Muss ich prüfen, in welcher Konstellation das auftritt..
Zum dyndns dann auch später, hab in 6 Minuten nen wichtigen Termin

Makki

Ja is ja nicht so dringend.... Ich hab den selben Termin (glaub ich )

Also, das mit den aktiven VPN-Verbindungen ist vermutlich ganz banal, siehe Anhang:
In den VPN-Servereinstellungen aktivieren, speichern, VPN-Dienste restarten
(ist aber evtl. Defaultmässig dummerweise nicht so eingestellt)

Makki

Doch ist alles so Default und funktioniert trotzdem nicht. Irgendwie kann er scheinbar die Zertifikatverwaltung nicht erreichen (starten ?).

Sag doch gleich, das der ganze VPN-Server nicht läuft

Also, das ist im Prinzip bekannt, bei den ersten handvoll Boxen wurden teilw. die Zertifikate nicht komplett erstellt. Das fixen wir aber lieber einzeln&manuell per Wartungs-VPN, denn bei einem allgemeinen Update bestünde die Gefahr bereits erstellte&eingesetzte Keys von Anwendern zu überschreiben.. Das will ich keinesfalls riskieren.
-> Wartungs-VPN bitte aktivieren + Ping an mich (das übrigens auf denselben frühen Boxen dasselbe Problem hat, das wurde bei vento aber AFAIR schon gefixed)


Den dyndns machen wir morgen, muss das noch hübsch verpacken

Makki

Also, Ursache war viel banaler: Bei IP-Adressen für Clients war das lokale LAN eingetragen, das muss(*) aber ein anderes IP-Subnetz als das lokale sein.

Beispiel:
- das WireGate ist im LAN mit 10.0.0.100/255.255.255.0
- Router/Default-Gateway ist 10.0.0.1
- IP-Subnet für die VPN-Clients ist 10.0.1.0 / 255.255.255.0

Dabei auch nicht vergessen: wenn man auf alle Hosts im LAN per VPN zugreifen will muss man entweder
a) im Default-Gateway (Router) eine statische Route auf 10.0.0.100 für das Subnetz 10.0.1.0/255.255.255.0 eintragen
oder
b) Das WireGate als Default-Gateway an allen Clients eintragen (ausser im WireGate selbst natürlich, dort kommt dann die 10.0.0.1 als GW rein.

-> Das einfachste ist, die Defaulteinstellungen (172.24.254.0) zu lassen und nur bei "push route ..." das eigene lokale Subnetz einzutragen.

*: zumindest in der einfachen Variante. Es gibt noch die Variante mit Bridgen der VPN-Clients ins LAN, das ist aber einigermassen komplizierter und nur manuell einzurichten.. Ausserdem gibts Risiken und Nebenwirkungen..

Makki

P.S.: Und in der nächsten Version sollte dem Anwender noch eine faire Chance eingeräumt werden die zugehörige Fehlermeldung auch zu erblicken, ich arbeite daran

Die VPN Verbindung wird nicht vollständig aufgebaut. Habe bei meinem 2. WG eigentlich alles so gemacht, wie beim ersten ?!

Log-Datei ist im Anhang. Was muss ich ändern

Freundliche Grüße aus Wörlitz

Micha



jakob_06_log.txt

Der spricht nicht..
- openvpn-Server auf dem WireGate läuft (Status)
- IP 91.15.59.14 stimmt?
- Port 1194/UDP ans WireGate weitergeleitet?

Makki

- openvpn Server läuft (LED ist grün)

nobody 27899 1 0 Jun23 ? 00:00:25 /usr/sbin/openvpn --writepid /var/run/openvpn.wiregate-central.pid --daemon ovpn-wiregate-central --status /var/run/openvpn.wiregate-central.status 10 --cd /etc/openvpn --config /etc/openvpn/wiregate-central.conf

- IP 91.15.59.14 ist die aufgelöste dyndns Adresse / stimmt auch !

- Portforwarding ist eingerichtet 1194 an lokale IP Wiregate

Aber Fehlerlog bleibt so

Das WG ist über Port 10000 von außen erreichbar, ebenso putty, beides über dyndns !

Gruß Micha

Nee, sorry, tat er leider nicht.. Das ist nur das Wartungs-VPN, wenn beides aktiviert ist, müssen da zwei stehen.

Die Ursache hätte man im Log gesehen (Zugriffsrechte auf die Keys), ich hab das - nachdems eh an war - via Wartungs-VPN jetzt mal vorab gefixed, sollte jetzt gehen.

Da ist irgendwo noch der Wurm drin, ich sehe mal zu das mit dem nächsten Update endgültig in den Griff zu bekommen
..und die Ampel und eine Loganzeige..

Makki

Danke, jetzt geht es. Startet der openvpn-server jetzt beim booten automatisch oder muss ich ihn manuell starten

Ich hatte da auch schon zwei Einträge gesehen. Sieht jetzt so aus, als wenn sich openvpn alleine beendet ?

Gruß Micha

Der VPN-Server startet nunmehr automatisch und es wird auch überwacht, das er läuft (ist von Haus aus so, falls aktiviert, wenn er denn mal läuft)

Makki

Mal eine Frage: Wenn ich es richtig sehe, hab ich mit dem iPhone beim Zugriff auf einen OpenVPN Server ja schlechte Karten, oder gibt es da inzwischen eine Lösung?

Vielleicht habt Ihr ja ersatzweise eine Empfehlung für einen Router der IPSec macht den ich als eigenständiges VPN-Gateway verwenden kann (hätte das gerne von meinem Internetrouter getrennt).

iPhone: m.W. (sagte man mir) geht OpenVPN nur mit Jailbreak..

Mögliche Varianten:
1) Reverse-SSL-Proxy (geht natürlich nur für interne Webseiten, Visu, Kamera usw)
2) IPSec geht natürlich auf dem WireGate auch
3) PPTP o.ä. dito (IMHO nicht Mittel der Wahl weil einfach grundlegende Sicherheitsprobleme bestehen)
All das aber nicht so "Plug&Play".. Naja, IPSec auf einem Router einzurichten ist gewöhnlich auch so nicht PnP
zu 1: Haben wir schonmal Tests mit Helmut und iPhone gemacht, läuft dann mit Apache, geht. Die Einrichtung erfordert aber einiges an Details, kommt im Einzelfall drauf an..
zu 2: Gibt es sogar ein Webmin-Frontend (als root), was das Frontend taugt weiss ich nicht..
Da nun zum Ziel zu kommen bedarf entweder ein bisschen Eigeninitiave oder ansonsten sind wir für Sonderlocken auch käuflich

4) Cisco hinstellen, der kann auch IPSec (gibts natürlich noch ne Menge andere Router, kenne ich aber nicht/kaum)

Makki