# Open VPN Fragen



## aargau (20. Februar 2010)

Da ich momentan nicht zuhause bin für mehrere Monate und ich auf Daten von meinem Server zugreiffen muss, habe ich mir überlegt was die beste Variante ist. Am liebsten wäre mir das Windows eigene VPN gewesen, allerdings unterstüzt mein Router kein GRE Protokoll und somit fällt es leider weg.

Da ich auch später in einer Server umgebung ein VPN aufbauen muss und zwar unter Linux, denke ich ist OpenVPN eine gute wahl. 
Nun habe ich nach stunden langer Konfiguration entlich eine Verbindung zwischen dem Server und PC zustande bekommen. 
Was mich nun in erster Linie Interessiert ist ob diese Konfigration so Sicher genug ist um es über das Internet zu nutzen. 
So wie ich das sehe wird ja nur mit der ca.crt überprüft ob sich user und server unterhaten können. Wäre es dann da nicht einfach via Sniffer diese ca.crt abzufangen und so selbst ins VPN zu kommen?

Neben der Sicherheit müsste das VPN mehrere Dinge können:

- Datenaustausch auf allen Ports von User zu Server (momentan möglich)
- Surfen über die Heimleitung (momentan nicht verwndet)
- Direkter Zugriff (falls das überhaupt geht) auf andere Clients im Netzwerk

Was mir dabei wichtig wäre ist eben das ich vom Notebook aus z.B. über ein WLan Sicher Surfen kann. Allerdings möchte ich nicht den gesammten Traffic über den Server leiten. Desshalb sollte es eine Client1 und Client2 Config geben welche entweder über das Homenetz routet oder eben direkt.

Was ich bis jetzt gelesen habe ist das ich den TUN Adapter dazu mit der LAN Verbindung Bridgen muss, aber weiter weis ich nicht.

Zusätzlich wäre es gut wenn ich direkt auf andere Clients zugreiffen könnte, heisst das sich Server 2 und 3 z.B. nicht über Server1 unterhalten müssen und so unmengen an mehr Traffic entstehen würde

Bezüglich Sicherheit und den zusatz Konfigs hier die aktuellen Konfigs:


CLIENT (IP momentan noch vom internen netzwerk)

```
client
dev tun
proto udp
remote 10.10.10.100 888
resolv-retry infinite
nobind
user nobody
group nogroup
persist-key
persist-tun
ca ca.crt
cert client.crt
key client.key
ns-cert-type server
cipher AES-256-CBC
comp-lzo
verb 3
tun-mtu 1400
mssfix
```

SERVER

```
port 888
proto udp
dev tun
ca ca.crt
cert Server.crt
key Server.key
dh dh1024.pem
cipher AES-256-CBC
server 192.168.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
keepalive 10 120
comp-lzo
persist-key
persist-tun
status openvpn-status.log
verb 3
tun-mtu 1400
mssfix
```

Wie gesagt, Sicherheit steht an oberster stelle und per Sniffing oder gar ohne Zertifikate sollte man nicht auf den Server kommen


----------



## aargau (23. Februar 2010)

Ich denke ich habe den Fehler gefunden. Die Verbindung an sich scheint schon zu klappen, nur auf der Server seite gibt es ein Problem mit dem TAP Adapter. Es kommt immer :


```
Tue Feb 23 17:17:07 2010 OpenVPN 2.0.9 Win32-MinGW [SSL] [LZO] built on Oct  1 2
006
Tue Feb 23 17:17:07 2010 TAP-WIN32 device [mytap] opened: \\.\Global\{21B7B57A-9
895-4165-9DB9-3CB01A79ACAD}.tap
Tue Feb 23 17:17:07 2010 Sleeping for 10 seconds...
Tue Feb 23 17:17:17 2010 NOTE: could not get adapter index for \DEVICE\TCPIP_{21
B7B57A-9895-4165-9DB9-3CB01A79ACAD}, status=55 : Die angegebene Netzwerkressourc
e bzw. das angegebene Gerõt ist nicht mehr verf³gbar.
Tue Feb 23 17:17:17 2010 Listening for incoming TCP connection on [undef]:8888
Tue Feb 23 17:17:17 2010 TCPv4_SERVER link local (bound): [undef]:8888
Tue Feb 23 17:17:17 2010 TCPv4_SERVER link remote: [undef]
Tue Feb 23 17:17:17 2010 Initialization Sequence Completed
```

Was hat es damit aufsich? Das "Gerät" ist in den Netzwerkverbindungen verfügbar


----------



## thekiller (24. Februar 2010)

Moin,

hast du den TAP-Adapter vielleicht deaktiviert?


----------



## aargau (24. Februar 2010)

TAP Adapter ist Aktiviert, habe ihn sogart mehrfach neu Installiert :-(
ich werde das ganze wohl mal noch auf meinem XP Rechner Testen, dann weis ich wenigstens obs an der Konfig liegt oder doch irgend wo am Adapter.

Was ich bis jetzt im Internet gefunden habe, das es auch sein könnte das die Netzwerkbrücke falsch Konfiguriert ist, heisst keine Statische IP etc.
Habe ich aber auch schon alles mögliche getestet.

Nun theoretisch könnte ich auch mein Linksys/Cisco WRT54GL mit Tomato als VPN Server nutzen, nur habe ich irgend wie angst das die Leistung des Routers nicht weit kommen wird und ich dann eher als Geschenk noch Routerausfälle kriege.


----------

