OpenVPN Anleitung für update-resolv-conf

    • @grazzor

      Banana Joe schreibt:

      "Ja. Daher schrieb ich oben auch "meistens" ist es eine 10.x.x.x.x Adresse." Es kann also auch was anderes sein :)
    • Ja richtig, das können irgendwelche IPs sein.
      Ich bin fälschlicherweise davon ausgegangen, dass das "meist" 10.x.x.x Adressen sind.

      Das Skript setzt einfach die DNS IPs, die bei dem Verbinden vom VPN Server geliefert werden. (Das Funktionsprinzip ist ähnlich wie bei DHCP)
      Wenn der DNS Provider keine eigenen DNS Server anbietet, wird auch Nichts hinzugefügt.
    • Dann bin ich beruhigt :) Da ja openvpn über die Box läuft, cat /etc/resolv.conf liefert Ergebinss, ergo läuft das Script auch, also kann ja nichts mehr schief gehen ;)

      Mensch, ich hätte jetzt echt nicht gedacht, dass das alles so einfach ist. Man muss nur genau das machen, was einem gesagt wird, ein wenig rumprobieren und schwupps, klappts auch mit den Nachbarn :thumbsup:

      @Banana Joe Du bist der Hit! Vielen Dank für die beiden super openvpn Beiträge!
    • Browserleak liefert meine tatsächlichen DNS Server

      Hallo zusammen,

      heute habe ich ein wenig rumgetestet und auch den Browser auf meiner VU installiert. Über den VU Browser habe ich eben gerade browserleak gestartet. Die IP Adresse passt soweit (VPN), wenn ich dann aber auf IP suchen (oben rechts auf der Seite drücke), werden meine DNS Server von der Telekom angezeigt. Das sollte natürlich nicht der Fall sein. Oder liefert browserleak da nur falsche Daten?

      Soweit ich das testen konnte, ist alles richtig eingestellt. Hier mal die Daten:

      "nslookup abc.de " liefert:

      nslookup abc.de
      Server:78.46.223.24
      Address 1: 78.46.223.24 static.78-46-223-24.clients.your-server.de
      Name:abc.de
      Address 1: 194.49.7.145 mail.abc.de


      "cat /etc/resolv.conf" sieht bei mir so aus:
      # Generated by resolvconfdomain
      fritz.box
      nameserver 78.46.223.24
      nameserver 162.242.211.137
      nameserver 192.X.X.X

      ipleak.net liefert die vpn IP Adresse
      "wget plain -O - -q ; echo" liefert auch die VPN IP 82.102.16.152 (VPN IP Adresse)

      openvpn ist natürlich gestartet und läuft.Wenn ich nordvpn am Rechner starte und browserleak aufrufe, bekomme ich a die VPN IP und auch den DNS Server von nordvpn angezeigt, wenn ich genau so vorgehe wie bei dem VU Browser.Was läuft das schief?

      Viele Grüße

      Dieser Beitrag wurde bereits 4 mal editiert, zuletzt von Stan2017 ()

    • Noch eine Ergänzung, leider zu spät gesehen. Die IPv6 Adresse wird exakt so übermittelt, wie sie der VU zugeordnet ist (im Netzwerk). Die IP Adresse und der Hostname sind jedoch die IP Adresse des VPN Anbieters.
    • Nochmals Hallo,

      vorab, möglicherweise kann ja ein Mod meine letzten drei Beiträge von mir in einen packen :)

      Problem gefunden, Problem gelöst (hoffe ich ;) )

      Nachdem ich jetzt recht lange über google & Co. geforscht habe, habe ich als Problem IPv6 identifiziert. Die IPv6 Adresse liefert so viel Informationen mit, dass man scheinbar sogar DNS zuordnen kann. Mit einer VPN Verbindung und dem resolv liefert Ipv4 das was es soll (die Daten des VPN Anbieters inkl. DNS), startet man aber die Abfrage über IPv6, so kann man den Nutzer recht klar identifizieren.

      Leider ist es nicht so ganz trivial openvpn auch IPv6 "ready" zu machen. Für mich als Laien, erst mal nicht darstellbar. Wobei es eine scheinbar eine recht gute Anleitung gibt. Aber man benötigt wohl noch ein weiteres Paket, welches ich für E2 nicht gefunden habe.

      Lösung?

      Einfach den ganzen IPv6 Quatsch ;) im Router deaktivieren. Bei der fritbox 7490 über Internet/Zugangsdaten/IPv6 dort einfach den Haken bei "IPv6 aktivieren", weg machen. Stand heute brauchen es die wenigsten Leute, somit kein Nachteil.

      Ich habe jetzt nochmals über alle Testmöglichkeiten ausprobiert ob noch irgendwelche DNS oder IPv6 Daten angezeigt werden. Negativ! Mein augenblicklich ausgewählter VPN Server liefert ganz brav seine IP, die auch als DNS Server angezeigt wird (scheinbar liefert der Server keinen DNS mit, also ist die IP Adresse der DNS Router).

      An die Profis hier, habe ich das richtig identifiziert?

      Viele Grüße
    • Ahso, du hast Dual-Stack. IPv6 ist so eine Sache, denn da greifen natürlich alle IPv4-Routings nicht.

      Es gibt - soweit ich weiß - noch keine Möglichkeit für die Box, IPv6 durch einen IPv4 Tunnel zu leiten.
      Als Workaround wüsste ich momentan nur, IPv6 auf der Box abschalten.

      Dazu in Datei /etc/sysctl.conf folgende Zeile einfügen (bzw. ändern, falls schon vorhanden):

      Quellcode

      1. net.ipv6.conf.all.disable_ipv6 = 1

      Danach auf der Konsole eingaben:

      Quellcode

      1. sysctl -p
    • @Banana Joe Ich gehe jetzt mal davon aus, dass das deaktivieren von IPv6 auf meiner Fritzbox ebenso den gewünschten Erfolg bringt, oder? :)

      Ich habe eine recht gute Beschreibung zu dieser Thematik im Web gefunden.Links darf man hier ja keine posten. Aber wenn man openvpn-server-mit-ipv4-und-ipv6 techgrube bei google eingibt, findet man eine Schritt für Schritt Anleitung.

      Viele Grüße
    • Ah OK.

      Ich habe jetzt noch den Eintrag in die sysctl.conf vorgenommen und gestartet. Jetzt kann die die sysctl.conf in meine Sicherungsdatei aufnehmen. Wer weiß, man wechselt den Router und vergisst IPv6 abzuschalten........
    • Ich hab mein VPN Anbieter gewechselt und bekomme das nun so nicht mehr zum laufen.

      Ich bekomme immer nur die OpenDNS Server angezeigt.


      root@vuuno4k:~# cat /etc/resolv.conf
      # Generated by resolvconf
      nameserver 208.67.222.222
      nameserver 208.67.220.220
      nameserver 192.168.0.1

      root@vuuno4k:~# nslookup abc.de
      Server: 208.67.222.222
      Address 1: 208.67.222.222 resolver1.opendns.com

      Das Log ist aber auch auffällig. Die 2 Zeilen sollen so glaube ich nicht sein oder?

      Spoiler anzeigen

      Thu Jan 1 01:00:09 1970 OpenVPN 2.3.6 arm-oe-linux-gnueabi [SSL (OpenSSL)] [LZO] [EPOLL] [MH] [IPv6] built on Nov 14 2017
      Thu Jan 1 01:00:09 1970 library versions: OpenSSL 1.0.2a 19 Mar 2015, LZO 2.09
      Thu Jan 1 01:00:09 1970 WARNING: file 'goose.login' is group or others accessible
      Thu Jan 1 01:00:09 1970 WARNING: No server certificate verification method has been enabled. See howto.html#mitm for more info.
      Thu Jan 1 01:00:09 1970 NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
      Thu Jan 1 01:00:09 1970 WARNING: normally if you use --mssfix and/or --fragment, you should also set --tun-mtu 1500 (currently it is 1470)
      Thu Jan 1 01:00:09 1970 Socket Buffers: R=[87380->131072] S=[16384->131072]
      Thu Jan 1 01:00:14 1970 Attempting to establish TCP connection with [AF_INET]81.17.19.13:443 [nonblock]
      Thu Jan 1 01:00:15 1970 TCP connection established with [AF_INET]81.17.19.13:443
      Thu Jan 1 01:00:15 1970 TCPv4_CLIENT link local: [undef]
      Thu Jan 1 01:00:15 1970 TCPv4_CLIENT link remote: [AF_INET]81.17.19.13:443
      Thu Jan 1 01:00:15 1970 TLS: Initial packet from [AF_INET]81.17.19.13:443, sid=dd8b0fba 35f41de5
      Thu Jan 1 01:00:15 1970 WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
      Thu Jan 1 01:00:15 1970 VERIFY ERROR: depth=1, error=certificate is not yet valid: C=NL, ST=South Holland, L=Rotterdam, O=GOOSE, OU=MyOrganizationalUnit, CN=GOOSE CA, name=EasyRSA, emailAddress=info@goosevpn.com
      Thu Jan 1 01:00:15 1970 TLS_ERROR: BIO read tls_read_plaintext error: error:14090086:SSL routines:ssl3_get_server_certificate:certificate verify failed
      Thu Jan 1 01:00:15 1970 TLS Error: TLS object -> incoming plaintext read error
      Thu Jan 1 01:00:15 1970 TLS Error: TLS handshake failed
      Thu Jan 1 01:00:15 1970 Fatal TLS error (check_tls_errors_co), restarting
      Thu Jan 1 01:00:15 1970 SIGUSR1[soft,tls-error] received, process restarting
      Thu Jan 1 01:00:15 1970 Restart pause, 5 second(s)
      Thu Jan 1 01:00:20 1970 WARNING: No server certificate verification method has been enabled. See howto.html#mitm for more info.
      Thu Jan 1 01:00:20 1970 NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
      Thu Jan 1 01:00:20 1970 WARNING: normally if you use --mssfix and/or --fragment, you should also set --tun-mtu 1500 (currently it is 1470)
      Thu Jan 1 01:00:20 1970 Socket Buffers: R=[87380->131072] S=[16384->131072]
      Thu Jan 1 01:00:20 1970 Attempting to establish TCP connection with [AF_INET]81.17.19.13:443 [nonblock]
      Thu Jan 1 01:00:21 1970 TCP connection established with [AF_INET]81.17.19.13:443
      Thu Jan 1 01:00:21 1970 TCPv4_CLIENT link local: [undef]
      Thu Jan 1 01:00:21 1970 TCPv4_CLIENT link remote: [AF_INET]81.17.19.13:443
      Thu Jan 1 01:00:21 1970 TLS: Initial packet from [AF_INET]81.17.19.13:443, sid=f1e3b874 a17207ca
      Thu Jan 1 01:00:22 1970 VERIFY ERROR: depth=1, error=certificate is not yet valid: C=NL, ST=South Holland, L=Rotterdam, O=GOOSE, OU=MyOrganizationalUnit, CN=GOOSE CA, name=EasyRSA, emailAddress=info@goosevpn.com
      Thu Jan 1 01:00:22 1970 TLS_ERROR: BIO read tls_read_plaintext error: error:14090086:SSL routines:ssl3_get_server_certificate:certificate verify failed
      Thu Jan 1 01:00:22 1970 TLS Error: TLS object -> incoming plaintext read error
      Thu Jan 1 01:00:22 1970 TLS Error: TLS handshake failed
      Thu Jan 1 01:00:22 1970 Fatal TLS error (check_tls_errors_co), restarting
      Thu Jan 1 01:00:22 1970 SIGUSR1[soft,tls-error] received, process restarting
      Thu Jan 1 01:00:22 1970 Restart pause, 5 second(s)
      Fri Feb 16 19:18:50 2018 WARNING: No server certificate verification method has been enabled. See howto.html#mitm for more info.
      Fri Feb 16 19:18:50 2018 NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
      Fri Feb 16 19:18:50 2018 WARNING: normally if you use --mssfix and/or --fragment, you should also set --tun-mtu 1500 (currently it is 1470)
      Fri Feb 16 19:18:50 2018 Socket Buffers: R=[87380->131072] S=[16384->131072]
      Fri Feb 16 19:18:50 2018 Attempting to establish TCP connection with [AF_INET]81.17.19.13:443 [nonblock]
      Fri Feb 16 19:18:51 2018 TCP connection established with [AF_INET]81.17.19.13:443
      Fri Feb 16 19:18:51 2018 TCPv4_CLIENT link local: [undef]
      Fri Feb 16 19:18:51 2018 TCPv4_CLIENT link remote: [AF_INET]81.17.19.13:443
      Fri Feb 16 19:18:51 2018 TLS: Initial packet from [AF_INET]81.17.19.13:443, sid=d98fbc6c f82a0ae2
      Fri Feb 16 19:18:51 2018 VERIFY OK: depth=1, C=NL, ST=South Holland, L=Rotterdam, O=GOOSE, OU=MyOrganizationalUnit, CN=GOOSE CA, name=EasyRSA, emailAddress=info@goosevpn.com
      Fri Feb 16 19:18:51 2018 VERIFY OK: depth=0, C=NL, ST=South Holland, L=Rotterdam, O=GOOSE, OU=MyOrganizationalUnit, CN=vpn.goosevpn.com, name=EasyRSA, emailAddress=info@goosevpn.com
      Fri Feb 16 19:18:51 2018 Data Channel Encrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
      Fri Feb 16 19:18:51 2018 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
      Fri Feb 16 19:18:51 2018 Data Channel Decrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
      Fri Feb 16 19:18:51 2018 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
      Fri Feb 16 19:18:51 2018 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 2048 bit RSA
      Fri Feb 16 19:18:51 2018 [vpn.goosevpn.com] Peer Connection Initiated with [AF_INET]81.17.19.13:443
      Fri Feb 16 19:18:53 2018 SENT CONTROL [vpn.goosevpn.com]: 'PUSH_REQUEST' (status=1)
      Fri Feb 16 19:18:53 2018 PUSH: Received control message: 'PUSH_REPLY,redirect-gateway def1,dhcp-option DNS 208.67.222.222,dhcp-option DNS 208.67.220.220,route 10.31.5.1,topology net30,ping 5,ping-restart 60,socket-flags TCP_NODELAY,ifconfig 10.31.5.6 10.31.5.5'
      Fri Feb 16 19:18:53 2018 OPTIONS IMPORT: timers and/or timeouts modified
      Fri Feb 16 19:18:53 2018 OPTIONS IMPORT: --socket-flags option modified
      Fri Feb 16 19:18:53 2018 Socket flags: TCP_NODELAY=1 succeeded
      Fri Feb 16 19:18:53 2018 OPTIONS IMPORT: --ifconfig/up options modified
      Fri Feb 16 19:18:53 2018 OPTIONS IMPORT: route options modified
      Fri Feb 16 19:18:53 2018 OPTIONS IMPORT: --ip-win32 and/or --dhcp-option options modified
      Fri Feb 16 19:18:53 2018 ROUTE_GATEWAY 192.168.0.1/255.255.255.0 IFACE=eth0 HWADDR=00:1d:ec:10:a7:c2
      Fri Feb 16 19:18:53 2018 TUN/TAP device tun0 opened
      Fri Feb 16 19:18:53 2018 TUN/TAP TX queue length set to 100
      Fri Feb 16 19:18:53 2018 do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
      Fri Feb 16 19:18:53 2018 /sbin/ip link set dev tun0 up mtu 1470
      Fri Feb 16 19:18:54 2018 /sbin/ip addr add dev tun0 local 10.31.5.6 peer 10.31.5.5
      Fri Feb 16 19:18:54 2018 /etc/openvpn/update-resolv-conf tun0 1470 1530 10.31.5.6 10.31.5.5 init
      nameserver 208.67.222.222
      nameserver 208.67.220.220
      Fri Feb 16 19:18:54 2018 /sbin/ip route add 81.17.19.13/32 via 192.168.0.1
      Fri Feb 16 19:18:54 2018 /sbin/ip route add 0.0.0.0/1 via 10.31.5.5
      Fri Feb 16 19:18:54 2018 /sbin/ip route add 128.0.0.0/1 via 10.31.5.5
      Fri Feb 16 19:18:54 2018 /sbin/ip route add 10.31.5.1/32 via 10.31.5.5
      Fri Feb 16 19:18:54 2018 Initialization Sequence Completed
      Lesen bildet! :thumbup:
    • Also hat der eine Server anscheinend OpenDNS als DNS Server?Ich bin jetzt mal auf einen Holländischen gewechselt und dort läufts auch wie gewohnt.
      Das ist nur bei den Schweizer Servern :think1: Aber gut der Standort ist mir relativ schnuppe. Oder gibts da Unterschiede zwischen P2P und No-P2P Servern?
      Lesen bildet! :thumbup:
    • Hier geht es ja im Speziellen darum, dass nicht der eigene Router als DNS verwendet wird. Denn dieser würde als Forwarder zum DNS des Internet-Providers das VPN umgehen.

      Welchen DNS man erhält, ist daher eigentlich egal - sofern der zugewiesene DNS auch alles auflösen kann und nicht irgendwelchen staatlichen Kontrollen/Zensuren unterliegt.

      Ein gewöhnlicher VPN Anbieter wird mit Sicherheit auch keine eigenen primären root-DNS-Systeme betreiben, sondern auch nur darauf weiterleiten. Oder eben gleich einen öffentlichen DNS anbieten, so wie bei dir.
    • Neu

      Hi. hab heute OpenVPN eingerichtet. Als VPN Anbieter habe ich ProtonVPN genommen. Läuft jedoch nur wenn ich es so mache in der openvpnvti.conf:

      Quellcode

      1. #script-security 2
      2. #up /etc/openvpn/update-resolv-conf
      3. #down /etc/openvpn/update-resolv-conf



      Das Log hatte mich dazu bewegt die Punkte zu deaktivieren. Open VPN fand die Einträge nicht, daher die #.

      Dann habe ich diesen Thread hier gefunden. Datei entpackt und nach etc/openvpn gepackt. Dann via Telnet mit

      Quellcode

      1. www.vuplus-support.org
      2. home of
      3. /$$ /$$ /$$$$$$$$ /$$
      4. | $$ | $$|__ $$__/|__/
      5. | $$ | $$ | $$ /$$
      6. | $$ / $$/ | $$ | $$
      7. \ $$ $$/ | $$ | $$
      8. \ $$$/ | $$ | $$
      9. \ $/ | $$ | $$
      10. \_/ |__/ |__/
      11. Welcome on your Vu+ !
      12. root@vuduo2:~# chmod +x /etc/openvpn/update-resolv-conf-BJ
      13. root@vuduo2:~#
      Alles anzeigen
      die Datei ausführbar gemacht (normal das kein Feedback kommt?) und noch die openvpnvti.conf entsprechend geändert:

      Quellcode

      1. script-security 2
      2. up /etc/openvpn/update-resolv-conf-BJ
      3. down /etc/openvpn/update-resolv-conf-BJ

      OpenVPN startet so nicht, im Log kommt am ende:


      Quellcode

      1. Mon Apr 16 19:52:02 2018 /etc/openvpn/update-resolv-conf-BJ tun0 1500 1634 10.X.X.XXX 255.255.0.0 init
      2. env: can't execute 'bash
      3. ': No such file or directory
      4. Mon Apr 16 19:52:02 2018 WARNING: Failed running command (--up/--down): could not execute external program
      5. Mon Apr 16 19:52:02 2018 Exiting due to fatal error
      Was mache ich falsch? (10.X.X.XXX hab ich da hingemacht)

      Dieser Beitrag wurde bereits 2 mal editiert, zuletzt von bimmler ()

    • Neu

      Nein. Hab kein Windoof. Mac OS. Hab Textwrangler genommen. Ist schon der richtige Editor gewesen, den nehm ich für alles was Linux, OSCam etc. angeht.

      Daher müsste der Fehler woanders liegen.

      In der originalen openvpnvti.conf waren die beiden Zeilen ja schon enthalten, habe mit dem Editor sie entsprechend abgeändert.

      Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von bimmler ()