OpenVPN-Tunnel unter Debian-Linux einrichten (Anleitung)

Aus Portunity Wiki

(Unterschied zwischen Versionen)
Wechseln zu: Navigation, Suche
(erweitert)
 
(Der Versionsvergleich bezieht 10 dazwischenliegende Versionen mit ein.)
Zeile 1: Zeile 1:
-
Diese Anleitung zeigt Ihnen in wenigen Schritten, wie Sie unter Linux (hier: Debian) einen OpenVPN-Tunnel mit einer statischen IP-Adresse (IPv4) einrichten.
+
Diese Anleitung zeigt Ihnen in wenigen Schritten, wie Sie unter Linux (hier: Debian) einen OpenVPN-Tunnel mit einer statischen IP-Adresse einrichten.
Diese Anleitung sollte auch mit anderen Debian-Derivaten (wie z.B. Ubuntu oder Mint) funktionieren. Auf vielen anderen Linux-Distributionen (wie z.b. OpenSUSE oder Fedora) ist die Vorgehensweise ähnlich.  
Diese Anleitung sollte auch mit anderen Debian-Derivaten (wie z.B. Ubuntu oder Mint) funktionieren. Auf vielen anderen Linux-Distributionen (wie z.b. OpenSUSE oder Fedora) ist die Vorgehensweise ähnlich.  
Zeile 12: Zeile 12:
Falls Sie statische Routen setzen oder die Verbindung zum Tunnelserver in Ihrer Firewall freischalten müssen, beachten Sie bitte [[Firewall-Freigaben und statische Routen für Tunnel-Aufbau|die hier aufgeführten Informationen zu IP-Netzen und Protokollen]].
Falls Sie statische Routen setzen oder die Verbindung zum Tunnelserver in Ihrer Firewall freischalten müssen, beachten Sie bitte [[Firewall-Freigaben und statische Routen für Tunnel-Aufbau|die hier aufgeführten Informationen zu IP-Netzen und Protokollen]].
-
= Schritt 1: Paket installieren  =
+
= Paket installieren  =
Installieren Sie zuerst das OpenVPN-Paket der Distribution:
Installieren Sie zuerst das OpenVPN-Paket der Distribution:
-
<source lang="command">apt-get install openvpn</source>  
+
<source lang="command">apt install openvpn</source>
-
= Schritt 2: Grundkonfiguration  =
+
Zur Fehlersuche empfiehlt sich zudem die Installation des Pakets "mtr" (My Traceroute):
 +
 
 +
<source lang="command">apt install mtr</source>
 +
 
 +
= Grundkonfiguration  =
Nun gibt es das Verzeichnis "<code>/etc/openvpn</code>" &ndash; wechseln Sie bitte dort hinein.
Nun gibt es das Verzeichnis "<code>/etc/openvpn</code>" &ndash; wechseln Sie bitte dort hinein.
Zeile 34: Zeile 38:
</pre>
</pre>
-
und entfernen Sie die führende Raute vor dieser Zeile, um sie zu aktivieren.
+
und ersetzen Sie diese durch:
 +
 
 +
<pre>
 +
auth-user-pass /etc/openvpn/portunity.login
 +
</pre>
 +
 
Ein paar Zeilen darüber finden Sie die Zeile "<code>auth-user-pass</code>" - diese muss mit einer vorangestellten Raute auskommentiert und damit deaktiviert werden.<br>
Ein paar Zeilen darüber finden Sie die Zeile "<code>auth-user-pass</code>" - diese muss mit einer vorangestellten Raute auskommentiert und damit deaktiviert werden.<br>
Die Datei sollte dann (auszugsweise) so aussehen:
Die Datei sollte dann (auszugsweise) so aussehen:
Zeile 42: Zeile 51:
## Zugangsdaten aus einer Datei lesen
## Zugangsdaten aus einer Datei lesen
-
auth-user-pass portunity.login
+
auth-user-pass /etc/openvpn/portunity.login
</pre>
</pre>
-
Legen Sie nun mit einem Texteditor die Datei <code>portunity.login</code> an. Tragen Sie darin in die erste Zeile den Benutzernamen Ihres Tunnels ("<code>tunnelXXXXXX</code>") ein, in die zweite Zeile das Kennwort des Tunnelzugangs.
+
Legen Sie nun mit einem Texteditor die Datei <code>/etc/openvpn/portunity.login</code> an. Tragen Sie darin in die erste Zeile den Benutzernamen Ihres Tunnels ("<code>tunnelXXXXXX</code>") ein, in die zweite Zeile das Kennwort des Tunnelzugangs.
Die Datei sollte dann beispielhaft so aussehen:
Die Datei sollte dann beispielhaft so aussehen:
Zeile 56: Zeile 65:
==Weitere Anpassungen (optional)==
==Weitere Anpassungen (optional)==
-
*<ode>redirect-gateway</code>: Dies ist standardmäßig aktiviert und sorgt dafür, dass der Tunnel als Standardgateway gesetzt wird. Wenn dies nicht gewünscht wird, muss diese Zeile auskommentiert werden und stattdessen mit [[PBR (Policy Based Routing)]] gearbeitet werden.
+
*<code>redirect-gateway</code>: Dies ist standardmäßig aktiviert und sorgt dafür, dass der Tunnel als Standardgateway gesetzt wird. Wenn dies nicht gewünscht wird, muss diese Zeile auskommentiert werden und stattdessen mit [[PBR (Policy Based Routing)]] gearbeitet werden.
*<code>user nobody</code> bzw. <code>group nobody</code>: Hiermit wird erreicht, dass der Tunnel-Prozess als unpriviligierter Nutzer läuft. Auf den meisten Distributionen sind User und Gruppe "nobody" vorhanden &ndash; falls nicht, muss das hier angepasst werden.
*<code>user nobody</code> bzw. <code>group nobody</code>: Hiermit wird erreicht, dass der Tunnel-Prozess als unpriviligierter Nutzer läuft. Auf den meisten Distributionen sind User und Gruppe "nobody" vorhanden &ndash; falls nicht, muss das hier angepasst werden.
*<code>verb</code>: Im Falle von Problemen kann hiermit die "verbosity", also das Level der Ausführlichkeit von Log-Meldungen erhöht werden. Je höher die Ziffer, desto mehr Informationen gibt es (maximaler Wert: 7)
*<code>verb</code>: Im Falle von Problemen kann hiermit die "verbosity", also das Level der Ausführlichkeit von Log-Meldungen erhöht werden. Je höher die Ziffer, desto mehr Informationen gibt es (maximaler Wert: 7)
-
= Schritt 3: Starten des Tunnels per SysinitV  =
+
= Den Tunnel bootfest machen =
-
'''Wichtig! Dieser Schritt wird nur auf älteren Systemen benötigt die noch mit SysinitV arbeiten. Für moderne Systeme die mit SystemD arbeiten springen Sie bitte zu Schritt: 5 Starten des Tunnels per systemd'''
+
Damit sich der Tunnel bei jedem Systemstart automatisch aufbaut, können Sie einen Eintrag in der Crontab-Datei anlegen. Führen Sie hierzu den folgenden Befehl als root aus:
-
<br> Tunnel aktivieren:
+
<source lang="command">crontab -e</source>
-
<source lang="command">/etc/init.d/openvpn start portunity</source>  
+
Fügen Sie die folgende Zeile am Ende der Datei ein:
 +
 +
<code>@reboot sleep 20 && /usr/sbin/openvpn /etc/openvpn/openvpn.tpX.tunneleinwahl.de-udp.conf</code>
-
Prüfen, ob der OpenVPN-Tunnel gestartet wurde
+
Speichern Sie anschließend die Datei und schließen Sie den Editor.
-
<source lang="command">ip addr show</source>
+
= Den Tunnel testen =
-
<pre>
+
Stellen Sie zunächst sicher, dass aktuell kein OpenVPN-Prozess läuft.
-
38: tun0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1400 qdisc pfifo_fast state UNKNOWN qlen 1000
+
-
    link/none
+
-
    inet 188.246.4.X/22 brd 188.246.7.255 scope global tun-pty
+
-
    inet6 2a02:a00:e00f:ffff::XXX:XXXX/64 scope global
+
-
      valid_lft forever preferred_lft forever
+
-
</pre>
+
-
<br> Wenn der Tunnel nicht aufgebaut wurde können Sie diesen manuell ohne Startscript starten, um die Ausgabe live zu verfolgen:
+
<source lang="command">pkill openvpn</source>
-
<source lang="command">openvpn /etc/openvpn/openvpn.tpX.tunneleinwahl.de-udp.ovpn</source>
+
Starten Sie dann manuell OpenVPN auf der Kommandozeile (als root):
-
*Wenn Sie OpenVPN beim Start Ihres Systems automatisch starten lassen haben Sie den Tunnel auch gleichzeitig bootfest gemacht!
+
<source lang="command">/usr/sbin/openvpn /etc/openvpn/openvpn.tpX.tunneleinwahl.de-udp.conf</source>
-
= Schritt 4: Stoppen des Tunnels  =
+
Prüfen Sie in einem zweiten Konsolenfenster, dass die Ausgabe des folgenden Befehls auch das Tunnel-Interface "tun0" enthält:
-
<source lang="command">/etc/init.d/openvpn stop portunity</source>  
+
<source lang="command">ip address show</source>
-
= Schritt 5: Starten des Tunnels per SystemD  =
+
Prüfen Sie, ob der Tunnel die Standardroute zum Internet ist:
-
Die nachfolgenden Schritte werden benötigt, wenn Ihr System mit systemd arbeitet.
+
<source lang="command">mtr 1.1.1.1</source>
-
Nachdem Sie die Konfiguration und die Login-Daten entsprechend angepasst haben können Sie den Tunnel mit diesem Befehl starten:
+
Wenn an erster Stelle unser Tunnel-Einwahlserver angezeigt wird und an letzter Stelle das Ziel 1.1.1.1 erreicht wird, ist die Verbindung erfolgreich aufgebaut.
-
<source lang="command">systemctl start openvpn@openvpn.tpX.tunneleinwahl.de</source>
+
Starten Sie das System neu, um OpenVPN wieder als Hintergrunddienst laufen zu lassen; wiederholen Sie die Prüfung. Falls das Ergebnis gleich bleibt, ist alles korrekt eingerichtet; ansonsten liegt ein Fehler in der Crontab-Datei vor.
-
Prüfen, ob der OpenVPN Tunnel gestartet wurde
 
-
<source lang="command">ip address show</source>
+
= Abschließende Hinweise =
-
 
+
-
38: tun0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1400 qdisc pfifo_fast state UNKNOWN qlen 1000
+
-
    link/none
+
-
    inet 188.246.4.X/22 brd 188.246.7.255 scope global tun-pty
+
-
    inet6 2a02:a00:e00f:ffff::XX:XXXX/64 scope global
+
-
      valid_lft forever preferred_lft forever
+
-
 
+
-
<br>
+
-
   
+
-
Die Tunnelverbindung wird mit dem Befehl
+
-
<source lang="command">systemctl stop openvpn@openvpn.tpX.tunneleinwahl.de</source>
+
-
beendet.
+
-
 
+
-
= Schritt 6: Den Tunnel bootfest machen =
+
-
 
+
-
Damit sich der Tunnel bei jedem Systemstart automatisch aufbaut, führen Sie bitte diesen Befehl aus:
+
-
 
+
-
<source lang="command">systemctl enable openvpn@openvpn.tpX.tunneleinwahl.de</source>
+
-
 
+
-
+
-
 
+
-
Damit sich der Tunnel nicht mehr automatisch bei jedem Systemstart aufbaut
+
-
+
-
<source lang="command">systemctl disable openvpn@openvpn.tpX.tunneleinwahl.de</source>
+
-
 
+
-
 
+
-
= Abschließende Hinweise =
+
-
 
+
-
Wegen der Komplexität gehen wir in diesem Artikel nicht auch Dinge ein wie:
+
 +
Wegen der Komplexität sind wir in diesem Artikel nicht auf die folgenden Themen eingegangen:
*IP-Netz routen  
*IP-Netz routen  
*Dienste an die neue statische IP binden  
*Dienste an die neue statische IP binden  
*[[PBR (Policy Based Routing)]]
*[[PBR (Policy Based Routing)]]
-
 
-
'''Um zusätzlich IPv6 Nutzen zu können folgen Sie bitte anschließend der Anleitung [[OpenVPN-Tunnel (IPv6) unter Debian-Linux einrichten (Anleitung)|OpenVPN-Tunnel (IPv6) unter Debian-Linux einrichten]])'''
 
-
 
[[Category:Access]] [[Category:Access_Anleitungen]] [[Category:OpenVPN_(Übersicht)]] [[Category:VPN-Tunnel_(Tarif)]]
[[Category:Access]] [[Category:Access_Anleitungen]] [[Category:OpenVPN_(Übersicht)]] [[Category:VPN-Tunnel_(Tarif)]]

Aktuelle Version vom 12:38, 21. Apr. 2023

Diese Anleitung zeigt Ihnen in wenigen Schritten, wie Sie unter Linux (hier: Debian) einen OpenVPN-Tunnel mit einer statischen IP-Adresse einrichten.

Diese Anleitung sollte auch mit anderen Debian-Derivaten (wie z.B. Ubuntu oder Mint) funktionieren. Auf vielen anderen Linux-Distributionen (wie z.b. OpenSUSE oder Fedora) ist die Vorgehensweise ähnlich.

Inhaltsverzeichnis

Wichtiger Hinweis zu Firewalls

Sollte die OpenVPN-Verbindung nicht aufgebaut werden können oder immer wieder nach kurzer Zeit zusammenbrechen, prüfen Sie bitte ob Ihre Firewall ICMP-Pakete verwirft. Diese sollten Sie zumindest von und zu unserem Tunnelserver akzeptieren, um einen störungsfreien Betrieb zu gewährleisten. ICMP ist mehr als "nur Ping" und wird vielmehr auch genutzt, um die MTU der Gegenstelle zu erfragen oder herauszufinden ob ein Port bereits genutzt wird. Im Zusammenhang mit Tunnelprotokollen ist es daher wirklich wichtig, dass diese Informationen übermittelt werden können.


Statische Routen und Firewall-Freigaben

Falls Sie statische Routen setzen oder die Verbindung zum Tunnelserver in Ihrer Firewall freischalten müssen, beachten Sie bitte die hier aufgeführten Informationen zu IP-Netzen und Protokollen.

Paket installieren

Installieren Sie zuerst das OpenVPN-Paket der Distribution: 

apt install openvpn

Zur Fehlersuche empfiehlt sich zudem die Installation des Pakets "mtr" (My Traceroute): 

apt install mtr

Grundkonfiguration

Nun gibt es das Verzeichnis "/etc/openvpn" – wechseln Sie bitte dort hinein.

Laden Sie nun bitte die Konfigurationsdatei für Ihren Tunneltarif herunter - den Link dazu finden Sie im Kundencenter. Im weiteren Verlauf werden wir die Datei mit openvpn.tpX.tunneleinwahl.de-udp.ovpn bezeichnen - verwenden Sie stattdessen den Namen der Datei, der Ihnen im Kundencenter zum Download angeboten wird. 

cd /etc/openvpn
wget "https://service.portunity.net/downloads/vpn-tunnel/openvpn.tpX.tunneleinwahl.de-udp.ovpn"

Öffnen Sie diese Datei nun mit einem Texteditor und suchen Sie die Zeile 

#auth-user-pass portunity.login

und ersetzen Sie diese durch: 

auth-user-pass /etc/openvpn/portunity.login

Ein paar Zeilen darüber finden Sie die Zeile "auth-user-pass" - diese muss mit einer vorangestellten Raute auskommentiert und damit deaktiviert werden.
Die Datei sollte dann (auszugsweise) so aussehen: 

## Zugangsdaten abfragen und nicht aus einer Datei lesen
#auth-user-pass

## Zugangsdaten aus einer Datei lesen
auth-user-pass /etc/openvpn/portunity.login


Legen Sie nun mit einem Texteditor die Datei /etc/openvpn/portunity.login an. Tragen Sie darin in die erste Zeile den Benutzernamen Ihres Tunnels ("tunnelXXXXXX") ein, in die zweite Zeile das Kennwort des Tunnelzugangs. Die Datei sollte dann beispielhaft so aussehen: 

tunnelXXXXXX
hochgeheimeskennwort


Weitere Anpassungen (optional)

  • redirect-gateway: Dies ist standardmäßig aktiviert und sorgt dafür, dass der Tunnel als Standardgateway gesetzt wird. Wenn dies nicht gewünscht wird, muss diese Zeile auskommentiert werden und stattdessen mit PBR (Policy Based Routing) gearbeitet werden.
  • user nobody bzw. group nobody: Hiermit wird erreicht, dass der Tunnel-Prozess als unpriviligierter Nutzer läuft. Auf den meisten Distributionen sind User und Gruppe "nobody" vorhanden – falls nicht, muss das hier angepasst werden.
  • verb: Im Falle von Problemen kann hiermit die "verbosity", also das Level der Ausführlichkeit von Log-Meldungen erhöht werden. Je höher die Ziffer, desto mehr Informationen gibt es (maximaler Wert: 7)

Den Tunnel bootfest machen

Damit sich der Tunnel bei jedem Systemstart automatisch aufbaut, können Sie einen Eintrag in der Crontab-Datei anlegen. Führen Sie hierzu den folgenden Befehl als root aus: 

crontab -e

Fügen Sie die folgende Zeile am Ende der Datei ein:

@reboot sleep 20 && /usr/sbin/openvpn /etc/openvpn/openvpn.tpX.tunneleinwahl.de-udp.conf

Speichern Sie anschließend die Datei und schließen Sie den Editor.

Den Tunnel testen

Stellen Sie zunächst sicher, dass aktuell kein OpenVPN-Prozess läuft. 

pkill openvpn

Starten Sie dann manuell OpenVPN auf der Kommandozeile (als root): 

/usr/sbin/openvpn /etc/openvpn/openvpn.tpX.tunneleinwahl.de-udp.conf

Prüfen Sie in einem zweiten Konsolenfenster, dass die Ausgabe des folgenden Befehls auch das Tunnel-Interface "tun0" enthält: 

ip address show

Prüfen Sie, ob der Tunnel die Standardroute zum Internet ist: 

mtr 1.1.1.1

Wenn an erster Stelle unser Tunnel-Einwahlserver angezeigt wird und an letzter Stelle das Ziel 1.1.1.1 erreicht wird, ist die Verbindung erfolgreich aufgebaut.

Starten Sie das System neu, um OpenVPN wieder als Hintergrunddienst laufen zu lassen; wiederholen Sie die Prüfung. Falls das Ergebnis gleich bleibt, ist alles korrekt eingerichtet; ansonsten liegt ein Fehler in der Crontab-Datei vor.


Abschließende Hinweise

Wegen der Komplexität sind wir in diesem Artikel nicht auf die folgenden Themen eingegangen:

Von „https://www.portunity.de/wiki/OpenVPN-Tunnel_unter_Debian-Linux_einrichten_(Anleitung)
  • Diese Seite wurde zuletzt am 21. April 2023 um 12:38 Uhr geändert.

Disclaimer Wiki-Seiten:

Das Portunity Wiki ist eine offene Plattform welche von Portunity als ein Bestandteil der Website bereiterstellt und betrieben wird. Sinn und Zweck ist es gemeinschaftlich an Texten zu arbeiten und so einen Wissens- und Knowhow-Pool aufzubauen. Mitarbeiter von Portunity-Firmen, Kunden von Portunity-Firmen und Mitglieder der Portunity-Comunity können diese Plattform gleichermassen lesend und schreibend nutzen und so kollaborativ am gemeinschaftlichen Wissen arbeiten.

Es sollte von daher klar sein, dass die Portunity GmbH, die Portunity Media GmbH oder andere Portunity nahe Firmen als Betreiber der Wiki-Plattform nicht unbedingt Kenntniss von einzelnen Inhalten haben müssen. Dies gilt insbesondere für von Kunden und Community-Mitgliedern beigesteuerten Inhalten. Auch unsere Mitarbeiter haben nicht immer Kenntnis von allen Inhalten.

Weiter (restlichen Disclaimer anzeigen)
Persönliche Werkzeuge