So, WLAN-Fan hat mich über ICQ aktiviert, da ich zZ kaum Zeit für andere Sachen außer Arbeit habe!
Ich gehe mal davon aus, das ihr die certs, etc.. alles nachdem HowTO erstellt habt!
Gleich mal vorweg:
Ich arbeite im 192.168.0.0 Subnetz und meine Router IP ist 192.168.0.1
Ich leite vpn über Port 9929 weiter!
Hier die openvpn.conf für den Server (liegt danach in /opt/etc/openvpn/)
Code:
mode server
tls-server
ifconfig-pool 192.168.0.70 192.168.0.90 255.255.255.0
verb 3
port 9929
proto udp
dev tap0
ca /opt/etc/openvpn/easy-rsa/keys/ca.crt
cert /opt/etc/openvpn/easy-rsa/keys/server.crt
key /opt/etc/openvpn/easy-rsa/keys/server.key # This file should be kept secret
dh /opt/etc/openvpn/easy-rsa/keys/dh1024.pem
Hier die start/stopp Datei (/opt/etc/init.d/S20openvpn)
Code:
#!/bin/sh
#
# Startup script for openvpn as standalone server
#
# Make sure IP forwarding is enabled
echo 1 > /proc/sys/net/ipv4/ip_forward
# Make device if not present (not devfs)
if ( [ ! -c /dev/net/tun ] ) then
# Make /dev/net directory if needed
if ( [ ! -d /dev/net ] ) then
mkdir -m 755 /dev/net
fi
mknod /dev/net/tun c 10 200
fi
# Make sure the tunnel driver is loaded
if ( !(lsmod | grep -q "^tun") ); then
insmod /opt/lib/modules/tun.o
fi
# I you want a standalone server (not xinetd), comment out the return statement below
# return 0
## This is for standalone servers only!!!!
# Kill old server if still there
if [ -n "`pidof openvpn`" ]; then
/bin/killall openvpn 2>/dev/null
fi
brctl delif br0 tap0
openvpn --rmtun --dev tap0
# create tap adatper
openvpn --mktun --dev tap0
# bridge the tap device with existing br0
brctl addif br0 tap0
/sbin/ifconfig -a tap0 192.168.0.1
# Start afresh - add as many daemons as you want
echo starting openvpn
/opt/sbin/openvpn --daemon --cd /opt/etc/openvpn --log-append /opt/var/log/vpn/openvpn.log --config openvpn.conf
# [EOF]
Probiert mal /opt/etc/init.d/S20openvpn & zu sagen und schaut euch die openvpn.log an, ob der Server sauber hoch kommt!
Ich habe dann noch einen Router mit dd-wrt oben und hier sieht die client conf so aus:
Code:
client
dev tap0
remote <host> 9929
ifconfig-noexec
resolv-retry infinite
nobind
persist-key
ca /jffs/etc/ca.crt
cert /jffs/etc/client.crt
key /jffs/etc/client.key
ns-cert-type server
float
Ich musste ifconfig-noexec sagen, da vpn meinte, ifconfig liefert im dd-wrt nen falschen Wert zurück und es hat sich beendet!
Hier noch das startup für den client im dd-wrt:
Code:
openvpn --mktun --dev tap0
brctl addif br0 tap0
ifconfig tap0 192.168.0.80 promisc up
ip route add 192.168.0.0/24 dev br0
sleep 1
openvpn --config /jffs/etc/client.ovpn &
Dadurch das ich dem tap0 Adapter MANUELL die Adresse zuweise, braucht ifconfig im openvpn auch nicht gesetzt werden (und dadurch klappt das ifconfig-noexec!!)
Hier die client unter Windows:
Code:
client
dev tap
remote <host> 9929
nobind
ca ca.crt
cert client.crt
key client.key
ns-cert-type server
float
Wie gesagt, wenn ihr die certs usw, erstellt hat, müsste das ganze so Tip Top laufen (achja, die FW Regel nicht vergessen)
Mein DD-WRT Router stellt die VPN Verbindung zum Asus Oleg Router her und somit muss ich mich unter Windows net mal ins VPN einwählen
(also die 2 Netze sind immer verbunden)
Nachtrag: hier meine Konfig: http://www.777kb.com/vimg/router_vpn_config1.png
Ich könnte zwar direkt vom Firmen PC auf den Router in der Wohnung gehen, aber auf dem Asus hängt noch der FTP Server, etc.. Desweiteren läuft der Router in der Wohnung nicht dauernd! Der im Elternhaus aber schon!