ich bin einfach nicht in der Lage, via OVPN eine Verbindung zum Server zu etablieren.
Das Zertifikat habe ich heruntergeladen, im IPFire aktiviert und die *.ovpn-Datei den Meckereien der Konsole angepasst.
Es scheint, als würde der Server nicht antworten…
Das Rote und das Grüne Netz sind momentan noch nicht getrennt, so dass ich innerhalb unseres Netzwerks beide Anschlüsse erreichen kann.
Die Konfigurationsdatei sieht so aus:
#OpenVPN Client conf
tls-client
client
nobind
dev tun
proto udp
tun-mtu 1500
remote 10.16.1.1 1194
pkcs12 wienen.p12
cipher BF-CBC
comp-lzo
verb 3
ns-cert-type server
verify-x509-name Server.linuxmuster-net.local name
Die Konsole des OVPN meldet (60 Sekunden wartend):
…
UDP link local: (not bound)
UDP link remote: [AF_INET]10.16.1.1:1194
…TLS Handshake failed
dann, nach 60 Sek. erfolgt ein neuer Verbindungsversuch usw.
der Server steht hinter unserem ersten zentralen Switch (welcher direkt am WAN-Router und somit am Glasfaseranschluss hängt) und bekommt sein Netz über den roten Anschluss. Dann geht’s raus über den grünen Anschluss zurück zum Switch, an dem unser pädagogisches Netz hängt. Das funktioniert schon mal.
Ich versuche gerade mit einem Win10-PC, der in diesem Netz ist, eine IP im 10.16.x .x 'er-Netz hat und über die Schulkonsole auf den Server zugreifen kann, eine VPN-Verbindung zu etablieren. Noch ist der Server von außen nicht erreichbar, hierzu fehlt eine feste IP da wir an einem Glasfaseranschluss ohne feste IP hängen (NAT).
Da wir einen DYN-DNS-Account haben, würde ich in einem nächsten Schritt versuchen, diese Verbindung über eine DYNDNS-Adresse zu realisieren.
Auch die Verbindungsversuche über die Adresse des OVPN-Subnetzes ( remote 172.16.18.0) hat nicht funktioniert.
Es geht im ersten Schritt darum, über unser neues WLAN-Netz, welches über VLAN logisch von unserem Netz getrennt ist, eine Verbindung zu schaffen, um Daten von den im WLAN angemeldeten Gerät auf den eigenen Home-Ordner des Servers zu transportieren.
Im Zweiten Schritt soll dies dann auch von außen möglich sein.
Wenn Dein Switch mehrere V-Lans hat, dann kann Deine Anlage funktionieren. Ohne V-Lans bin ich sicher, dass es nicht funktioniert.
Angemommen Du hast V-Lans, dann kannst Du hier:
statt 10.16.1.1 die Dyndns-Adresse eintragen, dann sollte es funktionieren, wenn auf Deinem Router eine Weiterleitung des Ports 1194 nach 10.16.1.254 eingerichtet wurde. Die gleiche Weiterleitung solltest Du auch für ssh einrichten, denn das ist für die Administration wichtiger.
ich bin noch nicht dabei, die Verbindung von Extern herzustellen. Ich habe eine Skizze erstellt, welche unser Netzwerk auszugsweise darstellt.
Diese Struktur ist der stufenweise Umstrukturierung der Netzwerkverkabelung, sowie die schrittweise Übernahme der Klassen-PC’s in den Kreis der Linuxmuster-PC’s geschuldet.
Das WLAN-Netz wurde durch eine externe Firma installiert und wird nicht von uns administriert, nutzt jedoch unsere Infrastruktur.
Ich versuche schlicht und ergreifend, mit einem nicht-LMN-PC auf meinen persönlichen Ordner zuzugreifen (später dann auch von außen…)
Laut Skizze ist der aber schon in der workstation eingeschrieben und mit import_workstations aufgenommen, oder? Wie lautet die IP-Adresse genau. Falls die im Bereich 10.16.1.100-200 liegt dann kannst du mit dem PC nix machen!
ne ne, der hat die 10.16.1.33 und ist schon aufgenommen. Ich kann an diesem PC auch auf die Schulkonsole zugreifen.
Die Verbindung via VPN ist ja auch nur die Vorbereitung (TEST) für den nächsten Schritt (DYNDNS).
du musst rot und grün trennen, sonst kann es - wie bereits gesagt wurde - nicht funktionieren und wir dir nicht helfen. Verbinde bitte den roten Anschluss des Servers DIREKT mit dem WAN-Router (der „zentrale Switch“ darf nicht dazwischen liegen, es sein du hast -wie bereits gefragt wurde - dort ein VLAN für rot eingerichtet). Wie hast du denn den roten Anschluss am ip-Fire konfiguriert?
der Rechner von dem du eine OPEN-VPN Verbindung testweise aufbauen willst, muss in deinem WLAN-Netz sein, nicht im grünen Netz der linuxmuster-Lösung. (Ich gehe davon aus, dass das WLAN-Netz einen anderen Adressraum nutzt als 10.16.0.0/255.240.0.0 und wie auf der Skizze erkennbar per VLAN getrennt ist) Er darf keine 10.16.x.x o.ä. IP-Adresse haben. Man kann nicht von grün nach grün eine Open-VPN Verbindung aufbauen.
Nachtrag: wenn du die Änderung am Netz so vorgenommen hast wie ich sie beschrieben habe und du PCs hast, die noch nicht in das grüne Netz der Linuxmusterlösung sollen, dann musst du die entweder in das WLAN-Netz hängen oder direkt mit dem WAN-Router verbinden oder ein VLAN für diese PCs einrichten.
Und noch eine Ergänzung von mir zu dem von Markus Gesagtem:
Außerdem ist nicht der Server (10.16.1.1) der Endpunkt des VPN-Tunnels sondern
der IPFire. Bezieht sich auf diese Zeile in der geposteten Konfiguration:
remote 10.16.1.1 1194
Also entweder
remote ADRESSE_DES_IPFIRE_IM_WAN 1194
oder
remote 172.16.16.254 1194
Wobei das Letzte nur geht, wenn du über ein blaues Interface im IPFire für
WLAN verfügst.
Eine letzte Warnung von mir: Wenn Du nicht - wie schon mehrfach geschrieben -
für eine Trennung zwischen rotem und grünen Netz sorgst, wirst du keine
Freude mit linuxmuster.net haben. Unerwünschte Seiteneffekte werden
garantiert auftreten und sich keiner noch irgendwie gearteten Logik
unterordnen.
Für weitere Fragen steht heute wieder unsere Hotline zur Verfügung.
das ich den Server nicht so betreibe, wie vom Erfinder gedacht, ist mir bewusst.
Dies ist der Tatsache geschuldet, dass wir in der Tat nur ein Netz haben. Es ist noch nicht getrennt, da wir mit der Erneuerung der Strukturen einfach noch nicht so weit sind. Es ist ein Komplex aus 8 Gebäuden, die untereinander teilweise noch mit einzelnen Leitungen verbunden sind. Auch kann man noch nicht flächendeckend per VLAN die Netze trennen, da noch nicht überall VLAN-fähige Switche verbaut sind.
Zu allem Überfluss kommt noch die Tatsache hinzu, dass unser WLAN-Netz getrennt zu betrachten ist, da es nicht von uns administriert wird.
Ich kann allerdings berichten, dass das Linuxmuster-Netz seit der Installation, zu Beginn des Jahres, sehr zuverlässig funktioniert.
Lediglich der automatische Eintrag beim registrieren neuer Client-PC’s wird nicht erzeugt.
Ich denke, bevor wir uns die Finger wund schreiben, werde ich mal die Hotline ‘nötigen’
Hallo Guido,
das die Linuxmusterlösung in dieser Konstellation bisher irgendwie funktioniert ist schlicht und einfach Glück - und ganz ohne Probleme geht es ja offenbar auch nicht…
Du musst Rot und Grün trennen, anders geht es nicht. Das scheint mir auch kein großer Aufwand zu sein.
Wenn du noch nicht alle Rechner per Imaging und Linbo versorgen willst, sondern dies schrittweise umstellen möchtest dann mach doch folgendes:
Nimm alle Rechner in die Hostliste auf und stell bei denen, die noch kein Linbo bekommen sollen den PXE-Boot auf aus (geht z.B. über die Schulkonsole). Dann musst du an denen Rechnern lediglich die IP-Adresse und Subnetzmaske anpassen und kannst sie ansonsten Weiterbetreiben wie bisher.
Mit Ausnahme der Trennung von Rot und Grün - wie von mir beschrieben - musst an der Netzkonfiguration nix ändern. Deinem WLAN-Netz sollte laut Skizze diese eine Änderung egal sein.
Und du hast eine Linuxmusterlösung, die funktioniert.
Wenn du die Hotline anrufst, verweise bitte auf diesen Thread.
ich werde in den nächsten Tagen weitere Knotenpunkte des Netzwerks mit neuen Switchen versehen. Damit komme ich der Trennung immer näher.
Die Skizze zeigt nur einen exemplarischen Ausschnitt der Struktur unseres Netzwerks, eine Trennung ist nicht so einfach.
Zudem ist mir eben die ‘Lampe’ aufgegangen, als ich über das Ende des VPN-Tunnels nachdachte. Mit der IP, welche die ‘Netzwerk-Quelle’ für den IPFire darstellt, konnte ich dann eine VPN-Verbindung etablieren.
Die globalen VPN-Einstellungen im IPFire waren noch nicht korrekt eingestellt. Daher auch die falsche IP in der VPN-Konfigurationsdatei beim herunterladen des Zertifikats.
Ich bleib am Ball…
Ich kenne nur die Skizze. Und wenn ich mir diese anschaue, dann richtest du auf dem zentralen Switch ein VLAN für rot ein und alles ist gut. Du musst nichts umstecken und die Netztrennung ist vollzogen. Und laut deiner Skizze kann der Switch dies.
Du müsstest uns schon genauere Infos geben (z.b einen kompletten Netzplan) um zu verstehen, warum dies nicht gehen sollte.
Mit den bisherigen Infos habe ich nicht den Eindruck, dass diese notwendige Änderung irgendwie aufwendig ist.
Danke für den Hinweis. Alois und ich lesen diesen Thread mit. Mal Werbung in eigener Sache, wenn jemand Lust hat, wir suchen immer Verstärkung für unser Team. Einfach eine Mail an supporter ät linuxmuster.net
Nachtrag: nur dass wir uns richtig verstehen: das rote Netz besteht aus einer einzigen Leitung: vom ip Fire zum WAN-Router. Mehr nicht. Alle Clients und der Linuxmusterserver (10.16.1.1) sind in grün.
Einfach eine Mail an supporter ät