Sicheres CS über ano VPN ???

[TommyH99]

AW: Sicheres CS über ano VPN ???

Wenn für dich HowTo´s zu kompliziert und zu aufwendig sind gibt es keine Möglichkeit!

und einSTUDIEREN ist kein IT Studium (!), etwas beschäftigen solltest dich schon damit beschäftigen.

 

[EusebioNo1]

AW: Sicheres CS über ano VPN ???

na das einlesen wollte ich ja jetzt nicht grundsätzlich ausschliessen Aber das HowTo im Startpost bezieht sich ja auf Debian-Server, und ich hab nur meine Dreambox als Server und da ist OpenVPN z.B. möglich. Allerdings war das schon fast alles, was ich bisher zu diesem Thema finden konnte. Ein Tutorial, oder ne Anleitung zu diesem Dreambox-OpenVPN-Thema konnte ich leider noch nicht wirklich finden.

 

[RoterBaron]

AW: Sicheres CS über ano VPN ???

...aber gleichzeitig schon zu faul google zu fragen? ->

Sie müssen registriert sein, um Links zu sehen.

 

[lenny]

Das Tut im Startpost kannst du auch für die Dreambox nehmen.
Configs nach /etc/openvpn kopieren -> Pfade in den Configs anpassen und dann entweder
Openvpn manuell per Fernbedienung starten starten oder ein Startcript basteln welches Openvpn startet.
Dafür brauchts kein Studium ;=)

@mickynapoli

server meineVPN-IP 255.255.250.0

hier liegt schonmal ein Fehler -> server bezieht sich auf das Netzwerk und nicht auf eine Netzwerkadresse.

 

[kman]

AW: Sicheres CS über ano VPN ???

@mickynapoli

Beispielconfig für den Server

Ist nach dem Howto im openvpn wiki das ich dir gepostet habe, und läuft bei mir so.

/etc/openvpn/tun0.conf:

dev tun0
#tun-mtu 1200
proto udp
port 1194
server 10.8.0.0 255.255.255.0

# we will create these files later, remember to change the names if you create different keys
ca /usr/share/doc/openvpn/examples/easy-rsa/2.0/keys/ca.crt
cert /usr/share/doc/openvpn/examples/easy-rsa/2.0/keys/myServer.crt
key /usr/share/doc/openvpn/examples/easy-rsa/2.0/keys/myServer.key
dh /usr/share/doc/openvpn/examples/easy-rsa/2.0/keys/dh1024.pem

# client-to-client #clients can communicate
# comp-lzo
# verb 3 # loglevel
# mute 50
# keepalive 10 60

comp-lzo

ping-timer-rem
keepalive 20 180

persist-key
persist-tun
verb 3
mute 50

# enable the following two lines if you want your traffic through vpn
push "redirect-gateway def1"
push "dhcp-option DNS 8.8.4.4"

# duplicate-cn #one cert, multiple clients

 

[mickynapoli]

AW: Sicheres CS über ano VPN ???

vielen dank.... lenny und kman^^



@lenny
in der config hatte ich für meine ip = die ip adresse die ich vom VPN anbieter bekommen habe!
bsp.:

server 82.458.564.xx 255.255.250.0

d.h ich soll da die Netzwerk-IP angeben = sprich die der Server im eigenen Netzwerk hat?!?
sprich so mit der richtige subnetzmaske??

server 192.168.2.2 255.255.255.0

werde es heute Abend mal wieder veruschen...und dann feedback geben....

 

[sscully]

AW: Sicheres CS über ano VPN ???

# Configure server mode and supply a VPN subnet
# for OpenVPN to draw client addresses from.
# The server will take 10.8.0.1 for itself,
# the rest will be made available to clients.
# Each client will be able to reach the server
# on 10.8.0.1. Comment this line out if you are
# ethernet bridging. See the man page for more info.

server 10.8.0.0 255.255.255.0

Aus der offiziellen Openvpn-howto.

 

[mickynapoli]

AW: Sicheres CS über ano VPN ???

Danke....
also jetzt startet das OpenVpn auf meinem "home" Server auf folgende Einstellungen:
server.conf

dev tun
#tun-mtu 1200
proto udp
port 1194
server 10.8.0.0 255.255.255.0

ca ./easy-rsa2/keys/ca.crt
cert ./easy-rsa2/keys/server.crt
key ./easy-rsa2/keys/server.key # Diese Datei muss geheim bleiben

# Diffie Hellman Schlüssel
dh ./easy-rsa2/keys/dh1024.pem


# client-to-client #clients can communicate
# comp-lzo
# verb 3 # loglevel
# mute 50
# keepalive 10 60

comp-lzo

ping-timer-rem
keepalive 20 180


persist-key
persist-tun
verb 3
mute 50

# Default route ueber VPN
# AUSKOMMENTIERT
#route remote_host 255.255.255.255 net_gateway
#route 8.8.4.4 vpn_gateway

# enable the following two lines if you want your traffic through vpn
push "redirect-gateway def1"
#push "dhcp-option DNS 8.8.4.4"
#push "dhcp-option WINS 8.8.4.4"

# duplicate-cn #one cert, multiple clients

Aber wie kann ich jetzt sagen verbinde dich zum VPN-Anbieter bzw. wo?
In den Iptables, wie kommt man da rein ?
Ist es in meiner Firewall ( /etc/init.d/firewall ) ...ich meine da stand ebenso iptables !?

habe mich auch mittels SSH auf den angemieteten VPN-Server verbunden, muss ich dort was ansehen/editieren!?

Danke nochmals

 

[kman]

AW: Sicheres CS über ano VPN ???

Das muss auf den Server.

Für den Client gilt folgende Konfig:

client

remote VPN-Server-IP 1194
proto udp
dev tun
comp-lzo

# Hier die Pfade anpassen um auf die erstellten Keys zu verweisen
ca ca.crt
cert client1.crt
key client1.key
ns-cert-type server

verb 3
mute 50

Bei den Zertifikaten und Keys musst du noch die Pfade evtl. anpassen.

Mit welchem Gerät soll eigentlich das ganze laufen? Evtl. gibt es ein Webinterface zum einstellen.

 

[mickynapoli]

AW: Sicheres CS über ano VPN ???

Danke,

hier meine client.conf

client

remote 119.xxxxIPvomVPS 1194
proto udp
dev tun
comp-lzo


# Hier die Pfade anpassen um auf die erstellten Keys zu verweisen
ca ./easy-rsa2/keys/ca.crt
cert ./easy-rs2/keys/alix.crt
key ./easy-rs2/keys/alix.key
ns-cert-type server


verb 3
mute 50

beim Starten
Starting virtual private network daemon: client server.
Log file.

Dec 8 23:54:11 alix ovpn-server[6145]: OpenVPN 2.1_rc11 i486-pc-linux-gnu [SSL] [LZO2] [EPOLL] [PKCS11] built on Sep 18 2008Dec 8 23:54:11 alix ovpn-server[6145]: NOTE: your local LAN uses the extremely common subnet address 192.168.0.x or 192.168.1.x. Be aware that this might create routing conflicts if you connect to the VPN server from public locations such as internet cafes that use the same subnet.
Dec 8 23:54:11 alix ovpn-server[6145]: Diffie-Hellman initialized with 1024 bit key
Dec 8 23:54:11 alix ovpn-server[6145]: /usr/bin/openssl-vulnkey -q -b 1024 -m
Dec 8 23:54:12 alix ovpn-server[6145]: TLS-Auth MTU parms [ L:1542 D:138 EF:38 EB:0 ET:0 EL:0 ]
Dec 8 23:54:12 alix ovpn-server[6145]: ROUTE default_gateway=192.168.1.1
Dec 8 23:54:12 alix ovpn-server[6145]: TUN/TAP device tun0 opened
Dec 8 23:54:12 alix ovpn-server[6145]: TUN/TAP TX queue length set to 100
Dec 8 23:54:12 alix ovpn-server[6145]: /sbin/ifconfig tun0 10.8.0.1 pointopoint 10.8.0.2 mtu 1500
Dec 8 23:54:12 alix ovpn-server[6145]: /sbin/route add -net 10.8.0.0 netmask 255.255.255.0 gw 10.8.0.2
Dec 8 23:54:12 alix ovpn-server[6145]: Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:0 EL:0 AF:3/1 ]
Dec 8 23:54:12 alix ovpn-server[6158]: Socket Buffers: R=[112640->131072] S=[112640->131072]
Dec 8 23:54:12 alix ovpn-server[6158]: UDPv4 link local (bound): [undef]:1194
Dec 8 23:54:12 alix ovpn-server[6158]: UDPv4 link remote: [undef]
Dec 8 23:54:12 alix ovpn-server[6158]: MULTI: multi_init called, r=256 v=256
Dec 8 23:54:12 alix ovpn-server[6158]: IFCONFIG POOL: base=10.8.0.4 size=62
Dec 8 23:54:12 alix ovpn-server[6158]: Initialization Sequence Completed

Und welche Subnetz sollte ich einfügen...da er in der log folgendes bemängelt

Dec 8 23:54:11 alix ovpn-server[6145]: NOTE: your local LAN uses the extremely common subnet address 192.168.0.x or 192.168.1.x. Be aware that this might create routing conflicts if you connect to the VPN server from public locations such

Also ich möchte nur das mein
Debian Server <--> VPN Anbieter <--> Clients (Dreambox)

Wenn möglich soll sich bei den clients überhaupt nichts ändern!

Also auf meinem Debian Server ist jetzt folgendes:
Weiß nicht ob das so richtig ist

Server.conf
Client.conf
Aber scheint zu starten ohne Fehlermeldung
Aber die Ip ist immernoch die gleiche?

 

[lenny]

AW: Sicheres CS über ano VPN ???

Debian Server <--> VPN Anbieter <--> Clients (Dreambox)

ich dachte du wolltest folgende Konstallation :

(Zuhause / Debian Server) <> VPS <> Clients

Für deine Sache mit dem VPN-Anbieter brauchst du nicht einen solchen Aufwand betreiben ......
Also was denn nun VPS oder VPN-Anbieter ??

 

[mickynapoli]

AW: Sicheres CS über ano VPN ???

hi lenny,

sorry natrülich wie du schon sagst diese Konstellation:
(Zuhause / Debian Server) <> VPS <> Clients !!

Ist es kein großer Aufwand? Kannst du mir sagen was ich jetzt machen muss?

Vielen Dank

 

[RoterBaron]

AW: Sicheres CS über ano VPN ???

Lest euch dazu auch unbedingt folgendes durch:

Infos Theoriefragen zum VPS

Talk Was genau bringt VPN bzw in welcher Art ?

Guten günstigen Vserver im Ausland - Seite 6

Infos vServer - cccam legal oder illegal

 

[mickynapoli]

AW: Sicheres CS über ano VPN ???

Guten Morgen.......

also bin jetzt nach langem testen.... etwas weiter gekommen!
auf dem VPS-Server hatte ich "Centos" habe jetzt auf "Debian 5 x86" installiert.

Meine Konfig.... auf dem VPS-Server (Debian 5 x86)
-OpenVpn installiert
-Zertifikate erstellt (build-ca, build-key-server server, build-key Client1, build-dh)
-openvpn.conf in "etc/openvpn" eingefügt

Spoiler

dev tun
proto tcp
port 1194
ca /etc/openvpn/easy-rsa/2.0/keys/ca.crt
cert /etc/openvpn/easy-rsa/2.0/keys/server.crt
key /etc/openvpn/easy-rsa/2.0/keys/server.key
dh /etc/openvpn/easy-rsa/2.0/keys/dh1024.pem
user nobody
group nogroup
server 10.8.0.0 255.255.255.0
persist-key
persist-tun
#status openvpn-status.log
#verb 3 client-to-client
push "redirect-gateway def1"
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 4.2.2.4"
comp-lzo

und gestartet "/etc/init.d/openvpn start"

auf meinen Debian Home-Server (Debian 5 x86)
-OpenVpn installiert
- Zertifikate von dem VPS Server kopiert.... (client.crt + client1.key + ca.crt) und in Debian Home-Server kopiert unter "etc/openvpn"

- Client.conf erstellt unter "etc/openvpn"

Spoiler

client
dev tun
proto tcp
# The hostname/IP and port of the server.
# CHANGE THIS TO YOUR VPS IP ADDRESS
remote IP-MEINES_VPS-SERVERS 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client1.crt
key client1.key
comp-lzo
verb 3

- rc.local (iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o venet0 -j SNAT --to IPmeines-VPS-Anbieter)- einfügt
und gestaret !

Tunnel wird aufgebaut....debian Home-Server IP ist dann meine feste IP-Adresse vom VPS-Anbieter, denke so sollte es sein!?
Der Home-Server reagiert nach starten der client.conf nicht mehr auf die Dyndns Adresse die im Router geupdatet wird, der Home-Server kann nur noch lokal über die Netzerk IP-Adresse angesprochen werden!

Frage:
Ist es soweit ok? Falls ja:
Wenn ich jetzt die Dyndns-Adresse, die auch meine clients nutzen, auf den vpn (vps)-server aktiviere mittels ddclient.
Wie kann ich dann folgendes realisieren:
CCcam Listen-Port: z.b 5000 vom VPS-Server weiterleiten an client1 sprich (Debian Home-Server)
und ebenso SSH Port 5001 vom VPS-Server weiterleiten an client1 sprich (Debian Home-Server)

Habe es schon mittels Iptables versucht allerdings klappt das irgendwie nicht ??

Es soll wie schon oben vom Lenny gepostet folgendermaßen ablaufen:
(Zuhause / Debian Server inkl. CAM etc.) <> VPS <> Clients

vielen dank

 

[sscully]

AW: Sicheres CS über ano VPN ???

Ich weiß zwar nicht inwieweit du schon alles eingerichtet hast aber es hört sich so an
als wenn das routing nicht funktioniert.

IP - Routing auf dem Server aktivieren:
echo 1 > /proc/sys/net/ipv4/ip_forward

MASQUERADE auf dem Server aktivieren:
iptables -t nat -A POSTROUTING -o "dein-inet-interface" -j MASQUERADE


POrtweiterleitung auf dem Server einrichten:
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 5000 -j DNAT --to "IP deines OPVENVPN-Client-10.0.8.2??"


DYNDNS-Script auf dem Openvpnserver ausführen.

Wie gesagt alles ohne Gewähr - ich kenne deine Logs nicht und weiß nicht was du schon eingerichtet hast......