Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 13 replies
  • Subscribers 1 subscriber
  • Views 12553 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Site-to-Site VPN mit *.ovpn Datei

DominikGenz
Hallo,

ich habe mir bei vollmar.net eine feste IP über einen VTunnel, sprich OpenVpn Tunnel geholt. Nun hab ich gehofft, dass ich die Astaro als Client dieses Tunnels angeben kann. Ich habe von Vollmar eine *.ovpn und eine *.key datei erhalten, gibt es nun die Möglichkeit das irgendwie mit der Astro zu realisieren?

Mit freundlichen Grüßen
Dominik Genz


This thread was automatically locked due to age.
Parents Reply Children
  • 0 in reply to patrick.schneider
    Hi, 
    danke für die Info, habe es genau so gemacht! nun habe ich aber wieder ein Problem.
    Meine Konfig Datei, also die .ovpn beinhaltet nur den "Link" für den key, aber keine Zertifikate. 


    dev tun

    

    remote *****

    ifconfig ***  ****

    secret tunnel.key

    

    port 23042

    

    ping 15

    

    ping-restart 180

    

    mssfix

    

    tun-mtu 1500

    

    redirect-gateway


    was kann ich nun machen! denn das Script hängt sich immer auf?

    Mit freundlichen Grüßen
    dominik Genz
  • 0 in reply to DominikGenz
    Hallo Dominik,

    leider wird das dann nicht klappen. Das Skript ist dafür ausgelegt, mit 2 Zertifikaten und 1 Key-Datei zu funktionieren.
    Da die Astaro diese 3 Dateien ebenfalls in der .apc erwartet, wird das nicht funktionieren können.

    Gruß,
    Patrick
  • 0 in reply to patrick.schneider
    Hallo,

    ich möchte bei uns den bestehenden VPN-Server unter Linux gegen eine Astaro ersetzen und habe nun dasselbe Problem. Wir unterhalten diverse VPN-Tunnel zu Kunden bzw. Partnern und ich bräuchte somit eine Konvertierungsmöglichkeit in beide Richtungen. Zur Anmeldung an die VPN-Server unserer Partner bekomme ich von diesen eine .ovpn Datei plus Zubehör, und unsere Kunden müssen dasselbe von uns bekommen.

    Mit einer .apc Datei kann auf beiden Seiten niemand etwas anfangen :-(

    Und da ich mich mit Linux so gut wie garnicht auskenne, bringt mir auch das erwähnte Shell-Skript nichts. Außerdem möchte ich nicht unbedingt nur wegen der Konvertierungsmöglichkeit ein Linux aufsetzen bzw. vorhalten. Das ganze sollen die Kollegen ja auch noch bedienen können.
    Gibt es da evtl. mitterweile eine einfache Lösung?

    Gruß,
      Dino

    PS: Ehrlich gesagt ist es für mich unverständlich, das Astaro so eine Möglichkeit nicht in die Web-GUI einbaut. So verspielt man sich meiner Meinung nach doch nur unnötig die Kompatibilität zu anderen Systemen. So schwer kann es doch nicht sein, das zu implementieren, wie man an Patricks Skript sieht.
  • 0 in reply to ipzipzap
    @patrick
    Ich hab dein Scipt ausprobiert, leider bekomme ich immer config Datei beschädigt beim Import in die Astaro. Kannst du helfen?

    Astaro user since 2001 - Astaro/Sophos Partner since 2008

  • 0 in reply to ipzipzap
    Hallo,

    ich möchte bei uns den bestehenden VPN-Server unter Linux gegen eine Astaro ersetzen und habe nun dasselbe Problem. Wir unterhalten diverse VPN-Tunnel zu Kunden bzw. Partnern und ich bräuchte somit eine Konvertierungsmöglichkeit in beide Richtungen. Zur Anmeldung an die VPN-Server unserer Partner bekomme ich von diesen eine .ovpn Datei plus Zubehör, und unsere Kunden müssen dasselbe von uns bekommen.

    Und hier ist ja bereits das Problem. Die .apc Datei beeinhaltet einen exakt definierten Satz an Dateien für OpenVPN(config.ovpn UND ca.crt UND user.crt UND user.key). Und diese Dateien setzen voraus, dass OpenVPN in genau einer bestimmten Art und Weise konfiguriert wurde, was aber bei nicht-Astaro OpenVPN-Konfigurationen nicht immer gegeben ist.
    Eine Konvertierung von .apc in OpenVPN-Dateien ist kein Problem, nur andersherum wird es definitiv nicht mit allen OpenVPN-Konfigurationsmethoden funktionieren.
    Wenn es meine Zeit zulässt, setze ich mich demnächst mal an eine Windows-GUI Version.

    PS: Ehrlich gesagt ist es für mich unverständlich, das Astaro so eine Möglichkeit nicht in die Web-GUI einbaut. So verspielt man sich meiner Meinung nach doch nur unnötig die Kompatibilität zu anderen Systemen. So schwer kann es doch nicht sein, das zu implementieren, wie man an Patricks Skript sieht.

    Theoretisch könnte man auch die bestehenden Konfigurationsdateien *irgendwie* der Astaro unterschieben können. Zumindest läuft OpenVPN ja auch auf der Astaro und sollte ebenfalls alle möglichen Konfigurationen unterstützen - es wird nur nicht übers Webinterface verfügbar gemacht. Aber wie bei allen Änderungen, die per Kommandozeile gemacht werden, erlischt der Support von Astaro in diesem Fall.

    Gruß,
    Patrick
  • 0 in reply to patrick.schneider
    Bevor man versucht, aus .ovpn, ca.crt. user.crt und user.key eine .apc Datei zu generieren, sollte man in der .ovpn-Datei prüfen, ob folgende Direktiven enthalten sind:

    Direktive: proto (=> protocol in .apc)
    Wert: tcp / udp

    Direktive: auth (=> authentication_algorithm in .apc)
    Wert: MD5 / SHA1

    Direktive: comp-lzo  (=> compression in .apc)
    Wert: In Datei vorhanden/nicht vorhanden

    Direktive: cypher (=> encryption_algorithm in .apc)
    Wert: AES-128-CBC / AES-192-CBC / AES-256-CBC / DES-EDE3-CBC / BF-CBC

    Direktive: tls-remote  (=> server_dn in .apc)
    Wert: Distinguished-Name des VPN-Servers (den bekommt man per openssl x509 -subject -noout -in SERVER.CRT heraus)

    Direktive: remote SERVERIP PORT (=> server_address & server_port in .apc)
    Wert: Hostname/IP-Adresse und Port des VPN-Servers

    Wichtig ist auch: die .apc-Datei der Astaro enthält den Benutzernamen und das Passwort, mit dem man sich am Server authentifiziert. Eine Authentifizierung nur mit einer Key-Datei funktioniert deshalb (wahrscheinlich) nicht.
    Ohne diese Einträge wird man keine gültige .apc Datei erhalten.

    Gruß,
    Patrick