Ankündigung

Einklappen
Keine Ankündigung bisher.

Wiregate VPN Anfänger

Einklappen
Dieses Thema ist geschlossen.
X
X
Einklappen
 
  • Seite von 3
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge
Vorherige 1 2 3 template Weiter
    #16
    Guten Morgen!
    Eigentlich gab es nie Probleme mit der Verbindung PC - Wiregate (webmin) und es scheitert zur Zeit nur am Buszugriff.
    Seit gestern komme ich jedoch nicht mehr in das webmin des WG rein.

    Statische IP wurde im TP-Link hinterlegt.

    Windows Firewall deaktiviert.

    TP-Link Firewall hab ich auch schon probiert zu deaktivieren -> keine Änderung.

    Gebe ich die IP im Browser ein erscheint kurz die Wiregate-Seite (siehe Anhang) danch leitet er auf :10000 weiter und die Seite wird nicht gefunden.

    Geändert wurde eigentlich nichts, Update im Wiregate ausgeführt und ein bisschen mit den Designs rumgespielt.

    Gibts eine Möglichkeit das WG auf Werkseinstellungen zurückzusetzen?
    Aber ich denke das ist ein Netzwerkproblem...

    Danke
    Angehängte Dateien

    Kommentar

      #17
      Sorry, erstmal sortieren:
      - Hat das mit VPN zu tun? (Thread-Titel)
      - Was hat das alles mit TP-Link zu tun?

      Zitat von renzge Beitrag anzeigen
      Geändert wurde eigentlich nichts, Update im Wiregate ausgeführt und ein bisschen mit den Designs rumgespielt.
      Design im Webmin vermute ich mal.. Also, als user kann man das nicht ändern (und das liegt daran, das man es nicht ändern können soll) und wenn man als root dort rumklickt muss man wissen was man tut; in diesem Fall vermutlich den Webmin geplättet.

      Gibts eine Möglichkeit das WG auf Werkseinstellungen zurückzusetzen?
      So direkt nicht, geht zwar per USB-Stick aber effizienter ist es eigentlich das Problem zu eliminieren..
      Im Zweifelsfall kann man das Wartungs-VPN auch auf der SSH-Konsole mit
      Code:
      wiregate-togglevpn mgmnt enable
      aktivieren.

      Aber ich denke das ist ein Netzwerkproblem...
      Das ist mit den verfügbaren Informationen schwer zu sagen (sorry, ich kann mir auch nicht die Netzwerkonstellation von ein paarhundert Kunden über Monate merken..)

      Makki
      EIB/KNX & WireGate & HS3, Russound,mpd,vdr,DM8000, DALI, DMX
      -> Bitte KEINE PNs!

      Kommentar

        #18
        Hallo zusammen,
        hab jetzt die Lösung. Und zwar hat die Rückroute nicht funktioniert. Hab Sie in meiner Fritzbox eingetragen und nun Funktioniert es.

        IP Netzwerk: Die IP adresse des VPN Netzwerks z.B. 172.24.254.0
        Subnetz: 255.255.255.0
        Gateway: Die IP Adresse des Wiregates im lokalen Netzwerk z.B. 192.168.2.71

        Gruß
        David
        EDF GmbH Neu-Ulm

        Kommentar

          #19
          Hallo,

          mein VPN funktioniert, ich weiß aber nicht wieso

          und wenn ich nicht weiß wie es funktioneirt halte ich es für unsicher.

          Habe an den VPN Servereinstellungen nichts geändert.

          habe dann die Configdateien in mein OpenVPN Client eingespielt und mich verbunden. Ging super.

          Nun habe ich eine IP Adresse zugewiesen bekommen (Also meine LAN Verbindung 2).

          Diese lautet:
          172.24.254.6 (Siehe Screenshot)

          Zugreifen auf mein Wiregate kann ich nun über 172.24.254.1

          Mich würde interessieren wieso?
          Woher bekomme ich diese IP?
          Und woher das WG die IP?
          Ebenfalls warum ich als Client eine 6 und das WG eine 1?

          Ich habe im Router bei mir nur eine eine Port Weiterleitung für UDP/1194 an die 192.168.2.100 (Dies ist mein Wiregate)
          Angehängte Dateien

          Kommentar

            #20
            Mit einfachen Worten sind das die IPs aus dem Virtuellen Privaten Netzwerk und die werden vom WireGate als VPN-Server vergeben.

            P.S.: Könnetst Du versuhcen diene Buchtsaben ein wen igzu sortieren ?
            Umgezogen? Ja! ... Fertig? Nein!
            Baustelle 2.0 !

            Kommentar

              #21
              Habe mein Buchstabensalat sortiert.
              Sorry, dafür

              Kann ich irgendwo einstellen welche IP mein Wiregate im VPN bekommen soll?

              Kommentar

                #22
                Naja Du hast beide IPs Du wirst Sie nur noch per push route zuweisen müssen.

                Hier mal die Auszüge aus meiner config:
                Fritzbox: 192.168.2.1
                WireGate: 192.168.2.220

                VPN-Client:
                Code:
                ns-cert-type server
push "route 192.168.2.0 255.255.255.0"
push "dhcp-option DNS 192.168.2.1"
                VPN Server:
                Code:
                push "route 192.168.2.0 255.255.255.0"
push "dhcp-option DNS 192.168.2.1"
                Damit ist mein WireGate auch im VPN unter 192.168.2.220 erreichbar. Weitehin hab ich natürlich alle Bookmarks nicht auf http://wiregatexxx/visu zu laufen sonder eben direkt auf die IP http://192.168.2.220/visu.
                Die Namensauflösung ist bei mir zumindest je nach Client immer ein Glücksspiel, mal passt es, mal nicht.
                Umgezogen? Ja! ... Fertig? Nein!
                Baustelle 2.0 !

                Kommentar

                  #23
                  Hi,

                  Danke!!!! Jetzt funktioniert es wie es soll!

                  Kommentar

                    #24
                    Zitat von Jache Beitrag anzeigen
                    mein VPN funktioniert, ich weiß aber nicht wieso
                    Nun, das Primärziel ist das es aus der Box auch ohne allzuviel Know-how sicher funktioniert

                    Am besten ist man also bedient wenn man erstmal nicht soviel dreht, die IP's so lässt wie sie sind (die sind auch "private" nach RFC1918 und sollten mit den wenigsten Netzten kollidieren)

                    Das mit dem push-route ist natürlich richtig, benötigt aber noch eine Route am Default-Gateway im LAN (die Fritzbox) für (hier / Default):
                    172.24.254.0 255.255.255.0 -> 192.168.2.100

                    Makki
                    EIB/KNX & WireGate & HS3, Russound,mpd,vdr,DM8000, DALI, DMX
                    -> Bitte KEINE PNs!

                    Kommentar

                      #25
                      Hätte da auch noch mal zwei Fragen zum openVPN:

                      Hab gesehen, dass auf meinem Wiregate der 2.1 RC 11 von 2008 läuft, hat das so seine Richtigkeit oder sind mir da irgendwelche wichtigen (Security) Updates durchgegangen?

                      Außerdem würde ich gerne eine Mail+KNX-Telegramm schicken lassen, wenn sich ein Client Verbindet. Meine Versuche mit dem up Script haben aber nur dazu geführt, dass der Server nicht mehr startet... ("openvpn_execve: external program may not be called due to setting of --script-security level").

                      Wenn ich selbst Änderungen an der Server.conf vornehme, zerschießt mir die aber das Webmin. Gibt es da eine Möglichkeit, die auch das nächsten Update überlebt?

                      Ach ja: Namensauflösung funktioniert noch nicht, trotz push "dhcp-option DNS 192.168.10.1" Per IP können die internen Rechner aber erreicht werden, da werde ich noch mal was Doku lesen müssen, vielleicht habt Ihr ja auch eine Idee?

                      Kommentar

                        #26
                        Es gab seither genau ein einziges wirklich Sicherheits-relevantes Problem in OpenVPN (genauer in OpenSSL) das wurde binnen Stundenfrist upgedatet/gefixed, , betrifft nur den Server - also mag ich mich da wirklich mit bestem Gewissen, aber mal ganz tiefenentspannt, zurücklehnen


                        Zum anderen: der Webmin ist für Leute, die keine Textdateien editieren wollen, umgekehrt mag er halt keine Leute die das tun.. Entweder - oder.. Wenn du es kannst, vergiss ihn einfach
                        Code:
                        script-security 3 system
                        und ein

                        Code:
                        chmod a+x XXX/script.sh
                        Sollte es bringen..
                        Es gibt im SVN auch zwei Plugins, die bei connect/disconnect KNX-Telegramme absetzen, vielleicht hilft das..

                        Makki

                        P.S. Wer die richtigen Sachen verwendet, braucht halt nicht alle 4 Wochen ne Giftspritze, sondern schläft mit der Version von 2008 ruhig wie ein Baby
                        Ok, IPV6 - was kein Mensch braucht, geht mit der aktuellen 2.3 mal grad endlich soweit das nichtmehr alles deswegen kachelt; Grund zum Update? Nö
                        EIB/KNX & WireGate & HS3, Russound,mpd,vdr,DM8000, DALI, DMX
                        -> Bitte KEINE PNs!

                        Kommentar

                          #27
                          Damit haut es jetzt prima hin, danke!.

                          Für den Fall, dass das noch einmal jemand sucht hier ein paar Stichworte:

                          1. Die /etc/openvpn/server.conf ergänzen:
                          script-security 3 system
                          up servers/server/bin/server.up
                          down servers/server/bin/server.down
                          client-connect servers/server/bin/client.connect
                          client-disconnect servers/server/bin/client.disconn

                          2. Die Skripte unter servers/server/bin/ anlegen und wie von Makku geschrieben ausführbar machen

                          3. Inhalt (als Beispiel mein server.up)
                          #!/bin/bash

                          echo "Wiregate VPN-Server gestartet" | mail -s "VPN: Server up" user@domain.tld

                          # VPN-Server Rueckmelde-GA und VPN-Client Connect GA
                          groupswrite ip:localhost 1/2/3 1
                          groupswrite ip:localhost 4/5/6 0

                          exit 0


                          Wichtig ist, dass die Skripte einen Rückgabewert von 0 haben, sonst wird die Verbindung nicht aufgebaut (zumindest im client.connect). Voraussetzung ist außerdem natürlich ein funktionierende Mailkonfiguration auf dem Wiregate.

                          Probleme hatte ich mit dem up-pre Skript, da ich das aber nicht brauche ist es mir egal!

                          Kommentar

                            #28
                            Jetzt hätte ich da noch mal eine Frage...

                            Zunächst einmal: Das DNS-Problem für lokale Adressen hat sich inzwischen geklärt, es gibt einen Bug im VPN-Client für iOS der in der nächsten Version gefixt werden soll. Als Workarround kann ein zusätzliches push "redirect-gateway def1" dienen.

                            Aber zu Frage: Der VPN Zugriff auf alle Rechner im lokalen Netz klappt problemlos, per IP oder auch Name. Was nicht klappt ist der Zugriff aufs Internet über das VPN, weder per IP noch per Name. Was jetzt blöd ist, da der Workarround oben ja dafür sorgt, dass aller Traffic durch den Tunnel geht.

                            Ich vermute, dass da noch eine Route bzw. Weiterleitung fehlt?! Vielleicht könnt Ihr mir ja auf die Sprünge helfen?

                            Hier noch meine aktuelle Server-Konfiguration:

                            Code:
                            port 1194
proto udp
dev tun0
ca keys/this-server-ca/ca.crt
cert keys/this-server-ca/server.crt
key keys/this-server-ca/server.key
dh keys/this-server-ca/dh1024.pem
server 172.24.254.0 255.255.255.0
crl-verify keys/this-server-ca/crl.pem
tls-auth servers/server/ta.key 0
cipher AES-128-CBC
user nobody
group nogroup
status /var/run/openvpn.server.status
log-append /var/log/openvpn.log
verb 2
mute 20
max-clients 100
management 127.0.0.1 8001
keepalive 10 120
client-config-dir /etc/openvpn/servers/server/ccd
comp-lzo
persist-key
persist-tun
ccd-exclusive
client-to-client
script-security 3 system
up servers/server/bin/server.up
down servers/server/bin/server.down
client-connect servers/server/bin/client.connect
client-disconnect servers/server/bin/client.disconnect
push "route 192.168.10.0 255.255.255.0"
push "dhcp-option DNS 192.168.10.1"
push "dhcp-option DOMAIN xyz.internal"
push "redirect-gateway def1"

                            Kommentar

                              #29
                              Hast du deine Konfig mal mit meiner im anderen Thread verglichen? Bei mir geht das nämlich problemlos.

                              EDIT: was macht denn push "route 192.168.10.0 255.255.255.0"? Insgesamt ist da einiges in der Konfig, was man nicht unbedingt braucht. Ich würde erstmal mit einer möglichst minimalen Konfiguration anfangen, den Rest kannst du immer noch rein basteln wenn es geht.
                              Mit freundlichen Grüßen
                              Niko Will

                              Logiken und Schnittstelle zu anderen Systemen: smarthome.py - Visualisierung: smartVISU
                              - Gira TS3 - iPhone & iPad - Mobotix T24 - ekey - Denon 2313 - Russound C5 (RIO over TCP Plugin) -

                              Kommentar

                                #30
                                Im wesentlichen ist das bei mir die Default-Konfiguration des Wiregates mit zusätzlichen Skripten sowie DNS und umleiten allen Traffics. Wenn man das raus nimmt ist sie Deiner auch sehr ähnlich. Die route sorgt dafür, dass das Netz hinter dem Wiregate und nicht nur das Wiregate ereichbar ist. Stammt aus der entsprechenden Doku des Wiregates.

                                Hast Du bei Dir vielleicht noch Firewall-regeln auf dem VPN-Server modifiziert die den Traffic passend weiterleiten? Eigentlich hatte ich vermutet, dass im Wiregate definierte Default-Gateway dazu ausreichen sollte, vielleicht tut es dass aber auch nicht?!

                                Kommentar

                                Vorherige 1 2 3 template Weiter
                                Lädt...
                                X

                                Wir verarbeiten personenbezogene Daten über die Nutzer unserer Website mithilfe von Cookies und anderen Technologien, um unsere Dienste bereitzustellen. Weitere Informationen findest Du in unserer Datenschutzerklärung.

                                Indem Du unten auf "ICH stimme zu" klickst, stimmst Du unserer Datenschutzerklärung und unseren persönlichen Datenverarbeitungs- und Cookie-Praktiken zu, wie darin beschrieben. Du erkennst außerdem an, dass dieses Forum möglicherweise außerhalb Deines Landes gehostet wird und bist damit einverstanden, dass Deine Daten in dem Land, in dem dieses Forum gehostet wird, gesammelt, gespeichert und verarbeitet werden.

                                Ich stimme zu