OpenVPN-Boxen als Client für OpenVPN auf pfS



  • Servus,

    pfS soll als OpenVPN-Server fungieren. Zuhause sollen "VPN-Boxen" eingesetzt werden. Die bauen also einen OpenVPN-TAP-Tunnel auf und ein dort angesteckter Client kann die VPN-Verbindung nutzen. Ich spiele zu diesem Zweck mit DD-WRT also OpenVPN-Client. Gibts da auch was fertiges?

    Danke! ;-)

    Grüße



  • Die PfSense ist doch fertig  ;)
    Server einrichten mit einem OpenVPN Client verbinden fertig.

    Oder meinst du etwas anderes?


  • Moderator

    Gibts da auch was fertiges?

    Verstehe ich jetzt auch nicht ganz ;)
    Es gibt ja durchaus die Möglichkeit einen Tunnel so zu konfigurieren, dass man mehrere Verbindungen zulässt für einen User (auch wenn das nicht schön ist). Ansonsten ist es ja kein Problem eine pfSense so zu konfigurieren, dass alles bis auf bspw. Client Zertifikat schon drin ist. Dann muss man für eine neue Box nur noch ein neues Zert machen, einspielen, LAN Konfiguration anpassen und fertig. Da die Konfiguration exportiert werden kann, kann man die LAN Konfig bspw. auch schon vorab drehen.



  • Servus,
    mit "fertig" sind fertige Systeme (Betriebssystem egal) von einem Hersteller gemeint. Es muss nur laufen und sicher und preislich vernünftig sein. Also irgendein Unix / Linux OS mit einem OpenVPN-Client und einer importierbaren Konfig.

    Beispiel: Ich kaufe mir einen Asus-Router für 15 Euro, klatsch DD-WRT drauf und die OpenVPN-Konfig. Das läuft und ich hätte das gerne fertig. Nennt das Ding von mir aus Asus-OpenVPN-Box zu je 30 Euro oder so.



  • Kann man doch mit PfSense auch machen oder nicht?
    Hardware ist die ja überlassen was du nimmst und wenn du die Software drauf machst kannst du OpenVPN einfach einrichten.
    Kannst aber natürlich auch mit DD-WRT machen.



  • Ich nehme dazu gern RT-N12 mit TomatoUSB VPN von shibby. Einfache billige Kisten als Client, die leben lange, reichen aus und es geht wunderbar per TUN.

    Ohne den Thread kapern zu wollen: ich muss das aktuell bei einer Lösung mittels TAP hinkriegen, schaffe das aber nicht zum laufen zu bringen :(
    Router ist ein RT-N12D1 mit Tomato 1.28 MIPSR2-130 K26 USB VPN von Shibby. OpenVPN Client auf dem Router ist eingerichtet und er verbindet sich auch, geht aber kein Traffic zur anderen Seite durch. Auf dem Router sehe ich dass der eine IP aus dem Zielsegment bekommen hat, Ping zur Gegenstelle geht auch da nicht. Die gleiche Konfiguration in einem Client unter Windows funktioniert. Hat jemand Ideen wo ich weiter suchen könnte?



  • Problem mit pfSense als OpenVPN Server und Tomato Router als OpenVPN Client im TAP Bridge Mode gelöst: es sind wie so oft die kleinen Dinge im Leben.

    Ich hatte beim Client unter custom configuration noch einmal 'dev tap' drin stehen. Wenn man sich die vom Client bei der Einwahl erzeugte dynamisch generierte Datei /tmp/etc/openvpn/client1/config.ovpn anschaut steht bei den vom Tomato Router generierten Zeilen schon 'dev tap11' drin was ja auch richtig ist. Das ein zweites mal zusätzlich anzugeben - noch dazu falsch - geht halt nicht.



  • @flix87:

    Kann man doch mit PfSense auch machen oder nicht?
    Hardware ist die ja überlassen was du nimmst und wenn du die Software drauf machst kannst du OpenVPN einfach einrichten.
    Kannst aber natürlich auch mit DD-WRT machen.

    Servus,
    ja, pfS kann da sicher auch. Die Hardare ist aber deutlich teurer. Asus und D-Link bzw. TP-Link haben da ja schon brauchbare Geräte. Ziel ist, eine "Box" zu haben, die der Nutzer daheim in seinen Router einsteckt und auf der anderen Seite mit seinem Laptop verbindet. Der aufgebaute TAP-Tunnel macht den Rest. Quasi ein virtuelles LAN-Kabel.

    Natürlich würde ich am liebsten pfS nehmen. Schon allein vor dem Hintergrund, dass alle Routerhersteller ihre Firmwares werden abdichten müssen. Hab ich zumindest auf Heise gelesen. APU dürfte aber völlig überdimensioniert sein, schätze ich.

    Jede Idee ist willkommen!



  • Moin,

    vielleicht hilft das weiter.

    http://varia-store.com/media/products/0215641001348648332.pdf1.pdf
    http://wiki.mikrotik.com/wiki/Manual:License

    Laut Beschreibung 200 OPEN VPN Verbindungen, 5x 100BT und 5x 1000BT Ports. Ein Gehäuse soll es auch geben.

    Ich habe selber keine Erfahrungen mit Micro Tik, laut den Kollegen sollen aber Preis/Leistung stimmen.

    Mfg HornetX11



  • Moin,

    unterstützt Mikrotik jetzt OpenVPN per UDP? Iirc hatte sie "geschworen" das niemals zu realisieren sondern auf TCP zu beharren.

    -teddy



  • Ööööhhhh ja :-[

    Wie gesagt, ich habe keine Erfahrung mit Micro Tik.

    Laut Wiki machen die aber wirklich nur TCP.

    [b]OpenVPN V2.1 Features of RouterOS V4.2 Supported
    TCP
    bridging (tap device)
    routing (tun device)
    certificates
    p2p mode (refer to OpenVPN V2.1 manual page)

    Unsupported
    UDP
    LZO compression

    Man hat zwar bei TCP mehr Overhead aber auch das sollte laufen.

    HornetX11



  • Moin,

    klar, laufen schon aber leider suboptimal  >:(, ich wollte eigentlich deren Router nutzen, aber TCP only und kein LZO + der Tonfall in einem Forum mit der Aussage niemals UDP zu unterstützen machten mir klar das will ich nicht.

    Gerade im privaten Umfeld sind asymmetrische Internetzugänge an der Tagesordnung, beim Downstream alles bestens, nur der Upstream ist oft reichlich langsam. Eine zusätzliche Bremse will ich einfach nicht. Pech für Mikrotik.

    ot: hat wohl was mit der gesprochenen ersten Silbe des Namens zu tun, wir machen was WIR wollen und dem Anwender hat das zu gefallen, siehe Microsoft mit ihrer Kachelka… [eigenzensur]  ;)

    Nachtrag: http://forum.mikrotik.com/viewtopic.php?t=26499
    User Normis macht eine klare Aussage und danach nichts mehr.

    -teddy



  • Zurück zum Thema.

    @tpf: Fertig gibt es so etwas nirgends. Entweder du gibst das als Auftragsarbeit an jemand oder machst es selbst. Die von mir vorgeschlagene und sehr günstige (am Rand von billig schwebende) Lösung mit einer gekauften Hardware mit pfsense aus einem der Stores hier und mehreren Routern (mein Vorschlag Asus RT-N12 mit DD-WRT Ableger TomatoUSB, gibt auch viele bessere aussehende Alternativen) kostet dich mit einem Client geschätzt 30-50 min. Ersteinrichtungsaufwand + Dokumentation. Jder weitere Client nochmal 15 -30 min. dazu, in Serie vmtl. weniger. Was spricht dagegen es selbst zu machen? Sauberer wäre es mit einer Lösung beim Client die etwas professioneller und wartbarer (wg. Updates) wäre. Kostet, so oder so.



  • unterstützt Mikrotik jetzt OpenVPN per UDP? Iirc hatte sie "geschworen" das niemals zu realisieren sondern auf TCP zu beharren.

    OpenVPN ist OpenSource Software und unterliegt je nach dem was die Entwickler entschieden haben der einen
    oder anderen OpenSource Lizenz und in der regel sagt die so etwas wie; "Du oder man draf alles benutzen
    bzw. nehmen und in andere Software integrieren, muss dann aber auch diese Software ebenfalls kostenlos
    und ohne Einschränkungen zur Verfügung stellen und genau das macht MikroTik mit seinem RouterOS eben
    nicht!" Dort muss für fast alle Lizenzen gezahlt werden, und von daher wird man eben OpenVPN nicht 100%
    in RouterOS integrieren und dann kann man so eine Klausel na sagen wir einmal umgehen oder aufweichen.

    Genau so verhält es sich mit dem IPSec und anderen Funktionen in RouterOS, man übernimmt es eben
    nicht zu 100% und nennt es einfach anders und schon hat man die eine oder andere Klausel mehr oder
    weniger umgangen bzw. "umschifft" ohne anzuecken und Ärger zu bekommen.

    Man hat zwar eine kostenlose RouterOS Version im Angebot, aber die ist eben stark eingeschränkt und somit
    zählt sie nicht! Und so kommt es auch bei vielen anderen Anbietern zu der einen oder anderen Einschränkung
    die sich niemand so richtig erklären kann. Klar andere machen das schlauer und zahlen xyz € and das
    OpenVPN Entwicklerteam und die segnen dann bis zur Version xyz die Integration voll und ganz ab.

    OpenVPN fix und fertig Lösungen die schon zusammengeschraubt worden sind gibt es meiner Meinung nach
    nicht und bei OpenVPN ist das ja auch nicht nötig da man die config einfach sichern und überspielen kann.

    Das vereinfacht es schon richtig OpenVPN einzurichten und zu konfigurieren alternativ kann man auch
    die kleinen SG-2220 dazu benutzen oder aber eben solche Plastikrouter kaufen und DD-WRT oder OpenWRT
    drauf installieren. Ich hätte die Frage zwar eher im DD-WRT oder OpenWRT Forum erwartet aber ok.


  • Moderator

    @Bluekobold: Was hat denn bitte die OpenVPN Lizenz damit zu tun, dass ein Mikrotik Mitarbeiter (wohl vor recht langer Zeit) sagt, UDP wäre Selbstmord zu implementieren und OpenVPN wäre buggy-shit und sie werden keine neuen Features implementieren? Da stand im ganzen Thread nichts von Lizenzproblemen oder sonstigem Kram. Und wenn ein Teil von OpenVPN von Mikrotik verwendet wird, müssen sie die Lizenz so oder so erfüllen. Ein "klein wenig" reinbasteln um sich da rauszuwinden ist doch Unsinn. Das das nicht funktioniert haben schon mehrere Prozesse der EFF o.ä. gezeigt. Und Mikrotik wird kaum einen Teil von OpenVPN selbst neu geschrieben haben. Ergo könnten Sie auch alles einbauen, haben nur kein Bock dazu, was ziemlich unfreundlich ist, auch wenn der Thread schon 5 Jahre und mehr alt ist.

    Wenngleich das trotzdem noch alles weit OT ist! ;)



  • Servus,
    ich muss Euch noch etwas um Geduld bitten.Ich komme gerade nicht dazu dieses Thema zu verfolgen…

    Danke für Eure Antworten!