DM800SE + OpenVPN + HIDE.IO

    • Offizieller Beitrag

    Da selbst Microsoft VPN über PPTP nicht mehr als sicher einstuft, ein Plugin für Openvpn was mit Zertifikaten arbeitet. Das alte Plugin was nur P2P-Verbindungen gestattet wird nicht mehr weiter geführt.


    Prinzip:
    Es wird eine verschlüsselte TSL-Verbindung aufgebaut. Über eine Netzwerk-Brücke kann man dann auf das gesamte Netzwerk zugreifen. Die Dreambox muss somit nicht gleichzeitig auch NAS sein, sondern leitet die Daten nur weiter.


    Vorbereitung auf eurem Router:
    Es muss der Port 1194 mit dem Protokoll UDP freigeschaltet werden.


    Zertifikate erstellen:
    Als erstes brauchen wir Zertifikate für unseren Server und die Clients die sich anmelden wollen
    Bei allen Eingaben sind nur Buchstaben und Zahlen erlaubt.
    Alle Zertifikate werden im Ordner /etc/ssl/openvpn erstellt.


    Bei den Zertifikaten wird zuerst ein "Root" Zertifikat erstellen.
    Grün->Hinzufügen und bei Type auf "root Zertifikat" stellen.
    Passwort -> gut merken das brauchen wir auch später um Zertifikate zu erstellen oder zu Widerrufen.
    gültig für X Jahre -> sollte klar sein
    Projekt -> was ihr wollt
    Land -> 2 Buchstaben Kürzel
    Stadt und Bundesland -> was auch immer


    Das 2 Zertifikat was wir brauch ist für den Server.
    Grün->Hinzufügen und Typ auf Server.
    Achtung wenn ihr auf "Speichern" geht, kann es bis zu einer halben Stunden dauern bis die DH-Datei geschrieben worden ist. Das Plugin kann man in der Zeit verlassen (läuft im Hintergrund weiter).


    Jetzt können wir Client-Zertifikate ausstellen.
    Grün->Hinzufügen und Typ auf Klient.
    Sollte selbsterklärend sein
    Im Ordner /etc/ssl/openvpn sollte jetzt folgendes zu finden sein, wenn wir dem Client den Namen "dm7020" gegeben haben.
    dm7020-cert.pem <- das Zertifikat
    dm7020-key.pem <- die Key-Datei
    dm7020.ovpn <- die Konfiguration-Datei
    vpn-ca.pem <- das Root Zertifikat


    Wichtig: Die Konfiguration-Datei muss von euch selbstständig editiert werden. Bei "remote" muss eure IP oder Dyndns und der Port eingetragen sein. Also der Server zu dem ihr euch verbinden wollt.
    Genau diese 4 Dateien braucht man um später den Client zu konfigurieren.


    Zertifikate widerrufen:
    Sollte mal ein Zertifikat verloren gehen (z.B. Handy/Laptop gestohlen/liegen gelassen), wird ein Zertifikat nicht gelöscht sondern es wird gesperrt/Widerrufen.
    Über die Rote Taste kann man das durchführen. Achtung wenn es gesperrt ist bleibt das auch so, man muss sich dann ein neues Zert. erstellen.


    Server konfigurieren Menü->Einstellungen:
    Wir gehen jetzt mal davon aus, das unsere Netzbereich 192.168.100.x ist.
    Anzahl Clients -> sollte klar sein
    erste Klient IP -> freier Bereich in eurem Netz, wird auf 192.168.100.220 gesetzt
    Mit anderen Worten wenn ich 10 Clients rein lasse muss der Bereich von 220 bis 231 frei sein. Eins mehr wegen dem Openvpn-Server der bekommt auch eine IP. :winking_face:
    Bei den nächsten Daten wirklich aufpassen das die stimmen.
    IP-Netmask-Brodcast-eth0 -> das sollte die Daten von eurer Box sein, die sich nicht ändern dürfen (Server sollten sowieso feste IPs bekommen)
    IP-Router Gateway -> sollte eurer Router sein, meist die 192.168.100.1
    Nach speichern sollte der Openvpn laufen. Es wird jetzt der Status des Openvpn angezeigt. Z.Z. nichts da keine Clients verbunden sind.


    Fehlersuche:
    Entweder ihr schaut in die LOG-Datei wenn ihr sie aktiviert habt oder über syslog wird alles protokolliert.
    Ohne LOG-Daten kann man schlecht helfen. :winking_face:


    Die Statusanzeige im ersten Menü wird nur 1x pro Minute aktualisiert.


    Wichtig:
    Wenn man sich ein neues Image installiert sollte man vorher die Ordner...
    /etc/ssl/openvpn
    /etc/openvpn
    sichern.


    Wiki:
    Danke fürs Wiki

  • Hi mechatron,


    bisher habe ich Server- und Clientzertifikate in einer eigenen VMWare erzeugt und dann nur nach /etc/openvpn gekippt. Das sollte doch bei TLS nicht anders sein, oder? Muss ich dann die Serverzertifikate unbedingt nach /etc/ssl/openvpn geben?


    Gruß,


    elfi12

    • Offizieller Beitrag

    sagen wir so, das kannst du so machen wie Vorher nur wird dann das Plugin nicht richtig funktionieren...
    Was natürlich openvpn nicht interessiert :winking_face:
    z.B.: müssen die Server-Zertifikate mit "Server_" beginnen das Root-Zertifikat mit "vpn_" und in /etc/ssl/openvpn liegen bei dem Plugin

  • Super Arbeit!


    Was mich jetzt an der Stelle noch interessiert:


    Viele Firmen schotten ihr Netz stark ab und lassen nach außen nur TCP-Verbindungen über Port 80 und 443 raus.
    Das verträgt sich nicht wirklich mit der hier beschriebenen Konfiguration. Geht auch ein VPN-Tunnel über HTTP oder HTTPS?

    Dummheit ist auch eine natürliche Begabung (Wilhelm Busch)

  • Hi Mechatron, ich nutze anstatt pem-Dateien .crt-Dateien. Damit wird aber die server.conf nicht angezeigt. Any hints (außer umbenennen)?


    Gruß,


    elfi12

    • Offizieller Beitrag

    svenw1973
    Wie mfgeg schon schreibt.
    Bitte die /etc/openvpn/server.conf editieren "port 1194"
    oder die /etc/openvpn/xxx.opvn die Zeile "remote"


    elfi12
    Das geht natürlich. Nur musst du dann ohne die GUI auskommen.
    Ich hab jetzt alles auf *.pem aufgebaut.

    • Offizieller Beitrag

    Ich hab das gerade in der R2 gefixt.
    Fehler mit dem Autostart, wenn das Teil als Server läuft, hab ich auch gerade festgestellt :winking_face:

  • Halllo, habe gerade meine Box (7020 HD) neu aufgesetzt und fest gestellt das der start des Plugins noch nicht funktioniert. Eintrag in rc2 fehlt bei mir immer noch. Muss man das händisch anlegen?
    Vielen Dank für die Rückmeldung.

  • Hast du die Config manuell angelegt oder über die Oberfläche? liegt die conf-Datei in etc/openvpn mit den richtigen Rechten ?

  • Hi, habe die Config manuell gemacht. Hatte die Zertifikate schon alle. Config leigt im etc/openvpn hat folgende recht 600.
    Der Tunnel läuft ja auch nur der autostart funktioniert nicht.

    • Offizieller Beitrag

    nach dem letzten Update sollte das aber schon gehen
    sowohl als Server wie auch als Client

    • Offizieller Beitrag

    Ich denk ich setz mal am Wochende eine Box in 2.0 auf und beteilige mich ..... Hoffentlich erlaubt Frauchen es...


    Jake

  • Jake ein tip: mach dir ein OE2.0 stick mit media-boot


    dann kanst den einfach ziehen und wider 1.6 vom flash booten :winking_face:

  • hier mal ein howto für alle Umsteiger von oe16 auf oe20
    Jedoch nur mit einer Clientverbindung getestet...
    das ganze jedoch ohne GUI...


    openvpn installieren
    die alten VPN-Konfig-Daten (vom oe16 plugin) nach etc/openvpn kopieren
    die alten .conf in .ovpn umbennen
    Rechte setzen
    dann noch Box neustarten und die Verbindung zum Server steht...


    und ich such mir hier nen Ast ab mit .pem und wiki und blickte nicht mehr durch... :winking_face:

    • Offizieller Beitrag

    Siehste ... alles wird gut...


    Und am Samstag trinken wir eine drauf


    Jake