OpenVPN über Port 443

[matzep94]

Hallo,

ich hab mal versucht den OpenVPN Server über portshare auf 443 laufen zu lassen,
bin allerdings funktioniert nun weder der OpenVPN noch der https WebServer

Ich hab in die openvpn.conf das hier eingetragen:

local <hier_externe_ip_hindenken>
proto tcp
port 443
port-share 127.0.0.1 443

in der httpd-ssl.conf-user (unter /usr/syno/apache/conf/extra)

Listen 127.0.0.1:443

und den VirtualHost von *.443 auf localhost.443 umgestellt

hab ich irgendeinen Fehler gemacht oder fehlt noch was?

Danke im Voraus für die Hilfe

mfg
MatzeP94

 

[matzep94]

Im Anhang mal die beiden config Datein falls nützlich

 

[dave82]

Hi MATZEP94,

leg mal den Apache auf einen anderen Port zb <deine_IP>:4443 und dann in der openvpn.conf:

#local ip
proto tcp
port 443
port-share 127.0.0.1 4443

das sollte klappen.

Gruss Dave

 

[fpo4711]

Hallo,

ich würde das über den Router lösen. Also Portweiterleitung TCP 443 -> 1194. Dann in der Standardserverconfig von OpenVPN diese Zeile

server 10.8.0.0 255.255.255.0

durch folgende ersetzen:

server 10.8.0.0 255.255.255.0
proto tcp 
port 1194 
port-share 127.0.0.1 443

Danach Neustart nicht vergessen. Diese Lösung dürfte dann wahrscheinlich sogar ein Update überleben.

Ansonten bleibt Dir nur, wie Dave schon vorgeschlagen hat, den Apache auf einen anderen Port zu legen durch Anpassungen der entsprechenden ssl.conf

Gruß Frank

 

[matzep94]

sry das ich erst jetzt eine antwort schreibe -bin aber gerade erst dazu gekommen

Fazit: beide lösungen funktionieren nicht

die lösung von fpo4711 funktioniert zwar grundsätzlich
allerings hab ich das problem das meine firmen firewall trotzdem den tunnelaufbau verweigert

mittlerweile hab ich allerdings eine Lösung gefunden - Es gibt einen Port der in jeden Netzwerk für UDP Zugriff offen sein sollte - nämlich der 53 (DNS) - der war bei mir noch nicht belegt (wieso auch - einen eigenen öffentlichen DNS Server hosten???)

Jetzt funktioniert der Tunnelaufbau und nach dem ändern von den push Befehlen funktioniert jetzt alles wie erhofft

push "redirect-gateway def1"
push "dhcp-option DNS 192.168.178.1"

 

[fpo4711]

allerings hab ich das problem das meine firmen firewall trotzdem den tunnelaufbau verweigert

Tja, da habt ihr wohl einen "fast" guten Admin. Nur noch ein gut gemeinter Rat. Firmen unterbinden das nicht zu Unrecht und in einigen Unternehmen ist das ein Kündigungsgrund. Weshalb Du dir wirklich überlegen solltest ob das unbedingt nötig ist.

Gruß Frank

 

[matzep94]

danke für die moralpredigt - ich seh schon hier ist eine erklärung fällig

1. der tunnel soll in der arbeit nur dazu dienen auf dateien welche auf meiner ds liegen zuzugreifen.
und da ist mir ein tunnel lieber als eine normale ftp übertragung wo hinz und kunz mitlesen kann
(kleine anmerkung: die lösung mit openvpn wurde mir von kollegenempfohlen / die benutzen allerdings meist gefreetzte fritzboxen oder gleich einen ganzen pc als server)

2. Primär ist der Tunnel für einen anderen Zweck gedacht - nämlich wenn ich unterwegs bin und in irgendwelchen unverschlüsselten wlan netzen von hotels wo eh nur web & mailing ports offen sind meine dateien zu übertragen - geschweigedenn das games und skype/ts sowieso da den dienst verweigern

so genug davon.

das einzige was noch nicht geht das die dns server adresse nicht gepusht wird - aber das krieg ich bestimmt noch hin

mfg
matzep94

 

[fpo4711]

danke für die moralpredigt

Sollte auf jeden Fall nicht so rüber kommen, sondern nur als Hinweis verstanden werden. Einige unterschätzen das.

das einzige was noch nicht geht das die dns server adresse nicht gepusht wird

Die entsprechende Directive hattest Du ja schon oben völlig richtig angegeben (Sofern die IP die des Routers auf der Serverseite ist). Wenn das nicht funktioniert fehlt entweder die "pull" Directive auf der Clientseite oder aber der OpenVPN-Client wird unter Windows nicht mit Administratorrechten ausgeführt. Dann werden aber auch die Routen nicht gesetzt.

Gruß Frank

 

[matzep94]

also die dns ip ist bei aufgebauten tunnel erreichbar - es meldet sich die fritzbox
pull steht auch in der client config

was mir aber aufgefallen ist in ipconfig:

Ethernet-Adapter LAN-Verbindung 3:

Verbindungsspezifisches DNS-Suffix:
Beschreibung. . . . . . . . . . . : TAP-Win32 Adapter V9
Physikalische Adresse . . . . . . : 00-FF-E1-E5-36-54
DHCP aktiviert. . . . . . . . . . : Ja
Autokonfiguration aktiviert . . . : Ja
Verbindungslokale IPv6-Adresse . : fe80::c5aa:33db:b8a2:4e6%21(Bevorzugt)
IPv4-Adresse . . . . . . . . . . : 10.8.0.6(Bevorzugt)
Subnetzmaske . . . . . . . . . . : 255.255.255.252
Lease erhalten. . . . . . . . . . : Dienstag, 18. Februar 2014 10:43:43
Lease läuft ab. . . . . . . . . . : Mittwoch, 18. Februar 2015 10:43:42
Standardgateway . . . . . . . . . : 10.8.0.5
DHCP-Server . . . . . . . . . . . : 10.8.0.5
DHCPv6-IAID . . . . . . . . . . . : 352387041
DHCPv6-Client-DUID. . . . . . . . : 00-01-00-01-18-CB-54-1A-B4-B5-2F-BF-2F-AA

DNS-Server . . . . . . . . . . . : fec0:0:0:ffff::1%1
fec0:0:0:ffff::2%1
fec0:0:0:ffff::3%1
NetBIOS über TCP/IP . . . . . . . : Aktiviert

das die adresse die unter dhcp server steht nicht erreichbar ist
sollte da nicht eigentlich die router ip stehen?