OpenVPN einrichten Part 1-2

[schienbein]

OpenVPN einrichten Part 1 – VPN-Server konfigurieren

Da ich mich seid ein Paar Wochen mit dem Thema Openvpn und co. beschäftige und gefühlte 1001 Howtos gelesen habe sowie die offizielle Dokumentation durch gearbeitet habe möchte ich euch hier mal 1 meiner erarbeiteten Nutzungs Möglichkeiten als kleines howto bereitstellen.

Als erstes prüfen wir ob auf unserem System Tun/Tap Device Supportet wird.
Fall nicht könnt ihr hier schon Diereckt aufhören weiter zu Lesen!!!!!!!!!

Das ganze wurde mit einem Frisch eingerichtetem Debian7.0 64 bit System

Part 1 Tun/Tap Device

1. Das System auf den neuesten Stand bringen

Code:

 apt-get update && apt-get upgrade

2.Überprüfen ob TUN/TAP aktiviert ist

Code:

 cat /dev/net/tun
cat: /dev/net/tun: File descriptor in bad state

Info: Wenn hier eine Meldung der Art “File descriptor in bad state” erscheint dann ist alles in Ordnung und TUN/TAP ist aktiviert. Wenn hier hingegen eine Meldung der Form “No such device” erscheint dann sollte der Support des Hosters mit der Bitte kontaktiert werden TUN/TAP zu aktivieren.

Alternativ zum Support könnt ich auch noch versuchen das Modul Tun zu mit modprobe zu laden

Code:

modprobe tun

überprüft ob das Modul geladen wurde und bereit ist mit

Code:

lsmod | grep tun

info: vielleicht sollte mann noch überlegen eine Datei zu erstellen die das Modul bei einem System neustart automatisch mit startet
sollte tun aktiv sein kann man normal weiter machen.
Alle anderen müssen sich an ihren Support wenden um Tun zu Aktivieren

Part 2 Mit Openvpn einen Root/Vserver als Gateway Nutzen

1. OpenVPN installieren und einrichten

Code:

 Root werden
su
# OpenVPN und OpenSSL installieren
apt-get install openvpn openssl
# wechseln in Open-VPN-Verzeichnis und kopieren der Standardkonfiguration
CD  /etc/openvpn
CP  -r /usr/share/doc/openvpn/examples/easy-rsa/2.0 ./easy-rsa
# Datei easy-rsa/vars editieren
nano  easy-rsa/vars

In der Datei wird die Variable export EASY_RSA editiert:

Code:

export EASY_RSA="/etc/openvpn/easy-rsa"
#ändern von
 export KEY_SIZE=2048
#zu
 export KEY_SIZE=4096
#optional

Jetzt beginnt die Basiskonfiguration zur Vorbereitungs der Schlüsselgenerierung.

Code:

 #Verzeichnis wechseln
CD  /etc/openvpn/easy-rsa
# Konfiguration
source vars
./clean-all
./pkitool --initca
# symbolischen (weichen) Link erzeugen
ln  -s openssl-1.0.0.cnf openssl.cnf

Jetzt werden die Zertifikate und Schlüssel generiert. Beim Kürzel für das Land tragen wir DE für Deutschland ein. Die anderen Angaben sind optional. Sofern der gleiche Common Name (CN) mehrmals bei verschiedenen Clients vergeben wird erscheint die folgende Fehlermeldung:

Code:

failed to update database
TXT_DB error number 2

Die Lösung ist, dass der CN nur einmal vergeben werden darf.

Code:

# Root CA erzeugen
./etc/openvpn/easy-rsa/build-ca OpenVPN
# Server Certificate erzeugen
./etc/openvpn/easy-rsa/build-key-server server
# erstes Client Certificate erzeugen (bei weiteren einfach durchzählen)
./etc/openvpn/easy-rsa/build-key client1
#Diffie Hellman Parameter erzeugen:
./etc/openvpn/easy-rsa//build-dh
#Dies dauert ne gewisse Zeit, je nach Speed der Server-CPU.

Um DOS-Attacken oder Port Scanning auf den OpenVPN Server zu erschweren erstellt man noch einen zusätzlichen TLS-AUTH Schlüssel:

Code:

openvpn --genkey --secret ta.key

Die Schlüssel und Zertifikate sowie die Clients befinden sich nun im Verzeichnis /etc/openvpn/easy-rsa/keys.
Der ta.key befindet sich unter /etc/openvpn/easy-rsa/
Ihr könnt diese dort liegen lassen oder wie ich es gemacht habe und legt euch weitere Ordner an und trennt die Zertifikate
zb. erstellt ihr den Ordner User und packt dort alle user.keys hinein achtet drauf das ihr die server.conf dem entsprechend
anpasst

Code:

# Konfigurationsdatei für OpenVPN anlegen
CD  /etc/openvpn
touch openvpn.conf
nano  openvpn.conf

Die Datei hat folgenden Inhalt und dient uns als server

Code:

port 1194

proto udp

tun-mtu 1500

dev tun

ca /etc/openvpn/keys/ca.crt

cert /etc/openvpn/keys/server.crt

key /etc/openvpn/keys/server.key

dh /etc/openvpn/keys/dh2048.pem

tls-auth /etc/openvpn/keys/ta.key 0

cipher AES-256-CBC

auth SHA256

tls-cipher DHE-RSA-AES256-SHA

topology subnet

server 10.8.0.0 255.255.255.0

push "redirect-gateway def1"

;push "dhcp-option DNS DNS-Server-IP"

;push "dhcp-option DNS DNS-Server-IP"

keepalive 10 120

comp-lzo

max-clients 10

user nobody

group nogroup

persist-key

persist-tun

verb 0

Wenn man mïöchte, dass der Server alternative DNS Server an die Clients bei Verbindungsaufbau mit pusht, so muss man bei den Zeilen:

;push "dhcp-option DNS DNS-Server-IP"

;push "dhcp-option DNS DNS-Server-IP"

das einleitende Semikolon löschen und jeweils DNS-Server-IP durch die IP Adresse des DNS Servers ersetzen.

neustart von openvpn

Code:

service openvpn restart

Nun erzeugt man (unter Windows zb mit dem Notepad) auf dem Client Rechner von user1 (für user2 entsprechend genauso) die Client Konfig Datei:

Man kann die Datei client1.ovpn client2.ovpn usw. nennen oder auch beliebig anders, wichtig ist nur die Dateiendung *.ovpn. und das für jeden user ein eigenen Schlüssel erstellt wird
Anschließend editiert man diese folgender maßen

Code:

client

dev tun

remote IP_DES_oVPN_SERVERS 1194

proto udp

resolv-retry infinite

nobind

persist-key

persist-tun

route-delay 2

tun-mtu 1500

ca ca.crt

cert user1.crt

key user1.key

tls-auth ta.key 1

cipher AES-256-CBC

auth SHA256

remote-cert-tls server

comp-lzo

verb 3

IP_DES_oVPN_SERVERS natïürlich durch die Server-IP ersetzen!



Um jetzt eine Verbindung zum Server aufzubauen benötigt man unter Windows als Beispiel den OpenVPN client, download unter:



OpenVPN Client



Dort den Windows installer laden und installieren. Anschlieïßend kopiert man die Dateien:



- ca.crt

- ta.key

- user1.crt

- user1.key

- client.ovpn



in den config Ordner dieses Programms. Die Verbindung client wird dann bereits nach dem Start des Tools in der Taskleiste unter den möglichen Verbindungen angezeigt und mit Klick auf Verbinden startet man die OpenVPN Session. Sollte alles klappen, so zeigt das Tool in der Taskleiste kurz die vom Server zugewiesene VPN-IP an und mit einem:

ping 10.8.0.1

Es fehlen nun noch einige Einstellungen am OpenVPN Server um über diesen surfen zu können.

Dazu muss zunächst das IP-Forwarding aktiviert werden, dazu gibt man als root folgenden Befehl ein:

Code:

echo "1" > /proc/sys/net/ipv4/ip_forward

Um diese Einstellung dauerhaft im System zu aktivieren, also auch nach einem Reboot des Servers muss man
etc/sysctl.conf editieren:
Man sucht die Zeile:

Code:

nano  /etc/sysctl.conf
# Raute entfernen vor folgenden Einträgen bzw. diese hinzufügen
#net.ipv4.ip_forward=1
net.inet.ip.fastforwarding = 1

und löscht die einleitende #. und erweitert um net.inet.ip.fastforwarding = 1

Letzter Schritt: Konfigurieren des Servers als NAT über die iptables:

Man gibt als root folgenden Befehl ein:

Code:

iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j SNAT --to-source SERVER_IP

sofern die Netzwerkschnittstelle des Servers eth0 ist, was aber im Regelfall der Fall ist.

Zum vergewissern kann man sich seine verfügbaren Netzwerkschnittstellen über den Befehl:

ifconfig

anzeigen lassen.

So konfiguriert maskiert der OpenVPN Server alle eingehenden privaten VPN IPs aus dem Netz 10.8.0.0/24 durch seine an eth0 gebundene IP, was seine öffentliche im Internet gültige IP darstellt. Damit ist es nun mïöglich über den Server zu surfen.

Um auch diese Einstellung dauerhaft im System zu integrieren kann man folgendermaßen vorgehen:

Man sichert sich die iptables settings in die Datei /etc/iptables.conf mit folgendem Befehl:

iptables-save > /etc/iptables.conf



Anschlieïßend fügt man in der Datei /etc/network/interfaces am Ende von den Eintrügen zu "iface eth0" folgende Zeile an:

pre-up /sbin/iptables-restore < /etc/iptables.conf



Wählt man sich nun erneut zu diesem Server ein und man startet den Webbrowser, so surft man via OpenVPN mit der IP des Servers statt mit seiner eigenen.

Da alle Einstellungen dazu fest im System integriert sind, funktioniert auch nach einem Reboot des Servers wieder alles wie gehabt.

Info: Ich werde das ganze hier noch nach und nach erweitern
ihr könnt sobald ihr openvpn Installiet habt und die Server.conf und client.conf zusätzlich noch Access Server installieren einrichten um mittels einer visuellen Oberfläche Eueren vpnserver weiter zu bearbeiten.

Ich verweise auch mal auf TrackerPolizei poxy howto welches sich mit unserem ssh2 dem Tool myentunnel oder PROXIFIER in verbindung mit dem Socks5-Server und dem vpn tunnel super kombieniren lassen beim richtigen port forwarding das werde ich heute Abend mal ergänzen

[Thunder™]

Tutorial: So richtet man einen eigenen OpenVPN-Server auf einem GNU/Linux Debian 7.1 (wheezy) vServer ein und verbindet sich dann damit per Windows, OS X, Linux, iOS oder Android | iDienstler.de

[bigfoot]

Die Frage ist,warum sollte mann einen VPN auf seinen eigenen Server schmeißen?.
Dann doch lieber einen Fremden Open VPN nutzen oder 20 Euro im Jahr ausgeben und diverse Dienste nutzen.
Sich vorher aber erkundigen, das die keine Daten speichern oder rausrücken und wo die ihren Sitz haben.

[Thunder™]

Ich denke den meisten geht es nicht darum vor der NSA geschützt zu sein sondern um sich einfach auf Projekten bewegen zu können ohne das Admins die "echte" IP oder Provider sehen können. Es gibt sogar Tracker die verbieten unter anderen VPN´s und bannen die Server Ips was ich für völlig unverschämt halte. Aber auf solchen Projekten kann man auch gut verzichten da diese Leute anscheinend sehr auf Datensammeln bedacht sind.

Im übrigen gibt es keinen absoluten "sicheren" Schutz vor der NSA, wenn sie dich Ficken wollen, dann machen die das einfach, egal ob ein "Proxy" dazwischen ist oder nicht. Es gibt im Internet keinen 100 Prozentigen Schutz, genauso wenig wie es "echte" bigfoot´s gibt! xD

[dontcha]

soweit ich weiß is der IP ban in Deutschland glaube verboten bin mir aber nicht sicher

[schienbein]

Mit open vpn kann mann mal abgesehen vom Anonymen surfen auch noch andere Optionen umsetzen obwohl das die primäre Funktion von einem Vpn ist.

ich Bastel grade noch ein einer User/pass Lösung mit Mysql Unterstützung um nicht für jeden Clienten ein Zertifikat erstellen zu müssen.
Der nächste schritt wäre dann da für eine Php Script zu erstellen von welchem man die User anlegen & löschen kann.


Dazu benutze ich das Plugin openvpn-auth-pam.so in Verbindung mit

Code:

libpam-mysql

leider Funktioniert das ganze noch nicht so richtig.

mein Script sieht bisher wie folgt aus:
config.sh:

Code:

#!/bin/bash
##Dababase Server
HOST='localhost'
#Default port = 3306
PORT='3306'
#Username
USER='dein user'
#Password
PASS='dein passwort'
#database name
DB='vpn_db

exit 0

connect.sh:

Code:

#!/bin/bash
. /etc/openvpn/scripts/config.sh
##insert data connection to table log
mysql -h$HOST -P$PORT -u$USER -p$PASS $DB -e "INSERT INTO log (log_id,user_id,log_trusted_ip,log_trusted_port,log_remote_ip,log_remote_port,log_start_time,log_end_time,log_received,log_send) VALUES(NULL,'$common_name','$trusted_ip','$trusted_port','$ifconfig_pool_remote_ip','$remote_port_3306',now(),'0000-00-00 00:00:00','$bytes_received','$bytes_sent')"
##set status online to user connected
mysql -h$HOST -P$PORT -u$USER -p$PASS $DB -e "UPDATE user SET user_online='yes' WHERE user='$common_name'"



exit 0

disconnect.sh:

Code:

#!/bin/bash
. /etc/openvpn/scripts/config.sh
##set status offline to user disconnected
mysql -h$HOST -P$PORT -u$USER -p$PASS $DB -e "UPDATE user SET user_online='no' WHERE user='$common_name'"
##insert data disconnected to table log
mysql -h$HOST -P$PORT -u$USER -p$PASS $DB -e "UPDATE log SET log_end_time=now(),log_received='$bytes_received',log_send='$bytes_sent' WHERE log_trusted_ip='$trusted_ip' AND log_trusted_port='$trusted_port' AND user='$common_name' AND log_end_time='0000-00-00 00:00:00'"

exit 0

login.sh

Code:

#!/bin/bash
. /etc/openvpn/script/config.sh
##Authentication
user_id=$(mysql -h$HOST -P$PORT -u$USER -p$PASS $DB -sN -e "select user_id from user where user_id = '$username' AND user_pass = '$password' AND user_enable=1 AND user_start_date != user_end_date AND TO_DAYS(now()) >= TO_DAYS(user_start_date) AND (TO_DAYS(now()) <= TO_DAYS(user_end_date) OR user_end_date='0000-00-00')")
##Check user
[ "$user_id" != '' ] && [ "$user_id" = "$username" ] && echo "user : $username" && echo 'authentication ok.' && exit 0 || echo 'authentication failed.'; exit 1

Das ist der Teil für das login in der Server.conf

Code:

#client-cert-not-required
username-as-common-name

##user/pass auth from mysql
plugin /usr/local/lib/openvpn/openvpn-auth-pam.so openvpn
;auth-user-pass-verify /etc/pam.d/openvpn via-env 

##script connect-disconnect
script-security 2
;learn-address /etc/openvpn/extra scripts/learn-address.sh
client-connect /etc/openvpn/scripts/connect.sh
client-disconnect /etc/openvpn/scripts/disconnect.sh
client-login /etc/openvpn/scripts/login.sh

vieleicht kann mir ja jemand bei der Lösung helfen?

mfg

[Thunder™]

Den Aufwand würde ich garnicht erst machen, abgesehen mal davon würde ich niemals mein VPN mit fremden teilen wollen.

Vielleicht hilft dir aber weiter:

How to install a OpenVPN System Based On User/Password Authentication with mysql & Day Control (libpam-mysql) | SysAdmin

Moved Temporarily

Ich hab es selbst nie mit Mysql in Verbindung gebracht,geschweige versucht, daher auch keine Erfahrung was das angeht.

[schienbein]

will diesen ja auch nicht mit fremden teilen da dies nur ein Hobby Projekt für mich ist wo mit ich mir etwas die zeit mit vertreibe und um einfach mal mehr über die System Strukturen zu lernen.

Danke für die links werde mir die mal anschauen.

[Flori12345]

Hi ich hab mal ne frage zwecks VPN, hab mein VPN Anbieter immer für Windows verwendet nun wollte ich ihn auf mein Server ausprobieren was soweit auch geht nun is aber das prob wenn ich mich mit Winscp aufen Server anmelden will fragt er nach ein PW das root pw geht aber net hat einer ein Rat für mich

LG

[Bullshit]

am besten neu machen haste bestimmt was verwurschtelt wenns vorher ging kommste denn mit putty rauf wenn nicht kannste alles vergessen und es bleibt nur noch der re modus.

warum nutzt ihr nich cybergohst kostet 14 euro im jahr