1. Diese Seite verwendet Cookies. Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies. Weitere Informationen

Talk VPN mit OpenVPN

Dieses Thema im Forum "Root / Vserver Server Sicherheit" wurde erstellt von chrisbi, 19. Dezember 2012.

  1. chrisbi
    Offline

    chrisbi Hacker

    Registriert:
    29. Januar 2008
    Beiträge:
    326
    Zustimmungen:
    195
    Punkte für Erfolge:
    43
    Hi,

    ich habe hier im Board nach einer VPN Anleitung gesucht und nichts gefunden. Deshalb wollte ich Euch hier meine Schritt für Schritt Anleitung vorstellen wie man einen OpenVPN Server mit dem IGEL/Raspberry erstellt.

    Da das Vpn mit meiner Fritzbox mit der Software von AVM nie wirklich eine stabile Verbindung hergestellt hatte, hab ich beschlossen den Raspberry als VPN Server fungieren zu lassen...

    Bis jetzt funktioniert es tadellos mit meinem Androis Handy (

    Dieser Link ist nur für Mitglieder!!! Jetzt kostenlos Registrieren ?

    &

    Dieser Link ist nur für Mitglieder!!! Jetzt kostenlos Registrieren ?

    vom Market) und auf meinem Netbook mit OpenVPN für

    Dieser Link ist nur für Mitglieder!!! Jetzt kostenlos Registrieren ?

    ... Wenn jemand noch ein paar Infos oder Fragen dazu hat, einfach mit dazu schreiben...

    Bitte das Tutorial erst mal von vorne bis hinten durchlesen, um es auch zu verstehen.. :)

    Wer auf Debian als Root arbeitet, kann den Teil (7) wo man sich als su einloggt weglassen und auch sonst den vorangestellten Befehl sudo weg lassen...

    ### 1. Befehle die in der Konsole per

    Dieser Link ist nur für Mitglieder!!! Jetzt kostenlos Registrieren ?

    oder direkt auf der Tastatur eingegeben werden ###

    1. Als erstes müsst Ihr OpenVPN installieren mit
    Code:
    sudo apt-get install openvpn
    2. Dann mit diesem Befehl die Beispielconfigs kopieren
    Code:
    sudo cp /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz /etc/openvpn/
    3. OpenVPN Server Config entpacken mit
    Code:
    sudo gunzip /etc/openvpn/server.conf.gz
    und Kopieren mit
    Code:
    sudo cp -r /usr/share/doc/openvpn/examples/easy-rsa/2.0 /etc/openvpn/easy-rsa2
    4. Ins Easy-Rsa2 Verzeichnis wechseln mit
    Code:
    cd /etc/openvpn/easy-rsa2/
    5. Die Datei vars editieren
    Code:
    sudo nano vars
    Folgende Einträge suchen und durch Eure Daten ersetzen:

    Code:
    export KEY_COUNTRY="DE"
    export KEY_PROVINCE="BY"
    export KEY_CITY="Muenchen"
    export KEY_ORG="Servername"
    export KEY_EMAIL="mail@adresse.de"
    
    Nano beenden mit Strg+C und J/Y für speichern

    6. Im selben Verzeichnis den Ordner keys anlegen
    Code:
    sudo mkdir keys
    7. Ab hier bitte als su arbeiten! In der Konsole einfach folgendes Eintippen um kurzzeitig als su fungieren zu können...

    Code:
    sudo su
    
    8. Anschließend gehts weiter mit

    Code:
    source ./vars
    
    ./clean-all
    
    ./build-ca
    
    Immer mit Enter/Return bestätigen

    9. Server Key erstellen (der dauert etwas länger)
    Code:
    ./build-key-server server
    Das Passwort kann hier leer gelassen werden

    10. Hier wird der Key von den Usern erstellt... Der Vorgang kann sooft wie man will wiederholt werden wenn man mehrere User auf dem VPN Server connecten lassen möchte.
    Code:
    ./build-key ersteruser      # ersteruser vielleicht ersetzen mit einem "nickname"
    
    ./build-key zweiteruser    # hier auch
    
    ./build-key dritteruser     # hier auch
    
    Das geschieht nach dem gleichen Prinzip wie gerade eben beim Server, jedoch muss nun bei "Common Name" jeweils der Name des Clients eingetragen werden.

    11. Hier wird der

    Dieser Link ist nur für Mitglieder!!! Jetzt kostenlos Registrieren ?

    generiert.
    Code:
    ./build-dh
    12. Jetzt wird die server.conf geöffnet und angepasst
    Code:
    nano /etc/openvpn/server.conf
    In der Datei müssen folgende Pfade angepasst werden... Einfach den Bereich suchen wo die Certifikate verlangt werden und dann die Pfade dementsprechen anpassen.

    Code:
    ca ./easy-rsa2/keys/ca.crt
    cert ./easy-rsa2/keys/server.crt
    key ./easy-rsa2/keys/server.key    # Diese Datei darf keiner bekommen und sollte geheim gehalten werden!
    dh ./easy-rsa2/keys/dh1024.pem     # Diffie-Hellman-Parameter
    
    Den Port hier in der config auf jeden Fall anpassen, wenn man vom Standardport abweichen will. Also von z.B. von 1149 auf 11194

    13. Um jetzt im eigenen Lan nicht nur den Rpi zu sehen sondern auch noch die anderen PCs die laufen muss noch folgender Befehl ans Ende der openvpn.conf hinzugefügt werden.

    Hier natürlich den IP Range durch Eure ersetzen... Z.b. 192.168.2.0 - wenn Euer Router auf z.B. 192.168.2.1 hört, dann solltet Ihr den Range 192.168.2.0 benutzen.

    Code:
    push "route 192.168.2.0 255.255.255.0"
    Anschließend auch den Befehl in der Konsole ausführen um das interne Lan sichtbar zu machen:

    Code:
    sysctl -w net/ipv4/ip_forward=1
    Um diese Änderung permanent zu machen, kann man sie in die Datei /etc/sysctl.conf eintragen mit

    Code:
    nano /etc/sysctl.conf
    und dann ganz am Ende folgendes anfügen:

    Code:
    net.ipv4.ip_forward=1
    Schließen mit Strg+X und J/Y für speichern

    14. Um den Server als Default Gateway zu nutzen - um zum Beispiel unsicher Wlans zu "sichern" (Flughäfen, Nachbarn usw.) sollte man das noch in die letzte Zeite der openvpn.conf einfügen:

    Code:
    push "redirect-gateway def1 bypass-dhcp"
    15. Zur lokalen Sicherheit sollte man den VPN Dienst noch unter einem eigenen User laufen lassen, dem kein Login ermöglicht wird. Das macht man so:

    Code:
    adduser --system --no-create-home --disabled-login openvpn
    
    addgroup --system --no-create-home --disabled-login openvpn
    
    16. Den Openvpn Dienst neustarten mit

    Code:
    /etc/init.d/openvpn restart
    17. SU Beenden

    Code:
    exit
    ### 2. Arbeiten auf der Fritzbox ###

    Ich habe hier leider nur die Fritzbox daheim und kann Euch deshalb nur sagen wo man das in der Fritzbox anstellt, damit euer Server als Gateway dient, wenn man sich in einem fremden W-Lan befindet.

    Fritzbox: PORTFREIGABE machen 11194 UDP # habe eine 1 vorne mit dran gehängt um vom Standardport abzuweichen...

    1. In der Fritzbox einloggen (Browser, IP Adresse eingeben und Passwort eingeben...)
    2. Expertenansicht aktivieren
    3. Dann auf "Heimnetz" wechseln
    4. Dann auf "Netwerkeinstellungen" wechseln und den Punkt "IP Routen" anwählen.
    5. "Neue Route"
    6. Hier sind meine Einstellungen:

    Code:
    Netzwerk: 10.8.0.0                 # Das ist der IP Bereich, den dann der VPN User bekommt
    Subnetzmaske: 255.255.255.0
    Gateway: 192.168.X.XX           # XX = IP von Deinem Server hier eintragen
    
    7. Route aktivieren und auf OK.
    8. Portfreigabe nicht vergessen ;)

    Das wars erst mal... Viel Spaß beim testen...

    Ich habe mich bei der Anleitung an das Tutorial von OpenVPN Wiki für Ubuntu User (googlen) gehalten und es hat auf Anhieb funktioniert...:)

    Über ein Danke und kommentare würde ich mich freuen!

    Edit: sudo su hinzugefügt und kryptische Gänsefüsschen ausgetauscht

    EDIT by szonic:
    Erweiterung aus

    Dieser Link ist nur für Mitglieder!!! Jetzt kostenlos Registrieren ?

    für Verbindungen mit Apple-Geräten:


    1. Schritt 13. in dem How-To musste ich raus nehmen, da ich sonst einen Connection timeout hatte. Aber ich komme trotzdem an alle anderen PC's/router im Netzwerk
    2. Die vpn_connection.ovpn sieht bei mir so aus:
    Code:
    [INDENT]client[/INDENT]
    [INDENT]dev tun[/INDENT]
    [INDENT]proto udp[/INDENT]
    [INDENT]remote  <DYNDNS_ADRESSE>  <PORT> #DEFINITIV ANPASSEN[/INDENT]
    [INDENT]resolv-retry infinite[/INDENT]
    [INDENT]nobind[/INDENT]
    [INDENT]persist-key[/INDENT]
    [INDENT]persist-tun[/INDENT]
    [INDENT]ca ca.crt[/INDENT]
    [INDENT]cert user1.crt #EVENTUELL ANPASSEN[/INDENT]
    [INDENT]key user1.key #EVENTUELL ANPASSEN[/INDENT]
    [INDENT]comp-lzo[/INDENT]
    [INDENT]verb 3
    [/INDENT]
    
    3. Die 4 Dateien vpn_connection.ovpn, ca.crt, user1.crt und user1.key (findet ihr unter /etc/openvpn/easy-rsa2/keys) über iTunes in die App "OpenVPN" importieren
    4. Die App öffnen und die Verbindung mit dem grünen Plus importieren.
     
    Zuletzt bearbeitet: 15. Oktober 2015
    #1
    thamot2, dan0ne, meier111 und 27 anderen gefällt das.
  2. phantom

    Nervigen User Advertisement

  3. chrisbi
    Offline

    chrisbi Hacker

    Registriert:
    29. Januar 2008
    Beiträge:
    326
    Zustimmungen:
    195
    Punkte für Erfolge:
    43
    AW: VPN mit OpenVPN

    Da das Tut ja nicht nur für den Raspberry gilt, sondern auch für andere Systeme kann ein mod das vielleicht in den CS Root & Vserver Bereich verschieben?! :)
    DANKE
     
    #2
    1 Person gefällt das.
  4. joopastron
    Offline

    joopastron Administrator Digital Eliteboard Team

    Registriert:
    3. März 2011
    Beiträge:
    19.328
    Zustimmungen:
    12.419
    Punkte für Erfolge:
    113
    Geschlecht:
    männlich
    Beruf:
    Immer bei der Sache
    AW: VPN mit OpenVPN

    Ist nun in

    Dieser Link ist nur für Mitglieder!!! Jetzt kostenlos Registrieren ?

    passt es am besten hin.
     
    #3
  5. Debütant
    Offline

    Debütant Freak

    Registriert:
    25. Dezember 2012
    Beiträge:
    207
    Zustimmungen:
    19
    Punkte für Erfolge:
    18
    AW: VPN mit OpenVPN

    bin bei ./build-key-server server und da bekomme ich paar meldungen.pkitool:need a readable ca.crt and ca.key in /etc/openvpn/easy-rsa2/keys.try pkitool initca to build a root certificate/key.
    und wenn ich dann einen user "mich" anlegen möchte kommt das : please edit the vars script to reflect your configuration.then source it with "source ./vars............wie soll ich genau vorgehen?
     
    #4
  6. chrisbi
    Offline

    chrisbi Hacker

    Registriert:
    29. Januar 2008
    Beiträge:
    326
    Zustimmungen:
    195
    Punkte für Erfolge:
    43
    AW: VPN mit OpenVPN

    lösch den Inhalt des Ordners /etc/Openvpn nochmal und fang nochmal an bitte, ich hab das tutorial ein bisschen überarbeitet.

    Bitte achte darauf, dass die Anführungszeichen ( " ) auch überall mit dabei sind, wo sie verlangt werden!

    Am besten wärs, du loggst dich als root ein, dann kannst das sudo und den 7. Punkt weglassen.
     
    Zuletzt bearbeitet: 23. Januar 2013
    #5
    Debütant gefällt das.
  7. Debütant
    Offline

    Debütant Freak

    Registriert:
    25. Dezember 2012
    Beiträge:
    207
    Zustimmungen:
    19
    Punkte für Erfolge:
    18
    AW: VPN mit OpenVPN

    habe es bis zum ende durchgezogen und bei neustart hat er mir "failed" angezeigt.wie lösche ich etc/openvpn?lg

    mit dpkg purge remove openvpn tut sich nicht viel.
     
    Zuletzt von einem Moderator bearbeitet: 26. März 2013
    #6
  8. chrisbi
    Offline

    chrisbi Hacker

    Registriert:
    29. Januar 2008
    Beiträge:
    326
    Zustimmungen:
    195
    Punkte für Erfolge:
    43
    AW: VPN mit OpenVPN

    Nein, nicht openvpn löschen sondern nur den config ordner

    Mit

    Code:
     sudo rm /etc/openvpn/*
    Gesendet von meinem GT-I9000 mit Tapatalk 2
     
    #7
  9. Debütant
    Offline

    Debütant Freak

    Registriert:
    25. Dezember 2012
    Beiträge:
    207
    Zustimmungen:
    19
    Punkte für Erfolge:
    18
    AW: VPN mit OpenVPN

    habe es deinstalliert und die vorhandenen ordner überschrieben.key-size auf 4096 angehoben und jetzt ist er seit einer halben stunde noch am erstellen.mal sehen wie lange das dauert.

    muss es genau so aussehen?


    vor diesem zb ist noch ein "ca" den habe ich stehen lassen.und dann sah es so aus ca ca ./easy-rsa2/keys/ca.crtcert ./easy-rsa2/keys/server.crtkey ./easy-rsa2/keys/server.key dh ./easy-rsa2/keys/dh1024.pem
     
    #8
  10. chrisbi
    Offline

    chrisbi Hacker

    Registriert:
    29. Januar 2008
    Beiträge:
    326
    Zustimmungen:
    195
    Punkte für Erfolge:
    43
    AW: VPN mit OpenVPN

    hast du keine absätze drin? ja, es muss genauso aussehen, wie oben in dem code teil gepostet von mir :). Ja, bei 4096 dauerts nunmal...

    schön untereinander

    So muss es aussehen...

    Code:
    # Any X509 key management system can be used.
    # OpenVPN can also use a PKCS #12 formatted key file
    # (see "pkcs12" directive in man page
    ca ./easy-rsa2/keys/ca.crt
    cert ./easy-rsa2/keys/server.crt
    key ./easy-rsa2/keys/server.key    # Diese Datei geheim halten.
    dh ./easy-rsa2/keys/dh1024.pem     # Diffie-Hellman-Parameter
    
     
    Zuletzt bearbeitet: 23. Januar 2013
    #9
  11. Debütant
    Offline

    Debütant Freak

    Registriert:
    25. Dezember 2012
    Beiträge:
    207
    Zustimmungen:
    19
    Punkte für Erfolge:
    18
    AW: VPN mit OpenVPN

    hatte es bis zum schluss durchgezogen aber am ende kam failed.wo ich das problem finden und beheben kann weiß ich leider nicht.
     
    #10
  12. chrisbi
    Offline

    chrisbi Hacker

    Registriert:
    29. Januar 2008
    Beiträge:
    326
    Zustimmungen:
    195
    Punkte für Erfolge:
    43
    AW: VPN mit OpenVPN

    Debütant, poste doch mal Deine server.conf. und wenn Du diese Datei hier rein postest, dann bitte mit CODE! Dann würde die Fehlersuche deutlich leichter fallen :)
     
    #11
  13. schnuffy1de
    Offline

    schnuffy1de Hacker

    Registriert:
    15. August 2007
    Beiträge:
    375
    Zustimmungen:
    40
    Punkte für Erfolge:
    28
    AW: VPN mit OpenVPN

    hi

    besten dank für das tut!!

    zwei fragen habe ich:
    nach dem einrichten des (open)vpn kann sich nur noch der user /client anmelden, der in "10. Hier wird der Key von den Usern erstellt... Der Vorgang kann sooft wie man will wiederholt werden wenn man mehrere User auf dem VPN Server connecten lassen möchte." eingetragen ist?

    wie bekomme ich das hin, wenn z.b. die fritzbox 192.168.2.1 hat. der "normale" lan dann 192.168.2.3-10 hat
    das der server NICHT in dem gleichen lan ist. z.b. 192.168.3.1
    geht das?
     
    #12
  14. chrisbi
    Offline

    chrisbi Hacker

    Registriert:
    29. Januar 2008
    Beiträge:
    326
    Zustimmungen:
    195
    Punkte für Erfolge:
    43
    AW: VPN mit OpenVPN

    schnuffy1de, kommt irgendeine Fehlermeldung beim Zertifikat erstellen?

    Zu Deiner zweiten Frage hab ich leider keine Antwort... vielleicht kann ja jemand anders helfen?!
     
    #13
  15. schnuffy1de
    Offline

    schnuffy1de Hacker

    Registriert:
    15. August 2007
    Beiträge:
    375
    Zustimmungen:
    40
    Punkte für Erfolge:
    28
    AW: VPN mit OpenVPN

    hi

    sorry, das kam wohl falsch rüber

    das sollten zwei fragen sein
    also
    1.) kann sich am server nur noch ein client anmelden, der den key hat?
    2.) und das andere mit der anderen lan...
     
    Zuletzt von einem Moderator bearbeitet: 26. März 2013
    #14
  16. minimi077
    Offline

    minimi077 Ist gelegentlich hier

    Registriert:
    20. März 2011
    Beiträge:
    52
    Zustimmungen:
    4
    Punkte für Erfolge:
    8
    AW: VPN mit OpenVPN

    Hallo zusammen,

    hat es jemand mit dem iPhone oder iPad zum laufen bekommen? Apple ist da ja ein wenig verschlossener! Es gibt im App Store die App. OpenVPN aber wie kann ich mir dafür eine .ovpn generieren?

    Vielen Dank!
     
    #15

Diese Seite empfehlen