1. Diese Seite verwendet Cookies. Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies. Weitere Informationen

Ubuntu-X86-Server mit OpenVPN-Client hinter Fritzbox

Dieses Thema im Forum "Archiv" wurde erstellt von proto, 10. September 2011.

  1. proto
    Offline

    proto Ist oft hier

    Registriert:
    13. November 2008
    Beiträge:
    118
    Zustimmungen:
    20
    Punkte für Erfolge:
    18
    Hallo,

    folgende Konstellation versuche ich seit paar Tagen zu konfigurieren:

    x86-Ubuntu-Server mit OpenVPN-Client (VPN-Provider)
    hinter einer Fritzbox.



    Auf dem Ubuntu Server ist folgendes schon installiert:

    webmin
    -->bisher keine Firewall (iptables) aktiviert sollte aber noch gemacht werden

    ddclient
    Code:
    # /etc/ddclient.conf
    
    daemon=600
    syslog=yes
    pid=/var/run/ddclient.pid
    ssl=yes
    use=if, if=tun0
    login=user
    password=geheim
    protocol=dyndns2
    server=no-ip.com
    www.xyz.com
    
    
    # /etc/default/ddclient
    
    run_ipup="false"
    run_daemon="true"
    daemon_interval="300"
    openvpn mit enable-password-save
    Für OpenVPN habe ich auch einen eigenen User angelegt
    Code:
    groupadd openvpn
    useradd openvpn --shell /bin/false --gid openvpn --home-dir /etc/openvpn
    Code:
    # client-vpn.conf
    
    user openvpn
    group openvpn
    float
    client
    dev tun
    proto udp
    nobind
    ca /etc/openvpn/keys/ca.crt 
    ns-cert-type server
    cipher BF-CBC
    auth-user-pass /etc/openvpn/pass.txt
    auth-nocache
    persist-key
    persist-tun
    comp-lzo
    log-append /etc/openvpn/openvpn.log
    verb 3
    script-security 1
    remote-random
    resolv-retry infinite
    
    remote 200.110.75.210 10001
    remote 200.110.75.210 10002
    remote 200.110.75.210 10003
    remote 200.110.75.210 10004
    Wenn ich openvpn starte ist soweit alles in Ordnung
    Code:
    OpenVPN 2.1.0 i686-pc-linux-gnu [SSL] [LZO2] [EPOLL] [PKCS11] [MH] [PF_INET6] [eurephia] built on Jul 12 2010
    NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
    LZO compression initialized
    Control Channel MTU parms [ L:1542 D:138 EF:38 EB:0 ET:0 EL:0 ]
    Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:0 EL:0 AF:3/1 ]
    Local Options hash (VER=V4): '41690919'
    Expected Remote Options hash (VER=V4): '530fdded'
    NOTE: UID/GID downgrade will be delayed because of --client, --pull, or --up-delay
    Socket Buffers: R=[114688->131072] S=[114688->131072]
    UDPv4 link local: [undef]
    UDPv4 link remote: [AF_INET]200.110.75.210:10004
    TLS: Initial packet from [AF_INET]200.110.75.210:10004
    VERIFY OK: depth=1, /C=SE/ST=CA/L=SanFrancisco/O=Fort-Funston/CN=Fort-Funston_CA/emailAddress=me@myhost.mydomain
    VERIFY OK: nsCertType=SERVER
    VERIFY OK: depth=0, /C=SE/ST=CA/L=SanFrancisco/O=Fort-Funston/CN=server/emailAddress=me@myhost.mydomain
    Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
    Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
    Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
    Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
    Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
    [server] Peer Connection Initiated with [AF_INET]200.110.75.210:10004
    SENT CONTROL [server]: 'PUSH_REQUEST' (status=1)
    PUSH: Received control message: 'PUSH_REPLY,...................'
    OPTIONS IMPORT: timers and/or timeouts modified
    OPTIONS IMPORT: --ifconfig/up options modified
    OPTIONS IMPORT: route options modified
    OPTIONS IMPORT: route-related options modified
    OPTIONS IMPORT: --ip-win32 and/or --dhcp-option options modified
    ROUTE default_gateway=192.168.178.1
    TUN/TAP device tun0 opened
    TUN/TAP TX queue length set to 100
    /sbin/ifconfig tun0 111.22.33.253 netmask 255.255.000.192 mtu 1500 broadcast 111.22.333.255
    /sbin/route add -net 111.22.212.230 netmask 255.255.255.255 gw 192.168.178.1
    /sbin/route add -net 0.0.0.0 netmask 128.0.0.0 gw 111.22.333.333
    /sbin/route add -net 128.0.0.0 netmask 128.0.0.0 gw 111.22.333.333
    GID set to openvpn
    UID set to openvpn
    Initialization Sequence Completed
    
    Vom Server aus habe ich auf die IP von meinem XP Rechner einen
    traceroute 152.555.111.222 und tracepath 152.555.111.222 gemacht da wird dann mein Anschluß beim Provider angezeigt.

    Auch vom XP Rechner auf den Server mit tracert 222.333.44.55 habe ich mal nachgeschaut bis zum VPN-Provider wird alles angezeigt.

    Auf dem Router habe ich die Ports was in der client-vpn.conf
    unter remote steht auf den Server weitergeleitet
    Code:
    Bezeichnung = vpn    
    Protokoll = TCP    
    von Port 10001    bis Port 10004
    an Computer     111.222.333.444
    an IP-Adresse     111.222.333.444
    an Port 10001    bis Port 10004 
    Fragen:

    1.
    Unter Protokoll gibt es verschiedene Auswahlmöglichkeiten
    TCP / UDP / ESP / GRE welche davon ist der richtige?
    Oder muß man den Protokoll angeben was in der client-vpn.conf drin steht?

    2.
    Wie muß nun die Firewall/NAT auf dem Server eingestellt werden?
    Der port 1800 sollte erreichbar sein alles andere benötige ich nicht.
    Außer es gibt Ports die für die Systemaktuallisierung notwendig sind?

    3.
    Wie gesagt ich habe so viel durchgelesen das ich nicht mehr weis
    was was ist.

    Es wir davon geredet das man die DNS-Server ändern kann/sollte
    damit der Internetprovider nicht sieht auf welche Seiten man geht
    und damit man auf Seiten Zugriff hat auf die man in DE normalerweise
    keinen Zugriff hat.
    Und auf die Anonymität hat das auch einen Einfluß?

    4.
    Dann wird noch der Gateway angesprochen das man den noch abändern kann. Wozu das nun gut ist weis ich schon gar nicht mehr.

    5.
    Muß ich noch am Router was einstellen damit der nicht irgendwo
    auftaucht?

    7.
    Wie kann ich abschließend noch testen ob ich alles richtig gemacht habe?

    Auf einem Windows Rechner kann ich ja die IP mit tracert analysieren
    - tracert (zeigt an über wieviele Server eine IP verbunden wird HOPS)

    Da ich eine Only-Server Installation gemacht habe fehlt mir ja die GUI
    auf Ubuntu damit ich z.B. auf whoer.net gehen kann.
    Dort wird ja wirklich alles angezeigt aber wie macht man das mit einem
    Linux Server?

    Genauso einen Port Check wo / wie am Besten machen?

    Danke
     
    Zuletzt bearbeitet: 10. September 2011
    #1
  2. phantom

    Nervigen User Advertisement

  3. sscully
    Offline

    sscully Ist gelegentlich hier

    Registriert:
    3. November 2009
    Beiträge:
    42
    Zustimmungen:
    9
    Punkte für Erfolge:
    0
    AW: Ubuntu-X86-Server mit OpenVPN-Client hinter Fritzbox

    1.
    Unter Protokoll gibt es verschiedene Auswahlmöglichkeiten
    TCP / UDP / ESP / GRE welche davon ist der richtige?
    Oder muß man den Protokoll angeben was in der client-vpn.conf drin steht?

    >> Da dein Server lediglich als Client fungieren soll benötigst du keine
    Portweiterleitung bzw. und auch keine Protokollbestimmung.
    Du musst nur sicherstellen das deine VPN-Verbindung durchgeleitet wird (VPN-Passthrough).Die Fritzbox kann das standardmäßig.


    2.
    Wie muß nun die Firewall/NAT auf dem Server eingestellt werden?
    Der port 1800 sollte erreichbar sein alles andere benötige ich nicht.
    Außer es gibt Ports die für die Systemaktuallisierung notwendig sind?

    >> Für dein internes Netz alles erlauben.
    Für dein VPN-Netz (tun0) alles verbieten und dann nach und nach
    deine benötigten Ports freischalten.

    3.
    Wie gesagt ich habe so viel durchgelesen das ich nicht mehr weis
    was was ist.

    Es wir davon geredet das man die DNS-Server ändern kann/sollte
    damit der Internetprovider nicht sieht auf welche Seiten man geht
    und damit man auf Seiten Zugriff hat auf die man in DE normalerweise
    keinen Zugriff hat.

    Und auf die Anonymität hat das auch einen Einfluß?

    >> Das lässt sich am leichtesten bewältigen mittels Up / Down-Scripte

    Dieser Link ist nur für Mitglieder!!! Jetzt kostenlos Registrieren ?




    4.
    Dann wird noch der Gateway angesprochen das man den noch abändern kann. Wozu das nun gut ist weis ich schon gar nicht mehr.

    >> Den GW bekommst du von deinem VPN-Anbieter übertragen. Normalerweise ändert sich dieser dann bei Verbindungsaufbau / abbau automatisch.

    5.
    Muß ich noch am Router was einstellen damit der nicht irgendwo
    auftaucht?

    >> Kommt drauf an was du mit dem SV vorhast ;=) Wenn der als GW für dein Netz arbeiten soll dann ist noch so einiges zu tun. Und wenn er nur als CS-Server arbeiten soll dann war es das auch schon ;=) (( Wobei dann noch die Frage bezgl. RPF kommt. Bekommst du eine Shared IP oder eine Dedicated IP ?

    7.
    Wie kann ich abschließend noch testen ob ich alles richtig gemacht habe?

    Auf einem Windows Rechner kann ich ja die IP mit tracert analysieren
    - tracert (zeigt an über wieviele Server eine IP verbunden wird HOPS)

    Da ich eine Only-Server Installation gemacht habe fehlt mir ja die GUI
    auf Ubuntu damit ich z.B. auf whoer.net gehen kann.
    Dort wird ja wirklich alles angezeigt aber wie macht man das mit einem
    Linux Server?

    Genauso einen Port Check wo / wie am Besten machen?

    Danke

    >>am besten über die entsprechenden Table (Routing/Netstat/etc).Kannst natürlich auch Routing auf dem Server aktivieren und diesen dann als GW nutzen. Dann kannst du alle bekannten Tests (Whoer....) mit deinem XP PC durchführen[/QUOTE]
     
    #2
    proto und RoterBaron gefällt das.
  4. RoterBaron
    Offline

    RoterBaron Stamm User

    Registriert:
    18. Mai 2011
    Beiträge:
    1.160
    Zustimmungen:
    478
    Punkte für Erfolge:
    0
    AW: Ubuntu-X86-Server mit OpenVPN-Client hinter Fritzbox

    ...solange deine Clients nicht auch alle VPN haben, bringt dir das für CS nicht wirklich was...

    Du baust dir damit dann eine zusätzliche Fehlerquelle ein auf die du nicht wirklich einfluss hast - wenn der VPN-Anbieter mal Probeme hat oder das Routing dorthin spinnt, funktioniert bei dir nix mehr obwohl der server "online" wär...
    Genauso wie deine Latenz schlechter wird weil solche VPN-Anbieter meistens im Ausland sitzen und all deine Datenpakete dann darüber umgeleitet werden etc

    Sinniger wäre für CS ein eigenes, privates VPN ohne Drittanbieter
     
    #3
  5. sscully
    Offline

    sscully Ist gelegentlich hier

    Registriert:
    3. November 2009
    Beiträge:
    42
    Zustimmungen:
    9
    Punkte für Erfolge:
    0
    AW: Ubuntu-X86-Server mit OpenVPN-Client hinter Fritzbox

    ...solange deine Clients nicht auch alle VPN haben, bringt dir das für CS nicht wirklich was...

    >>Das stimmt nicht. Der Server bekommt eine IP-Addy aus dem Addresskreis des VPNanbieters. Somit bleibt die zugewiesene Telekom oder weiß Gottnichtfüreine IP versteckt / unerkannt.

    Du baust dir damit dann eine zusätzliche Fehlerquelle ein auf die du nicht wirklich einfluss hast - wenn der VPN-Anbieter mal Probeme hat oder das Routing dorthin spinnt, funktioniert bei dir nix mehr obwohl der server "online" wär...
    Genauso wie deine Latenz schlechter wird weil solche VPN-Anbieter meistens im Ausland sitzen und all deine Datenpakete dann darüber umgeleitet werden etc

    >>Latenzzeiten haben nichts mit im Ausland sitzende Anbieter zu tun.
    Das liegt mehr an anderen verschiedenen Komponeneten. Routingtables etc....

    Sinniger wäre für CS ein eigenes, privates VPN ohne Drittanbieter

    >> für eigenes CS wäre das unötig ......
     
    #4
  6. RoterBaron
    Offline

    RoterBaron Stamm User

    Registriert:
    18. Mai 2011
    Beiträge:
    1.160
    Zustimmungen:
    478
    Punkte für Erfolge:
    0
    AW: Ubuntu-X86-Server mit OpenVPN-Client hinter Fritzbox

    lol - ich bin seit 15 jahren im IT und Internet Bereich tätig und glaube mittlerweile scho zu wissen wovon "Latenzen" abhängig sind oder ob VPN noch nen Sinn bei CS ergibt wenn nur der Server im VPN is etc....

    kein bock jetzt mit dir hier nen streitgespräch zu führen wovon Latenzen abhängig sind und das im Ausland sitzenede VPN-Anbieter 100000% eine schlechtere Latenz haben wie deutsche Anbieter etc - nicht nur weil mehr hops drzischen sind sondern meistens auch wegen schlechterer+älterer hardware etc aber passt scho... sorry das ich keinen komplizierten fachsimpel-roman geschrieben hab - klugscheisser
     
    #5
  7. proto
    Offline

    proto Ist oft hier

    Registriert:
    13. November 2008
    Beiträge:
    118
    Zustimmungen:
    20
    Punkte für Erfolge:
    18
    AW: Ubuntu-X86-Server mit OpenVPN-Client hinter Fritzbox

    1.
    >> Da dein Server lediglich als Client fungieren soll benötigst du keine
    Portweiterleitung bzw. und auch keine Protokollbestimmung.
    Du musst nur sicherstellen das deine VPN-Verbindung durchgeleitet wird (VPN-Passthrough).Die Fritzbox kann das standardmäßig.

    ==> Wie ist den das eigentlich wenn ich eine Anfrage über einen bestimmten Port bekomme wird das ja über den VPN-Provider durch den VPN-Tunnel (Port20000) durchgereicht kommen die Anfragen dann trotzdem mit der ursprunglichen Port anfrage am Server an?

    2.
    >> Für dein internes Netz alles erlauben.
    Für dein VPN-Netz (tun0) alles verbieten und dann nach und nach
    deine benötigten Ports freischalten.

    ==> Was mache ich mit et0, oder besser gefragt was passiert wenn die
    VPN Verbindung ausfällt??


    5.
    Wenn der als GW für dein Netz arbeiten soll dann ist noch so einiges zu tun. Und wenn er nur als CS-Server arbeiten soll dann war es das auch schon ;=) (( Wobei dann noch die Frage bezgl. RPF kommt.
    ==>Als GW soll es nicht dienen ich möchte nur meine IP geändert haben ;)

    Bekommst du eine Shared IP oder eine Dedicated IP ?
    ==> Das sollte denke ich eine Shared IP sein also dynamische IP
    Aber das ist ja mit ddclient gelöst oder nicht?


    7.
    Kannst natürlich auch Routing auf dem Server aktivieren und diesen dann als GW nutzen.
    ==> Benötige ich dann 2 LAN Ports am Server?


    Ich habe ja noch eine FB7390 aber das einrichten von openvpn ist dort
    für mich noch umständlicher. Ich habe zum Testen ein fertiges image mit
    openvpn genommen aber man bekommt keine richtigen Infos wie man
    die client.conf und ca.crt ablegt und dann müssen andere Sachen vorher gemacht werden. Dann weis ich nicht ob man in der conf dev tun oder dev tap nehmen muß.
    Der Anbieter vpntunnel.se hat in den HowTo's für tomato und wrt dort
    die dev tap genommen.
    Aber das ist ja ein anderes Thema.

    gruß
     
    #6
  8. sscully
    Offline

    sscully Ist gelegentlich hier

    Registriert:
    3. November 2009
    Beiträge:
    42
    Zustimmungen:
    9
    Punkte für Erfolge:
    0
    AW: Ubuntu-X86-Server mit OpenVPN-Client hinter Fritzbox

    1.
    ==> Wie ist den das eigentlich wenn ich eine Anfrage über einen bestimmten Port bekomme wird das ja über den VPN-Provider durch den VPN-Tunnel (Port20000) durchgereicht kommen die Anfragen dann trotzdem mit der ursprunglichen Port anfrage am Server an?

    >>> JEIN - es kommt darauf an ob du eine SharedIP oder eine Dedicated IP bekommst - also ob du dir eine IP mit x anderen teilst oder ob du eine IP bekommst die nur dir gehört ........


    2.
    >> Für dein internes Netz alles erlauben.
    Für dein VPN-Netz (tun0) alles verbieten und dann nach und nach
    deine benötigten Ports freischalten.

    ==> Was mache ich mit et0, oder besser gefragt was passiert wenn die
    VPN Verbindung ausfällt??

    >>> für eth0 (internes Netz) Alles erlauben. Falls VPN ausfällt wird der SV nicht erreichbar sein.


    5.
    Wenn der als GW für dein Netz arbeiten soll dann ist noch so einiges zu tun. Und wenn er nur als CS-Server arbeiten soll dann war es das auch schon ;=) (( Wobei dann noch die Frage bezgl. RPF kommt.
    ==>Als GW soll es nicht dienen ich möchte nur meine IP geändert haben ;)

    Bekommst du eine Shared IP oder eine Dedicated IP ?
    ==> Das sollte denke ich eine Shared IP sein also dynamische IP
    Aber das ist ja mit ddclient gelöst oder nicht?

    >>> Nicht wirklich ;=) Shared IP - du teilst dir die Ip mit X anderen und kannst somit nicht jeden Port weitergeleitet bekommen .........

    7.
    Kannst natürlich auch Routing auf dem Server aktivieren und diesen dann als GW nutzen.
    ==> Benötige ich dann 2 LAN Ports am Server?

    >>> die hast du ja - eth0 und tun0 ;=)

    Ich habe ja noch eine FB7390 aber das einrichten von openvpn ist dort
    für mich noch umständlicher. Ich habe zum Testen ein fertiges image mit
    openvpn genommen aber man bekommt keine richtigen Infos wie man
    die client.conf und ca.crt ablegt und dann müssen andere Sachen vorher gemacht werden. Dann weis ich nicht ob man in der conf dev tun oder dev tap nehmen muß.
    Der Anbieter vpntunnel.se hat in den HowTo's für tomato und wrt dort
    die dev tap genommen.
    Aber das ist ja ein anderes Thema.

    gruß

    >>> hier kommt es drauf an welchen Modus der Server unterstützt. TUN oder TAP ....
     
    #7
    proto gefällt das.

Diese Seite empfehlen