Sicheres CS über ano VPN ???

[mickynapoli]

AW: Sicheres CS über ano VPN ???

Hi und danke sscully,

habe ich es richtig rum eingerichtet??
VPS-Server = SERVER sprich openvpn.conf
Debian-Home-Server = Client sprich client.conf

deine ersten 3 Punkte "auf dem Server aktivieren/einrichten"
meinst du damit den VServer oder meinen Debian HomeServer!?

Da ich das auf dem VPS- Versucht habe, zumindest Portweiterleitung! (FesteAktuelle-HomeIPort)
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 5000 -j DNAT --to "90.545.xxx.xx:5000"

Sorry und danke

ps. configs im post oben^^ mehr habe ich nicht gemacht!

 

[sscully]

AW: Sicheres CS über ano VPN ???

Ich ging davon aus dass dein VPS den OPenVPN-Server darstellt.

"IP deines OPVENVPN-Client-10.0.8.2??" -> da der Server die 10.0.8.1 bekommt muss deine Portweiterleitung auf den Client (homeserver) geleitet werden.
Das passiert über den Tunnel und somit könntets du entweder en IP fest vergeben oder mit nem clientdir arbeiten.Ab wenn nur 1 client da ist dann gehts auch so.
Nur musst du nicht die öffentliche ip des Homeservers nehmen denn dann geht es ja nicht durch den tunnel - du musst halt die ip nehmen die der server dem client gibt.
(also die 10.0.8.2 ?? )

 

[mickynapoli]

AW: Sicheres CS über ano VPN ???

Hi,

also auf dem VPS-Server sollte nichts drauf sein, es geht mir nur darum das meine "eigentlich" IP durch den VPS-Server versteckt wird.
debian Home-Server <--> VPS Server <--> clients

also mein Homeserver wäre dann der einzige client, denke schon....... also der einzige client vom VPS Server!
Das heißt ich muss auf dem Homeserver ein portforwarding machen in den iptables?

Nur musst du nicht die öffentliche ip des Homeservers nehmen denn dann geht es ja nicht durch den tunnel - du musst halt die ip nehmen die der server dem client gibt.
(also die 10.0.8.2 ?? )

das habe ich auch versucht mich per SSH über die VPS IP einzuloggen, denn als der client openvpn gestaret hat.... ging es ja nicht mehr über die homeIP-Adresse, aber leider auch nicht über die VPS-IP.
Muss es nochmal testen.

Aber soweit ist es richtig von der Idee her (wenn alles local auf dem Homeserver bleiben soll)?
VPS-Server = SERVER sprich openvpn.conf
Debian-Home-Server = Client sprich client.conf

danke

 

[kman]

AW: Sicheres CS über ano VPN ???

Ja das ist so richtig.

Leider blick ich bei Dir jetzt nicht mehr durch wie weit du das jetzt eingerichtet hast. Sorry.

Aber zum thema dyndns: Du musst die dyndns nicht mehr updaten, trag einfach die vps ip auf der dyndns Seite fest ein.

 

[EusebioNo1]

AW: Sicheres CS über ano VPN ???

...aber gleichzeitig schon zu faul google zu fragen? ->

Sie müssen registriert sein, um Links zu sehen.

Also ich hab den ganzen Abend vor Google und in diversen Foren verbracht, wie auch schon letzte Woche als ich hier geschrieben hatte Aber ich werde echt nich ganz schlau^^ Bzw. finde ich noch immer keine "zufriedenstellenden" Infos^^

Konkrete Fragen, die ich aktuell habe:
Wenn ich meine Dreambox mit OpenVPN bestückt habe, und z.B. bei perfect privacy mir einen Account besorge. Kann ich dann quasi direkt loslegen, oder müssen auch meine Clients OpenVPN nutzen?
Oder ändert sich für sie nichts, wenn ich nur bei Dyndns meine neue feste VPN-IP eintrage? Muss ich in meiner Fritzbox noch irgendwas ändern? Die wäre doch quasi aussen vor (mal abgesehen davon, dass sie die Dreambox mit dem Internet verbindet). Aber die Dreambox verschickt die Keys doch quasi zu Perfect Privacy nach Russland oder in die Schweiz oder wohin auch immer, mein Dyndns-Anbieter holt sich die IP aus RUS oder CH. Also kann ich die Dyndns-Verknüpfung im Router wieder rausnehmen? (die zickt nämlich auch häufig rum bei mir).

Beziehe ich jetzt wieder Prügel für diese Fragen? Ich will mich ja ehrlich einlesen, aber dafür müsste ich erstmal die richtigen Anleitungen finden Bei mir hat schon im Tut die erste Zeile apt-get install openvpn Kopfschmerzen hervorgerufen. Wenn man nicht weiß ob das nun ein Befehl für irgendeine Konsole, oder ne Textzeile für ne Config oder was auch immer ist, dann ist das natürlich ganz schön schwer überhaupt ins Thema zu kommen.

 

[RoterBaron]

AW: Sicheres CS über ano VPN ???

...diese fragen verraten wissenden aber nunmal, dass du dich nicht genug damit auseinander gesetzt und verstanden hast worum es dabei eigentlich geht.....
wenn du schon nicht weisst ob "apt-get install openvpn" ein befehl oder eine Config-Zeile is; wie soll man dir dann, für dich verständlich, erklären wie das eingerichtet wird so dass du dabei auch was lernst und nicht nur anweisungen folgst?


gegenfrage: wenn du zwar die türen vom auto abschliest aber die fenster auf/unten lässt, gilt das dann als diebstal-sicher?

Aber zum thema dyndns: Du musst die dyndns nicht mehr updaten, trag einfach die vps ip auf der dyndns Seite fest ein.

...auch static ip's müssen einmal im monat ein update machen sonst wird die host gelöscht...

 

[EusebioNo1]

AW: Sicheres CS über ano VPN ???

Deswegen frag ich ja immer weiter xD bin auf der suche nach dem gelben Buch "VPN für Dummies"

 

[RoterBaron]

AW: Sicheres CS über ano VPN ???

lol du verstehst es immernoch nicht .... lern erstmal mit Linux allg. umzugehen und verstehe was "apt-get" ist - ein befehl oder eine configurationszeile...
erst wenn du das begriffen hast macht es Sinn dir zu erklären wie du das mit VPN einrichtest etc ansonsten kriegt derjenige der dir das erklären soll irgendwann einen Anfall wenn du noch nichtmal weisst wie du mit Linux umgehen sollst bzw dort was installierst wie/was/wo etcpp....

Ebenso scheinst du auch noch nicht wirklich verstanden zu haben wofür VPN eigentlich gut ist - wovor es schützt aber vorallem das es nur etwas bringt wenn alle VPN nutzen und nicht blos der CS-Server..... Das wär ansonsten wie gesagt so als würdest du zwar dein Auto abschliesen aber die Fenster offen lassen.... oder die Alarmanlage scharf stellen aber die Wohnungstür auf stehen lässt.......


Tu dir also selber den gefallen und lese dich ersthaft in die Materie ein und versuch auch das was du liest zu verstehen - ansonsten erstell dir einen eigenen Thread wo dir das einzeln erklärt werden würde, ansonsten strapziert das diesen Thread nur unnötig oder was hat dein Anliegen mit der Thread-Überschrift zu tun?

wenn du stundenlang googst aber nix findest; googlest du falsch.... dann soltest du auch lernen google gescheit zu bedienen bzw dir mit deinen suchbegriffen mehr mühe zu geben etcpp

 

[lenny]

AW: Sicheres CS über ano VPN ???

@EusebioNo1 - wenn du openvpn bereits auf der dreambox hast dann brauchst du nur noch die configs in den entsprechenden ordner kopieren und dann openvpn per konsole starten.
für eine automatisierte verbindung bastelst du dir ein startscript so dass es beim dreamboxstart immer startet.
falls du an nem gefährlichem server hängst ist es als client vielleicht sinnvoll da hier dann deine ip nicht dem serverbetreiber bekannt wird.

ansonsten gebe ich dem roten baron recht - man weiß ja garnicht welchen kenntnisstand du hast und wo man mit dem erklären anfangen soll ;=)
das buch vpn für dummies kannst du übrigends hier finden : ***.nzbindex.com

Achso hier nun mal als kleine Info : ivacy.com bietet zur zeit eine aktion an : 1 Euro für 1 Jahr VPN mit tgl. 50mb traffic. portforwarding funktioniert bei dem tarif auch.
also wer sich ein bissel in openvpn einarbeiten und wenig dafür ausgeben will der kann das mit diesem tarif gut machen.
50 mb ist mit cs kaum zu verbrauchen....

 

[mickynapoli]

AW: Sicheres CS über ano VPN ???

Hi,

soweit bin ich aktuell:

Hier mal die Client config (Debian HomeServer):
datei heißt /etc/openvpn/client.conf

client dev tun
proto tcp


# The hostname/IP and port of the server.
# CHANGE THIS TO YOUR VPS IP ADDRESS
remote 109.545.112.xxx 1194


resolv-retry infinite
nobind


persist-key
persist-tun


ca ca.crt
cert client1.crt
key client1.key


comp-lzo
verb 3

VPS-Server (Debian) ServerConfig:
Datei heißt /etc/openvpn/openvpn.conf

dev tun proto tcp
port 1194


ca /etc/openvpn/2.0/keys/ca.crt
cert /etc/openvpn/2.0/keys/server.crt
key /etc/openvpn/2.0/keys/server.key
dh /etc/openvpn/2.0/keys/dh1024.pem


user nobody
group nogroup
server 10.8.0.0 255.255.255.0


persist-key
persist-tun


#status openvpn-status.log
#verb 3
client-to-client


push "redirect-gateway def1"
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 4.2.2.4"


comp-lzo

Nach verbindung vom HomeServer zum VPS-Server hat mein HomeServer wie gesagt die IP des VPS Server das ist doch schon mal gut! ODER?
Das heißt doch die beiden sind verbunden!

Wie soll ich jetzt noch den VPS mitteilen das er CCcam Port sowie SSH Port an meinen Home-Server weiterleiten soll !?
Und wie kann ich meine Dyndns-Line vom VPS-Server aktualisieren lassen (evtl. DDclient)?

Danke für eure Hilfe.

ps. komisch ist hat nur das wenn das openvpn auf beiden läuft (client & Server) und diese quasi miteinander verbunden sind, ich nicht mehr von extern per ssh port auf meinem HomeServer komme auch nicht mittels aktuelle IP-Adresse vom Inet. Musste dann extra hin flitzen!

 

[kman]

AW: Sicheres CS über ano VPN ???

Hi,

soweit bin ich aktuell:

Hier mal die Client config (Debian HomeServer):
datei heißt /etc/openvpn/client.conf


VPS-Server (Debian) ServerConfig:
Datei heißt /etc/openvpn/openvpn.conf


Nach verbindung vom HomeServer zum VPS-Server hat mein HomeServer wie gesagt die IP des VPS Server das ist doch schon mal gut! ODER?
Das heißt doch die beiden sind verbunden!

Das heisst wenn du nen ip check (z.b. utrace.de) vom homeserver aus machst wird die IP vom vserver angezeigt?

Dann siehts gut aus.

Wie soll ich jetzt noch den VPS mitteilen das er CCcam Port sowie SSH Port an meinen Home-Server weiterleiten soll !?

iptables -A INPUT -p tcp --dport 12000 -j ACCEPT

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 12000 -j DNAT --to 10.8.0.6:12000 <-- int. IP und port die der HomeServer vom OpenVPN Server bekommt.
iptables -A FORWARD -i eth0 -o tun0 -p tcp --dport 12000 -j ACCEPT

Das selbe dann nochmal mit dem SSH port. Darauf achten das Du beim Homeserver nen anderen SSH port wie für den VPS nimmst.

Und wie kann ich meine Dyndns-Line vom VPS-Server aktualisieren lassen (evtl. DDclient)?

Ja. Oder dort manuell eintragen.

Danke für eure Hilfe.

ps. komisch ist hat nur das wenn das openvpn auf beiden läuft (client & Server) und diese quasi miteinander verbunden sind, ich nicht mehr von extern per ssh port auf meinem HomeServer komme auch nicht mittels aktuelle IP-Adresse vom Inet. Musste dann extra hin flitzen!

Vom Heimnetzwerk aus auch nicht?

 

[mickynapoli]

AW: Sicheres CS über ano VPN ???

habe mich gestern wieder dran gesetzt, irgendwie wird der tunnel nicht mehr aufgebaut... kA
in der log steht unter anderem
WARNING: No server certificate verification method has been enabled. See

Sie müssen registriert sein, um Links zu sehen.

for more info.
reconnect 5sec

werde einfach mal weiter testen

Hier mal die Client config (Debian HomeServer):
datei heißt /etc/openvpn/client.conf

client dev tun
proto tcp


# The hostname/IP and port of the server.
# CHANGE THIS TO YOUR VPS IP ADDRESS
remote 109.545.112.xxx 1194


resolv-retry infinite
nobind


persist-key
persist-tun


ca ca.crt
cert client1.crt
key client1.key


comp-lzo
verb 3

VPS-Server (Debian) ServerConfig:
Datei heißt /etc/openvpn/openvpn.conf

dev tun
proto tcp
port 1194


ca /etc/openvpn/2.0/keys/ca.crt
cert /etc/openvpn/2.0/keys/server.crt
key /etc/openvpn/2.0/keys/server.key
dh /etc/openvpn/2.0/keys/dh1024.pem


user nobody
group nogroup
server 10.8.0.0 255.255.255.0


persist-key
persist-tun


#status openvpn-status.log
#verb 3
client-to-client


push "redirect-gateway def1"
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 4.2.2.4"


comp-lzo

danke

 

[lenny]

AW: Sicheres CS über ano VPN ???

Probier es mal so :


client.conf:

client
dev tun
proto tcp
remote 109.545.112.xxx 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca /hier-DEINPFADZU/ca.crt
cert /hier-DEINPFADZU/client1.crt
key /hier-DEINPFADZU/client1.key
ns-cert-type server
auth SHA1
cipher BF-CBC
comp-lzo
verb 3



server.conf:

local 109.545.112.xxx
proto tcp
dev tun
ca /etc/openvpn/2.0/keys/ca.crt
cert /etc/openvpn/2.0/keys/server.crt
key /etc/openvpn/2.0/keys/server.key
dh /etc/openvpn/2.0/keys/dh1024.pem
server 10.8.0.0 255.255.255.0
push "route 10.8.0.0 255.255.255.0"
push "redirect-gateway def1"
push "route-delay 10"
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 4.2.2.4"
client-to-client
keepalive 10 120
auth SHA1
cipher BF-CBC
user openvpn
group openvpn
persist-key
persist-tun
status openvpn-status.log
log-append openvpn.log
comp-lzo
verb 3

dann noch deine portweiterleitung:


iptables -t nat -A PREROUTING -i eth0 -p tcp --dport dein-cccam-port-hier -j DNAT --to 10.8.0.2


und dann noch routing auf dem server aktivieren


iptables -t nat -F POSTROUTING
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o eth0 -s 10.8.0.0/24 -j MASQUERADE

so sollte alles laufen.

fürs absichern bist aber jetzt selbst zuständig ;=)

 

[RoterBaron]

AW: Sicheres CS über ano VPN ???

...erklärt doch lieber was der andere falsch gemacht hat oder was er vergessen hat anstatt fertige configs ohne kommentare zu den settings vor zu kauen und auf nem silbertablett zu platziern... weil so lernt dabei keiner was

 

[lenny]

AW: Sicheres CS über ano VPN ???

Du hast ja recht ;=) Der gute Junge quält sich jetzt seit einiger Zeit damit herum und mittlerweile hat er ja einiges verstanden.
Ich halte auch nichts davon alles zu servieren aber in diesem Falle hatte ich "Mitleid" ihm - habe schon so oft erklärt was , wie und wieso.
Ich hoffe er bekommt es jetzt zum laufen.
Ich habe die Configs gerade nochmal getestet und bei mir laufen diese so wie sie da stehen.........