OpenVPN Zugriff auf die Dream - Enigma2

  • So hab da auch einmal versucht VPN einzurichten.
    Auf Basis des GP 5.1 oder (i)CVS Image mit GP3 Plugins (Server) mit verschiedenen Clients
    wie iPhone, Linux, MAC, Android Smartphones :D


    Achtung die VPN Anleitung beschreibt folgende Variante:


    - OpenVPN Verbindung mittels Routing
    - Als OpenVPN Server agiert die Dream
    - Mehrere Clients, sofern sie über Zertifikate und entsprechende Keyfiles verfügen.
    - Authentifizierung ist Zertifikatsbasierend



    Klappt hier perfekt unter Ubuntu,
    um die Dream via VPN zu erreichen plus das ganze, dahinter liegende interne Netz...


    Voraussetzungen:


    - Dyndns Adresse
    - Geduld und viel Zeit
    - Portweiterleitung auf den entsprechenden Port des VPN Servers
    - Gewillt, um einmal zu googeln
    - Eine Dreambox mit >= GP 5.1 (OpenVPN Server)
    - VPN Client Beschreibungen ergänzt für MAC, iPhone und Windows
    - Netzwerkadresse und Subnetmaske vom Heimnetzwerk kennen


    Na dann einmal los....


    Das erstellen der Zertifikate lasse ich einmal weg, im www gibt es viele Hints dazu.
    Packe aber einmal einige erstellte Dinger an, zum testen.


    Ist aber von Vorteil, wenn ihr eigene erstellt ;)


    Die selbst erstellte Konfigurationsdatei und die Server Zertifikate (ca.crt, dh2048.pem, server.crt, server.key) müssen nach /etc/openvpn kopiert werden.
    Danach den OpenVPN Server starten im BluePanel.



    So nun auf der Dream.......
    die Serverkonfiguration erstellen und als myVPN.conf abspeichern in /etc/openvpn.


    Hier das Beispiel mit einigen Kommentaren..



    Anpassen könnt ihr das VPN LAN in der Konfig. 10.6.0.0/24.


    Wie auch die Route die euer Netzwerk identifizieren soll.


    Code
    push "route 192.168.1.0 255.255.255.0"


    Die gepushte Route muss mit euren Netzwerk übereinstimmen...


    Starten/Stoppen könnt ihr den VPN-Server so via Telnet,
    wenn der OpenVPN Server im BluePanel aktiv ist.


    Code
    /etc/init.d/openvpn start


    Stoppen geht so:


    Code
    /etc/init.d/openvpn stop


    Ist der Dienst nicht gestartet im BlueBanel,
    dann kann der OpenVPN Server wie folgt manuell gestartet werden.
    Gut um zu testen ;)


    Code
    openvpn --config /etc/openvpn/myVPN.conf


    -------------------


    So nun richten wir den Client ein auf dem Linux Computer.
    Das Paket openvpn muss natürlich installiert sein auf dem Client.


    Kopiert nun die Zertifikate (ca.crt, client1.crt, client1.key) vom Anhang nach.
    Es sind übrigens zwei Beispiele im Anhang für zwei Clients.


    Code
    /etc/openvpn


    So, nun muss noch die Client Konfiguration erstellt werden,
    im gleichen Verzeichnis wie die Zertifikate z.B mit dem Namen client.conf.


    Beispiel:


    Anpassen muss man folgendes:
    - Dyndns Adresse
    - Port


    So, wenn alles eingerichtet ist, dann kann man den VPN Client starten:


    Code
    sudo /etc/init.d/openvpn start


    -------------------


    Zum testen kann man einmal die Tunneladresse anpingen. (muss klappen)
    Nach dem Beispiel wäre es 10.6.0.1.
    Oder auch die lokale eingestellte IP der Box müsste gehen.


    Somit sollten die Dream Dienste erreichbar sein (http,ssh,telnet)


    -----------------


    Um weitere Geräte im LAN zu erreichen muss man
    folgenden Befehl auf der Dream eingeben...


    Code
    echo "1" > /proc/sys/net/ipv4/ip_forward


    Der Befehl muss bei jedem Neustart eingegeben werden.
    Oder man erstellt einen Eintrag in /etc/rc3.d, um
    den Befehl auszuführen.


    Dieses Vorgehen ist mit dem geminiopenvpn Plugin vom GP3 nicht mehr norwendig!!


    ------------------


    Wenn die einzelnen Heim-Geräte erreichbar sein sollen , dann muss
    man die entsprechende Route im lokalen LAN dem Gateway bekannt machen.


    Habe hier einen dd-wrt basierenden Router.
    Mit folgendem Befehl geht das...


    Code
    route add -net 10.6.0.0 netmask 255.255.255.0 gw ip_der_dreambox


    Ist aber nach einem Neustart des Routers wieder weg.
    Man kann den Befehl aber im
    Router unter Administration => Diagnose dauerhaft verankern :D


    Kann auf eurem Gateway keine Route eingetragen werden, dann kann eine Route bei den entsprechenden Heimgeräten konfiguriert werden. Beispiel



    -----------------------------


    Mit dem Networkmanager (Gnome), kann man auch die Verbindung auf die Box
    auch erstellen. Muss nur das korrekte Paket zusätzlich installiert (network- manager-openvpn)werden.


    ----------------------------


    So das waren meine ersten Gehversuche mittels VPN
    und es geht ganz gut :D


    Vielleicht gelingt es dem einen oder anderen auch ;)


    mfg eg



    Weitere Tipps und Tricks



    VPN Client unter Iphone


    Wenn ihr einen Jailbreak habt, dann ist das Programm GuizmOVPN interessant. Der upload der Konfigurationsdatei und Zertifikaten
    erfolgt über den Webserver des Programms. Dazu müssen die Daten gezippt werden
    für den upload auf iphone.


    Funktioniert ganz gut ;)


    VPN Client unter WIndows


    Unter Windows kann der openvpn client genommen und installiert werden.
    Nun die Konfigurationsdatei *.conf umbenennen in *.ovpn.


    Dann die Client Zertifikate und die Konf-Datei in das Installationsverzeichnis
    vom OpenVPN Client kopieren. Am besten einen config Ordner erstellen
    und die Datein rein kopieren.


    Dann OpenVPN Client starten und auf das Plus Zeichen unter
    Verbindungsprofile klicken.
    Lokale Datei wählen und auf [Import] drücken.


    Jetzt zu der *.ovpn Konfigdatei Browsen und auswählen.
    Nun einen Namen für die Verbindung eingeben und [sichern].


    Mit einem Klick auf das neue Profil, sollte die Verbindung aufgebaut werden.



    VPN Client unter MAC


    Unter MAC könnt ihr Tunnelblick oder Viscosity verwenden ;)

    Files

    • ihad certs.zip

      (18.06 kB, downloaded 402 times, last: )

    Hilfe gesucht ? schau mal ins GP WIKI - Kein Support per PN

    Edited 7 times, last by mfgeg ().

  • Hi,
    hört sich toll an (kontrolle der Dream über VPN),
    werde es mal probieren.
    :369:

  • Hi RadarPeter,


    zu dem thema gab es ja schon vor einem Jahr ein How-To: Openvpn mit Enigma2. Was hieran allerdings interessant ist, dass du über die Box dann einen Tunnel in dein eigenes LAN hast und dort weitere Dienste nutzen kannst.


    Danke dafür mfgeg

  • Hi elfi12,


    habe ich wohl total verschlafen.

  • Hi radarpeter,


    macht ja nix, stand/steht unter den enigma2 plugins. seit der 5.1 nicht mehr nötig, da integriert.


    Gruß,


    elfi12

  • bei mir haperts schon beim "einrichten" (dienste/daemons)
    bin auf openvpnserver gegangen und mit ok "versucht" zu startet...


    der hängt nun schon seit 15 min bei gelb (Startet)


    fängt ja schon gut an, wie immer ich mal wieder ^^


    ahso ja is übrigens g 5.1 :) aufer 8k

  • ok, dachte schon schiesse wie immer hier mal wieder den vogel ab, muss ja immerhin mein ruf hier halten :D


    aber hab dank für die info ;)


    klene frage noch, gehe recht mit der annahme, das ich den vpn immer manuell neu starten muss wen ich mal nen reboot mache?

  • Man sieht ganz gut in der Konsole (ps), ob der Service läuft oder nicht...


    Werde nächstens einmal den Beitrag noch verfeinern und dann im Wiki verankern...

  • nene kein dingen, klar siehts man über nen "umweg" :)
    aber kennst mich doch :P


    aber mal ne völlig (vielleicht auch blöde frage)
    aber beschrieben is vpn mit zugriff auf http, fpt, telnet (wenn ichs richtig in erinnerung habe)


    meine frage nun wen ich innerhalb meines home lans cs betreibe, kann ich dieses auch durch den vpn tunnel jagen?


    und hats mal gemand versucht die schlüssel auf ner karte ab zu legen?
    hab das im openvpn wiki gelesen das das auch geht (empfhelenswert) is.
    kann ich daszu meine alten fun cards verwenden oder die toten zebras? um auf die die keys zu legen?

  • VPN im homelan?!?


    Alles andere ist Internet-Sharing und du weißt, was hier im Board davon gehalten wird.


    gruß,


    elfi12

  • eben, wills im homelan haben um zu testen wie das alles funtz mit der vpn geschichte, mit inet chare hab ich und will ich auch nix am hut haben, denke aber mal dafür kennen mich auch manche hier gut genug...


    wen ich das vor hätte würd ich mich in anderen einschlägig bekannten foren damit beschäftigen :)


    mir gehts einfach uur ums testen, lernen, begreifen :)

  • durch den tunnel kannst du es jagen, musst halt als adresse die ip des VPn-Servers (bzw. Clients) angeben und als netzwerk nicht dasselbe wie im Homelan nehmen.


    Meine ersten tests damals mit openvpn auf der dream habe ich auch im Lan vom pc aus gemacht.

  • Quote

    Na dann einmal los....


    Auf der Dream habe ich einmal den VPN eingerichtet (via Dienste/Dämons) , damit die
    entsprechenden Dateien erstellt werden.


    kleine frage, wo werden den die daten erstellt?
    /etc/openvpn/ ohne inhalt nach dem start...

  • Via BluePanel kannst du einfach eine Poin2Point Verbindung herstellen/erstellen.
    Aber hier beschreibt das HowTo das ganze mit Zertifikaten.


    Wenn du schon Konfigs hast usw. dann einfach nach /etc/openvpn
    und dann den OpenVPN Server starten.

    Hilfe gesucht ? schau mal ins GP WIKI - Kein Support per PN

    Edited once, last by mfgeg ().

  • hm... naja wolte es ja manuell machen, aber fängt schon damit an das ich verzweifelt nach "easy-rsa" suche um die zertifikate zu erstellen, da wie gesagt mein verzeichniss leer ist, komme ich patou nicht weiter...


    im blue panel ertellen?


    beine bei Dienste/Daemons -> OpenVPN Server (blau "Einstellungen")?


    werden dabei dan automatisch die zertifikate erstellt und abgelegt? wobei ich dan an sich nur die client daten bearbeiten muss und ne dyndns addy eintrage?


    EDIT: ok habs einfach mal getestet und via blue panel erstellt...
    mal sauen wie weit ich nun mit den files komme die so erstellt wurden...