auch andere Rechner im Lan erreichen kann?
2. Wie sicher ist der so erzeugte Key?
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 158695
Url: https://administrator.de/forum/vpn-installation-schlaegt-fehl-158695.html
Ausgedruckt am: 11.04.2025 um 09:04 Uhr
7 Kommentare
Neuester Kommentar
Ich würde VPN lieber über den Router als Annahmestelle für Verbindungen machen, da sparst Du Dir die Portweiterleitungen und gewinnst eindeutig an Sicherheit. Was für ein Gerät habt Ihr denn?
Gruß, Arch Stanton
Gruß, Arch Stanton
1.) Indem du eine statische Route auf deinem D-Link einrichtest:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
2.) Ziemlich sicher, denn statt dummer Passworts nimmst du ja gerade Zertifikate !
Eine genaue Anleitung und Troubleshooting Guide findest du hier:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Die Konfig ist bei Debian identisch !
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
2.) Ziemlich sicher, denn statt dummer Passworts nimmst du ja gerade Zertifikate !
Eine genaue Anleitung und Troubleshooting Guide findest du hier:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Die Konfig ist bei Debian identisch !
Der Router ist ein DIR-533 von D-Link
also ein ziemlichn einfaches Gerät.
Der Openvpn server ist ein Debian-Server im Netz dahinter.
also ein ziemlichn einfaches Gerät.
Der Openvpn server ist ein Debian-Server im Netz dahinter.
Ich habe versucht ne statische Router im D-Link einzugeben,
aber es kommt folgende Meldung:
Die Routen-Gateway-IP 192.168.1.40 liegt nicht im Schnittstellen-Subnetz
Ich wollte erreichen, das der Router alle Pakete für 10.8.0.0 die er bekommt
an den Rechner mit der IP 192.168.1.40 weiterleitet.
Hab ich die Netzmask falsch gesetzt?
aber es kommt folgende Meldung:
Die Routen-Gateway-IP 192.168.1.40 liegt nicht im Schnittstellen-Subnetz
Ich wollte erreichen, das der Router alle Pakete für 10.8.0.0 die er bekommt
an den Rechner mit der IP 192.168.1.40 weiterleitet.
Hab ich die Netzmask falsch gesetzt?
Die statische Route müsste dann lauten:
Zielnetz: 10.8.0.0, Maske: 255.255.255.0, Gateway: 192.168.1.40
Nur mal ne blöde Frage: Dieser Post ist nicht zufällig ein Doppelpost zu diesem hier ???
VPN verbindet trotz falschem key
Zielnetz: 10.8.0.0, Maske: 255.255.255.0, Gateway: 192.168.1.40
Nur mal ne blöde Frage: Dieser Post ist nicht zufällig ein Doppelpost zu diesem hier ???
VPN verbindet trotz falschem key
doch
die frage bzw. das problem brennt mir unter den nägeln.....
ich wollte eigentlich in dem thread jeweils ein anders gelagertes problem um das gleiche vpn diskutieren...
die frage bzw. das problem brennt mir unter den nägeln.....
ich wollte eigentlich in dem thread jeweils ein anders gelagertes problem um das gleiche vpn diskutieren...
Dann schliesse bitte einen Thread und verweise auf den den du final bearbeiten willst. Auf die Dauer ist es etwas arbeitsintensiv auf 2 gleiche Threads zu antworten... 
Im anderen Thread ist dein grundlegendes problem ja schon beschrieben, denn es liegt am Design selber. So mit einer NIC im VPN Server ist das generell (ohne VLANs) technisch nicht zu machen !!
Da musst du also zwangsweise umbauen um zum Ziel zu kommen...
P.S.: Deine Shift Taste ist auch defekt !
Im anderen Thread ist dein grundlegendes problem ja schon beschrieben, denn es liegt am Design selber. So mit einer NIC im VPN Server ist das generell (ohne VLANs) technisch nicht zu machen !!
Da musst du also zwangsweise umbauen um zum Ziel zu kommen...
P.S.: Deine Shift Taste ist auch defekt !
