OpenVPN Server auf Pogoplug

[Osprey]

Hi Rolu,

bin seit einiger Zeit von OpenVPN auf Wireguard auf meinen Servern umgestiegen und finde es richtig gut!
Hier ein Script das auch auf dem Pi mit Buster zu installieren geht : Eigenen VPN Server mit Wireguard einrichten

 

[rolu2]

OpenVPN auf Win 10, Android-Handy und enigma2 kann weiter genutzt werden?

PublicKey = ******
PresharedKey = *****

werden automatisch generriert?

Edit:

client1
client2
client3
client4
client5

kann geändert werden in dem script?

Edit2:

ein Eintrag ist die

rc.local

muss auch rein?

 

[Osprey]

Ja Configs werden automatisch generiert. Wireguard App gibt es auch für Windows und Smartphones

 

[RuckZuck]

Ich würde PiVPN bevorzugen (openvpn oder wireguard) und ist easy zu handhaben.
Alternativ und mein derzeitiger Favorit:
TincVPN. Das ist easy einzurichten, sicher und ist ein MeshedVPN. Bin ich drauf gekommen, da ja diverse andere MeshedVPNs nicht weiter supported werden.

Sie müssen registriert sein, um Links zu sehen.

mal ein Link zu einem guten HowTo. (Wenn ungewünscht, Link bitte entfernen).

 

[rolu2]

So, habe jetzt openVPN drauf

Hier mal meine Vorgehensweise

System: Raspberry Pi4 mit Debian 10(buster)


Anleitung:

- IP des Debian Rechner : 192.168.1.132
- UDP Port des VPN : 4624 # wir benutzen NICHT die Standartports !!

Meldet euch auf euerem Router an und richtet ein Portforwarding ein.
Port UDP 4624 nach 192.168.1.132 4624 UDP


1. openvpn- Paket installieren

apt install openvpn

2. wir wechseln in das Verzeichniss /etc/openvpn mit

cd /etc/openvpn/

3. wir geben folgenes ein, damit openVPN automatisch starten nach einem reboot

sed -i 's/#AUTOSTART="all"/AUTOSTART="all"/' /etc/default/openvpn

4. openVPN Dienst aktivieren mit

systemctl enable openvpn@.service

5. pki Initialisieren mit

/usr/share/easy-rsa/easyrsa clean-all
sleep 1
/usr/share/easy-rsa/easyrsa init-pki

Hinnweiss

 WARNING!!!

You are about to remove the EASYRSA_PKI at: /etc/openvpn/pki
and initialize a fresh PKI here.

Type the word 'yes' to continue, or any other input to abort.
  Confirm removal: yes

6. Vorbereitung zum erstellen des CA-Zertifikatdatei in /etc/openvpn/pki/ca.crt

 /usr/share/easy-rsa/easyrsa build-ca nopass

7. Zertifikat und Schlüssel für Server generieren mit

  /usr/share/easy-rsa/easyrsa build-server-full server nopass

8. Wir generrieren Diffie Hellman- Parameter in /etc/openvpn/pki/dh.pem

  /usr/share/easy-rsa/easyrsa gen-dh

9. Wir erstellen der Zertifikate für den ersten Client in / etc / openvpn / pki / private / und / etc / openvpn / pki

  /usr/share/easy-rsa/easyrsa build-client-full client01 nopass

10. Man kann auch gleich 10 Clientzertifikate auf einmal erstellen mit

 for i in $(seq -w 1 10);do /usr/share/easy-rsa/easyrsa build-client-full client"$i" nopass; done

11. Jetzt erstellen wir die openvpn.conf mit dem Nano Editor

 nano /etc/openvpn/server.conf

Inhalt

port 4624
proto udp
dev tun

ca /etc/openvpn/pki/ca.crt # generated keys
cert /etc/openvpn/pki/issued/server.crt
key /etc/openvpn/pki/private/server.key # keep secret
dh /etc/openvpn/pki/dh.pem

server 10.50.8.0 255.255.255.0 # internal tun0 connection IP
ifconfig-pool-persist ipp.txt

keepalive 10 120

comp-lzo # Compression - must be turned on at both end
persist-key
persist-tun

push "dhcp-option DNS 192.168.1.1" # P vom Router
push "dhcp-option DOMAIN std.local"
push "route 192.168.0.0 255.255.255.0"

push "redirect-gateway def1 bypass-dhcp"

status /var/log/openvpn/openvpn-status.log

log-append /var/log/openvpn/openvpn

verb 3 # verbose mode

speichern mit Strg+o und Strg+x

12. openVPN wird nun rebootet mit

systemctl restart openvpn.service

13. iptable einstellen. Hier muss kontrolliert werden welches euer Netztwerk ist, mit

ip addr sh

Ergebniss

 1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host
       valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP group default qlen 1000
    link/ether e4:5f:01:1d:0b:6f brd ff:ff:ff:ff:ff:ff
    inet 192.168.1.132/24 brd 192.168.1.255 scope global dynamic noprefixroute eth0
       valid_lft 858050sec preferred_lft 750050sec
    inet6 fe80::3465:1473:74f6:4be8/64 scope link
       valid_lft forever preferred_lft forever
3: wlan0: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc pfifo_fast state DOWN group default qlen 1000
    link/ether e4:5f:01:1d:0b:70 brd ff:ff:ff:ff:ff:ff
4: tun0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN group default qlen 100
    link/none
    inet 10.50.8.1 peer 10.50.8.2/32 scope global tun0
       valid_lft forever preferred_lft forever
    inet6 fe80::846:5860:a37d:1fe8/64 scope link stable-privacy
       valid_lft forever preferred_lft forever

14. jetzt stellen wir iptable auf die richtige Netzwerkschnittstelle ein, um später auf sämtlich Geräte im Netzwerk drauf zu kommen mit

iptables -t nat -A POSTROUTING -s 10.50.8.0/24 -o eth0 -j MASQUERADE

15. Jetzt öffnnen wir mit dem Nano Editor

nano/etc/sysctl.conf

dort suchen wir

 #net.ipv4.ip_forward=1

und entferne die

 #

Wenn es nicht vorhanden ist schreiben wir es rein

 net.ipv4.ip_forward=1

danach Strg+o und Strg+x

und ein

 sysctl -p /etc/sysctl.conf

16. Für den Clienten benötigen wir nur die

             ca.crt : /etc/openvpn/pki/ca.crt

            client01.crt : /etc/openvpn/pki/issued/client01.crt

            client01.key : /etc/openvpn/pki/private/client01.key

17. Jetzt brauchen wir noch die Client Config. Dazu öffnen wir einen Linux Editor Bsp. PSpad und erstellen die client.ovpn Datei

client

dev tun

proto udp

remote OPENVPN_IP 4624

resolv-retry infinite
nobind
persist-key
persist-tun

ca ca.crt
cert client01.crt
key client01.key

comp-lzo

verb 3

Quelle

 https://shebangthedolphins.net/vpn_openvpn_buster.html

 

[rolu2]

Ich habe da aber noch ein Problem. Ich komme nicht auf alle Geräte die Im Netzwerk sind.

OSCam was da auch drauf läuft z.B auch nicht

Hat da jemand eine Idee?

Ohne den Eintrag

push "redirect-gateway def1 bypass-dhcp"

komme ich auf kein Gerät im Netzwerk

 

[Osprey]

11. Jetzt erstellen wir die openvpn.conf mit dem Nano Editor

Schreibe da noch die Option

client-to-client

 

[rolu2]

Das hatte ich schon probiert. kein Erfolg

Mit

server 10.8.0.0 255.255.255.0

komm ich schon mal auf das Webif von oscam. Obwohl das für mich auch unlogisch ist


Edit:

Ohne den Eintrag

push "redirect-gateway def1 bypass-dhcp"

kommt man nirgends drauf. Das ist in der verlinkten Anleitung auch nicht drin

 

[Osprey]

Aus welchem Netz möchtest du den erreichen?

 

[rolu2]

Getestet habe ich das mit meinem Handy im D2- Netz

Über

debian 8.0 (jessie)

geht es nach deiner Anleitung

 

[Osprey]

Zuhause müsstest du dann eine feste Route im Router eintragen damit du über den Pi alle Geräte erreichst. Bsp. Fritzbox
Netzwerk - Netzwerkeinstellungen - statische Routingtabelle - ipv4 Routen
Das openvpn Netzwerk bei mir 10.208.205.0 und die IP des Pi bei mir 192.168.1.44 eintragen.

 

[rolu2]

Die

Anleitung ab Debian 8 Jessie

funktioniert auch bei

Debian 9 Stretch

getestet mit

Distributionsname     Icon Raspbian GNU/Linux 9.13 (stretch)

 

[rolu2]

So, habe jetzt openVPN drauf

Hier mal meine Vorgehensweise

System: Raspberry Pi4 mit Debian 10(buster)


Anleitung:

- IP des Debian Rechner : 192.168.1.132
- UDP Port des VPN : 4624 # wir benutzen NICHT die Standartports !!

Meldet euch auf euerem Router an und richtet ein Portforwarding ein.
Port UDP 4624 nach 192.168.1.132 4624 UDP


1. openvpn- Paket installieren

apt install openvpn

2. wir wechseln in das Verzeichniss /etc/openvpn mit

cd /etc/openvpn/

3. wir geben folgenes ein, damit openVPN automatisch starten nach einem reboot

sed -i 's/#AUTOSTART="all"/AUTOSTART="all"/' /etc/default/openvpn

4. openVPN Dienst aktivieren mit

systemctl enable openvpn@.service

5. pki Initialisieren mit

/usr/share/easy-rsa/easyrsa clean-all
sleep 1
/usr/share/easy-rsa/easyrsa init-pki

Hinnweiss

 WARNING!!!

You are about to remove the EASYRSA_PKI at: /etc/openvpn/pki
and initialize a fresh PKI here.

Type the word 'yes' to continue, or any other input to abort.
  Confirm removal: yes

6. Vorbereitung zum erstellen des CA-Zertifikatdatei in /etc/openvpn/pki/ca.crt

 /usr/share/easy-rsa/easyrsa build-ca nopass

7. Zertifikat und Schlüssel für Server generieren mit

  /usr/share/easy-rsa/easyrsa build-server-full server nopass

8. Wir generrieren Diffie Hellman- Parameter in /etc/openvpn/pki/dh.pem

  /usr/share/easy-rsa/easyrsa gen-dh

9. Wir erstellen der Zertifikate für den ersten Client in / etc / openvpn / pki / private / und / etc / openvpn / pki

  /usr/share/easy-rsa/easyrsa build-client-full client01 nopass

10. Man kann auch gleich 10 Clientzertifikate auf einmal erstellen mit

 for i in $(seq -w 1 10);do /usr/share/easy-rsa/easyrsa build-client-full client"$i" nopass; done

11. Jetzt erstellen wir die openvpn.conf mit dem Nano Editor

 nano /etc/openvpn/server.conf

Inhalt

port 4624
proto udp
dev tun

ca /etc/openvpn/pki/ca.crt # generated keys
cert /etc/openvpn/pki/issued/server.crt
key /etc/openvpn/pki/private/server.key # keep secret
dh /etc/openvpn/pki/dh.pem

server 10.50.8.0 255.255.255.0 # internal tun0 connection IP
ifconfig-pool-persist ipp.txt

keepalive 10 120

comp-lzo # Compression - must be turned on at both end
persist-key
persist-tun

push "dhcp-option DNS 192.168.1.1" # P vom Router
push "dhcp-option DOMAIN std.local"
push "route 192.168.0.0 255.255.255.0"

push "redirect-gateway def1 bypass-dhcp"

status /var/log/openvpn/openvpn-status.log

log-append /var/log/openvpn/openvpn

verb 3 # verbose mode

speichern mit Strg+o und Strg+x

12. openVPN wird nun rebootet mit

  systemctl restart openvpn.service

13. iptable einstellen. Hier muss kontrolliert werden welches euer Netztwerk ist, mit

 ip addr sh

Ergebniss

 1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host
       valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP group default qlen 1000
    link/ether e4:5f:01:1d:0b:6f brd ff:ff:ff:ff:ff:ff
    inet 192.168.1.132/24 brd 192.168.1.255 scope global dynamic noprefixroute eth0
       valid_lft 858050sec preferred_lft 750050sec
    inet6 fe80::3465:1473:74f6:4be8/64 scope link
       valid_lft forever preferred_lft forever
3: wlan0: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc pfifo_fast state DOWN group default qlen 1000
    link/ether e4:5f:01:1d:0b:70 brd ff:ff:ff:ff:ff:ff
4: tun0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN group default qlen 100
    link/none
    inet 10.50.8.1 peer 10.50.8.2/32 scope global tun0
       valid_lft forever preferred_lft forever
    inet6 fe80::846:5860:a37d:1fe8/64 scope link stable-privacy
       valid_lft forever preferred_lft forever

14. jetzt stellen wir iptable auf die richtige Netzwerkschnittstelle ein, um später auf sämtlich Geräte im Netzwerk drauf zu kommen mit

  iptables -t nat -A POSTROUTING -s 10.50.8.0/24 -o eth0 -j MASQUERADE

15. Jetzt öffnnen wir mit dem Nano Editor

 nano/etc/sysctl.conf

dort suchen wir

 #net.ipv4.ip_forward=1

und entferne die

 #

Wenn es nicht vorhanden ist schreiben wir es rein

 net.ipv4.ip_forward=1

danach Strg+o und Strg+x

und ein

 sysctl -p /etc/sysctl.conf

16. Für den Clienten benötigen wir nur die

             ca.crt : /etc/openvpn/pki/ca.crt

            client01.crt : /etc/openvpn/pki/issued/client01.crt

            client01.key : /etc/openvpn/pki/private/client01.key

17. Jetzt brauchen wir noch die Client Config. Dazu öffnen wir einen Linux Editor Bsp. PSpad und erstellen die client.ovpn Datei

client

dev tun

proto udp

remote OPENVPN_IP 4624

resolv-retry infinite
nobind
persist-key
persist-tun

ca ca.crt
cert client01.crt
key client01.key

comp-lzo

verb 3

Quelle

 https://shebangthedolphins.net/vpn_openvpn_buster.html

Mus hier nochmal nachfragen

Habe es nochmal mein Pi4 mit Raspbian GNU/Linux 10 (buster) und meiner Anleitung für openVPN aufgesetzt.

Ich komme auf alle Geräte in meinem Netzwerk über IP oder FTP/SSH drauf

Ausser auf meinen Synology. http,ftp oder ssh geht nicht.

server.config

port 12345
proto udp
dev tun

ca /etc/openvpn/pki/ca.crt # generated keys
cert /etc/openvpn/pki/issued/server.crt
key /etc/openvpn/pki/private/server.key # keep secret
dh /etc/openvpn/pki/dh.pem

server 10.50.8.0 255.255.255.0 # internal tun0 connection IP
ifconfig-pool-persist ipp.txt

keepalive 10 120

comp-lzo # Compression - must be turned on at both end
persist-key
persist-tun

push "dhcp-option DNS 192,168.8.1" # IP vom Router
push "dhcp-option DOMAIN std.local"
push "route 192,168.0.0 255.255.255.0"

push "redirect-gateway def1 bypass-dhcp"

status /var/log/openvpn/openvpn-status.log

log-append /var/log/openvpn/openvpn

client.config

dev tun
client
proto udp
remote dyndns 12345
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client05.crt
key client05.key
comp-lzo
verb 3

Hat da jemand eine Idee zu ??

 

[rolu2]

habe ein neues Handy mit Android 12 drauf. Bekomme bein Einrichten mit openVPN folgene Fehlermeldung

beim alten Handy mit Android 8 geht es ohne Probleme

Nutzt jemand ein Handy mit Android 12 und hat es hinbekommen?


Edit: Fehler gefunden. Siehe dazu hier

h**ps://forums.openvpn.net/viewtopic.php?t=34179

h**ps://gist.github.com/renatolfc/f6c9e2a5bd6503005676