Pinned How To: OpenVPN

    This site uses cookies. By continuing to browse this site, you are agreeing to our Cookie Policy.

    • Ja das mit dem VPN ist ne feine Sache..
      Was ich mich aber frage..
      Warum geht man bei einen VPN hoster wenn man selbst einen VPN Server haben kann.. Z.b. Auf der Fritte mit freetz
      Bzw. gibt es doch bestimmt Möglichkeiten einen eigenen VPN Server aufzusetzen oder täusche ich mich da?
      Ist für mich immer so eine Sache was sicher zu machen und dann doch einen hoster zwischen zu schalten was auch noch Geld kostet

      Oder versteh ich da was falsch?
    • reiter wrote:

      Ja das mit dem VPN ist ne feine Sache..
      Was ich mich aber frage..
      Warum geht man bei einen VPN hoster wenn man selbst einen VPN Server haben kann.. Z.b. Auf der Fritte mit freetz
      Bzw. gibt es doch bestimmt Möglichkeiten einen eigenen VPN Server aufzusetzen oder täusche ich mich da?
      Ist für mich immer so eine Sache was sicher zu machen und dann doch einen hoster zwischen zu schalten was auch noch Geld kostet

      Oder versteh ich da was falsch?
      naja das sind eigentlich 2 unterschiedliche themen. das eine ist ein eigenes netzwerk (privates vpn). vpn-hoster anonymisiert nur den internetverkehr (auch wenn die gleichen techniken genutzt werden). eigentlich nutzt man beides parallel, nicht nacheinander, wenn man beides braucht.
    • reiter wrote:

      Ja das mit dem VPN ist ne feine Sache..
      Was ich mich aber frage..
      Warum geht man bei einen VPN hoster wenn man selbst einen VPN Server haben kann.. Z.b. Auf der Fritte mit freetz
      Bzw. gibt es doch bestimmt Möglichkeiten einen eigenen VPN Server aufzusetzen oder täusche ich mich da?
      Ist für mich immer so eine Sache was sicher zu machen und dann doch einen hoster zwischen zu schalten was auch noch Geld kostet

      Oder versteh ich da was falsch?
      Jep.

      Die ganzen Dienste, die einen VPN anbieten sind für andere Bedürfnisse gedacht. Wie pillepallus schon schrieb, dienen die zur Anonymisierung, da der komplette Internettraffic "getunnelt" wird und über deinen VPN-Hoster nun abläuft. Wenn du nun z.B. eine Seite aufrufst - sagen wir mal ebay.de - bekommen diese nicht deine IP angezeigt, sondern die deines VPN-Hosters. Der VPN-Hoster kennt allerdings deine IP und auch dein Surfverhalten, deshalb sollte man sich einen Hoster suchen, der einem als seriös erscheint.

      Ein eigener VPN-Server, den man inzwischen mit den neuen Routern ganz leicht einrichten kann (oder für die Pifreunde z.B. auf einem Raspberry Pi), dienen dazu, dass man von extern auf sein Heimnetzwerk zugreifen kann und nur ein Port nach außen geöffnet werden muss, nämlich der VPN-Port. Die gleiche Logik steckt auch hinter vielen VPN-Verbindungen, die Firmen ihren Mitarbeitern anbieten: Um sicher von Daheim auf das Firmennetzwerk zuzugreifen.

      Hoffe, dass ich dir damit etwas Klarheit verschaffen konnte.

      srolle
      "Wir essen Opa!" ----> "Wir essen, Opa!"
      Satzzeichen retten Leben.
    • Offenbar ist Deine /etc/openvpn/ivacy-client.crt nicht korrekt.
      Wenn sie im angegebenen Pfad mit diesem Namen existiert und das korrekte Zertifikat vom Anbieter enthält, könnte noch das Dateiformat falsch sein. Die Datei muss UNIX-Zeilenenden haben. Der gute alte Windows-Editor Notepad macht nur Windows-Zeilenenden.

      Mehr Hinweise habe ich leider auch nicht, aber Ferndiagnose ist halt immer schwierig. Bei mir hatte es auch nicht gleich funktioniert, da mein Editor automatisch die Dateidendung ".txt" angehängt hat. Die crt-Dateien hießen also .crt.txt! Hab ich leider nicht gleich gesehen.

      Viele Grüße
      Matthias



      Danke für den Hinweis. Habe daraufhin zwar alle mit Unix erstellt, aber die Fehler blieben. Habe das ganze dann direkt über Linux erstellt und dann auch gesehen, dass ivacy in jeder Zeile direkt am Anfang ein Leerzeichen hat und Linux damit nicht umgehen kann. Jetzt läuft alles ohne Probleme.

      Nun hab ich noch eine Frage. Wie stelle ich die Openvpn als Standard ein, sodass er sich auch nur mit dem Internet verbindet, wenn der vpn steht. Ansonsten wäre das ja nicht hilfreich.

      Gesendet von meinem GT-I9505 mit Tapatalk
    • Wie meinst Du das? Wenn es aktiviert ist bist doch immer mit dem Server des Anbieters verbunden. Du kannst in dem Plugin halt noch wählen, daß bei nem Neustart ebenfalls automatisch verbundenen wird.
      VU+ Solo2
    • Ich hatte gelesen, dass beim Neustart des Routers alle 24 Stunden das Plugin sich nicht automatisch wieder verbindet. Daher sollte die Internetverbindung nur über den vpn laufen und wenn diese nicht steht, kein Zugriff erfolgen.

      Gesendet von meinem GT-I9505 mit Tapatalk
    • den zugang der vu zum normalen netz solltest du im router blocken. auf
      dem router braucht die vu nur zugriff auf den vpn-server. über diesen
      wird dann der ganze internet-verkehr geregelt. wenn du keine dns-namen
      verwendest, musst du nur diese ip freischalten. den rest einfach
      blocken. leite den primären dns-server auch auf den des vpn-providers.
      dns-abfragen gehen meisten weiterhin über das lokale dns-gateway des
      routers. nur die routen werden angepasst. mit dns weis der provider sozusagen auch alles lol.

      trotzdem, wenn
      du deine vu mit einem vpn-client so ins netz bringst,
      installiere dir einen paket-filter. das eingebundene netz hat
      theroretisch vollzugriff... ein vpn funktioniert in 2 richtungen. der
      paket-filter der vu ist zwar leider sehr abgespeckt, stellt aber
      grundlegende funktionen bereit. die vu im ursprungszustand alles andere
      als ein sicheres gerät, das ist für den komfort leider notwendig. das
      einhängen von fremden netzen ohne jeglichen filter ist fragwürdig. z.b.
      samba ist für alle interfaces zugelassen... (interfaces = eth0 muss dann
      rein, bzw. eigene tap oder tun devices für private vpn's, falls mehrere
      genutzt werden.)

      hier ein simples beispiel, wie man den paket-filter benutzt (ich glaube der ist übern feed installierbar... kernel-module).

      Shell-Script

      1. #!/bin/sh
      2. iptables -F
      3. iptables -X
      4. # Block all attempts to spoof the loopback address
      5. iptables -A INPUT -s 127.0.0.0/8 -j DROP
      6. iptables -A INPUT -d 127.0.0.0/8 -j DROP
      7. #LAN's
      8. iptables -A INPUT -s 192.168.178.0/24 -j ACCEPT
      9. iptables -A OUTPUT -d 192.168.178.0/24 -j ACCEPT
      10. #drop incoming packets
      11. iptables -A INPUT -s 0/0 -j DROP
      12. #allow outgoing packets
      13. iptables -A OUTPUT -s 0/0 -j ACCEPT
      14. iptables -L -n
      Display All


      wichtig

      ist hierbei eigentlich nur, das du nicht einfach den verkehr aus allen
      subnets annimmst (iptables -A INPUT -s 0/0 -j DROP), sondern diese
      separat freischaltest (i.e. iptables -A INPUT -s 192.168.178.0/24 -j
      ACCEPT). die regel "iptables
      -A OUTPUT -s 0/0 -j ACCEPT" lässt jeglichen zugriff nach aussen zu.
      sonst kannste nix guggn :)
    • ok dann vergiss den paketfilter.

      ob dein routing ins vpn funktioniert kannst du immer mit den routen prüfen. das machst du via crontab. ist die route weg, baust du die verbindung neu auf.

      /home/root/check_vpn.sh

      Shell-Script

      1. #!/bin/sh
      2. route|grep ***vpndetails***
      3. if [ $? -ne 0 ] ; then
      4. echo "##### VPN is not working #####"
      5. echo `date` vpn is !!!offline!!!
      6. echo `date` vpn is !!!offline!!! >> /hdd/vpn-status.log
      7. /etc/init.d/openvpn stop
      8. /etc/init.d/openvpn start
      9. else
      10. echo `date` vpn is online
      11. echo `date` vpn is online >> /hdd/vpn-status.log
      12. fi
      Display All


      füge diese der crontab hinzu:

      Source Code

      1. */1 * * * * /home/root/check_vpn.sh


      dein system prüft jetzt jede minute
    • Vielen Dank schonmal.

      Hab jetzt erstmal meinen VPN getestet. Beim Versuch google.com anzupingen bekomme ich immer bad address ausgegeben. Ohne VPN läuft es jedoch problemlos. Hatte schonmal jemand das Problem oder weiß die Lösung?
    • Das ganze lag wohl am wlan. Über LAN funktioniert der vpn ohne Probleme.

      Wollt mich mal jetzt an deinen Vorschlag machen. Habe vorab noch eine frage. Unter vpn Details sollte ich was einfügen? Die Route aus der config, also "openvpn.Ivavy.com" ?

      Und dann wurde mich interessieren, welchen dns ich benutzen sollte. Hab DHCP aus für die feste IP und zur Zeit die Google dns eingetragen. Kann ich das so lassen oder sollte ich da eher andere benutzen?

      Würde mich freuen wenn ihr mir da nochmal helfen könntet :)

      Gesendet von meinem GT-I9505 mit Tapatalk
    • ich danke auch für die anleitung! habe die vier links (am ende deiner beschreibung) eingefügt udn die box neu gestartet. es kam auch die meldung, dass die links schon vorhanden sind ...

      mittels route -n kommt folgendes (also keine ssl verbindung):
      Kernel IP routing table
      Destination Gateway Genmask Flags Metric Ref Use Iface
      0.0.0.0 192.168.2.1 0.0.0.0 UG 0 0 0 eth0
      192.168.2.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0

      gibt es andere möglichkeiten openvpn per autostart laufen zu lassen?

      wenn ich es manuell starte klappts... also die config is ok.
    • Hallo @all

      Ich habe beim mir zu Hause auf der Fritzbox VPN eingerichtet.
      Was muss ich in der openvpnvti.conf einstellen um im Garten meine Ultimo damit zu verbinden?
      Da ich kein Englisch verstehe, ist das ganze für mich verwirrend ;pinch: .

      gruß sirius01 ;) :8) ;)
      sudo apt-get remove englisch