OpenVPN-Tunnel unter Debian-Linux einrichten (Anleitung)
Aus Portunity Wiki
(→Den Tunnel bootfest machen) |
|||
| (Der Versionsvergleich bezieht 22 dazwischenliegende Versionen mit ein.) | |||
| Zeile 1: | Zeile 1: | ||
| - | Diese Anleitung zeigt Ihnen in wenigen Schritten, wie Sie unter Linux (hier: Debian) einen OpenVPN-Tunnel mit einer statischen IP-Adresse | + | Diese Anleitung zeigt Ihnen in wenigen Schritten, wie Sie unter Linux (hier: Debian) einen OpenVPN-Tunnel mit einer statischen IP-Adresse einrichten. |
| - | Diese Anleitung sollte auch mit anderen Debian- | + | Diese Anleitung sollte auch mit anderen Debian-Derivaten (wie z.B. Ubuntu oder Mint) funktionieren. Auf vielen anderen Linux-Distributionen (wie z.b. OpenSUSE oder Fedora) ist die Vorgehensweise ähnlich. |
= Wichtiger Hinweis zu Firewalls = | = Wichtiger Hinweis zu Firewalls = | ||
| Zeile 9: | Zeile 9: | ||
<br> | <br> | ||
| - | = | + | == Statische Routen und Firewall-Freigaben == |
| + | Falls Sie statische Routen setzen oder die Verbindung zum Tunnelserver in Ihrer Firewall freischalten müssen, beachten Sie bitte [[Firewall-Freigaben und statische Routen für Tunnel-Aufbau|die hier aufgeführten Informationen zu IP-Netzen und Protokollen]]. | ||
| + | |||
| + | = Paket installieren = | ||
Installieren Sie zuerst das OpenVPN-Paket der Distribution: | Installieren Sie zuerst das OpenVPN-Paket der Distribution: | ||
| - | <source lang="command">apt | + | <source lang="command">apt install openvpn</source> |
| + | |||
| + | Zur Fehlersuche empfiehlt sich zudem die Installation des Pakets "mtr" (My Traceroute), optional: | ||
| + | |||
| + | <source lang="command">apt install mtr-tiny</source> | ||
| - | = | + | = Grundkonfiguration = |
Nun gibt es das Verzeichnis "<code>/etc/openvpn</code>" – wechseln Sie bitte dort hinein. | Nun gibt es das Verzeichnis "<code>/etc/openvpn</code>" – wechseln Sie bitte dort hinein. | ||
| Zeile 22: | Zeile 29: | ||
<pre> | <pre> | ||
| - | cd /etc/openvpn | + | cd /etc/openvpn/client |
| - | wget "https://service.portunity.net/downloads/vpn-tunnel/openvpn.tpX.tunneleinwahl.de-udp.ovpn" | + | wget "https://service.portunity.net/downloads/vpn-tunnel/openvpn.tpX.tunneleinwahl.de-udp.ovpn" -O portunity.conf |
</pre> | </pre> | ||
| Zeile 31: | Zeile 38: | ||
</pre> | </pre> | ||
| - | und | + | und ersetzen Sie diese durch: |
| + | |||
| + | <pre> | ||
| + | auth-user-pass /etc/openvpn/client/portunity.login | ||
| + | </pre> | ||
| + | |||
Ein paar Zeilen darüber finden Sie die Zeile "<code>auth-user-pass</code>" - diese muss mit einer vorangestellten Raute auskommentiert und damit deaktiviert werden.<br> | Ein paar Zeilen darüber finden Sie die Zeile "<code>auth-user-pass</code>" - diese muss mit einer vorangestellten Raute auskommentiert und damit deaktiviert werden.<br> | ||
Die Datei sollte dann (auszugsweise) so aussehen: | Die Datei sollte dann (auszugsweise) so aussehen: | ||
| Zeile 39: | Zeile 51: | ||
## Zugangsdaten aus einer Datei lesen | ## Zugangsdaten aus einer Datei lesen | ||
| - | auth-user-pass portunity.login | + | auth-user-pass /etc/openvpn/client/portunity.login |
</pre> | </pre> | ||
| - | Legen Sie nun mit einem Texteditor die Datei <code>portunity.login</code> an. Tragen Sie darin in die erste Zeile den Benutzernamen Ihres Tunnels ("<code>tunnelXXXXXX</code>") ein, in die zweite Zeile das Kennwort des Tunnelzugangs. | + | Legen Sie nun mit einem Texteditor die Datei <code>/etc/openvpn/client/portunity.login</code> an. Tragen Sie darin in die erste Zeile den Benutzernamen Ihres Tunnels ("<code>tunnelXXXXXX</code>") ein, in die zweite Zeile das Kennwort des Tunnelzugangs. |
Die Datei sollte dann beispielhaft so aussehen: | Die Datei sollte dann beispielhaft so aussehen: | ||
| Zeile 53: | Zeile 65: | ||
==Weitere Anpassungen (optional)== | ==Weitere Anpassungen (optional)== | ||
| - | *< | + | *<code>redirect-gateway</code>: Dies ist standardmäßig aktiviert und sorgt dafür, dass der Tunnel als Standardgateway gesetzt wird. Wenn dies nicht gewünscht wird, muss diese Zeile auskommentiert werden und stattdessen mit [[PBR (Policy Based Routing)]] gearbeitet werden. |
*<code>user nobody</code> bzw. <code>group nobody</code>: Hiermit wird erreicht, dass der Tunnel-Prozess als unpriviligierter Nutzer läuft. Auf den meisten Distributionen sind User und Gruppe "nobody" vorhanden – falls nicht, muss das hier angepasst werden. | *<code>user nobody</code> bzw. <code>group nobody</code>: Hiermit wird erreicht, dass der Tunnel-Prozess als unpriviligierter Nutzer läuft. Auf den meisten Distributionen sind User und Gruppe "nobody" vorhanden – falls nicht, muss das hier angepasst werden. | ||
*<code>verb</code>: Im Falle von Problemen kann hiermit die "verbosity", also das Level der Ausführlichkeit von Log-Meldungen erhöht werden. Je höher die Ziffer, desto mehr Informationen gibt es (maximaler Wert: 7) | *<code>verb</code>: Im Falle von Problemen kann hiermit die "verbosity", also das Level der Ausführlichkeit von Log-Meldungen erhöht werden. Je höher die Ziffer, desto mehr Informationen gibt es (maximaler Wert: 7) | ||
| - | = | + | = Den Tunnel bootfest machen = |
| - | + | Damit sich der Tunnel bei jedem Systemstart automatisch aufbaut, können Sie diesen über systemd automatisch starten lassen. Führen Sie hierzu den folgenden Befehl als root aus: | |
| - | < | + | <source lang="command">systemctl enable --now openvpn-client@portunity.service</source> |
| + | (Falls Ihre Config-Datei nicht <code>portunity.conf</code> heißt, müssen Sie hier den Namen entsprechend anpassen) | ||
| - | + | = Den Tunnel testen = | |
| - | + | <source lang="command">ip address show</source> | |
| + | Hier sollte ein Interface mit Namen <code>tun0</code> (oder eine andere Ziffer) auftauchen, welches die Ihnen zugewiesene statische IP-Adresse trägt. | ||
| - | < | + | <hr> |
| - | < | + | Prüfen Sie, ob der Tunnel die Standardroute zum Internet ist: |
| - | + | <source lang="command">ip -4 route show default</source> | |
| - | + | <source lang="command">ip -6 route show default</source> | |
| - | + | In beiden Fällen sollte die Standardroute auf das tun-Interface aus dem vorherigen Schritt zeigen. | |
| - | + | ||
| - | + | ||
| - | + | ||
| - | < | + | <hr> |
| - | <source lang="command"> | + | Testen, ob die Route funktioniert: |
| + | <source lang="command">mtr 188.246.0.34</source> | ||
| + | <source lang="command">mtr 2a02:a00:d::c2</source> | ||
| - | + | Wenn an erster Stelle unser Tunnel-Einwahlserver angezeigt wird und an letzter Stelle das Ziel erreicht wird, ist die Verbindung erfolgreich aufgebaut. | |
| - | + | Starten Sie das System neu, um OpenVPN wieder als Hintergrunddienst laufen zu lassen; wiederholen Sie die Prüfung. Falls das Ergebnis gleich bleibt, ist alles korrekt eingerichtet. | |
| - | + | = Abschließende Hinweise = | |
| - | + | ||
| - | + | ||
| - | + | ||
| - | + | ||
| - | + | ||
| - | + | ||
| - | + | ||
| - | + | ||
| - | + | ||
| - | + | ||
| - | + | ||
| - | + | ||
| - | + | ||
| - | + | ||
| - | + | ||
| - | + | ||
| - | + | ||
| - | + | ||
| - | + | ||
| - | + | ||
| - | + | ||
| - | + | ||
| - | + | ||
| - | + | ||
| - | + | ||
| - | + | ||
| - | + | ||
| - | + | ||
| - | + | ||
| - | + | ||
| - | + | ||
| - | + | ||
| - | + | ||
| - | + | ||
| - | + | ||
| - | + | ||
| - | + | ||
| - | + | ||
| - | = Abschließende Hinweise | + | |
| - | + | ||
| - | + | ||
| + | Wegen der Komplexität sind wir in diesem Artikel nicht auf die folgenden Themen eingegangen: | ||
*IP-Netz routen | *IP-Netz routen | ||
*Dienste an die neue statische IP binden | *Dienste an die neue statische IP binden | ||
*[[PBR (Policy Based Routing)]] | *[[PBR (Policy Based Routing)]] | ||
| - | |||
| - | |||
| - | |||
[[Category:Access]] [[Category:Access_Anleitungen]] [[Category:OpenVPN_(Übersicht)]] [[Category:VPN-Tunnel_(Tarif)]] | [[Category:Access]] [[Category:Access_Anleitungen]] [[Category:OpenVPN_(Übersicht)]] [[Category:VPN-Tunnel_(Tarif)]] | ||
Aktuelle Version vom 12:40, 10. Mai 2024
Diese Anleitung zeigt Ihnen in wenigen Schritten, wie Sie unter Linux (hier: Debian) einen OpenVPN-Tunnel mit einer statischen IP-Adresse einrichten.
Diese Anleitung sollte auch mit anderen Debian-Derivaten (wie z.B. Ubuntu oder Mint) funktionieren. Auf vielen anderen Linux-Distributionen (wie z.b. OpenSUSE oder Fedora) ist die Vorgehensweise ähnlich.
Inhaltsverzeichnis |
Wichtiger Hinweis zu Firewalls
Sollte die OpenVPN-Verbindung nicht aufgebaut werden können oder immer wieder nach kurzer Zeit zusammenbrechen, prüfen Sie bitte ob Ihre Firewall ICMP-Pakete verwirft. Diese sollten Sie zumindest von und zu unserem Tunnelserver akzeptieren, um einen störungsfreien Betrieb zu gewährleisten. ICMP ist mehr als "nur Ping" und wird vielmehr auch genutzt, um die MTU der Gegenstelle zu erfragen oder herauszufinden ob ein Port bereits genutzt wird. Im Zusammenhang mit Tunnelprotokollen ist es daher wirklich wichtig, dass diese Informationen übermittelt werden können.
Statische Routen und Firewall-Freigaben
Falls Sie statische Routen setzen oder die Verbindung zum Tunnelserver in Ihrer Firewall freischalten müssen, beachten Sie bitte die hier aufgeführten Informationen zu IP-Netzen und Protokollen.
Paket installieren
Installieren Sie zuerst das OpenVPN-Paket der Distribution:
apt install openvpnZur Fehlersuche empfiehlt sich zudem die Installation des Pakets "mtr" (My Traceroute), optional:
apt install mtr-tinyGrundkonfiguration
Nun gibt es das Verzeichnis "/etc/openvpn" – wechseln Sie bitte dort hinein.
Laden Sie nun bitte die Konfigurationsdatei für Ihren Tunneltarif herunter - den Link dazu finden Sie im Kundencenter. Im weiteren Verlauf werden wir die Datei mit openvpn.tpX.tunneleinwahl.de-udp.ovpn bezeichnen - verwenden Sie stattdessen den Namen der Datei, der Ihnen im Kundencenter zum Download angeboten wird.
cd /etc/openvpn/client wget "https://service.portunity.net/downloads/vpn-tunnel/openvpn.tpX.tunneleinwahl.de-udp.ovpn" -O portunity.conf
Öffnen Sie diese Datei nun mit einem Texteditor und suchen Sie die Zeile
#auth-user-pass portunity.login
und ersetzen Sie diese durch:
auth-user-pass /etc/openvpn/client/portunity.login
Ein paar Zeilen darüber finden Sie die Zeile "auth-user-pass" - diese muss mit einer vorangestellten Raute auskommentiert und damit deaktiviert werden.
Die Datei sollte dann (auszugsweise) so aussehen:
## Zugangsdaten abfragen und nicht aus einer Datei lesen #auth-user-pass ## Zugangsdaten aus einer Datei lesen auth-user-pass /etc/openvpn/client/portunity.login
Legen Sie nun mit einem Texteditor die Datei /etc/openvpn/client/portunity.login an. Tragen Sie darin in die erste Zeile den Benutzernamen Ihres Tunnels ("tunnelXXXXXX") ein, in die zweite Zeile das Kennwort des Tunnelzugangs.
Die Datei sollte dann beispielhaft so aussehen:
tunnelXXXXXX hochgeheimeskennwort
Weitere Anpassungen (optional)
redirect-gateway: Dies ist standardmäßig aktiviert und sorgt dafür, dass der Tunnel als Standardgateway gesetzt wird. Wenn dies nicht gewünscht wird, muss diese Zeile auskommentiert werden und stattdessen mit PBR (Policy Based Routing) gearbeitet werden.user nobodybzw.group nobody: Hiermit wird erreicht, dass der Tunnel-Prozess als unpriviligierter Nutzer läuft. Auf den meisten Distributionen sind User und Gruppe "nobody" vorhanden – falls nicht, muss das hier angepasst werden.verb: Im Falle von Problemen kann hiermit die "verbosity", also das Level der Ausführlichkeit von Log-Meldungen erhöht werden. Je höher die Ziffer, desto mehr Informationen gibt es (maximaler Wert: 7)
Den Tunnel bootfest machen
Damit sich der Tunnel bei jedem Systemstart automatisch aufbaut, können Sie diesen über systemd automatisch starten lassen. Führen Sie hierzu den folgenden Befehl als root aus:
systemctl enable --now openvpn-client@portunity.service
(Falls Ihre Config-Datei nicht portunity.conf heißt, müssen Sie hier den Namen entsprechend anpassen)
Den Tunnel testen
ip address show
Hier sollte ein Interface mit Namen tun0 (oder eine andere Ziffer) auftauchen, welches die Ihnen zugewiesene statische IP-Adresse trägt.
Prüfen Sie, ob der Tunnel die Standardroute zum Internet ist:
ip -4 route show defaultip -6 route show defaultIn beiden Fällen sollte die Standardroute auf das tun-Interface aus dem vorherigen Schritt zeigen.
Testen, ob die Route funktioniert:
mtr 188.246.0.34
mtr 2a02:a00:d::c2
Wenn an erster Stelle unser Tunnel-Einwahlserver angezeigt wird und an letzter Stelle das Ziel erreicht wird, ist die Verbindung erfolgreich aufgebaut.
Starten Sie das System neu, um OpenVPN wieder als Hintergrunddienst laufen zu lassen; wiederholen Sie die Prüfung. Falls das Ergebnis gleich bleibt, ist alles korrekt eingerichtet.
Abschließende Hinweise
Wegen der Komplexität sind wir in diesem Artikel nicht auf die folgenden Themen eingegangen:
- IP-Netz routen
- Dienste an die neue statische IP binden
- PBR (Policy Based Routing)