Tutorial VU+ mit VTI als openvpn-Server

    Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

    • Tutorial VU+ mit VTI als openvpn-Server

      VU+ mit VTI als openvpn-Server für den Zugriff aus dem Internet über Portforwarding.

      Wer keine VPN Verbindung mit dem Router einrichten kann, weil der es z.B. nicht unterstützt (Easy-Box oder Speedport) kann eine VPN Verbindung direkt zur Box herstellen.

      Voraussetzungen
      - Portweiterleitung zur Box (UDP Port 1194)
      - VTI mit installiertem openvpn
      - Windows-PC mit installiertem openvpn

      Den Windows-PC brauchen wir zum Erstellen der Zertifikate, da im VTI-openvpn easy-rsa2 fehlt. Die Konfiguration ist angelehnt an das Tutorial von @mfgeg aus dem ihad-Forum.

      Nach dem openvpn auf der VU+ Box installiert wurde, findet sich im Pfad /etc/openvpn eine Datei openvpnvti.conf. Die könnt ihr entweder umbennen (andere Endung als .conf), um das Original beizubehalten, oder löschen.

      In diesen Order kopiert ihr die Datei server.conf mit folgendem Inhalt

      Quellcode: server.conf

      1. server 10.0.0.0 255.255.255.0
      2. port 1194
      3. proto udp
      4. dev tun
      5. comp-lzo
      6. ca /etc/openvpn/ca.crt
      7. cert /etc/openvpn/server.crt
      8. key /etc/openvpn/server.key
      9. dh /etc/openvpn/dh1024.pem
      10. push "route XXX.XXX.XXX.0 255.255.255.0"
      11. float
      12. ping-timer-rem
      13. keepalive 20 180
      Alles anzeigen



      In der Zeile push "route ... müsst ihr euer lokales Netzwerk, z.B. 192.168.1.0, definieren.

      Nun kommen wir zur Erstellung der Zertifikate. Auf dem Windows-PC wechselt ihr in den Ordner C:\Programme\openvpn\easy-rsa. Passt die Datei vars.bat.sample mit euren Daten an und benennt sie nach vars.bat um. Im Ordner C:\Programme\openvpn\easy-rsa führt ihr eine Eingabeaufforderung aus (Shift-Taste und glz. rechte Maustaste drücken, dann auf Eingabeaufforderung).

      Im Eingabefenster führt ihr folgende Befehle nacheinander aus:

      Quellcode

      1. vars.bat
      2. clean-all.bat
      3. build-ca.bat
      4. build-dh.bat
      5. build-key-server.bat server
      6. build-key.bat vpnclient01
      Zu beachten ist, dass bei "build-key" ein anderer Common-Name verwendet werden muss, ansonsten kommt es zu einem Fehler.
      Solltet ihr mehr als einen Client haben, führt ihr "build-key.bat vpnclient02" u.s.w. aus.

      Aus dem Ordner C:\Programme\openvpn\easy-rsa\keys kopiert ihr die erzeugten Dateien
      ca.crt
      server.crt
      server.key
      dh1024.pem
      z.B. per FTP in das Verzeichnis /etc/openvpn eurer Box.

      Nun könnt ihr openvpn entweder über die Erweiterungen oder über die Konsole mit "/etc/init.d/openvpn start" starten. Beim Aufruf des Status könnt ihr die VPN-IP der Box ablesen (sollte in unserem Fall 10.0.0.1 sein).

      Die client.conf oder client.ovpn könnt ihr auf einem Android, iOS oder Windows mit installiertem openvpn importieren:


      Quellcode: client.conf

      1. client
      2. dev tun
      3. proto udp
      4. remote XXX.XXX.XXX.XXX 1194
      5. resolv-retry infinite
      6. nobind
      7. persist-key
      8. persist-tun
      9. ca ca.crt
      10. cert vpnclient01.crt
      11. key vpnclient01.key
      12. ns-cert-type server
      13. comp-lzo
      Alles anzeigen

      Als Client-Zertifikate benötigt ihr die erzeugten vpnclient01.* Dateien aus dem Windows-Ordner C:\Programme\openvpn\easy-rsa\keys.
      In der Zeile "remote XXX..." müsst ihr eure DynDNS Adresse eures Routers eintragen. Vergesst bitte nicht das Portforwarding des UDP-Ports 1194! Zum Test könnt ihr das auch im internen Netz probieren. Dafür müsst ihr die interne IP der Box bei "remote XXX..." verwenden. Sollte eine Verbindung fehlerfrei aufgebaut werden, müsste eine Ping auf die Box mit der Adresse 10.0.0.1 erfolgreich sein.

      Ich nutze für den Zugriff auf die Box "dream EPG Premium" für Android von Christian Fees auf meinem Tablet/Smartphone. Dort kann man ein zweites Profil mit der "VPN-IP" der Box anlegen.

      Viel Spaß beim tüfteln!
    • Zwei Anmerkungen:

      1) Zertifikate können auch auf der Box generiert werden. Hier gibt's ein Skript dazu:
      vuplus-support.org/wbb4/index.…ostID=1161033#post1161033

      2) Idealerweise ignoriert man das "Transit-Netz" (hier 10.0.0.0/24) für Profil-Einstellungen. Stattdessen legt man sich eine NAT Regel auf dem VPN Server an, dann hat man Zuhause und unterwegs immer das gleiche Profil. Zudem erhält man transparenten Zugriff auf das komplette Heimnetz.

      Dazu IPtables installieren:

      Quellcode

      1. opkg install iptables
      Überprüfen mit:

      Quellcode

      1. iptables -t nat -A POSTROUTING -s 10.0.0.0/24 -o eth0 -j MASQUERADE
      Hier darf kein Fehler, fehlende Module etc. auftauchen.

      Dann up-Skript für openvpn Server anlegen:
      Dateiname: /etc/openvpn/up.sh

      Shell-Script

      1. #!/bin/sh
      2. echo "1" > /proc/sys/net/ipv4/ip_forward
      3. iptables -t nat -A POSTROUTING -s 10.0.0.0/24 -o eth0 -j MASQUERADE
      down-Skript für openvpn Server anlegen:
      Dateiname: /etc/openvpn/down.sh

      Shell-Script

      1. #!/bin/sh
      2. echo "0" > /proc/sys/net/ipv4/ip_forward
      3. iptables -F -t nat
      Skripte ausfürbar machen:

      Quellcode

      1. chmod +x /etc/openvpn/up.sh
      2. chmod +x /etc/openvpn/down.sh
      Zu der openvpn Server Konfig dann noch hinzufügen:

      Quellcode

      1. script-security 2
      2. up /etc/openvpn/up.sh
      3. down /etc/openvpn/down.sh

      Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von Banana Joe ()

    • Hallo RichieX, ich bräuchte hier mal deine Hilfe. Ich habe auf dem Pc openvpn installiert, aber es gibt den Ordner C:\Programme\openvpn\easy-rsa. nicht. Also auch dort die Datei vars.bat.sample nicht. Kannst mir da irgendwie Helfen warum das bei mir nicht da ist?
    • Tutorial VU+ mit VTI als openvpn-Server

      Du musst bei der Installation des OVPN Pakets unter Windows benutzerdefinierte Installation auswählen und easy-rsa explizit auswählen. Das wird standardmäßig nicht mit installiert.

      Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von RichieX ()

    • SRY, ich nochmal. Das mit dem installieren hat ja soweit geklappt, bin deiner Beschreibung gefolgt (3x wiederholt) ABER er erzeugt mir die Daten nicht im keys Ordner. Ich bin grade echt kurz vorm verzweifeln hier! Mein Problem an der Stelle ist auch, dass ich nicht weiß was ich falsch mache..
    • SRY war grade einen Moment außer Haus. Auch dieses hab ich grade nochmal gemacht, es passiert nix, die Dateien tauchen nicht auf im keys Ordner.... Ich bin echt ratlos. Habs auch grade auf einem Laptop versucht, der später eh der sein soll der sich hauptsächlich per VPN verbindet,,,, auch auf diesem ist das selbe. Irgendwas scheine ich falsch zu machen, nur weiß nicht was grade..
    • I followed this guide

      to setup my vusolose as a openvpn server and my ubuntu laptop as a client.
      The keys were generated on the vusolose.



      Edit by ditschi: Verlinkung zu fremden Forum entfernt - Bitte Bordregeln beachten!

      Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von ditschi1691 ()

    • Entschuldigung wegen der Verlinkung. Ich hatte vergessen, dass ich nicht auf andere Foren verlinken darf.
      Darf ich den Titel eines Posts von einem anderen Forum nennen? Dann kann der interessierte vuplus-support.org Nutzer ihn finden ohne dass es ein Link ist...

      Ich könnte auch die wesentlichen Teil in dieses Forum kopieren, aber eine Quellenangabe wäre gerecht, denke ich.

      ----

      Der wesentliche Unterschied zu diesem Beitrag ist, dass man sich openvpn-2.2.2.tar.gz per wget auf die box holt, auspackt und dann damit die keys erzeugt.
    • Guten Morgen

      da ich neu in dem gazen vpn und generell openvpn bin wollte ich fragen wie ich das nun auch hinbekomme das meine vu+solo4k zu einem vpn server wird. Ich würde gerne von aussen z.b über andere geräte zugreifen und tv gucken.
      ich werde aus den beschreibungen hier nicht ganz schlau wäre jemand so lieb und würde mir helfen wie ich das von anfang bis final auf meiner vu+ einrichten kann !?

      Lg
      YY
    • ich habe mich nun nochmal versucht aber 2 dinge passieren zum 1 wird mir keine dh1024.pem erstellt sondern dh4096.pem


      so und nach dem versuch denn vpn zu starten bekomme ich 1_0_19_EF74_3F9_1_C00000_0_0_0.jpg


      so und ab da geht es dann nicht weiter !

      habe alle datein nach anleitung erstellt und auf die box kopiert !Unbenannt.PNG

      Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von YinYang ()

    • Die client.conf musst du selber erstellen, so wie oben beschrieben.

      RichieX schrieb:

      Die client.conf oder client.ovpn könnt ihr auf einem Android, iOS oder Windows mit installiertem openvpn importieren:



      client
      dev tun
      proto udp
      remote XXX.XXX.XXX.XXX 1194
      resolv-retry infinite
      nobind
      persist-key
      persist-tun
      ca ca.crt
      cert vpnclient01.crt
      key vpnclient01.key
      ns-cert-type server
      comp-lzo
    • beim erstellen von build-ca.bat kommt ja diese abfrage !
      was muss zwingend angegeben werden bei dieser abfrage und muß dort schon irgendwo meine dyndns,oder interne ip eingetragen werden ?

      Country Name (2 letter code) [US]:
      State or Province Name (full name) [CA]:
      Locality Name (eg, city) [SanFrancisco]:
      Organization Name (eg, company) [OpenVPN]:
      Organizational Unit Name (eg, section) [changeme]:
      Common Name (eg, your name or your server's hostname) [changeme]:
      Name [changeme]:
      Email Address [mail@host.domain]: