OpenVPN einrichten Part 1 – VPN-Server konfigurieren

Da ich mich seid ein Paar Wochen mit dem Thema Openvpn und co. beschäftige und gefühlte 1001 Howtos gelesen habe sowie die offizielle Dokumentation durch gearbeitet habe möchte ich euch hier mal 1 meiner erarbeiteten Nutzungs Möglichkeiten als kleines howto bereitstellen.

Als erstes prüfen wir ob auf unserem System Tun/Tap Device Supportet wird.
Fall nicht könnt ihr hier schon Diereckt aufhören weiter zu Lesen!!!!!!!!!

Das ganze wurde mit einem Frisch eingerichtetem Debian7.0 64 bit System

Part 1 Tun/Tap Device

1. Das System auf den neuesten Stand bringen

apt-get update && apt-get upgrade

2.Überprüfen ob TUN/TAP aktiviert ist
cat /dev/net/tun
cat: /dev/net/tun: File descriptor in bad state

Info: Wenn hier eine Meldung der Art “File descriptor in bad state” erscheint dann ist alles in Ordnung und TUN/TAP ist aktiviert. Wenn hier hingegen eine Meldung der Form “No such device” erscheint dann sollte der Support des Hosters mit der Bitte kontaktiert werden TUN/TAP zu aktivieren.

Alternativ zum Support könnt ich auch noch versuchen das Modul Tun zu mit modprobe zu laden
modprobe tun
überprüft ob das Modul geladen wurde und bereit ist mit
lsmod | grep tun
info: vielleicht sollte mann noch überlegen eine Datei zu erstellen die das Modul bei einem System neustart automatisch mit startet
sollte tun aktiv sein kann man normal weiter machen.
Alle anderen müssen sich an ihren Support wenden um Tun zu Aktivieren

Part 2 Mit Openvpn einen Root/Vserver als Gateway Nutzen

1. OpenVPN installieren und einrichten

Root werden
su
# OpenVPN und OpenSSL installieren
apt-get install openvpn openssl
# wechseln in Open-VPN-Verzeichnis und kopieren der Standardkonfiguration
cd /etc/openvpn
cp -r /usr/share/doc/openvpn/examples/easy-rsa/2.0 ./easy-rsa
# Datei easy-rsa/vars editieren
nano easy-rsa/vars

In der Datei wird die Variable export EASY_RSA editiert:
export EASY_RSA="/etc/openvpn/easy-rsa"
#ändern von
export KEY_SIZE=2048
#zu
export KEY_SIZE=4096
#optional

Jetzt beginnt die Basiskonfiguration zur Vorbereitungs der Schlüsselgenerierung.

#Verzeichnis wechseln
cd /etc/openvpn/easy-rsa
# Konfiguration
source vars
./clean-all
./pkitool --initca
# symbolischen (weichen) Link erzeugen
ln -s openssl-1.0.0.cnf openssl.cnf

Jetzt werden die Zertifikate und Schlüssel generiert. Beim Kürzel für das Land tragen wir DE für Deutschland ein. Die anderen Angaben sind optional. Sofern der gleiche Common Name (CN) mehrmals bei verschiedenen Clients vergeben wird erscheint die folgende Fehlermeldung:
failed to update database
TXT_DB error number 2

Die Lösung ist, dass der CN nur einmal vergeben werden darf.

# Root CA erzeugen
./etc/openvpn/easy-rsa/build-ca OpenVPN
# Server Certificate erzeugen
./etc/openvpn/easy-rsa/build-key-server server
# erstes Client Certificate erzeugen (bei weiteren einfach durchzählen)
./etc/openvpn/easy-rsa/build-key client1
#Diffie Hellman Parameter erzeugen:
./etc/openvpn/easy-rsa//build-dh
#Dies dauert ne gewisse Zeit, je nach Speed der Server-CPU.

Um DOS-Attacken oder Port Scanning auf den OpenVPN Server zu erschweren erstellt man noch einen zusätzlichen TLS-AUTH Schlüssel:
openvpn --genkey --secret ta.key

Die Schlüssel und Zertifikate sowie die Clients befinden sich nun im Verzeichnis /etc/openvpn/easy-rsa/keys.
Der ta.key befindet sich unter /etc/openvpn/easy-rsa/
Ihr könnt diese dort liegen lassen oder wie ich es gemacht habe und legt euch weitere Ordner an und trennt die Zertifikate
zb. erstellt ihr den Ordner User und packt dort alle user.keys hinein achtet drauf das ihr die server.conf dem entsprechend
anpasst


# Konfigurationsdatei für OpenVPN anlegen
cd /etc/openvpn
touch openvpn.conf
nano openvpn.conf


Die Datei hat folgenden Inhalt und dient uns als server
port 1194

proto udp

tun-mtu 1500

dev tun

ca /etc/openvpn/keys/ca.crt

cert /etc/openvpn/keys/server.crt

key /etc/openvpn/keys/server.key

dh /etc/openvpn/keys/dh2048.pem

tls-auth /etc/openvpn/keys/ta.key 0

cipher AES-256-CBC

auth SHA256

tls-cipher DHE-RSA-AES256-SHA

topology subnet

server 10.8.0.0 255.255.255.0

push "redirect-gateway def1"

;push "dhcp-option DNS DNS-Server-IP"

;push "dhcp-option DNS DNS-Server-IP"

keepalive 10 120

comp-lzo

max-clients 10

user nobody

group nogroup

persist-key

persist-tun

verb 0
Wenn man mïöchte, dass der Server alternative DNS Server an die Clients bei Verbindungsaufbau mit pusht, so muss man bei den Zeilen:

;push "dhcp-option DNS DNS-Server-IP"

;push "dhcp-option DNS DNS-Server-IP"

das einleitende Semikolon löschen und jeweils DNS-Server-IP durch die IP Adresse des DNS Servers ersetzen.

neustart von openvpn
service openvpn restart
Nun erzeugt man (unter Windows zb mit dem Notepad) auf dem Client Rechner von user1 (für user2 entsprechend genauso) die Client Konfig Datei:

Man kann die Datei client1.ovpn client2.ovpn usw. nennen oder auch beliebig anders, wichtig ist nur die Dateiendung *.ovpn. und das für jeden user ein eigenen Schlüssel erstellt wird
Anschließend editiert man diese folgender maßen


client

dev tun

remote IP_DES_oVPN_SERVERS 1194

proto udp

resolv-retry infinite

nobind

persist-key

persist-tun

route-delay 2

tun-mtu 1500

ca ca.crt

cert user1.crt

key user1.key

tls-auth ta.key 1

cipher AES-256-CBC

auth SHA256

remote-cert-tls server

comp-lzo

verb 3

IP_DES_oVPN_SERVERS natïürlich durch die Server-IP ersetzen!



Um jetzt eine Verbindung zum Server aufzubauen benötigt man unter Windows als Beispiel den OpenVPN client, download unter:



OpenVPN Client



Dort den Windows installer laden und installieren. Anschlieïßend kopiert man die Dateien:



- ca.crt

- ta.key

- user1.crt

- user1.key

- client.ovpn



in den config Ordner dieses Programms. Die Verbindung client wird dann bereits nach dem Start des Tools in der Taskleiste unter den möglichen Verbindungen angezeigt und mit Klick auf Verbinden startet man die OpenVPN Session. Sollte alles klappen, so zeigt das Tool in der Taskleiste kurz die vom Server zugewiesene VPN-IP an und mit einem:

ping 10.8.0.1

Es fehlen nun noch einige Einstellungen am OpenVPN Server um über diesen surfen zu können.

Dazu muss zunächst das IP-Forwarding aktiviert werden, dazu gibt man als root folgenden Befehl ein:



echo "1" > /proc/sys/net/ipv4/ip_forward

Um diese Einstellung dauerhaft im System zu aktivieren, also auch nach einem Reboot des Servers muss man
etc/sysctl.conf editieren:
Man sucht die Zeile:

nano /etc/sysctl.conf
# Raute entfernen vor folgenden Einträgen bzw. diese hinzufügen
#net.ipv4.ip_forward=1
net.inet.ip.fastforwarding = 1

und löscht die einleitende #. und erweitert um net.inet.ip.fastforwarding = 1

Letzter Schritt: Konfigurieren des Servers als NAT über die iptables:

Man gibt als root folgenden Befehl ein:
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j SNAT --to-source SERVER_IP

sofern die Netzwerkschnittstelle des Servers eth0 ist, was aber im Regelfall der Fall ist.

Zum vergewissern kann man sich seine verfügbaren Netzwerkschnittstellen über den Befehl:

ifconfig

anzeigen lassen.

So konfiguriert maskiert der OpenVPN Server alle eingehenden privaten VPN IPs aus dem Netz 10.8.0.0/24 durch seine an eth0 gebundene IP, was seine öffentliche im Internet gültige IP darstellt. Damit ist es nun mïöglich über den Server zu surfen.

Um auch diese Einstellung dauerhaft im System zu integrieren kann man folgendermaßen vorgehen:

Man sichert sich die iptables settings in die Datei /etc/iptables.conf mit folgendem Befehl:

iptables-save > /etc/iptables.conf



Anschlieïßend fügt man in der Datei /etc/network/interfaces am Ende von den Eintrügen zu "iface eth0" folgende Zeile an:

pre-up /sbin/iptables-restore < /etc/iptables.conf



Wählt man sich nun erneut zu diesem Server ein und man startet den Webbrowser, so surft man via OpenVPN mit der IP des Servers statt mit seiner eigenen.

Da alle Einstellungen dazu fest im System integriert sind, funktioniert auch nach einem Reboot des Servers wieder alles wie gehabt.

Info: Ich werde das ganze hier noch nach und nach erweitern
ihr könnt sobald ihr openvpn Installiet habt und die Server.conf und client.conf zusätzlich noch Access Server installieren einrichten um mittels einer visuellen Oberfläche Eueren vpnserver weiter zu bearbeiten.
Ich verweise auch mal auf TrackerPolizei poxy howto (http://www.netvision-technik.de/forum/showthread.php?t=2661&highlight=dante) welches sich mit unserem ssh2 dem Tool myentunnel oder PROXIFIER in verbindung mit dem Socks5-Server und dem vpn tunnel super kombieniren lassen beim richtigen port forwarding das werde ich heute Abend mal ergänzen

Tutorial: So richtet man einen eigenen OpenVPN-Server auf einem GNU/Linux Debian 7.1 (wheezy) vServer ein und verbindet sich dann damit per Windows, OS X, Linux, iOS oder Android | iDienstler.de (http://idienstler.de/2255/tutorial-so-richtet-man-einen-eigenen-vpn-auf-einem-gnulinux-debian-7-1-wheezy-vserver-ein/)

Die Frage ist,warum sollte mann einen VPN auf seinen eigenen Server schmeißen?.
Dann doch lieber einen Fremden Open VPN nutzen oder 20 Euro im Jahr ausgeben und diverse Dienste nutzen.
Sich vorher aber erkundigen, das die keine Daten speichern oder rausrücken und wo die ihren Sitz haben.

Ich denke den meisten geht es nicht darum vor der NSA geschützt zu sein sondern um sich einfach auf Projekten bewegen zu können ohne das Admins die "echte" IP oder Provider sehen können. Es gibt sogar Tracker die verbieten unter anderen VPN´s und bannen die Server Ips was ich für völlig unverschämt halte. Aber auf solchen Projekten kann man auch gut verzichten da diese Leute anscheinend sehr auf Datensammeln bedacht sind.

Im übrigen gibt es keinen absoluten "sicheren" Schutz vor der NSA, wenn sie dich Ficken wollen, dann machen die das einfach, egal ob ein "Proxy" dazwischen ist oder nicht. Es gibt im Internet keinen 100 Prozentigen Schutz, genauso wenig wie es "echte" bigfoot´s gibt! xD

soweit ich weiß is der IP ban in Deutschland glaube verboten bin mir aber nicht sicher

Mit open vpn kann mann mal abgesehen vom Anonymen surfen auch noch andere Optionen umsetzen obwohl das die primäre Funktion von einem Vpn ist.

ich Bastel grade noch ein einer User/pass Lösung mit Mysql Unterstützung um nicht für jeden Clienten ein Zertifikat erstellen zu müssen.
Der nächste schritt wäre dann da für eine Php Script zu erstellen von welchem man die User anlegen & löschen kann.


Dazu benutze ich das Plugin openvpn-auth-pam.so in Verbindung mit libpam-mysql leider Funktioniert das ganze noch nicht so richtig.

mein Script sieht bisher wie folgt aus:
config.sh:
#!/bin/bash
##Dababase Server
HOST='localhost'
#Default port = 3306
PORT='3306'
#Username
USER='dein user'
#Password
PASS='dein passwort'
#database name
DB='vpn_db

exit 0

connect.sh:
#!/bin/bash
. /etc/openvpn/scripts/config.sh
##insert data connection to table log
mysql -h$HOST -P$PORT -u$USER -p$PASS $DB -e "INSERT INTO log (log_id,user_id,log_trusted_ip,log_trusted_port,log_remote_ip,log_remote_port,log_start_time,log_end_time,log_received,log_send) VALUES(NULL,'$common_name','$trusted_ip','$trusted_port','$ifconfig_pool_remote_ip','$remote_port_3306',now(),'0000-00-00 00:00:00','$bytes_received','$bytes_sent')"
##set status online to user connected
mysql -h$HOST -P$PORT -u$USER -p$PASS $DB -e "UPDATE user SET user_online='yes' WHERE user='$common_name'"



exit 0

disconnect.sh:
#!/bin/bash
. /etc/openvpn/scripts/config.sh
##set status offline to user disconnected
mysql -h$HOST -P$PORT -u$USER -p$PASS $DB -e "UPDATE user SET user_online='no' WHERE user='$common_name'"
##insert data disconnected to table log
mysql -h$HOST -P$PORT -u$USER -p$PASS $DB -e "UPDATE log SET log_end_time=now(),log_received='$bytes_received',log_send='$bytes_sent' WHERE log_trusted_ip='$trusted_ip' AND log_trusted_port='$trusted_port' AND user='$common_name' AND log_end_time='0000-00-00 00:00:00'"

exit 0

login.sh
#!/bin/bash
. /etc/openvpn/script/config.sh
##Authentication
user_id=$(mysql -h$HOST -P$PORT -u$USER -p$PASS $DB -sN -e "select user_id from user where user_id = '$username' AND user_pass = '$password' AND user_enable=1 AND user_start_date != user_end_date AND TO_DAYS(now()) >= TO_DAYS(user_start_date) AND (TO_DAYS(now()) <= TO_DAYS(user_end_date) OR user_end_date='0000-00-00')")
##Check user
[ "$user_id" != '' ] && [ "$user_id" = "$username" ] && echo "user : $username" && echo 'authentication ok.' && exit 0 || echo 'authentication failed.'; exit 1


Das ist der Teil für das login in der Server.conf
#client-cert-not-required
username-as-common-name

##user/pass auth from mysql
plugin /usr/local/lib/openvpn/openvpn-auth-pam.so openvpn
;auth-user-pass-verify /etc/pam.d/openvpn via-env

##script connect-disconnect
script-security 2
;learn-address /etc/openvpn/extra scripts/learn-address.sh
client-connect /etc/openvpn/scripts/connect.sh
client-disconnect /etc/openvpn/scripts/disconnect.sh
client-login /etc/openvpn/scripts/login.sh
vieleicht kann mir ja jemand bei der Lösung helfen?

mfg

Den Aufwand würde ich garnicht erst machen, abgesehen mal davon würde ich niemals mein VPN mit fremden teilen wollen.

Vielleicht hilft dir aber weiter:

How to install a OpenVPN System Based On User/Password Authentication with mysql & Day Control (libpam-mysql) | SysAdmin (http://sysadmin.compxtreme.ro/how-to-install-a-openvpn-system-based-on-userpassword-authentication-with-mysql-day-control-libpam-mysql/)

Moved Temporarily (http://chagridsada.blogspot.com/2011/01/openvpn-system-based-on-userpass.html)

Ich hab es selbst nie mit Mysql in Verbindung gebracht,geschweige versucht, daher auch keine Erfahrung was das angeht.

will diesen ja auch nicht mit fremden teilen da dies nur ein Hobby Projekt für mich ist wo mit ich mir etwas die zeit mit vertreibe und um einfach mal mehr über die System Strukturen zu lernen.

Danke für die links werde mir die mal anschauen.

Hi ich hab mal ne frage zwecks VPN, hab mein VPN Anbieter immer für Windows verwendet nun wollte ich ihn auf mein Server ausprobieren was soweit auch geht nun is aber das prob wenn ich mich mit Winscp aufen Server anmelden will fragt er nach ein PW das root pw geht aber net hat einer ein Rat für mich

LG

am besten neu machen haste bestimmt was verwurschtelt wenns vorher ging kommste denn mit putty rauf wenn nicht kannste alles vergessen und es bleibt nur noch der re modus.

warum nutzt ihr nich cybergohst kostet 14 euro im jahr

hatte es ja mit windows am laufen mit linux hab ich ja grad erste mal getestet

wie gesagt Flori wenn du nicht mehr auf den server kommst dann hilft nichts mehr außer neu aufsetzen es sei denn dein hoster kommt noch drauf weil die sich manchmal nen ssh schlüssel vorbehalten für notfälle aber auch dann dürfen die nur mit deiner ausdrücklichen zustimmung da ran.wobei ich immer empfehle im rootordner unter .ssh zu schauen und dan schlüssel zu löschen oder deinen Vertrag aufmerksam zu lesen.

Er sagte doch nur dass er nicht mit WinScp verbinden kann, nicht dass der Server garnicht mehr erreichbar ist. Mach doch bitte nicht so eine Panik
und rede sofort von neu installieren. Das sind immer so qualifizierte Aussagen wo man sofort sieht wer Windows-User ist. Neu Installieren und Neustart
sind für solche Leute das Rätsels Lösung.

Schau erstmal ob du ne KVM hast mit der du dich verbinden kannst und was für Möglichkeiten du sonst noch hast ;)

Lg Lex

Er sagte doch nur dass er nicht mit WinScp verbinden kann, nicht dass der Server garnicht mehr erreichbar ist. Mach doch bitte nicht so eine Panik
und rede sofort von neu installieren. Das sind immer so qualifizierte Aussagen wo man sofort sieht wer Windows-User ist. Neu Installieren und Neustart
sind für solche Leute das Rätsels Lösung.

Schau erstmal ob du ne KVM hast mit der du dich verbinden kannst und was für Möglichkeiten du sonst noch hast ;)

Lg Lex


deswegen habe ich gesagt er soll schauen ob er über putty rauf kommt ml böser mod
er schreibt ja das er nicht auf sein root rauf kommt wenn das rootpasswort nicht geht und er keinen anderen zugang außer root hat
was nützt ihm dann wenn der server erreichbar ist.und dein kvm bringt da auch nix.logisch oder? solltest villeicht mal genau lesen was er schreibt bevor du andere hier runter machst.Wenn er anderweilig auf den server käme hätte er hier nicht gefragt.
in punkto server machst du mir bestimmt nicht viel vor da bin ich mir ganz sicher.und den rest denke ich mir lieber du profi

Dein Nickname entspricht der Qualität deiner Beiträge, mehr werde ich dazu nicht kommentieren.

Wie gesagt Flori, versuch zuerst alles andere bevor du hier auf Chuck Norris machst und alles schrottest wegen so ner Kleinigkeit ;)
Notfalls frag deinen Serveranbieter ob sie ein KVM-Terminal haben, die werden wissen was gemeint ist, hoffe ich zumindest.

Lg Lex

Dein Nickname entspricht der Qualität deiner Beiträge, mehr werde ich dazu nicht kommentieren.

Wie gesagt Flori, versuch zuerst alles andere bevor du hier auf Chuck Norris machst und alles schrottest wegen so ner Kleinigkeit ;)
Notfalls frag deinen Serveranbieter ob sie ein KVM-Terminal haben, die werden wissen was gemeint ist, hoffe ich zumindest.

Lg Lex

du bist und bleibst einfach ein kleiner dummer lutscher kein wunder das hier kaum noch jemand ist.am besten macht ihr das board hier zu
im grunde das was ich ihm schon längst geraten habe was du hier für ne scheiße erzählst erzählst .und auf chuck norris machst hier nur du.
hier war es die ganze zeit recht friedlich bis du lutscher aufgetaucht bist.solltest villeicht auch mal drüber nachdenken mods wie dich braucht hier.
jetzt geh deiner lieblingsbeschäftigung nach verwarnen oder sperren

Ach ja, wie sagt man so schön, wer sich anders nicht mehr zu helfen weiß wird eben ausfallend.

Ich lasse deinen Beitrag zu demonstrativen Zwecken einfach mal stehen, sollen sich die anderen ein Urteil über deine Unfähigkeit
bilden. Von deiner Fähigkeit die deutsche Sprache zu vergewaltigen möchte ich mal absehen. Dennoch gibt es Satzzeichen wie (. ,)
und Groß-Kleinschreibung nicht umsonst auf deiner Tastatur.

Zum Thema (aufpassen, kannst noch was lernen): Ein sogenanntes KVM-Terminal wird wie folgt beschrieben:
KVM-Verbindungen über ein Netzwerk
Gegenüber herkömmlichen Methoden der Fernadminstration über Software (http://de.wikipedia.org/wiki/Software), wie zum Beispiel VNC (http://de.wikipedia.org/wiki/VNC) oder Terminal-Server (http://de.wikipedia.org/wiki/Terminal-Server), hat ein KVM-Switch den Vorteil, dass er auch dann Zugriff bietet, wenn die entsprechende Softwarekomponente zur Fernadministration auf dem entfernten Rechner nicht läuft. So lassen sich über einen KVM-Switch auch BIOS (http://de.wikipedia.org/wiki/Basic_Input_Output_System)-Einstellungen entfernter Rechner ändern.

Heißt auf gut Deutsch selbst wenn er via SHH (Putty), was in diesem Fall die 'Remote Software' ist keinen Zugriff mehr hat, kann er, sofern der
Anbieter dies zur Verfügung stellt über ein KVM-Terminal direkt auf den Server zugreifen. Quasi vom Rack (Servergehäuse) auf die Hardware.
Viele Anbieter haben dafür eigene Webinterfaces wo der Kunde darüber selbstständig auf den KVM-Terminal zugreifen kann um eben in genau
solchen Fällen noch zugriff auf sein Gerät zu haben.

Wo daran jetzt der "scheiß" sein soll den ich erzählt habe weiß ich zwar nicht, aber du bist ja der "profi" der sich so toll auskennt :vspin:

Lg Lex

Das weiß ich auch deswegen hab ich ihm auch geraten sich zuerst an den server betreiber zu wenden weil die möglichkeiten haben die aber seiner zustimmung bedarfen.

entwerder mit der von dir beschriebenen methode oder per ssh mit einer dafür vom serverbetreiber selbst eingerichteten
SSH-Authentifizierung

wir sollten uns hier nicht gegenseitig runter machen Lex das bringt nichts und wenn ich beleidigend war dann entschuldige ich mich dafür.


Ich bin kein profi das ist hier wohl kaum einer und muss auch noch viel lernen versuche nur zu helfen ml :)

Ok jetzt nochmal.
Also wenn der VPN nicht an ist aufen Server, kann ich mich auch mit Putty oder WinSCP verbinden, nur wenn der VPN an ist kommt eine Passwort Abfrage, jetzt hab ich mich mal mit dem VPN Anbieter in verbindung gesetzt der schreibt mir


du musst da RPF einrichten und dann deinen SSH Deamon auf den remote
Port biegen. Danach connectest du via SSH auf die externe IP die dein
Server von uns hat und den RPF-Port.


OK steige da noch net ganz hinter, kann mir das einer vieleicht erklären oder sagen was das genau ist, will kein HowTo oder so aber vieleicht kennt das ja einer und hatte das selbe Problem

PS. THX Lex erstmal

hat keiner nö lösung für mich google will mir net helfen Hilfe

Da habe ich mal eine frage ...
Welchen anbieter hast du denn ... weil das hättes du auch mal dazu schreiben sollen ...

LG Schwamm ..

wußte net ob ich das darf wegen werbung oder sa bin bei Perfect Privacy



--======================================--
--== Beitrag erstellt: 17:59 um 21:54 ==--
--== geantwortet 06.01.2015 auf Beitrag vom 05.01.2015 ==--
--== automatische Beitragszusammenführung ==--
--======================================--


Flori12345 schrieb nach 20 Stunden, 5 Minuten und 6 Sekunden:

Ok nur zur Info bab es hinbekommen mußte beim VPN Anbieter nen 1 zu 1 Port anlegen

LG

Hallo,

ich habe eine Frage zu diesem Abschnitt ...


Dazu muss zunächst das IP-Forwarding aktiviert werden, dazu gibt man als root folgenden Befehl ein:

echo "1" > /proc/sys/net/ipv4/ip_forward

Um diese Einstellung dauerhaft im System zu aktivieren, also auch nach einem Reboot des Servers muss man
etc/sysctl.conf editieren:
Man sucht die Zeile:

nano /etc/sysctl.conf
# Raute entfernen vor folgenden Einträgen bzw. diese hinzufügen
#net.ipv4.ip_forward=1
net.inet.ip.fastforwarding = 1

und löscht die einleitende #. und erweitert um net.inet.ip.fastforwarding = 1

Es wird doch ein Debian 7 verwendet ? Was muss hier installiert werden um die fastforwarding = 1 zu setzen ?
Weil Debian hat doch kein Fastforward - nur ein ipv4.forward ?

Du brauchst garnichts Installieren, öffne einfach die sysctl.conf im /etc Verzeichnis und entferne das Raute Zeichen bei net.ipv4.ip_forward=1.

Du musst auch kein Server dafür rebooten, ein sysctl -p in putty sollte völlig ausreichen.

sysctl-Variablen sind Einstellungen des Linux Kernels, mit Hilfe derer das Verhalten des Kernels im laufenden System angepasst werden kann, z.B. die Größe des ARP-Caches, Netzwerk-Parameter der Netzwerk-Karte u.v.m. Ich kenne keine Debian Version wo es die Datei nicht gibt..

Ich persönlich finde auch das dieses How-To nicht aus ausgereift ist..

Hallo,

vielen DANK für deine Antwort, das mit dem ipv4.forward ist mir klar - mir geht es um das fastforward.
Weil wenn ich das Fastforward aktivieren will kommt dass er das Verzeichnis /proc/sys/net/inet/fastforwarding nicht finden kann.
(Weil es dieses ja nicht gibt)

Ich hab gerade mal meine sysctl.conf nachgeschaut, ich habe nur net.ipv4.ip_forward=1 aktiviert und net.inet.ip.fastforwarding = 1 habe ich garnicht erst eingetragen. Wenn ich es nicht besser wüsste, würde ich sagen lass es weg, den durch net.ipv4.ip_forward=1 wird eigentlich auch alles gesagt.

Hast du dieses HowTo für deine Umsetzung genutzt?

Hallo,

ich habe schon einen fast identischen Aufbau, ich bin nur auf der Suche mein Routing noch ein wenig zu optimieren da hier
noch einiges an Zeit raus zu hohlen ist.

Das
net.ipv4.ip_forward=1
Aktiviert ja das Linux routet ... das ist klar.
Mich wundert nur immer, wie Leute mit einem Debian schreiben dass Sie
net.inet.ip.fastforwarding = 1
aktivieren - da es diese Option meines Wissens, nur auf FreeBSD gibt.
Aber das ist genau das, was ich bräuchte ;)

Deswegen die Frage.

Zu der Anleitung, diese sollte man, falls möglich, evtl noch Korrigieren - denn wenn man es so macht, dass man

nano /etc/sysctl.conf
# Raute entfernen vor folgenden Einträgen bzw. diese hinzufügen
#net.ipv4.ip_forward=1
net.inet.ip.fastforwarding = 1


forward auskommentiert und fastforwarding hinzufügt, dann neu startet hat man kein Rounting mehr :rolleyes:

Gruß Goofy

Ich lese immer nur bei OpenVpn und tuning, das man mit MTU herumspielen soll.

Aber so mega tuning schrauben habe ich nicht gefunden.

Für den normalen Gebrauch braucht man eigentlich auch nichts weiter groß optimieren.

Naja, viel Spaß noch beim tüffteln und so :)

Und Ja...mit dem How-To, sollte dringend angepasst werden^^

hi weiß einer wo ich das .pid file finde von openvpn ?

bei Debian sollte es unter /run/openvpn.server.pid sein und die openvpn.XXX.status ebenfalls.

in var/run findest du das auch, ist eh nur Systemlink.

Warum?

hi danke für die antwort aber leider is da nix drinne hab auch schon mit
find / | grep openvpn
gesucht kann aber nix mit .pid finden

geht dadrum hab vpn aufen server zu laufen bricht aber ständig ab

Die Datei wird nur geschrieben wenn OpenVPN auch läuft.

schau in var/logs/syslog und daemon.log - Dort wird stehen warum er abbricht oder nicht startet.

ok vpn läuft ja komischerweise startet der Server aufeinmal neu bei daemon.log steht nix drinne bei syslog kommt das

Sep 25 15:56:33 ns3000551 shutdown[536]: shutting down for system reboot
Sep 25 15:56:33 ns3000551 init: Switching to runlevel: 6
Sep 25 15:56:37 ns3000551 named[2306]: received control channel command 'stop -p'
Sep 25 15:56:37 ns3000551 named[2306]: shutting down: flushing changes
Sep 25 15:56:37 ns3000551 named[2306]: stopping command channel on 127.0.0.1#953
Sep 25 15:56:37 ns3000551 named[2306]: stopping command channel on ::1#953
Sep 25 15:56:37 ns3000551 named[2306]: no longer listening on 127.0.0.1#53
Sep 25 15:56:37 ns3000551 named[2306]: no longer listening on ::1#53
Sep 25 15:56:37 ns3000551 named[2306]: exiting
Sep 25 15:56:38 ns3000551 acpid: exiting

kein plan was das is Server habe ich komplett neu aufgesetzt

hast du in der syscl.conf - net.ipv4.ip_forward=1 aktiviert?

Das der Server wegen OpenVPN neu starten bezweifle ich mal.

Du sagt nur "das nichts geht" und alle anderen Infos muss man dir aus der Nase saugen.

Welche Anleitung hast du benutzt, welches OS, was hast du selbst Probiert und Fehler Analysieren sollte dringend mal gelernt werden.

im var/logs sind auch noch mehrere Log Dateien, ich bin mir sicher das der Fehler irgendwo dokumentiert wird.

Du kannst auch die OpenVPN logs aktivieren und da schauen, bisschen Eigeninitiative wäre schon Hilfreich, sonst können wir es auch gleich lassen.

Nicht Böse nehmen aber teilweise schüttelt man wirklich nur noch mit dem Kopf.

EDIT was auch Interessant wäre, wie dein Openvpn config aussieht und die Iptables Rules eingetragen wurden zb rc.local.