Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWünsch Dir wasWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Merkzettel: VPN Installation mit OpenVPN

Mitglied: aqui

aqui (Level 5) - Jetzt verbinden

26.03.2020, aktualisiert 30.07.2020, 7024 Aufrufe, 18 Kommentare, 30 Danke


Einleitung:

Durch die aktuellen Umstände, ist auch im hiesigen Forum die Zahl der technischen Fragen zum Thema VPN und insbesondere auch OpenVPN gestiegen. Mit dem Klassiker OpenVPN kann man schnell und unkompliziert einen VPN Zugang in einem existierenden, einfachen Firmennetz realisieren ohne das bestehende Netz umkonfigurieren zu müssen. So ist mit wenig Aufwand schnell und kostenschonend ein VPN Zugang für remote Mitarbeiter realisiert.
OpenVPN ist dabei nicht wählerisch was die Hardware und Betriebssystem angeht. Mit einem alten ausrangierten PC, einem populären Raspberry Pi 4, einem Intel NUC, einem NAS mit OpenVPN App oder was auch immer ist das schnell umgesetzt.
Ebenso haben eine Vielzahl von Routern und auch das alternative Router Betriebssystem OpenWRT und DD-WRT von sich aus OpenVPN schon an Bord und ersetzen hier den Server.
Ob es Linux wie beim Raspberry Pi, Ubuntu, Windows, Mac OS oder der Router selber ist, spielt dabei keine Rolle. Ein weiterer Vorteil bei OpenVPN ist, das die Server und Client Konfiguration über alle Plattformen hinweg identisch ist. Ein Grund für die große Verbreitung von OpenVPN.
Zweifelsohne gibt es auch noch andere VPN Protokolle, wie das auch von der FritzBox benutzte, standartisierte und weit verbreitete IPsec. Desweiteren L2TP und das brandneue WireGuard. Alles zu behandeln würde aber den Rahmen dieses kurzen, rein auf OpenVPN bezogenen, "Merkzettels" sprengen und ist in großem Umfang Thema weiterer VPN Tutorials hier im Forum. Es lohnt also die Suchfunktion diesbezüglich zu bemühen für Leser die weitere Infos benötigen.

Natürlich ist dieses VPN Design nicht ideal und den aktuellen Umständen geschuldet. Technisch ist es immer besser das VPN direkt auf der Netzwerk Peripherie wie Router oder Firewall zu betreiben. Die dadurch bedingten 2 Interfaces entkoppeln den VPN Traffic, und erhöhen die Sicherheit da das VPN in der Peripherie terminiert ist und nicht innerhalb des geschützten lokalen Netzes. VPN Traffic muss hier über ein gemeinsames Interface rein und raus, was die Skalierbarkeit einschränkt.
In kleineren Netzen sind diese VPN fähigen Router oder Hardware Firewalls aber oft nicht vorhanden oder es fehlt entsprechendes KnowHow um so etwas umzusetzen oder es Zeitdruck bei der Realisierung.
Die weiterführenden Links am Ende dieses Tutorials geben weitere Tipps und Lösungen zu VPN Alternativen.
Das Tutorial versucht mit den folgenden Installations Tipps diesen Spagat zwischen Realisierung und Installation um so ggf. auftauchende Probleme schon im Vorwege zu klären.
Basis dieses "Merkzettels" ist ein einfaches lokales Netzwerk mit den klassischen Komponenten:

ovpn-grundlagen - Klicke auf das Bild, um es zu vergrößern

Router Einstellungen werden hier stellvertretend für andere Router Hardware, anhand einer älteren FritzBox beschrieben. Billige Consumer Router haben in Firmennetzen generell nichts zu suchen aber die recht anschaulichen Setups der AVM Router gelten damit stellvertretend für ALLE verwendeten Router Modelle !
Das VPN Server- und Client Setup ist identisch für alle Linux, Windows und MacOS Betriebssystem Umgebungen. Analog damit auch für alle Linux basierten Router Betriebssysteme wie OpenWRT und DD-WRT.
Das lokale LAN im Beispiel arbeitet mit der IP Netzwerk Adresse 192.168.188.0 /24 und das interne OpenVPN Netzwerk mit 172.17.77.0 /24.
Wichtige Tips zur VPN Adressierung findet man HIER !
Los gehts...!

Einstellungen Router bzw. Firewall:

Das Tutorial geht von einer klassischen OpenVPN Installation aus mit dem Default Port UDP 1194. Hat man das geändert, muss dies in den Konfig Dateien entsprechend angepasst werden.
Wer aus Sicherheitsgründen nicht den Standard Port verwenden will, sollte aufgrund der weltweit fest genormten Port Zuweisungen durch die IANA immer auf die sog. freien Ephemeral Ports im Bereich 49152 bis 65535 ausweichen. Diese Ports werden in der Regel von Angreifern wenig bis gar nicht gescannt. UDP 51194 oder UDP 61194 z.B. wären dann eine sinnvolle Wahl.
Oft limitieren auch vorgeschaltete Firewalls den Port. Hier kann man dann auf UDP oder auch TCP 443 (HTTPS) wechseln. TCP Enkapsulierung gilt es aber, wenn immer möglich, generell zu vermeiden, da dies meist mit erheblichen Performance Verlusten im VPN durch den größeren Paket Overhead und das aufwändigere Session Handling einher geht. UDP ist bei OpenVPN also immer primär das Protokoll der Wahl !

IP Adressierung VPN Server:

Der OpenVPN Server kann generell dynamisch eine IP Adresse aus dem DHCP Bereich des Routers bekommen. Das hat aber einen kleinen Nachteil der sich gravierend auswirken kann.
Da eine feste, statische IP Route im Internet Router auf die lokale OpenVPN Server IP Adresse zeigt, ist es sinnvoller dem Server immer eine feste und damit verlässliche IP Adresse zu vergeben. Sollte die dynamische IP Adresse sich einmal ändern läuft folglich die Route ins Leere und das VPN verliert die Verbindung. Etwas, das es zu vermeiden gilt.
Es ist also eine gute Idee dem VPN Server eine statische IP Adresse zu vergeben.
Das kann natürlich manuell am Server selbst in dessen Netzwerk Setup gemacht werden. Einfacher ist es aber über die Hardware MAC Adresse der verwendeten Server Hardware (Netzwerkkarte), dem DHCP Server im Router (Fritz Box) eine feste IP zuzuweisen.
So kann der Server flexibel auf DHCP Betrieb verbleiben (was meist Default in allen OS ist), bekommt aber so dennoch immer eine feste IP Adresse.
Das Screenshot Beispiel zeigt dies an einem FritzBox DHCP Server:
mac-neu - Klicke auf das Bild, um es zu vergrößern
fritz3dhcp - Klicke auf das Bild, um es zu vergrößern

Welche Hardware Adresse (Mac) der Server verwendet verrät auf dem Server das Kommando ipconfig -all (Windows) oder ifconfig (Linux, MacOS). Man kann es aber oft je nach Router Modell in dessen grafischem Übersichtsmenü sehen.

Port Forwarding oder auch Port Weiterleitung bzw. Freigabe im Router:

Damit VPN Clients von außen den internen OpenVPN Server überhaupt erreichen können, müssen diese die Firewall des Routers überwinden. Die Router Firewall schützt ja normalerweise ein dahinter liegendes lokales LAN wasserdicht vor solchen ungewollten Verbindungsversuchen von außen ! Ohne ein entsprechens Port Forwarding (Weiterleitung) würde die Router Firewall solche Verbindungen immer sicher verhindern mit dem Effekt das kein VPN Client den Server erreichen kann.
Man "sagt" also mit der Port Forwarding Freigabe der Router Firewall das sie doch bitte UDP 1194 auf die interne IP Adresse (192.168.188.50 = OpenVPN Server) passieren lassen soll:
fritzpfw - Klicke auf das Bild, um es zu vergrößern
fritzpfw2 - Klicke auf das Bild, um es zu vergrößern
Diese Einstellung lässt dann am Router Internet Interface eingehenden IP Verkehr mit UDP 1194 (und NUR diesen Verkehr !) auf die interne OpenVPN Server IP 192.168.188.50 passieren.
Daraus folgt das die VPN Ziel IP, die im Client zu konfigurieren ist immer die WAN Port/Internet IP des Routers sein muss und nicht die lokale LAN IP des VPN Servers !
fritz5uebers - Klicke auf das Bild, um es zu vergrößern

Dazu auch später mehr im Client Setup.

Statische Route auf internes VPN IP Netz:

Der OpenVPN Server spannt intern ein eigenes VPN IP Netz auf. Dieses muss einzigartig sein im gesamten Netz und darf nirgendwo sonst vorkommen. (Siehe Tips zum VPN IP Adressdesign oben).
Damit VPN Clients nun alle Endgeräte die selber ja immer den Internet Router als Default Router (Gateway) konfiguriert haben, im lokalen IP Netz erreichbar sind, muss der Router natürlich wissen wie er das interne OpenVPN IP Netz erreichen kann. Das übernimmt eine statische Route im Internet Router die allen Traffic für das OpenVPN IP Netz (hier 172.17.77.0 /24) dann an den VPN Server (192.168.188.50) sendet (siehe dazu Netzwerk Skizze oben):
fbrouneu1 - Klicke auf das Bild, um es zu vergrößern
fbrouneu2 - Klicke auf das Bild, um es zu vergrößern

Damit sind dann alle Einstellungen auf der Router und Netzwerkseite erledigt. Der Rest dreht sich nur noch um das Setup des OpenVPN Servers und der Clients.

OpenVPN Server und Client Konfiguration:

Das Tutorial setzt voraus das die entsprechende OpenVPN Software auf Clients und Server installiert ist.

Generieren der OpenVPN Zertifikate und Schlüssel:

Das am meisten herausfordernde ToDo bei einer OpenVPN Installation ist sicher das Erzeugen der Zertifikate und Schlüssel. Laien fühlen sich damit oft überfordert, was aber mit den entsprechenden Tools nicht der Fall sein muss.
Natürlich kann man OpenVPN auch mit einem simplen, statischen Passwort verwenden (sog. Preshared Key). Davon ist in Firmennetzen aber dringenst abzuraten, denn diese statischen Schlüssel kann man durch einfache, ungeschützte Weitergabe sehr einfach kompromittieren, was dann zwingend eine Erneuerung dieses Passworts für alle User mit einem erheblichen Arbeitsaufwand zur Folge hat, will man die Sicherheit eines VPN Zugangs bewahren.
Mit individuellen User Keys werden nur diese individuell ungültig, nicht aber das gesamte VPN. Trotz der etwas größeren Mühe lohnen sich also sichere Schlüssel.
Es gibt mehrere mögliche Wege wobei drei die meist genutzten sind bei einer fehlenden PKI:
Letzteres ist zwar sehr bequem, birgt aber das Risiko der Unsicherheit, da man bei einem fremden Anbieter irgendwo im Web Daten hinterlässt und dieser theoretisch damit auch alle Schlüssel hat.
Die Handhabung des Easy-RSA Tools beschreibt ein anderes_OpenVPN_Tutorial hier im Forum. Es ist für alle Betriebssysteme vorhanden und in der Bedienung gleich.
Alle erzeugten Schlüssel sind, egal mit welchem Tool erstellt, immer über alle Betriebssystem Plattformen einsetzbar.
Letztlich geht dieses Tutorial nur auf die grafische XCA Variante ein um den Rahmen nicht zu sprengen:
XCA findet man zum Downloaden für alle Betriebssysteme hier: https://hohnstaedt.de/xca/
Unter Windows installiert man idealerweise die portable Version die man dann auch immer bequem und sicher auf einem USB Stick verwahren kann.

Nach dem Starten des XCA Tools erstellt man eine Datenbank und generiert eine Vorlage mit seinen Daten:
xcas2vorl - Klicke auf das Bild, um es zu vergrößern

Im zweiten Step setzt man in der Vorlage die Gültigkeitsdauer der Zertifikate. (Es reichen hier sicher auch erstmal 5 Jahre wem die hier gesetzten 10 doch zu lang erscheinen.)
xcas3uhr - Klicke auf das Bild, um es zu vergrößern

Danach speichert man die Vorlage und erzeugt der Reihe nach eine Root CA und auf Basis der Root CA Vorlage, dann die OpenVPN Server und Client Zertifikate und die Schlüssel.
Die Art der Verschlüsselung und das Hashing Verfahren wählt das XCA Tool wie auch Easy-RSA Tool automatisch.
xcas1 - Klicke auf das Bild, um es zu vergrößern

Zum Schluss werden die Zertifikate und Schlüssel exportiert:
xca1 - Klicke auf das Bild, um es zu vergrößern
xca2 - Klicke auf das Bild, um es zu vergrößern

Detaillierte Hilfe bietet die XCA Webseite per Video, YouTube und auch HIER

Diese exportierten Schlüssel und Zertifikate kopiert man dann in die entsprechenden OpenVPN Verzeichnisse auf Server und Client mittels USB Stick oder bei Linux, Raspberry z.B. außer USB Stick online mit WinSCP.

IP Forwarding (Routing) im OpenVPN Server aktivieren:

Der Server ist gewissermaßen auch ein Router, denn er routet ja immer zwischen dem lokalen LAN und dem internen OpenVPN Tunnel IP Netz (hier im Beispiel 172.17.77.0 /24).
Normalerweise ist aber das Routing (IP Forwarding) auf Servern, egal mit welchem Betriebssystem immer per Default deaktiviert !
Damit der Server nun IP Pakete vom lokalen LAN ins VPN IP Netz und umgekehrt senden kann muss dafür das Routing auf dem OpenVPN Server Rechner im Betriebssystem aktiviert werden.
Bei Windows geschieht das über einen Eingriff in die Registry oder die Dienste Verwaltung.
(IPEnableRouter Parameter auf 1) siehe auch: https://www.edv-lehrgang.de/ip-routing-aktivieren/

winrouteenable - Klicke auf das Bild, um es zu vergrößern

Unter Linux/Raspberry editiert man mit dem nano Editor die Datei /etc/sysctl.conf und entkommentiert dort den Eintrag:
indem man das "#" vor der Zeile net.ipv4.ip_forward=1 entfernt.
Danach muss der Linux Rechner rebootet werden.

Konfiguration VPN Server:

Vorab ein wichtiges Wort zur Tunnel Enkapsulierung:
Hier sollte in jedem Fall UDP als Enkapsulierungs Protokoll verwendet werden ! TCP erzeugt einen sehr großen Overhead was zu erheblichen Performance Verlusten und weiteren potentiellen Problemen wie Fragmentierung bei MTU/MSS Mismatch usw. führen kann ! Es gibt also sehr gute Gründe hier, wenn immer möglich, UDP zu verwenden ! Auch die offizielle OpenVPN Dokumentation weisst eindringlich auf das Preferieren von UDP hin !
Weitere Punkte die zu beachten sind:
  • Nicht mehr das veraltete net30 Verfahren in der Client Adressierung verwenden sondern das modernere und aktuelle subnet Verfahren.
  • Compression wegen des Security_Bugs deaktivieren. Der Effekt ist so oder so sehr gering.
  • Entsprechende VPN_IP_Adressierungstips beim Netzdesign beachten ! Wichtig: Das interne IP Netz des OpenVPN Servers ("server 172.17.77.0 255.255.255.0" Kommando i.d. Konfig) muss einzigartig sein und darf sich mit keinem anderen lokalen IP Netz doppeln ! Hier also intelligenterweise IP Adressen aus dem vorab genannten Tip wählen. Eine gute Wahl ist immer der 172.16.0.0 /12er oder 10.0.0.0 /8er Bereich statt dem häufig verwendeten 192.168er Bereich.

Weiterhin zu beachten ist das die übliche Standard Namenserweiterung (Suffix) der Konfigurationsdatei .conf bei Verwendung unter Windows in .ovpn umbenannt werden muss. Das Windows Programm Icon wechselt dann auch sofort auf das typische OpenVPN Logo.
Unter allen unixoiden Betriebssytemen (Linux, Raspberry usw.) bleibt der typische .conf Datei Suffix.
Ein abschliessendes Wort zu den Namenserweiterungen (Suffix) der Schlüsseldateien (hier .pem):
In vielen Tools enden diese auf .key. Das ist von Tool zu Tool unterschiedlich und nur ein Name und Kosmetik. Man muss lediglich in der Konfigurations Datei genau darauf achten das diese Endungen immer mit den dort angegebenen Dateinamen übereinstimmen damit sie gefunden und ausgeführt werden.

Die einfache Konfig Datei des Servers sieht so aus:
Diese Datei muss mit der Endung .ovpn (Windows) oder .conf (Linux) zusammen mit den Zertifikaten im Konfig Verzeichnis abgespeichtert werden. Also z.B. server.ovpn (Windows) oder server.conf (Linux).
Das o.a. Beispiel zeigt eine Konfig Datei mit Pfad Angaben unter Linux. Pfadangaben sind bei Windows zu ändern in die entsprechenden Windows Konfig Verzeichnisse bzw. unter Windows entfällt dies, denn bei Import der Konfig Datei über das OpenVPN Taskleisten Symbol werden die Pfade entfernt.
Alle mit "#" auskommentierten Server Kommandos sind nicht aktiv und haben die folgende Bedeutung:
  • client-to-client = Erlaubt eine Client zu Client Komunikation. Im Default ist diese nicht erlaubt sondern nur Client zu Server.
  • push "redirect-gateway def1 bypass-dhcp" = Schickt statt nur den Traffic des lokalen LANs den gesamten Client Traffic in den VPN Tunnel ! Wenn dies aktiviert wird muss man dann zwingend den Eintrag push "route 192.168.188.0 255.255.255.0" mit "#" einkommentieren oder löschen ! Niemals dürfen beide Push Optionen zusammen in der Konfig stehen !! Ein Fehler der oft gemacht wird. Es geht entweder nur Split Tunnel oder Gateway Redirect.
  • push "dhcp-option DNS 192.168.188.<dns_server>" = Schickt einen lokalen DNS Server zum Client wenn man z.B. lokale DNS Namen im lokalen LAN auflösen möchte.
Die Konfig Kommandos müssen bei Bedarf aus- oder einkommentiert werden indem man das "#" davor entfernt oder einfügt.

Nach Änderung dieser Parameter ist der OpenVPN Server neu zu starten.
Unter Linux geschieht das mit dem Kommando systemctl restart openvpn-server@server wobei das server hinter dem "@" den Namen der Konfig Datei ohne die ".conf" Extension (hier server.conf) im Verzeichnis etc/openvpn/server bezeichnet. So kann man bequem mehrere Konfig Dateien vorhalten.
Analog geschieht das auf der Linux Client Seite mit systemctl restart openvpn-client@client1 im Verzeichnis etc/openvpn/client
Unter Windows rechtsklickt man das OpenVPN Symbol in der Taskleiste und wählt: Konfiguration importieren.

Wer z.B. einen Linux basierten Server wie RaspberryPi u.ä. als OVPN Server betreibt sollte ebenso daran denken das dort das IPv4 Forwarding (Routing) aktiviert werden muss. Klar, denn der Server ist ja in diesem Falle auch Router zwischen lokalem LAN und internem OpenVPN IP Netz. Das erledigt man mit der Zeile net.ipv4.ip_forward=1 die in der Datei /etc/sysctl.conf entkommentiert ( "#" entfernen) werden muss.
Gleiches gilt für einen Windows Rechner wo dies über_die_Registry gemacht wird.
Danach müssen die Server rebootet werden um es zu aktivieren.

Natürlich kann man mit OpenVPN auch das gesamte Client Netz ins Server Netz routen. Das erfordert eine kleine Anpassung der Server Konfig Datei wurde hier aber bewusst aus Gründen der Übersichtlichkeit weggelassen !
In den weiterführenden Links am Schluß findet man ein solches Konfigurationsbeispiel.

Konfiguration VPN Client:

Auch hier gilt unter Windows die Standard Namenserweiterung der Konfigurationsdatei .conf in .ovpn umbenennen !

Die zum Server korrespondierende Client Konfig Datei sieht dann so aus:
<router_wan_ip> ist hier ein Platzhalter für die WAN Port / Internet IP des Routers (siehe Übersichts Screenshot oben !) hinter dem der OpenVPN Server betrieben wird. Oder, falls der Server öffentlich ist, der direkten Server IP.
Das kann natürlich auch eine ggf. vorhandene DynDNS Hostadresse über einen der zahlreichen freien DynDNS Dienstleister sein wie z.B. myFritz! oder noip.com usw.
So bekommt man auch mit einer wechselnden IP Adresse am Router immer einen festen Zugriff auf den OpenVPN Server !

Das folgende Client Beispiel ist die Windows Konfigurations Datei. Man erkennt das hier die Pfad Angaben durch den Import über den Windows OpenVPN Client entfernt wurden:
win - Klicke auf das Bild, um es zu vergrößern

Unter Linux sind diese aber zwingend erforderlich und sähe dann so aus:
ca /etc/openvpn/client/CA.crt
cert /etc/openvpn/client/Client1.crt
key /etc/openvpn/client/Client1.pem


Dann steht einem finalen Test nichts mehr im Wege...

VPN Verbindung checken:

Mit einem Doppelklick auf das VPN Symbol in der Windows Taskleiste startet man den VPN Tunnel und aktiviert auch die Log Anzeige:
wincl2 - Klicke auf das Bild, um es zu vergrößern
Die Meldung Initialization Sequence Completed am Schluß zeigt das alles glatt gegangen ist und der Tunnel aktiv ist. Klappt alles kann man später immer mit einem Rechtsklick auf das Symbol und "Verbinden" den VPN Tunnel aufbauen.
Entsprechend wird dann auch das Taskleisten Symbol der VPN Verbindung grün:
wincl1 - Klicke auf das Bild, um es zu vergrößern

Unter Linux startet systemctl restart openvpn-client@client1 die Client Verbindung. (Konfig Datei heisst client1.conf im Client Verzeichnis)

Stimmen statische Route und ist das IP Forwarding im OVPN Server aktiv verläuft ein Ping Check vom aktiven VPN Client
  • auf den OVPN Server intern: 172.17.77.1
  • auf den OVPN Server extern: 192.168.188.50
  • auf die lokale LAN IP des Routers 192.168.188.1,
  • und hier z.B. auf die Management IP Adresse des LAN Switches .22
dann ebenso erfolgreich wie auch der Aufruf z.B. des Web GUIs von Router und Switch über die remote VPN Verbindung.


Weiterführende Links:


OpenVPN Grundlagen Tutorial:
https://administrator.de/wissen/openvpn-server-installieren-pfsense-fire ...

Gesamtes Client Netzwerk routen (LAN zu LAN Kopplung):
https://administrator.de/content/detail.php?id=530283&token=984#comm ...

Mikrotik Router als OpenVPN Server:
https://administrator.de/content/detail.php?id=359367&token=695#comm ...

Handhabung der OpenVPN Konfig Dateien auf Debian basierten Linux Systemen (Ubuntu etc.):
https://administrator.de/content/detail.php?id=569471&token=546#comm ...

Problem DS-Lite Anschluss: OpenVPN mit Vermittlungsserver:
https://administrator.de/forum/zwei-mobilfunkrouter-tp-link-mr200-vpn-ve ...

Grundlagen IP Routing:
https://administrator.de/wissen/routing-2-ip-netzen-windows-linux-router ...

OpenVPN Server App auf Synology NAS:
https://idomix.de/synology-diskstation-openvpn-server-einrichten-windows ...

OpenVPN Zugang mit Radius Server absichern:
https://administrator.de/forum/pfsense-openvpn-freeradius-anfängerf ...

Mobile- und Home Office User mit den bordeigenen VPN Clients (IPsec) und einer Firewall ins Netz bringen:
https://administrator.de/wissen/ipsec-vpn-mobile-benutzer-pfsense-opnsen ...

L2TP VPN für alle onboard Clients auf pfSense/OPNsense Firewall:
https://administrator.de/wissen/pfsense-opnsense-client-vpn-l2tp-protoko ...

L2TP VPN für alle onboard Clients auf Mikrotik Router:
https://administrator.de/content/detail.php?id=562927&token=111#comm ...

Preiswerte OpenVPN und Wireguard Router Hardware:
https://www.amazon.de/GL-iNet-GL-MT300N-V2-Repeater-Performance-Compatib ...

Raspberry Pi 4 Hardware:
https://www.reichelt.de/raspberry-pi-4-b-4x-1-5-ghz-2-gb-ram-wlan-bt-ras ...
https://www.reichelt.de/raspberry-pi-4-b-4x-1-5-ghz-4-gb-ram-wlan-bt-ras ...
Netzteil:
https://www.reichelt.de/raspberry-pi-netzteil-5-1-v-3-0-a-usb-type-c-eu- ...
Passendes Gehäuse mit passiver Kühlung:
https://www.amazon.de/iuniker-Raspberry-Gehäuse-Kühlkörpe ...
Mitglied: Stefan007
26.03.2020 um 15:09 Uhr
Danke für deine Arbeit!
Bitte warten ..
Mitglied: MuchoMan
26.03.2020 um 15:46 Uhr
Du bist so krass :O
Bitte warten ..
Mitglied: brammer
26.03.2020, aktualisiert 27.03.2020
Hallo,

Typisch @aqui! Super Arbeit!

Brammer
Bitte warten ..
Mitglied: TomTomBon
27.03.2020 um 08:46 Uhr
Danke für eine weitere deiner vielen konkreten und spezifischen Anleitungen.

So schreibt man Anleitungen die eineindeutig sind!
Versuche Ich auch unseren Azubis beizubringen

Mein Senf
Thomas
Bitte warten ..
Mitglied: broecker
27.03.2020 um 13:41 Uhr
danke auch von mir, für die nächste Revision:
>indem man das "#" vor der Zeile net.ipv4.ip_forward=1 entfernt.
>Danach muss der Server rebootet werden.
nein, wenn Du da 'eh auf moderne Distries verweist, kann man doch ebensogut nur noch dazu schreiben:
echo "1">/proc/sys/net/ipv4/ip_forward
und auf den reboot verzichten.
Bitte warten ..
Mitglied: aqui
27.03.2020, aktualisiert um 15:05 Uhr
Ich wollte die wasserdichte Anfänger Methode vorziehen. Bzw. Winblows muss man de facto rebooten.
Du hast aber natürlich Recht. Danke für den Hinweis !
Bitte warten ..
Mitglied: wellknown
30.03.2020 um 09:35 Uhr
Hut ab, sehr schöne Anleitung. Habe ich gestern mal testweise danach für einen Laptop gemacht (nutze sonst IPSEC für VPN). Bis auf Timeout-Probleme, resultierend aus Anbindung über Funk, ging das prima.
Bitte warten ..
Mitglied: aqui
30.03.2020, aktualisiert um 15:32 Uhr
So sollte es auch sein mit der Umsetzung ! Danke für die Blumen...
Bitte warten ..
Mitglied: it-fraggle
04.04.2020 um 00:25 Uhr
Ich ziehe den Hut vor der Arbeit, die du geleistet hast. Anleitungen zu schreiben ist meist anstrengend, zeitaufwändig und oft undankbar.

Falls es nicht zu frech ist, füge ich noch hinzu, dass die pfSense (wer sie ohnehin im Einsatz hat) einen Wizard für OpenVPN hat und man das Paket "OpenVPN Client Export" zum exportieren von fertigen Client-Paketen (Cert, OpenVPN-Installer und Konfiguration) hinzuladen kann. Gerade als Laie ist das nützlich, da man recht leicht eine zertifikatbasierte VPN Verbindung bekommen kann und nicht aus Bequemlichkeit oder Frust beim "preshared Key" landet, weil es das Einzige ist, was man hinbekommen hat.
Bitte warten ..
Mitglied: aqui
04.04.2020, aktualisiert 08.09.2020
Nein, ist natürlich nicht frech. Danke für den Hinweis !
Diese Option steht auch im oben zitierten generellen OpenVPN_Tutorial.
Sie ist allerdings nur für die Nutzer hilfreich die es mit einer pfSense Firewall umsetzen. Wer es mit Windows (Server), Linux, Raspberry Pi, OpenWRT oder irgend einer anderen Plattform nimmt dann meist die anderen erwähnten Tools.
Mit der pfSense hat man alternativ noch die etwas elegantere Option ganz ohne extra VPN Client auszukommen und alles mit den jeweils bordeigenen VPN Clients zu erledigen wie es in diesem_Tutorial erklärt ist.
Bitte warten ..
Mitglied: fundave3
05.04.2020, aktualisiert um 11:50 Uhr
Besten Dank für die Tolle Anleitung,

Klar macht es Sinn, das ganze auf einem Gerät zu installieren.
Ich finde es schade, dass es AVM bisher immer noch nicht auf die Kette bekommen hat, Openvpn zu implementieren.
Bitte warten ..
Mitglied: aqui
05.04.2020, aktualisiert um 12:08 Uhr
Die haben Angst vor den dann massiv aufkommenden Support Fragen. Stell dir mal völlige IT DAUs vor die Zertifikate erstellen. Das kostet massiv Geld und bei einer billigen Plastik Consumer Box liegt sowas wirtschaftlich niemals drin.
Was ggf. kommen könnte ist das sie das neue Wireguard implementieren wenn es dann nun fest im Linux Kernel verankert ist. Denn wie jedermann weiss werkelt in der FritzBox auch ein Linux.
Das wird aber sicher noch etwas dauern bis das soweit ist und vor allem DAU massentauglich ist.
Generell rennt ja auch IPsec Native sauber und fehlerfrei und ist zudem auch in fast allen Betriebssystemen und Smartphones enthalten so das man dann auch mit der jetzigen VPN Funktion auf der FritzBox gut klar kommt sofern man mit dem mickrigen Durchsatz leben kann.
Man darf eben auch nicht vergessen das das ein billiges Massenprodukt sein soll und kein Business Router. Unter dieser Prämisse macht sie den Job ja sehr gut.
Wir haben zudem Routerfreiheit in der ganzen EU. Steht ja jedem frei der mehr will sich dann einen "richtigen" Router oder Firewall zu beschaffen.
Bitte warten ..
Mitglied: it-fraggle
05.04.2020 um 13:02 Uhr
Die haben Angst vor den dann massiv aufkommenden Support Fragen.
Ich finde mit der pfSense wird es doch genial vorgemacht. Ein Wizzard, der nur ein paar Fragen stellt und am Ende hat man ein Installationspaket für den Mac, Windows 7/8/10 und ggf. für den "Profi" die Konf mit Cert so. Meiner einer würde das sehr begrüßen. Einfacher geht es doch nicht mehr. Wer damit dann nicht zurecht kommt, der weiß auch nicht, dass es VPNs gibt.
Bitte warten ..
Mitglied: aqui
05.04.2020 um 14:49 Uhr
Ich finde mit der pfSense wird es doch genial vorgemacht.
Da hast du natürlich Recht ! Wäre so kinderleicht.
Aber wer weiss was AVM da Marketing technisch bewegt ?!
Bitte warten ..
Mitglied: it-fraggle
05.04.2020 um 17:41 Uhr
Aber wer weiss was AVM da Marketing technisch bewegt ?!
Auch wieder wahr.
Bitte warten ..
Mitglied: AnkhMorpork
06.04.2020 um 15:01 Uhr
Spät, aber dennoch: Auch von mir ein richtig fettes Danke für diese Arbeit!

Ist in dieser Zeit mit angrenzender Sicherheitswahrscheinlichkeit perfekt im Rennen ...

Munter bleiben!
Bitte warten ..
Mitglied: aqui
06.04.2020 um 18:12 Uhr
War auch die Intention. Danke für die Blumen.
Bitte warten ..
Mitglied: MrFeed
11.07.2020 um 11:55 Uhr
Coole Anteilung !!
Das hätte ich damals auch gebraucht!
Bitte warten ..
Ähnliche Inhalte
Tipps & Tricks
OpenVPN Delegationen
Anleitung von agowa338Tipps & Tricks

Hallo, in dieser Anleitung möchte ich nur kurz erklären, wie man OpenVPN (unter Windows) am besten für Außendienst Mitarbeiter ...

Firewall
PfSense OpenVPN beschleunigen
Tipp von 108012Firewall

Hallo zusammen, ich nutze zwar nur ausschließlich IPSec VPN aber habe gerade mit einem Bekannten zusammen ein paar OpenVPN ...

iOS

IOS 12 beta 2 und OpenVPN iPad und iPhone

Erfahrungsbericht von magicteddyiOS2 Kommentare

Moin, kleiner Hinweis an die experimentierfreudigen unter Euch: Bei der aktuellen beta gibt es ein Problem im Zusammenspiel zwischen ...

Linux Userverwaltung

Samba-ActiveDirectory mit FreeRADIUS, CheckMK, Nextcloud, OpenVPN, ProxmoxVE und mehr

Anleitung von BinaryBearLinux Userverwaltung1 Kommentar

Ich habe die letzten Wochen (Monate) damit verbracht mit in das Thema ActiveDirectory und Samba einzuarbeiten. Dabei habe ich ...

Neue Wissensbeiträge
Microsoft
SMB Compression: Deflate your IO
Ticker von Dani vor 3 TagenMicrosoft

Hi folks, Ned Pyle guest-posting today about SMB Compression, a long-awaited option coming to Windows, Windows Server, and Azure. ...

Virtualisierung

Citrix end of availability (EOA) of perpetual licenses for the on-prem Workspace products

Ticker von Dani vor 3 TagenVirtualisierung1 Kommentar

Moin, der nächste Marktführer steigt von Kaufen auf Mietzwang um :-( What did Citrix announce on July 1, 2020? ...

Festplatten, SSD, Raid
Stop Error 0x0000007B (INACCESSIBLE BOOT DEVICE)
Anleitung von evinben vor 3 TagenFestplatten, SSD, Raid

Systemstand Windows 7, 64-Bit, einschließlich allen Updates bis 10.09.2020 DELL Latitude E6330 PCI-Bus IRQ-Kanal 19: Standard AHCI 1.0 Serieller-ATA-Controller IRQ-Kanal ...

Sicherheit
NSA: UEFI und Secure Boot einsetzen
Ticker von sabines vor 4 TagenSicherheit4 Kommentare

Hilfreicher Heise Artikel zu UEFI und Secure Boot Tipps der NSA Näheres hier: NSA Bericht

Heiß diskutierte Inhalte
Backup
Gesicherter Backupserver gesucht
gelöst Frage von lcer00Backup16 Kommentare

Hallo zusammen, ich habe mir am Wochenende den interessanten Vortrag aus folgendem Beitrag angesehen: DerWoWusste Danke für den Link ...

Router & Routing
VPN Performance verbessern
Frage von JseidiRouter & Routing14 Kommentare

Hallo zusammen, Ich benötige einmal ein paar Tips von euch. Die Ausgangssitustion ist wie folgt: Standort 1: VDSL100 mit ...

Windows 10
Einige Webseiten lassen sich nicht mehr aufrufen
Frage von JobbiWindows 108 Kommentare

Hallo Zusammen, kurze Info zum Aufbau: 4 Server 2019, 6 PC´s; Server: 1x DC;DNS; 1x File, 1x TS, 1x ...

Sicherheit
Offener Port ohne Dienst IT-Sicherheit
gelöst Frage von decehakanSicherheit8 Kommentare

Hallo Zusammen, für die Zertifisierung von Webapplikation öffne ich in drei Monat Rythmus den Port 443/80 ,dabei läuft die ...

Administrator Magazin
09 | 2020 Ein Internetauftritt ist für Firmen heute eine Selbstverständlichkeit, doch gilt es beim Betrieb der entsprechenden Server einiges zu beachten. Im September beleuchtet das IT-Administrator Magazin deshalb das Schwerpunktthema "Webdienste und -server". Darin lesen Sie unter anderem, wie Sie Webapplikationen sinnvoll überwachen und welche Open-Source-Managementtools ...
Best VPN