IPCop-Forum.de

www.ipcop-forum.de


IPCop-Community
CL-Systems
Home Home   Doku Doku   Links Links   Downloads Downloads
UnIPCop Der (Un)IPCop   IFS IPCop-ForumSpy
CopTime CopTime   Galerie IPCop-Galerie   IPCop Userkarte Userkarte
Aktuelle Zeit: 18.10.2017, 20:19

Alle Zeiten sind UTC+02:00




Ein neues Thema erstellen  Auf das Thema antworten  [ 9 Beiträge ] 
Autor Nachricht
 Betreff des Beitrags: Open-VPN netz zu Netz?
BeitragVerfasst: 24.07.2017, 09:54 
Offline
Chief Inspector
Themenstarter
Chief Inspector

Registriert: 12.09.2005
Beiträge: 129
Hallo Zusammen,

ich habe zwei Standorte. An beiden Arbeiten zwei Fritz!Boxen 7490. Dahinter stehen jeweils ein Cop als Proxy und URL. Konfig. als RED (Statisch) und GREEN. Im Green Lan steht ein Windows Server mit Routing und RAS L2TP IPSEC und nimmt VPNs auf.

Nun muss ich diese beiden Stanorte mit einer VPN koppeln. Natürlich wäre das einfachste die FB zu koppeln, jedoch ist klar, sobald man die FBs einsetzt sind die Port für IPSEC für die FBs reserviert und der Windows VPN Server ist Tot.

Daher war mein Gedanke, kann ich den Cop nocht für eine Open-VPN Netz zu Netz so konfigurien, dass alles Cliets aus Lan 1 mit denen aus Lan 2 sprechen könenn und umgekehrt?

Hat jemand eine Idee?


Nach oben
   
 Betreff des Beitrags: Re: Open-VPN netz zu Netz?
BeitragVerfasst: 24.07.2017, 11:49 
Offline
Chief Superintendent
Chief Superintendent

Registriert: 09.06.2006
Beiträge: 787
Hallo,
kann man machen, aber es gibt dafür keine GUI !
Von der Sache her eine zweite .config-uration in das (glaube) /etc/openvpn Verzeichnis tun (also da wo schon eine *.conf steht), die nötigen Zertifikate erzeugen ...und los.

Zertifikate sollten auf der Kommandozeile (easy-rsa) auch machbar sein .
Nachteil: es steht nicht mehr in extra Verzeichnissen ;).
Hier tun Raspi's die Tunnel; aber - Telekom-vDSL mit IP-TV und wollte mir ein weiters NAT im Netz sparen.
Zumindest der Raspi ist mit den paar MBits der 50Mbits-vDSL-Leitung nicht "zu schaffen" schiebt so 2..3 MByte/sec.
Mir reichts (soviel Traffic ist nicht )

Das nur so als Tipp.

Fred


Nach oben
   
 Betreff des Beitrags: Re: Open-VPN netz zu Netz?
BeitragVerfasst: 24.07.2017, 12:41 
Offline
Chief Inspector
Themenstarter
Chief Inspector

Registriert: 12.09.2005
Beiträge: 129
Hi Fred,

du musst mir ein wenig verzeihen, habe den Cop schon lange im Einsatz. Hatte auch schon den 1.4 aber bin jetzt nicht so fitt mit Linux dass ich das aus dem Ärmel schüttel und mit Open-VPN habe ich mich noch nie beschäftigt. Ich hoffe das ist OK und du hast Gedult mit mir.

Ich habe mir das jetzt mal auf den Cop angesehen. unter ETC SSL habe ich die openvpn und open SSL gefunden. Wie gehe ich nun genau vor?

Soll ich üner die GUI erst mal das Ganze von Lan 1 zu Lan 2 konfigurieren, so als wenn das das eine Client zu Server Konfig wäre und mache später die nötigen händischen anpassugen? Mal überlegen... Im Prinzip ist der Cop dann Client und Server gleichzeitig oder? Sag mir wenn ich falsch liege, ich würde jetzt so starten:

In Lan 1: Konfig. ich den Cop 1 als Server das gleiche mache ich in Lan 2 auch! Das Zertifikat aus Lan 1 kopiere ich aber später auf den von Lan 2 und überschreibe dort die Zerti. Die müssen ja gleich sein, wenn ich mich recht entsinne.

Stimmt das so weit?


Nach oben
   
 Betreff des Beitrags: Re: Open-VPN netz zu Netz?
BeitragVerfasst: 24.07.2017, 15:38 
Offline
Chief Superintendent
Chief Superintendent

Registriert: 09.06.2006
Beiträge: 787
zeroblue2005 hat geschrieben:
Hi Fred,

du musst mir ein wenig verzeihen, habe den Cop schon lange im Einsatz. Hatte auch schon den 1.4 aber bin jetzt nicht so fitt mit Linux dass ich das aus dem Ärmel schüttel und mit Open-VPN habe ich mich noch nie beschäftigt. Ich hoffe das ist OK und du hast Gedult mit mir.
ggfs. die ovpn-n2n.conf "woanders hernehmen"
(auch bei 14.4x passt die conf als solche in 2.x )
Zitat:
Ich habe mir das jetzt mal auf den Cop angesehen. unter ETC SSL habe ich die openvpn und open SSL gefunden. Wie gehe ich nun genau vor?

du brauchst mindestens ein (serversigniertes) Zertifikat,
könntest du eigentlich wie/als RW erzeugen (wenn du auf der grafischen Oberfläche nicht durcheinander kommst :) )
alternativ: easy-rsa ... -> böse: das was die GUI aufruft ;-))

Zitat:
Soll ich üner die GUI erst mal das Ganze von Lan 1 zu Lan 2 konfigurieren, so als wenn das das eine Client zu Server Konfig wäre und mache später die nötigen händischen anpassugen? Mal überlegen... Im Prinzip ist der Cop dann Client und Server gleichzeitig oder? Sag mir wenn ich falsch liege, ich würde jetzt so starten:

In Lan 1: Konfig. ich den Cop 1 als Server das gleiche mache ich in Lan 2 auch! Das Zertifikat aus Lan 1 kopiere ich aber später auf den von Lan 2 und überschreibe dort die Zerti. Die müssen ja gleich sein, wenn ich mich recht entsinne.

Stimmt das so weit?

nicht wirklich: du benimmst dich ähnlich wie beim RW ... die *.conf schaut etwas anders aus (inhaltlich).
letztlich brauchst du Serverseite: ein Serverzertifikat, eine *.con für n-2-n
Serverzertifikat sollte da sein, wird auch für RWs gebraucht

clientseite: ein serversigniertes Zertifikat (wird genauso erstellt, wie RW-Zertifikate) ,
eine *.conf für clientseite

das n-2-n Zertifikat unterscheidet sich "eigentlich" von RW-Zertifikaten, dass es nicht in der RW-Liste auftauscht und dort nicht verwaltbar ist - also eher eine GUi Frage . Auf der (easy-rsa) Kommandozeile werden die alle gleich erzeugt :)
IIRR haben die ggfs. andere Speicherorte ? wegen der GUI Verwaltung...

Lies dir den ganmzen Kram mal durch für Ubuntu/Debian/raspberry/banana pi/ipfire/openWRT usw. .... openVPN ist identisch, Unterschiede sind beim "Drumherum" .... Start/Stop usw.

Man kann aber openVPN auch direkt auf der CMD-Line laufen lassen
Zitat:
openvpn [...options]...
siehe manual auf openvpn.net

Für Banana-Pi gibts etliche Step-by-Step Anleitungen 2 Musterfiles (*.conf) kannst du evtl. von mir noch kriegen... aber eben alles ohne GUI und evtl. auch in anderen Verzeichnissen, als du das von IPCop1.4x kennst!
Ach ja... und manche Verschlüsselungsvarianten darfst du nicht mehr verwenden ! (die sind geknackt worden)

Fred
ps: Ich hoffe die Darstellung ist nachverfolgbar :) ... ich tendiere nin dazu die GUIs "links liegen zu lassen" und per WEditor zu konfiguerieren .. muss aktuell openWRT (oder IPFire) verwenden, weil:
- ich keine Lust/Zeit habe ipcop umzufummeln
- ich das RED Interface als WLan brauche (die erst 40m zum Internet müssen durch die Luft.... )

Also tut ein minimiertes openWRT/Lede hier "Dienst" , incl. openVPN RW + n2n-Client

Fred


Nach oben
   
 Betreff des Beitrags: Re: Open-VPN netz zu Netz?
BeitragVerfasst: 24.07.2017, 15:53 
Offline
Chief Inspector
Themenstarter
Chief Inspector

Registriert: 12.09.2005
Beiträge: 129
Alles Klar dann gehe ich mal daran...


Nach oben
   
 Betreff des Beitrags: Re: Open-VPN netz zu Netz?
BeitragVerfasst: 27.07.2017, 11:26 
Offline
Chief Inspector
Themenstarter
Chief Inspector

Registriert: 12.09.2005
Beiträge: 129
Hallo Zusammen,

habe das zwar als Lan to Lan nicht so richtig hinbekommen, aber habe das jetzt so gelöst, dass ich bei beiden Cops open-vpn aktiviert habe und demnach jeweils eine Host to Lan kopplung vorgenommen habe. Das klappt auch sehr gut und damit kann ich leben!

Allerdings habe ich noch mal ein paar Fragen zu den open-vpn Einstellungen im Cop, wo ich nichts in der Hilfe finde, leider:

Wofür ist:

LZO-Kompression
Client-To-Client
Nobind
Fast IO
MTU discovery

Wäre schön wenn mir jemand die Fragen beantworten kann...


Nach oben
   
 Betreff des Beitrags: Re: Open-VPN netz zu Netz?
BeitragVerfasst: 27.07.2017, 16:27 
Offline
Chief Superintendent
Chief Superintendent

Registriert: 09.06.2006
Beiträge: 787
zeroblue2005 hat geschrieben:
Hallo Zusammen,

habe das zwar als Lan to Lan nicht so richtig hinbekommen, aber habe das jetzt so gelöst, dass ich bei beiden Cops open-vpn aktiviert habe und demnach jeweils eine Host to Lan kopplung vorgenommen habe. Das klappt auch sehr gut und damit kann ich leben!

Allerdings habe ich noch mal ein paar Fragen zu den open-vpn Einstellungen im Cop, wo ich nichts in der Hilfe finde, leider:

Wofür ist:

LZO-Kompression
wie der Name sagt: LZO Kompression
LZO ist ein Packer....
Zitat:
Client-To-Client
das die Clients untereinander "reden" dürfen
Zitat:
Nobind
hmmm
Der Outgoing(quell) Port ist beliebig (eben was frei ist)
der Zielport ist typisch 1194 (oder was du definiert hast)
Ohne nobind nehmen 2 Clients im gleichen Netz beide den gleichen Quellport... was nicht funktionieren kann.

Zitat:
Fast IO
MTU discovery

Wäre schön wenn mir jemand die Fragen beantworten kann...

Puhh
MTU discovery - da probiert er selber mit der MTU rum
FastIO .. keine Ahnung.
ist aber sicher alles genau bei openvpn.net in den Manuals beschrieben.
Ich kann mich erinnern, daß wir innerhalb der letzten 15 Jahre einmal (!) mit der MTU "rummachen" mussten. Ist aber ewig her.

Fred


Nach oben
   
 Betreff des Beitrags: Re: Open-VPN netz zu Netz?
BeitragVerfasst: 27.07.2017, 18:55 
Offline
Chief Inspector
Themenstarter
Chief Inspector

Registriert: 12.09.2005
Beiträge: 129
Danke das Hilft mir weiter, danke für deine Mühe...


Nach oben
   
 Betreff des Beitrags: Re: Open-VPN netz zu Netz?
BeitragVerfasst: 28.07.2017, 09:20 
Offline
Chief Superintendent
Chief Superintendent

Registriert: 09.06.2006
Beiträge: 787
Hallo
Zitat:
--fast-io
(Experimental) Optimize TUN/TAP/UDP I/O writes by avoiding a call to poll/epoll/select prior to the write operation. The purpose of such a call would normally be to block until the device or socket is ready to accept the write. Such blocking is unnecessary on some platforms which don't support write blocking on UDP sockets or TUN/TAP devices. In such cases, one can optimize the event loop by avoiding the poll/epoll/select call, improving CPU efficiency by 5% to 10%.

This option can only be used on non-Windows systems, when --proto udp is specified, and when --shaper is NOT specified.

also,eigentlich ... nicht wirklich was bringend.... :)

Fred


Nach oben
   
Beiträge der letzten Zeit anzeigen:  Sortiere nach  
Ein neues Thema erstellen  Auf das Thema antworten  [ 9 Beiträge ] 

Alle Zeiten sind UTC+02:00


Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 1 Gast


Du darfst keine neuen Themen in diesem Forum erstellen.
Du darfst keine Antworten zu Themen in diesem Forum erstellen.
Du darfst deine Beiträge in diesem Forum nicht ändern.
Du darfst deine Beiträge in diesem Forum nicht löschen.

Suche nach:
Gehe zu Forum:  
Powered by phpBB® Forum Software © phpBB Limited
Deutsche Übersetzung durch phpBB.de