OpenVPN mit Smartphon



  • Hallo,
    Ich hoffe einer kann mir dabei helfen das ich endlich mal OpenVPN mal zum Funktionieren bekomme,
    Ich bin ehrlich das ich mit OpenVPN noch recht wenig erfahrung habe, aber ich habe mich schon etwas damit Beschäftigt.
    Aber Trotzdem bekomme ich es einfach nicht hin ein Tunnel aufzubaun, und bin damit echt verzweifelt irgend ie…

    Also mein Vorhaben ist, ich möchte gern ein Tunnel zwischen mein Pfsense Router (Openvpn Server) einen tunnel zu mein Handy aufbauen um da sämtlichen Datenverkehr über mein pfsense router ablaufen zu lassen.

    Der Sin der sahe sol sein, das ich halt an Öffentlichen Plätzen mich ins Wlan Verbinden kann und somit eine halbwegs sichere Verschlüsselte verbindung habe, ohne das jemand meine daten auslesen oder mit schreiben kann im wlan.

    Ich versuche das ganze mit Key Zertifikaten also ohne eingabe von benutzer und pass,

    aber ich bekomme beim OpenVPN server der nicht einmal startet nur die fehler Meldung ständig.

    Feb 22 13:03:15 openvpn[69229]: OpenVPN 2.3.6 i386-portbld-freebsd10.1 [SSL (OpenSSL)] [LZO] [MH] [IPv6] built on Dec 1 2014
    Feb 22 13:03:15 openvpn[69229]: library versions: OpenSSL 1.0.1k-freebsd 8 Jan 2015, LZO 2.08
    Feb 22 13:03:15 openvpn[69559]: NOTE: the current –script-security setting may allow this configuration to call user-defined scripts
    Feb 22 13:03:17 openvpn[69559]: Control Channel Authentication: using '/var/etc/openvpn/server1.tls-auth' as a OpenVPN static key file
    Feb 22 13:03:17 openvpn[69559]: TUN/TAP device ovpns1 exists previously, keep at program end
    Feb 22 13:03:17 openvpn[69559]: Cannot open TUN/TAP dev /dev/tun1: Device busy (errno=16)
    Feb 22 13:03:17 openvpn[69559]: Exiting due to fatal error

    Gibt es denn auf Deutsch auch ne anständige Anleitung dies mal zu realisieren, ?

    Ich habe PFSENSE  2.2-RELEASE (i386)



  • Eigentlich recht einfach: Wizard von OpenVPN durchklicken, Nutzerzertifikate generieren, OpenVPN Client Export Utility Package installieren und entsprechende Configs auf die Geräte schieben.

    Ist ne Sache von 10 Minuten.

    Grüße



  • Hehe das hatte ich auch gedacht das es in 100 geht und einfach ist mittlerweile sitze ich ne Woche ohne Ergebnis davor, ohne Erfolg  >:( grrr…
    Gibt es dafür nen howto als anschauliches Beispiel, Worauf ich aufbauen kann.?
    Hab mich vorher auch nie groß damit beschäftigt halt. Mit denn howto von passende funktioniert das einfach nicht.



  • Hallo!

    @andre-1980:

    Ich bin ehrlich das ich mit OpenVPN noch recht wenig erfahrung habe, aber ich habe mich schon etwas damit Beschäftigt.
    Aber Trotzdem bekomme ich es einfach nicht hin ein Tunnel aufzubaun, und bin damit echt verzweifelt irgend ie…
    ...
    Gibt es denn auf Deutsch auch ne anständige Anleitung dies mal zu realisieren, ?

    Ich nehme an, diese kennst du, macht dich aber nicht ganz glücklich:
    https://doc.pfsense.org/index.php/OpenVPN_Remote_Access_Server

    Es ist ja auch die Oberfläche der pfSense in Englisch gehalten.  Wenn die Sprache ein generelles Problem ist, warum greifst du nicht zu einer deutschsprachigen Firewall?

    @andre-1980:

    Ich habe PFSENSE  2.2-RELEASE (i386)

    Hast du ein 32 bit System? Auf einem 64 bit, solltest du unbedingt die 64 bit Version der pfSense einsetzen.



  • Also, versuchen wir es. Lösch den alten Server und installier den Client Exporter

    1. Nutzer anlegen und Zertifikat erstellen
    2. CA anlegen
    3. Zertifikat für die pfS anlegen
    4. Interface WAN UDP und Port 1134
    5. Encryption mal auf aes-128-cbc
    6. Tunnel Network 10.0.0.0/24
    7. Localnetwork bekommt dein LAN Subnet. Also z.B. 192.168.0.0/24
    8. Haken bei Force all Traffic
    9. Weiter und Rules generieren lassen.,

    Das muss erst mal reichen. Wenn das nicht läuft, musst du deine Konfig posten.



  • Hallo ..
    Also ich habe noch einmal meine Config durchgeschaut, aber soweit ich sehe konnte ich kein fehler finden halt, warum mein openvpn server nicht starten will.
    Er zeigt in den logs nur folgende meldung immer wieder..

    | Feb 22 22:57:25 openvpn[31554]: OpenVPN 2.3.6 i386-portbld-freebsd10.1 [SSL (OpenSSL)] [LZO] [MH] [IPv6] built on Dec 1 2014
    Feb 22 22:57:25 openvpn[31554]: library versions: OpenSSL 1.0.1k-freebsd 8 Jan 2015, LZO 2.08
    Feb 22 22:57:25 openvpn[32031]: NOTE: the current –script-security setting may allow this configuration to call user-defined scripts
    Feb 22 22:57:32 openvpn[32031]: Control Channel Authentication: using '/var/etc/openvpn/server1.tls-auth' as a OpenVPN static key file
    Feb 22 22:57:32 openvpn[32031]: TUN/TAP device ovpns1 exists previously, keep at program end
    Feb 22 22:57:32 openvpn[32031]: Cannot open TUN/TAP dev /dev/tun1: Device busy (errno=16)
    Feb 22 22:57:32 openvpn[32031]: Exiting due to fatal error |

    Meine Einstellungen lauten bei openVPN so:
    Zur Info noch mein Router hat die Adresse im netz 192.168.1.1
    und es handelt sich um ein alix board 2d2 mit 32bit.




  • Bei "Peer Certificate Authority" gehört die CA eingestellt, bzw. das Zertifikat der CA. "Sony-Z2 Server Cert" scheint ein Server Zertifikat zu sein und gehört wiederum zu "Server Certificate". Hier wird "vpnuser.." nicht das richtige sein.
    Eine Revocation List sollte nicht unbedingt nötig sein, würde aber auch nicht schaden. Kannst du im Certificate manager einrichten.

    Mit der aktuellen Einstellung routest du nur den Verkehr ins Subnetz 192.168.1.0/24 drüber, nicht alles, wie eingangs erwähnt. Denke, das ist dein LAN. Fürs erste würde ich es aber dabei belassen, um die Verbindung zu testen.

    Grüße



  • Hallo….
    Also ich habe noch einmal alle Zertifikate und Einstellungen gelöscht, und Habe statt dessen alles Manuel per Hand  zu machen denn Wizard von openvpn benutzt. Mitlerweile läuft der Server endlich.

    Das einzige was ich sehe in der logfile taucht immer wieder auf,

    | openvpn[60157]: TLS Error: cannot locate HMAC in incoming packet from [AF_INET]192.168.1.57:1194 |

    Meine einstellungen sehen demnach nun jetzt so aus,

    Nun frage ich mich ob es möglich ist sich im eigenen netzt mit dem openvpn zu verbinden, als test einfach ob es auch geht  alles ….

    lg




  • Hallo!

    @andre-1980:

    Das einzige was ich sehe in der logfile taucht immer wieder auf,

    | openvpn[60157]: TLS Error: cannot locate HMAC in incoming packet from [AF_INET]192.168.1.57:1194 |

    Das ist ja bereits ein Verbindungsversuch, oder?
    Der Fehler deutet auf einen falschen TLS Key hin. Wie hast du die Einstellungen auf den Client gebracht? Vermutlich über das Client Expot Tool, nachdem du es installiert hast. Da sollte eigentlich nichts schief gehen.
    Aber möglicherweise wurde der TLS Key am Server (unbeabsichtigt) verändert.

    Ich würde in diesem Fall einen neuen Key generieren. Dazu bei "TLS Authentication" den Haken entfernen und unten Save klicken, dann den Haken wieder setzen und wieder Save, dann die Client-Konfig neu exportieren.

    @andre-1980:

    Nun frage ich mich ob es möglich ist sich im eigenen netzt mit dem openvpn zu verbinden, als test einfach ob es auch geht  alles ….

    Das sollte schon gehen. Der pfSense ist es egal, wo die Verbindung her kommt, sie muss nur den VPN-Server erreichten. Dazu in der Server-Konfig. das Interface anpassen, oder einfach ein entsprechendes Port-Forwarding einrichten.

    Aber auf einen erfolgreichen Netzwerk-Zugriff würde ich dabei nichts geben, den der läuft dann vermutlich nicht über die VPN sondern weiterhin direkt ins LAN, weil sich das eigene Netz nicht umrouten lässt.
    Doch ob die VPN grundsätzlich erfolgreich aufgebaut wird, kannst du so schon testen.

    Grüße



  • Aber bitte dann die direkte Pfsense Ip nehmen und nicht eine Dyndns. Dann kommt die anfrage nämlich aus dem Internet :)


  • LAYER 8 Moderator

    Aber bitte dann die direkte Pfsense Ip nehmen und nicht eine Dyndns. Dann kommt die anfrage nämlich aus dem Internet :)

    Oder gar nicht erst an, weil kein NAT Proxy / Reflection aktiv ist ;) Ich weiß nicht wie viele Anfragen schon kamen, dass der Zugriff auf die externe IP / DynDNS Adresse von intern nicht geht…



  • @JeGr:

    Aber bitte dann die direkte Pfsense Ip nehmen und nicht eine Dyndns. Dann kommt die anfrage nämlich aus dem Internet :)

    Oder gar nicht erst an, weil kein NAT Proxy / Reflection aktiv ist ;) Ich weiß nicht wie viele Anfragen schon kamen, dass der Zugriff auf die externe IP / DynDNS Adresse von intern nicht geht…

    So meinte ich das umständlich ausgedrückt auch :D


  • LAYER 8 Moderator

    @Marv: weiß ich doch ;) der kleine Rant musste nur raus :)



  • So, also nach einem cf-karten Defekt, mußte ich mein Pfsense auf dem Alix neu Installieren wieder. naja jedenfalls habe ich denn openvpn wizart genommen und siehe da nun funzt das alles.

    :-) … so nun kann ich mich mehr damit mal Beschäftigen hehe
    Danke für eure Tips , hat mir doch recht weit geholfen hier.


Log in to reply