Einstellungen Openvpn

Einrichten des lokalen Netzes, Verbindung zu anderen Computern und Diensten.
Antworten
croixaigle
Beiträge: 43
Registriert: 09.09.2017 14:19:57

Re: Einstellungen Openvpn

Beitrag von croixaigle » 12.10.2017 21:46:06

ich habe noch was gefunden, hoffe das passt und macht keine späteren konflikt Probleme:
# nano /etc/sysctl.conf

im Texteditor, entfernen das Kommentarzeichen "#" vor der Zeile "#net.ipv4.ip_forward=1" und aktivieren nach dem Speichern der Datei die Änderung mit diesem Befehl:

# sysctl -p /etc/sysctl.conf

Nun muss noch mit dem Paketfilter iptables, der Teil des Linux-Kernels ist, eine Weiterleitung für die VPN-Pakete eingerichtet werden. Mit den beiden Befehlen

# iptables -A INPUT -i tun+ -j ACCEPT
# iptables -A FORWARD -i tun+ -j ACCEPT

erstellen Sie die Regeln für das VPN-Netzwerk-Interface und mit den weiteren drei Befehlen

# iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
# iptables -t nat -F POSTROUTING
# iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE (statt eth0 kann es sein z.b. enp0s9 oder enp0s25)

legen Sie fest, dass die VPN-Clients auch in das lokale Netzwerk und ins Internet kommen. Damit diese Regeln immer gleich automatisch nach dem Start des Raspberry Pi aktiv werden, geben Sie

# iptables-save > /etc/iptables.up.rules

ein, um die aktuellen Einstellungen von iptables zu sichern. Erstellen Sie mit

# nano /etc/network/if-pre-up.d/ iptables

eine neue Script-Datei, der Sie den Inhalt

#!/bin/bash
/sbin/iptables-restore < /etc/ iptables.up.rules

geben und speichern. Jetzt müssen Sie die Datei nur noch mit\

# chmod +x /etc/network/ if-pre-up.d/iptables

ausführbar machen.
Ich komme bei dem Befehl nicht weiter: chmod +x /etc/network/ if-pre-up.d/iptables
chmod: Zugriff auf 'if-pre-up.d/iptables' nicht möglich: Datei oder Verzeichnis nicht gefunden
Obwohl ich root bin

TomL

Re: Einstellungen Openvpn

Beitrag von TomL » 12.10.2017 22:51:44

Du brauchst keine IPtables, das funktioniert auch ohne. Ich klink mich jetzt aber hier aus... das Vorgehen ist mir (trotz mehrerer Hinweise) zu unstrukturiert... einfach mal hier was machen, und da was probieren und dann wieder an anderer Stelle noch was neues machen... das führt nur mühsam und rein zufällig ans Ziel.

Wenn bisher keine Iptables gesetzt sind, kannst Du den Teil mit den Firewall-Regeln vergessen.... den braucht es nicht. Das sind in Kurzform die zu erledigenden Schritte und die notwendige Reihenfolge.

Server:
1. Keys und Zertifikate mit dem RSA-Tool erzeugen
2. Linux-seitig IPv4-Forwarding aktivieren
3. die Openvpn.conf einrichten, dabei dem VPN ein eigenes Netz vergeben
4. Das VPN für den Start über init.d deaktiveren
5. Den Start über eine Service-Unit einrichten

Router:
6. Der Fritzbox den DynDNS-Betreiber mitteilen, damit sie beim Wechsel die neue IP mitteilen kann
7. Port-Forwarding aktivieren und den Zielrechner (OpenVPN-Server) eintragen
8. VPN-Port für UDP freigeben. Wenn auch noch eine TCP-Session (z.B. für Port 443) eingerichtet werden soll, muss die auch freigegeben werden. Ich habe das so gemacht, weil es Netzbetreiber gibt, die UDP-Traffic blocken. Dann is nix mit VPN-Zugang und sicherem Surfen. Ich wechsel dann auf die zweite Session... eben TCP.

Clients:
9. Die OVPN-Confs einrichten und dort den DynDNS-Namen des Routers eintragen.
10. die zuvor auf dem Server erstellten Keys und Zertfikate für diese Maschine installieren

Testen:
10. Eine Smartphone nehmen, mobile Daten aktivieren, Thetering aktivieren und mit einem
Laptop am WLAN des Handy anmelden. Damit befindet sich der Laptop ausserhalb des
Fritzbox-Netzes und hat trotzdem einen Internetzugang.

11 mit Ping {fritzbox-DynDns} versuchen den Router zu erreichen.
12. Wenn der Router anwortet, das Server-VPN beenden, comment-tag vor den Logs in der Conf
setzen und erneut im Vordergrund starten. Dann das Client-VPN auf dem Laptop starten, ebenfalls
im Vordergrund und auf beiden System die Fehler im Terminal-Display beobachten.

Wenns läuft, alles gut, ansonsten Fehler beheben. Am ende wieder die Comment-tags entfernen und den Dienst via systemctl starten.

Das wars. An dieser Beschreibung kannst Du Dich orientieren, die entspricht dem, was Du vorhast. Aber auch hier gilt, wenn bisher keine Firewall werkelt, ist auch hier kein NAT notwendig.
http://wiki.openvpn.eu/index.php/Konfig ... etgateways

eggy
Beiträge: 3331
Registriert: 10.05.2008 11:23:50

Re: Einstellungen Openvpn

Beitrag von eggy » 13.10.2017 16:58:05

croixaigle hat geschrieben: ↑ zum Beitrag ↑
12.10.2017 21:46:06
# chmod +x /etc/network/ if-pre-up.d/iptables
Ich komme bei dem Befehl nicht weiter: chmod +x /etc/network/ if-pre-up.d/iptables
chmod: Zugriff auf 'if-pre-up.d/iptables' nicht möglich: Datei oder Verzeichnis nicht gefunden
Obwohl ich root bin
Erstens: Wenn man Anleitungen kopiert, gehörts zum guten Ton die Quelle anzugeben.
Zweitens: Da ist nen Leerzeichen was da nicht reingehört.
Drittens: Anleitungen aus dem Netz ausführen, ohne zu verstehen was da passiert, ist ne doofe Idee. Lieber hier oder woanders (falls $woanders besser zum Thema passt) verlinken und dann gezielt nachfragen.

croixaigle
Beiträge: 43
Registriert: 09.09.2017 14:19:57

Re: Einstellungen Openvpn

Beitrag von croixaigle » 14.10.2017 20:46:44

Entschuldigung. Die Anleitung habe ich vor längerer Zeit aus dem netz geholt und es in mein Wiki eingefügt. Ich würde zu gerne die Quelle angeben.
Aktuell habe ich nichts gemacht. Komme mit der Anleitung von Toml nicht ganz zu recht.
Firewall wurde auch nicht aktiviert oder der gleichen.
Frage ist, was ich wo eintrage, wenn ich die Anleitung vom Toml anschaue, habe ich einige Punkte abgeschlossen und andere sind die Frage, wie wo was.
So lange ich nicht auf ein nenner komme, stelle ich es erst mal ein, zumüllen geht immer. Das möchte ich nicht.

Antworten