Eigenbau Linux Router mit IPFire

Apropos OpenVPN und DS-Lite: Weisz jemand von euch, WARUM letzteres ersteres bricht? Ist das wirklich einfach der Umstand dass das Ordering von saemtlichen UDP-Datagrammen, die ueber das Carrier-NAT von UPC flieszen, gebrochen wird (hab ich mal auf xdsl.at gelesen, und halte ich fuer Wahnsinn, aber ich kenne UPC...)?

Ich hab "leider" kein DS-Lite taugliches Endgeraet daheim und bin deshalb persoenlich verschont geblieben, wuesste aber gerne, womit man es im Endeffekt eigentlich zu tun hat. Hilft es z. B., OpenVPN einfach via TCP zu betreiben, um die Probleme zu umschiffen?

Ich habs mit dieser App und meiner ipfire ohne Probleme zum laufen gebracht.

Details dazu kann ich dir am Wochenende posten.

Ja, klar dass das nicht gehen kann, wenn der OpenVPN-Server an einem DS-Lite-Anschluss haengt. Offenbar ist es aber auch so, dass DS-Lite nutzende Clients keine Verbindung zu einem OpenVPN-Server aufbauen koennen, auch wenn letzterer mit einer tatsaechlich oeffentlich gerouteten IPv4-Adresse im Internet haengt...

Entweder du nutzt nur Clients die auch über IPv6 kommen, oder du benötigst einen Zwischenpunkt im www der das IPv4 VPN annimt und dann über ein IPv6 VPN weiterroutet.

Update 91 ist draußen:

Openssl 1.0.2b mit Logjam fix.
StrongSwan 5.3.1

Patches für: CVE-2014-8176, CVE-2015-1788, CVE-2015-1789, CVE-2015-1790, CVE-2015-1791, CVE-2015-1792, CVE-2015-3991, CVE-2015-4171

Alle Details:
http://www.ipfire.org/news/ipfire-2...ate-91-released

Download gibt es hier:
http://downloads.ipfire.org/latest

Ich tippe darauf, dass ältere Zertifikate mit einer Schlüssellänge < 2048 Bit Schwierigkeiten machen könnten.

Sodala.. IPFire ist jetzt auch bei mir eingezogen. Ich hatte noch ein Dual Core Sandy Bridge µATX Motherboard mit CPU und 2x2GB RAM, Netzteil, eine SSD und Netzwerkkarte und hab nur das Gehäuse benötigt. Somit war das hardwareseitig kein Problem. Stromverbauch werde ich noch posten.
http://fireinfo.ipfire.org/profile/...1168bfc0f02a08d

Die erste Einrichtung war echt easy: IPFire 2.17 - Core Update 94 ISO geladen, auf meinem Linux Mint Laptop einen USB Stick erstellt, damit gestartet, vom Schleppi grundsätzlich eingerichtet, den alten Router ersetzt und voila, rennt auf Anhieb. So weit so erfolgreich.. aber dann.

1. Problem: Nur 3GB RAM??
IPFire ist ja ein 32bit OS. Damit mehr als 3GB genutzt werden können muss die PAE Erweiterung geladen werden. IPFire hat das auch gleich standardmäßig erledigt. Aber: Es war eine alte Version, GRUB hat daher den neueren nicht PAE Kernel genommen und damit gabs nur 3GB Ram. Abhilfe: Im Menü Pakfire gibts den Update Button. Den sollte man nach der Installation vielleicht ausführen..
Danach erkennt IPFire die vollen 4GB RAM.

2. Problem: Snort
Ich will das auch haben - ich brauchs sicherlich nicht aber eben darum..
Natürlich hab ich mich auf snort.org registriert und wollte die Rules downloaden. Geht aber nicht wie mr.nice. gepostet hat. Nachdem er netterweise auch gleich die Abhilfe gepostet hat, habe ich genau das probiert.
Zur Erinnerung:

Zitat

Man editiert die Download-Rules der Datei ids.cgi in ./srv/web/ipfire/cgi-bin/. Sucht z.B. im vi mit /2961 und ersetzt die beiden Einträge mit 2962, speichert ab mit einem simplen !wq und kann schon wieder updaten!

Ging auch nicht. Also habe ich händisch mit wget die Dateien geladen und mit tar entpackt.
Ging auch nicht. Irgendwie habe ich dann die Nerven geschmisssen und einfach wild auf den Download Knopf geklickt.
Plötzlich gings. Also entweder mußten die Files zuerst mal mit wget geholt werden, oder was wahrscheinlicher ist, IPFire braucht ein paar Minuten (?) um das geänderte Downloadskript neu einzulesen.

3. Problem: OpenVPN
Ein VPN Zugang der sowohl für Linuxclients als auch für mobile Geräte funktioniert ist für mich unabdingbar. Also mal OpenVPN probiert. Mal kurz durch konfiguriert, am Linux Mint Client das VPN konfiguriert, aber hallo? Wo sind die Zertifikate?
Wenn man das zip für den Client downloaded bekommt man ein ".p12" und ein ".ovpn" File. Hm.. mal googlen. Ok, man muß das ".p12" File erst mit openssl in die 3 Zertifikate zerlegen.

Code:

openssl pkcs12 -in IPFIRE.p12 -clcerts -nokeys -nodes -out user.pem
openssl pkcs12 -in IPFIRE.p12 -nocerts -nodes -out keys.pem
openssl pkcs12 -in IPFIRE.p12 -cacerts -nodes -out ca.pem

Den Linux Mint Client händisch konfiguriert (wer braucht schon Automatismen?) und... er verbindet sich. Juchuuu also mal Gateway pingen: Nix geht.. Kein Ping, kein SMB, kein redirect, ...
*Frust*

Nach etlichen Herumprobiererei und googlen und und und hab ich mich erinnert das da ja ein Konfigfile dabei war. Also VPN nochmal gelöscht mit Konfigfile erstellt, Zertifikate kopiert und..
ES GEHT! Vielleicht sollte man mal wirklich ein Manual lesen und Hilfestellungen annehmen.

Der Androidclient den maverick81 gepostet hat funktionierte auf Anhieb. Danke!

Also Gateway, gepingt .. geht. Server gepingt ... geht. Linuxrechner gepingt.. geht. SMB vom Server geöffnet.. Juchu.. er ist da. Windows 7 Rechner gepingt.. nix geht.
??? Wie geht das?
In so einem Fall dreht man mal Virenschutz und Firewall ab. Alles geht wieder.
Es liegt an der Firewall: Das VPN ist ja ein anderes Subnetz und daher muß im Privaten-/Arbeitsnetzwerk

• Datei- und Druckerfreigabe (Echoanforderung - ICMPv4 eingehend) die Remoteadresse von "Lokales Subnetz" auf "beliebig"
• Datei- und Druckerfreigabe (SMB eingehend) die Remoteadresse von "Lokales Subnetz" auf "beliebig"

gestellt werden.
edit: Das kann man natürlich mehr eingrenzen und das lokale Subnetz sowie das VPN Netz angeben.

Fazit: Das ganze ist eher nix für Anfänger aber wenn man sich damit auseinandersetzt findet man alle Hilfestellungen im Netz und den Rest sollte man sich sowieso zusammenreimern können wenn man sowas anfängt. Ich hab noch eine endlos lange ToDo List und werde das ab und zu hier eintragen. IPFire erfüllt meine Anforderungen, ist praktisch beliebig konfigurierbar und bleibt bei mir als Router.