{"id":603,"date":"2010-02-01T10:00:15","date_gmt":"2010-02-01T08:00:15","guid":{"rendered":"http:\/\/www.butschek.de\/?p=603"},"modified":"2012-03-11T12:43:09","modified_gmt":"2012-03-11T11:43:09","slug":"openvpn-einrichten","status":"publish","type":"post","link":"https:\/\/www.butschek.de\/2010\/02\/01\/openvpn-einrichten\/","title":{"rendered":"OpenVPN einrichten"},"content":{"rendered":"

\"\"<\/a>Im Artikel SSH-Tunnel: Proxy \u00fcber SSH<\/a> habe ich bereits \u00fcber die M\u00f6glichkeit eines „Pseudo-VPNs“ berichtet. Nun will ich zeigen, wie man mit der Software OpenVPN ein einfaches Point-to-Point VPN einrichten kann.<\/p>\n

Ziel soll es sein, auf einem Server OpenVPN so zu installieren, dass es auf einem UDP-Port eine verschl\u00fcsselte Verbindung entgegennimmt. Als Client benutze ich dazu unter Windows die Software OpenVPN-Portable, da diese gleich die GUI mit dabei hat und dar\u00fcberhinaus auch auf dem USB-Stick mitgenommen werden kann.<\/p>\n

Eine einfache Steuerung von Serverdiensten ohne die Dienste dabei frei im Internet erreichbar zu haben, wie es Maxe<\/a> im SSH-Tunnel Thema ansprach, ist damit sehr einfach m\u00f6glich.<\/p>\n

Zuerst installieren wir den Server, was unter Debian oder Ubuntu mit einem einfachen `apt-get install openvpn` geschieht. Danach in \/etc\/openvpn alle Beispiele l\u00f6schen und im gleichen Verzeichnis mit `openvpn –genkey –secret server.key` eine Keydatei anlegen, die k\u00fcnftig als Passwort zum VPN dient. Vor dem Neustart des Servers (\/etc\/init.d\/openvpn restart) sollte mit `modprobe tun` noch das Tunnel-Device unter Linux angelegt werden.<\/p>\n

Nun ist noch die Server-Konfiguration zu erstellen. Hier schlage ich folgenden Inhalt f\u00fcr die server.conf vor:<\/p>\n

mode p2p\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 # Connection Mode: Point-2-Point\r\ndev tun\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 # Device: Tunnel\r\n\r\nproto udp\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 # Protocol (udp\/tcp-server\/tcp-client)\r\nport 1194\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 # Listen port\r\n\r\nsecret server.key\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 # Secred \"password\" file\r\n\r\nifconfig 10.1.75.1 10.1.75.2\u00a0\u00a0\u00a0\u00a0\u00a0 # local ip <-> remote ip\r\n\r\nping 10\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 # Keepalive ping every 10 seconds\r\nping-restart 60\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 # Reconnect after 60 seconds of no answer\r\nping-timer-rem\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 # Restart ping only if we have a remote ip\r\npersist-key\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 # Don't re-read key files across ping-restart\r\npersist-tun\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 # Don't reopen TUN\/TAP across ping-restart\r\n\r\nuser root\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 # Systemuser\r\ngroup nogroup\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 # Systemgroup\r\n\r\nverb 3\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 # Give some more informations (default: 1)\r\nlog-append \/var\/log\/openvpn.log\u00a0\u00a0 # Logfile<\/pre>\n
Auf der Client-Seite (Windows) ist OpenVPN Portable von der Sourceforge Projektseite (http:\/\/sourceforge.net\/projects\/ovpnp\/<\/a>) herunterzuladen und zu entpacken. Im Ordner data\/config ist dann das Keyfile vom Server (und zwar genau das gleiche!) sowie die Konfiguration abzulegen. Diese ender unter Windows mit .ovpn, als Dateiname empfielt sich den Namen des Servers zu w\u00e4hlen, also z.B. meinserver.opvn. Das File k\u00f6nnte so aussehen:<\/p>\n
mode p2p\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 # Connection Mode: Point-2-Point\r\ndev tun\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 # Device: Tunnel\r\n\r\nproto udp\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 # Protocol (udp\/tcp-server\/tcp-client)\r\nremote meinserver.de 1194\u00a0\u00a0 \u00a0\u00a0\u00a0\u00a0\u00a0 # Server address and port\r\nnobind\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 # Do not bind any fixed port\r\n\r\nsecret hostname.key\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 # Secred \"password\" file\r\n\r\nifconfig 10.1.75.2 10.1.75.1\u00a0\u00a0\u00a0\u00a0\u00a0 # local ip <-> remote ip\r\n\r\nping 10\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 # Keepalive ping every 10 seconds\r\nping-restart 60\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 # Reconnect after 60 seconds of no answer\r\nping-timer-rem\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 # Restart ping only if we have a remote ip\r\npersist-key\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 # Don't re-read key files across ping-restart\r\npersist-tun\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 # Don't reopen TUN\/TAP across ping-restart\r\n\r\n# Use this only if you want to change your default routes!\r\n# redirect-gateway def1\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 # change default gateway\r\n# dhcp-option DNS 8.8.8.8      \u00a0\u00a0\u00a0\u00a0 # set DNS resolver in the new network\r\n\r\n# When having problems with vista use this options:\r\n# route-method exe\r\n# route-delay 2<\/pre>\n
Damit haben wir alles Konfiguriert. Startet man OpenVPN Portable nun und erlaubt die Installation der Tunnel-Netzwerktreiber, so kann das VPN zum Server sofort gestartet werden. Nach dem Start findet man ein neues Netzwerk-Interface mit der Adresse 10.1.75.2, welcher auf der Seite des Servers endet. Der Server kann nun direkt \u00fcber die VPN-Adresse 10.1.75.1 angesprochen werden.<\/p>\n
Sollte das nicht klappen k\u00f6nnte eventuell noch eine lokale Firewall schuld sein. Wir sollten erstmal Pakete zum OpenVPN-Server sowie Pakete vom tun-Interface durchlassen:<\/p>\n
iptables -A INPUT -m udp -p udp --dport 1194 -j ACCEPT\r\niptables -A INPUT -i tun+ -j ACCEPT<\/pre>\n
Wenn alles klappt kann man sich \u00fcberlegen, ob man mit der Verbindung nur den Server erreichen will oder auch gleich alle Routen dar\u00fcber schicken m\u00f6chte, um z.B. mit der IP-Adresse des Servers online zu sein.<\/p>\n
Um alle Routen beim Verbindung umzubiegen sind in der Client-Config die beiden auskommentierten Zeilen redirect-gateway sowie die dhcp-option einzuf\u00fcgen. Ausserdem muss dem Server klargemacht werden, dass er nun f\u00fcr das Routing zust\u00e4ndig ist und die privaten IP-Adressen auch gleich per NAT auf seine eigene umschreiben soll:<\/p>\n
# Routing & Masquerade aktivieren\r\nsysctl -w net\/ipv4\/ip_forward=1\r\niptables -t nat -A POSTROUTING -s 10.1.75.0\/24 -o eth0 -j MASQUERADE<\/pre>\n
Nach dem Neuverbinden sollte man nun \u00fcber den Server und mit dessen IP-Adresse im Internet h\u00e4ngen. Mit dem Link https:\/\/www.butschek.de\/tools\/ip\/<\/a> kann man das schnell und einfach pr\u00fcfen.<\/p>\n","protected":false},"excerpt":{"rendered":"
Im Artikel SSH-Tunnel: Proxy \u00fcber SSH habe ich bereits \u00fcber die M\u00f6glichkeit eines „Pseudo-VPNs“ berichtet. Nun will ich zeigen, wie man mit der Software OpenVPN ein einfaches Point-to-Point VPN einrichten kann. Ziel soll es sein, auf einem Server OpenVPN so zu installieren, dass es auf einem UDP-Port eine verschl\u00fcsselte Verbindung entgegennimmt. Als Client benutze ich […]<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":[],"categories":[4,5],"tags":[45,66,70,75,84,86],"_links":{"self":[{"href":"https:\/\/www.butschek.de\/wp-json\/wp\/v2\/posts\/603"}],"collection":[{"href":"https:\/\/www.butschek.de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.butschek.de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.butschek.de\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.butschek.de\/wp-json\/wp\/v2\/comments?post=603"}],"version-history":[{"count":2,"href":"https:\/\/www.butschek.de\/wp-json\/wp\/v2\/posts\/603\/revisions"}],"predecessor-version":[{"id":793,"href":"https:\/\/www.butschek.de\/wp-json\/wp\/v2\/posts\/603\/revisions\/793"}],"wp:attachment":[{"href":"https:\/\/www.butschek.de\/wp-json\/wp\/v2\/media?parent=603"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.butschek.de\/wp-json\/wp\/v2\/categories?post=603"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.butschek.de\/wp-json\/wp\/v2\/tags?post=603"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}