marcel90
Goto Top

VPN Zertifikate Linux zu Windows

Hallo zusammen,
ich habe gerade bei mir im Privaten Haushalt einen VPN Server laufen. Habe diesen auf Linux so weit eingerichtet und auch die Zertifikate habe ich zur verfügung.
Die Zertifikate wo ich erstellt habe, liegen im Format .pem vor. Meine Frage ist jetzt folgendes kann ich mit diesen ebenfalls unter Windows arbeiten?
Das nächste ist, wie bekomme ich eine VPN Verbindung so hin, dass er keinen Benutzernamen will sondern nur mit Hilfe des Zertifikates sich einloggt?

Ich verwende Windows 7 auf meinem PC der als Client verwendet werden soll.
Als "Server" wird ein Raspberry eingesetzt. Ich habe das ganze nach dieser Anleitung hier installiert, und habe nun eben das Problem mit dem connecten.
http://www.gtkdb.de/index_7_2127.html

Würde mich sehr über Antworten freuen.

Content-ID: 212207

Url: https://administrator.de/forum/vpn-zertifikate-linux-zu-windows-212207.html

Ausgedruckt am: 22.12.2024 um 12:12 Uhr

aqui
aqui 23.07.2013 aktualisiert um 16:47:34 Uhr
Goto Top
Leider bist du bei der Angabe "VPN" recht unspezifisch und zwingst uns hier zum Raten im freien Fall oder den Blick in die Kristallkugel face-sad
Wenn es ein OpenVPN VPN Server ist einfach mal die Suchfunktion benutzen:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Das Stichwort heisst dann "easy-rsa" oder eben XGA. Ist bei OVPN gleich mit an Bord.
Wenn du IPsec meinst hilft ggf. das hier:
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
Bei beiden ist die Verwendung von Zertifikaten simpler Standard, speziell OVPN wo es default ist.
PPTP wirst du ja sicher nicht meinen, oder ?
http://www.heise.de/security/artikel/Der-Todesstoss-fuer-PPTP-1701365.h ...
marcel90
marcel90 23.07.2013 um 16:53:10 Uhr
Goto Top
Hey, genau ich habe einen OpenVPN Server verwendet.
Ich werde mir mal deinen Link dazu anschauen, vielen dank
aqui
aqui 24.07.2013 aktualisiert um 13:57:50 Uhr
Goto Top
Na ja für einen OVPN Server auf dem Raspberry ist das ein Kinderspiel !
Folge einfach dem o.a. Tutorial da steht alles explizit drin. Bei OVPN ist die Konfig immer gleich egal auf welcher HW sie betrieben wird.
Zusätzlich hilft ggf. noch:
http://jankarres.de/2013/05/raspberry-pi-openvpn-vpn-server-installiere ...
http://www.heise.de/netze/artikel/Offene-Verschlusssache-221675.html (gutes Tutorial)
http://raspberrypihelp.net/tutorials/1-openvpn-server-tutorial
usw. usw. "Raspberry + Openvpn" bei Dr. Google fördert 100e Anleitungen zutage.
bzw.
Netzwerk Management Server mit Raspberry Pi
marcel90
marcel90 30.07.2013 aktualisiert um 13:48:43 Uhr
Goto Top
Jetz muss ich hier das Thema nochmals aufgreifen. Und zwar habe ich jetz so weit alles geschafft das ich eine Verbindung habe usw. Dann hatte ich das Problem, dass ich anderen Geräte auser mein Router und den Server nicht anpingen konnte. Das hat wohl was damit zu tun, dass der Router nicht weis wohin mit den Daten. Da man bei meinem Router da natürlich nix eintragen kann habe ich den Hinweis bekommen, dass ich das ganze mal als Bridge machen soll. Dies habe ich nun auch gemacht. Verbindung funktioniert, habe alle anderen Teilnehmener gesehen, die im lokalen Netz hängen und hatte auch Zugriff drauf. Nun starte ich also den Server neu und dann geht es los. Ohne etwas zu verändern ging die Verbindung mittels SSH verdammt langsam bis ich mal auf dem Server drauf war. Der OpenVPN Server ist nicht mehr erreichbar. Sprich es geht wieder nichts mehr.
Dann wieder ein Reboot gemacht und auf einmal SSH Verbindung war wieder schnell aufgebaut und auch der VPN Server wieder erreichbar und voll funktionsfähig. So nun ändert sich das bei mir eben immer. Mal funktioniert es mal eben auch nicht. Je nach Lust und Laune.
Was mir allerdings aufgefallen ist, wenn die Verbindung NICHT geht und ich ein ifconfig mach
br0 : Link encap:Ethernet Hardware Adresse 96:29:ac:e7:dc:4f
eth0: Link encap:Ethernet Hardware Adresse b8:27:eb:91:32:6e
tap0: Link encap:Ethernet Hardware Adresse 96:29:ac:e7:dc:4f
Wenn die Verbindung geht
br0 : Link encap:Ethernet Hardware Adresse b8:27:eb:91:32:6e
eth0: Link encap:Ethernet Hardware Adresse b8:27:eb:91:32:6e
tap0: Link encap:Ethernet Hardware Adresse 96:29:ac:e7:dc:4f

Wenn es geht, hat br0 und eht0 die gleiche Hardware Adresse, wenn es nicht geht hat br0 die Hardware Adresse von tap0. Das komische ist, ohne etwas zu verstellen macht er mal das eine, mal das andere.
Abei habe ich hier noch meine /etc/network/interfaces
auto lo
iface lo inet loopback

allow-hotplug eth0
auto br0
iface br0 inet static
address 192.168.0.31
network 192.168.0.0
netmask 255.255.255.0
broadcast 192.168.0.255
gateway 192.168.0.1
dns-nameservers 192.168.0.1
bridge_ports eth0 tap0
pre-up openvpn --mktun --dev tap0
post-down openvpn --rmtun --dev tap0
Mehr steht nicht drin.
Dann noch die Serverconfig
local 192.168.0.31
port 1194
proto udp
dev tap0
ca /etc/openvpn/vpn-ca.pem
cert /etc/openvpn/servercert.pem
key /etc/openvpn/serverkey.pem
dh /etc/openvpn/dh1024.pem
server-bridge 192.168.0.31 255.255.255.0 192.168.0.50 192.168.0.55
ifconfig-pool-persist ipp.txt
keepalive 10 120
comp-lzo
client-to-client
cipher AES-128-CBC
persist-key
persist-tun
status /var/log/openvpn-status.log
log-append /var/log/openvpn.log
Und zum Schluss noch die Clientconfig
client
dev tap
proto udp
remote MEINEIPADRESSE 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client1.crt
key client1.key
cipher AES-128-CBC
comp-lzo
verb 1
tun-mtu 1500
mssfix
Wie bereits geschrieben, wenn ich es so lasse, dann geht es hin und wieder. Ich vermute mal, dass es irgendwo etwas mit dem Bridge zu tun hat. Da sobald ich zwischen eth0 und br0 unterschiedliche Hardware Adressen habe die Verbindung auf den VPN nicht klappt und die Verbindung zum SSH relativ lange dauert.
aqui
aqui 30.07.2013 um 16:43:02 Uhr
Goto Top
Bridging solltest du in so einem Umfeld besser lassen ! Sinnvoller ist es die Interfaces sauber zu routen, dann klappt das auch stabil !
marcel90
marcel90 30.07.2013, aktualisiert am 31.07.2013 um 13:37:30 Uhr
Goto Top
Das Routen mag doch nicht, der Router wo ich verwende, kann ich keinen Gateway/Route oder wie man das hier nennt eintragen. Daher wollte ich das ja auch so machen. Da ich anders nur den Router und den Server Pingen konnte mehr aber nicht.

Das ganze hat sich erledigt. Server läuft unter Bridge nun wie gewollt.

Ich danke euch für die Hilfe!