[HOW TO] OpenVPN - Mini-Howto

Bitte loggen sie sich ein oder registrieren sie sich.

Einloggen mit Benutzername, Passwort und Sitzungslänge
Erweiterte Suche  

Autor Thema: [HOW TO] OpenVPN - Mini-Howto  (Gelesen 4027 mal)

0 Mitglieder und 1 Gast betrachten dieses Thema.

uname

  • Gast
[HOW TO] OpenVPN - Mini-Howto
« am: 06.Juli 2009, 08:11:38 »

Hallo,

nachdem ich OpenVPN auf meinem V-Server installiert habe, wollte ich ein kurzes Howto schreiben. Ich nutze Debian, Ubuntu sollte ähnlich gehen.

1.) evtl. booten, damit das Device auch da ist

OpenVPN installieren:
apt-get update
apt-get install openvpn

Nun ist die Frage der Authentifizierung. Bei nur einem Client und Server nutze ich einen Preshared-Key, den ich wie folgt erzeuge:

openvpn --genkey --secret static.key
Der Key kommt in /etc/openvpn und muss sicher auf den Client (Windows/Linux) übertragen werden, z.B. per SSH. Key liegt dort wo das Config-File rumliegt.

Dann braucht man eine server.conf auf dem Server und eine client.conf bzw. client.opvn (Windows) für den Client. OpenVPN erkennt daraus ob es Client oder Server ist.

server.conf:
dev tun0
tun-mtu 1492
proto udp
port 1194
ifconfig 10.0.0.1 10.0.0.2
secret /etc/openvpn/static.key
comp-lzo
tun-mtu 1500
tun-mtu-extra 32
verb 3
mute 50
keepalive 10 60
ping-timer-rem
persist-key


client.conf (client.ovpn):
dev tun0
proto udp
port 1194
remote remote-ip-adress-or-remote-host-name
ifconfig 10.0.0.2 10.0.0.1
secret static.key
comp-lzo
tun-mtu 1500
tun-mtu-extra 32
verb 3
mute 50
persist-key
persist-tun


Server starten
/etc/init.d/openvpn start
Client starten:

Linux:
/etc/init.d/openvpn start

Windows:
OpenVPN-GUI, rechte Maustaste, Eintrag auswählen

So nun sollte man eine Point-to-Point-Verbindung zwischen 10.0.0.2 (Client) und 10.0.0.1 (Server) haben. Alles was nun nach 10.0.0.1 geht geht über den Tunnel. Es bietet sich z.B. Samba an um nur eine Anwendung zu nennen. Natürlich darf Samba nur auf tun0 bzw. 10.0.0.1 horchen.

« Letzte Änderung: 18.Juni 2010, 06:29:46 von Forum-Support2 »
Gespeichert


MBulli

  • Grünschnabel
  • *
  • Offline Offline
  • Beiträge: 3
Re: OpenVPN - Mini-Howto
« Antwort #1 am: 09.Juli 2009, 20:27:12 »

Gespeichert

fatony

  • Grünschnabel
  • *
  • Offline Offline
  • Beiträge: 28
Re: OpenVPN - Mini-Howto
« Antwort #2 am: 22.Oktober 2009, 07:25:52 »

Nun ist die Frage der Authentifizierung. Bei nur einem Client und Server nutze ich einen Preshared-Key, den ich wie folgt erzeuge:

openvpn --genkey --secret static.key
Der Key kommt in /etc/openvpn und muss sicher auf den Client (Windows/Linux) übertragen werden, z.B. per SSH. Key liegt dort wo das Config-File rumliegt.

Dann braucht man eine server.conf auf dem Server und eine client.conf bzw. client.opvn (Windows) für den Client. OpenVPN erkennt daraus ob es Client oder Server ist.

server.conf:
dev tun0
tun-mtu 1492
proto udp
port 1194
ifconfig 10.0.0.1 10.0.0.2
secret /etc/openvpn/static.key
comp-lzo
tun-mtu 1500
tun-mtu-extra 32
verb 3
mute 50
keepalive 10 60
ping-timer-rem
persist-key


client.conf (client.ovpn):
dev tun0
proto udp
port 1194
remote remote-ip-adress-or-remote-host-name
ifconfig 10.0.0.2 10.0.0.1
secret static.key
comp-lzo
tun-mtu 1500
tun-mtu-extra 32
verb 3
mute 50
persist-key
persist-tun


Server starten
/etc/init.d/openvpn start
Client starten:

Linux:
/etc/init.d/openvpn start

Windows:
OpenVPN-GUI, rechte Maustaste, Eintrag auswählen

So nun sollte man eine Point-to-Point-Verbindung zwischen 10.0.0.2 (Client) und 10.0.0.1 (Server) haben. Alles was nun nach 10.0.0.1 geht geht über den Tunnel. Es bietet sich z.B. Samba an um nur eine Anwendung zu nennen. Natürlich darf Samba nur auf tun0 bzw. 10.0.0.1 horchen.





Ich habe den static.key ,der in "/root/" erstellt wurde in "/etc/openvpn" kopiert . Dann habe ich dort im File "/etc/openvpn" die
"server.conf" eingefügt ( mit dem Inhalt ,den du angegeben hast ) , dann gestartet . Alles von O.K. auf der Seite des Servers.

Beim Client ( ich habe openvpn windows client heruntergeladen und installiert ) habe ich die Client.conf in "C:\Programme\OpenVPN\sample-config"
bearbeitet und die daten eingesetzt ,die du oben eingegeben hast ( IPbzw. Hostname geändert zu "remote SERVERIP 255.255.255.0") .
Wenn ich nun OpenVPN client starte erschreint erstmal ein Fenster ,worin gefragt wird ,welche Einstellungen übernommen werden sollen .
Ich habe das Feld "Use OpenVPN Config-File Settings" ausgewählt. Jedoch sind die zwei Computerbildschirme unten rechts rot und es wird keine Verbindung hergestellt.
Brauche beim einstellen des CLienten wohl hilfe ! ODER gibt es einen anderen Weg über Windows PPTP Dienst ?
THX im voraus !
Gespeichert

uname

  • Gast
Re: OpenVPN - Mini-Howto
« Antwort #3 am: 22.Oktober 2009, 07:57:49 »

Überprüfe auf dem Server, ob das Device da ist:

ifconfig tun0sollte ein Device "tun0" mit IP 10.0.0.1 ausgeben.


Zitat
ODER gibt es einen anderen Weg über Windows PPTP Dienst ?
Dann müsstest du auch den Server ändern. OpenVPN für Windows ist schon richtig.

Zitat
remote SERVERIP 255.255.255.0

Wo kommt denn wohl die Subnetzmaske her? Habe lange kein Windows mehr gebootet. Müsste mal schauen ob das dort vielleicht doch so muss. Vielleicht mal weglassen.

Benenn sicherheitshalber noch das Clientprofil um, damit du einen richtigen Namen auswählen kannst. Auch sollte es irgendwo unter C:\Programme\OpenVPN ein Logfile geben. Poste die Ausgabe.
« Letzte Änderung: 22.Oktober 2009, 07:59:45 von uname »
Gespeichert

fatony

  • Grünschnabel
  • *
  • Offline Offline
  • Beiträge: 28
Re: OpenVPN - Mini-Howto
« Antwort #4 am: 22.Oktober 2009, 09:01:37 »

ok....problem war erstens : Subnetzmarke war net 255.255.255.0 ,sondern 255.255.255.255 ,und ich habe vergessen den static.key in den OpenVPN ordner zu kopieren . das nächste problem ist jetzt ,dass da immer folgendes steht ,wenn ich eine config mit OPENVPN starte : "Connection reset by peer WSAECONNRESET <code=10054>" <<<<<kommt das . Woran liegt das ?

@1.Edit : Die Subnetzmarke ,die ich eingegeben habe gehört auch weg...Danke dir uname! Du bist ein Schatz ! !

Ein paar fragen bleiben noch ^^

1.
Ist es denn schlimm ,wenn ich es über root laufen lasse ? wenn ja...wie change ich den User für die files und gebe den rechte im nachhinein ?

2.
Wenn ich auf www.wie-ist-meine-ip.de gehe wird mir dort meine Ip angezeigt und keine andere....warum ? ich dachte das anonymisiert und ist sicherer oder ?

« Letzte Änderung: 22.Oktober 2009, 09:13:00 von fatony »
Gespeichert

uname

  • Gast
Re: OpenVPN - Mini-Howto
« Antwort #5 am: 22.Oktober 2009, 09:25:39 »

Erst mal hat du mit der openVPN-Konfiguration nur einen Tunnel zwischen 10.0.0.2 (Client) und 10.0.0.1 (Server) gelegt. Alles was du auf 10.0.0.1 aufrufst geht durch den Tunnel. Das sind normalerweise unsichere Dienste wie z.B. Samba und dafür ist es auch gedacht.

Das openVPN zur Anonymisierung von Internet-Traffic zu nutzen ist beim Betatest meiner Meinung nach nicht vorgesehen, da es verboten ist. Es generiert nämlich auf den Betatest-Servern sowohl eingehenden als auch ausgehenden Traffic. Das gesamte Surfen würde umgeleitet.

Ja es würde gehen. Hierfür musst du am Client das Default-GW auf 10.0.0.1 umleiten, so dass alle Pakete durch den Tunnel laufen (aktuell gehen sie dran vorbei, schau netstat -rn im DOS-Fenster).

Zudem müsstest du auf dem Server sicherstellen, dass die Pakete auch ins Internet weitergeleitet werden. Das könnte vielleicht mit Masquerading gehen, sofern man es überhaupt konfiguriert bekommt (Stichwort iptables).

Normalerweise leitet man jedoch nicht das Routing, sondern einzelne Anwendungen um. So könntest du auch auf dem V-Server einen Proxy betreiben (z.B. Tinyproxy) und den Port des Tinyproxy (z.B. Port 8080) im Browser als 10.0.0.1:8080 eintragen.
Das Umleiten von Anwendungen kann man im übrigen auch ohne openVPN z.B. mit SSH-Forwarding realisieren.

Aber denk daran. Erlaubt ist das "Surfen" über den V-Server nicht.
« Letzte Änderung: 22.Oktober 2009, 09:27:37 von uname »
Gespeichert

fatony

  • Grünschnabel
  • *
  • Offline Offline
  • Beiträge: 28
Re: OpenVPN - Mini-Howto
« Antwort #6 am: 22.Oktober 2009, 10:30:41 »

dankeschön ! mit dem proxy lass ich es lieber.....^^...ist ja verboten....verbessert ein vpn den ping ? zum beispiel bei umts sticks ?

außerdem....wenn ich OpenVPN laufen lasse dann drücke ich nicht auf das OpenVPN starter icon ,sondern ich rechtsklicke auf die OpenVPN Conf. datei und drücke auf "Start OpenVPN on thisconfig file" .Dann läuft es auch aber halt nur mit DOS-Fenster und nicht mit einem Icon unten rechts. Ist das Ok ?
Laufen also dann alle Spiele automatisch über dieses OpenVPN ?

OpenVPN Kompression ( habe ich grad in google.de gelesen ) ist aber auch aktiviert oder ?
« Letzte Änderung: 23.Oktober 2009, 07:57:18 von fatony »
Gespeichert

hms

  • Grünschnabel
  • *
  • Offline Offline
  • Beiträge: 22
Re: OpenVPN - Mini-Howto
« Antwort #7 am: 23.Oktober 2009, 21:56:21 »

Hey vielen, dank funktioniert prima, nur eine Frage: Wie kann mehrere Clients zum VPN Server verbinden lassen?

Jeweils mit eigener IP und funktionieren dann Multicast Anwendungen? (wahrscheinlich schon wenn SMB auch geht)
Gespeichert

uname

  • Gast
Re: OpenVPN - Mini-Howto
« Antwort #8 am: 24.Oktober 2009, 06:31:28 »

Musst mal probieren. Man kann sehr viel machen. Bei sehr vielen Clients nutzt man keine manuellen IP-Adressen und auch keine Preshared-Keys mehr. Dann setzt man auf Zertifikate bzw. auf IEEE 802.1X .
Gespeichert

MichaelP

  • Mitglied
  • *
  • Offline Offline
  • Geschlecht: Männlich
  • Beiträge: 380
  • EUSERV- Betatester
Re: OpenVPN - Mini-Howto
« Antwort #9 am: 24.Oktober 2009, 09:05:32 »

coole sache danke =)
Gespeichert
Euserv Betaserver:
- Debian 32Bit
- Webhosting(ispcp)
- Performance-Test ( aufgrund meiner Überlasteten Hostnode im Moment net =/ )

kevinq

  • Grünschnabel
  • *
  • Offline Offline
  • Geschlecht: Männlich
  • Beiträge: 4
    • Webseiten von Kevin Quiatkowski
Re: [HOW TO] OpenVPN - Mini-Howto
« Antwort #10 am: 22.Juni 2010, 17:39:35 »

bei mir klappt das irgendwie nicht. hab alle schritte nach anleitung gemacht.

root@********:~# /etc/init.d/openvpn start
 * Starting virtual private network daemon.
 * server (FAILED)
                                                                         [ OK ]
root@********:~# ifconfig tun0
tun0: Fehler beim Auslesen der Schnittstelleninformation: Gerät nicht gefunden

edit:

hab noch was versucht, werde da aber auch nicht viel schlauer draus
openvpn --config /etc/openvpn/server.conf
Tue Jun 22 19:13:46 2010 OpenVPN 2.1_rc7 x86_64-pc-linux-gnu [SSL] [LZO2] [EPOLL] built on May  8 2009
Tue Jun 22 19:13:46 2010 /usr/sbin/openvpn-vulnkey -q /etc/openvpn/static.key
Tue Jun 22 19:13:48 2010 WARNING: file '/etc/openvpn/static.key' is group or others accessible
Tue Jun 22 19:13:49 2010 Static Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Tue Jun 22 19:13:49 2010 Static Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Tue Jun 22 19:13:49 2010 Static Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Tue Jun 22 19:13:49 2010 Static Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Tue Jun 22 19:13:49 2010 LZO compression initialized
Tue Jun 22 19:13:49 2010 Note: Cannot open TUN/TAP dev /dev/net/tun: No such file or directory (errno=2)
Tue Jun 22 19:13:49 2010 Note: Attempting fallback to kernel 2.2 TUN/TAP interface
Tue Jun 22 19:13:49 2010 Cannot open TUN/TAP dev /dev/tun0: No such file or directory (errno=2)
Tue Jun 22 19:13:49 2010 Exiting
« Letzte Änderung: 22.Juni 2010, 19:19:49 von kevinq »
Gespeichert

uname

  • Gast
Re: [HOW TO] OpenVPN - Mini-Howto
« Antwort #11 am: 23.Juni 2010, 13:35:02 »

Tue Jun 22 19:13:49 2010 Note: Cannot open TUN/TAP dev /dev/net/tun: No such file or directory (errno=2)
Dein System hat Probleme mit dem TUN/TAP-Devices. Was hast du für einen Server? Ohne die Unterstützung von virtuellen Netzwerk-Kerneltreiber funktioniert das ganze nicht. Frage unter Umständen deinen Provider.
Gespeichert

hiddenbit

  • Grünschnabel
  • *
  • Offline Offline
  • Beiträge: 1
Re: [HOW TO] OpenVPN - Mini-Howto
« Antwort #12 am: 20.März 2011, 21:52:33 »

Hallo Leute, ich habe das gleiche Problem, aber eines wundert mich. Ich hatte gestern abend OpenVPN auf dem Beta VPS mit Debian 5.05r noch laufen. Ich musste aber heute ein Reinstall durchführen und jetzt erhalte ich auch den tun0-Fehler. Das Interface wird beim Installieren nicht angelegt, folglich lässt sich das Daemon nicht starten.

Habt ihr weitere Erkenntnisse?
Gespeichert

Rhulemedia

  • Grünschnabel
  • *
  • Offline Offline
  • Beiträge: 1
Re: [HOW TO] OpenVPN - Mini-Howto
« Antwort #13 am: 20.April 2011, 14:47:49 »

Moin, habe das gleiche Problem wie mein Vorredner.
Gestern Abend lief alles noch mit der Debian 6 Beta.
Vorhin mache ich Reinstall und es geht wieder nicht...
weiß jemand was man machen soll ?
Gespeichert

trecky

  • Grünschnabel
  • *
  • Offline Offline
  • Beiträge: 13
Re: [HOW TO] OpenVPN - Mini-Howto
« Antwort #14 am: 23.Juli 2011, 09:46:09 »

Die Lösung ist einfach :-)

cd /dev
mkdir net
mknod /dev/net/tun c 10 200
mknod /dev/tap c 36 16

Gespeichert
 

Seite erstellt in 2.196 Sekunden mit 16 Abfragen.