Anleitung: VPN Einrichtung auf der Dreambox und VPN only zulassen

[Ulpenzulp]

Hallo zusammen,

hier ein kurzes Tutorial wie ihr 1. auf der Dreambox VPN einrichtet und 2. den Zugriff über euren Router einschränkt, dass nur auf das Internet zugegriffen werden kann, wenn die VPN Verbindung steht.

1. VPN Einrichten:

Zusammenfassend für openvpn unter einer Dreambox 800se mit dem Newnigma2 Image:


1.1. openvpn über Newnigma2 Services installieren (enigma2-plugin-extensions-newnigma2-vpn)
1.1.1 Box neustarten


1.2. Konfigurationsdateien in das Verzeichnis von /etc/openvpn kopieren (Konfig Dateien von VPN Anbieter beziehen)
1.2.1 Es werden benötigt:
- ca.crt
- crl.pem
- openvpn.conf
- login.conf (optional)


1.3. Konfigurationsdatei (*.ovpn) anpassen (in .conf umbenennen) z.B. wie folgt:
1.4. ggf. noch eine .conf Datei mit dem Username und Passwort anlegen namens login.conf

client
dev tun
proto udp
remote EuerVPNServer Port(im folgenden bei der Einschränkung der Dreambox wichtig: in diesem Fall: 1194)
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
tls-client
remote-cert-tls server
auth-user-pass login.conf
comp-lzo
verb 1
reneg-sec 0
crl-verify crl.pem

1.5. Den change mode der Zertifikate und der Konfig-Datei auf 755 setzen

1.6. Box neustarten

1.7. Auf der Box --> Blaue Taste --> System-Werkzeuge --> OpenVPN --> Autostart an --> Mit gelber Taste starten --> Mit grüner Taste sichern --> Mit roter Taste verlassen

1.8. Überprüfen ob die IP erfolgreich geändert wurde (Telnet):

wget

Sie müssen registriert sein, um Links zu sehen.

-q -O - |
grep -Eo '\<[[:digit:]]{1,3}(\.[[:digit:]]{1,3}){3}\>'




2. Internet-Zugriff über den Router beschränken, sodass nur mit bestehender VPN Verbindung auf das Internet zugegriffen werden kann (am Beispiel Fritz!Box):

2.1. Fritz!Box WebIf aufrufen (

Sie müssen registriert sein, um Links zu sehen.

) und einloggen (sollte natürlich passwortgeschützt sein).

2.2. Internet --> Filter --> Listen --> Netzwerkanwendung hinzufügen --> Namen vergeben --> alle Protokolle (TCP/UDP) bis auf entsprechenden udp Port (je nach VPN Konfiguration --> siehe Code nach 1.4.) sperren:

Du musst angemeldet sein, um Bilder zu sehen.

2.3. --> Mit OK bestätigen --> Zugangsprofile --> Neues Zugangsprofil --> Gesperrte Netzwerkanwendungen --> Neu erstellte Liste hinzufügen

Du musst angemeldet sein, um Bilder zu sehen.

Du musst angemeldet sein, um Bilder zu sehen.

2.4. --> Kindersicherung --> Gerät auswählen, welches die Beschränkung erhalten soll --> Übernehmen

Du musst angemeldet sein, um Bilder zu sehen.

2.5. --> FritzBox neustarten (System --> Sicherung --> Neustart)

Du musst angemeldet sein, um Bilder zu sehen.

Ab jetzt kann die Dreambox nur noch über den VPN Server ins Netz. :good:



Troubleshooting:

Dreambox bootet nicht mehr:

Solltet ihr ein Update (Newnigma2 Services --> Softwareverwaltung --> Software Update) machen (oder auch nur Plugins aktualisieren/hinzufügen), wird die Dreambox wahrscheinlich nicht mehr starten.
Das liegt daran, dass beim Neustart weitere Dateien heruntergeladen werden, die VPN Verbindung noch nicht aufgebaut ist und die FritzBox folglich den Internetzugriff beschränkt.
Ihr müsst dann der Dreambox über die FritzBox wieder uneingeschränkt Internet zur Verfügung stellen bis die Dreambox gebootet hat (Internet --> Filter --> Kindersicherung und dabei der Dreambox wieder "Standard" zuweisen und übernehmen).
Dann über Telnet:
opkg update
reboot

Fertig, jetzt kann der Zugriff über die FritzBox auch wieder eingeschränkt werden (nach erfolgtem Reboot).


Zugriff über dreamdroid (oder andere Remote App) funktioniert nicht mehr:

Das passiert wenn ihr versucht über das Internet - und eine VPN Verbindung auf eure Fritz!Box - auf die Dreambox zugreifen wollt. Logisch, denn ihr habt in der Fritz!Box alle eingehenden und ausgehenden Ports (bis auf den einen für die VPN Verbindung) gesperrt.
Hier müsst ihr als Quellport TCP Port 80 zulassen. Danach sollte es wieder funktionieren. Die Fritz!Box muss nicht neugestartet werden.

Spoiler

Du musst angemeldet sein, um Bilder zu sehen.

 

[TeleTobi]

Hallo,

mein VPN Anbieter hat die certs in die konfig integriert. D.h ich habe nur eine einzige .ovpn Datei.
Wenn Euer Anbieter die gleiche Einstellung hat, geht einfach wie folgt vor.

1.) Via Panel das VPN Plugin installieren:
enigma2-plugin-extensions-newnigma2-vpn

2.) Das Plugin einrichten, autostart - yes - Dreambox neustarten

3.) die .ovpn Datei via FTP unter "/etc/openvpn" speichern - Rechte auf 755 - Wichtig!! die Datei jetzt umbennen von .ovpn zu .conf

4.) OVPN Plugin auf der Dreambox via blaue Taste neustarten - Es sollte ein grünes Symbol erscheinen ihr seit verbunden.


==> getestet mit dem Anbieter ovpn.to und einer Dreambox 800se


Wenn das Plugin nicht startet.
Verbindet Euch via Telnet (Putty) auf Eure Box

1.) schaut ob das ovpn Plugin installiert ist in dem ihr ovpn --help eingbit - es müsste jetzt sämltiche optionen angezeigt werden
2.) startet ovpn via config file d.h. gebt folgendes in Telnet ein: ovpn --config /etc/openvpn/dateiname.conf

Die Ausgabe im Telnet sollte Euch weitere Hinweise geben, warum opvn nicht startet. Kommtiert einfach die Zeilen im Konfig file aus und testet so lange bis es geht

 

[schlangedigger]

Hallo zusammen,
ich habe alle Schritte gemacht.. leider ohne erfolg.
Ich habe meine VPN von vpn.vpntunnel.com.
Ich verwende eine Dreambox 520 HD.

Die "ovpn" kann ich mir nach Wahl runterladen (VPN TCP443,VPN TCP1194, VPN UDP443, VPN UDP1194)

Hier die OVPN Auflösung:

Spoiler

client
dev tun
proto udp
; Cert
ns-cert-type server
cipher BF-CBC
;Host
resolv-retry infinite
;auth
auth-user-pass
keepalive 10 30
sndbuf 0
rcvbuf 0

remote se-vpn.vpntunnel.com 1194

persist-key
persist-tun
persist-remote-ip
nobind
comp-lzo
verb 2
<ca>

-----BEGIN CERTIFICATE-----

usw....
A4ygAwIBAOd5RMA3DQEBBQUAMIGSMQswCQYD
LsIO/T4+Lj9xn5EfHy0t0ct4eO9QX3DC3PT4vXBLeK02J43g==

-----END CERTIFICATE-----

</ca>
--------------------------------------------------------------------------------------------------------

Zur Ansicht habe ich die Darstellung der DB angehängt.
Würde mich über über eure Hilfe freuen.

Spoiler

Du musst Regestriert sein, um das angehängte Bild zusehen.

 

[Ulpenzulp]

Versuche mal die .ovpn in .conf umzubenennen (openvpn.conf), falls noch nicht geschehen.
Wo liegt deine login.conf bzw. wo sind deine Zugangsdaten hinterlegt?
So wie du es postest hast du nur eine Datei? An dem Zertifikat kannst du eh nichts ändern, da das von deinem Anbieter kommt, das ist uninteressant.

Wichtig ist, dass die openvpn.conf so aufgebaut ist:

client
dev tun
proto udp
remote EuerVPNServer Port(im folgenden bei der Einschränkung der Dreambox wichtig: in diesem Fall: 1194)
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
tls-client
remote-cert-tls server
auth-user-pass login.conf
comp-lzo
verb 1
reneg-sec 0
crl-verify crl.pem


Das sieht mir bei deiner Datei nicht so aus... überprüfe das nochmal.
An der Box habe ich keinerlei Änderungen der OpenVPN Einstellungen gemacht (außer Autostart auf AN).

 

[schlangedigger]

Danke für die schnelle Antwort.
Die Daten sehen wirklich unterschiedlich aus.

Ich muss ja noch den User und Passwort als TXT anlegen.
Wie soll ich die TXT benennen ?
passwort.txt / in der TXt dann das Passwort eintragen ?
client.txt / in der TXt dann den Namen eintragen ?

Spoiler

client
dev tun
proto udp
; Cert
ns-cert-type server
cipher BF-CBC
;Host
resolv-retry infinite
;auth
auth-user-pass
keepalive 10 30
sndbuf 0
rcvbuf 0

remote se-vpn.vpntunnel.com 1194
persist-key
persist-tun
persist-remote-ip
nobind
comp-lzo
verb 2
<ca>


----------------------------------
client
dev tun
proto udp
remote EuerVPNServer Port(im folgenden bei der Einschränkung der Dreambox wichtig: in diesem Fall: 1194)
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
tls-client
remote-cert-tls server
auth-user-pass login.conf
comp-lzo
verb 1
reneg-sec 0
crl-verify crl.pem

Hier mein Ordner:

Spoiler

Du musst Regestriert sein, um das angehängte Bild zusehen.

 

[Ulpenzulp]

in /etc gibt's nen Ordner openvpn
Dort kommen 4 Dateien rein. ca.crt und crl.pem (wie vom Anbieter erhalten) sowie die openvpn.conf (siehe letzen Post von mir) und eine login.conf (dort schreibst du in die erste Zeile deinen Benutzernamen und in die 2. Zeile das Passwort). In der openvpn.conf verlinkst du auf diese login.conf (auth-user-pass login.conf).
Im openvpn Ordner keine Unterordner, nur die 4 Dateien!
Wenn du einen anderen Serverstandort nehmen willst musst du das in der openvpn.conf ändern.

 

[schlangedigger]

Danke für die Hilfe !
Bin leider erst jetzt dazu gekommen es zu testen...

Bekomme es nicht hin.
Habe alles aus dem Orner "openvpn" geworfen.
ca.crt und crl.pem habe ich nicht vom Anbieter bekommen, nur die "openvpn" Datei.

Wenn ich die z.B. in meine Asus Router lade funktioniert vpn sofort.
Bin eigentlich nicht untalentiert, aber manchmal sieht man einfach den Baum nicht :neutral:.

Aber nochmal vielen Dank für die Hilfe

Wenn du aber noch einen letzten Versuch starten willst... doppelt Danke !

 

[remz]

Wenn du dir eine Datei (login.conf) mit deinen Zugangsdaten angelegt und du diese Datei (login.conf) bei dir dann auf der Box unter /etc/openvpn kopiert hast, dann trage es mal so in deiner openvpn.conf ein:

auth-user-pass /etc/openvpn/login.conf

 

[asus88]

Moin Zusammen,

ich bekomme es auf dem et4000 einfach nicht hin mit openvpn. ich möchte mich zu meinem dienst verbinden und es kommt immer diese Fehlermeldung:

Starting openvpn: FAILED-> login openvpn.

Das wars...

Openvpn.conf vom Anbieter:

remote *.*.*.com 1196 udp
remote *.*.*.*1196 udp
fragment 1300
explicit-exit-notify 3
auth-user-pass user_pass.txt
up 'update-resolv-conf'
down 'update-resolv-conf'
dev tun
server-poll-timeout 20
client
nobind
resolv-retry infinite
auth-retry nointeract
persist-key
persist-tun
cipher AES-256-CBC
auth RSA-SHA512
mute-replay-warnings
comp-lzo
verb 3
mute 20
ns-cert-type server
route-method exe
route-delay 2
script-security 3
reneg-sec 0

hab es auch schon mit eurer conf von hier versucht , aber geht auch nicht :\

 

[Osprey]

Wo sind deine Zertifikate? In deiner Client Config steht nichts davon. Außerdem 2 x remote?

 

[asus88]

ja das steht so in der vom Anbieter erhaltenen Config. Einmal steht der Name darin und einmal die IP. Das Zertifikat befindet sich direkt in der openvpn.conf , allerdings habe ich das auch schon manuell runtergeladen zumindest die ca.crt. Die crl.pem bekomme ich nirgentwo? Woher bekommt man die?

Vielen Dank

 

[Osprey]

Wieviele Dateien hast du von deinem Anbieter bekommen?

 

[asus88]

1. opvn Datei
2. ca.crt
3. user-pass.txt
4. update-resolv-conf

 

[asus88]

Bekomme jetzt das hier:


update-resolv-conf: line 26: syntax error: bad substitution
Fri Feb 24 10:55:52 2017 WARNING: Failed running command (--up/--down): external program exited with error status: 2
Fri Feb 24 10:55:52 2017 Exiting due to fatal error

 

[Osprey]

Die .ovpn umbenennen in .conf und alles nach /etc/openvpn auf den Receiver schieben und nochmal testen.