OpenBSD und OpenVPN

NexAs · 25.10.2012, 10:09

Hallo Spezialisten,

Ich dachte mir es ist mal wieder Zeit auf die neuste OpenBsd Version umzusteigen...aus diesem Grund habe ich mir das neueste OpenBSD (5.1) auf einem virtuellen Image auf einem ESX installiert.
Der Gedanke war der meinen alten Webserver und OpenVPN Server (4.6) zu virtualisieren und dabei gleich mal auch die neueste Version zu verwenden...

Webserver war überhaupt kein Problem, der läuft wie eine 1.
Problem ist OpenVPN. Ich habe OpenVPN schon mehrmals auf OpenBSD aufgesetzt (vor 4.6) und eben zuletzt auf Version 4.6. Dazu gibts einige Anleitungen auch im Internet...
Die Konfigdatei ist bei beiden Server die komplett gleiche, auch die client Konfigdatei ist die komplett gleiche.
Der Client kann sich problemlos verbinden. Bekommt eine IP zugewiesen. Jedoch komme ich nicht über die lokale IP des OpenBSD Server hinaus. Im pftop kann ich den PING vom Client auf die lokale OpenBSD Adresse sehen, pings auf andere Server im gleichen Segment liefern jedoch "Destination Host unreachable".
Beim alten 4.6 Server klappt das jedoch problemlos.
Firewall kann es eigentlich nicht sein, da auf beiden Servern die Regel pass ALL drinnen ist zu Testzwecken...inet.ip.forwarding ist auch aktiviert.

Nun frage ich mich hat es irgendwelche wesentlichen Änderungen von 4.6 auf 5.1 gegeben die das Problem sein könnten?

Immerhin kann ich sehen, dass die Brdige die ich für openvpn benötige, nicht mehr durch bridgename.bridge0 erzeugt wird sondern durch hostname.bridge0...auch ifconfig gibt mir gringfügig andere Meldungen...denn die Adapter die gebridged sind, werden nun in 5.1 mit einem flag <learning> versehen...d.h. dies scheint ein intelligente Brücke zu sein, vielleicht müssen da ja irgendwelche zsätzlichen Einstellungen gemacht werden:

Hier die Konfigdateien:

server.conf:
local 192.168.50.10
port 1194
proto udp
dev-type tap
dev tun0

ca /etc/openvpn/ca.crt
cert /etc/openvpn/orion.jervice.at.crt
key /etc/openvpn/private/orion.jervice.at.key # This file should be kept secret
dh /etc/openvpn/dh2048.pem

ifconfig-pool-persist /tmp/ipp.txt
server-bridge 192.168.50.10 255.255.255.0 192.168.50.100 192.168.50.105
client-to-client

keepalive 10 120
persist-key
persist-tun

user nobody
group nobody

status /var/log/openvpn-status.log
verb 5
max-clients 5
_____________________________
hostname.tun0:
link0 up
!/usr/local/sbin/openvpn --daemon --config /etc/openvpn/server.conf

hostname.bridge0:

add em0
add tun0
up

pf.conf:
set skip on lo
pass # to establish keep-state
pass in quick on em0 all
pass out quick on em0 all
pass in quick on tun0 all
pass out quick on tun0 all

# By default, do not permit remote connections to X11
block in on ! lo0 proto tcp to port 6000:6010

Falls irgendwer von euch noch irgendeine Idee hat wäre das wirklich hilfreich...egal welche...ich habe hier nur eine Konfig gepostet, weil die 2te Konfig einfach absolut genau gleich aussieht. Lediglich ist es nicht die IP 192.168.50.10 sondern .55

Danke lg
j.

midnight · 25.10.2012, 20:53

Hast Du folgendes eingestellt?

Zitat:

# sysctl net.inet.ip.forwarding=1

Meine pf.conf sieht so aus:

Zitat:

ext_if = "em0"
vpn_if = "tun0"

set skip on lo

match in all scrub (no-df max-mss 1440)
match out on $ext_if from ! $ext_if nat-to ($ext_if:0)

block all

antispoof for lo0
antispoof for {$ext_if, $vpn_if } inet

pass out on $ext_if
pass quick on $vpn_if no state
pass in on $vpn_if keep state
pass in on $ext_if proto udp to ($ext_if) port 1194
pass out proto icmp keep state
pass in proto icmp keep state

Zitat:

# cat /etc/hostname.tun0
up
!/usr/local/sbin/openvpn --daemon --config /etc/openvpn/server.conf

Evtl. hilft dir das ja weiter.

NexAs · 31.10.2012, 09:09

Also erstmal, sry für die später Meldung, aber ich war leider krank und kam nicht aus dem Bett raus.
Danke für deine hilfreichen Tipps.

1.) Das Forwarding habe ich auf 1 gesetzt, das habe ich auch vermutet dass das das Problem ist leider war es das nicht.

2.) Mein hostname.tun0 file hat die gleiche 2. Zeile, jedoch habe ich in der ersten Zeile "link0 up" anstelle von nur "up" das kann ich aber genre auch versuchen, wenn du meinst das das was bringen könnte.

3.) ich probier mal deine pf.conf und melde mich dann wieder.

Erstmal vielen Dank, vielleicht löst ja das Problem, gebe Bescheid wie immer.

Danke!
lg
Johannes

NexAs · 02.11.2012, 10:42

Hallo!
Habe das nun probiert, leider ändert das nichts an meinem Problem.
Bis zum internen Interface komme ich von dort auch gehts nicht mehr weiter.

Ich werde noch einige Tests machen (z.B. v4.6 Maschine auf dme ESX aufsetzen und schauen ob es vielleicht irgendwie an der Virtualiserung liegen kann)
Sollte ich irgendwas rausfinden werde ich es hier posten, vielleicht hilfts ja dann zumindest jemand anderem. ^^
Falls von euch noch jemandem irgendwas einfällt...immer raus damit. ^^

Besten Dank!
lg
Johannes

25.10.2012, 10:09	#1
NexAs Registered User Registrierungsdatum: Sep 2008 Ort: Vienna/Austria Beiträge: 21	OpenBSD und OpenVPN Hallo Spezialisten, Ich dachte mir es ist mal wieder Zeit auf die neuste OpenBsd Version umzusteigen...aus diesem Grund habe ich mir das neueste OpenBSD (5.1) auf einem virtuellen Image auf einem ESX installiert. Der Gedanke war der meinen alten Webserver und OpenVPN Server (4.6) zu virtualisieren und dabei gleich mal auch die neueste Version zu verwenden... Webserver war überhaupt kein Problem, der läuft wie eine 1. Problem ist OpenVPN. Ich habe OpenVPN schon mehrmals auf OpenBSD aufgesetzt (vor 4.6) und eben zuletzt auf Version 4.6. Dazu gibts einige Anleitungen auch im Internet... Die Konfigdatei ist bei beiden Server die komplett gleiche, auch die client Konfigdatei ist die komplett gleiche. Der Client kann sich problemlos verbinden. Bekommt eine IP zugewiesen. Jedoch komme ich nicht über die lokale IP des OpenBSD Server hinaus. Im pftop kann ich den PING vom Client auf die lokale OpenBSD Adresse sehen, pings auf andere Server im gleichen Segment liefern jedoch "Destination Host unreachable". Beim alten 4.6 Server klappt das jedoch problemlos. Firewall kann es eigentlich nicht sein, da auf beiden Servern die Regel pass ALL drinnen ist zu Testzwecken...inet.ip.forwarding ist auch aktiviert. Nun frage ich mich hat es irgendwelche wesentlichen Änderungen von 4.6 auf 5.1 gegeben die das Problem sein könnten? Immerhin kann ich sehen, dass die Brdige die ich für openvpn benötige, nicht mehr durch bridgename.bridge0 erzeugt wird sondern durch hostname.bridge0...auch ifconfig gibt mir gringfügig andere Meldungen...denn die Adapter die gebridged sind, werden nun in 5.1 mit einem flag <learning> versehen...d.h. dies scheint ein intelligente Brücke zu sein, vielleicht müssen da ja irgendwelche zsätzlichen Einstellungen gemacht werden: Hier die Konfigdateien: server.conf: local 192.168.50.10 port 1194 proto udp dev-type tap dev tun0 ca /etc/openvpn/ca.crt cert /etc/openvpn/orion.jervice.at.crt key /etc/openvpn/private/orion.jervice.at.key # This file should be kept secret dh /etc/openvpn/dh2048.pem ifconfig-pool-persist /tmp/ipp.txt server-bridge 192.168.50.10 255.255.255.0 192.168.50.100 192.168.50.105 client-to-client keepalive 10 120 persist-key persist-tun user nobody group nobody status /var/log/openvpn-status.log verb 5 max-clients 5 _____________________________ hostname.tun0: link0 up !/usr/local/sbin/openvpn --daemon --config /etc/openvpn/server.conf hostname.bridge0: add em0 add tun0 up pf.conf: set skip on lo pass # to establish keep-state pass in quick on em0 all pass out quick on em0 all pass in quick on tun0 all pass out quick on tun0 all # By default, do not permit remote connections to X11 block in on ! lo0 proto tcp to port 6000:6010 Falls irgendwer von euch noch irgendeine Idee hat wäre das wirklich hilfreich...egal welche...ich habe hier nur eine Konfig gepostet, weil die 2te Konfig einfach absolut genau gleich aussieht. Lediglich ist es nicht die IP 192.168.50.10 sondern .55 Danke lg j.

Themen-Optionen
Druckbare Version zeigen Diese Seite per E-Mail verschicken
Ansicht	Thema bewerten
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln	Thema bewerten:

Ähnliche Themen
Thema	Erstellt von	Forum	Antworten	Letzter Beitrag
DSL-Zugang: Keine Default-Route fürs Internet?	Curd	OpenBSD - Allgemein	6	20.04.2009 19:58
OpenBSD 4.0 Release zum Download	cnopers	News	6	15.11.2006 17:28
[OpenBSD] Buch - Secure Architectures with OpenBSD	thor	OpenBSD - Allgemein	4	14.06.2004 10:13
OpenBSD 3.4 Released	oenone	News	0	31.10.2003 03:19
OpenBSD 3.3 erschienen	saintjoe	News	0	01.05.2003 09:33

31.10.2012, 09:09	#3
NexAs Registered User Registrierungsdatum: Sep 2008 Ort: Vienna/Austria Beiträge: 21	Also erstmal, sry für die später Meldung, aber ich war leider krank und kam nicht aus dem Bett raus. Danke für deine hilfreichen Tipps. 1.) Das Forwarding habe ich auf 1 gesetzt, das habe ich auch vermutet dass das das Problem ist leider war es das nicht. 2.) Mein hostname.tun0 file hat die gleiche 2. Zeile, jedoch habe ich in der ersten Zeile "link0 up" anstelle von nur "up" das kann ich aber genre auch versuchen, wenn du meinst das das was bringen könnte. 3.) ich probier mal deine pf.conf und melde mich dann wieder. Erstmal vielen Dank, vielleicht löst ja das Problem, gebe Bescheid wie immer. Danke! lg Johannes

02.11.2012, 10:42	#4
NexAs Registered User Registrierungsdatum: Sep 2008 Ort: Vienna/Austria Beiträge: 21	Hallo! Habe das nun probiert, leider ändert das nichts an meinem Problem. Bis zum internen Interface komme ich von dort auch gehts nicht mehr weiter. Ich werde noch einige Tests machen (z.B. v4.6 Maschine auf dme ESX aufsetzen und schauen ob es vielleicht irgendwie an der Virtualiserung liegen kann) Sollte ich irgendwas rausfinden werde ich es hier posten, vielleicht hilfts ja dann zumindest jemand anderem. ^^ Falls von euch noch jemandem irgendwas einfällt...immer raus damit. ^^ Besten Dank! lg Johannes

Dieses Thema betrachten zurzeit 1 Personen. (0 registrierte Benutzer und 1 Gäste)