Da selbst Microsoft VPN über PPTP nicht mehr als sicher einstuft, ein Plugin für Openvpn was mit Zertifikaten arbeitet. Das alte Plugin was nur P2P-Verbindungen gestattet wird nicht mehr weiter geführt.
Prinzip:
Es wird eine verschlüsselte TSL-Verbindung aufgebaut. Über eine Netzwerk-Brücke kann man dann auf das gesamte Netzwerk zugreifen. Die Dreambox muss somit nicht gleichzeitig auch NAS sein, sondern leitet die Daten nur weiter.
Vorbereitung auf eurem Router:
Es muss der Port 1194 mit dem Protokoll UDP freigeschaltet werden.
Zertifikate erstellen:
Als erstes brauchen wir Zertifikate für unseren Server und die Clients die sich anmelden wollen
Bei allen Eingaben sind nur Buchstaben und Zahlen erlaubt.
Alle Zertifikate werden im Ordner /etc/ssl/openvpn erstellt.
Bei den Zertifikaten wird zuerst ein "Root" Zertifikat erstellen.
Grün->Hinzufügen und bei Type auf "root Zertifikat" stellen.
Passwort -> gut merken das brauchen wir auch später um Zertifikate zu erstellen oder zu Widerrufen.
gültig für X Jahre -> sollte klar sein
Projekt -> was ihr wollt
Land -> 2 Buchstaben Kürzel
Stadt und Bundesland -> was auch immer
Das 2 Zertifikat was wir brauch ist für den Server.
Grün->Hinzufügen und Typ auf Server.
Achtung wenn ihr auf "Speichern" geht, kann es bis zu einer halben Stunden dauern bis die DH-Datei geschrieben worden ist. Das Plugin kann man in der Zeit verlassen (läuft im Hintergrund weiter).
Jetzt können wir Client-Zertifikate ausstellen.
Grün->Hinzufügen und Typ auf Klient.
Sollte selbsterklärend sein
Im Ordner /etc/ssl/openvpn sollte jetzt folgendes zu finden sein, wenn wir dem Client den Namen "dm7020" gegeben haben.
dm7020-cert.pem <- das Zertifikat
dm7020-key.pem <- die Key-Datei
dm7020.ovpn <- die Konfiguration-Datei
vpn-ca.pem <- das Root Zertifikat
Wichtig: Die Konfiguration-Datei muss von euch selbstständig editiert werden. Bei "remote" muss eure IP oder Dyndns und der Port eingetragen sein. Also der Server zu dem ihr euch verbinden wollt.
Genau diese 4 Dateien braucht man um später den Client zu konfigurieren.
Zertifikate widerrufen:
Sollte mal ein Zertifikat verloren gehen (z.B. Handy/Laptop gestohlen/liegen gelassen), wird ein Zertifikat nicht gelöscht sondern es wird gesperrt/Widerrufen.
Über die Rote Taste kann man das durchführen. Achtung wenn es gesperrt ist bleibt das auch so, man muss sich dann ein neues Zert. erstellen.
Server konfigurieren Menü->Einstellungen:
Wir gehen jetzt mal davon aus, das unsere Netzbereich 192.168.100.x ist.
Anzahl Clients -> sollte klar sein
erste Klient IP -> freier Bereich in eurem Netz, wird auf 192.168.100.220 gesetzt
Mit anderen Worten wenn ich 10 Clients rein lasse muss der Bereich von 220 bis 231 frei sein. Eins mehr wegen dem Openvpn-Server der bekommt auch eine IP.
Bei den nächsten Daten wirklich aufpassen das die stimmen.
IP-Netmask-Brodcast-eth0 -> das sollte die Daten von eurer Box sein, die sich nicht ändern dürfen (Server sollten sowieso feste IPs bekommen)
IP-Router Gateway -> sollte eurer Router sein, meist die 192.168.100.1
Nach speichern sollte der Openvpn laufen. Es wird jetzt der Status des Openvpn angezeigt. Z.Z. nichts da keine Clients verbunden sind.
Fehlersuche:
Entweder ihr schaut in die LOG-Datei wenn ihr sie aktiviert habt oder über syslog wird alles protokolliert.
Ohne LOG-Daten kann man schlecht helfen.
Die Statusanzeige im ersten Menü wird nur 1x pro Minute aktualisiert.
Wichtig:
Wenn man sich ein neues Image installiert sollte man vorher die Ordner...
/etc/ssl/openvpn
/etc/openvpn
sichern.
Wiki:
Danke fürs Wiki