|
nephilim75
Anmeldungsdatum:
13. September 2016
Beiträge: 25
|
Guten Tag, ich habe mir einen OpenVPN-Server auf einem RaspberryPi daheim eingerichtet. Ich kann mich auch mit dem Netz verbinden und surfen, sowie auf andere Geräte im Heimnetzwerk zugreifen. Leider haben diese Verbindungen nicht sonderlich lange Bestand.Es dauert nur ein paar Sekunden und meine Netzwerkverbindung scheint getrennt zu werden. Am Routing, so meine Annahme, sollte es nicht liegen, da ich ja kurzfristig eine Verbindung bekomme. Wo kann ich ansetzen? Hat jemand eine Idee? LG // neph
|
|
Thomas_Do
Moderator
Anmeldungsdatum:
24. November 2009
Beiträge: 8808
|
nephilim75 schrieb: Wo kann ich ansetzen? Hat jemand eine Idee?
Ich würde einmal die Logs anschauen (oder openvpn aus dem Terminal starten) und außerdem bei Server und Client die allgemeine Stabilität der Netzverbindung testen.
|
|
nephilim75
(Themenstarter)
Anmeldungsdatum:
13. September 2016
Beiträge: 25
|
(oder openvpn aus dem Terminal starten)
Gerne, leider weiß ich nicht wie. So: sudo openvpn --config YOUR_SELECTED_CONNETION_TYPE.ovpn ?
|
|
lubux
Anmeldungsdatum:
21. November 2012
Beiträge: 14393
|
nephilim75 schrieb: Gerne, leider weiß ich nicht wie.
Versuch mal mit:
sudo systemctl restart openvpn
und danach:
systemctl status openvpn
systemctl status openvpn@server
systemctl list-units --all | grep -i openvpn
sudo lsof -nPi | grep -i openvpn
|
|
Thomas_Do
Moderator
Anmeldungsdatum:
24. November 2009
Beiträge: 8808
|
Du musst eine Konfigurationsdatei erstellen, siehe hier. Wahrscheinlich hast Du ein Template unter /etc/openvpn/server.conf.
|
|
nephilim75
(Themenstarter)
Anmeldungsdatum:
13. September 2016
Beiträge: 25
|
Guten Morgen, meine Probleme begannen, als ich das Netzwerk erreichbar machen wollte. Die VPN-Verbindung, die es mir erlaubt über daheim zu surfen funktioniert einwandfrei und dauerhaft und stabil. Meine Serverkonfiguration:
dev tun
proto udp
port 1194
ca /etc/openvpn/easy-rsa/keys/ca.crt
cert /etc/openvpn/easy-rsa/keys/server.crt
key /etc/openvpn/easy-rsa/keys/server.key
dh /etc/openvpn/easy-rsa/keys/dh2048.pem
user nobody
group nogroup
server 10.8.0.0 255.255.255.0
persist-key
persist-tun
status /var/log/openvpn-status.log
verb 3
client-to-client
push "redirect-gateway def1 bypass-dhcp"
#set the dns servers
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 8.8.4.4"
log-append /var/log/openvpn
comp-lzo
duplicate-cn
keepalive 20 180
#crl-verify keys/crl.pem Damit kann ich aber auf kein Gerät in meinem heimischen Netz zugreifen, was aber das Ziel ist. Um das zu erreichen, habe ich push "route 192.168.178.0 255.255.255.0" in die Config geschrieben. Das hat mir dann mein Netzwerk zwar zugänglich gemacht und das Surfen erlaubt, aber immer nur für ein paar Sekunden. Ohne diese Zeile:
user@SYDEWI-NB01:~$ route -n
Kernel-IP-Routentabelle
Ziel Router Genmask Flags Metric Ref Use Iface
0.0.0.0 10.8.0.9 0.0.0.0 UG 50 0 0 tun0
0.0.0.0 192.168.178.1 0.0.0.0 UG 100 0 0 eth0
10.8.0.0 10.8.0.9 255.255.255.0 UG 50 0 0 tun0
10.8.0.9 0.0.0.0 255.255.255.255 UH 50 0 0 tun0
37.201.65.75 192.168.178.1 255.255.255.255 UGH 100 0 0 eth0
169.254.0.0 0.0.0.0 255.255.0.0 U 1000 0 0 tun0
192.168.178.0 0.0.0.0 255.255.255.0 U 100 0 0 eth0
user@SYDEWI-NB01:~$ Und mit:
user@SYDEWI-NB01:~$ route -n
Kernel-IP-Routentabelle
Ziel Router Genmask Flags Metric Ref Use Iface
0.0.0.0 10.8.0.5 0.0.0.0 UG 50 0 0 tun0
0.0.0.0 192.168.178.1 0.0.0.0 UG 100 0 0 eth0
10.8.0.0 10.8.0.5 255.255.255.0 UG 50 0 0 tun0
10.8.0.5 0.0.0.0 255.255.255.255 UH 50 0 0 tun0
37.201.65.75 192.168.178.1 255.255.255.255 UGH 100 0 0 eth0
169.254.0.0 0.0.0.0 255.255.0.0 U 1000 0 0 tun0
192.168.178.0 10.8.0.5 255.255.255.0 UG 50 0 0 tun0
192.168.178.0 0.0.0.0 255.255.255.0 U 100 0 0 eth0
user@SYDEWI-NB01:~$ Ich erkenne da leider nichts, weil ich mich damit nicht auskenne. Vielleicht hilft es ja einem von Euch und mach Hilfe für mich möglich. Viele Grüße
//neph
|
|
lubux
Anmeldungsdatum:
21. November 2012
Beiträge: 14393
|
nephilim75 schrieb: meine Probleme begannen, als ich das Netzwerk erreichbar machen wollte. Meine Serverkonfiguration:
dev tun
proto udp
port 1194
ca /etc/openvpn/easy-rsa/keys/ca.crt
cert /etc/openvpn/easy-rsa/keys/server.crt
key /etc/openvpn/easy-rsa/keys/server.key
dh /etc/openvpn/easy-rsa/keys/dh2048.pem
user nobody
group nogroup
server 10.8.0.0 255.255.255.0
persist-key
persist-tun
status /var/log/openvpn-status.log
verb 3
client-to-client
push "redirect-gateway def1 bypass-dhcp"
#set the dns servers
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 8.8.4.4"
log-append /var/log/openvpn
comp-lzo
duplicate-cn
keepalive 20 180
#crl-verify keys/crl.pem
Wie sind die Geräte (... die Du per VPN erreichen willst) im (W)LAN deiner FritzBox/PI (als VPN-Server) mit deinem PI "softwaremäßig" verbunden? Sind das auch VPN-Clients, weil Du "client-to-client" konfiguriert hast? EDIT: Wie ist auf deinem PI (VPN-Server an der FritzBox), die Ausgabe von:
ls -la /etc/openvpn/ccd
?
|
|
nephilim75
(Themenstarter)
Anmeldungsdatum:
13. September 2016
Beiträge: 25
|
Hej, pi@raspberrypi:~ $ ls -la /etc/openvpn/ccd
ls: cannot access /etc/openvpn/ccd: No such file or directory Das ist das Ergebnis der Abfrage, ohne dass es eine VPN-Verbindung gab. Wie sind die Geräte (... die Du per VPN erreichen willst) im (W)LAN deiner FritzBox/PI (als VPN-Server) mit deinem PI "softwaremäßig" verbunden? Sind das auch VPN-Clients, weil Du "client-to-client" konfiguriert hast?
Ich glaubte gelesen zu haben, dass client-to-client notwendig sei, um die Geräte im heimischen Netz sichtbar zu machen. Nicht nur andere VPN-Server. Deswegen ist das in meiner Config. In meinem Netz daheim, habe ich mehrere NAS und andere Server stehen. Die sind alle nur über den Router (AVM Fritz!Box - 192.168.178.1) miteinander verbunden. Sonst ist da nichts. Viele Grüße
//neph
|
|
lubux
Anmeldungsdatum:
21. November 2012
Beiträge: 14393
|
nephilim75 schrieb: Ich glaubte gelesen zu haben, dass client-to-client notwendig sei, um die Geräte im heimischen Netz sichtbar zu machen. Nicht nur andere VPN-Server. Deswegen ist das in meiner Config. In meinem Netz daheim, habe ich mehrere NAS und andere Server stehen. Die sind alle nur über den Router (AVM Fritz!Box - 192.168.178.1) miteinander verbunden. Sonst ist da nichts.
Dann brauchst Du auf deinem PI (VPN-Server) auch keine "client-to-client"- bzw. "duplicate-cn"-Konfiguration. Dein PI (VPN-Server) ist ja in einem (W)LAN mit dem Subnetz 192.168.178.0/24. Ist das bei deinem VPN-Client auch das Subnetz 192.168.178.0/24? Willst Du von deinem VPN-Client, gleichzeitig über deinen PI (VPN-Server) ins Internet gehen und auch auf die Geräte im Subnetz des PIs (VPN-Server) zugreifen?
|
|
nephilim75
(Themenstarter)
Anmeldungsdatum:
13. September 2016
Beiträge: 25
|
Dein PI (VPN-Server) ist ja in einem (W)LAN mit dem Subnetz 192.168.178.0/24. Ist das bei deinem VPN-Client auch das Subnetz 192.168.178.0/24?
Ich bin nicht sicher, ob ich die Frage richtig verstehe. Hier ist die Client-Konfiguration meines Laptops (Ubuntu 16.04 LTS):
dev tun
client
proto udp
remote sub.domain.com 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert SYDEWI-NB01.crt
key SYDEWI-NB01.key
comp-lzo
verb 3 Willst Du von deinem VPN-Client, gleichzeitig über deinen PI (VPN-Server) ins Internet gehen und auch auf die Geräte im Subnetz des PIs (VPN-Server) zugreifen?
Ich glaube ja. Ich möchte, wenn mir mein Client im Netzwerkmanager anzeigt, er sei jetzt per VPN verbunden, im Internet surfen können und üblicherweise "lokale" (meine heimischen) IP-Adressen aufrufen können. Bspw. mit PuTTY. Oder im Browser die lokalen IP's meiner Server, die teilweise Weboberflächen haben.
|
|
lubux
Anmeldungsdatum:
21. November 2012
Beiträge: 14393
|
nephilim75 schrieb:
... und üblicherweise "lokale" (meine heimischen) IP-Adressen aufrufen können. Bspw. mit PuTTY. Oder im Browser die lokalen IP's meiner Server, die teilweise Weboberflächen haben. An welchem Internetanschluss befindest Du dich mit deinem Laptop (Ubuntu 16.04 LTS) (VPN-Client), wenn Du dass machen willst?
|
|
nephilim75
(Themenstarter)
Anmeldungsdatum:
13. September 2016
Beiträge: 25
|
An welchem Internetanschluss befindest Du dich mit deinem Laptop (Ubuntu 16.04 LTS) (VPN-Client), wenn Du dass machen willst?
Nicht im eigenen (hoffe, darauf zielt die Frage ab). Ich verwende gerade ein "fremdes" Fritz!Box-Netz.
|
|
lubux
Anmeldungsdatum:
21. November 2012
Beiträge: 14393
|
nephilim75 schrieb: Ich verwende gerade ein "fremdes" Fritz!Box-Netz.
OK, und dieses fremde FritzBox-Netz hat als Subnetz auch 192.168.178.0/24 (... genau so wie dein eigenes, in dem sich dein VPN-Server/PI und die Geräte auf die Du per VPN zugreifen willst, befinden).
|
|
nephilim75
(Themenstarter)
Anmeldungsdatum:
13. September 2016
Beiträge: 25
|
Ich habe das Setup bisher mal mit meinem Handy getestet. Und das funktioniert einwandfrei und wie ich mir das vorgestellt habe. Ich kann surfen und komme auf jedes meiner Geräte in meinem Netzwerk. Es scheint also ein Problem mit dem Ubuntu-Laptop zu sein. Wie kann das sein, dass das mit dem Smartphone geht, aber nicht mit dem Laptop?
|
|
lubux
Anmeldungsdatum:
21. November 2012
Beiträge: 14393
|
nephilim75 schrieb: Wie kann das sein, dass das mit dem Smartphone geht, aber nicht mit dem Laptop?
War das Smartphone per Mobilfunk mit dem Internet verbunden oder war das Smartphone per WLAN im fremden FritzBox-Subnetz (192.168.178.0/24)?
|