Hier erstmal meine server.conf
Meine wunderbare client.confca ./easy-rsa2/keys/ca.crt
cert ./easy-rsa2/keys/server.crt
key ./easy-rsa2/keys/server.key # Diese Datei geheim halten.
dh ./easy-rsa2/keys/dh2048.pem # Diffie-Hellman-Paramete
dev tun
proto udp
port 1194
user nobody
group nogroup
server 10.8.0.0 255.255.255.0
persist-key
persist-tun
status /var/log/openvpn-status.log
verb 3
client-to-client
push "redirect-gateway def1 bypass-dhcp"
#set the dns servers
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 8.8.4.4"
log-append /var/log/openvpn
comp-lzo
duplicate-cn
keepalive 10 120
Ich versteh selber nicht warum aber irgendwie hatte ich es Heute geschafft mit der config erfolgreich zu surfen. Nunja da hatte mein VServer auch alle mögliche iptable Regeln noch drin die ich aus Dokus und anderen Siten zusammen kopiert hatte Egal aber was ich jetzt versuche ich bekomme die richtigen Regeln nicht mehr reinca /etc/openvpn/ca.crt
cert /etc/openvpn/ersterclient.crt
key /etc/openvpn/ersterclient.key
remote VOLL.GEHEIM.X.X 1194
dev tun
client
proto udp
resolv-retry infinite
nobind
persist-key
persist-tun
comp-lzo
verb 3
Das ist alles offen bei meiner wunderbaren Firewall.
Und hier sind die wunderbaren Befehle dazuroot@46040:/home/cseipel# iptables -L
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT tcp -- anywhere anywhere tcp dpt:50013
ACCEPT tcp -- anywhere anywhere tcp dpt:https
ACCEPT udp -- anywhere anywhere udp dpt:openvpn
ACCEPT all -- anywhere anywhere
Chain FORWARD (policy DROP)
target prot opt source destination
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT all -- 10.9.8.0/24 anywhere
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
+ der Kram ausdem debian wiki https://wiki.debian.org/OpenVPN#!/bin/sh -e
/sbin/iptables -F
/sbin/ip6tables -F
##Weiterleitung Police Stop
/sbin/iptables -P FORWARD DROP
#INPUT Police Stop
/sbin/iptables -P INPUT DROP
#AUFPASSEN!!!!!!!!!!!!!!!!!!!!!!!!!!!!
/sbin/iptables -A INPUT -p tcp --dport 50013 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 443 -j ACCEPT
/sbin/iptables -A INPUT -p udp --dport 1194 -j ACCEPT
#Öffnet Input für selbst aufgebaute Verbindungen Stateful Inspection
/sbin/iptables -I INPUT 1 -m state --state RELATED,ESTABLISHED -j ACCEPT
/sbin/ip6tables -I INPUT 1 -m state --state RELATED,ESTABLISHED -j ACCEPT
#Akzeptiert INPUT für Localhost
/sbin/iptables -A INPUT -i lo -j ACCEPT
/sbin/ip6tables -A INPUT -i lo -j ACCEPT
#IPv6 INPUT POLICE WIRD GESTOPT
/sbin/ip6tables -P INPUT DROP
#IPv6 WEITERLEITUNG STOP
/sbin/ip6tables -P FORWARD DROP
Das tun Modul ist übrigens auf Server und Client aktiviertiptables -A FORWARD -i eth0 -o tun0 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -s 10.9.8.0/24 -o eth0 -j ACCEPT
iptables -t nat -A POSTROUTING -s 10.9.8.0/24 -o eth0 -j MASQUERADE