VPN Ja..., aber wie????

[Razor78]

hallo...
Ich kapiers irgendwie nicht.

Ich hab mir einen Thin-PC zurechts geschnürrt ( Link ) auf dem Oscam läuft. Auf diesen wird für CS via DynDns zugegriffen.
Die DynDns Adresse wird von einem Script des Thin geupdated (nicht durch den Router). Weiterhin hab ich einen Router D-Link DIR-645,
welcher wohl nur VPN-Passthrough kann.
Ich möchte meine Zugriffe auf dem Oscamserver jetzt via VPN tunneln. Dazu hab ich mir einen VPN Anbieter gesucht "SwissVPN",
welcher mir ok vorkam. Von diesen hab ich Zugangsdaten erhalten. Also hab ich mir OpenVPN nach der Anleitung (Link) auf den ThinPC gezogen.

Jetzt die Frage????
Wo schreib ich meine Anmeldedaten des VPN-Anbieters rein???? Und wie muss die Portweiterleitung und das Routing im Router aussehen???
Muss ich meinen Clients einen neuen Port geben oder können sie den alten Port für CS weiter nutzen, welcher bisher (ohne VPN) verwendet wurde?
Ich bin bei dem VPN noch nichts ganz durch gestiegen, will aber auf diese höhere Sicherheit nicht verzichten.

Es soll also via DynDNS die IP des VPN Anbieters angezeigt werden und nicht mehr meine Originale.
Bitte um Denkanstösse und / oder vielleicht ner kleiner Anleitung wie ich das am besten bewerkstellige.

MFG
RaZor

 

[spaceflip]

AW: VPN Ja..., aber wie????

Dein VPN-Anbieter muss dir die Möglichkeit geben Ports zu definieren die nach dir weitergeleitet werden bei deinem SwissVPN wäre das die "Firewall-Option" wenn du die nicht mit dazu gebucht hast wird dein Vorhaben nicht funktionieren.

 

[Razor78]

AW: VPN Ja..., aber wie????

Ich hab diese zum Glück dazu gebucht. Aber wie verwirkliche ich nun das ganze????

gruss

RaZor

Nachtrag:
Keiner ne Idee?
Ist das denn überhaupt so zu realisieren, wie ich mir das vorstelle?
Ich möchte nur den ThinPC tunneln, und ansonsten mit allen anderen PC's normal ins internet.
Kann sich vielleicht einer von euch Linux-Assen meiner Problematik annehmen?

Danke und MFG

RaZor

 

[Richie880]

AW: VPN Ja..., aber wie????

hi schau mal hier beitrag 9 von meister85

da müste deine frage jetzt beantwotet sein wen nicht kann ich dir gern weiter hefen wen du das nicht verstehst.

https://www.digital-eliteboard.com/showthread.php?186445-Cs-vpn


MFG

Richie

ps ich würde dir zu NVPN.net raten einer der besten Anbieter wo ich war und geblieben bin

 

[Razor78]

AW: VPN Ja..., aber wie????

Edit 02.12.13:

Hallo....
Es muss doch möglich sein einen ThinPC mit Debian-Linux via OpenVPN Deamon und dem Anbieter "SwissVPN (inkl.Firewalloption) zu tunneln!?!?!?!!?

Leider ist es mir bis heute noch nicht gelungen. Ich habe mich an diese Anleitung gehalten,doch scheint sie nicht zu funktionieren.
Ich habe diese mit dem erstellen einer "OpenVPN.conf" und "Passwort.txt" hiernach erweitert.

Dabei habe ich natürlich die remoteadresse meines anbieters und die entsprechende Benutzername und password benutzt

float
client
dev tap
proto tcp
nobind
; Cert
ca /etc/openvpn/keys/ca.crt 
ns-cert-type server
cipher BF-CBC
;Host
remote connect.swissvpn.net [COLOR=#ff0000]443[/COLOR] #[COLOR=#0000ff]was muss hier für ein port rein???[/COLOR]
                                #habe den Openvpnport 1194 auch schon probiert
resolv-retry infinite
;auth
auth-user-pass passwort.txt
persist-key
persist-tun

comp-lzo
verb 2

aber es geht definitiv nicht. Es soll alles auf dem Thin laufen und nur dort. Die anderen PC's sollen normal ins I-Net.

Bei meinem Router hab ich folgendes eingestellt:
Die Portweiterleitung auf den UDP-Port von OpenVPN-Deamon.
IP-Routing auf die:

Netzwerk: 10.8.0.0
Subnetzmaske: 255.255.255.0  
Gateway: 192.168.0.119   #Die IP des ThinPC

Beim starten des Tunnels steht nur failed da.

Ich habe die Certificate und keys wie folgt erstellt:

./build-key-server CE3-SERVER

alles mit enter bestätigt

./build-key Razor78

alles mit enter bestätigt, da bei "Common Name" bereits Razor78 in den eckigen klammern stand.

wäre nett wenn mir einer meinen Denkfehler aufzeigt. Vielleicht "Phantom" weil von Ihm hab ich indirect den tip bezüglich OpenVpn in Verbindung mit
SwissVPN.

Vielen Dank
RaZor

Edit Ende

---------------------------------------------------------------------------------------------------------------------------------------------------------
---------------------------------------------------------------------------------------------------------------------------------------------------------



hey.. Richie880
hab gemacht wie in der anleitung zu der du mich verwiesen hast.
leider wird bei dyndns immernoch mien reale IP angezeigt.

welchen port muss ich forwarden bei meinem VPN-Anbieter, den Port von OpenVPN oder den Port für Cardsharing?
muss ich was in meinem Router einstellen oder brauch ich da garnichts machen?

Fehlermeldungen gab es nicht, aber zu laufen scheint es auch nicht.
Muss ich nicht noch nen Clienten bei OpenVPN erstellen? Hab ja bisher nur den OpenVPN Server installiert.

Versteh das noch net so ganz. Wäre nett wenn du mir ne Dummy-Anleitung schreibst.

MFG

RaZor

 

[Razor78]

AW: VPN Ja..., aber wie????

wirklich keiner ne Idee????

 

[Richie880]

AW: VPN Ja..., aber wie????

hi du musstest doch datein von deinen anbieter bekommen haben ja oder?

die du herunterladen kannst eine crt datei und noch eine datei

wen ja veröffentlich mal die eine datei (nicht die crt) die du hast dan schauen wir weiter.

 

[Razor78]

AW: VPN Ja..., aber wie????

dev tun
client
proto tcp-client
remote connect-openvpn.swissvpn.net 443
ca ca.crt
auth-user-pass
reneg-sec 86400
ns-cert-type server

ja die dateien hab ich mir runter geladen.

Danke für deine Bemühungen.

 

[Richie880]

AW: VPN Ja..., aber wie????

so lösch mal einfach alles und mach das jetzt

In den Ordner /etc/openvpn eine Datei erstellen, die sich openvpn.conf nennt mit z.b winscp

und füg das ein

Spoiler

float
client
dev tap
proto tcp
nobind
; Cert
ca /etc/openvpn/keys/nVPN.crt
ns-cert-type server
cipher BF-CBC
;Host
remote connect-openvpn.swissvpn.net 443

resolv-retry infinite
;auth
auth-user-pass passwort.txt
persist-key
persist-tun

comp-lzo
verb 2

dan die datei crt in /etc/openvpn/keys/xxx.crt (ordner keys selber erstellen)

und jetzt eine datei namens passwort.txt im Ordner /etc/openvpn erstellen

hier kommen deine Zugangsdaten rein

Anschließend müsst du den openvpn neustarten mit

/etc/init.d/openvpn restart


und dann nicht vergessen deine dynn zu aktualiesiren weis ja nicht wie du das machst.

MFG

richie

 

[Razor78]

AW: VPN Ja..., aber wie????

ich werde berichten....

Gruß
RaZor

 

[Razor78]

AW: VPN Ja..., aber wie????

Geht immer noch nicht.

Hab jetzt nochmal alles deinstalliert mit

apt-get remove --purge openvpn

und sämtliche files und Ordner gelöscht.

Danach den Pc neugestartet.

Dann hab ich nochmal komplett neu angefangen.
Ich habe bei SwissVPN die firewall angeschaltet und den Port von OpenVPN Deamon eingestellt.

Dann hab ich OpenVPN auf den Thin installliert:

Spoiler

apt-get install openvpn

Antwort:

Spoiler

Paketlisten werden gelesen... Fertig
Abhängigkeitsbaum wird aufgebaut.
Statusinformationen werden eingelesen.... Fertig
Vorgeschlagene Pakete:
  resolvconf
Die folgenden NEUEN Pakete werden installiert:
  openvpn
0 aktualisiert, 1 neu installiert, 0 zu entfernen und 0 nicht aktualisiert.
Es müssen noch 0 B von 517 kB an Archiven heruntergeladen werden.
Nach dieser Operation werden 1.139 kB Plattenplatz zusätzlich benutzt.
Vorkonfiguration der Pakete ...
Vormals nicht ausgewähltes Paket openvpn wird gewählt.
(Lese Datenbank ... 32101 Dateien und Verzeichnisse sind derzeit installiert.)
Entpacken von openvpn (aus .../openvpn_2.2.1-8+deb7u2_i386.deb) ...
Trigger für man-db werden verarbeitet ...
openvpn (2.2.1-8+deb7u2) wird eingerichtet ...
[ ok ] Restarting virtual private network daemon.:.
root@CE3-Server:~#

Dann:

cp /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz /etc/openvpn/

Spoiler

Keine Meldungen

Dann:

gunzip /etc/openvpn/server.conf.gz

Spoiler

Keine Meldungen

Dann:

cp -r /usr/share/doc/openvpn/examples/easy-rsa/2.0 /etc/openvpn/easy-rsa2

Spoiler

Keine Meldungen

Dann:

cd /etc/openvpn/easy-rsa2/

Antwort:

Spoiler

root@CE3-Server:/etc/openvpn/easy-rsa2#

Dann:

nano vars

und dann diese Passagen geändert und abgespeichert

Spoiler

export KEY_COUNTRY="DE" 
export KEY_PROVINCE="[COLOR=#ff0000]XX[/COLOR]" 
export KEY_CITY="[COLOR=#ff0000]XXXX[/COLOR]" 
export KEY_ORG="CE3-SERVER" 
export KEY_EMAIL="[COLOR=#ff0000]XXX[/COLOR]@adresse.de"

Dann:

mkdir keys

Spoiler

Keine Meldungen

Dann:

source ./vars

Antwort:

Spoiler

NOTE: If you run ./clean-all, I will be doing a rm -rf on /etc/openvpn/easy-rsa2/keys
root@CE3-Server:/etc/openvpn/easy-rsa2#

Dann:

./clean-all

Spoiler

Keine Meldungen

Dann:

./build-ca

Antwort:

Spoiler

Generating a 1024 bit RSA private key
......++++++
.................++++++
writing new private key to 'ca.key'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [DE]:
State or Province Name (full name) [NI]:
Locality Name (eg, city) [Brake]:
Organization Name (eg, company) [CE3-SERVER]:
Organizational Unit Name (eg, section) [changeme]:
Common Name (eg, your name or your server's hostname) [changeme]:
Name [changeme]:
Email Address [mail@host.domain]:
root@CE3-Server:/etc/openvpn/easy-rsa2#

Dann:

./build-key-server CE3-SERVER

Antwort:

Spoiler

Generating a 1024 bit RSA private key
....++++++
.............++++++
writing new private key to 'CE3-SERVER.key'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [DE]:
State or Province Name (full name) [NI]:
Locality Name (eg, city) [Brake]:
Organization Name (eg, company) [CE3-SERVER]:
Organizational Unit Name (eg, section) [changeme]:
Common Name (eg, your name or your server's hostname) [CE3-SERVER]:
Name [changeme]:
Email Address [mail@host.domain]:

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:
Using configuration from /etc/openvpn/easy-rsa2/openssl-1.0.0.cnf
Check that the request matches the signature
Signature ok
The Subject's Distinguished Name is as follows
countryName           :PRINTABLE:'DE'
stateOrProvinceName   :PRINTABLE:'NI'
localityName          :PRINTABLE:'Brake'
organizationName      :PRINTABLE:'CE3-SERVER'
organizationalUnitName:PRINTABLE:'changeme'
commonName            :PRINTABLE:'CE3-SERVER'
name                  :PRINTABLE:'changeme'
emailAddress          :IA5STRING:'mail@host.domain'
Certificate is to be certified until Dec  2 21:41:46 2023 GMT (3650 days)
Sign the certificate? [y/n]:y


1 out of 1 certificate requests certified, commit? [y/n]y
Write out database with 1 new entries
Data Base Updated
root@CE3-Server:/etc/openvpn/easy-rsa2#

Dann:

./build-key Razor78

Antwort:

Spoiler

Generating a 1024 bit RSA private key
.++++++
............++++++
writing new private key to 'Razor78.key'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [DE]:
State or Province Name (full name) [NI]:
Locality Name (eg, city) [Brake]:
Organization Name (eg, company) [CE3-SERVER]:
Organizational Unit Name (eg, section) [changeme]:
Common Name (eg, your name or your server's hostname) [Razor78]:
Name [changeme]:
Email Address [mail@host.domain]:

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:
Using configuration from /etc/openvpn/easy-rsa2/openssl-1.0.0.cnf
Check that the request matches the signature
Signature ok
The Subject's Distinguished Name is as follows
countryName           :PRINTABLE:'DE'
stateOrProvinceName   :PRINTABLE:'NI'
localityName          :PRINTABLE:'Brake'
organizationName      :PRINTABLE:'CE3-SERVER'
organizationalUnitName:PRINTABLE:'changeme'
[COLOR=#ff0000]commonName            :PRINTABLE:'Razor78'[/COLOR]                                   [COLOR=#ff0000]#Richtig so???[/COLOR]
name                  :PRINTABLE:'changeme'
emailAddress          :IA5STRING:'mail@host.domain'
Certificate is to be certified until Dec  2 21:43:55 2023 GMT (3650 days)
Sign the certificate? [y/n]:y


1 out of 1 certificate requests certified, commit? [y/n]y
Write out database with 1 new entries
Data Base Updated
root@CE3-Server:/etc/openvpn/easy-rsa2#

dann:

./build-dh

Antwort:

Spoiler

Generating DH parameters, 1024 bit long safe prime, generator 2
This is going to take a long time
..............................................................+......+.......................................................................+.......................+....................................................+........................+..+...................................................................................................+...................................+......................................................+......................................................................................................+............+.........................................+........................................................................................+...............................................+....................+.....+................................+................+.....+...................................+..............................................+.....................................................................................+.........+...........................+..+......................................................................................................................................................................................+..............................................................................+............................+.........................................................+.........+....+.............................................................................................................................................................+.......................+.................................................................+.......+.............+....+............................+......+........................++*++*++*
root@CE3-Server:/etc/openvpn/easy-rsa2#

Dann Server.conf editiert und die folgenden sachen so abgeändert, soei den Port abgeglichen:

Spoiler

ca ./easy-rsa2/keys/ca.crt 
cert ./easy-rsa2/keys/server.crt 
key ./easy-rsa2/keys/server.key

dh ./easy-rsa2/keys/dh1024.pem

push "route 192.168.0.0 255.255.255.0"

Dann:

sysctl -w net/ipv4/ip_forward=1

Antwort:

Spoiler

net.ipv4.ip_forward = 1
root@CE3-Server:/etc/openvpn/easy-rsa2#

Dann Openvpn.conf erstellt:

touch /etc/openvpn/openvpn.conf

und damit gefüllt:

Spoiler

float
client
dev tap
proto tcp
nobind
; Cert
ca /etc/openvpn/keys/[COLOR=#ff0000]nVPN.crt    #wieso nVPN.crt???[/COLOR]
ns-cert-type server
cipher BF-CBC
;Host
remote connect-openvpn.swissvpn.net 443

resolv-retry infinite
;auth
auth-user-pass passwort.txt
persist-key
persist-tun

comp-lzo
verb 2

Dann:

touch /etc/openvpn/passwort.txt

und damit gefüllt:

Spoiler

Benutzername       #natürlich die richtigen daten
Password

Dann openVPN gestartet mit:

/etc/init.d/openvpn restart

Antwort:

Spoiler

[ ok ] Stopping virtual private network daemon:.
[FAIL] Starting virtual private network daemon: [COLOR=#ff0000]openvpn server failed![/COLOR]

Es geht also immer noch nicht.
wo hab ich was falsch gemacht????
Ich habs einmal mit der generierten ca.crt und einmal mit der die ich vom Anbieter habe probiert.
macht beim ergebnis keinen Untersachied.

MFG
RaZor

 

[Richie880]

AW: VPN Ja..., aber wie????

man oh man so viel sachen habe ich noch nicht gesehen.

was du falsch gemacht hast fast alles :-D

lösch mal alles lade dir winscp runter und mach damit alles ohne console erst mal und nur das machen was ich schreibe nicht mehr

1.

apt-get install openvpn

2. gehst du mit winscp auf deinen server und machst ein ordner keys in /etc/openvpn

3. in den ordener keys packst du deine datei xxx.crt ein

4. du erstellst eine datei namens openvpn.conf in /etc/openvpn

5. in der datei openvpn.conf kopirst du das aber die xxxx.crt schreibst du so wie deine crt datei heißt

float
 client
 dev tap
 proto tcp
 nobind
 ; Cert
 ca /etc/openvpn/keys/xxxx.crt 
 ns-cert-type server
 cipher BF-CBC
 ;Host
 remote connect-openvpn.swissvpn.net 443

 resolv-retry infinite
 ;auth
 auth-user-pass passwort.txt
 persist-key
 persist-tun

 comp-lzo
 verb 2

6. und jetzt eine datei namens passwort.txt im Ordner /etc/openvpn erstellen

hier kommen deine Zugangsdaten rein

7.alle datein und ordner rechte 755 geben

8.Anschließend müsst du den openvpn neustarten mit console putty

/etc/init.d/openvpn restart

und dann nicht vergessen deine dynn zu aktualiesiren weis ja nicht wie du das machst.

und bei deinen vpn anbiter nur deinen cccam port und webinf freigeben .

mehr nicht das wars schon

MFG

Richie

 

[Razor78]

AW: VPN Ja..., aber wie????

hey...
jetzt klappt der tunnel schon mal...

root@CE3-Server:~# ifconfig
eth0      Link encap:Ethernet  Hardware Adresse 00:XX:c5:XX:2a:XX
          inet Adresse:192.168.0.119  Bcast:192.168.0.255  Maske:255.255.255.0
          inet6-Adresse: fXX::2XX:cXXX:fXXX:2abe/64 Gültigkeitsbereich:Verbindung
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metrik:1
          RX packets:16055 errors:0 dropped:0 overruns:0 frame:0
          TX packets:16126 errors:0 dropped:0 overruns:0 carrier:0
          Kollisionen:0 Sendewarteschlangenlänge:1000
          RX bytes:1645053 (1.5 MiB)  TX bytes:14467651 (13.7 MiB)
          Interrupt:11 Basisadresse:0xe900

lo        Link encap:Lokale Schleife
          inet Adresse:127.0.0.1  Maske:255.0.0.0
          inet6-Adresse: ::1/128 Gültigkeitsbereich:Maschine
          UP LOOPBACK RUNNING  MTU:16436  Metrik:1
          RX packets:1306 errors:0 dropped:0 overruns:0 frame:0
          TX packets:1306 errors:0 dropped:0 overruns:0 carrier:0
          Kollisionen:0 Sendewarteschlangenlänge:0
          RX bytes:116919 (114.1 KiB)  TX bytes:116919 (114.1 KiB)

tap0      Link encap:Ethernet  Hardware Adresse 8a:XX:92:XX:46:XX
          inet Adresse:109.XXX.XXX.1XX  Bcast:109.XXX.XXX.127  Maske:255.255.255.128
          inet6-Adresse: fXXX::8XXX:92ff:feac:4613/64 Gültigkeitsbereich:Verbindung
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metrik:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:57 errors:0 dropped:0 overruns:0 carrier:0
          Kollisionen:0 Sendewarteschlangenlänge:100
          RX bytes:0 (0.0 B)  TX bytes:2610 (2.5 KiB)

root@CE3-Server:~#

Aber das aktualisieren der Dyn via ddclient passt noch nicht.
Habe das in die Config eingetragen:

# Configuration file for ddclient generated by debconf
#
# /etc/ddclient.conf
protocol=dyndns2
use=if, if=tap0
server=members.dyndns.org
login=Benutzer
password='Password'
XXXX.dyndns.XX

dann kommt folgende fehlermeldung:

root@CE3-Server:~# ddclient
WARNING:  file /var/cache/ddclient/ddclient.cache, line 3: Invalid Value for keyword 'ip' = ''
WARNING:  skipping update of XXXX.dyndns.XX from <nothing> to 109.XXX.XXX.54.
WARNING:   last updated <never> but last attempt on Thu Dec  5 17:53:37 2013 failed.
WARNING:   Wait at least 5 minutes between update attempts.
root@CE3-Server:~#

Vielleicht hast dafür auch ne Idee???

 

[Richie880]

AW: VPN Ja..., aber wie????

hast du alles richtig eingetragen? (pw,...)

oder mach doch einfach mal manuel von deinen VPN anbietrer bekommst du ja eine feste ip. kannst sie auf der seite eintragen.

kannst ja mal

/etc/init.d/ddclient restart

 

[Razor78]

AW: VPN Ja..., aber wie????

leider bekomme ich keine feste IP bei SwissVPN. Jedenfalls nicht ohne es zu beantragen und 10 CHF dafür zu zahlen min. 6Monate lang.

habe jetzt folgendes gemacht und als antwort bekommen.

root@CE3-Server:~# /etc/init.d/ddclient restart
[ ok ] Restarting Dynamic DNS service update utility: ddclient.

root@CE3-Server:~# ddclient
WARNING:  cannot connect to members.dyndns.org:80 socket: IO::Socket::INET: connect: Die Wartezeit für die Verbindung ist abgelaufen
FAILED:   updating XXX.dyndns.XX: Could not connect to members.dyndns.org.
root@CE3-Server:~#

was da nu wieder los?