OpenVPN Grundinstallation

eine gute englische Dokumentation gibt es hier: http://openvpn.net/howto.html#quick unh hier: http://sarwiki.informatik.hu-berlin.de/OpenVPN_(deutsch)

Software installieren

apt-get install openvpn

Port Forwarding einschalten

sofort aktivieren:

echo 1 > /proc/sys/net/ipv4/ip_forward

dauerhaft beim nächsten Start des Netzwerkes:

vim /etc/network/options
("ip_forward=yes")

tun -device erzeugen

nur wenn das System nicht udev verwendet

if [ ! d /dev/net ] ; then mkdir /dev/net ; fi
mknod /dev/net/tun c 10 200
modprobe tun

Server dhparam erzeugen

auf dem Server ausführen:

openssl dhparam -out dh1024.pem 1024

Pre-Shared Keys

auf dem Server erzeugen:

server# openvpn --genkey --secret /etc/openvpn/static.key

und auf den Client kopieren:

client# scp root@myserver.dynip:/etc/openvpn/static.key /etc/openvpn

Config-Dateien PSK

Server: /etc/openvpn/openvpn.conf

# Use a dynamic tun device.
dev tun

# 10.1.0.1 is our local VPN endpoint
# 10.1.0.2 is our remote VPN endpoint
ifconfig 10.1.0.1 10.1.0.2

# Our pre-shared static key
secret static.key

daemon
user nobody
group nogroup
# using user/group/chroot without persist-key/persist-tun 
# may cause restarts to fail
persist-key
persist-tun

## Set the appropriate level of log
## file verbosity.
##
## 0 is silent, except for fatal errors
## 4 is reasonable for general usage
## 5 and 6 can help to debug connection problems
## 9 is extremely verbose
log /var/log/openvpn.log
verb 6

# route network/IP [netmask] [gateway] [metric]
route "client-lan" 255.255.255.0 10.1.0.2

Config-Datei Client: /etc/openvpn/openvpn.conf

dev tun
remote xyz.dyndns.abc
ifconfig 10.1.0.2 10.1.0.1
secret static.key

daemon
user nobody
group nogroup

ping 15
ping-restart 300 # 5 minutes
resolv-retry 300 # 5 minutes
persist-tun
persist-key

# route network/IP [netmask] [gateway] [metric]
route 10.1.0.0 255.255.255.0 10.1.0.1
route "servernet" 255.255.255.0 10.1.0.1

log /var/log/openvpn.log
verb 6

Fixthis: MTU ist in der config auf 1400 zu begrenzen !!!! ?? Wirklich ??

Nun muss noch die Firewall geöffnet werden für Port 1194 UPD.

Auf einem eventuell vorgeschalteten Router ist noch Port 1194 an den Server per Port-Forwarding weiterzuleiten.

dann auf beiden PC openvpn (neu) starten

/etc/init.d/openvpn restart

Als ersten Test haben wir per NAT der lokale Netz, in dem der Server steht erreichbar gemacht. (Dies scheint aber auch mit den beiden Routing-Einträgen in den Konfig-Dateien zu funktionieren) dazu auf dem server:

server# iptables -A POSTROUTING -t nat -j MASQUARADE

und auf dem Client:

route add -net "SERVERIP" netmask 255.255.255.0 gateway 10.1.0.1 tun0

anschliesend konnten wir alle PCs im "Server-Lan" per ping und http etc. erreichen.

OpenVPN (last edited 2008-04-12 21:43:09 by blfd-4db50feb)