Software Frage VPN-Verbindung zwischen einer VM (PC-Server) und Android 5.x-Device

Dieses Thema im Forum "Tech & FAQ Forum" wurde erstellt von Dr.Windos, 9 Januar 2019.

  1. Dr.Windos

    Dr.Windos Chef

    Registriert seit:
    13 Mai 2001
    Beiträge:
    628
    Hallo Boardies,

    Folgende Situation:

    Per OpenVPN-Client soll eine Verbindung zwischen einer Workstation oder einem Server (VM oder physisch) und einem Device mit Android 5.x aufgebaut werden. Das Device benutzt ein angepasstes Android 5.x und hat deshalb keine Fremdsoftware wie Playstore usw.

    Ich konnte auf dem Device OpenVPN installieren und auf einer VM (Windows 2012)
    Auf der VM konnte ich eine Verbindung aufbauen, jedoch auf dem Device nicht.

    Die 2 Dateien sind wie folgt aufgebaut:

    vpn-server.ovpn
    Code:
    remote 10.2.99.30
    dev tun
    ifconfig 10.7.0.5 10.7.0.6
    secret key.txt
    port 5000
    route-gateway 10.2.96.1
    redirect-gateway
    route 0.0.0.0 0.0.0.0
    
    ----- Server läuft einwandfrei und bekommt die 10.7.0.5 zugeordnet.

    vpn-device.ovpn
    Code:
    remote 10.2.99.14
    dev tun
    ifconfig 10.7.0.5 10.7.0.6
    secret key.txt
    port 5000
    route-gateway 10.2.96.1
    redirect-gateway
    route 0.0.0.0 0.0.0.0
    
    ---- Device bricht mit Fehler ab und ich bekomme leider keine Logeinträge!

    Auf der VM habe ich diese Version installiert openvpn-install-2.4.6-I602.exe
    Auf dem Device habe ich diese Version installiert net.openvpn.openvpn-3.0.5-APK4Fun.com.apk

    Hoffe das ihr mir weiterhelfen könnt und ich wünsche jedem einen entspannten Mittwoch und hoffe ihr seit gut in das neue Jahr gestartet und wünsche uns allen GESUNDHEIT!

    Nachtrag:
    Habe nun mit OpenSSL ein Zertikat erstellt und auf das Device kopiert. Das Zertifikat wird auch akzeptiert und ich kann es auswählen. Aber immer noch keine Verbindung.
    Zuletzt bearbeitet: 9 Januar 2019
  2. DrSnuggles

    DrSnuggles Xanatos

    Registriert seit:
    31 Oktober 2004
    Beiträge:
    20.994
    Dr.Windos sagt Danke.
  3. Dr.Windos

    Dr.Windos Chef

    Registriert seit:
    13 Mai 2001
    Beiträge:
    628
    @DrSnuggles
    Danke und genau diese Seite habe ich abgearbeitet, zumindest nach meinem Verständnis!
    Nach Installation der APK auf dem Device habe ich mit OpenSSL mir ein Zertifikat (PKCS#12) erstellt welches auch in den Store des Devices importiert werden konnte. Soweit so gut.

    Welche Konfig meinst du genau? Oben ist die derzeit aktuelle .ovpn Datei.

    Habe vom Device einige Screenshots abgelegt. Eventuell kannst du damit etwas anfangen.

    https://www.magentacloud.de/lnk/TxqotAFX
    https://www.magentacloud.de/lnk/PuKIt4Ib
    https://www.magentacloud.de/lnk/4nKIt9Ck
    Zuletzt bearbeitet: 10 Januar 2019
  4. DrSnuggles

    DrSnuggles Xanatos

    Registriert seit:
    31 Oktober 2004
    Beiträge:
    20.994
    @Dr.Windows:

    Oben hast du eine Config gepostet mit dem Eintrag "Secret". Ich hab das der FAQ zitiert, dass Secret nicht unterstützt ist auf Android.
    Wie sieht also deine Config aus mit dem Zertifikat?
    Da muss sowas drin sein:
    Code:
    ca ca.crt
    cert client.crt
    key client.key
    tls-auth ta.key 1
    
  5. dr_tommi

    dr_tommi alter Oldie

    Registriert seit:
    26 April 2001
    Beiträge:
    12.477
    Nach meinem Kenntnisstand sollten auch beide Seiten mit dem gleichen System arbeiten. Also beide mit Zertifikat oder beide mit PSK, wenn eine Seite kein PSK kann dann bleibt nur der andere Weg.

    Ich habe aber auch ein Problem mit dem Verständnis der Verbindung an sich.
    Willst du Server und Androiddevice miteinander über VPN verbinden? Oder Server und Device jeweils mit einem VPN-Gateway verbinden.

    Bei Variante 1 passt die Konfig nicht vorne und nicht hinten, schon solche Sachen wie IP-Adressen, Gateway, Key und Secret passen da irgendwie nicht.

    Allerdings kann es auch sein dass ich das völlig falsch verstehe.
  6. Dr.Windos

    Dr.Windos Chef

    Registriert seit:
    13 Mai 2001
    Beiträge:
    628
    Hallo Zusammen,

    ich will die VM (Workstation oder Server egal) und das Device miteinander verbinden über den VPN-Tunnel. Das mit der PSK habe ich soweit kapiert und das mit dem Zertifkat werde ich auf Arbeit morgen mal ausprobieren. Bericht folgt. Danke schon mal für die Tipps.
  7. DrSnuggles

    DrSnuggles Xanatos

    Registriert seit:
    31 Oktober 2004
    Beiträge:
    20.994
    @Dr.Windows:

    PSK ist nicht unterstützt!
    Jegliche Config die einen PSK enthält ist falsch.
  8. dr_tommi

    dr_tommi alter Oldie

    Registriert seit:
    26 April 2001
    Beiträge:
    12.477
    Genau das glaube ich nicht.

    Ich glaube eher dass hier noch ein paar grundsätzliche Verständnisprobleme beim Thema VPN bestehen.
    Da sollte man zuerst nachbessern.

    Und um eine vernünftige und vor allem funktionierende Konfiguration erstellen zu können sind auch noch ein paar grundlegende Sachen zu klären.
    Wer baut mit wem über welchen Weg eine Verbindung auf und warum?
    In welchen Netzen sind die beiden Verbindungspartner?
    Welcher Adresspool wird für die VPN-Verbindung verwendet?
  9. Dr.Windos

    Dr.Windos Chef

    Registriert seit:
    13 Mai 2001
    Beiträge:
    628
    Hallo Zusammen,

    also noch einmal ganz von vorne und ich hoffe, ich habe es zumindest einigermaßen verstanden.
    -----
    Eine VPN-Verbindung ins Internet mit beiden Devices funktioniert! Getestet mit Dateien meines Providers. Da verwende ich folgende identische Konfiguration.

    Code:
    client
    dev tun
    proto udp
    remote VPN-Server 443
    resolv-retry infinite
    nobind
    persist-key
    persist-tun
    persist-remote-ip
    verify-x509-name VPN-Server name
    auth-user-pass
    comp-lzo
    keepalive 10 60
    verb 3
    auth SHA256
    cipher AES-256-CBC
    tls-cipher TLS-DHE-RSA-WITH-AES-256-CBC-SHA
    
    <ca>
    -----BEGIN CERTIFICATE-----
    ...
    -----END CERTIFICATE-----
    </ca>
    
    Was ich noch nicht checke, ist wie ich einen direkten VPN-Tunnel aufbaue zwischen den 2 Devices.
    Das verwendete Netz hat dazu folgende Konfiguration (alle Angaben von unserer IT)

    Code:
    IP-Range: 10.2.99.2-254
    Gateway1: 10.9.99.1 (lokales Netz)
    Gateway2: 10.2.96.1 (Internet)
    Netmask: 255.255.248.0
    DNS1: 10.2.0.83
    DNS2: 10.2.0.84
    Ich nutze immer eine fixe IP-Konfiguration.

    Code:
    VM: 10.2.99.30
    Android-Device: 10.2.99.14
    OpenVPN hat mir den Range 10.7.0.5 und 10.7.0.6 vorgegeben.

    1) VM: 10.7.0.5 (OK)
    2) Android-Device: 10.7.06 (NOK)

    Das ist derzeit alles was ich dazu sagen kann.
    Ich danke euch allen an dieser Stelle für die Unterstützung und ich wünsche noch einen entspannten Sonntag.
  10. dr_tommi

    dr_tommi alter Oldie

    Registriert seit:
    26 April 2001
    Beiträge:
    12.477
    @Dr.Windos
    Diese Angaben machen es nicht wirklich einfacher.
    Ich versuche das mal wiederzugeben so wie ich das verstanden habe.

    Es gibt eine VM auf der Windows Server 2012 läuft, die auf einem Host bereitgestellt wird, der an ein "privates" Netz angebunden ist.
    Auf dieser VM wurde OpenVPN installiert.

    Da gibt es noch ein mobiles Device mit einem angepassten Android 5.x welches auf unbekanntem Weg in irgendein Netz verbunden wird.
    Auf diesem Device wurde ebenfalls OpenVPN installiert.

    Und da wir hier von 10.x.x.x Netzen reden, befinden wir uns in einer "privaten" Umgebung also außerhalb des Internets. Vermutlich in einer Firmenumgebung.

    Es soll erreicht werden dass die beiden Geräte innerhalb dieser privaten Netzkonstruktion eine direkte Verbindung miteinander aufbauen.

    Habe ich das soweit richtig verstanden?


    Wenn ich Gerät A mit Gerät B verbinden will, dann konfiguriere ich Gerät A als VPN-Gateway welches die Verbindungen annimmt.
    Dann verbinde ich Gerät B als Client mit der IP-Adresse des konfigurierten VPN-Gateways.
    Und wenn dann die Daten für Authentifikation, Verschlüsselung, Routing usw. passen dann sollte die Verbindung stehen.
    Zuletzt bearbeitet: 13 Januar 2019
  11. Dr.Windos

    Dr.Windos Chef

    Registriert seit:
    13 Mai 2001
    Beiträge:
    628
    Guten Morgen Zusammen,

    zuerst danke an alle die sich dem Fall angenommen haben.

    Die IP-Konfig betrifft aktuell nur den Testfall bei mir auf der Arbeit. Im realen Einsatz gibt es von fixer Adressierung oder per DHCP/DNS bis zu einer öfflichen IP alles.
    Grundsätzlich soll das Device per VPN an eine VM oder einen PC angebunden werden.
    @dr_tommi
    Ja, du hast es richtig verstanden. Es soll eine direkte Verbindung zwischen den 2 Partnern möglich sein damit diese miteinander reden können.