-
Willkommen im Linux Club - dem deutschsprachigen Supportforum für GNU/Linux. Registriere dich kostenlos, um alle Inhalte zu sehen und Fragen zu stellen.
[gelöst] Suse 11.2 VPN einrichten
- Ersteller $cruffy
- Erstellt am
drboe
Member
Du installierst openvpn (siehe openvpn.org oder openvpn.de) auf dem Server und dem Client. Zur Einrichtung müssen ASCII-Textfiles angepaßt werden und es stehen Skripte zur Verfügung, die die Konfiguration und das Erzeugen einer PKI unterstützen. Ein GUI ist für die Einrichtung nicht erforderlich.
M. Boettcher
M. Boettcher
Ich habe jetzt openvpn runtergeladen und diese Anleitung versuchte ich zu befolgen:
http://www.susegeek.com/security/install-configure-openvpn-ssl-vpn-in-suse-opensuse-linux/
Doch die folgende Zeilen verstehe ich einfach nicht:
Die letzten 3 Zeilen sind unlogisch. Auch wenn ich
durch
- so wie es offenbar sein sollte - ersetzt habe.
Der Fehler steckt scheinbar hier:
Könnt ihr helfen?
http://www.susegeek.com/security/install-configure-openvpn-ssl-vpn-in-suse-opensuse-linux/
Doch die folgende Zeilen verstehe ich einfach nicht:
Code:
Generate Master Certificate Authority (CA) certificate and key
Change Directory to /etc/openvpn/easy-rsa/2.0/ directory and run the following commands to cleanup initialize, cleanup any existing keys and build the CA.
Opensuse:~ # cd /etc/opensuse/easy-rsa/2.0/
opensuse:/etc/opensuse/easy-rsa/2.0/ # . ./vars
opensuse:/etc/opensuse/easy-rsa/2.0/ # ./clean-all
opensuse:/etc/opensuse/easy-rsa/2.0/ # ./build-caDie letzten 3 Zeilen sind unlogisch. Auch wenn ich
Code:
/etc/opensuse
Code:
/etc/openvpnDer Fehler steckt scheinbar hier:
Code:
# . ./varsKönnt ihr helfen?
josef-wien
Ultimate Guru
Da muß ich Dich enttäuschen. Die einzugebenden Befehle beginnen jeweils hinter dem #-Zeichen, also ist$cruffy schrieb:
falsch und$cruffy schrieb:
Code:
. ./varsdrboe
Member
Die Anleitung (HOWTO) findest Du unter http://www.openvpn.net/index.php/open-source/documentation/howto.html#pki
Auf Deinem Server findest Du die Skripte zur Konfiguration der CA etc. unter /usr/share/openvpn/easy-rsa/2.0. Da lässt Du die Files aber entsprechend dem obigen HOWTO unverändert (sozusagen als Masterkopie). Statt dessen kopierst Du den Inhalt des Ordners nach /etc/openvpn/easy-rsa und startest dann von dort.
M. Boettcher
Auf Deinem Server findest Du die Skripte zur Konfiguration der CA etc. unter /usr/share/openvpn/easy-rsa/2.0. Da lässt Du die Files aber entsprechend dem obigen HOWTO unverändert (sozusagen als Masterkopie). Statt dessen kopierst Du den Inhalt des Ordners nach /etc/openvpn/easy-rsa und startest dann von dort.
M. Boettcher
Ok, jetzt verstehe ich nicht wie ich das mit dyndns machen soll. Ich will über das Internet mit dem Laufwerk verbinden. Aber die IP ist so komisch: 10.8.0.0/24
Mein Netzwerk hat aber 192.168.40.0/24
Muss ich die IP meines Netzwerkes ändern oder die von VPN Server? Oder ist das einer Art eigennetz? Wie connecte ich dann über den Router? Einfach eine Portweiterleitung von Port auf Port auf 10.8.0.1 eingeben?
Mein Netzwerk hat aber 192.168.40.0/24
Muss ich die IP meines Netzwerkes ändern oder die von VPN Server? Oder ist das einer Art eigennetz? Wie connecte ich dann über den Router? Einfach eine Portweiterleitung von Port auf Port auf 10.8.0.1 eingeben?
drboe
Member
Du hast offenbar nicht ganz verstanden, was ein VPN ist. Voraussetzung für den Betrieb eines VPN ist - natürlich - ein bestehendes Netz, über das per TCP/IP kommuniziert werden kann. Der Einfachheit halber nimm einmal Dein LAN 192.168.40.0/24. Dein Router hat in dem Netz die IP 192.168.40.1. In dem LAN tickt ein Server z. B. unter 192.168.40.10. Auf Port 1194 lauscht auf diesem PC ein openvpn-Service. Dein Router muss den Port 1194 (UDP) auf den Server unter 192.168.40.10 Port 1194 weiterleiten.$cruffy schrieb:
Die Kommunikation erfolgt nun grob skizziert so: im Client-PC wird ein virtueller Netzwerk-Kerneltreiber(TUN- oder TAP-Device) verwendet, der dem Betriebssystem vorgaukelt, der PC wäre zusätzlich zur Verbindung mit einem physischen Netzwerk über einen zweite Netzwerkkarte mit einem Netz 10.8.0.0 verbunden und hätte in diesem Netz die IP 10.8.0.6. Wenn der PC ein Datenpaket an den Server 10.8.0.1 sendet, so nutzt er dafür auf Grund der Routingtabelle das "Netzwerk" 10.8.0.0 und den Netzwerktreiber, der ihm sagt, er gehöre zu dem Netz; also die virtuelle Netzwerkarte 10.8.0.6. Der openvpn-Treiber verschlüsselt das Datenpaket und sendet es über die physischen Netzwerkkarte an den Router unter dessen öffentlicher IP-Adresse meinserver.dyndns.org und zwar an den Port 1194 des Routers (WAN-Seite). Der Router leitet dann das Paket auf Grund seiner Regeln an den Server im LAN 192.168.40.10 (Port 1194) weiter. Der openvpn-Server hat auch ein TUN- oder TAP-Device und tut so, als ob das die IP-Adresse 10.8.0.1 besitzt. Die physische Netzwerkarte des Servers unter 192.168.40.10 nimmt das Datenpaket über Port 1194 an und reicht es an den dafür zuständigen Service - nämlich openvpn - weiter. Der entschlüsselt das Paket und reicht das entschlüsselte Datenpaket über das interne Netz an den zuständigen Service weiter, z. B. an den SAMBA-Service, den Mailserver, was immer. Bei der Antwort an den Client PC wird genauso verfahren.
meinserver.dyndns.org ist ein Beispiel; die Dyndns-Adresse Deines Server muss in der client.ovpn im Parameter remote stehen:
remote meinserver.dyndns.org 1194
Kommuniziert wird also immer über das physische Netz. Pakete, die über den Port 1194 ausgetauscht werden, werden aber zusätzlich ver- bzw. entschlüsselt.
M. Boettcher
Ok, das mit den Virtuellen Netzwerk wusste ich nicht. Ich dachte nur an Tunneling.
Ich habe soweit alles vorbereitet - denke ich - dabei fiel mir auf, daß nirgendwo in der server.config eine Zeile zu finden ist, in der man eingeben kann welches Verzeichnis man eigentlich ansteuert. Ich möchte, daß alle Inhalte (in Samba freigegebenen Verzeichnisse) im home directory des Benutzers "scruffy" per VPN erreichbar sind.
Ich habe soweit alles vorbereitet - denke ich - dabei fiel mir auf, daß nirgendwo in der server.config eine Zeile zu finden ist, in der man eingeben kann welches Verzeichnis man eigentlich ansteuert. Ich möchte, daß alle Inhalte (in Samba freigegebenen Verzeichnisse) im home directory des Benutzers "scruffy" per VPN erreichbar sind.
Mit Deteifreigaben hat der VPN- Server nichts am Hut. Er veranlasst die Anmeldung und Authentifieezierung des Benutzers und setzt die Default Route des Clients. Wenn du die Dateien in deinem /home Verzeichnis hast, dich alls Benutzer scruffy anmeldest hast du doch Zugriff auf die Dateien. Wenn weitere Personen auf das Verzeichnis zugreifen sollen, musst du es per Samba (CIFS) oder NFS freigeben.
Ist schon klar, aber wie binde ich die Freigabe dann an den Client als Netzlaufwerk ? Ich habe ein Windows XP Pro Notebook und möchte auf die VPN Freigabe zugreifen.
Client config settings:
Server config settings:
Die Schlüssel, die in der Client config angegeben sind, sind auch in dieses Verzeichnis kopiert worden. Die Schlüssel für den Server befinden sich auf diesem im Verzeichnis /etc/openvpn/easy-rsa/2.0/keys/
Ich habe in die bash folgendes eigegeben bevor ich den VPN server startete:
. Die 192.168.40.100 ist die IP des servers in meinem Netz.
Wenn ich mich vom Notebook verbinde dann kommt das OpenVPN Verbindungsfenster und darin steht:
Das Symbol von openvpn gui, die beiden monitore, sind dabei von rot auf gelb umgeschaltet. Es aber, auf grün sein und nach Login fragen. Ich vermute, daß es hierbei mit der Firewall Regel zusammenhängt. Ich benutze das originalscript von der SuSEfirewall2, also "/etc/init.d/SuSEfirewall2_init" und "*_setup". Daher musste ich die Regel zunächst per Hand eingeben, weil diese Scripte für mich Schwarze Magie darstellen. Wenn ich mir /var/log/firewall ausgeben lasse dann sieht das so aus:
Client config settings:
Code:
client
;dev tap
dev tun
;dev-node MyTap
;proto tcp
proto udp
remote meinddnsserver.dyndns.org 1194
;remote my-server-2 1194
;remote-random
resolv-retry infinite
nobind
;user nobody
;group nobody
persist-key
persist-tun
;http-proxy-retry # retry on connection failures
;http-proxy [proxy server] [proxy port #]
;mute-replay-warnings
ca c:\\Programme\\OpenVPN\\keys\\ca.crt
cert c:\\Programme\\OpenVPN\\keys\\vpnhost1.crt
key c:\\Programme\\OpenVPN\\keys\\vpnhost1.key
ns-cert-type server
;tls-auth ta.key 1
cipher BF-CBC
comp-lzo
verb 3
;mute 20Server config settings:
Code:
;local a.b.c.d
port 1194
proto tcp
;proto udp
;dev tap
dev tun
;dev-node MyTap
ca /etc/openvpn/easy-rsa/2.0/keys/ca.crt
cert /etc/openvpn/easy-rsa/2.0/keys/scruffys.crt
key /etc/openvpn/easy-rsa/2.0/keys/scruffys.key # This file should be kept secret
dh /etc/openvpn/easy-rsa/2.0/keys/dh1024.pem
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
;server-bridge 10.8.0.4 255.255.255.0 10.8.0.50 10.8.0.100
;server-bridge
;push "route 192.168.10.0 255.255.255.0"
;push "route 192.168.20.0 255.255.255.0"
;client-config-dir ccd
;route 192.168.40.128 255.255.255.248
;client-config-dir ccd
;route 10.9.0.0 255.255.255.252
;learn-address ./script
;push "redirect-gateway def1 bypass-dhcp"
;push "dhcp-option DNS 208.67.222.222"
;push "dhcp-option DNS 208.67.220.220"
;client-to-client
;duplicate-cn
keepalive 10 120
;tls-auth ta.key 0 # This file is secret
cipher BF-CBC # Blowfish (default)
;cipher AES-128-CBC # AES
;cipher DES-EDE3-CBC # Triple-DES
comp-lzo
max-clients 3
;user nobody
;group nobody
persist-key
persist-tun
status openvpn-status.log
;log openvpn.log
;log-append openvpn.log
verb 3
;mute 20Die Schlüssel, die in der Client config angegeben sind, sind auch in dieses Verzeichnis kopiert worden. Die Schlüssel für den Server befinden sich auf diesem im Verzeichnis /etc/openvpn/easy-rsa/2.0/keys/
Ich habe in die bash folgendes eigegeben bevor ich den VPN server startete:
Code:
iptables -A FORWARD -i tun0 -s 10.8.0.0/24 -d 192.168.40.100 -j ACCEPTWenn ich mich vom Notebook verbinde dann kommt das OpenVPN Verbindungsfenster und darin steht:
Code:
Sun Jun 06 06:48:00 2010 OpenVPN 2.1.1 i686-pc-mingw32 [SSL] [LZO2] [PKCS11] built on Dec 11 2009
Sun Jun 06 06:48:00 2010 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Sun Jun 06 06:48:00 2010 LZO compression initialized
Sun Jun 06 06:48:00 2010 Control Channel MTU parms [ L:1542 D:138 EF:38 EB:0 ET:0 EL:0 ]
Sun Jun 06 06:48:00 2010 Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:0 EL:0 AF:3/1 ]
Sun Jun 06 06:48:00 2010 Local Options hash (VER=V4): '41690919'
Sun Jun 06 06:48:00 2010 Expected Remote Options hash (VER=V4): '530fdded'
Sun Jun 06 06:48:00 2010 Socket Buffers: R=[8192->8192] S=[8192->8192]
Sun Jun 06 06:48:00 2010 UDPv4 link local: [undef]
Sun Jun 06 06:48:00 2010 UDPv4 link remote: 12.345.67.890:1194
Sun Jun 06 06:48:00 2010 read UDPv4: Connection reset by peer (WSAECONNRESET) (code=10054)
Sun Jun 06 06:48:02 2010 read UDPv4: Connection reset by peer (WSAECONNRESET) (code=10054)
Sun Jun 06 06:48:05 2010 read UDPv4: Connection reset by peer (WSAECONNRESET) (code=10054)
Sun Jun 06 06:48:07 2010 read UDPv4: Connection reset by peer (WSAECONNRESET) (code=10054)Das Symbol von openvpn gui, die beiden monitore, sind dabei von rot auf gelb umgeschaltet. Es aber, auf grün sein und nach Login fragen. Ich vermute, daß es hierbei mit der Firewall Regel zusammenhängt. Ich benutze das originalscript von der SuSEfirewall2, also "/etc/init.d/SuSEfirewall2_init" und "*_setup". Daher musste ich die Regel zunächst per Hand eingeben, weil diese Scripte für mich Schwarze Magie darstellen. Wenn ich mir /var/log/firewall ausgeben lasse dann sieht das so aus:
Code:
linux~ # cat /var/log/firewall
Feb 19 18:02:39 localhost kernel: [145944.075048] SFW2-OUT-ERROR IN= OUT=eth0 SRC=192.168.40.100 DST=195.212.4.5 LEN=52 TOS=0x00 PREC=0x00 TTL=64 ID=62077 DF PROTO=TCP SPT=51737 DPT=80 WINDOW=2970 RES=0x00 ACK FIN URGP=0 OPT (0101080A08AE5A2A789B3C99)
Feb 19 18:03:11 localhost kernel: [145975.692057] SFW2-OUT-ERROR IN= OUT=eth0 SRC=192.168.40.100 DST=195.212.4.5 LEN=52 TOS=0x00 PREC=0x00 TTL=64 ID=62078 DF PROTO=TCP SPT=51737 DPT=80 WINDOW=2970 RES=0x00 ACK FIN URGP=0 OPT (0101080A08AED5AB789B3C99)
Feb 19 18:04:14 localhost kernel: [146038.924045] SFW2-OUT-ERROR IN= OUT=eth0 SRC=192.168.40.100 DST=195.212.4.5 LEN=52 TOS=0x00 PREC=0x00 TTL=64 ID=62079 DF PROTO=TCP SPT=51737 DPT=80 WINDOW=2970 RES=0x00 ACK FIN URGP=0 OPT (0101080A08AFCCAC789B3C99)
Feb 28 02:57:27 localhost kernel: [38562.365178] SFW2-OUT-ERROR IN= OUT=eth0 SRC=192.168.40.100 DST=92.134.118.10 LEN=40 TOS=0x00 PREC=0x00 TTL=64 ID=1202 DF PROTO=TCP SPT=42727 DPT=563 WINDOW=41328 RES=0x00 ACK RST URGP=0
Feb 28 02:57:27 localhost kernel: [38562.365945] SFW2-OUT-ERROR IN= OUT=eth0 SRC=192.168.40.100 DST=92.104.108.10 LEN=40 TOS=0x00 PREC=0x00 TTL=64 ID=32654 DF PROTO=TCP SPT=42739 DPT=563 WINDOW=41328 RES=0x00 ACK RST URGP=0
Feb 28 02:57:27 localhost kernel: [38562.368332] SFW2-OUT-ERROR IN= OUT=eth0 SRC=192.168.40.100 DST=92.104.108.10 LEN=40 TOS=0x00 PREC=0x00 TTL=64 ID=63639 DF PROTO=TCP SPT=42648 DPT=563 WINDOW=41296 RES=0x00 ACK RST URGP=0
Feb 28 02:57:27 localhost kernel: [38562.369830] SFW2-OUT-ERROR IN= OUT=eth0 SRC=192.168.40.100 DST=92.104.108.10 LEN=40 TOS=0x00 PREC=0x00 TTL=64 ID=13091 DF PROTO=TCP SPT=42649 DPT=563 WINDOW=41328 RES=0x00 ACK RST URGP=0
Feb 28 02:57:27 localhost kernel: [38562.397668] SFW2-OUT-ERROR IN= OUT=eth0 SRC=192.168.40.100 DST=92.104.108.10 LEN=40 TOS=0x00 PREC=0x00 TTL=64 ID=59880 DF PROTO=TCP SPT=42728 DPT=563 WINDOW=41328 RES=0x00 ACK RST URGP=0
Feb 28 19:31:58 localhost kernel: [98234.053062] SFW2-OUT-ERROR IN= OUT=eth0 SRC=192.168.40.100 DST=192.168.40.15 LEN=83 TOS=0x00 PREC=0x00 TTL=64 ID=65395 DF PROTO=TCP SPT=139 DPT=49160 WINDOW=41270 RES=0x00 ACK PSH FIN URGP=0
Feb 28 19:33:06 localhost kernel: [98301.253054] SFW2-OUT-ERROR IN= OUT=eth0 SRC=192.168.40.100 DST=192.168.40.15 LEN=83 TOS=0x00 PREC=0x00 TTL=64 ID=65396 DF PROTO=TCP SPT=139 DPT=49160 WINDOW=41270 RES=0x00 ACK PSH FIN URGP=0
Mar 2 03:49:00 localhost kernel: [23440.632045] SFW2-OUT-ERROR IN= OUT=eth0 SRC=192.168.40.100 DST=192.168.40.15 LEN=40 TOS=0x00 PREC=0x00 TTL=64 ID=61271 DF PROTO=TCP SPT=445 DPT=51263 WINDOW=41328 RES=0x00 ACK FIN URGP=0
Mar 5 02:02:41 localhost kernel: [40781.089065] SFW2-OUT-ERROR IN= OUT=eth0 SRC=192.168.40.100 DST=192.168.40.15 LEN=40 TOS=0x00 PREC=0x00 TTL=64 ID=13290 DF PROTO=TCP SPT=445 DPT=49988 WINDOW=10381 RES=0x00 ACK FIN URGP=0
Mar 5 02:03:52 localhost kernel: [40852.129065] SFW2-OUT-ERROR IN= OUT=eth0 SRC=192.168.40.100 DST=192.168.40.15 LEN=40 TOS=0x00 PREC=0x00 TTL=64 ID=13291 DF PROTO=TCP SPT=445 DPT=49988 WINDOW=10381 RES=0x00 ACK FIN URGP=0
Mar 7 00:33:49 localhost kernel: [208249.277057] SFW2-OUT-ERROR IN= OUT=eth0 SRC=192.168.40.100 DST=192.168.40.15 LEN=44 TOS=0x00 PREC=0x00 TTL=64 ID=10758 DF PROTO=TCP SPT=445 DPT=49157 WINDOW=10343 RES=0x00 ACK PSH FIN URGP=0
Mar 7 15:34:13 localhost kernel: [ 4802.861044] SFW2-OUT-ERROR IN= OUT=eth0 SRC=192.168.40.100 DST=76.52.87.145 LEN=52 TOS=0x10 PREC=0x00 TTL=64 ID=16502 DF PROTO=TCP SPT=22 DPT=50271 WINDOW=189 RES=0x00 ACK FIN URGP=0 OPT (0101080A0044B54D001C5E24)
Mar 10 10:33:02 localhost kernel: [41178.246061] SFW2-OUT-ERROR IN= OUT=eth0 SRC=192.168.40.100 DST=192.168.40.15 LEN=40 TOS=0x00 PREC=0x00 TTL=64 ID=50315 DF PROTO=TCP SPT=445 DPT=54314 WINDOW=10362 RES=0x00 ACK FIN URGP=0
Mar 10 10:34:05 localhost kernel: [41241.094058] SFW2-OUT-ERROR IN= OUT=eth0 SRC=192.168.40.100 DST=192.168.40.15 LEN=40 TOS=0x00 PREC=0x00 TTL=64 ID=50316 DF PROTO=TCP SPT=445 DPT=54314 WINDOW=10362 RES=0x00 ACK FIN URGP=0
Mar 24 23:09:31 localhost kernel: [ 23.189809] SFW2-OUT-ERROR IN= OUT=eth0 SRC=192.168.40.100 DST=76.52.87.145 LEN=40 TOS=0x10 PREC=0x20 TTL=64 ID=0 DF PROTO=TCP SPT=22 DPT=42658 WINDOW=0 RES=0x00 RST URGP=0
May 9 07:32:27 localhost kernel: [105481.903194] SFW2-OUT-ERROR IN= OUT=eth0 SRC=192.168.40.100 DST=76.52.87.145 LEN=40 TOS=0x00 PREC=0x20 TTL=64 ID=0 DF PROTO=TCP SPT=22 DPT=57116 WINDOW=0 RES=0x00 RST URGP=0
May 9 07:48:35 localhost kernel: [ 67.670725] SFW2-OUT-ERROR IN= OUT=eth0 SRC=192.168.40.100 DST=92.134.118.10 LEN=40 TOS=0x00 PREC=0x20 TTL=64 ID=0 DF PROTO=TCP SPT=54147 DPT=563 WINDOW=0 RES=0x00 RST URGP=0
May 9 07:53:36 localhost kernel: [ 68.067074] SFW2-OUT-ERROR IN= OUT=eth0 SRC=192.168.40.100 DST=92.134.118.10 LEN=40 TOS=0x00 PREC=0x20 TTL=64 ID=0 DF PROTO=TCP SPT=54148 DPT=563 WINDOW=0 RES=0x00 RST URGP=0
May 10 07:54:42 localhost kernel: [93733.952610] SFW2-OUT-ERROR IN= OUT=eth0 SRC=192.168.40.100 DST=76.52.87.145 LEN=40 TOS=0x00 PREC=0x20 TTL=64 ID=0 DF PROTO=TCP SPT=22 DPT=42321 WINDOW=0 RES=0x00 RST URGP=0Also ich habe jetzt in yast unter sicherheit/firewall/custom rules für die external zone den Port 1194 UDP geöffnet - aber ohne Erfolg. Auch der Router hat den Port 1194 UDP auf 1194 UDP forwarded.
Ein paar bash Ausgaben noch:
Es macht auch keinen Unterschied, wenn ich in die client.config statt der dyndns Adresse die lokale IP eingebe und mich lokal verbinde - ich werde zurückgewiesen. Ich weiß nicht wie ich den Port noch öffnen sollte.
Könnt ihr mir bitte helfen?
Ein paar bash Ausgaben noch:
Code:
llinux:~ # tcpdump -i eth0 -n "port 1194"
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes
18:50:20.563901 IP 12.345.67.890.1362 > 192.168.40.100.1194: UDP, length 14
Code:
linux:~ # lsof -i | grep vpn
openvpn 2644 root 5u IPv4 9830 0t0 TCP *:openvpn (LISTEN)
Code:
linux:~ # nmap -sU -p 1194 192.168.40.100
Starting Nmap 5.00 ( http://nmap.org ) at 2010-06-06 21:41 CEST
Interesting ports on (192.168.40.100):
PORT STATE SERVICE
1194/udp closed unknown
Nmap done: 1 IP address (1 host up) scanned in 0.29 secondsEs macht auch keinen Unterschied, wenn ich in die client.config statt der dyndns Adresse die lokale IP eingebe und mich lokal verbinde - ich werde zurückgewiesen. Ich weiß nicht wie ich den Port noch öffnen sollte.
Könnt ihr mir bitte helfen?
$cruffy schrieb:
Du hast den Port in der Firewall scheinbar nicht geöffnet, sondern nur geforwarded. Du kaannst den Port freigeben, in dem du ihn in der Firewallkonfiguration in der Variablen
Code:
FW_SERVICES_EXT_UDP="1194"OpenVPN nutzt den Port 1194 auch bei TCP.
In der Serverconfig von OpenVPN hast du als Protokoll TCP angegeben, was du statt UDP dann auch verwenden solltest.
Also in der Datei /etc/sysconfig/SuSEfirewall2 steht bei mir ab Zeile 269 folgendes:
Trotzdem wird der Port geblockt. Was kann noch dafür verantwortlich sein? Oder ist das die falsche Datei ? Auf dem Server läuft noch Samba - kann diese den Port blocken?
Edit
So sieht bei mir aus wenn ich iptables -L ausführe:
Code:
## Type: string
#
# 9.)
# Which TCP services _on the firewall_ should be accessible from
# untrusted networks?
#
# Format: space separated list of ports, port ranges or well known
# service names (see /etc/services)
#
# Examples: "ssh", "123 514", "3200:3299", "ftp 22 telnet 512:514"
#
# Note: this setting has precedence over FW_SERVICES_ACCEPT_*
#
FW_SERVICES_EXT_TCP="1194"
## Type: string
#
# Which UDP services _on the firewall_ should be accessible from
# untrusted networks?
#
# Format: space separated list of ports, port ranges or well known
# service names (see /etc/services)
#
# Example: "53", "syslog"
#
# Note: this setting has precedence over FW_SERVICES_ACCEPT_*
#
FW_SERVICES_EXT_UDP="1194"Trotzdem wird der Port geblockt. Was kann noch dafür verantwortlich sein? Oder ist das die falsche Datei ? Auf dem Server läuft noch Samba - kann diese den Port blocken?
Edit
So sieht bei mir aus wenn ich iptables -L ausführe:
Code:
linux:~ # iptables -L
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere state ESTABLISHED
ACCEPT icmp -- anywhere anywhere state RELATED
input_int all -- anywhere anywhere
input_ext all -- anywhere anywhere
input_ext all -- anywhere anywhere
LOG all -- anywhere anywhere limit: avg 3/min burst 5 LOG level warning tcp-options ip-options prefix `SFW2-IN-ILL-TARGET '
DROP all -- anywhere anywhere
Chain FORWARD (policy DROP)
target prot opt source destination
LOG all -- anywhere anywhere limit: avg 3/min burst 5 LOG level warning tcp-options ip-options prefix `SFW2-FWD-ILL-ROUTING '
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere state NEW,RELATED,ESTABLISHED
LOG all -- anywhere anywhere limit: avg 3/min burst 5 LOG level warning tcp-options ip-options prefix `SFW2-OUT-ERROR '
Chain forward_ext (0 references)
target prot opt source destination
Chain forward_int (0 references)
target prot opt source destination
Chain input_ext (2 references)
target prot opt source destination
DROP all -- anywhere anywhere PKTTYPE = broadcast
ACCEPT icmp -- anywhere anywhere icmp source-quench
ACCEPT icmp -- anywhere anywhere icmp echo-request
LOG tcp -- anywhere anywhere limit: avg 3/min burst 5 tcp dpt:openvpn flags:FIN,SYN,RST,ACK/SYN LOG level warning tcp-options ip-options prefix `SFW2-INext-ACC-TCP '
ACCEPT tcp -- anywhere anywhere tcp dpt:openvpn
ACCEPT udp -- anywhere anywhere udp dpt:openvpn
LOG udp -- 192.168.40.0/24 anywhere udp dpt:openvpn state NEW limit: avg 3/min burst 5 LOG level warning tcp-options ip-options prefix `SFW2-INext-ACC '
ACCEPT udp -- 192.168.40.0/24 anywhere udp dpt:openvpn
DROP all -- anywhere anywhere PKTTYPE = multicast
DROP all -- anywhere anywhere PKTTYPE = broadcast
LOG tcp -- anywhere anywhere limit: avg 3/min burst 5 tcp flags:FIN,SYN,RST,ACK/SYN LOG level warning tcp-options ip-options prefix `SFW2-INext-DROP-DEFLT '
LOG icmp -- anywhere anywhere limit: avg 3/min burst 5 LOG level warning tcp-options ip-options prefix `SFW2-INext-DROP-DEFLT '
LOG udp -- anywhere anywhere limit: avg 3/min burst 5 state NEW LOG level warning tcp-options ip-options prefix `SFW2-INext-DROP-DEFLT '
DROP all -- anywhere anywhere
Chain input_int (1 references)
target prot opt source destination
ACCEPT all -- anywhere anywhere
Chain reject_func (0 references)
target prot opt source destination
REJECT tcp -- anywhere anywhere reject-with tcp-reset
REJECT udp -- anywhere anywhere reject-with icmp-port-unreachable
REJECT all -- anywhere anywhere reject-with icmp-proto-unreachabledrboe
Member
$cruffy schrieb:
Wenn die VPN-Verbindung steht: net use Y: \\10.8.0.1\ meinordner /USER:ich meinpasswort
wobei 10.8.0.1 die IP des Servers im VPN ist. Vermutlich tut es auch die IP des LAN (192.168...), da die Route zu dem Netz gesetzt wird.
Zur Info: In meiner FW-Konfiguration steht u. a.:
FW_SERVICES_EXT_UDP="1194 ..."
FW_SERVICES_INT_UDP="1194 ..."
... für weitere Ports.
In der Client-Konfiguration (client.ovpn) steht: proto udp, d. h. ich beschränke auf UDP.
Ich sehe gerade, dass dein Client und der Server wohl aneinander vorbei reden. In deinen Konfigurationen (s. o.) steht:
client:
dev tun
proto udp
server:
proto tcp
dev tun
Stelle bitte Server und Client auf udp.
M. Boettcher