chrisbi
Hacker
- Registriert
- 29. Januar 2008
- Beiträge
- 326
- Reaktionspunkte
- 191
- Punkte
- 103
Hi,
ich habe hier im Board nach einer VPN Anleitung gesucht und nichts gefunden. Deshalb wollte ich Euch hier meine Schritt für Schritt Anleitung vorstellen wie man einen OpenVPN Server mit dem IGEL/Raspberry erstellt.
Da das Vpn mit meiner Fritzbox mit der Software von AVM nie wirklich eine stabile Verbindung hergestellt hatte, hab ich beschlossen den Raspberry als VPN Server fungieren zu lassen...
Bis jetzt funktioniert es tadellos mit meinem Androis Handy (Link ist nicht mehr aktiv. & Link ist nicht mehr aktiv. vom Market) und auf meinem Netbook mit OpenVPN für
Bitte das Tutorial erst mal von vorne bis hinten durchlesen, um es auch zu verstehen..
Wer auf Debian als Root arbeitet, kann den Teil (7) wo man sich als su einloggt weglassen und auch sonst den vorangestellten Befehl sudo weg lassen...
### 1. Befehle die in der Konsole per
1. Als erstes müsst Ihr OpenVPN installieren mit
2. Dann mit diesem Befehl die Beispielconfigs kopieren
3. OpenVPN Server Config entpacken mit
und Kopieren mit
4. Ins Easy-Rsa2 Verzeichnis wechseln mit
5. Die Datei vars editieren
Folgende Einträge suchen und durch Eure Daten ersetzen:
Nano beenden mit Strg+C und J/Y für speichern
6. Im selben Verzeichnis den Ordner keys anlegen
7. Ab hier bitte als su arbeiten! In der Konsole einfach folgendes Eintippen um kurzzeitig als su fungieren zu können...
8. Anschließend gehts weiter mit
Immer mit Enter/Return bestätigen
9. Server Key erstellen (der dauert etwas länger)
Das Passwort kann hier leer gelassen werden
10. Hier wird der Key von den Usern erstellt... Der Vorgang kann sooft wie man will wiederholt werden wenn man mehrere User auf dem VPN Server connecten lassen möchte.
Das geschieht nach dem gleichen Prinzip wie gerade eben beim Server, jedoch muss nun bei "Common Name" jeweils der Name des Clients eingetragen werden.
11. Hier wird der
12. Jetzt wird die server.conf geöffnet und angepasst
In der Datei müssen folgende Pfade angepasst werden... Einfach den Bereich suchen wo die Certifikate verlangt werden und dann die Pfade dementsprechen anpassen.
Den Port hier in der config auf jeden Fall anpassen, wenn man vom Standardport abweichen will. Also von z.B. von 1149 auf 11194
13. Um jetzt im eigenen Lan nicht nur den Rpi zu sehen sondern auch noch die anderen PCs die laufen muss noch folgender Befehl ans Ende der openvpn.conf hinzugefügt werden.
Hier natürlich den IP Range durch Eure ersetzen... Z.b. 192.168.2.0 - wenn Euer Router auf z.B. 192.168.2.1 hört, dann solltet Ihr den Range 192.168.2.0 benutzen.
Anschließend auch den Befehl in der Konsole ausführen um das interne Lan sichtbar zu machen:
Um diese Änderung permanent zu machen, kann man sie in die Datei /etc/sysctl.conf eintragen mit
und dann ganz am Ende folgendes anfügen:
Schließen mit Strg+X und J/Y für speichern
14. Um den Server als Default Gateway zu nutzen - um zum Beispiel unsicher Wlans zu "sichern" (Flughäfen, Nachbarn usw.) sollte man das noch in die letzte Zeite der openvpn.conf einfügen:
15. Zur lokalen Sicherheit sollte man den VPN Dienst noch unter einem eigenen User laufen lassen, dem kein Login ermöglicht wird. Das macht man so:
16. Den Openvpn Dienst neustarten mit
17. SU Beenden
### 2. Arbeiten auf der Fritzbox ###
Ich habe hier leider nur die Fritzbox daheim und kann Euch deshalb nur sagen wo man das in der Fritzbox anstellt, damit euer Server als Gateway dient, wenn man sich in einem fremden W-Lan befindet.
Fritzbox: PORTFREIGABE machen 11194 UDP # habe eine 1 vorne mit dran gehängt um vom Standardport abzuweichen...
1. In der Fritzbox einloggen (Browser, IP Adresse eingeben und Passwort eingeben...)
2. Expertenansicht aktivieren
3. Dann auf "Heimnetz" wechseln
4. Dann auf "Netwerkeinstellungen" wechseln und den Punkt "IP Routen" anwählen.
5. "Neue Route"
6. Hier sind meine Einstellungen:
7. Route aktivieren und auf OK.
8. Portfreigabe nicht vergessen
Das wars erst mal... Viel Spaß beim testen...
Ich habe mich bei der Anleitung an das Tutorial von OpenVPN Wiki für Ubuntu User (googlen) gehalten und es hat auf Anhieb funktioniert...
Über ein Danke und kommentare würde ich mich freuen!
Edit: sudo su hinzugefügt und kryptische Gänsefüsschen ausgetauscht
EDIT by szonic:
Erweiterung aus Post 17 für Verbindungen mit Apple-Geräten:
1. Schritt 13. in dem How-To musste ich raus nehmen, da ich sonst einen Connection timeout hatte. Aber ich komme trotzdem an alle anderen PC's/router im Netzwerk
2. Die vpn_connection.ovpn sieht bei mir so aus:
3. Die 4 Dateien vpn_connection.ovpn, ca.crt, user1.crt und user1.key (findet ihr unter /etc/openvpn/easy-rsa2/keys) über iTunes in die App "OpenVPN" importieren
4. Die App öffnen und die Verbindung mit dem grünen Plus importieren.
ich habe hier im Board nach einer VPN Anleitung gesucht und nichts gefunden. Deshalb wollte ich Euch hier meine Schritt für Schritt Anleitung vorstellen wie man einen OpenVPN Server mit dem IGEL/Raspberry erstellt.
Da das Vpn mit meiner Fritzbox mit der Software von AVM nie wirklich eine stabile Verbindung hergestellt hatte, hab ich beschlossen den Raspberry als VPN Server fungieren zu lassen...
Bis jetzt funktioniert es tadellos mit meinem Androis Handy (Link ist nicht mehr aktiv. & Link ist nicht mehr aktiv. vom Market) und auf meinem Netbook mit OpenVPN für
Sie müssen registriert sein, um Links zu sehen.
... Wenn jemand noch ein paar Infos oder Fragen dazu hat, einfach mit dazu schreiben...Bitte das Tutorial erst mal von vorne bis hinten durchlesen, um es auch zu verstehen..
Wer auf Debian als Root arbeitet, kann den Teil (7) wo man sich als su einloggt weglassen und auch sonst den vorangestellten Befehl sudo weg lassen...
### 1. Befehle die in der Konsole per
Sie müssen registriert sein, um Links zu sehen.
oder direkt auf der Tastatur eingegeben werden ###1. Als erstes müsst Ihr OpenVPN installieren mit
Code:
sudo apt-get install openvpn2. Dann mit diesem Befehl die Beispielconfigs kopieren
Code:
sudo cp /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz /etc/openvpn/3. OpenVPN Server Config entpacken mit
Code:
sudo gunzip /etc/openvpn/server.conf.gzund Kopieren mit
Code:
sudo cp -r /usr/share/doc/openvpn/examples/easy-rsa/2.0 /etc/openvpn/easy-rsa24. Ins Easy-Rsa2 Verzeichnis wechseln mit
Code:
cd /etc/openvpn/easy-rsa2/5. Die Datei vars editieren
Code:
sudo nano varsFolgende Einträge suchen und durch Eure Daten ersetzen:
Code:
export KEY_COUNTRY="DE"
export KEY_PROVINCE="BY"
export KEY_CITY="Muenchen"
export KEY_ORG="Servername"
export KEY_EMAIL="mail@adresse.de"Nano beenden mit Strg+C und J/Y für speichern
6. Im selben Verzeichnis den Ordner keys anlegen
Code:
sudo mkdir keys7. Ab hier bitte als su arbeiten! In der Konsole einfach folgendes Eintippen um kurzzeitig als su fungieren zu können...
Code:
sudo su8. Anschließend gehts weiter mit
Code:
source ./vars
./clean-all
./build-caImmer mit Enter/Return bestätigen
9. Server Key erstellen (der dauert etwas länger)
Code:
./build-key-server serverDas Passwort kann hier leer gelassen werden
10. Hier wird der Key von den Usern erstellt... Der Vorgang kann sooft wie man will wiederholt werden wenn man mehrere User auf dem VPN Server connecten lassen möchte.
Code:
./build-key ersteruser # ersteruser vielleicht ersetzen mit einem "nickname"
./build-key zweiteruser # hier auch
./build-key dritteruser # hier auchDas geschieht nach dem gleichen Prinzip wie gerade eben beim Server, jedoch muss nun bei "Common Name" jeweils der Name des Clients eingetragen werden.
11. Hier wird der
Sie müssen registriert sein, um Links zu sehen.
generiert.
Code:
./build-dh12. Jetzt wird die server.conf geöffnet und angepasst
Code:
nano /etc/openvpn/server.confIn der Datei müssen folgende Pfade angepasst werden... Einfach den Bereich suchen wo die Certifikate verlangt werden und dann die Pfade dementsprechen anpassen.
Code:
ca ./easy-rsa2/keys/ca.crt
cert ./easy-rsa2/keys/server.crt
key ./easy-rsa2/keys/server.key # Diese Datei darf keiner bekommen und sollte geheim gehalten werden!
dh ./easy-rsa2/keys/dh1024.pem # Diffie-Hellman-ParameterDen Port hier in der config auf jeden Fall anpassen, wenn man vom Standardport abweichen will. Also von z.B. von 1149 auf 11194
13. Um jetzt im eigenen Lan nicht nur den Rpi zu sehen sondern auch noch die anderen PCs die laufen muss noch folgender Befehl ans Ende der openvpn.conf hinzugefügt werden.
Hier natürlich den IP Range durch Eure ersetzen... Z.b. 192.168.2.0 - wenn Euer Router auf z.B. 192.168.2.1 hört, dann solltet Ihr den Range 192.168.2.0 benutzen.
Code:
push "route 192.168.2.0 255.255.255.0"Anschließend auch den Befehl in der Konsole ausführen um das interne Lan sichtbar zu machen:
Code:
sysctl -w net/ipv4/ip_forward=1Um diese Änderung permanent zu machen, kann man sie in die Datei /etc/sysctl.conf eintragen mit
Code:
nano /etc/sysctl.confund dann ganz am Ende folgendes anfügen:
Code:
net.ipv4.ip_forward=1Schließen mit Strg+X und J/Y für speichern
14. Um den Server als Default Gateway zu nutzen - um zum Beispiel unsicher Wlans zu "sichern" (Flughäfen, Nachbarn usw.) sollte man das noch in die letzte Zeite der openvpn.conf einfügen:
Code:
push "redirect-gateway def1 bypass-dhcp"15. Zur lokalen Sicherheit sollte man den VPN Dienst noch unter einem eigenen User laufen lassen, dem kein Login ermöglicht wird. Das macht man so:
Code:
adduser --system --no-create-home --disabled-login openvpn
addgroup --system --no-create-home --disabled-login openvpn16. Den Openvpn Dienst neustarten mit
Code:
/etc/init.d/openvpn restart17. SU Beenden
Code:
exit### 2. Arbeiten auf der Fritzbox ###
Ich habe hier leider nur die Fritzbox daheim und kann Euch deshalb nur sagen wo man das in der Fritzbox anstellt, damit euer Server als Gateway dient, wenn man sich in einem fremden W-Lan befindet.
Fritzbox: PORTFREIGABE machen 11194 UDP # habe eine 1 vorne mit dran gehängt um vom Standardport abzuweichen...
1. In der Fritzbox einloggen (Browser, IP Adresse eingeben und Passwort eingeben...)
2. Expertenansicht aktivieren
3. Dann auf "Heimnetz" wechseln
4. Dann auf "Netwerkeinstellungen" wechseln und den Punkt "IP Routen" anwählen.
5. "Neue Route"
6. Hier sind meine Einstellungen:
Code:
Netzwerk: 10.8.0.0 # Das ist der IP Bereich, den dann der VPN User bekommt
Subnetzmaske: 255.255.255.0
Gateway: 192.168.X.XX # XX = IP von Deinem Server hier eintragen7. Route aktivieren und auf OK.
8. Portfreigabe nicht vergessen
Das wars erst mal... Viel Spaß beim testen...
Ich habe mich bei der Anleitung an das Tutorial von OpenVPN Wiki für Ubuntu User (googlen) gehalten und es hat auf Anhieb funktioniert...
Über ein Danke und kommentare würde ich mich freuen!
Edit: sudo su hinzugefügt und kryptische Gänsefüsschen ausgetauscht
EDIT by szonic:
Erweiterung aus Post 17 für Verbindungen mit Apple-Geräten:
1. Schritt 13. in dem How-To musste ich raus nehmen, da ich sonst einen Connection timeout hatte. Aber ich komme trotzdem an alle anderen PC's/router im Netzwerk
2. Die vpn_connection.ovpn sieht bei mir so aus:
Code:
[INDENT]client[/INDENT]
[INDENT]dev tun[/INDENT]
[INDENT]proto udp[/INDENT]
[INDENT]remote <DYNDNS_ADRESSE> <PORT> #DEFINITIV ANPASSEN[/INDENT]
[INDENT]resolv-retry infinite[/INDENT]
[INDENT]nobind[/INDENT]
[INDENT]persist-key[/INDENT]
[INDENT]persist-tun[/INDENT]
[INDENT]ca ca.crt[/INDENT]
[INDENT]cert user1.crt #EVENTUELL ANPASSEN[/INDENT]
[INDENT]key user1.key #EVENTUELL ANPASSEN[/INDENT]
[INDENT]comp-lzo[/INDENT]
[INDENT]verb 3
[/INDENT]4. Die App öffnen und die Verbindung mit dem grünen Plus importieren.
Zuletzt bearbeitet:
