1. Diese Seite verwendet Cookies. Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies. Weitere Informationen

HowTo VPS Server mit Openvpn und Oscam einrichten + einbinden lokaler Karten per newcamd

Dieses Thema im Forum "Root / Vserver Server Sicherheit" wurde erstellt von SR-88, 21. Oktober 2013.

  1. SR-88
    Offline

    SR-88 Freak

    Registriert:
    18. April 2012
    Beiträge:
    288
    Zustimmungen:
    67
    Punkte für Erfolge:
    28
    Aufgrund einiger Nachfragen, möchte ich hier kurz darstellen, wie ich meinen VPS mit Openvpn und Oscam bestückt habe.

    Als Betriebssystem habe ich auf meinem VPS Debain 7 installiert. Dann erstmal die obligatorische beschaffung der benötigten Pakete.

    Per Putty via SSH am VPS als root anmelden.

    # apt-get update
    # apt-get upgrade
    # apt-get install openvpn
    # cd /etc/openvpn
    # mkdir easy-rsa
    # cp -R /usr/share/doc/openvpn/examples/easy-rsa/2.0/* easy-rsa/

    Per Winscp o.ä per SFTP mit dem VPS verbinden in Verzeichnis /etc/openvpn/easy-rsa wechseln und Datei "vars" öffnen.

    ...
    #Diese Zeilen entsprechend anpassen
    export KEY_COUNTRY="US"
    export KEY_PROVINCE="CA"
    export KEY_CITY="SanFrancisco"
    export KEY_ORG="Fort-Funston"
    export KEY_EMAIL="mail@domain"
    export KEY_EMAIL=mail@domain

    Putty(VPS):

    # cd easy-rsa/
    # . ./vars
    # ./clean-all
    # ./build-ca
    # ./build-key-server server
    # ./build-dh
    # ./build-key clientname #Hier werden nun Clientzerfitifikate erstellt, ich würde empfehlen direkt auf "vorrat" Zertifikate zu erstellen (Handy, Hauptrechner, Receiver, Router usw.)


    Die Server.conf entsprechnend anpassen

    port 1194
    proto udp
    dev tun # tap wäre auch möglich, hab es bei mir jedoch als tun eingerichtet
    ca /etc/openvpn/easy-rsa/keys/ca.crt # generated keys
    cert /etc/openvpn/easy-rsa/keys/server.crt
    key /etc/openvpn/easy-rsa/keys/server.key # keep secret
    dh /etc/openvpn/easy-rsa/keys/dh1024.pem
    cipher AES-256-CBC
    server 10.9.8.0 255.255.255.0 # Das ist nun die Ip des virtuellen Netzwerkes,
    #diese ist natürlich beliebig zu wählen, nur drauf achten,
    #dass das Subnetz passt!
    ifconfig-pool-persist ipp.txt # Zeigt reale Ip´s sowie dazugehörige,
    #vergebene virtuelle Ip´s des Tunnels an
    keepalive 10 120
    persist-key
    persist-tun
    status log/openvpn-status.log
    verb 3 # verbose mode
    client-to-client # ganz praktisch da man Clienten so direkt
    #vom eigenen Rechner aus warten kann, Nachteil ist,
    #dass sich Clienten untereinander auch sehen können.
    #So schafft man evtl unwissentlich eine Backdoor.

    Nun noch die Clientzertifikate exportieren. Hab mir dazu den kompletten Ordner "keys" kopiert, zu finden unter /etc/openvpn/easy-rsa/

    Clientseitig:

    Je nach Clientbetriebssystem Debian in meinem Fall


    # apt-get update
    # apt-get upgrade
    # apt-get install openvpn

    Per Winscp auf den Clienten einloggen. In Ordner /etc/openvpn wechseln. Dort nun folgende Dateien einfügen:

    ca.crt
    clientname.crt
    clientname.csr
    clientname.key

    Nun müssen wir noch ein Client.conf erstellen, welches Openvpn "die Richtung" vorgibt.

    Client.conf

    client
    dev tun
    port 1194
    proto udp
    remote hier eure öffentliche VPS ip
    nobind
    ca /etc/openvpn/ca.crt
    cert /etc/openvpn/clientname.crt
    key /etc/openvpn/clientname.key
    cipher AES-256-CBC
    persist-key
    persist-tun
    verb 3

    Ip weiterleitung auf beiden Seiten aktivieren, dazu Winscp nutzen. Unter /etc/sysctl.conf die Zeile
    "#net.ipv4.ip_forward = 1" ändern zu "net.ipv4.ip_forward = 1"

    Iptables anpassen(Putty am VPS)
    #iptables -A FORWARD -i §ändern -o tun0 -m state --state ESTABLISHED,RELATED -j ACCEPT
    #iptables -A FORWARD -s 10.9.8.0/24 -o §ändern -j ACCEPT #falls IP angepasst, muss diese auch hier geändert werden
    #iptables -t nat -A POSTROUTING -s 10.9.8.0/24 -o §ändern -j MASQUERADE #und auch hier

    §ändern = #ifconfig wirft die Interfaces aus, da wird etwas stehen wie "venet0" o.ä. stehen, sowie die/das tunnelinterface/s


    # iptables-save > /etc/iptables.up.rules
    Openvpn auf beiden seiten per Putty starten
    # /etc/init.d/openvpn start
    Nun sollte es möglich sein, vom Client(ifconfig am Client zeigt dessen IP) zum Server(10.9.8.1) und andersrum zu pingen.

    Oscam am Server installieren

    Arbeite hier mit dem simplebuild script

    Dieser Link ist nur für Mitglieder!!! Jetzt kostenlos Registrieren ?

    Oscam kompilieren für "nativ". Oscam in gewählten Ordner verschieben, rechte setzen(rechtsklick->Eigenschaften->755).Oscam Startskript in /etc/init.d/ erstellen. Neue Datei oscam mit folgendem Inhalt

    #!/bin/bash
    ### BEGIN INIT INFO
    # Provides: oscam
    # Required-Start: $local_fs $network
    # Required-Stop: $local_fs $network
    # Default-Start: 2 3 4 5
    # Default-Stop: 0 1 6
    # Short-Description: Init script for oscam
    ### END INIT INFO




    . /lib/lsb/init-functions




    NAME=oscam
    DAEMON="/usr/local/bin/oscam" #individuell angepasst
    PIDFILE=/tmp/.oscam/oscam.pid
    DAEMON_OPTS="-b"




    start() {
    echo -n "Starting daemon: "$NAME
    start-stop-daemon --start --quiet --exec $DAEMON -- $DAEMON_OPTS
    echo "."
    }




    stop() {
    echo -n "Stopping daemon: "$NAME
    start-stop-daemon --stop --quiet --oknodo --pidfile $PIDFILE
    echo "."
    }




    restart(){
    stop
    sleep 3
    start
    }




    status(){
    pidof $DAEMON > /dev/null 2>&1
    RETVAL=$?
    if [ $RETVAL -ne 0 ]; then
    echo "$NAME is not running"
    exit $RETVAL
    else
    echo "$NAME is running"
    fi
    }




    reload(){
    kill -1 $(cat $PIDFILE)
    RETVAL=$?
    if [ $RETVAL -eq 0 ]; then
    echo "$NAME reloading successfully"
    else
    echo "$NAME reloading failed"
    exit $RETVAL
    fi
    }




    case "$1" in
    start)
    start
    ;;
    stop)
    stop
    ;;
    restart)
    restart
    ;;
    reload)
    reload
    ;;
    status)
    status
    ;;
    *)
    echo "Usage: $0 {start|stop|restart|reload|status}"
    exit 1
    esac

    Putty(VPS):

    # chmod +x /etc/init.d/oscam
    # update-rc.d oscam defaults
    # service oscam start

    Oscam durch vpn tunneln


    Habe meine lokalen Reader per newcamd eingebunden, so geht kein Hop verloren und finde das in diesem Fall auch ok. Für ne v13 sähe das so aus:

    Clientseite:

    oscam.conf

    ...
    [newcamd]
    port = Port@09C4:000000
    allowed = 127.0.0.1,0.0.0.0-255.255.255.255 # diese dann nach konfiguration
    #auf serverip beschränken
    key =
    keepalive = 1
    ...

    oscam.server

    [reader]
    label = skyv13
    protocol = mouse
    device = /dev/ttyUSB0
    caid = 09C4
    boxid = 12345678
    ins7e11 = 15
    detect = cd
    nagra_read = 1
    mhz = 600
    ident = 09C4:000000
    group = 1
    emmcache = 1,2,2
    ndsversion = 2

    oscam.user

    [account]
    user = user
    pwd = password
    caid = 09C4
    au = 1
    group = 1

    Serverseite:

    oscam.server

    [reader]
    label = Sky_09C4
    protocol = newcamd
    device = #Tunnel Ip des Clienten mit den lokalen Readern,Port
    key =
    user = user
    password = password
    inactivitytimeout = -1
    connectoninit = 1
    caid = 09C4
    group = 1
    emmcache = 1,1,2
    cccreshare = 1



    Jetzt Oscam wie gewohnt einrichten. Hoffe das hilft ein wenig weiter, hab teilweise anderen Anleitungen zusammengefügt und angepasst.

    Kleines Update

    Da ich desöfteren gefragt wurde, wie sich die Firewall von Meister85 einbinden lässt, habe ich mich mal etwas damit beschäftigt und nun eine config erstellt die auf dem System laufen sollte.

    Code:
    #!/bin/sh
    ### BEGIN INIT INFO
    # Provides:          custom firewall
    # Required-Start:    $remote_fs $syslog $network
    # Required-Stop:     $remote_fs $syslog $network
    # Default-Start:     2 3 4 5
    # Default-Stop:      0 1 6
    # Short-Description: firewall initscript
    # Description:       Custom Firewall
    ### END INIT INFO
    
    IPT=/sbin/iptables
    
    case "$1" in
    start)
    
    # bestehende Verbindungen
    $IPT -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
    # Über Loopback alles erlauben
    $IPT -I INPUT -i lo -j ACCEPT
    $IPT -I OUTPUT -o lo -j ACCEPT
    # vpn
    $IPT -A INPUT -i eth0 -p udp --dport 1194 -j ACCEPT #Port aus Server.conf(udp oder tcp beachten)
    # SSH
    $IPT -A INPUT -i eth0 -p tcp --dport 22 -j ACCEPT
    # OSCAM WEB
    $IPT -A INPUT -i eth0 -p tcp --dport 16002 -j ACCEPT
    # CCCAM
    $IPT -A INPUT -i eth0 -p tcp --dport 12000 -j ACCEPT
    # PING SPERRE
    $IPT -A INPUT -i eth0 -j REJECT
    # SICHERHEIT
    $IPT -A INPUT -p icmp -m icmp --icmp-type 8 -j DROP
    $IPT -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT
    $IPT -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
    $IPT -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s
    echo "Firewall wurde aktiviert, der Server ist geschützt"
    exit 0
    ;;
    
    stop)
    $IPT -F INPUT
    echo "Achtung, Firewall wurde gestoppt, der Server ist ungeschützt"
    exit 0
    ;;
    
    stop)
    $IPT -F INPUT
    echo "Achtung, Firewall wurde gestoppt, der Server ist ungeschützt"
    exit 0
    ;;
    
    restart|reload|force-reload)
    $0 stop
    sleep 1
    $0 start
    exit 0
    ;;
    
    *)
    echo "Usage: $0 {start|stop|restart|reload|force-reload}"
    exit 1
    ;;
    esac
    

    Den Rest bitte aus dem Howto von Meister85 übernehmen

    Dieser Link ist nur für Mitglieder!!! Jetzt kostenlos Registrieren ?


    Zur weiteren Steigerung der Sicherheit empfiehlt es sich, wie vom Chef beschrieben die Standardports zu ändern(dieses natürlich dann in dem Firewallskript entsprechend anpassen, sonst sperrt ihr euch per ssh aus!)

    Dieser Link ist nur für Mitglieder!!! Jetzt kostenlos Registrieren ?


    Gruß
    SR-88
     
    Zuletzt bearbeitet: 12. Mai 2014
    #1
  2. phantom

    Nervigen User Advertisement

  3. mrb
    Offline

    mrb Ist oft hier

    Registriert:
    24. Mai 2011
    Beiträge:
    102
    Zustimmungen:
    4
    Punkte für Erfolge:
    18
    AW: VPS Server mit Openvpn und Oscam einrichten + einbinden lokaler Karten per newcam

    Hi..
    was für einen VPS Server Anbieter kannst du empfehlen?
     
    #2
  4. SR-88
    Offline

    SR-88 Freak

    Registriert:
    18. April 2012
    Beiträge:
    288
    Zustimmungen:
    67
    Punkte für Erfolge:
    28
    AW: VPS Server mit Openvpn und Oscam einrichten + einbinden lokaler Karten per newcam

    Hast du vor cachex zu betreiben?
    Falls ja google mal nach "lowendbox" und dann auf der Seite nach "hosthatch" die bieten 5TB traffic/Monat, openvz virtualisierung, 20GB SSD und ein Xeon Prozessor.
    Vorteil bei dem Xeon ist der AES-NI Befehlssatz. Dadurch lässt sich openvpn mit AES-256-CBC und 100MBit durchsatz mit einer CPU-Last von ein paar Prozent durchführen!

    Gesendet von meinem GT-I9000 mit Tapatalk 2
     
    #3
  5. inkoknito
    Offline

    inkoknito Ist gelegentlich hier

    Registriert:
    3. August 2011
    Beiträge:
    88
    Zustimmungen:
    21
    Punkte für Erfolge:
    8
    AW: VPS Server mit Openvpn und Oscam einrichten + einbinden lokaler Karten per newcam

    Hallo,

    erstmal danke für dieses How-to.
    Komme bei dem Schritt "Die Server.conf entsprechnend anpassen" nicht weiter. welche Server.conf?? Muss ich diese auch erstellen wie später die Client.conf?
    Für hilfe wäre ich sehr dankbar!!:emoticon-0105-wink:
     
    #4
  6. SR-88
    Offline

    SR-88 Freak

    Registriert:
    18. April 2012
    Beiträge:
    288
    Zustimmungen:
    67
    Punkte für Erfolge:
    28
    AW: VPS Server mit Openvpn und Oscam einrichten + einbinden lokaler Karten per newcam

    Hey,

    ja genau die musst du erstellen, das ist praktisch der "Fahrplan" für das System. Du sagst dem System "starte meine Openvpn Verbindung, die entsprechenden "Verlinkungen" dazu findest du in der Server.conf". Die Server.conf bestimmt dann den Port, das Protokoll usw und sie enthält den wegweiser zu bspw. dem ca.key, ca.crt . Den selben "Fahrplan" baust du dann für jeden Server oder Client, der mal Openvpn ausführen soll. Beim ausführen von #service start openvpn
    Wird automatisch die *.conf in /etc/openvpn gestartet. Solltest du dort mehrere haben um bspw. die Clienten vom Server virtuell zu trennen werden alle *.conf gestartet.

    Gruß
    SR-88

    Gesendet von meinem HTC One mit Tapatalk
     
    #5
    inkoknito gefällt das.
  7. inkoknito
    Offline

    inkoknito Ist gelegentlich hier

    Registriert:
    3. August 2011
    Beiträge:
    88
    Zustimmungen:
    21
    Punkte für Erfolge:
    8
    AW: VPS Server mit Openvpn und Oscam einrichten + einbinden lokaler Karten per newcam

    Top danke für die schnelle Antwort, wie ich das verstehe kommt die server.conf in /etc/openvpn?
     
    Zuletzt bearbeitet: 29. Dezember 2013
    #6
  8. SR-88
    Offline

    SR-88 Freak

    Registriert:
    18. April 2012
    Beiträge:
    288
    Zustimmungen:
    67
    Punkte für Erfolge:
    28
    AW: VPS Server mit Openvpn und Oscam einrichten + einbinden lokaler Karten per newcam

    Genau dahin kommt die;-)
     
    #7
    inkoknito gefällt das.
  9. inkoknito
    Offline

    inkoknito Ist gelegentlich hier

    Registriert:
    3. August 2011
    Beiträge:
    88
    Zustimmungen:
    21
    Punkte für Erfolge:
    8
    AW: VPS Server mit Openvpn und Oscam einrichten + einbinden lokaler Karten per newcam

    Bekomme bei dem letzten Befehl auf dem VPS folgende Meldung

    iptables -t nat -A POSTROUTING -s 10.9.8.0/24 -o §ändern -j MASQUERADE
    das wäre der richtige Befehl? ausser der IP
    iptables: No chain/target/match by that name.
     
    #8
  10. SR-88
    Offline

    SR-88 Freak

    Registriert:
    18. April 2012
    Beiträge:
    288
    Zustimmungen:
    67
    Punkte für Erfolge:
    28
    AW: VPS Server mit Openvpn und Oscam einrichten + einbinden lokaler Karten per newcam

    Poste mal bitte die Ausgabe von #ifconfig
     
    #9
  11. inkoknito
    Offline

    inkoknito Ist gelegentlich hier

    Registriert:
    3. August 2011
    Beiträge:
    88
    Zustimmungen:
    21
    Punkte für Erfolge:
    8
    AW: VPS Server mit Openvpn und Oscam einrichten + einbinden lokaler Karten per newcam

    OK, gerne hänge nämlich fest

     
    #10
  12. SR-88
    Offline

    SR-88 Freak

    Registriert:
    18. April 2012
    Beiträge:
    288
    Zustimmungen:
    67
    Punkte für Erfolge:
    28
    AW: VPS Server mit Openvpn und Oscam einrichten + einbinden lokaler Karten per newcam

    #iptables -A FORWARD -i venet0:0 -o tun0 -m state --state ESTABLISHED,RELATED -j ACCEPT #iptables -A FORWARD -s 10.9.8.0/24 -o venet0:0 -j ACCEPT #iptables -t nat -A POSTROUTING -s 10.9.8.0/24 -o venet0:0 -j MASQUERADE probier es mal so
     
    #11
    inkoknito gefällt das.
  13. inkoknito
    Offline

    inkoknito Ist gelegentlich hier

    Registriert:
    3. August 2011
    Beiträge:
    88
    Zustimmungen:
    21
    Punkte für Erfolge:
    8
    AW: VPS Server mit Openvpn und Oscam einrichten + einbinden lokaler Karten per newcam

    iptables: No chain/target/match by that name.

    Aber nur beim letzten Befehl
     
    #12
  14. SR-88
    Offline

    SR-88 Freak

    Registriert:
    18. April 2012
    Beiträge:
    288
    Zustimmungen:
    67
    Punkte für Erfolge:
    28
    AW: VPS Server mit Openvpn und Oscam einrichten + einbinden lokaler Karten per newcam

    Kannst du im Controlpanel vom VPS ein tun Adapter aktivieren?


    Code:
    #iptables -A FORWARD -i venet0:0 -o tun0 -m state --state  ESTABLISHED,RELATED -j ACCEPT 
    #iptables -A FORWARD -s 10.9.8.0/24 -o  venet0:0 -j ACCEPT 
    #iptables -t nat -A POSTROUTING -s 10.9.8.0/24 -o  venet0:0 -j MASQUERADE
    
    Müsste eigentlch korrekt sein. Achso wichtig ist noch, dass openvpn bereits gestartet wurde wenn du die iptables anpasst. Bei gestartetem Openvpn müsste sich bei
    #ifconfig
    dann noch ein tun interface anfügen
     
    #13
  15. Rockerking
    Offline

    Rockerking Freak

    Registriert:
    13. Juni 2010
    Beiträge:
    289
    Zustimmungen:
    14
    Punkte für Erfolge:
    18
    AW: VPS Server mit Openvpn und Oscam einrichten + einbinden lokaler Karten per newcam

    hallo habe folgendes problem bei dem befehl . ./vars
    Code:
    /etc/openvpn/easy-rsa/whichopensslcnf: 6: /etc/openvpn/easy-rsa/whichopensslcnf: openssl: not found
    /etc/openvpn/easy-rsa/whichopensslcnf: 8: /etc/openvpn/easy-rsa/whichopensslcnf: openssl: not found
    /etc/openvpn/easy-rsa/whichopensslcnf: 10: /etc/openvpn/easy-rsa/whichopensslcnf: openssl: not found
    NOTE: If you run ./clean-all, I will be doing a rm -rf on /etc/openvpn/easy-rsa/keys
    
    
    openssl ist aber vorhanden
     
    #14
  16. SR-88
    Offline

    SR-88 Freak

    Registriert:
    18. April 2012
    Beiträge:
    288
    Zustimmungen:
    67
    Punkte für Erfolge:
    28
    AW: VPS Server mit Openvpn und Oscam einrichten + einbinden lokaler Karten per newcam

    Was passiert beim Versuch openssl separat zu installieren?

    Gesendet von meinem HTC One mit Tapatalk
     
    #15

Diese Seite empfehlen