Beiträge von mschoen

Genau WinSCP geht nicht, da die Console keine Abfragen an den Benutzer unterstützt und somit kannst du keinen Update-Account eingeben.

Gruß Marcus

also hier mal die daten:

GRÜN 192.168.0.16/254
efw 192.168.0.15
VPN-Rechner sollen bekommen 192.168.0.100/110
efw von DSL-Router aus 192.168.x.25

wo liegt das problem?

so habs getestet:

läuft immer noch nicht.

also wenn deine efw 192.168.1.1 im GRÜNen netz ist dann hab ich das auch so...

weitere lösungsvorschläge?

Gruß Marcus

Gut ich werd das jetzt mal testen.
Im Moment habe ich leider keine Zugriff auf meine efw.

Aber danke erstmal.

hab schon mal ein port-forwarding gesetzt, auf die efw, welche bei mir den standardwert 192.168.0.15 trägt oder wohin muss ich forwarden?

hab gerade nochmal einen portcheck übers netz gemacht und dort wird mir angezeigt das 1194 closed ist, die frage ist nur kommt er nur bis zum wan router oder wird die verbindung erst von der efw rejected?

kann erst freitag testen wenn ich wieder zu hause bin...

genau nach der hab ich mich gerichtet.

bei mir hab ich den server endian und client01 ist bei mir t61p aber sonst hab ich es danach gemacht...

gruß marcus

hier mal meine client-config

client
dev tap
proto udp
remote xxxxx.dyndns.org 1194
resolv-retry infinite
nobind
persist-key
persist-tun
pkcs12 t61p.p12
verb 3
comp-lzo
ns-cert-type server

hab ganz normal den openvpn server aktiviert, dann mit easy-rsa nach dem howto aus dem forum die zertifikate erstellt und auf der efw die server zertifikate hochgeladen...

Hallo zusammen,

ich bin echt am Verzweifeln:

Habe den OpenVPN-Server nach dem HowTo konfiguriert und Zertifikate erstellt - hat soweit alles funktioniert...

Wenn ich jetzt eine Verbindung aufbaue, komme ich nicht bis zum Server durch. Bekomme als Fehler eine TLS Handshake Error. Hab es auch mit PSK versucht aber das funktioniert genauso wenig... bekomme dort immer ein Connection timeout. Daher denke ich muss auch bei den Zertifikaten das Problem bei der Verbindung liegen.

Mein WAN-Router ist eine Fritz Box 7170, ich hab dort für die efw Port 1194 auf UDP freigemacht, zum Test auch schon als Exposed Host.

Mein Test Client ist Notebook mit UMTS Karte und Vista 64 bit. Ich nutze die OpenVPN 2.1_rc15 i686-pc-mingw32 in Verbindung mit der GUI. Komischerweise wird meine TAP-Netzwerkverbindung überhaupt nicht angesprochen beim Verbinden ich komme immer nur bis: UDPv4 link remote: xxx.xxx.xxx.xxx:1194

Hab auch schon mit TCP getestet, aber selbiges Problem.

Ich werd hier noch verrückt, es muss doch gehen..

Keiner ne Idee?

ja mein clientzertifikat heißt t61p.p12.

das ist bei mir alles richtig...

remote xxxxxx.dyndns.org 1194

hab vor die efw noch ne fritzbox beschaltet und dort an die efw die weiterleitung für den port 1194 gemacht...

sonst mal meine config:

client
dev tap
proto udp
remote xxxxxxx.dyndns.org 1194
resolv-retry infinite
nobind
persist-key
persist-tun
pkcs12 t61p.p12
verb 3
comp-lzo
ns-cert-type server

Bei mir klappt auch alles soweit bis beim Verbindungsaufbau folgender Fehler kommt:

Sat May 02 17:23:05 2009 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Sat May 02 17:23:05 2009 TLS Error: TLS handshake failed

da komm ich nicht weiter, eigentlich ist alles richtig durchgeroutet usw...

Das sieht doch schon mal sehr gut aus, mit dem Unterschied, dass meine MACs natürlich nicht alle gleiche beginnen. Sozusagen muss ich da auch einen Pool eingeben können...

ist jemand fit in dhcp.conf?

Gruß Marcus

Ich will damit bezwecken, dass fremde Rechner gar keinen Zugang zum Netz bekommen. Sie sollen also vom DHCP keine Adresse bekommen, wenn sie keine autorisierte MAC haben oder zumindest eine Adresse aus einem anderen Subnetz womit sie nicht wirklich viel anfangen können...

Gruß Marcus

Ok, dann hab ich den Sinn des Systemzugangs vielleicht falsch verstanden :roll: , aber es hat bisher so funktioniert, dass ich wollte.

Ich glaub ihr versteht mich dennoch nicht richtig, ich will nicht bestimmte MACs aussperren, ich will alle außer bestimmten aussperren! Wie kann ich denn wirkungsvoll verhindern, dass auch alle außer den zugelassenen MACs keine IPs vom DHCP bekommen?

Gruß Marcus

Das ist der eigentliche Zweck.

Wie kann ich denn ohne auf DHCP zu verzichten, nicht autorisierten MAC-Adressen den Zutritt zum Netzwerk verwehren also dass sie überhaupt keine Adresse bekommen...

Gruß Marcus

Ja gut das ist sicherlich schwieriger als wenn jemand per dhcp ne adresse bekommt, kennt er den Adressbereich.. An eine gültige Mac zu kommen ist doch wesentlich schwieriger...

Außerdem ist die Funktion doch vorgesehen und dann sollte sie doch funktionieren, also denke mal ein Bug.

Zitat von "murmel"

So habe es grade auch noch mal probiert scheint wirklich so als ob es nicht mit der mac adresse geht, aber versuch doch mal den weg der Mac adresse eine Feste Ip durch denn Dhcp Server zu zu weisen und dann die Ip zu sperren das Lauft ohne Probleme.

PS habe es grade getestet das Fuktioniert bei meienr efw 2.2.rc3

Genauso mach ich es auch bisher. Die Lücke ist nur, wenn ich mir manuell eine gültige IP-Adresse gebe bekomm ich auch Systemzugriff, da nützen mir auch die DHCP-Fix-Leases nichts...
Ist das nun ein Bug?

Es tritt bei mir in der 2.2 RC3 auf.

Gruß Marcus

Also entweder bin ich zu blöd oder die Admin-GUI funktioniert nicht richtig?!

Wenn ich eine neue Systemzugangsregel anlegen will, steht doch unter Quelladresse Netzwerk/IPs/MACs..

So nun hab ich versucht eine MAC-Adresse dort einzugeben und bekomm immer folgende Meldung bei der Übernahme der Regel:

Ungültige Quell-IP-Adresse "00:99:99:99:99:96"

Gebe ich die falsch ein oder wo liegt das Problem?

Danke für eure Hilfe
Gruß Marcus