OpenVPn tunnel zu meinem Server?
So ich wollte einen VPN-Tunnel zu meinem Linux Server erstellen. Ich habe als VPN wie im Titel gesagt OpenVPN genommen(Server wie auch Client seitig) Nun sollte ich mich per OpenVPN auf meinem Server Verbinden habe ich leider noch nicht meine localhost IP-Adresse nun wollte ich fragen wie ich dies hinkriege.
Ich vermute über DHCP vllt. aber sonst fällt mir nichts mehr ein.
3 Antworten
Hm.
habe ich leider noch nicht meine localhost IP-Adresse
Die hast Du immer. localhost ist in der Regel 127.0.0.1. localhost ist aber nur intern auf dem Rechner gültig. Über diese Adresse ist nichts und niemand von außen ansprechbar, nicht einmal im LAN.
Ansonsten: Um weiter helfen zu können, braucht es schon detailliertere Angaben.
Wo steht der Server? Wie ist der OpenVPN-Server konfiguriert?
Wo steht der Client? Wie ist der OpenVPN-Client konfiguriert?
Aus einem Deiner Kommentare:
Wie schon gesagt
Nein, Du hast nichts dergleichen gesagt.
ein Server mit einer statischen IPv4
Neue Erkenntnis. Also ein Server bei einem Hoster?
die Firewall Regeln sind konfiguriert(er lässt alle Verbindungen mit zb. 9090 Fallen außer localhost)
Was ist 9090? Möglicherweise solltest Du benennen, was die Firewall durchlässt. Die Standard-Regel sollte Drop sein. Aber vielleicht solltest Du mal die komplette Firewall-Konfiguration herzeigen.
Deine Tastatur ist kaputt. Die Komma-Taste klemmt. Solltest Du dringend reparieren.
Der Openvpn Client ist ganz normale konfiguriert also die standart config
Und wie sieht die Standard-Konfiguration aus? Und wie sieht die Konfiguration des Servers aus? Und die der Firewall?
VPN Protokoll Adaptive, Connection Timeout: 1 min, Launch option: none; Seemles Tunnel : yes; Minimum TLS Version: Profile Default; IPv6 no Preference; Allow Compression: no, DNS Fallback yes;
Spannend. Ich fragte nach der Server-Konfiguration, der Client-Konfiguration und der Firewallkonfiguration. Ich bekomme nun ein paar Konfigurationsoptionen genannt, die aber niemals die vollständige Konfiguration von Client oder Server sein kann. Eine Serverkonfiguration sieht so aus:
https://github.com/OpenVPN/openvpn/blob/master/sample/sample-config-files/server.conf
In der Kurzversion:
port 1194
proto udp
dev tun
ca ca.crt
cert server.crt
dh dh2048.pem
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
keepalive 10 120
cipher AES-256-CBC
persist-key
persist-tun
status openvpn-status.log
verb 3
explicit-exit-notify 1
ist fast gleich der Port ist unterschiedlich aber ja das ist fast die Server config
Einmal gibt diese Server config
client
dev tun
proto udp
remote 134.255.218.97 2212
resolv-retry infinite
nobind
persist-key
persist-tun
remote-cert-tls server
auth SHA512
cipher AES-256-CBC
ignore-unknown-option block-outside-dns
block-outside-dns
verb 3
<ca>
Und dann noch diese hier
local 134.255.218.97
port 2212
proto udp
dev tun
ca ca.crt
cert server.crt
key server.key
dh dh.pem
auth SHA512
tls-crypt tc.key
topology subnet
server 10.8.0.0 255.255.255.0
push "redirect-gateway def1 bypass-dhcp"
ifconfig-pool-persist ipp.txt
push "dhcp-option DNS 8.8.8.8"
keepalive 10 120
cipher AES-256-CBC
user nobody
group nogroup
persist-key
persist-tun
verb 3
crl-verify crl.pem
explicit-exit-notify
Ich habe den Eindruck, als hättest Du die Übersicht verloren (oder noch nie gehabt.
Einmal gibt diese Server config
und dann die erste Zeile der Konfiguration:
client
Beginnt so eine Server-Konfiguration? Nein. Also ist das die Client-Konfiguration, die auch auf dem Client liegen sollte.
dev tun
proto udp
remote 134.255.218.97 2212
Der Server hört jedenfalls auf diesen Port.
ignore-unknown-option block-outside-dns
block-outside-dns
Die Option block-outside-dns kenne ich nicht. Sie scheint mir hier auch doppelt zu sein.
<ca>
Abruptes Ende? Hier käme das CA-Zertifikat.
Und dann noch diese hier
Das sieht mir eher nach Server aus, obwohl die Zeile
server
fehlt.
ca ca.crt
cert server.crt
key server.key
dh dh.pem
Stimmen die Pfade so?
crl-verify crl.pem
Dann hoffen wir mal, dass Du die CA richtig aufgesetzt hast.
Und wo genau liegt jetzt Dein Problem? Was passiert, wenn Du Dich mit dem Client auf die 134.255.218.97 verbindest?
Da fehtl vermutlich Server da es eine ganz neue Datei Namens Server.conf ist.
Und was mit das Ca- Zertifikat habe ich nicht mit kopiert.
Naja sollte ich mich nun mit dem VPN verbinden und dann zB. auf einen dort gehosteten Dienst gehe zB. Eine Gameserver oder eine Website habe ich noch immer meine eigene IP also die von Zuhauser vom Internet Provider.
Da fehtl vermutlich Server da es eine ganz neue Datei Namens Server.conf ist.
Warum die Zeile fehlt, ist völlig egal. Wichtig ist, dass Du die Konfigurationsdateien richtig schreibst und die Serverkonfiguration auf dem Server liegen hast und die Clientkonfiguration auf dem Client.
Und was mit das Ca- Zertifikat habe ich nicht mit kopiert.
Noch einmal: Wichtig ist, dass Du die Konfigurationen richtig schreibst. Nach <ca> muss zwingend das CA-Zertifikat folgen. Alternativ muss das Zertifikat verwiesen werden, so wie in der Clientkonfiguration:
ca ca.crt
So, wie die Konfiguration jetzt ist, ist sie kaputt. So kann das nichts werden.
Naja sollte ich mich nun mit dem VPN verbinden und dann zB. auf einen dort gehosteten Dienst gehe zB. Eine Gameserver oder eine Website habe ich noch immer meine eigene IP also die von Zuhauser vom Internet Provider.
Was willst Du mir sagen? Strukturiere mal bitte Deine Sätze, damit man die Aussage versteht. Wird der VPN-Tunnel aufgebaut?
So das Zertifikat ist da ich habe es nur nicht hier auf Gutefragen rein kopiert. Und die client config ist auch das Zertifikat für den client. Diese wurde beim erstellen dorthin kopiert und wird gebraucht um am client diesen hinzuzufügen
Noch einmal meine Frage: Wird der VPN-Tunnel aufgebaut?
Wenn ja: Wo ist jetzt das Problem?
Wenn nein: Welche Fehlermeldungen gibt es? Was steht in den Logfiles?
Er wird aufgebaut wenn ich mich jetzt darüber Verbinde und auf einen local Dienst gehe habe ich aber meine normale IP und keine interne
Er wird aufgebaut
Gut.
auf einen local Dienst gehe
local service oder lokaler Dienst. Aber bitte nicht local Dienst. Entscheide Dich für eine Sprache, am besten für eine, die Du verstehst.
Vor allen Dingen verwende eindeutiges Vokabular. Was bedeutet "local" bzw. "lokal"? Lokal ist der Rechner, auf dem der Client läuft. Der VPN-Server ist remote, also ein entfernter Rechner, auf dem Du Dich einwählst. Das ist vergleichbar mit Remote Desktop. Ein Dienst, der auf dem VPN-Server läuft, ist also auch remote, nicht local.
gehe habe ich aber meine normale IP und keine interne
Es gibt keine unnormalen IP-Adressen.
Du musst die Dienste auf dem Server über die IP-Adresse 10.8.0.1 ansprechen. Wenn Du die Dienste über die Adresse 134.255.218.97 ansprichst, geht das am VPN-Tunnel vorbei. Wenn Du die Dienste über die Adresse 134.255.218.97 ansprechen kannst, hast Du die Firewall auch falsch konfiguriert.
So wenn ich mich mit meinem VPN-Server verbinde bekomme ich keine interne IP-Adresse und ich will ja die Dienste direkt mit 10.8.0.1 ansprechen nur genau das bekomme ich nicht hin. Ich bekomme nicht hin das ich wenn ich mich per VPN auf meinem Server verbinde die Ip-Adresse 10.8.0.1 habe
So wenn ich mich mit meinem VPN-Server verbinde bekomme ich keine interne IP-Adresse
Bitte einmal die Ausgabe von
ipconfig
(Windows) bzw.
ifconfig
(Linux) sowohl von Server also auch Client.
Außerdem bitte die Logfiles vom Verbindungsvorgang, ebenfalls von Client und Server.
Ich bekomme nicht hin das ich wenn ich mich per VPN auf meinem Server verbinde die Ip-Adresse 10.8.0.1 habe
Der VPN-Server hat die IP-Adresse 10.8.0.1. Dein Rechner bekommt auf seiner Tunnel-Schnittstelle eine Adresse im Bereich 10.8.0.2 bis 10.8.0.254.
Windows(VPN an):
Windows-IP-Konfiguration
Unbekannter Adapter LAN-Verbindung:
Verbindungsspezifisches DNS-Suffix:
Verbindungslokale IPv6-Adresse . : fe80::bd2a:c5b:94ba:4004%27
IPv4-Adresse . . . . . . . . . . : 10.8.0.2
Subnetzmaske . . . . . . . . . . : 255.255.255.0
Standardgateway . . . . . . . . . :
Ethernet-Adapter vEthernet (Default Switch (Ethernet 2)):
Medienstatus. . . . . . . . . . . : Medium getrennt
Verbindungsspezifisches DNS-Suffix:
Ethernet-Adapter vEthernet (Default Switch (Ethernet 3)):
Medienstatus. . . . . . . . . . . : Medium getrennt
Verbindungsspezifisches DNS-Suffix:
Ethernet-Adapter vEthernet (Default Switch (Ethernet 4)):
Medienstatus. . . . . . . . . . . : Medium getrennt
Verbindungsspezifisches DNS-Suffix:
Ethernet-Adapter Ethernet 2:
Medienstatus. . . . . . . . . . . : Medium getrennt
Verbindungsspezifisches DNS-Suffix:
Ethernet-Adapter Ethernet 3:
Verbindungsspezifisches DNS-Suffix:
Verbindungslokale IPv6-Adresse . : fe80::594d:c6e1:f99a:3952%31
IPv4-Adresse . . . . . . . . . . : 192.168.68.112
Subnetzmaske . . . . . . . . . . : 255.255.255.0
Standardgateway . . . . . . . . . : fe80::16eb:b6ff:feb6:4af8%31
192.168.68.1
Ethernet-Adapter Ethernet 4:
Medienstatus. . . . . . . . . . . : Medium getrennt
Verbindungsspezifisches DNS-Suffix:
Ethernet-Adapter vEthernet (Default Switch):
Verbindungsspezifisches DNS-Suffix:
Verbindungslokale IPv6-Adresse . : fe80::69de:8692:e393:8ae0%35
IPv4-Adresse . . . . . . . . . . : 172.26.96.1
Subnetzmaske . . . . . . . . . . : 255.255.240.0
Standardgateway . . . . . . . . . :
Windows(VPN aus)
Windows-IP-Konfiguration
Unbekannter Adapter LAN-Verbindung:
Medienstatus. . . . . . . . . . . : Medium getrennt
Verbindungsspezifisches DNS-Suffix:
Ethernet-Adapter vEthernet (Default Switch (Ethernet 2)):
Medienstatus. . . . . . . . . . . : Medium getrennt
Verbindungsspezifisches DNS-Suffix:
Ethernet-Adapter vEthernet (Default Switch (Ethernet 3)):
Medienstatus. . . . . . . . . . . : Medium getrennt
Verbindungsspezifisches DNS-Suffix:
Ethernet-Adapter vEthernet (Default Switch (Ethernet 4)):
Medienstatus. . . . . . . . . . . : Medium getrennt
Verbindungsspezifisches DNS-Suffix:
Ethernet-Adapter Ethernet 2:
Medienstatus. . . . . . . . . . . : Medium getrennt
Verbindungsspezifisches DNS-Suffix:
Ethernet-Adapter Ethernet 3:
Verbindungsspezifisches DNS-Suffix:
Verbindungslokale IPv6-Adresse . : fe80::594d:c6e1:f99a:3952%31
IPv4-Adresse . . . . . . . . . . : 192.168.68.112
Subnetzmaske . . . . . . . . . . : 255.255.255.0
Standardgateway . . . . . . . . . : fe80::16eb:b6ff:feb6:4af8%31
192.168.68.1
Ethernet-Adapter Ethernet 4:
Medienstatus. . . . . . . . . . . : Medium getrennt
Verbindungsspezifisches DNS-Suffix:
Ethernet-Adapter vEthernet (Default Switch):
Verbindungsspezifisches DNS-Suffix:
Verbindungslokale IPv6-Adresse . : fe80::69de:8692:e393:8ae0%35
IPv4-Adresse . . . . . . . . . . : 172.26.96.1
Subnetzmaske . . . . . . . . . . : 255.255.240.0
Standardgateway . . . . . . . . . :
Unbekannter Adapter LAN-Verbindung:
Verbindungsspezifisches DNS-Suffix:
Verbindungslokale IPv6-Adresse . : fe80::bd2a:c5b:94ba:4004%27
IPv4-Adresse . . . . . . . . . . : 10.8.0.2
Subnetzmaske . . . . . . . . . . : 255.255.255.0
Das zeigt eindeutig, dass Du sehr wohl eine private Adresse vom VPN bekommst. Damit solltest Du auch die 10.8.0.1 erreichen können. Was ist die Ausgabe von
ping 10.8.0.1
?
Ping wird ausgeführt für 10.8.0.1 mit 32 Bytes Daten:
Antwort von 10.8.0.1: Bytes=32 Zeit=43ms TTL=64
Antwort von 10.8.0.1: Bytes=32 Zeit=45ms TTL=64
Antwort von 10.8.0.1: Bytes=32 Zeit=48ms TTL=64
Antwort von 10.8.0.1: Bytes=32 Zeit=41ms TTL=64
Ping-Statistik für 10.8.0.1:
Pakete: Gesendet = 4, Empfangen = 4, Verloren = 0
(0% Verlust),
Ca. Zeitangaben in Millisek.:
Minimum = 41ms, Maximum = 48ms, Mittelwert = 44ms
Und bei Linux geht die Ipconfig gerade nicht
Könnte es sein das ich die Firewall falsch konfiguriert habe?
iptables -A INPUT -p tcp --dport 9090 -j DROP
iptables -A INPUT -p tcp --dport 9090 -s 134.255.218.97 -j ACCEPT
iptables -A INPUT -p tcp --dport 9090 -s 10.8.0.1 -j ACCEPT
Das bedeutet, dass der VPN-Tunnel steht, Du auf dem Client die Adresse 10.8.0.2 hast, während der Server erwartungsgemäß die 10.8.0.1 hat. Beide können sich erreichen, sie stehen im gleichen Netz.
Könnte es sein das ich die Firewall falsch konfiguriert habe?
Ja. Deshalb fragte ich bereits vor einiger Zeit nach der Firewall-Konfiguration. Aber immerhin hast Du es jetzt nach x Stunden geschafft, diese mal beizubringen.
iptables -A INPUT -p tcp --dport 9090 -j DROP
iptables -A INPUT -p tcp --dport 9090 -s 134.255.218.97 -j ACCEPT
iptables -A INPUT -p tcp --dport 9090 -s 10.8.0.1 -j ACCEPT
Dir ist klar, dass die Regeln von oben nach unten abgearbeitet werden? Schau Dir mal an:
iptables -nvL INPUT
Du siehst, dass die erste Regel Treffer hat und diese auch bei Zugriffsversuchen auf den Server ansteigen. Die beiden anderen Regeln haben keine Treffer. Sämtliche Pakete an den TCP-Port 9090 werden verworfen.
Die zweite Regel kommt nicht nur zu spät, sie ist auch falsch. Woher sollen denn Paket von der 134.255.218.97 an den Server kommen? Diese IP-Adresse ist doch die Server-Adresse.
Die dritte Regel ist ebenfalls Unsinn. Auch die 10.8.0.1 ist die Serveradresse. Der Server führt keine Selbstgespräche.
Ich habe keine Ahnung, wie Du zu diesen Regeln kommst. Aber verstanden hast Du sie sicher nicht.
iptables -P INPUT ACCEPT
iptables -F
iptables -A INPUT -p tcp --dport 9090 -s 10.8.0.0/24 -j ACCEPT
iptables -A INPUT -u udp --dport 2212 -j ACCEPT
iptables -P INPUT DROP
Erklärung:
Die erste Regel setzt die Policy der Tabelle INPUT auf ACCEPT, damit wir uns nicht aussperren. Die zweite Regel löscht alle Firewall-Regeln.
Die dritte Regel lässt alle Pakete aus dem Netz 10.8.0.0/24 auf den TCP-Port 9090 zu. Die vierte Regel lässt Pakete an UDP-Port 2212 von überall zu. Ohne diese Regel wäre OpenVPN nicht mehr erreichbar. Die letzte Regel setzt die Default-Policy der Tabelle auf DROP, sodass alles, was nicht durch die dritte Regel erlaubt ist, verworfen wird.
Nun kann aus dem Internet nur noch auf den UDP-Port 2212 zugegriffen werden, der Dienst unter Port 9090 ist nur noch durch den VPN-Tunnel erreichbar.
Du weißt, dass die Firewall-Regeln den Neustart des Servers nicht überleben? Teste die Firewall-Regeln. Wenn es irgendwo klemmt, starte den Server neu.
Danke
Ich kenne mich mit der firewall tatsächlich nicht wirklich gut aus... Ich habs aber jetzt verstanden Ich werde es gleich mal versuchen danke und das mit dem Neustart wusste ich
er kennt jedoch nicht -u als option war -p gemeint?
das mit dem Neustart wusste ich
Es gibt ein Paket namens iptables-persistent. Das kann man verwenden, um seine Regeln zu sichern und automatisch beim Neustart wiederherzustellen.
er kennt jedoch nicht -u als option war -p gemeint?
Genau. Glorreiche Fehlleistung meinerseits.
iptables -A INPUT -p udp --dport 2212 -j ACCEPT
Okay danke für die Hilfe wenn ich nur den port 9090 sperren lassen will muss ich einfach statt:
iptables -P INPUT DROP
iptables -A INPUT -p tcp --dport 9090 -j DROP
Hin schreiben richtig?
nein. der erste Befehl bewirkt, dass alles blockiert wird, was nicht explizit erlaubt wird. Dann eher so:
iptables -P INPUT DROP
iptables -A INPUT -p udp --dport 2212 -j ACCEPT
iptables -A INPUT -p tcp --dport 9090 -s 10.8.0.0/24 -j ACCEPT
Richtig. Dann ist Port 9090 nicht mehr zugänglich. Weder aus dem Internet, noch über den VPN. Aber
iptables -P INPUT DROP
sorgt dafür, dass auch der Rest nicht mehr zugänglich ist.
Um wirklich nur TCP 9090 zu sperren, muss
iptables -P INPUT ACCEPT
gesetzt sein.
Ich habe aber den Eindruck, dass Du gerade Dinge versuchst, die nicht sonderlich sinnvoll sind.
iptables -A INPUT -p tcp --dport 9090 -s 10.8.0.0/24 -j ACCEPT
Das ist so ziemlich das Gegenteil von "Port 9090 sperren".
Zudem steht dort "statt".
das bewirkt, dass der Port 9090 nur aus dem VPN erreichbar ist, und die Drop Policy am Anfang blockiert alles andere.
ok, das statt habe ich überlesen, aber die 3 Regeln von mir im Zusammenhang ergeben dann trotzdem Sinn.
Hast du meinen Kommentar eigentlich vollständig gesehen?
Ja.
Hast Du die Frage richtig gelesen?
wenn ich nur den port 9090 sperren lassen will
Da steht nicht "Wenn ich den Port 9090 aus dem Internet sperren möchte, aber über den VPN erreichbar halten möchte".
Wie genau ist dein Aufbau und von wo nach wo willst du dich verbinden? Gib uns doch mehr Informationen ...
Willst du von außerhalb deines Netzwerkes in dein Netzwerk? Hast du dafür eine Portfreigabe / Firewallregeln eingerichtet? Nutzt du IPv4 und hast nur eine einzige öffentliche IP? Hast du überhaupt eine eigene IPv4 ...
Wenn das der Fall sein sollte, musst du im Client eben deine öffentliche IPv4 angeben, wenn alles entsprechend konfiguriert wurde
Ich nutze Wie schon gesagt ein Server mit einer statischen IPv4 die Firewall Regeln sind konfiguriert(er lässt alle Verbindungen mit zb. 9090 Fallen außer localhost) Ich will mich vom mir Zuhause nach meinem Server verbinden
Ich nutze Wie schon gesagt ein Server mit einer statischen IPv4
ja, du nutzt einen Server. Wo steht dieser Server? bei dir daheim oder bei einem Hoster? ist die statische IP also lokal oder global?
die Firewall Regeln sind konfiguriert(er lässt alle Verbindungen mit zb. 9090 Fallen außer localhost) Ich will mich vom mir Zuhause nach meinem Server verbinden
na dann, richte eine entsprechende Regel für den von dir gewählten OpenVPN-Port ein, konfiguriere den OpenVPN-Server und nutze die IP ...
Der Server steht im Rechenzentrum... Und wenn ich mich per OpenVPN zu meinem Server verbinde wird meine ganz normale Ip gesendet und also nicht die IP des Servers nicht die localhost Ip sondern meine ganz normale Ip sprich wenn ich über den VPN auf meinen Server IP:9090 drauf will lässt es mich nicht weil ich meine normale Ip habe und nicht die localhost
Ich glaube, du versteht das Prinzip von "localhost" noch nicht. Das ist die Maschine selbst ... Wenn du dich auf localhost vom Server beziehst, ist localhost eben der Server selbst ...
wenn alle anderen Pakete fallen gelassen werden, wirst du den Server erstmal korrekt konfigurieren müssen.
Ja aber wenn ich mich per VPN auf den Server verbinde bin ich "der Server"
Ja aber wenn ich mich per VPN auf den Server verbinde bin ich "der Server"
Nein. Wenn du dich per VPN auf den Server verbindest, bekommst du eine IP aus dem Netzbereich / Netzwerk, den du angegeben hast. Du bist nicht "der Server", du bist nicht localhost
ja, du nutzt einen Server. Wo steht dieser Server? bei dir daheim oder bei einem Hoster? ist die statische IP also lokal oder global?
Meinst du ,dass Die Firewall statt nur die localhost IP den Port durchlassen soll
Meinst du ,dass Die Firewall statt nur die localhost IP den Port durchlassen soll
Ja ... Du bist nicht localhost, wenn du von extern zugreifst.
ich würde WireGuard verwenden, wenn ich das heute nochmal machen sollte... https://wiki.archlinux.org/title/WireGuard
damals habe ich in dem server-seitigen config file für den client folgende Zeile eingetragen:
server 10.8.0.0 255.255.255.0
es gab dazu auch ein Tutorial... müsstest mal googlen... da gab es auch ein script, das den ganzen TLS Kram hingebogen hat...
Der Server steht im Rechenzetrum und der Client ist mein PC hier bei mir Zuhause und sollte ich mich per VPN auf diesen Server verbinden bin ich ja auf dem Server und nicht per LAN. Der Openvpn Client ist ganz normale konfiguriert also die standart config