Swisscom Community – Kunden helfen Kunden
DE
Gelöst
  • Der Fragesteller hat diesen Beitrag als gelöst markiert.
  • Geschlossen

VPN Server auf Ubuntu Host internetbox Standard Port probleme

zerg0
Level 1
Level 1
21 von 23
‎10.01.2017 21:32

Hallo Zusammen

 

Diese Anleitung hat schlussentlich zum gewünschten Ziel geführt.

OpenVPN-Installationsanleitung

 

Danke für die Hilfe, hier noch die konfigurationen welche zum Ziel geführt haben plus einige Zusätze für die key erstellenung.

 

Und nochmals die Zeichnung.

 

                         +-------------------------+
               (public IP)|                         |
  {INTERNET}=============={     IB Swisscom         |
                          |                         |
                          |         LAN switch      |
                          +------------+------------+
                                       | (192.168.1.1)
                                       |
                                       |              +-----------------------+
                                       |              |                       |
                                       |              |        OpenVPN        |  enp0s25: 192.168.1.x/24
                                       +--------------{enp0s25    server      |  tun0: 10.8.0.1/24
                                       |              |                       |
                                       |              |           {tun0}      |
                                       |              +-----------------------+
                                       |
                              +--------+-----------+
                              |                    |
                              |  Other LAN clients |
                              |                    |
                              |   192.168.1.x/24   |
                              |   (internal net)   |
                              +--------------------+

 

Zuerst die Openvpn Server Konfiguration gekürzt auf die angepassten Parameter, ohne default Werte.

port 1194
proto udp
dev tun
ca ca.crt
cert server.crt
key server.key  # This file should be kept secret
dh dh2048.pem
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 208.67.222.222"
push "dhcp-option DNS 208.67.220.220"
keepalive 10 120
tls-auth ta.key 0 # This file is secret
key-direction 0
cipher AES-128-CBC   # AES
auth SHA256
comp-lzo
user nobody
group nogroup
persist-key
persist-tun
status openvpn-status.log
verb 9
crl-verify crl.pem

etc/uwf/before.rules

 

# START OPENVPN RULES
# NAT table rules
*nat
:POSTROUTING ACCEPT [0:0] 
# Allow traffic from OpenVPN client to enp0s25
-A POSTROUTING -s 10.8.0.0/8 -o enp0s25 -j MASQUERADE COMMIT
# END OPENVPN RULES

ufw allow OpenSSH 

ufw allow 1194/udp für OpenVPN Port

 

~/client-configs/make_config.sh

 

#!/bin/bash

# First argument: Client identifier

KEY_DIR=~/openvpn-ca/keys
OUTPUT_DIR=~/client-configs/files
BASE_CONFIG=~/client-configs/base.conf

cat ${BASE_CONFIG} \
    <(echo -e '<ca>') \
    ${KEY_DIR}/ca.crt \
    <(echo -e '</ca>\n<cert>') \
    ${KEY_DIR}/${1}.crt \
    <(echo -e '</cert>\n<key>') \
    ${KEY_DIR}/${1}.key \
    <(echo -e '</key>\n<tls-auth>') \
    ${KEY_DIR}/ta.key \
    <(echo -e '</tls-auth>') \
    > ${OUTPUT_DIR}/${1}.ovpn

base.conf für Client Konfig

 

client
dev tun
proto udp
resolv-retry infinite
nobind
user nobody
group nogroup
persist-key
persist-tun
remote-cert-tls server
cipher AES-128-CBC
auth SHA256
comp-lzo
key-direction 1
verb 3

 

Statische Route auf IB

10.8.0.0 > 255.255.255.0 > OpenVPNServerIP

 

Portforwarding 

Eingangsort 1194 weiterleiten auf OpenVPN Server

So ich denke das ist alles. Sonst reiche ich es nach.

 

Danke nochmals für die Hilfe

 

Freundliche Grüsse

zer0g

Benutzer, die für diese Nachricht Likes vergeben haben

0 Likes
P.May
Level 3
Level 3
22 von 23
Antwort auf Beitrag 21,
‎28.01.2017 13:18

Hallo Zusammen,

Sorry, dass ich mich erst jetzt wieder mal Melde.

 

@zerg0,Toll dass es jetzt bei dir funktioniertfunktioniert und ja, man sollte wirklich 2 mal schauen was und wie man auf dem öffentlichen Interface freigibt und weiterleitet. 

 

@Tux0ne also das mit dem IPv6, da beschäftige ich mich erst, wenn es dann sein muss😀

 

IT und denken man will schnell was machen😀

Mein nächstes Projekt ist mit dem Raspberry PI ein OTP einrichten, also ein einmal Password.

Raspberry PI 3 bestellt, Image von Multiotp auf sd Karte geschrieben und der Raspberry pi 3 bootet nicht und schon fängt das Dilemma an, warum geht es nicht?

Raspbian drauf und es funktioniert.

Jetzt habe ich mal den Raspberry pi 2 bestellt, mal schauen ob es dann funktioniert.

Viele Grüsse 

Peter

 

Benutzer, die für diese Nachricht Likes vergeben haben

0 Likes
Tux0ne
Level 9
Level 9
23 von 23
Antwort auf Beitrag 22,
‎03.02.2017 17:30
@P.May schrieb:

Hallo Zusammen,

Sorry, dass ich mich erst jetzt wieder mal Melde.

 

 

@Tux0ne also das mit dem IPv6, da beschäftige ich mich erst, wenn es dann sein muss😀

 

Es gibt nicht nur ein Müssen sondern auch Vorteile 🙂

 

Wenn die Provider nicht vorwärts machen musst du selber schauen. 

Aus Datenschutzgründen werde ich eines der anderen 65'000 Subnetz nehmen. Und auch der PTR Eintrag ist nur zum Spass 😄 Wobei ich kann ja nach Lust und Laune variieren.

Nach dem Motto, s'wär möglii.

 

 

Screenshot_20170203-172015.png

Jeder ist beim Provider den er verdient
Jeder ist beim Provider den er verdient

Benutzer, die für diese Nachricht Likes vergeben haben

0 Likes
Nach oben