OpenVPN auf Home Server

DesasterMaster

Ich habe mir mit einem Script OpenVPN auf Ubuntu eingerichtet. Soweit läuft das ganze auch und ich kann von außen per VPN auf das Heimnetz zugreifen. Meine Frage ist jetzt wie sicher ist das ganze Script?

Ich habe nicht den Plan von der Materie und habe deswegen das Script genommen.

Mein Ziel ist es mit dem vpn anonym und in eigenen Heimnetz unterwegs zu sein.

Ist es normal das ich weder nach einem Passwort oder einem Username gefragt wurde bzw. ich diesen nicht erstellen konnte.
Es wurde eine ovpn Datei erstellt, die ich dann mit der Client App nutze.
Auch wurde kein sha-256 Key generiert.

Ist das Script konfigurierbar? Und wenn ja, welche Einstellungen müssen gebändert werden und was bewirken die Einstellungen.

Außerdem ist nach außen meine Heim IP sichtbar

Cineologe

Ich enthalte mich mal meiner Meinung nur ich frage mich wieso du nicht einfach einen openVPN Server aufsetzt und mit 5 Handgriffen selbst einstellst?

Hier mal ein Video zum schnellen einrichten des Servers in ein paar Schritten.

Ab Minute 5 kannst du einsteigen

Externer Inhalt www.youtube.com

Inhalte von externen Seiten werden ohne Ihre Zustimmung nicht automatisch geladen und angezeigt.

Das installieren sollten hier auch genügend erklärt sein

https://www.youtube.com/results?search…+openvpn+server

DesasterMaster

Habe das script genommen weil ich keine Ahnung davon habe. Auch auf die Gefahr hin das man sofort gesteinigt wird sobald man den leichteren Weg wählt.

Hier der Log

Code

00:23:49.506 -- EVENT: DISCONNECTED trans=TO_DISCONNECTED


00:23:49.510 -- EVENT: CORE_THREAD_INACTIVE


00:23:49.511 -- Tunnel bytes per CPU second: 0


00:23:49.512 -- ----- OpenVPN Stop -----


00:23:52.369 -- ----- OpenVPN Start -----


00:23:52.370 -- EVENT: CORE_THREAD_ACTIVE


00:23:52.379 -- Frame=512/2048/512 mssfix-ctrl=1250


00:23:52.380 -- UNUSED OPTIONS
3 [sndbuf] [0] 
4 [rcvbuf] [0] 
6 [resolv-retry] [infinite] 
7 [nobind] 
8 [persist-key] 
9 [persist-tun] 
13 [block-outside-dns] 
15 [verb] [3] 




00:23:52.381 -- EVENT: RESOLVE


00:23:52.673 -- Contacting xxxxxxxxxx:1194 via UDP


00:23:52.674 -- EVENT: WAIT


00:23:52.680 -- Connecting to [xxxxxxxx.de]:1194 (xxxxxxxxxxx) via UDPv4


00:23:52.822 -- EVENT: CONNECTING


00:23:52.829 -- Tunnel Options:V4,dev-type tun,link-mtu 1601,tun-mtu 1500,proto UDPv4,keydir 1,cipher AES-256-CBC,auth SHA512,keysize 256,tls-auth,key-method 2,tls-client


00:23:52.838 -- Creds: UsernameEmpty/PasswordEmpty


00:23:52.839 -- Peer Info:
IV_GUI_VER=OC30Android
IV_VER=3.2
IV_PLAT=android
IV_NCP=2
IV_TCPNL=1
IV_PROTO=2
IV_IPv6=0
IV_AUTO_SESS=1




00:23:53.146 -- VERIFY OK : depth=1
cert. version     : 3
serial number     : xxxxxxxxxxxxxxx
issuer name       : CN=ChangeMe
subject name      : CN=ChangeMe
issued  on        : 2019-08-16 17:55:41
expires on        : 2029-08-13 17:55:41
signed using      : RSA with SHA-256
RSA key size      : 2048 bits
basic constraints : CA=true
key usage         : Key Cert Sign, CRL Sign




00:23:53.151 -- VERIFY OK : depth=0
cert. version     : 3
serial number     : xxxxxxxxxxxxxxxx
issuer name       : CN=ChangeMe
subject name      : CN=server
issued  on        : 2019-08-16 17:55:41
expires on        : 2029-08-13 17:55:41
signed using      : RSA with SHA-256
RSA key size      : 2048 bits
basic constraints : CA=false
subject alt name  : server
key usage         : Digital Signature, Key Encipherment
ext key usage     : TLS Web Server Authentication




00:23:53.759 -- SSL Handshake: TLSv1.2/TLS-ECDHE-RSA-WITH-AES-256-GCM-SHA384


00:23:53.760 -- Session is ACTIVE


00:23:53.761 -- EVENT: GET_CONFIG


00:23:53.766 -- Sending PUSH_REQUEST to server...


00:23:53.910 -- OPTIONS:
0 [redirect-gateway] [def1] [bypass-dhcp] 
1 [dhcp-option] [DNS] [192.168.178.1] 
2 [route-gateway] [10.8.0.1] 
3 [topology] [subnet] 
4 [ping] [10] 
5 [ping-restart] [120]
6 [ifconfig] [10.8.0.2] [255.255.255.0] 
7 [peer-id] [0] 
8 [cipher] [AES-256-GCM] 
9 [block-ipv6] 




00:23:53.911 -- PROTOCOL OPTIONS:
  cipher: AES-256-GCM
  digest: SHA512
  compress: NONE
  peer ID: 0


00:23:53.912 -- EVENT: ASSIGN_IP


00:23:53.956 -- Connected via tun


00:23:53.957 -- EVENT: CONNECTED info='@xxxxxxxxx.de:1194 (xxxxxxxxxx) via /UDPv4 on tun/10.8.0.2/ gw=[10.8.0.1/]' trans=TO_CONNECTED

Alles anzeigen

DesasterMaster

@Cineologe

Ich habe sie Installationsanleitung von Sempervideo genommen. Dort wird auch das Script für OpenVPN angeboten. Das ist das erste Video in der Liste. Zu finden unter dem Link für die Installation, den du gepostet hast.

DeBaschdi

Vielleicht wäre der Openvpn AccessServer eine Variante für dich.
Dieser ist die "kommerzielle Variante" von Openvpn.
Ich meine ein oder 2 Clients sind "kostenlos"

https://openvpn.net/vpn-server-res…a-linux-system/

Das ganze läuft als Dienst und ist mittels https konfigurierbar.

Im Webif legst du User an, welche sich auf deiner "Seite" einloggen können um ihre .ovpn Datei herunterzuladen.

Jede .ovpn Datei enthält einen ssl Schlüssel der zur Authentifizierung und Verschlüsselung dient.

darkside40

Bitte jetzt nicht falsch auffassen, aber meine Meinung ist wenn ich keine Ahnung habe wie man etwas einrichte oder halbwegs weiss wie es funktioniert dann sollte man es nicht nutzen, vorallem bei einem Dienst der das eigene Netzwerk nach aussen freigibt.

Wenn man Pech hat nutzt man ein Script welches noch einen Zweitschlüssel erstellt etc. und schon hat man noch jemanden im Heimnetz.
Ich würde mal behaupten wenn man ein solches Script prominent genug auf Github oder so stellt würde es sicher Leute geben die es nutzen.

Besser ist es sich mal eine Stunde in die Materie einzulesen (z.B. im ubuntuusers Forum wo es auch gute deutsche Anleitungen gibt) und das ganze dann von Hand machen. Hat nen gewissen Lerneeffekt und man kann sicher gehen das man sich nicht irgendwelche Sicherheitslücken selber aufreisst.

DesasterMaster

Hatte denn jemand Interesse daran sich das Script einmal anzuschauen?

Ich habe ein aktuelles Script genutzt, welches auf den ersten Blick nicht so aussieht als ob es "unseriös" ist.

Dennoch wäre ich dankbar.

https://github.com/angristan/openvpn-install

DesasterMaster

openvpn-install.sh.zip

Cineologe

Es geht darum es manuell zu installieren damit man auch versteht was passiert und somit kann man die Einstellungen genau auf sich anpassen.
Mit einem Skript rattert alles nur durch und wenn es nicht klappt, stehst du genau vor dem Problem vor dem du jetzt stehst.
Schneller und automatisch ist nicht immer besser! Rechnen wollen ohne Zahlen zu kennen führt zu solchen Problemen...

Damit soll dir nicht gesagt sein was du machen "sollst", man möchte dich nur auf den RICHTIGEN Weg führen. Wenn du diesen verstanden hast, kannst du auch ganz getrost zu einem Skript greifen nur in meinen Augen hat dies auch keinen wirklichen Mehrwert

DesasterMaster

Aktuell fehlt mir die Zeit das alles einzulesen.
Ich brauchte eine Möglichkeit den Fritz Vpn zu ersetzen, da dieser nach dem letzten Update nicht mehr zu gebrauchen war.

Sobald ich die Zeit habe werde ich mich einlesen aber aktuell muss das herhalten.

Daher meine Frage bezüglich der Sicherheit des Scripts.

DeBaschdi

Das Script ist augenscheinlich sauber und kannst du bedenkenlos nutzen.

Das Script fragt dich ob du deine ovpn Datei zusätzlich mit einem "öffnungs" Passwort absichern magst, musst du aber nicht.
In jedem fall wird aber für jeden Client ein ssl Key mittels easyrsa generiert und in der ovpn datei includiert.
Das ist absolut sicher sofern nur du die diese Client Datei hast.

DesasterMaster

Vielen Dank @DeBaschdi
Ich werde mich einlesen sobald ich die Zeit dafür habe.

OpenVPN auf Home Server

Jetzt mitmachen!

Benutzer online in diesem Thema