OpenVPN GP4: Unterschied zwischen den Versionen

Aus Gemini-Wiki
Zur Navigation springen Zur Suche springen
K
 
(15 dazwischenliegende Versionen von einem anderen Benutzer werden nicht angezeigt)
Zeile 6: Zeile 6:
 
Nach dem Installieren der Erweiterung, steht ein einfach, konfigurierbarer OpenVPN Server oder Klient zur Verfügung, welcher mit Zertifikaten arbeitet (Server-Multi-Client Betrieb). Die Verbindung auf den OpenVPN Server erfolgt über eine verschlüsselte TLS Verbindung.
 
Nach dem Installieren der Erweiterung, steht ein einfach, konfigurierbarer OpenVPN Server oder Klient zur Verfügung, welcher mit Zertifikaten arbeitet (Server-Multi-Client Betrieb). Die Verbindung auf den OpenVPN Server erfolgt über eine verschlüsselte TLS Verbindung.
  
Der OpenVPN Server kann je nach Einstellung im Bridge oder Tunnel Modus betrieben werden.
+
Der OpenVPN Server kann je nach Einstellung im Bridge (tap) oder Tunnel (tun) Modus betrieben werden.
  
* Im '''Bridge''' Modus erhalten die verbundenen OpenVPN Klients, eine IP Adresse des internen Netzwerkes und können ohne zusätzliches Routing, alle verfügbaren Dienste erreichen.  
+
* Im '''Bridge''' Modus wird eine virtuelle Netzwerkschnittstelle (tap0) erstellt, welche über eine Netzwerkbrücke (br0) mit der internen Netzwerkkarte (eth0) der Dreambox gekoppelt wird. Ein oder mehrere, verbundene OpenVPN Klients, erhalten eine IP Adresse des internen Netzwerkes und können ohne zusätzliches Routing, alle verfügbaren Dienste erreichen.
* Im '''Tunnel''' Betrieb hat der Klient nur eine Verbindung auf den OpenVPN Server der Dreambox. Jedem Klient wird eine virtuelle IP-Adresse eines in der Server Konfiguration definierten Subnetzes (10.128.0.0/24) zugewiesen. Der OpenVPN Server hat die IP Adresse <code>10.128.0.1</code>.
+
* Im '''Tunnel''' Betrieb hat der Klient nur eine Verbindung auf den OpenVPN Server der Dreambox. Jedem Klient wird eine virtuelle IP-Adresse eines in der Server Konfiguration definierten Subnetzes (<code>10.128.0.0/24</code>) zugewiesen. Der OpenVPN Server hat die IP Adresse <code>10.128.0.1</code>. Zugriff auf das interne Netzwerk ist standardmässig nicht möglich, kann aber durch IP forwarding und Routing ermöglicht werden.
  
 
==== Voraussetzungen für die Benutzung ====
 
==== Voraussetzungen für die Benutzung ====
Zeile 25: Zeile 25:
 
=== OpenVPN Server einrichten ===
 
=== OpenVPN Server einrichten ===
 
# Startet die OpenVPN Server Erweiterung.
 
# Startet die OpenVPN Server Erweiterung.
# Nun stellt ihr den gewünschten Modus und die Anzahl der Klients ein unter {{Taste|MENU}} → {{Taste|Einstellungen}}. Im Bridge Modus könnt ihr zusätzlich den IP Bereich der Klients definieren. Soll der OpenVPN Server nach einem Neustart der Dreambox verfügbar sein, muss die Einstellung '''Automatisch starten''' eingeschalten sein.
+
# Nun stellt ihr den gewünschten Modus und die Anzahl der Klients ein unter {{Taste|MENU}} → {{Taste|Einstellungen}}. Soll der OpenVPN Server nach einem Neustart der Dreambox verfügbar sein, muss die Einstellung '''Automatisch starten''' eingeschalten sein.
 +
#*Im Bridge Modus könnt ihr zusätzlich den IP Bereich der Klients definieren.
 +
#*Im Tunnel Modus könnt ihr euer lokales Netzwerk definieren (wird automatisch ausgelesen). Dient als Push des Netzes an die VPN Klients, wenn das komplette interne Netzwerk erreichbar sein soll.
  
 
=== Zertifikate erstellen ===
 
=== Zertifikate erstellen ===
Zeile 33: Zeile 35:
 
# '''Server Zertifikat'''. Gebt das vorher definierte Passwort ein und auch die Gültigkeitsdauer.  
 
# '''Server Zertifikat'''. Gebt das vorher definierte Passwort ein und auch die Gültigkeitsdauer.  
 
# Als letztes wird das '''User Zertifikat''' erstellt. Gebt das vorher definierte Passwort ein, die Gültigkeitsdauer und einen Namen für den Klient.
 
# Als letztes wird das '''User Zertifikat''' erstellt. Gebt das vorher definierte Passwort ein, die Gültigkeitsdauer und einen Namen für den Klient.
 +
 +
{{Hinweis|'''Erstellen des Diffie-Hellman Schlüssels'''<br />
 +
Nach dem Erstellen des Server Zertifikats wird im Hintergrund ein [https://de.wikipedia.org/wiki/Diffie-Hellman-Schl%C3%BCsselaustausch Diffie Hellman] Schlüssel erstellt. Habt bitte Geduld, die Erstellung kann je nach Dreambox bis zu 15 Minuten dauern.}}
  
 
=== OVPN Paket für den Klient erstellen ===
 
=== OVPN Paket für den Klient erstellen ===
Zeile 48: Zeile 53:
 
* Angemeldete Klients sieht man nach einem Intervall von 60 Sekunden.
 
* Angemeldete Klients sieht man nach einem Intervall von 60 Sekunden.
 
* Das Anzeigen einer Log Datei ist via Taste {{Taste|MENU}} möglich.
 
* Das Anzeigen einer Log Datei ist via Taste {{Taste|MENU}} möglich.
 +
* Das Anzeigen der Routing Tabelle ist via Taste {{Taste|MENU}} möglich.
 +
* Wollt ihr alle Zertifikate löschen, dann benutzt die Taste {{Taste|MENU}} sobald das Zertifikatsmenü geöffnet ist.
  
 
=== OpenVPN Server Screenshots ===
 
=== OpenVPN Server Screenshots ===
Zeile 58: Zeile 65:
 
Datei:Openvpn GP4 Zertifikate.png|Zertifikat Übersicht
 
Datei:Openvpn GP4 Zertifikate.png|Zertifikat Übersicht
 
Datei:Openvpn GP4 Konfigs erstellen.png|Konfigurationen erstellen / Zertifikate Sperren
 
Datei:Openvpn GP4 Konfigs erstellen.png|Konfigurationen erstellen / Zertifikate Sperren
 +
Datei:Openvpn GP4.png|Aktive Klients
 
</gallery>
 
</gallery>
 +
 +
== OVPN.zip Konfiguration anpassen ==
 +
Doppelklickt das <code>xxx-ovpn.zip</code> Archiv und öffnet die Konfigurationsdatei *.ovpn. Passt den Eintrag <code>'''remote'''...</code> mit eurer OpenVPN Server Adresse und Port an.
 +
<syntaxhighlight highlight="3">
 +
#example remote foobar.org 1194
 +
#example remote 97.123.100.236 1194
 +
remote my.server.address.com 12345
 +
</syntaxhighlight>
 +
Das Archiv könnt jetzt auf der Klient Dreambox z.b in das <code>/tmp</code> Verzeichnis kopieren.
  
 
== OpenVPN Klient ==
 
== OpenVPN Klient ==
 +
# Startet die OpenVPN Klient Erweiterung.
 +
# Drückt die {{yellow|gelbe}} Taste und selektiert das <code>xxx-ovpn.zip</code> z.B. im <code>/tmp</code> Verzeichnis. Startet den Import mit der {{green|grünen}} Taste.
 +
# Nach erneutem öffnen des OpenVPN Klients erscheint der importierte Klient Eintrag.
 +
 +
=== Starten / Stoppen des OpenVPN Klients ===
 +
Startet den OpenVPN Klient mit der {{green|grünen}} Taste. {{red|Rot}} stoppt den OpenVPN Klient.
 +
 +
=== Automatischer Start ===
 +
Soll die Verbindung nach Neustart automatisch starten, dann drückt die {{Taste|MENU}} Taste und aktiviert '''Automatisch starten'''.
 +
 +
=== Weitere Informationen ===
 +
* Konfigurationsdateien und Zertifikate des OpenVPN Klients sind abgelegt unter <code>/etc/openvpn/clients</code>.
 +
* Klient Status sieht man nach einem Intervall von 10 Sekunden.
 +
* Das Anzeigen einer Log Datei ist via Taste {{Taste|MENU}} möglich.
 +
* Das Anzeigen einer Routing Tabelle ist via Taste {{Taste|MENU}} möglich.
  
 
=== OpenVPN Klient Screenshots ===
 
=== OpenVPN Klient Screenshots ===
 +
<gallery>
 +
Datei:Openvpn Klient GP4.png|OpenVPN Klient
 +
Datei:Openvpn Klient GP4 Import.png|Konfiguration Import
 +
Datei:Openvpn Klient GP4 getrennt.png|Getrennter Status
 +
Datei:Openvpn Klient GP4 verbunden.png|Verbunden
 +
Datei:Openvpn Klient GP4 Info.png|Info des Klients
 +
Datei:Openvpn Klient GP4 Log- Routing.png|{{Taste|MENU}} Taste
 +
Datei:Openvpn Klient GP4 Routingtabelle.png|Routingtabelle
 +
</gallery>
  
 
== Zertifikate sperren ==
 
== Zertifikate sperren ==
Zertifikate könnt ihr sperren, wenn ihr den Zugriff von einem Klient unterbinden wollt. Öffnet die Zertifikats Einstellungen mit der {{yellow|gelben}} Taste und wählt den zu sperrenden Klients aus. Sperrt nun die Zertifikate mit der {{red|roten}} Taste.
+
Zertifikate könnt ihr sperren, wenn ihr den Zugriff von einem Klient unterbinden wollt. Öffnet die Zertifikats Einstellungen mit der {{yellow|gelben}} Taste und wählt den zu sperrenden Klients aus. Sperrt nun die Zertifikate mit der {{red|roten}} Taste mittels Eingabe des '''Root Zertifikat''' Passwortes.
  
 
[[Kategorie:GP4]]
 
[[Kategorie:GP4]]

Aktuelle Version vom 17. Oktober 2018, 18:58 Uhr

Deutsch.png - in Deutsch English.png - in English
OpenVPN Zugriff von zwei Klients

Nach dem Installieren der Erweiterung, steht ein einfach, konfigurierbarer OpenVPN Server oder Klient zur Verfügung, welcher mit Zertifikaten arbeitet (Server-Multi-Client Betrieb). Die Verbindung auf den OpenVPN Server erfolgt über eine verschlüsselte TLS Verbindung.

Der OpenVPN Server kann je nach Einstellung im Bridge (tap) oder Tunnel (tun) Modus betrieben werden.

  • Im Bridge Modus wird eine virtuelle Netzwerkschnittstelle (tap0) erstellt, welche über eine Netzwerkbrücke (br0) mit der internen Netzwerkkarte (eth0) der Dreambox gekoppelt wird. Ein oder mehrere, verbundene OpenVPN Klients, erhalten eine IP Adresse des internen Netzwerkes und können ohne zusätzliches Routing, alle verfügbaren Dienste erreichen.
  • Im Tunnel Betrieb hat der Klient nur eine Verbindung auf den OpenVPN Server der Dreambox. Jedem Klient wird eine virtuelle IP-Adresse eines in der Server Konfiguration definierten Subnetzes (10.128.0.0/24) zugewiesen. Der OpenVPN Server hat die IP Adresse 10.128.0.1. Zugriff auf das interne Netzwerk ist standardmässig nicht möglich, kann aber durch IP forwarding und Routing ermöglicht werden.

Voraussetzungen für die Benutzung

  • OpenVPN Server muss eingerichtet und gestartet sein.
  • Der OpenVPN Server unterstützt nur Kabel gebundenes Netzwerk (kein Wlan).
  • Eine Portweiterleitung am Router auf die Dreambox (Port 1194/UDP).
  • Für den Server Zugriff müsst ihr die WAN IP kennen, oder einen DDNS Service eingerichtet haben (z.B. No-IP).
  • Für jeden Klient müssen Zertifikate erstellt werden (OVPN Paket).
  • Auf Klients muss OpenVPN installiert sein. Protokolle wie IPSec, IKE, PPTP, oder L2TP werden nicht unterstützt.
  • Server Lan und Client Lan muss unterschiedlich sein.

OpenVPN Server

Richtet den OpenVPN Server nach der folgenden Beschreibung ein:

OpenVPN Server einrichten

  1. Startet die OpenVPN Server Erweiterung.
  2. Nun stellt ihr den gewünschten Modus und die Anzahl der Klients ein unter MENUEinstellungen. Soll der OpenVPN Server nach einem Neustart der Dreambox verfügbar sein, muss die Einstellung Automatisch starten eingeschalten sein.
    • Im Bridge Modus könnt ihr zusätzlich den IP Bereich der Klients definieren.
    • Im Tunnel Modus könnt ihr euer lokales Netzwerk definieren (wird automatisch ausgelesen). Dient als Push des Netzes an die VPN Klients, wenn das komplette interne Netzwerk erreichbar sein soll.

Zertifikate erstellen

Öffnet die Zertifikats Einstellungen mit der gelben Taste. Fügt nun mit der grünen Taste die folgenden Zertifikate hinzu:

  1. Root Zertifikat. Definiert ein Passwort, die Gültigkeitsdauer usw. entsprechend an.
  2. Server Zertifikat. Gebt das vorher definierte Passwort ein und auch die Gültigkeitsdauer.
  3. Als letztes wird das User Zertifikat erstellt. Gebt das vorher definierte Passwort ein, die Gültigkeitsdauer und einen Namen für den Klient.
Ambox notice.png Erstellen des Diffie-Hellman Schlüssels

Nach dem Erstellen des Server Zertifikats wird im Hintergrund ein Diffie Hellman Schlüssel erstellt. Habt bitte Geduld, die Erstellung kann je nach Dreambox bis zu 15 Minuten dauern.

OVPN Paket für den Klient erstellen

Öffnet die Zertifikats Einstellungen mit der gelben Taste. Wählt nun die einzelnen Klients aus und erstellt die OpenVPN Archive mit der gelben Taste. Die Archive beinhalten Konfigurationsdateien und Zertifikate, welche auf den Klients eingerichtet werden. Holt euch die zip Archive unter folgendem Pfad:

/etc/ssl/openvpn

Starten / Stoppen des OpenVPN Servers

Startet den OpenVPN Server mit der grünen Taste. Rot stoppt den OpenVPN Server.

Weitere Informationen

  • Konfigurationsdateien und Zertifikate des OpenVPN Servers sind abgelegt unter /etc/openvpn.
  • Bei gestartetem OpenVPN Server ist das Menü Einstellungen nicht verfügbar.
  • Angemeldete Klients sieht man nach einem Intervall von 60 Sekunden.
  • Das Anzeigen einer Log Datei ist via Taste MENU möglich.
  • Das Anzeigen der Routing Tabelle ist via Taste MENU möglich.
  • Wollt ihr alle Zertifikate löschen, dann benutzt die Taste MENU sobald das Zertifikatsmenü geöffnet ist.

OpenVPN Server Screenshots

OVPN.zip Konfiguration anpassen

Doppelklickt das xxx-ovpn.zip Archiv und öffnet die Konfigurationsdatei *.ovpn. Passt den Eintrag remote... mit eurer OpenVPN Server Adresse und Port an.

#example remote foobar.org 1194
#example remote 97.123.100.236 1194
remote my.server.address.com 12345

Das Archiv könnt jetzt auf der Klient Dreambox z.b in das /tmp Verzeichnis kopieren.

OpenVPN Klient

  1. Startet die OpenVPN Klient Erweiterung.
  2. Drückt die gelbe Taste und selektiert das xxx-ovpn.zip z.B. im /tmp Verzeichnis. Startet den Import mit der grünen Taste.
  3. Nach erneutem öffnen des OpenVPN Klients erscheint der importierte Klient Eintrag.

Starten / Stoppen des OpenVPN Klients

Startet den OpenVPN Klient mit der grünen Taste. Rot stoppt den OpenVPN Klient.

Automatischer Start

Soll die Verbindung nach Neustart automatisch starten, dann drückt die MENU Taste und aktiviert Automatisch starten.

Weitere Informationen

  • Konfigurationsdateien und Zertifikate des OpenVPN Klients sind abgelegt unter /etc/openvpn/clients.
  • Klient Status sieht man nach einem Intervall von 10 Sekunden.
  • Das Anzeigen einer Log Datei ist via Taste MENU möglich.
  • Das Anzeigen einer Routing Tabelle ist via Taste MENU möglich.

OpenVPN Klient Screenshots

Zertifikate sperren

Zertifikate könnt ihr sperren, wenn ihr den Zugriff von einem Klient unterbinden wollt. Öffnet die Zertifikats Einstellungen mit der gelben Taste und wählt den zu sperrenden Klients aus. Sperrt nun die Zertifikate mit der roten Taste mittels Eingabe des Root Zertifikat Passwortes.