Mit ‘OpenVPN’ Tagged einträge

mtu ermittlung

Dienstag, November 19th, 2013

Hier habe ich mir mal ein Script geschrieben das die MTU ermittelt anhand der große von ICMP Typ 8 Nachrichten.

#!/bin/bash

mtu=0
for i in {8..15}; do
	t=$(($i*100))
	ping -M do -c 1 -s $t blog.chr.istoph.de >/dev/null || continue
	mtu=$t
	echo $mtu 
done

mt=$mtu
for i in {1..10}; do
	t=$(($i*10))	
	ping -M do -c 1 -s $(($t+$mt)) blog.chr.istoph.de >/dev/null || continue
	mtu=$(($t+$mt))
	echo $mtu
done

mt=$mtu
for t in {1..10}; do
	ping -M do -c 1 -s $(($t+$mt)) blog.chr.istoph.de >/dev/null || continue
	mtu=$(($t+$mt))
	echo $mtu
done

echo "MTU: $mtu"

OpenVPN und ICMP Type 3

Mittwoch, Oktober 23rd, 2013

OpenVPN nutzt zur Bestimmung der Maximum Transmission Unit (MTU) ICMP Pakete des Typs 3. Dafür ist es dringend erforderlich das man diese auch an der Firewall zulässt.

If a software or hardware firewall is in place (especially if the firewall is whitelisting connections), make sure it is allowing ICMP Destination Unreachable: Fragmentation Needed (ICMP Type 3, Code 4) into your network. Windows Firewall, by default, has this rule configured, and there is no need to add this rule explicitly on Windows machines.
Quelle: docs.openvpn.net

Wenn man sich das auf dem VPN Server anschaut sieht das so aus:

tcpdump -i eth0 -p icmp
11:01:01.298080 IP 1.1.1.1 > vpn.chr.istoph.de: ICMP 1.1.1.1 unreachable - need to frag (mtu 1418), length 36
11:01:01.298084 IP 1.1.1.1 > vpn.chr.istoph.de: ICMP 1.1.1.1 unreachable - need to frag (mtu 1418), length 36

Als Empfehlung gebe ich mit mindestens die folgende Pakete freizuschalten.

iptables -A INPUT -p icmp --icmp-type 0 -j ACCEPT -m comment --comment "ICMP  Echo Reply"
iptables -A INPUT -p icmp --icmp-type 3 -j ACCEPT -m comment --comment "ICMP  Destination Unreachable"
iptables -A INPUT -p icmp --icmp-type 8 -j ACCEPT -m comment --comment "ICMP  Echo Request"
iptables -A INPUT -p icmp --icmp-type 11 -j ACCEPT -m comment --comment "ICMP  Time Exceeded"

openvpn up/down script-security unter 12.04 precise

Dienstag, April 10th, 2012

Ach, toll. Nach der Umstellung von Lucid auf Ubuntu 12.04 Precise konnte OpenVPN nicht mehr starten. Im opnvpn.log fand ich folgenden Warnung die das Problem beschreibt.
WARNING: External program may not be called unless '--script-security 2' or higher is enabled. Use '--script-security 3 system' for backward compatibility with 2.1_rc8 and earlier. See --help text or man page for detailed info.
WARNING: Failed running command (--up/--down): external program fork failed

Das Problem, in meiner client.conf stand ein Script das ausgeführt wird wenn der Tunnel Startet.
up /etc/openvpn/ip-config

Wenn man folgende Ziele in der client.conf ergähnst, wird dem OpenVPN erlaub dies auszuführen.
script-security 3 system

OpenVPN Config der FH-Aachen unter Ubuntu

Donnerstag, Dezember 16th, 2010

Da die OpenVPN Config der FH-Aachen für Ubuntu mal wieder buggi ist, habe ich hier eine die bei mir im Networkmanager Läuft:


client
remote 149.201.253.150
ca /etc/openvpn/user/ca.crt
cert /etc/openvpn/user/client.crt
key /etc/openvpn/user/client.key
auth-user-pass
comp-lzo yes
dev tap
proto tcp
tls-auth /etc/openvpn/user/ta.key 1
nobind
auth-nocache
script-security 2
persist-key
persist-tun
user openvpn
group openvpn

Zu erst müsst ihr das Paket für die Unterstützung von OpenVPN im Networkmanager installieren.
sudo apt-get install network-manager-openvpn-gnome

Dann braucht ihr die Zertifikate, die ihr nach der Anmeldung auf der FH-Aachen Seite, von der DVZ Seite aus der config.zip übernehmen müsst.

openvpn easy-rsa

Donnerstag, November 4th, 2010

OpenVPN bringt mit easy-rsa ein sehr einfach zu bedienende Zertifikats Erstellung mit. Wenn es allerdings zu Fehlern kommt, sind die Fehler Bescheinigungen sehr mager. So kam es während des erstellen eines Zertifikates nach der Anleitung von howtoforge.com zu folgenden Fehler.

cp -R /usr/share/doc/openvpn/examples/easy-rsa/ /etc/openvpn

vim /etc/openvpn/easy-rsa/2.0/vars

cd /etc/openvpn/easy-rsa/2.0/
chmod +rwx *
source ./vars
./clean-all
./pkitool --initca

Error:
string is too long, it needs to be less than 40 bytes long

Der Fehler war das ich in der easy-rsa/2.0/vars zu lange werte für das Zertifikat angegeben habe. Dann war das Problem das man den Prozess ab
source ./vars
./clean-all
./pkitool --initca

und nicht nur den letzten schritt…