[linux-l] Erste Erfahrungen mit OpenVPN

Christoph Biedl cbiedl at gmx.de
Fr Jul 9 09:57:39 CEST 2004


Oliver Beck wrote...

> ich habe in den letzten Tagen meine ersten Erfahrungen mit OpenVPN
> sammeln können. Da erscheint es doch logisch, dass da ein paar Fragen
> auftauchten, oder? ;)

Na klar. Wobei openvpn trotz aller Mächtigkeit recht schnell zum Fliegen
zu bringen ist.

> Grundlage sei OpenVPN 1.6.0, deren Server auf einem Debian Woody (r1)
> und der/die Client/Clients auf selbigen läuft.

Ich zerfledder das mal ein wenig ... :-)

Bei Woody ist openvpn doch gar nicht dabei? Gut, es gibt backports.

> der Server hat folgenden Config:
> 
> ,--- /etc/openvpn/server.conf ---
> |
> | proto tcp-server

Hast Du einen speziellen Grund für proto tcp? Die erste Wahl ist
eigentlich udp, Details in der manpage.

> | dev tap

Wenn Du nicht gerade samba machen willst (broadcasts gehen über tap
wirklich besser), empfehle ich tun. Man kann das anders sehen,
zugegeben.

> | ifconfig 192.168.0.1 255.0.0.0
> | secret /mnt/cloop2/configs/etc/openvpn/keyfiles/lustige.textdatei

Ich würde bestenfalls zu Testzwecken mit static keys arbeiten. Warum,
steht ziemlich deutlich in der Doku: Ist der Key bekannt, kann ein
Mitlauscher die gesamte bisherige Kommunikation nachvollziehen. Da ist
tls-server/tls-client zwar erstmal etwas mehr Aufwand, der sich aber
später lohnt.

(...)

> der Client hat demnach folgende Config:
> 
> ,--- /etc/openvpn/server.conf ---
> |
> | remote 10.0.0.1
> | proto tcp-server

Müßte das dann nicht tcp-client sein?

(...)

> Und überraschenderweise hat auch alles geklappt. Brauchte nicht mal (wie
> ich es anfangs an nahm) eine Route am Client definieren...ein
> ICMP-Echo-Request/Reply klappte auf Anhieb.

Naja, eine Route zur Tunnelgegenstelle wird natürlich immer implizit
gesetzt, das ist ja bei ppp nicht anders. Lustig wird's immer erst, will
man ganze Subnetze durch Tunnel schicken, als Endnutzer hat man
normalerweise mit Routing nicht viel am Hut.

> Ist jemand eine Möglichkeit bekannt, mehrere Clients an einem Server
> lauschen zu lassen? Oder bleibt mir der umständliche Weg, für jeden
> Tunnel eine eigene Config zu basteln (wo ja sicherlich der Port
> spezifiziert werden muss) und dafür separat einen eigenen Prozess zu
> starten, nicht erspart?

Im Moment wohl nicht, wobei der Aufwand dafür in Grenzen bleibt, wenn
man sich ein gutes Konzept zurechtlegt (siehe auch mein Posting in
de.comm.os.unix.networking.misc vor ein oder zwei Tagen).

Was Du suchst, soll in der Version 2.0 kommen/gekommen sein, aber ich
habe mir das noch nicht angeschaut.

> Endgültiges Ziel soll es sein, ein komplettes (wenn auch kleines) Netz
> mit 10 - 15 Clients über VPN miteinander zu verbinden. Also angenommen,
> Client XY ist mit Server AA verbunden, dann soll der verbundene Client
> YX, der ebenfalls mit Server AA verbunden ist auch mit Client XY
> kommunizieren können. Aber eben über den VPN-Tunnel.

via AA, oder über einen direkten Tunnel? Geht alles.

> Vielleicht ist ja jemanden eine einfachere Lösung (aus dem
> OSS-Umfeld) bekannt.

Sollte mich wundern, wenn es da noch viel brauchbares gäbe.

	Christoph



Mehr Informationen über die Mailingliste linux-l