OpenVPN unter Pixel

L I V E Stammtisch ab 20:30 Uhr im Chat
  • Hallo zusammen,

    da ich immer wieder Interesse an Pi-Projekten habe und gerne unterwegs über VPN auf mein Heimnetzwerk zugreifen möchte, wollte ich gerne einen OpenVPN Server auf meinen Raspberry Pi mit Raspbian Pixel einrichten.

    Bisher habe ich im Netz verschiedenste Dokumentationen gesehen und diese ausprobiert. Leider fällt mir auf, dass vereinzelte Pfade nicht gefunden werden können (z.B. easy-rsa/2.0). Langsam bin ich da etwas am Verzweifeln.

    Gibt es Unterschiede bei der Installation zwischen Jessie und Pixel? Hat jemand bereits OpenVPN unter Pixel erfolgreich zum Laufen gebracht? Falls ja, kann mir jemand eine Anleitung geben, mit der ich das gut nachmachen kann?


    Vielen Dank und viele Grüße

    MauMau92

  • Bisher habe ich im Netz verschiedenste Dokumentationen gesehen und diese ausprobiert. Leider fällt mir auf, dass vereinzelte Pfade nicht gefunden werden können (z.B. easy-rsa/2.0). Langsam bin ich da etwas am Verzweifeln.

    Code
    apt update
    apt search easy-rsa
    apt show easy-rsa
    apt install easy-rsa

    Gibt es Unterschiede bei der Installation zwischen Jessie und Pixel? Hat jemand bereits OpenVPN unter Pixel erfolgreich zum Laufen gebracht? Falls ja, kann mir jemand eine Anleitung geben, mit der ich das gut nachmachen kann?


    Ja, es gibt Unterschiede. Jessie ist eine Debian-Linux-Distribution, die vom Raspberry-Projekt adaptiert wurde. Pixel ist nur ein weiteres Desktop-Environment, wie zuvor schon die für Linux bestehenden Desktops KDE, xfce, lxde, Mate, Cinnamon, usw. Pixel wurde lediglich explizit für den PI entwickelt, ist aber anscheinend auch nur ein Desktop-Environment

    Aber die für Dich wichtigen Fakten sind folgende:
    1. Weder Jessie noch der Pi (mit Jessie) benötigt ein Desktop-Environment um zu laufen
    2. OpenVPN benötigt zwar Jessie zum Laufen, aber ebenfalls kein Desktop-Environment
    3. Für eine OpenVPN-Installation kannst Du aus etlichen mit Google findbaren CLI-HowTo's auswählen. Ich würde eben nur empfehlen, ein reines CLI-HowTo zu verwenden, welches auf das umständliche Getue mit einem GUI verzichtet.
    4. Für Deinen Zweck, den PI als OpenVPN-Server für den Zugang von außen zu nutzen, halte ich den Pixel-Installer für die falsche Wahl. Ich empfehle Dir da lieber eine "nackte" Jessie ohne DE und nur mit den zwingend notwendigen Programmen einzurichten. Serversicherheit fängt nicht mit irgendwelchen Tools zum "Härten" an, sondern als allererstes damit, auf unnötiges zu verzichten bzw. unnötiges zu entfernen. Meiner Meinung nach wäre der Lite-Installer die deutlich bessere Wahl

    Und als weiteren Ratschlag kann ich Dir noch mitgeben, Dein Vorhaben unbedingt in Teilschritten zu realisieren, die jeder für sich erfolgreich abgeschlossen sein müssen, bevor Du Dich dem nächsten zuwendest
    1. Die unveränderbaren Rahmenbedingungen feststellen (ISP mit IPv4, ISP mit DS-Lite oder DualStack?)
    2. Netzwerk-Zugang feststellen bzw. entscheiden, via eth ode wlan?
    3. Eine Jessie auf dem PI einrichten, die nicht mehr als das zwingend notwendige beinhaltet (Lite-Installer, den Rest selber hinzu installieren)
    4. Keinen Netzwerkmanager zu verwenden bzw. einen vorhandenen sofort zu entfernen
    5. Einen stabilen Netzwerkzugang unbedingt über systemd-networkd einrichten ....also nicht mehr über (wie in so vielen veralteten Web-Sites beschriebenen) /etc/interfaces .... egal ob das jetzt via Kabel oder WLAN laufen soll.... beides klappt gleichermaßen gut.
    6. Router konfigurieren. (Für OpenVPN=Portweiterleitung, Route. Falls WLAN, dann zuvor auch noch MAC und IP zulassen/begrenzen)
    7. OpenVPN installieren und einrichten

    Ich bin sicher, zu jedem Teilschritt bekommst Du hier HIlfe.... aber bevor das eine nicht klar ist bzw. erfolgt ist, ist es sinnlos, sich mit dem nächsten Schritt zu befassen. Am Anfang mag das Gewöhnungsbedürftig sein, wenn man sich Windowsgewohnt vermeintlich mit CLI-Commands wieder ins Mittelalter bewegt. Nun ja, nach einer Zeit ändert sich dieses Empfinden..... mir kommt Windows nämlich heute als sowas von kompliziert vor, mit diesem ganzen unübersichtlichen GUI-Mist, dass ich um nix auf der Welt auf die Effektivität und den geringen Customizing-Aufwand des CLI bei Linux verzichten möchte. Der Nachteil ist der anfangs höhere Lernaufwand. Der zweifellose Vorteil ist die steile Lernkurve, man versteht die Zusammenhänge und ist nicht mehr so hilflos.... na ja...

    j.m.2.c.

    Einmal editiert, zuletzt von WinterUnit16246 (16. Oktober 2016 um 11:09)

  • Hallo,

    will mich auch mal einklinken da ich zur Zeit auch (als Linux/Raspbian Anfänger) versuche mir OpenVPN über meinen Pi2 zu realisieren:

    Hatte bis jetzt OpenVPN über meine Synology NAS laufen. Da dort eine grafische Oberfläche besteht, war es kein Problem alles passend einzustellen. Beim pi2 (mit Jessie und der grafischen Oberfläche) hab ich zur Zeit auch das Problem, dass ich den zu kopierenden Ordner nicht finde. Wenn ich die Aussage von ThomasL richtig verstehe reicht es, easy-rsa über die passenden Befehle nachzuinstallieren. Verstehe ich das so richtig?

    Von der Installation des OpenVPN Servers sollte es doch egal sein ob ich Jessie mit oder ohne grafischer Oberfläche betreibe, oder? Komme eigentlich auch aus der Windows Welt und muss mir eingestehen das ich die grafische Oberfläche nur aus Bequemlichkeit mit installiert habe. Die IP Einstellungen, etc. sollte ich sicherlich auch über die Konsole hinbekommen, war aber über die grafische Oberfläche leichter. Vielleicht pack ich mir wirklich ein neues, sauberes Lite Image drauf. Der Raspberry soll sowieso demnächst in der Nähe des Routers stehen. Meine Frau wird mich erschlagen wenn ich dann einen Monitor in den Flur stelle :D

    RaspberryPi 2: Raspbian Jessie Lite - OpenVPN, OpenHab
    RaspberryPi 3: LibreElec - Kodi, Hyperion
    Synology DS214play - NAS und Datengrab

    Einmal editiert, zuletzt von Web86 (3. Januar 2017 um 10:07)

  • Wenn ich die Aussage von ThomasL richtig verstehe reicht es, easy-rsa über die passenden Befehle nachzuinstallieren. Verstehe ich das so richtig?


    Ja, richtig. Damit werden nur die Keyfiles und Zertifikate generiert, welche später von OpenVPN verwendet werden.

    Von der Installation des OpenVPN Servers sollte es doch egal sein ob ich Jessie mit oder ohne grafischer Oberfläche betreibe, oder?


    Eigentlich schon, wobei ich für einen Rechner, der vom Internet aus erreichbar sein soll, eher auf eine grafische Oberfläsche verzichten würde. Der sicherere Weg ist es, nur diese Dienste laufen zu lassen, die für Dein Vorhaben zwingend notwendig sind.... im Regelfall gehört bei Serverdiensten ein grafischer Desktop nicht dazu.

    Komme eigentlich auch aus der Windows Welt und muss mir eingestehen das ich die grafische Oberfläche nur aus Bequemlichkeit mit installiert habe.


    Je tiefer Du in Linux einsteigst, umso mehr wirst Du feststellen, welch ein Bremsklotz die grafischen Dialoge im Grunde genommen sind. Gerade das Command-Line-Interface ist gnadenlos effizient. Mit den im Lauf der Zeit erworbenen Kenntnissen reduziert sich der Wartungs-Aufwand auf einen Bruchteil dessen, was ich früher mit grafischer Oberfläche gewohnt war.

    Die IP Einstellungen, etc. sollte ich sicherlich auch über die Konsole hinbekommen, war aber über die grafische Oberfläche leichter.


    Nein, ist es nicht, genau das Gegenteil trifft zu. Diesen elenden Networkmanager machen alles nur furchtbar kompliziert und undurchschaubar. Ich habe die alle rigoros entfernt und gelöscht. Für mich sind das reine Problemquellen. Für eine feste IP braucht es stattdessen nur ein paar Zeilen in einer Mini-Datei und dem Start des Netzwerks über systemd-networkd. Wobei ich feste IPs sowieso nicht über den Client definieren würde, sondern besser über den Router, gebunden an die Mac. Damit wird die Netzeinstellung am Client noch mal deutlich einfacher und man kann den ganzen alten traditionellen Kram einfach löschen.

    Vielleicht pack ich mir wirklich ein neues, sauberes Lite Image drauf. Der Raspberry soll sowieso demnächst in der Nähe des Routers stehen. Meine Frau wird mich erschlagen wenn ich dann einen Monitor in den Flur stelle


    Ja, würde ich für einen OpenVPN-Server auch machen, und zwar Jessie Light. Einen Monitor dafür braucht es nicht, man kann ihn komplett über SSH warten. Ich würde allenfalls ne fette Platte druntersetzen und damit allen anderen PC's im Haus einen zentralen Speicherplatz für Daten ermöglichen - die man dann wieder einfach zentral sichern kann.

    Und was OpenVPN angeht, das würde ich mir heute nicht mehr via "apt" installieren, weil das einfach viel zu viel Müll zusätzlich installiert. Ich würds einfach selber eben kompilieren und tatsächlich NUR das Binary nutzen, also wirklich nur das nackte Programm. Dazu die RSA-Tools, die man aber auch auf jedem anderen PC installieren kann, um dann dort die Keys zu generieren. Es ist überhaupt nicht notwendig, die auch auf dem PI zu installieren - ganz im Gegenteil, das primäre Keyfile sollte sowieso nie dort liegen, wo Keyfiles am Server für Clients verwendet werden.

    Der PI ist ein tolles Gerät, er ist weitaus mehr als nur ein Bastel-Spielzeug. Bei mir ersetzt der PI seit 2 Jahren vollständig einen früheren Windows-Server. Ich habe mit allerdings schon früh einen zweiten PI zugelegt, mit gleichem OS, als Test- und Entwicklungsumgebung. Das heisst, auf dem Test-PI wird alles "vorgerichtet", und wenn etwas ausgetestet und fehlerfrei ist, erst dann wird es auf den Server transportiert. Somit ist die Gefahr gering, meinen Server zu vermüllen. Sein Job ist File-Server, Print-Server, Postfach-Server, OpenVPN-Server für Netzzugriff und für sicheres Surfen im Internet - ausser mit Updates und Sec-Patches soll er nicht verändert werden. Eine grafische Oberfläche hat er aus Gründen der notwendigen Sicherheit nicht.

    Einmal editiert, zuletzt von WinterUnit16246 (3. Januar 2017 um 11:12)

Jetzt mitmachen!

Du hast noch kein Benutzerkonto auf unserer Seite? Registriere dich kostenlos und nimm an unserer Community teil!