|
Webserver Fragen zum Apache, MySQL-Einrichtung und was sonst noch mit WebServern zu tun hat |
|
Themen-Optionen | Ansicht |
31.07.2014, 09:43 | #1 | |||||||||||
Benutzer
Registriert seit: 24.03.2008
Beitr?ge: 46
Abgegebene Danke: 3
Erhielt 43 Danke für 8 Beiträge
Downloads: 55
Uploads: 1 Nachrichten: 19 Renommee-Modifikator:
0 |
OpenVPN einrichten Part 1-2
OpenVPN einrichten Part 1 – VPN-Server konfigurieren Ich verweise auch mal auf TrackerPolizei poxy howto welches sich mit unserem ssh2 dem Tool myentunnel oder PROXIFIER in verbindung mit dem Socks5-Server und dem vpn tunnel super kombieniren lassen beim richtigen port forwarding das werde ich heute Abend mal ergänzen
Da ich mich seid ein Paar Wochen mit dem Thema Openvpn und co. beschäftige und gefühlte 1001 Howtos gelesen habe sowie die offizielle Dokumentation durch gearbeitet habe möchte ich euch hier mal 1 meiner erarbeiteten Nutzungs Möglichkeiten als kleines howto bereitstellen. Als erstes prüfen wir ob auf unserem System Tun/Tap Device Supportet wird. Fall nicht könnt ihr hier schon Diereckt aufhören weiter zu Lesen!!!!!!!!! Das ganze wurde mit einem Frisch eingerichtetem Debian7.0 64 bit System Part 1 Tun/Tap Device 1. Das System auf den neuesten Stand bringen Code:
apt-get update && apt-get upgrade Code:
cat /dev/net/tun cat: /dev/net/tun: File descriptor in bad state Alternativ zum Support könnt ich auch noch versuchen das Modul Tun zu mit modprobe zu laden Code:
modprobe tun Code:
lsmod | grep tun sollte tun aktiv sein kann man normal weiter machen. Alle anderen müssen sich an ihren Support wenden um Tun zu Aktivieren Part 2 Mit Openvpn einen Root/Vserver als Gateway Nutzen 1. OpenVPN installieren und einrichten Code:
Root werden su # OpenVPN und OpenSSL installieren apt-get install openvpn openssl # wechseln in Open-VPN-Verzeichnis und kopieren der Standardkonfiguration CD /etc/openvpn CP -r /usr/share/doc/openvpn/examples/easy-rsa/2.0 ./easy-rsa # Datei easy-rsa/vars editieren nano easy-rsa/vars Code:
export EASY_RSA="/etc/openvpn/easy-rsa" #ändern von export KEY_SIZE=2048 #zu export KEY_SIZE=4096 #optional Code:
#Verzeichnis wechseln CD /etc/openvpn/easy-rsa # Konfiguration source vars ./clean-all ./pkitool --initca # symbolischen (weichen) Link erzeugen ln -s openssl-1.0.0.cnf openssl.cnf Code:
failed to update database TXT_DB error number 2 Code:
# Root CA erzeugen ./etc/openvpn/easy-rsa/build-ca OpenVPN # Server Certificate erzeugen ./etc/openvpn/easy-rsa/build-key-server server # erstes Client Certificate erzeugen (bei weiteren einfach durchzählen) ./etc/openvpn/easy-rsa/build-key client1 #Diffie Hellman Parameter erzeugen: ./etc/openvpn/easy-rsa//build-dh #Dies dauert ne gewisse Zeit, je nach Speed der Server-CPU. Code:
openvpn --genkey --secret ta.key Der ta.key befindet sich unter /etc/openvpn/easy-rsa/ Ihr könnt diese dort liegen lassen oder wie ich es gemacht habe und legt euch weitere Ordner an und trennt die Zertifikate zb. erstellt ihr den Ordner User und packt dort alle user.keys hinein achtet drauf das ihr die server.conf dem entsprechend anpasst Code:
# Konfigurationsdatei für OpenVPN anlegen CD /etc/openvpn touch openvpn.conf nano openvpn.conf Die Datei hat folgenden Inhalt und dient uns als server Code:
port 1194 proto udp tun-mtu 1500 dev tun ca /etc/openvpn/keys/ca.crt cert /etc/openvpn/keys/server.crt key /etc/openvpn/keys/server.key dh /etc/openvpn/keys/dh2048.pem tls-auth /etc/openvpn/keys/ta.key 0 cipher AES-256-CBC auth SHA256 tls-cipher DHE-RSA-AES256-SHA topology subnet server 10.8.0.0 255.255.255.0 push "redirect-gateway def1" ;push "dhcp-option DNS DNS-Server-IP" ;push "dhcp-option DNS DNS-Server-IP" keepalive 10 120 comp-lzo max-clients 10 user nobody group nogroup persist-key persist-tun verb 0 ;push "dhcp-option DNS DNS-Server-IP" ;push "dhcp-option DNS DNS-Server-IP" das einleitende Semikolon löschen und jeweils DNS-Server-IP durch die IP Adresse des DNS Servers ersetzen. neustart von openvpn Code:
service openvpn restart Man kann die Datei client1.ovpn client2.ovpn usw. nennen oder auch beliebig anders, wichtig ist nur die Dateiendung *.ovpn. und das für jeden user ein eigenen Schlüssel erstellt wird Anschließend editiert man diese folgender maßen Code:
client dev tun remote IP_DES_oVPN_SERVERS 1194 proto udp resolv-retry infinite nobind persist-key persist-tun route-delay 2 tun-mtu 1500 ca ca.crt cert user1.crt key user1.key tls-auth ta.key 1 cipher AES-256-CBC auth SHA256 remote-cert-tls server comp-lzo verb 3 Um jetzt eine Verbindung zum Server aufzubauen benötigt man unter Windows als Beispiel den OpenVPN client, download unter: OpenVPN Client Dort den Windows installer laden und installieren. Anschlieïßend kopiert man die Dateien: - ca.crt - ta.key - user1.crt - user1.key - client.ovpn in den config Ordner dieses Programms. Die Verbindung client wird dann bereits nach dem Start des Tools in der Taskleiste unter den möglichen Verbindungen angezeigt und mit Klick auf Verbinden startet man die OpenVPN Session. Sollte alles klappen, so zeigt das Tool in der Taskleiste kurz die vom Server zugewiesene VPN-IP an und mit einem: ping 10.8.0.1 Es fehlen nun noch einige Einstellungen am OpenVPN Server um über diesen surfen zu können. Dazu muss zunächst das IP-Forwarding aktiviert werden, dazu gibt man als root folgenden Befehl ein: Code:
echo "1" > /proc/sys/net/ipv4/ip_forward etc/sysctl.conf editieren: Man sucht die Zeile: Code:
nano /etc/sysctl.conf
# Raute entfernen vor folgenden Einträgen bzw. diese hinzufügen
#net.ipv4.ip_forward=1
net.inet.ip.fastforwarding = 1
Letzter Schritt: Konfigurieren des Servers als NAT über die iptables: Man gibt als root folgenden Befehl ein: Code:
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j SNAT --to-source SERVER_IP Zum vergewissern kann man sich seine verfügbaren Netzwerkschnittstellen über den Befehl: ifconfig anzeigen lassen. So konfiguriert maskiert der OpenVPN Server alle eingehenden privaten VPN IPs aus dem Netz 10.8.0.0/24 durch seine an eth0 gebundene IP, was seine öffentliche im Internet gültige IP darstellt. Damit ist es nun mïöglich über den Server zu surfen. Um auch diese Einstellung dauerhaft im System zu integrieren kann man folgendermaßen vorgehen: Man sichert sich die iptables settings in die Datei /etc/iptables.conf mit folgendem Befehl: iptables-save > /etc/iptables.conf Anschlieïßend fügt man in der Datei /etc/network/interfaces am Ende von den Eintrügen zu "iface eth0" folgende Zeile an: pre-up /sbin/iptables-restore < /etc/iptables.conf Wählt man sich nun erneut zu diesem Server ein und man startet den Webbrowser, so surft man via OpenVPN mit der IP des Servers statt mit seiner eigenen. Da alle Einstellungen dazu fest im System integriert sind, funktioniert auch nach einem Reboot des Servers wieder alles wie gehabt. Info: Ich werde das ganze hier noch nach und nach erweitern ihr könnt sobald ihr openvpn Installiet habt und die Server.conf und client.conf zusätzlich noch Access Server installieren einrichten um mittels einer visuellen Oberfläche Eueren vpnserver weiter zu bearbeiten.
__________________
Wo soll das hinführen, wie weit mit uns gehen Selbst ein Baum ohne Wurzeln kann nicht bestehen Wann hört ihr auf, eure Heimat zu hassen Wenn ihr euch ihrer schämt, dann könnt ihr sie doch verlassen Du kannst dich nicht drücken, auf dein Land zu schauen Denn deine Kinder werden später darauf bauen Sprache, Brauchtum, und Glaube sind Werte der Heimat Ohne sie gehen wir unter, stirbt unser kleines Volk Ge?ndert von schienbein (31.07.2014 um 10:01 Uhr) |
|||||||||||
Folgende 4 Benutzer sagen Danke zu schienbein für den nützlichen Beitrag: |
31.07.2014, 11:39 | #2 | |||||||||||
König
Registriert seit: 06.09.2008
Ort: /dev/null
Beitr?ge: 1.988
Abgegebene Danke: 643
Erhielt 261 Danke für 28 Beiträge
Downloads: 68
Uploads: 0 Nachrichten: 11697 Renommee-Modifikator:
3552 |
__________________
Es ist kein Zeichen von Gesundheit, an eine von Grund auf kranke Gesellschaft gut angepasst zu sein. |
|||||||||||
01.08.2014, 01:42 | #3 |
Gesperrt
Registriert seit: 19.10.2013
Beitr?ge: 41
Abgegebene Danke: 2
Erhielt 0 Danke für 0 Beiträge
Downloads: 4
Uploads: 0 Nachrichten: 10 Renommee-Modifikator:
0 |
Die Frage ist,warum sollte mann einen VPN auf seinen eigenen Server schmeißen?.
Dann doch lieber einen Fremden Open VPN nutzen oder 20 Euro im Jahr ausgeben und diverse Dienste nutzen. Sich vorher aber erkundigen, das die keine Daten speichern oder rausrücken und wo die ihren Sitz haben. |
24.08.2014, 03:14 | #4 | |||||||||||
König
Registriert seit: 06.09.2008
Ort: /dev/null
Beitr?ge: 1.988
Abgegebene Danke: 643
Erhielt 261 Danke für 28 Beiträge
Downloads: 68
Uploads: 0 Nachrichten: 11697 Renommee-Modifikator:
3552 |
Ich denke den meisten geht es nicht darum vor der NSA geschützt zu sein sondern um sich einfach auf Projekten bewegen zu können ohne das Admins die "echte" IP oder Provider sehen können. Es gibt sogar Tracker die verbieten unter anderen VPN´s und bannen die Server Ips was ich für völlig unverschämt halte. Aber auf solchen Projekten kann man auch gut verzichten da diese Leute anscheinend sehr auf Datensammeln bedacht sind.
Im übrigen gibt es keinen absoluten "sicheren" Schutz vor der NSA, wenn sie dich Ficken wollen, dann machen die das einfach, egal ob ein "Proxy" dazwischen ist oder nicht. Es gibt im Internet keinen 100 Prozentigen Schutz, genauso wenig wie es "echte" bigfoot´s gibt! xD
__________________
Es ist kein Zeichen von Gesundheit, an eine von Grund auf kranke Gesellschaft gut angepasst zu sein. Ge?ndert von Thunder™ (24.08.2014 um 03:23 Uhr) |
|||||||||||
24.08.2014, 10:00 | #5 | |||||||||||
Profi
Registriert seit: 07.03.2008
Ort: Dahemme
Beitr?ge: 678
Abgegebene Danke: 44
Erhielt 240 Danke für 28 Beiträge
Downloads: 35
Uploads: 0 Nachrichten: 3425 Renommee-Modifikator:
1422 |
soweit ich weiß is der IP ban in Deutschland glaube verboten bin mir aber nicht sicher
__________________
Scheiß auf Tidy & Co. die Funktion muss Funktionieren |
|||||||||||
24.08.2014, 14:07 | #6 | |||||||||||
Benutzer
Registriert seit: 24.03.2008
Beitr?ge: 46
Abgegebene Danke: 3
Erhielt 43 Danke für 8 Beiträge
Themenstarter
Downloads: 55
Uploads: 1 Nachrichten: 19 Renommee-Modifikator:
0 |
Mit open vpn kann mann mal abgesehen vom Anonymen surfen auch noch andere Optionen umsetzen obwohl das die primäre Funktion von einem Vpn ist.
ich Bastel grade noch ein einer User/pass Lösung mit Mysql Unterstützung um nicht für jeden Clienten ein Zertifikat erstellen zu müssen. Der nächste schritt wäre dann da für eine Php Script zu erstellen von welchem man die User anlegen & löschen kann. Dazu benutze ich das Plugin openvpn-auth-pam.so in Verbindung mit Code:
libpam-mysql mein Script sieht bisher wie folgt aus: config.sh: Code:
#!/bin/bash ##Dababase Server HOST='localhost' #Default port = 3306 PORT='3306' #Username USER='dein user' #Password PASS='dein passwort' #database name DB='vpn_db exit 0 Code:
#!/bin/bash . /etc/openvpn/scripts/config.sh ##insert data connection to table log mysql -h$HOST -P$PORT -u$USER -p$PASS $DB -e "INSERT INTO log (log_id,user_id,log_trusted_ip,log_trusted_port,log_remote_ip,log_remote_port,log_start_time,log_end_time,log_received,log_send) VALUES(NULL,'$common_name','$trusted_ip','$trusted_port','$ifconfig_pool_remote_ip','$remote_port_3306',now(),'0000-00-00 00:00:00','$bytes_received','$bytes_sent')" ##set status online to user connected mysql -h$HOST -P$PORT -u$USER -p$PASS $DB -e "UPDATE user SET user_online='yes' WHERE user='$common_name'" exit 0 Code:
#!/bin/bash . /etc/openvpn/scripts/config.sh ##set status offline to user disconnected mysql -h$HOST -P$PORT -u$USER -p$PASS $DB -e "UPDATE user SET user_online='no' WHERE user='$common_name'" ##insert data disconnected to table log mysql -h$HOST -P$PORT -u$USER -p$PASS $DB -e "UPDATE log SET log_end_time=now(),log_received='$bytes_received',log_send='$bytes_sent' WHERE log_trusted_ip='$trusted_ip' AND log_trusted_port='$trusted_port' AND user='$common_name' AND log_end_time='0000-00-00 00:00:00'" exit 0 Code:
#!/bin/bash . /etc/openvpn/script/config.sh ##Authentication user_id=$(mysql -h$HOST -P$PORT -u$USER -p$PASS $DB -sN -e "select user_id from user where user_id = '$username' AND user_pass = '$password' AND user_enable=1 AND user_start_date != user_end_date AND TO_DAYS(now()) >= TO_DAYS(user_start_date) AND (TO_DAYS(now()) <= TO_DAYS(user_end_date) OR user_end_date='0000-00-00')") ##Check user [ "$user_id" != '' ] && [ "$user_id" = "$username" ] && echo "user : $username" && echo 'authentication ok.' && exit 0 || echo 'authentication failed.'; exit 1 Code:
#client-cert-not-required username-as-common-name ##user/pass auth from mysql plugin /usr/local/lib/openvpn/openvpn-auth-pam.so openvpn ;auth-user-pass-verify /etc/pam.d/openvpn via-env ##script connect-disconnect script-security 2 ;learn-address /etc/openvpn/extra scripts/learn-address.sh client-connect /etc/openvpn/scripts/connect.sh client-disconnect /etc/openvpn/scripts/disconnect.sh client-login /etc/openvpn/scripts/login.sh mfg
__________________
Wo soll das hinführen, wie weit mit uns gehen Selbst ein Baum ohne Wurzeln kann nicht bestehen Wann hört ihr auf, eure Heimat zu hassen Wenn ihr euch ihrer schämt, dann könnt ihr sie doch verlassen Du kannst dich nicht drücken, auf dein Land zu schauen Denn deine Kinder werden später darauf bauen Sprache, Brauchtum, und Glaube sind Werte der Heimat Ohne sie gehen wir unter, stirbt unser kleines Volk Ge?ndert von schienbein (24.08.2014 um 14:27 Uhr) |
|||||||||||
24.08.2014, 14:56 | #7 | |||||||||||
König
Registriert seit: 06.09.2008
Ort: /dev/null
Beitr?ge: 1.988
Abgegebene Danke: 643
Erhielt 261 Danke für 28 Beiträge
Downloads: 68
Uploads: 0 Nachrichten: 11697 Renommee-Modifikator:
3552 |
Den Aufwand würde ich garnicht erst machen, abgesehen mal davon würde ich niemals mein VPN mit fremden teilen wollen.
Vielleicht hilft dir aber weiter: How to install a OpenVPN System Based On User/Password Authentication with mysql & Day Control (libpam-mysql) | SysAdmin Moved Temporarily Ich hab es selbst nie mit Mysql in Verbindung gebracht,geschweige versucht, daher auch keine Erfahrung was das angeht.
__________________
Es ist kein Zeichen von Gesundheit, an eine von Grund auf kranke Gesellschaft gut angepasst zu sein. Ge?ndert von Thunder™ (24.08.2014 um 15:06 Uhr) |
|||||||||||
24.08.2014, 15:05 | #8 | |||||||||||
Benutzer
Registriert seit: 24.03.2008
Beitr?ge: 46
Abgegebene Danke: 3
Erhielt 43 Danke für 8 Beiträge
Themenstarter
Downloads: 55
Uploads: 1 Nachrichten: 19 Renommee-Modifikator:
0 |
will diesen ja auch nicht mit fremden teilen da dies nur ein Hobby Projekt für mich ist wo mit ich mir etwas die zeit mit vertreibe und um einfach mal mehr über die System Strukturen zu lernen.
Danke für die links werde mir die mal anschauen.
__________________
Wo soll das hinführen, wie weit mit uns gehen Selbst ein Baum ohne Wurzeln kann nicht bestehen Wann hört ihr auf, eure Heimat zu hassen Wenn ihr euch ihrer schämt, dann könnt ihr sie doch verlassen Du kannst dich nicht drücken, auf dein Land zu schauen Denn deine Kinder werden später darauf bauen Sprache, Brauchtum, und Glaube sind Werte der Heimat Ohne sie gehen wir unter, stirbt unser kleines Volk Ge?ndert von schienbein (24.08.2014 um 15:12 Uhr) |
|||||||||||
16.12.2014, 18:47 | #9 | |||||||||||
Profi
Registriert seit: 22.06.2008
Alter: 38
Beitr?ge: 867
Abgegebene Danke: 188
Erhielt 82 Danke für 8 Beiträge
Downloads: 106
Uploads: 0 Nachrichten: 6 Renommee-Modifikator:
0 |
Hi ich hab mal ne frage zwecks VPN, hab mein VPN Anbieter immer für Windows verwendet nun wollte ich ihn auf mein Server ausprobieren was soweit auch geht nun is aber das prob wenn ich mich mit Winscp aufen Server anmelden will fragt er nach ein PW das root pw geht aber net hat einer ein Rat für mich
LG |
|||||||||||
16.12.2014, 21:04 | #10 | |||||||||||
Erfahrener Benutzer
Registriert seit: 01.08.2014
Beitr?ge: 106
Abgegebene Danke: 6
Erhielt 2 Danke für 1 Beitrag
Downloads: 11
Uploads: 0 Nachrichten: 13 Renommee-Modifikator:
118 |
am besten neu machen haste bestimmt was verwurschtelt wenns vorher ging kommste denn mit putty rauf wenn nicht kannste alles vergessen und es bleibt nur noch der re modus.
warum nutzt ihr nich cybergohst kostet 14 euro im jahr |
|||||||||||
Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, G?ste: 1) | |
Themen-Optionen | |
Ansicht | |
|
|