VPN Server erstellen -> welcher Guide geht ?

  • Hallo zusammen,
    ich habe hier ein Pi 2B mit raspian drauf und versuche verzweifelt einen VPN-Server darauf zum laufen zu bekommen.
    Ob Softether oder OpenVPN ist mir schnuppe, aber egal welches Tutorial ich nehme es klappt nicht.
    Z.B. sind die Dateien aus den Tutorials nicht vorhanden oder Befehle werden nicht erkannt.

    Ich bin leider in Linux/raspberry nicht sehr fit und stoße halt schon bei kleinsten Konflikten schon
    an meine Grenze.

    Bisher habe ich x Tutorials im Netz schon durch aber es läuft nix :helpnew:

    Bitte um Hilfe.

    mfg
    Stanger

    P.S.: Ich verwalte das Pi über Remmina (RDP)

  • Ich habe mal vor längerer Zeit eine Anleitung erstellt. Dort findest Du auch Links auf weitere Howtos. Die Beschreibung ist aber die einfach Form des VPNs - d.h. es kann nur ein VPN Client zu einer Zeit connecten. Das reicht aber im Normalfall.

    Ansonsten bleibt Dir nur der Weg ein Tutorial durchzugehen und dann Deine Probleme in einem Thread genau zu beschreiben so dass man Dir helfen kann. Mit der Information Es läuft nix kann Dir keiner helfen

  • Hallo,
    vielen Dank für die Antworten.

    Zitat

    Mit der Information Es läuft nix kann Dir keiner helfen

    Das ist vollkommen richtig -> entschuldigung :wallbash: .

    Ich habe jetzt mal das Tutorial von Danmann genommen. https://www.datenreise.de/raspberry-pi-v…hten-anleitung/

    Schon bei Schritt 2 bei dem Befehl

    Code
    $ sudo cp -r /usr/share/easy-rsa /etc/openvpn/easy-rsa


    packt diese die Dateien nochmals in einen Unterordner "easy-rsa" was nicht weiter schlimm währe wenn
    ich mich mit Linux auskennen würde.

    Nach einer Weile ists mir dann gedämmert und ich hab die ganzen Dateien Stück für Stück einzeln, eine Ebene höher kopiert damit das Verzeichnis wieder stimmt.

    Nächster Hänger ist derzeit Schritt 6:

    Code
    $ sudo vi /etc/openvpn/openvpn.conf

    Da habe ich nur eine "Server.conf", kann ich die hernehmen bzw. editieren ?

    Edit: Sehe grad die Server.conf ist für mich ein böhmisches Dorf kann ich einfach den Inhalt aus dem Tutorial reinkopieren und ggf. (was mir einleuchtet) einfach
    Zeilen mit "#" auskommentieren ? In der Hoffnung es läuft dann :helpnew:


    mfg
    Stanger

    Einmal editiert, zuletzt von Stanger (26. Juni 2016 um 21:49)

  • Kapiere dein Problem bei Nr 2 nicht.

    Den Inhalt kannst du in der openvpn.conf komplett löschen und neu einfügen von step 6. Machts n bissel übersichtlicher. Musste halt noch anpassen, was du möchtest, wie zb einen evtl anderen port.

    Wenn du dir noch den 2 link (howto) dazu holst, dann kannst du gut nachlesen, was das eigentlich alles ist, was du da ein fügst. Und was du evtl dazu nehmen möchtest bzw nicht.

    Wenn du dich an die Anleitung hältst, dann wird das schon. Du kannst auch im nachhinein noch ein paar Sachen hinzufügen, falls du es erst einmal zum laufen bekommen möchtest.

  • Zitat

    Kapiere dein Problem bei Nr 2 nicht.

    Hi Danmann,
    ich auch nicht so recht, bis ich dann mal von selbst drauf gekommen bin warum es hakt.

    Zitat

    Den Inhalt kannst du in der openvpn.conf komplett löschen

    Habe wie gesagt nur eine Server.conf im Verzeichnis liegen aber sollte schon richtig sein oder ?

    Zur Not kann ich das PI auch nochmal komplett platt machen soviel hab ich da noch nicht
    konfiguriert.

    Danke derweil.

    mfg
    Stanger

  • Kapier ich immer noch nicht.
    Du auch nicht aber du weißt woran es lag?
    Egal... [WINKING FACE]

    Vllt hauste wenigstens vpn nochmal runter. Ich nehme an, die Einstellungen von den anderen Anleitungen sind da ebenfalls noch drin oder?


  • Habe wie gesagt nur eine Server.conf im Verzeichnis liegen aber sollte schon richtig sein oder ?


    Lass Dich nicht sooo von den Verzeichnissen verrückt machen... der ganze Kram kann im Grunde genommen liegen, wo es will.... du musst halt nur wissen bzw. bestimmen, wo es liegt, bzw. wo du es gespeichert hast oder speichern möchtest. Im Wesentlichen sind nur 3 Verzeichnisse relevant....

    1. Das Programmverzeichnis, welches meistens im Suchpfad liegt, aber ggf. auch in Scripten oder einem Desktopstarter direkt angegeben werden muss. Weil ich OpenVPN selber in aktueller Version kompiliere, liegt das bei mir in:

    Code
    /usr/local/sbin/openvpn


    Wo es bei Dir liegt, findest Du mit

    Code
    which openvpn


    heraus.

    2. Das zweite wichtige Verzeichnis ist das, wo OpenVPN die angegebene Conf findet. Ich würde dieses Verzeichnis sowieso direkt im Aufruf angeben, dann ist man losgelöst von den default-Vorgaben und behält selber die Kontrolle. Entweder direkt im Terminal

    Code
    /usr/local/sbin/openvpn --config /etc/openvpn/myvpnclient.conf


    oder z.B. als Server via systemd

    Code
    ExecStart=/usr/local/sbin/openvpn --daemon --writepid /var/run/openvpn/myvpnserver.pid --status /var/run/openvpn/myvpnserver.status 60 --cd /etc/openvpn/ --config /etc/openvpn/myvpnserver.conf


    Auf meinem Reiselaptop liegen alle Zugangsdaten vollständig auf einem USB-Stick, der via Udev-Regel immer an die passende Stelle nach ~/.keys gemountet wird.

    3. Und das letzte wichtige Verzeichnis beschreibt, wo die Keyfiles oder Zertifikate liegen. Auch die können liegen, wo sie wollen, es muss in der Conf nur der richtige Pfad gesetzt sein. Das könnte für den Server theoretisch so aussehen:

    Code
    #Server
    ca    /etc/openvpn/keys/ca.crt
    cert  /etc/openvpn/keys/Server.crt
    key   /etc/openvpn/keys/Server.key
    dh    /etc/openvpn/keys/dh1024.pem

    Auf meinem Reiselaptop sieht das für den USB-Stick dann wiederum so aus, wobei jeder Client seine eigenen Keyfiles hat:

    Code
    #Client 
    ca    /home/thomas/.keys/conf/ca.crt 
    cert  /home/thomas/.keys/conf/NotebookDell.crt 
    key   /home/thomas/.keys/conf/NotebookDell.key

    Das A und O ist also, dass Du selber weisst, wo Du was gespeichert hast und dass Du sicherstellst, an den benötigten Stellen die richtigen Verweise gesetzt zu haben. Die Speicherorte der Dateien haben an dieser Stelle auch nur relativ wenig mit Linx zu tun, die gleichen Regeln gelten 1:1 auch für Windows.... weils allein auf dem File-System auf der Festplatte beruht.... man muss wissen, wo man was hinpackt oder abgelegt hat.
    Und wenn Du es später mal richtig gut und übersichtlich haben willst, deaktivierst Du irgendwann den ganz überflüssigen sysvinit-Kram und handelst das OpenVpn für Server und Client allein über systemd. Ausser dem Binary, den Keys und Zertifikaten, den Conf-Files und je eine systemd-unit ist nix anderes notwendig. Alles anderes ist unnötiger Ballast.

    Einmal editiert, zuletzt von WinterUnit16246 (28. Juni 2016 um 14:31)

  • Hallo,
    sorry das ich mich erst jetzt melde, hatte zu tun.

    Ich hab das Tutorial von Danmann nun durch und hänge jezt bei Schritt 8.

    Meine Clients sind beides Android Geräte und sollen mit OpenVPN für Android Client auf den Server zugreifen.
    Ich habe ein DDNS Account bei https://www.noip.com erstellt und das müsste dann wohl in den OpenVPN Server eingerichtet werden ?
    Zudem hätte ich noch die Frage ob ich den Server noch irgendwo in eine Autostart-Datei eintragen muß, ?
    Und mit welchem Befehl sehe ich ob der Server läuft ?

    Vielen Dank euch für die Hilfe schonmal vorab.

    mfg
    Stanger

    Einmal editiert, zuletzt von Stanger (3. Juli 2016 um 18:15)


  • Und mit welchem Befehl sehe ich ob der Server läuft ?

    Z. B. so:

    Code
    systemctl status openvpn.service


    bzw.

    Code
    sudo netstat -tulpen | grep -i openvpn

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Meine PIs

    PI4B/8GB (border device) OpenBSD 7.4 (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server

    PI3B+ FreeBSD 14.0-R-p6 (arm64): SSH-Serv., WireGuard-Serv., ircd-hybrid-Serv., stunnel-Proxy, Mumble-Serv., ddclient

    PI4B/4GB Bullseye-lite (64bit; modifiziert): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server, botamusique, ample

  • Besten Dank, scheint zu laufen.

    Sieht so aus:

    Code
    ● openvpn.service - OpenVPN service
      Loaded: loaded (/lib/systemd/system/openvpn.service; enabled)
      Active: active (exited) since So 2016-07-03 17:30:04 CEST; 28min ago
     Process: 507 ExecStart=/bin/true (code=exited, status=0/SUCCESS)
    Main PID: 507 (code=exited, status=0/SUCCESS)
      CGroup: /system.slice/openvpn.service

    DDNS habe ich jetzt von noip.com genommen und scheint auch zu laufen,
    habe ich mittels diesem Tutorial eingerichtet.

    Der VPN-Server lässt sich leider derzeit im LAN nicht anpingen

    Code
    ping 10.8.0.0
    PING 10.8.0.0 (10.8.0.0) 56(84) bytes of data.
    ^C
    --- 10.8.0.0 ping statistics ---
    19 packets transmitted, 0 received, 100% packet loss, time 17999ms

    An die Android-Clients wage ich mich derzeit noch nicht heran...

    Bitte um Hilfe.
    mfg
    Stanger

    Einmal editiert, zuletzt von Stanger (3. Juli 2016 um 18:28)


  • Der VPN-Server lässt sich leider derzeit im LAN nicht anpingen

    Code
    ping 10.8.0.0
    PING 10.8.0.0 (10.8.0.0) 56(84) bytes of data.
    ^C
    --- 10.8.0.0 ping statistics ---
    19 packets transmitted, 0 received, 100% packet loss, time 17999ms

    Wie sind auf dem VPN-Server und auf dem VPN-Client (von dem Du den Ping machen willst), die Ausgaben von:

    Code
    ifconfig -a
    route -n
    sudo iptables -nvx -L -t nat


    ?

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Meine PIs

    PI4B/8GB (border device) OpenBSD 7.4 (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server

    PI3B+ FreeBSD 14.0-R-p6 (arm64): SSH-Serv., WireGuard-Serv., ircd-hybrid-Serv., stunnel-Proxy, Mumble-Serv., ddclient

    PI4B/4GB Bullseye-lite (64bit; modifiziert): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server, botamusique, ample

  • Hallo,
    hier die gewünschten Ausgaben

    Server raspberry Pi 2 B@raspbian

    Server ifconfig -a

    Server route -n

    Code
    Kernel-IP-Routentabelle
    Ziel            Router          Genmask         Flags Metric Ref    Use Iface
    0.0.0.0         *RouterIP*  0.0.0.0         UG    202    0        0 eth0
    10.8.0.0        10.8.0.2        255.255.255.0   UG    0      0        0 tun0
    10.8.0.2        0.0.0.0         255.255.255.255 UH    0      0        0 tun0
    192.168.*entfernt*    0.0.0.0         255.255.255.0   U     202    0        0 eth0

    Server sudo iptables -nvx -L -t nat


    ----------------------------------------------------------------------------------------------------------------

    Client (Linux Mint 17.3 Cinnamon)

    Client ifconfig -a

    Client route -n

    Code
    Kernel-IP-Routentabelle
    Ziel            Router          Genmask         Flags Metric Ref    Use Iface
    0.0.0.0         *Router IP*          0.0.0.0         UG    0      0        0 eth0
    172.16.201.0    0.0.0.0         255.255.255.0   U     0      0        0 vmnet8
    172.16.212.0    0.0.0.0         255.255.255.0   U     0      0        0 vmnet1
    192.168.*entfernt*    0.0.0.0         255.255.255.0   U     1      0        0 eth0

    Client sudo iptables -nvx -L -t nat

    So, daß war's besten Dank schonmal vorab.

    mfg
    Stanger

  • Bist Du sicher, dass das :


    Client (Linux Mint 17.3 Cinnamon
    Client route -n

    Code
    Kernel-IP-Routentabelle
    Ziel            Router          Genmask         Flags Metric Ref    Use Iface
    0.0.0.0         *Router IP*          0.0.0.0         UG    0      0        0 eth0
    172.16.201.0    0.0.0.0         255.255.255.0   U     0      0        0 vmnet8
    172.16.212.0    0.0.0.0         255.255.255.0   U     0      0        0 vmnet1
    192.168.*entfernt*    0.0.0.0         255.255.255.0   U     1      0        0 eth0

    , der VPN-Client ist?

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Meine PIs

    PI4B/8GB (border device) OpenBSD 7.4 (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server

    PI3B+ FreeBSD 14.0-R-p6 (arm64): SSH-Serv., WireGuard-Serv., ircd-hybrid-Serv., stunnel-Proxy, Mumble-Serv., ddclient

    PI4B/4GB Bullseye-lite (64bit; modifiziert): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server, botamusique, ample

  • Ja, habs grade nochmal überprüft.
    Kann es sein dass auf dem Pi Image von der Pi Homepage standartmässig eine Firewall installiert ist ?
    Nicht daß wir uns dumm und dusselig suchen und es an so einer Lapalie hängt.

    Noch kurzer Nachtrag. Sowohl der Client als auch das Pi sind über DHCP am Router.
    Jedoch sind für beide Geräte mittels IP-Reservierung am Router einer festen IP zugeteilt.


    mfg
    Stanger

    Einmal editiert, zuletzt von Stanger (4. Juli 2016 um 14:45)


  • Nicht daß wir uns dumm und dusselig suchen ...

    Wie ist auf deinem PI, die Ausgabe von:

    Code
    ps aux | grep -i [o]penvpn


    ?

    EDIT:

    Richtigstellung: Nicht auf deinem PI, sondern auf dem Client (Linux Mint 17.3 Cinnamon).

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Meine PIs

    PI4B/8GB (border device) OpenBSD 7.4 (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server

    PI3B+ FreeBSD 14.0-R-p6 (arm64): SSH-Serv., WireGuard-Serv., ircd-hybrid-Serv., stunnel-Proxy, Mumble-Serv., ddclient

    PI4B/4GB Bullseye-lite (64bit; modifiziert): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server, botamusique, ample

    Einmal editiert, zuletzt von rpi444 (4. Juli 2016 um 14:53)

  • Huhu,
    kommt garnix wenn ich den Befehl eingebe (Client).

    Nachtrag auf dem Client läuft die gfuw Firewall, welche ich auch schon testweise deaktiviert hatte bzw. den 1194er Port zw. Client und Pi durchgeleitet habe.

    mfg
    Stanger

    Einmal editiert, zuletzt von Stanger (4. Juli 2016 um 16:56)


  • kommt garnix wenn ich den Befehl eingebe (Client).

    D. h., Du musst auf deinem Client (Linux Mint 17.3 Cinnamon), noch den OpenVPN-Client installieren bzw. konfigurieren.

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Meine PIs

    PI4B/8GB (border device) OpenBSD 7.4 (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server

    PI3B+ FreeBSD 14.0-R-p6 (arm64): SSH-Serv., WireGuard-Serv., ircd-hybrid-Serv., stunnel-Proxy, Mumble-Serv., ddclient

    PI4B/4GB Bullseye-lite (64bit; modifiziert): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server, botamusique, ample

  • D. h., Du musst auf deinem Client (Linux Mint 17.3 Cinnamon), noch den OpenVPN-Client installieren bzw. konfigurieren.
    [/quote]

    Ok, Danke für die Info bin gerade dabei rauszufinden wie ich die Zertifikate vom Pi auf den Client rüberbekomme.
    USB-Stick will er atm nicht, suche weiter...vermutlich wirds i-wie mit rsync gehen....

    Linux ist ganz schön heftig wenn man verwöhnt von MS-Produkten kommt... =(

    mfg
    Stanger

Jetzt mitmachen!

Du hast noch kein Benutzerkonto auf unserer Seite? Registriere dich kostenlos und nimm an unserer Community teil!