Zebradem WIKI - Benutzerbeiträge [de]

CS Wartung per Telefon

2011-09-29T20:13:24Z

SteveO:

Dies ist eine Anleitung zum Fernwarten von 2 Fritzboxen ( 1x Inet-Router, 1x CS-Server) mit Hilfe des Callmonitor und Dropbear
Diese Möglichkeit erweist sich als sehr praktisch wenn man sein eigenes Netzwerk nicht mehr per DynAddy erreicht oder das VPN nicht mehr läuft.

Peers müssen ab und zu den ganzen Tag warten bis man wieder nach Hause kommt um den hängenden Server oder die falsche DynDNS zu korregieren.

Hardware Aufbau:
Fritzbox 7170@Freetz als Inet-Router / Telefonanlage mit 3 Rufnummern (1x Telefon, 1x Fax, 1x Reserve)
Fritzbox 3170@Freetz als CS-Server mit CCcam2.1.4/Chroot/S02/Smargo ( IP 192.168.001.002 )

Bsp Nummern:
017811111111 Handy
044122222222 FAX
044133333333 ReserveNr

Anforderungen:

Inet-Router: Dropbear und Callmonitor
CS-Server : Dropbear

Gewünschtes Ergebnis:

Bei Anruf von Handy am FAX: den Inet-Router(7170) neu starten
Bei Anruf von Handy an Reserve-Nr: die CCcam auf dem CS-Server(3170) neu starten

Zuerst die Konfig für den Callmonitor/Listeners:

Die folgenden 2 Zeilen sind für ganz normale Anrufe/Anzeige des Callmonitor auf einer Dbox.

Alle Nummern die nicht 017811111111 als Quelle und nicht 044122222222 oder 044133333333 als Ziel haben erzeugen eine normale Message an Dbox
in:request !^017811111111$ !^(044122222222|044133333333)$ dboxmessage 192.168.001.105
in:request !^017811111111$ !^(044122222222|044133333333)$ dboxlcd 192.168.001.105

Nur die Nummer 017811111111 als Quelle und 044122222222 als Ziel starten den Inet-Router neu mit entsprechender Nachricht auf der Dbox
in:request ^017811111111$ ^(044122222222)$ reboot
in:request ^017811111111$ ^(044122222222)$ dboxpopup 192.168.001.105 "Der Router (Fritz!BOX) wird neu gestartet..."

Nur die Nummer 017811111111 als Quelle und 044133333333 als Ziel starten ein Script mit entsprechender Nachricht auf der Dbox
in:request ^017811111111$ ^(044133333333)$ cs
in:request ^017811111111$ ^(044133333333)$ dboxpopup 192.168.001.105 "Server wird neu gestartet..."

Dazu gehört noch der folgende Eintrag in die rc.custom des Inet-Router:
ln -s /var/media/ftp/uStor01/connect_server.sh /var/mod/bin/cs

Im Script connect_server.sh auf uStor01 (7170) steht das drin (IP an euren CS Server anpassen):
#!/bin/sh
ssh root@192.168.001.002 -i /var/media/ftp/uStor01/rsa_login_key /var/media/ftp/uStor01/ccrestart.sh
exit

Im Script ccrestart.sh auf uStor01 (3170) steht das drin:
#!/bin/sh
/etc/init.d/rc.cccam restart
exit
exit

Den RSA_login_key muss man so auf dem Inet-Router erzeugen:

1. Per SSH auf die 7170 verbinden

2. eingeben:
dropbearkey -t rsa -f /var/media/ftp/uStor01/rsa_login_key -s 2048

Es wird ein Keyfile (rsa_login_key) erzeugt sowie ein Public Key in der Konsole ausgegeben. Den Public Key kopiert man und fügt ihn im CS Server bei Dropbear/authorized Keys ein.

Der Callmonitor muss neu gestartet werden. Wer seinen Inet-Router nicht neu starten möchte muss diesen Befehl zusätzlich in der Konsole des Inet-Router ausführen:
ln -s /var/media/ftp/uStor01/connect_server.sh /var/mod/bin/cs

Sonst wird die Verküpfung nicht angelegt.
Die Rechte der Scripte müssen auf 755 gesetzt werden.

CS Wartung per Telefon

2011-09-29T20:11:10Z

SteveO:

Dies ist eine Anleitung zum Fernwarten von 2 Fritzboxen ( 1x Inet-Router, 1x CS-Server) mit Hilfe des Callmonitor und Dropbear
Diese Möglichkeit erweist sich als sehr praktisch wenn man sein eigenes Netzwerk nicht mehr per DynAddy erreicht oder das VPN nicht mehr läuft.

Peers müssen ab und zu den ganzen Tag warten bis man wieder nach Hause kommt um den hängenden Server oder die falsche DynDNS zu korregieren.

Hardware Aufbau:
Fritzbox 7170@Freetz als Inet-Router / Telefonanlage mit 3 Rufnummern (1x Telefon, 1x Fax, 1x Reserve)
Fritzbox 3170@Freetz als CS-Server mit CCcam2.1.4/Chroot/S02/Smargo ( IP 192.168.001.002 )

Bsp Nummern:
017811111111 Handy
044122222222 FAX
044133333333 ReserveNr

Anforderungen:

Inet-Router: Dropbear und Callmonitor
CS-Server : Dropbear

Gewünschtes Ergebnis:

Bei Anruf von Handy am FAX: den Inet-Router(7170) neu starten
Bei Anruf von Handy an Reserve-Nr: die CCcam auf dem CS-Server(3170) neu starten

Zuerst die Konfig für den Callmonitor/Listeners:

Die folgenden 2 Zeilen sind für ganz normale Anrufe/Anzeige des Callmonitor auf einer Dbox.

Alle Nummern die nicht 017811111111 als Quelle und nicht 044122222222 oder 044133333333 als Ziel haben erzeugen eine normale Message an Dbox
in:request !^017811111111$ !^(044122222222|044133333333)$ dboxmessage 192.168.001.105
in:request !^017811111111$ !^(044122222222|044133333333)$ dboxlcd 192.168.001.105

Nur die Nummer 017811111111 als Quelle und 044122222222 als Ziel starten den Inet-Router neu mit entsprechender Nachricht auf der Dbox
in:request ^017811111111$ ^(044122222222)$ reboot
in:request ^017811111111$ ^(044122222222)$ dboxpopup 192.168.001.105 "Der Router (Fritz!BOX) wird neu gestartet..."

Nur die Nummer 017811111111 als Quelle und 044133333333 als Ziel starten ein Script mit entsprechender Nachricht auf der Dbox
in:request ^017811111111$ ^(044133333333)$ cs
in:request ^017811111111$ ^(044133333333)$ dboxpopup 192.168.001.105 "Server wird neu gestartet..."

Dazu gehört noch der folgende Eintrag in die rc.custom des Inet-Router:
ln -s /var/media/ftp/uStor01/connect_server.sh /var/mod/bin/cs

Im Script connect_server.sh auf uStor01 (7170) steht das drin (IP an euren CS Server anpassen):
#!/bin/sh
ssh root@192.168.001.002 -i /var/media/ftp/uStor01/rsa_login_key /var/media/ftp/uStor01/ccrestart.sh
exit

Im Script ccrestart.sh auf uStor01 (3170) steht das drin:
#!/bin/sh
/etc/init.d/rc.cccam restart
exit
exit

Den RSA_login_key muss man so auf dem Inet-Router erzeugen:

1. Per SSH auf die 7170 verbinden
2. eingeben:
dropbearkey -t rsa -f /var/media/ftp/uStor01/rsa_login_key -s 2048

Es wird ein Keyfile (rsa_login_key) erzeugt sowie ein Public Key in der Konsole ausgegeben. Den Public Key kopiert man und fügt ihn im CS Server bei Dropbear/authorized Keys ein.

Der Callmonitor muss neu gestartet werden. Wer seinen Inet-Router nicht neu starten möchte muss diesen Befehl zusätzlich in der Konsole des Inet-Router ausführen:
ln -s /var/media/ftp/uStor01/connect_server.sh /var/mod/bin/cs

Sonst wird die Verküpfung nicht angelegt.
Die Rechte der Scripte müssen auf 755 gesetzt werden.

CS Wartung per Telefon

2011-09-29T20:10:46Z

SteveO: Die Seite wurde neu angelegt: „Anleitung : CS Telefonwartung Dies ist eine Anleitung zum Fernwarten von 2 Fritzboxen ( 1x Inet-Router, 1x CS-Server) mit Hilfe des Callmonitor und Dropbear D…“

Anleitung : CS Telefonwartung

Dies ist eine Anleitung zum Fernwarten von 2 Fritzboxen ( 1x Inet-Router, 1x CS-Server) mit Hilfe des Callmonitor und Dropbear
Diese Möglichkeit erweist sich als sehr praktisch wenn man sein eigenes Netzwerk nicht mehr per DynAddy erreicht oder das VPN nicht mehr läuft.

Peers müssen ab und zu den ganzen Tag warten bis man wieder nach Hause kommt um den hängenden Server oder die falsche DynDNS zu korregieren.

Hardware Aufbau:
Fritzbox 7170@Freetz als Inet-Router / Telefonanlage mit 3 Rufnummern (1x Telefon, 1x Fax, 1x Reserve)
Fritzbox 3170@Freetz als CS-Server mit CCcam2.1.4/Chroot/S02/Smargo ( IP 192.168.001.002 )

Bsp Nummern:
017811111111 Handy
044122222222 FAX
044133333333 ReserveNr

Anforderungen:

Inet-Router: Dropbear und Callmonitor
CS-Server : Dropbear

Gewünschtes Ergebnis:

Bei Anruf von Handy am FAX: den Inet-Router(7170) neu starten
Bei Anruf von Handy an Reserve-Nr: die CCcam auf dem CS-Server(3170) neu starten

Zuerst die Konfig für den Callmonitor/Listeners:

Die folgenden 2 Zeilen sind für ganz normale Anrufe/Anzeige des Callmonitor auf einer Dbox.

Alle Nummern die nicht 017811111111 als Quelle und nicht 044122222222 oder 044133333333 als Ziel haben erzeugen eine normale Message an Dbox
in:request !^017811111111$ !^(044122222222|044133333333)$ dboxmessage 192.168.001.105
in:request !^017811111111$ !^(044122222222|044133333333)$ dboxlcd 192.168.001.105

Nur die Nummer 017811111111 als Quelle und 044122222222 als Ziel starten den Inet-Router neu mit entsprechender Nachricht auf der Dbox
in:request ^017811111111$ ^(044122222222)$ reboot
in:request ^017811111111$ ^(044122222222)$ dboxpopup 192.168.001.105 "Der Router (Fritz!BOX) wird neu gestartet..."

Nur die Nummer 017811111111 als Quelle und 044133333333 als Ziel starten ein Script mit entsprechender Nachricht auf der Dbox
in:request ^017811111111$ ^(044133333333)$ cs
in:request ^017811111111$ ^(044133333333)$ dboxpopup 192.168.001.105 "Server wird neu gestartet..."

Dazu gehört noch der folgende Eintrag in die rc.custom des Inet-Router:
ln -s /var/media/ftp/uStor01/connect_server.sh /var/mod/bin/cs

Im Script connect_server.sh auf uStor01 (7170) steht das drin (IP an euren CS Server anpassen):
#!/bin/sh
ssh root@192.168.001.002 -i /var/media/ftp/uStor01/rsa_login_key /var/media/ftp/uStor01/ccrestart.sh
exit

Im Script ccrestart.sh auf uStor01 (3170) steht das drin:
#!/bin/sh
/etc/init.d/rc.cccam restart
exit
exit

Den RSA_login_key muss man so auf dem Inet-Router erzeugen:

1. Per SSH auf die 7170 verbinden
2. eingeben:
dropbearkey -t rsa -f /var/media/ftp/uStor01/rsa_login_key -s 2048

Es wird ein Keyfile (rsa_login_key) erzeugt sowie ein Public Key in der Konsole ausgegeben. Den Public Key kopiert man und fügt ihn im CS Server bei Dropbear/authorized Keys ein.

Der Callmonitor muss neu gestartet werden. Wer seinen Inet-Router nicht neu starten möchte muss diesen Befehl zusätzlich in der Konsole des Inet-Router ausführen:
ln -s /var/media/ftp/uStor01/connect_server.sh /var/mod/bin/cs

Sonst wird die Verküpfung nicht angelegt.
Die Rechte der Scripte müssen auf 755 gesetzt werden.

Freetz

2011-09-29T20:04:16Z

SteveO:

<div style="margin: 10px 10px 0pt 0pt; border: 1px solid rgb(51, 51, 51); padding: 0em 1em 1em; background-color: rgb(27, 28, 45);"><br><center>
[[Image:Sigpic20114 40.gif.jpeg|center|Sigpic20114 40.gif.jpeg]]</center> <center><big><span style="color: rgb(181, 181, 181);">'''''Das Board mit Freiheiten'''''</span></big></center>
<font color="white"></font>

----

<br>
<div style="margin: 0px 20px 15pt 15pt; padding: 0em 1em 1em; background-color: rgb(48, 49, 64); border: 1px solid rgb(0, 0, 0);">
<br>

*[[Freetz Einleitung]][[Image:Freetz1.jpg|right]]
*[[Freetz Image erstellen|Freetz Image erstellen]]
*[[Freetz Addons]]
*[[Freetz Pakete]]
*[[FRITZ!Box hinter FRITZ!Box HowTo]]
*[[Anleitung Freetz flashen bis zum CS Server einrichten|Anleitung Freetz flashen bis zum CS Server einrichten]]
*[http://www.dm-computer.de/nil/sis-pm-freetz/pdf/sis-pms-freetz.pdf%7C sis-pms-freetz.pdf]
*[[Hardwareliste|Hardwareliste]]
*[[Freetz Server Beispiele]]
*[[Freetz Tips|Freetz Tips]]
*[[Freetz chroot|Freetz chroot]]
*[[CCcam alle Versionen @ Freetz mit Normal- und Chroot-Modus (ab 2.1.2 mit chroot)]]
*[[Chroot Debian FritzBox|chroot Debian FritzBox]]
*[[Freetz & Scripte|Freetz & Scripte]]
*[[External|External]]
*[[Howto freetz: uStor01 Daten per external hochladen|Howto freetz: uStor01 Daten per external hochladen ]]
*[[Cron|Cron-Crontab]]
*[[RuKernelTool]]
*[[FRITZ!Box|Fritzbox]]
*[[Speedport|Speedport]]
*[[Speed-to-fritz|Speed-to-fritz]]
*[[Smargo Einstellungen|Smargo Einstellungen]]
*[[Cron|Crontab]]
*[[OpenVPN und Freetz, wie stricke ich mein eigenes VPN]]
*[[SSH und Freetz, Beispiele für abhörsicheren Zugriff über Inet auf Fritzbox/LAN]]
*[[UPnP AV MediaServer für Freetz-Trunk richtig bauen]]
*[[CS Wartung per Telefon]]

<br>

*[[Hauptseite|Zurück zu Hauptseite]]
</div> </div>
[[Category:Freetz]] [[Category:Fritzbox]]

OpenVPN und Freetz, wie stricke ich mein eigenes VPN

2011-09-26T04:55:50Z

SteveO:

<div style="margin: 10px 10px 0pt 0pt; border: 1px solid rgb(51, 51, 51); padding: 0em 1em 1em; background-color: rgb(27, 28, 45);"><br><center>[[Image:ZD-Logo.png]]</center> <center><big><span style="color: rgb(181, 181, 181);">'''''Das Board mit Freiheiten'''''</span></big></center>
<font color="white"></font>

----

<br>
<div style="margin: 0px 20px 15pt 15pt; padding: 0em 1em 1em; background-color: rgb(48, 49, 64); border: 1px solid rgb(0, 0, 0);">
<br>
== <center><big>'''OpenVPN@Freetz''' </big></center> ==

<big>'''Howto für OpenVPN mit Server@Freetz und Client@Windows''' </big>

Damit ein "echtes" VPN gestrickt werden kann erkläre ich hier das ganze mit Zertifikaten zur Authentifizierung.

Es geht auch mit Key-Auhtentification, allerdings kann dann immer nur ein Client auf den Server connecten. Mit Zertifikaten können beliebig viele VPN CLients gleichzeitig verbunden werden.

Alle Befehle gebe ich per SSH Konsole ein, Files werden per SSH/WinSCP kopiert und editiert. Darauf gehe ich hier nicht weiter ein. Wer damit Probleme hat wird im Freetz/FAQ Bereich fündig.

Benötigt:

Image für Fritzbox mit OpenVPN
OpenVPN Client für Windows, z.B. SecurepointSSLVPN_RC3

Zum erstellen der Zertifikate für Server und Clients hab ich mir auf meinem Debian Server zusäzlich OpenVPN installiert:

Als "root" am Server angemeldet folgendes in der Konsole ausführen:
apt-get install openvpn openssl

Wenn alles installiert ist, mit WinSCP folgenden Ordner erstellen:
/etc/openvpn

Mit WinSCP wechseln nach
/usr/share/doc/openvpn/examples

Ordner "easy-rsa" kopieren nach
/etc/openvpn

Wechseln nach:
/etc/openvpn/easy-rsa/2.0

Hier den Ordner "keys" anlegen.

Dann die Datei "vars" wie folgt editieren:

<div style="margin: 0; margin-top:10px; margin-right:10px; border: 4px solid #ffffff; padding: 0em 1em 1em 1em; background-color:#1B1C2D; align:right;">
# easy-rsa parameter settings

# NOTE: If you installed from an RPM,
# don't edit this file in place in
# /usr/share/openvpn/easy-rsa --
# instead, you should copy the whole
# easy-rsa directory to another location
# (such as /etc/openvpn) so that your
# edits will not be wiped out by a future
# OpenVPN package upgrade.

# This variable should point to
# the top level of the easy-rsa
# tree.
export EASY_RSA="`pwd`"

#
# This variable should point to
# the requested executables
#
export OPENSSL="openssl"
export PKCS11TOOL="pkcs11-tool"
export GREP="grep"

# This variable should point to
# the openssl.cnf file included
# with easy-rsa.
export KEY_CONFIG=`$EASY_RSA/whichopensslcnf $EASY_RSA`

# Edit this variable to point to
# your soon-to-be-created key
# directory.
#
# WARNING: clean-all will do
# a rm -rf on this directory
# so make sure you define
# it correctly!
export KEY_DIR="$EASY_RSA/<span style="color:#FF3030">keys</span>"

# Issue rm -rf warning
echo NOTE: If you run ./clean-all, I will be doing a rm -rf on $KEY_DIR

# PKCS11 fixes
export PKCS11_MODULE_PATH="dummy"
export PKCS11_PIN="dummy"

# Increase this to 2048 if you
# are paranoid. This will slow
# down TLS negotiation performance
# as well as the one-time DH parms
# generation process.
export KEY_SIZE=1024

# In how many days should the root CA key expire?
export CA_EXPIRE=3650

# In how many days should certificates expire?
export KEY_EXPIRE=3650

# These are the default values for fields
# which will be placed in the certificate.
# Don't leave any of these fields blank.
export KEY_COUNTRY="<span style="color:#FF3030">DE</span>"
export KEY_PROVINCE="<span style="color:#FF3030">ZD</span>"
export KEY_CITY="<span style="color:#FF3030">ZDTOWN</span>"
export KEY_ORG="<span style="color:#FF3030">Zebradem</span>"
export KEY_EMAIL="<span style="color:#FF3030">Freetz@Zebradem.com</span>"

export OPENVPN=openvpn
</div>

Nun geht es an das erstellen der Zertifikate.
Wenn man in der Konsole beim erstellen etwas eingeben muss, kann man einfach immer "ENTER" drücken.

<span style="color:#FF3030">Ausnahme:
Wenn gefragt wird, ob Client-Zertifikate signiert werden sollen --> mit "y" (yes) bestätigen!! </span>

In der Konsole wechsel nach
/etc/openvpn/easy-rsa/2.0

vars einlesen und die CA initialisieren:
. ./vars
./clean-all ## ACHTUNG!! löscht Inhalt von Keys Verzeichnis, nur beim ersten mal ausführen !!

Wenn man zu einem späteren Zeitpunkt ein Client-Zertifikat erstellen möchte, muss vorher immer
. ./vars
ausgeführt werden!

CA-Key und CA-Cert erzeugen:
./build-ca

Diffie-Hellman Parameter erzeugen:
./build-dh

Erzeugen von Server-Schlüsselpaar direkt von der CA:
./build-key-server server

Erzeugen eines Client-Schlüsselpaars (ohne Passwort), für
jeden Client eindeutigen Namen oder aufsteigende Nummer angeben:
./build-key client01

Zertifikate liegen nun in "/etc/openvpn/easy-rsa/2.0/keys"

Wenn man Client-Zertifikate mit Passwortschutz erstellen möchte:
./build-key-pass client01

Für Client benötigte Zertifikate und Dateien:
ca.crt
client01.crt
client01.key
Die 3 Dateien für den Client auf einen USB-Stick oder Client-Rechner kopieren.

Für Server benötigte Zertifikate und Dateien:
ca.crt
server.crt
server.key
dh1024.pem

Nun gehts in Freetz weiter :)

OpenVPN Einstellungen öffnen, Optionen wie folgt setzen:
[x] Automatisch
[x] Server
[x] UDP
[x] Brücke(TAP)
Port: 1194
[x] Zertifikate
Cipher: Blowfish

Lokale IP-Adresse: 10.8.0.1 (Dies wird die virtuelle IP vom Server, kann natürlich auch eine andere IP sein)
Netzmaske: 255.255.255.0
DHCP-Range: 10.8.0.150 10.8.0.160 (Je nach bedarf der virtuelle IP Bereich für Clients)
Lokales Netz: 192.168.178.0 255.255.255.0 (Tatsächlicher IP Bereich des LAN hinter dem Server, das von außen erreichbar sein soll)

[x] Erweiterte CLientkonfiguration (nicht unbedingt nötig, aber so wird es eine Runde Sache)

Client01 | 10.8.0.150 | 192.168.88.0 255.255.255.0 (Name des Client/Zertifikat | Fest zugewiesene VPN IP für Client | Zuletzt das echte Netz/LAN des Client mit Subnet)

Client02 | 10.8.0.151 | 192.168.55.0 255.255.255.0

Client03 | 10.8.0.152 | 192.168.33.0 255.255.255.0

Falls die Clients sich auch sehen sollen:

[x] Client-zu-Client

Anzahl der Maximalen Clients angeben.

DNS Server: 10.8.0.1

Den Rest so lassen wie er ist und speichern.

Mit WinSCP die folgenden Dateien öffnen und jeweils den gesamten Inhalt an genannte Stelle der OpenVPN Einstellung kopieren:
server.crt --> Box Cert (übernehmen)
ca.crt --> CA Cert (übernehmen)
dh1024.pem --> DH Param (übernehmen)
server.key --> Private Key (übernehmen)

Unter OpenVPN/CRL einfach einmal "Übernehmen" drücken, damit eine leere Datei erzeugt wird. Sonst startet OpenVPN nicht!

AVM-Firewall Settings:

lowinput sowie highoutput gleich einstellen:
Quelle --> any
Ziel --> any
Protokoll --> UDP
Start- und End-Port --> 1194
Aktion --> permit
(übernehmen)

Port Forwarding:
Protokoll --> UDP
Ziel --> Fritz!Box
Quell Port --> 1194
Ziel Port --> 1194
(übernehmen)

Fritzbox neu starten.

Weiter auf Client Rechner:

SecurepointSSLVPN_RC3 installieren.

VPN Client starten, neue Konfig anlegen:
Name
IP des Server (DynDns Adresse)
Root CA = ca.crt
Zertifikat = client01.crt
Schlüssel = client01.key
[x] Server Zertifikat
[ ] Auth user/pass (Haken entfernen!)

Rest so lassen, "Next" und "Finish" drücken.

Neu erstellte Konfig mit rechter Maustaste anklicken --> Editieren wählen

"DEV" von "tun" auf "tap" umstellen, "OK" klicken.

Wenn dies alles erledigt ist, am besten mal eine Sicherung der Freetz Settings sowie ein Export der Client-VPN-

Settings durchführen. War ja nun auch genug Arbeit ;)

Wenn man einen anderen Router als Client zum VPN Server verbindet, sollten beide LANs untereinander ereichbar sein.
Wenn ein PC den Client darstellt, gibt es noch folgenden Trick:

Regedit auf Client-Rechner starten.
HKEY_LOCAL_MACHINE\ System\ CurrentControlSet\ Services\ Tcpip\ Parameters

Eintrag "IPEnableRouter" Wert auf 1 setzen.

Rechner neu starten.

Gateway der übrigen Rechner im Client LAN auf die IP des Client Rechner setzen.

Nun sollte man schön hin und her Pingen können...

== Wichtige Links ==
*[[Freetz|Zurück zu Freetz]]
*[[Hauptseite|Zurück zu Hauptseite]]

[[Category:Fritzbox]]
[[Category:Sitemap]]

OpenVPN und Freetz, wie stricke ich mein eigenes VPN

2011-09-26T04:48:02Z

SteveO: /* OpenVPN@Freetz */

<div style="margin: 10px 10px 0pt 0pt; border: 1px solid rgb(51, 51, 51); padding: 0em 1em 1em; background-color: rgb(27, 28, 45);"><br><center>[[Image:ZD-Logo.png]]</center> <center><big><span style="color: rgb(181, 181, 181);">'''''Das Board mit Freiheiten'''''</span></big></center>
<font color="white"></font>

----

<br>
<div style="margin: 0px 20px 15pt 15pt; padding: 0em 1em 1em; background-color: rgb(48, 49, 64); border: 1px solid rgb(0, 0, 0);">
<br>
== <center><big>'''OpenVPN@Freetz''' </big></center> ==

<big>'''Howto für OpenVPN mit Server@Freetz und Client@Windows''' </big>

Damit ein "echtes" VPN gestrickt werden kann erkläre ich hier das ganze mit Zertifikaten zur Authentifizierung.

Es geht auch mit Key-Auhtentification, allerdings kann dann immer nur ein Client auf den Server connecten. Mit Zertifikaten können beliebig viele VPN CLients gleichzeitig verbunden werden.

Alle Befehle gebe ich per SSH Konsole ein, Files werden per SSH/WinSCP kopiert und editiert. Darauf gehe ich hier nicht weiter ein. Wer damit Probleme hat wird im Freetz/FAQ Bereich fündig.

Benötigt:

Image für Fritzbox mit OpenVPN
OpenVPN Client für Windows, z.B. SecurepointSSLVPN_RC3

Zum erstellen der Zertifikate für Server und Clients hab ich mir auf meinem Debian Server zusäzlich OpenVPN installiert:

Als "root" am Server angemeldet folgendes in der Konsole ausführen:
apt-get install openvpn openssl

Wenn alles installiert ist, mit WinSCP folgenden Ordner erstellen:
/etc/openvpn

Mit WinSCP wechseln nach
/usr/share/doc/openvpn/examples

Ordner "easy-rsa" kopieren nach
/etc/openvpn

Wechseln nach:
/etc/openvpn/easy-rsa/2.0

Hier den Ordner "keys" anlegen.

Dann die Datei "vars" wie folgt editieren:

<div style="margin: 0; margin-top:10px; margin-right:10px; border: 4px solid #ffffff; padding: 0em 1em 1em 1em; background-color:#1B1C2D; align:right;">
# easy-rsa parameter settings

# NOTE: If you installed from an RPM,
# don't edit this file in place in
# /usr/share/openvpn/easy-rsa --
# instead, you should copy the whole
# easy-rsa directory to another location
# (such as /etc/openvpn) so that your
# edits will not be wiped out by a future
# OpenVPN package upgrade.

# This variable should point to
# the top level of the easy-rsa
# tree.
export EASY_RSA="`pwd`"

#
# This variable should point to
# the requested executables
#
export OPENSSL="openssl"
export PKCS11TOOL="pkcs11-tool"
export GREP="grep"

# This variable should point to
# the openssl.cnf file included
# with easy-rsa.
export KEY_CONFIG=`$EASY_RSA/whichopensslcnf $EASY_RSA`

# Edit this variable to point to
# your soon-to-be-created key
# directory.
#
# WARNING: clean-all will do
# a rm -rf on this directory
# so make sure you define
# it correctly!
export KEY_DIR="$EASY_RSA/keys"

# Issue rm -rf warning
echo NOTE: If you run ./clean-all, I will be doing a rm -rf on $KEY_DIR

# PKCS11 fixes
export PKCS11_MODULE_PATH="dummy"
export PKCS11_PIN="dummy"

# Increase this to 2048 if you
# are paranoid. This will slow
# down TLS negotiation performance
# as well as the one-time DH parms
# generation process.
export KEY_SIZE=1024

# In how many days should the root CA key expire?
export CA_EXPIRE=3650

# In how many days should certificates expire?
export KEY_EXPIRE=3650

# These are the default values for fields
# which will be placed in the certificate.
# Don't leave any of these fields blank.
export KEY_COUNTRY="DE"
export KEY_PROVINCE="ZD"
export KEY_CITY="ZDTOWN"
export KEY_ORG="]Zebradem"
export KEY_EMAIL="Freetz@Zebradem.com"

export OPENVPN=openvpn
</div>

Nun geht es an das erstellen der Zertifikate.
Wenn man in der Konsole beim erstellen etwas eingeben muss, kann man einfach immer "ENTER" drücken.
<span style="color:#FF3030"> Ausnahme:
Wenn gefragt wird, ob Client-Zertifikate signiert werden sollen --> mit "y" (yes) bestätigen!! </span>

In der Konsole wechsel nach
/etc/openvpn/easy-rsa/2.0

vars einlesen und die CA initialisieren:
. ./vars
./clean-all ## ACHTUNG!! löscht Inhalt von Keys Verzeichnis, nur beim ersten mal ausführen !!

Wenn man zu einem späteren Zeitpunkt ein Client-Zertifikat erstellen möchte, muss vorher immer
. ./vars
ausgeführt werden!

CA-Key und CA-Cert erzeugen:
./build-ca

Diffie-Hellman Parameter erzeugen:
./build-dh

Erzeugen von Server-Schlüsselpaar direkt von der CA:
./build-key-server server

Erzeugen eines Client-Schlüsselpaars (ohne Passwort), für
jeden Client eindeutigen Namen oder aufsteigende Nummer angeben:
./build-key client01

Zertifikate liegen nun in "/etc/openvpn/easy-rsa/2.0/keys"

Wenn man Client-Zertifikate mit Passwortschutz erstellen möchte:
./build-key-pass client01

Für Client benötigte Zertifikate und Dateien:
ca.crt
client01.crt
client01.key
Die 3 Dateien für den Client auf einen USB-Stick oder Client-Rechner kopieren.

Für Server benötigte Zertifikate und Dateien:
ca.crt
server.crt
server.key
dh1024.pem

Nun gehts in Freetz weiter :)

OpenVPN Einstellungen öffnen, Optionen wie folgt setzen:
[x] Automatisch
[x] Server
[x] UDP
[x] Brücke(TAP)
Port: 1194
[x] Zertifikate
Cipher: Blowfish

Lokale IP-Adresse: 10.8.0.1 (Dies wird die virtuelle IP vom Server, kann natürlich auch eine andere IP sein)
Netzmaske: 255.255.255.0
DHCP-Range: 10.8.0.150 10.8.0.160 (Je nach bedarf der virtuelle IP Bereich für Clients)
Lokales Netz: 192.168.178.0 255.255.255.0 (Tatsächlicher IP Bereich des LAN hinter dem Server, das von außen erreichbar sein soll)

[x] Erweiterte CLientkonfiguration (nicht unbedingt nötig, aber so wird es eine Runde Sache)

Client01 | 10.8.0.150 | 192.168.88.0 255.255.255.0 (Name des Client/Zertifikat | Fest zugewiesene VPN IP für Client | Zuletzt das echte Netz/LAN des Client mit Subnet)

Client02 | 10.8.0.151 | 192.168.55.0 255.255.255.0

Client03 | 10.8.0.152 | 192.168.33.0 255.255.255.0

Falls die Clients sich auch sehen sollen:

[x] Client-zu-Client

Anzahl der Maximalen Clients angeben.

DNS Server: 10.8.0.1

Den Rest so lassen wie er ist und speichern.

Mit WinSCP die folgenden Dateien öffnen und jeweils den gesamten Inhalt an genannte Stelle der OpenVPN Einstellung kopieren:
server.crt --> Box Cert (übernehmen)
ca.crt --> CA Cert (übernehmen)
dh1024.pem --> DH Param (übernehmen)
server.key --> Private Key (übernehmen)

Unter OpenVPN/CRL einfach einmal "Übernehmen" drücken, damit eine leere Datei erzeugt wird. Sonst startet OpenVPN nicht!

AVM-Firewall Settings:

lowinput sowie highoutput gleich einstellen:
Quelle --> any
Ziel --> any
Protokoll --> UDP
Start- und End-Port --> 1194
Aktion --> permit
(übernehmen)

Port Forwarding:
Protokoll --> UDP
Ziel --> Fritz!Box
Quell Port --> 1194
Ziel Port --> 1194
(übernehmen)

Fritzbox neu starten.

Weiter auf Client Rechner:

SecurepointSSLVPN_RC3 installieren.

VPN Client starten, neue Konfig anlegen:
Name
IP des Server (DynDns Adresse)
Root CA = ca.crt
Zertifikat = client01.crt
Schlüssel = client01.key
[x] Server Zertifikat
[ ] Auth user/pass (Haken entfernen!)

Rest so lassen, "Next" und "Finish" drücken.

Neu erstellte Konfig mit rechter Maustaste anklicken --> Editieren wählen

"DEV" von "tun" auf "tap" umstellen, "OK" klicken.

Wenn dies alles erledigt ist, am besten mal eine Sicherung der Freetz Settings sowie ein Export der Client-VPN-

Settings durchführen. War ja nun auch genug Arbeit ;)

Wenn man einen anderen Router als Client zum VPN Server verbindet, sollten beide LANs untereinander ereichbar sein.
Wenn ein PC den Client darstellt, gibt es noch folgenden Trick:

Regedit auf Client-Rechner starten.
HKEY_LOCAL_MACHINE\ System\ CurrentControlSet\ Services\ Tcpip\ Parameters

Eintrag "IPEnableRouter" Wert auf 1 setzen.

Rechner neu starten.

Gateway der übrigen Rechner im Client LAN auf die IP des Client Rechner setzen.

Nun sollte man schön hin und her Pingen können...

== Wichtige Links ==
*[[Freetz|Zurück zu Freetz]]
*[[Hauptseite|Zurück zu Hauptseite]]

[[Category:Fritzbox]]
[[Category:Sitemap]]

OpenVPN und Freetz, wie stricke ich mein eigenes VPN

2011-09-25T19:31:20Z

SteveO: /* Freetz@OpenVPN */

<div style="margin: 10px 10px 0pt 0pt; border: 1px solid rgb(51, 51, 51); padding: 0em 1em 1em; background-color: rgb(27, 28, 45);"><br><center>[[Image:ZD-Logo.png]]</center> <center><big><span style="color: rgb(181, 181, 181);">'''''Das Board mit Freiheiten'''''</span></big></center>
<font color="white"></font>

----

<br>
<div style="margin: 0px 20px 15pt 15pt; padding: 0em 1em 1em; background-color: rgb(48, 49, 64); border: 1px solid rgb(0, 0, 0);">
<br>
== <center><big>'''OpenVPN@Freetz''' </big></center> ==

Howto für OpenVPN mit Server@Freetz und Client@Windows.

Damit ein "echtes" VPN gestrickt werden kann erkläre ich hier das ganze mit Zertifikaten zur Authentifizierung.

Es geht auch mit Key-Auhtentification, allerdings kann dann immer nur ein Client auf den Server connecten. Mit Zertifikaten können beliebig viele VPN CLients gleichzeitig verbunden werden.

Alle Befehle gebe ich per SSH Konsole ein, Files werden per SSH/WinSCP kopiert und editiert. Darauf gehe ich hier nicht weiter ein. Wer damit Probleme hat wird im Freetz/FAQ Bereich fündig.

Benötigt:

Image für Fritzbox mit OpenVPN
OpenVPN Client für Windows, z.B. SecurepointSSLVPN_RC3

Zum erstellen der Zertifikate für Server und Clients hab ich mir auf meinem Debian Server zusäzlich OpenVPN installiert:

Als "root" am Server angemeldet folgendes in der Konsole ausführen:
apt-get install openvpn openssl

Wenn alles installiert ist, mit WinSCP folgenden Ordner erstellen:
/etc/openvpn

Mit WinSCP wechseln nach
/usr/share/doc/openvpn/examples

Ordner "easy-rsa" kopieren nach
/etc/openvpn

Wechseln nach:
/etc/openvpn/easy-rsa/2.0

Hier den Ordner "keys" anlegen.

Dann die Datei "vars" wie folgt editieren:

<div style="margin: 0; margin-top:10px; margin-right:10px; border: 4px solid #ffffff; padding: 0em 1em 1em 1em; background-color:#1B1C2D; align:right;">
# easy-rsa parameter settings

# NOTE: If you installed from an RPM,
# don't edit this file in place in
# /usr/share/openvpn/easy-rsa --
# instead, you should copy the whole
# easy-rsa directory to another location
# (such as /etc/openvpn) so that your
# edits will not be wiped out by a future
# OpenVPN package upgrade.

# This variable should point to
# the top level of the easy-rsa
# tree.
export EASY_RSA="`pwd`"

#
# This variable should point to
# the requested executables
#
export OPENSSL="openssl"
export PKCS11TOOL="pkcs11-tool"
export GREP="grep"

# This variable should point to
# the openssl.cnf file included
# with easy-rsa.
export KEY_CONFIG=`$EASY_RSA/whichopensslcnf $EASY_RSA`

# Edit this variable to point to
# your soon-to-be-created key
# directory.
#
# WARNING: clean-all will do
# a rm -rf on this directory
# so make sure you define
# it correctly!
export KEY_DIR="$EASY_RSA/keys"

# Issue rm -rf warning
echo NOTE: If you run ./clean-all, I will be doing a rm -rf on $KEY_DIR

# PKCS11 fixes
export PKCS11_MODULE_PATH="dummy"
export PKCS11_PIN="dummy"

# Increase this to 2048 if you
# are paranoid. This will slow
# down TLS negotiation performance
# as well as the one-time DH parms
# generation process.
export KEY_SIZE=1024

# In how many days should the root CA key expire?
export CA_EXPIRE=3650

# In how many days should certificates expire?
export KEY_EXPIRE=3650

# These are the default values for fields
# which will be placed in the certificate.
# Don't leave any of these fields blank.
export KEY_COUNTRY="DE"
export KEY_PROVINCE="ZD"
export KEY_CITY="ZDTOWN"
export KEY_ORG="]Zebradem"
export KEY_EMAIL="Freetz@Zebradem.com"

export OPENVPN=openvpn
</div>

Nun geht es an das erstellen der Zertifikate.
Wenn man in der Konsole beim erstellen etwas eingeben muss, kann man einfach immer "ENTER" drücken.
<span style="color:#FF3030"> Ausnahme:
Wenn gefragt wird, ob Client-Zertifikate signiert werden sollen --> mit "y" (yes) bestätigen!! </span>

In der Konsole wechsel nach
/etc/openvpn/easy-rsa/2.0

vars einlesen und die CA initialisieren:
. ./vars
./clean-all ## ACHTUNG!! löscht Inhalt von Keys Verzeichnis, nur beim ersten mal ausführen !!

Wenn man zu einem späteren Zeitpunkt ein Client-Zertifikat erstellen möchte, muss vorher immer
. ./vars
ausgeführt werden!

CA-Key und CA-Cert erzeugen:
./build-ca

Diffie-Hellman Parameter erzeugen:
./build-dh

Erzeugen von Server-Schlüsselpaar direkt von der CA:
./build-key-server server

Erzeugen eines Client-Schlüsselpaars (ohne Passwort), für
jeden Client eindeutigen Namen oder aufsteigende Nummer angeben:
./build-key client01

Zertifikate liegen nun in "/etc/openvpn/easy-rsa/2.0/keys"

Wenn man Client-Zertifikate mit Passwortschutz erstellen möchte:
./build-key-pass client01

Für Client benötigte Zertifikate und Dateien:
ca.crt
client01.crt
client01.key
Die 3 Dateien für den Client auf einen USB-Stick oder Client-Rechner kopieren.

Für Server benötigte Zertifikate und Dateien:
ca.crt
server.crt
server.key
dh1024.pem

Nun gehts in Freetz weiter :)

OpenVPN Einstellungen öffnen, Optionen wie folgt setzen:
[x] Automatisch
[x] Server
[x] UDP
[x] Brücke(TAP)
Port: 1194
[x] Zertifikate
Cipher: Blowfish

Lokale IP-Adresse: 10.8.0.1 (Dies wird die virtuelle IP vom Server, kann natürlich auch eine andere IP sein)
Netzmaske: 255.255.255.0
DHCP-Range: 10.8.0.150 10.8.0.160 (Je nach bedarf der virtuelle IP Bereich für Clients)
Lokales Netz: 192.168.178.0 255.255.255.0 (Tatsächlicher IP Bereich des LAN hinter dem Server, das von außen erreichbar sein soll)

[x] Erweiterte CLientkonfiguration (nicht unbedingt nötig, aber so wird es eine Runde Sache)

Client01 | 10.8.0.150 | 192.168.88.0 255.255.255.0 (Name des Client/Zertifikat | Fest zugewiesene VPN IP für Client | Zuletzt das echte Netz/LAN des Client mit Subnet)

Client02 | 10.8.0.151 | 192.168.55.0 255.255.255.0

Client03 | 10.8.0.152 | 192.168.33.0 255.255.255.0

Falls die Clients sich auch sehen sollen:

[x] Client-zu-Client

Anzahl der Maximalen Clients angeben.

DNS Server: 10.8.0.1

Den Rest so lassen wie er ist und speichern.

Mit WinSCP die folgenden Dateien öffnen und jeweils den gesamten Inhalt an genannte Stelle der OpenVPN Einstellung kopieren:
server.crt --> Box Cert (übernehmen)
ca.crt --> CA Cert (übernehmen)
dh1024.pem --> DH Param (übernehmen)
server.key --> Private Key (übernehmen)

Unter OpenVPN/CRL einfach einmal "Übernehmen" drücken, damit eine leere Datei erzeugt wird. Sonst startet OpenVPN nicht!

AVM-Firewall Settings:

lowinput sowie highoutput gleich einstellen:
Quelle --> any
Ziel --> any
Protokoll --> UDP
Start- und End-Port --> 1194
Aktion --> permit
(übernehmen)

Port Forwarding:
Protokoll --> UDP
Ziel --> Fritz!Box
Quell Port --> 1194
Ziel Port --> 1194
(übernehmen)

Fritzbox neu starten.

Weiter auf Client Rechner:

SecurepointSSLVPN_RC3 installieren.

VPN Client starten, neue Konfig anlegen:
Name
IP des Server (DynDns Adresse)
Root CA = ca.crt
Zertifikat = client01.crt
Schlüssel = client01.key
[x] Server Zertifikat
[ ] Auth user/pass (Haken entfernen!)

Rest so lassen, "Next" und "Finish" drücken.

Neu erstellte Konfig mit rechter Maustaste anklicken --> Editieren wählen

"DEV" von "tun" auf "tap" umstellen, "OK" klicken.

Wenn dies alles erledigt ist, am besten mal eine Sicherung der Freetz Settings sowie ein Export der Client-VPN-

Settings durchführen. War ja nun auch genug Arbeit ;)

Wenn man einen anderen Router als Client zum VPN Server verbindet, sollten beide LANs untereinander ereichbar sein.
Wenn ein PC den Client darstellt, gibt es noch folgenden Trick:

Regedit auf Client-Rechner starten.
HKEY_LOCAL_MACHINE\ System\ CurrentControlSet\ Services\ Tcpip\ Parameters

Eintrag "IPEnableRouter" Wert auf 1 setzen.

Rechner neu starten.

Gateway der übrigen Rechner im Client LAN auf die IP des Client Rechner setzen.

Nun sollte man schön hin und her Pingen können...

== Wichtige Links ==
*[[Freetz|Zurück zu Freetz]]
*[[Hauptseite|Zurück zu Hauptseite]]

[[Category:Fritzbox]]
[[Category:Sitemap]]

OpenVPN und Freetz, wie stricke ich mein eigenes VPN

2011-09-25T11:50:00Z

SteveO:

<div style="margin: 10px 10px 0pt 0pt; border: 1px solid rgb(51, 51, 51); padding: 0em 1em 1em; background-color: rgb(27, 28, 45);"><br><center>[[Image:ZD-Logo.png]]</center> <center><big><span style="color: rgb(181, 181, 181);">'''''Das Board mit Freiheiten'''''</span></big></center>
<font color="white"></font>

----

<br>
<div style="margin: 0px 20px 15pt 15pt; padding: 0em 1em 1em; background-color: rgb(48, 49, 64); border: 1px solid rgb(0, 0, 0);">
<br>
== <center><big>'''Freetz@OpenVPN''' </big></center> ==

Howto für OpenVPN mit Server@Freetz und Client@Windows.

Damit ein "echtes" VPN gestrickt werden kann erkläre ich hier das ganze mit Zertifikaten zur Authentifizierung.

Es geht auch mit Key-Auhtentification, allerdings kann dann immer nur ein Client auf den Server connecten. Mit Zertifikaten können beliebig viele VPN CLients gleichzeitig verbunden werden.

Alle Befehle gebe ich per SSH Konsole ein, Files werden per SSH/WinSCP kopiert und editiert. Darauf gehe ich hier nicht weiter ein. Wer damit Probleme hat wird im Freetz/FAQ Bereich fündig.

Benötigt:

Image für Fritzbox mit OpenVPN
OpenVPN Client für Windows, z.B. SecurepointSSLVPN_RC3

Zum erstellen der Zertifikate für Server und Clients hab ich mir auf meinem Debian Server zusäzlich OpenVPN installiert:

Als "root" am Server angemeldet folgendes in der Konsole ausführen:
apt-get install openvpn openssl

Wenn alles installiert ist, mit WinSCP folgenden Ordner erstellen:
/etc/openvpn

Mit WinSCP wechseln nach
/usr/share/doc/openvpn/examples

Ordner "easy-rsa" kopieren nach
/etc/openvpn

Wechseln nach:
/etc/openvpn/easy-rsa/2.0

Hier den Ordner "keys" anlegen.

Dann die Datei "vars" wie folgt editieren:

<div style="margin: 0; margin-top:10px; margin-right:10px; border: 4px solid #ffffff; padding: 0em 1em 1em 1em; background-color:#1B1C2D; align:right;">
# easy-rsa parameter settings

# NOTE: If you installed from an RPM,
# don't edit this file in place in
# /usr/share/openvpn/easy-rsa --
# instead, you should copy the whole
# easy-rsa directory to another location
# (such as /etc/openvpn) so that your
# edits will not be wiped out by a future
# OpenVPN package upgrade.

# This variable should point to
# the top level of the easy-rsa
# tree.
export EASY_RSA="`pwd`"

#
# This variable should point to
# the requested executables
#
export OPENSSL="openssl"
export PKCS11TOOL="pkcs11-tool"
export GREP="grep"

# This variable should point to
# the openssl.cnf file included
# with easy-rsa.
export KEY_CONFIG=`$EASY_RSA/whichopensslcnf $EASY_RSA`

# Edit this variable to point to
# your soon-to-be-created key
# directory.
#
# WARNING: clean-all will do
# a rm -rf on this directory
# so make sure you define
# it correctly!
export KEY_DIR="$EASY_RSA/keys"

# Issue rm -rf warning
echo NOTE: If you run ./clean-all, I will be doing a rm -rf on $KEY_DIR

# PKCS11 fixes
export PKCS11_MODULE_PATH="dummy"
export PKCS11_PIN="dummy"

# Increase this to 2048 if you
# are paranoid. This will slow
# down TLS negotiation performance
# as well as the one-time DH parms
# generation process.
export KEY_SIZE=1024

# In how many days should the root CA key expire?
export CA_EXPIRE=3650

# In how many days should certificates expire?
export KEY_EXPIRE=3650

# These are the default values for fields
# which will be placed in the certificate.
# Don't leave any of these fields blank.
export KEY_COUNTRY="DE"
export KEY_PROVINCE="ZD"
export KEY_CITY="ZDTOWN"
export KEY_ORG="]Zebradem"
export KEY_EMAIL="Freetz@Zebradem.com"

export OPENVPN=openvpn
</div>

Nun geht es an das erstellen der Zertifikate.
Wenn man in der Konsole beim erstellen etwas eingeben muss, kann man einfach immer "ENTER" drücken.
<span style="color:#FF3030"> Ausnahme:
Wenn gefragt wird, ob Client-Zertifikate signiert werden sollen --> mit "y" (yes) bestätigen!! </span>

In der Konsole wechsel nach
/etc/openvpn/easy-rsa/2.0

vars einlesen und die CA initialisieren:
. ./vars
./clean-all ## ACHTUNG!! löscht Inhalt von Keys Verzeichnis, nur beim ersten mal ausführen !!

Wenn man zu einem späteren Zeitpunkt ein Client-Zertifikat erstellen möchte, muss vorher immer
. ./vars
ausgeführt werden!

CA-Key und CA-Cert erzeugen:
./build-ca

Diffie-Hellman Parameter erzeugen:
./build-dh

Erzeugen von Server-Schlüsselpaar direkt von der CA:
./build-key-server server

Erzeugen eines Client-Schlüsselpaars (ohne Passwort), für
jeden Client eindeutigen Namen oder aufsteigende Nummer angeben:
./build-key client01

Zertifikate liegen nun in "/etc/openvpn/easy-rsa/2.0/keys"

Wenn man Client-Zertifikate mit Passwortschutz erstellen möchte:
./build-key-pass client01

Für Client benötigte Zertifikate und Dateien:
ca.crt
client01.crt
client01.key
Die 3 Dateien für den Client auf einen USB-Stick oder Client-Rechner kopieren.

Für Server benötigte Zertifikate und Dateien:
ca.crt
server.crt
server.key
dh1024.pem

Nun gehts in Freetz weiter :)

OpenVPN Einstellungen öffnen, Optionen wie folgt setzen:
[x] Automatisch
[x] Server
[x] UDP
[x] Brücke(TAP)
Port: 1194
[x] Zertifikate
Cipher: Blowfish

Lokale IP-Adresse: 10.8.0.1 (Dies wird die virtuelle IP vom Server, kann natürlich auch eine andere IP sein)
Netzmaske: 255.255.255.0
DHCP-Range: 10.8.0.150 10.8.0.160 (Je nach bedarf der virtuelle IP Bereich für Clients)
Lokales Netz: 192.168.178.0 255.255.255.0 (Tatsächlicher IP Bereich des LAN hinter dem Server, das von außen erreichbar sein soll)

[x] Erweiterte CLientkonfiguration (nicht unbedingt nötig, aber so wird es eine Runde Sache)

Client01 | 10.8.0.150 | 192.168.88.0 255.255.255.0 (Name des Client/Zertifikat | Fest zugewiesene VPN IP für Client | Zuletzt das echte Netz/LAN des Client mit Subnet)

Client02 | 10.8.0.151 | 192.168.55.0 255.255.255.0

Client03 | 10.8.0.152 | 192.168.33.0 255.255.255.0

Falls die Clients sich auch sehen sollen:

[x] Client-zu-Client

Anzahl der Maximalen Clients angeben.

DNS Server: 10.8.0.1

Den Rest so lassen wie er ist und speichern.

Mit WinSCP die folgenden Dateien öffnen und jeweils den gesamten Inhalt an genannte Stelle der OpenVPN Einstellung kopieren:
server.crt --> Box Cert (übernehmen)
ca.crt --> CA Cert (übernehmen)
dh1024.pem --> DH Param (übernehmen)
server.key --> Private Key (übernehmen)

Unter OpenVPN/CRL einfach einmal "Übernehmen" drücken, damit eine leere Datei erzeugt wird. Sonst startet OpenVPN nicht!

AVM-Firewall Settings:

lowinput sowie highoutput gleich einstellen:
Quelle --> any
Ziel --> any
Protokoll --> UDP
Start- und End-Port --> 1194
Aktion --> permit
(übernehmen)

Port Forwarding:
Protokoll --> UDP
Ziel --> Fritz!Box
Quell Port --> 1194
Ziel Port --> 1194
(übernehmen)

Fritzbox neu starten.

Weiter auf Client Rechner:

SecurepointSSLVPN_RC3 installieren.

VPN Client starten, neue Konfig anlegen:
Name
IP des Server (DynDns Adresse)
Root CA = ca.crt
Zertifikat = client01.crt
Schlüssel = client01.key
[x] Server Zertifikat
[ ] Auth user/pass (Haken entfernen!)

Rest so lassen, "Next" und "Finish" drücken.

Neu erstellte Konfig mit rechter Maustaste anklicken --> Editieren wählen

"DEV" von "tun" auf "tap" umstellen, "OK" klicken.

Wenn dies alles erledigt ist, am besten mal eine Sicherung der Freetz Settings sowie ein Export der Client-VPN-

Settings durchführen. War ja nun auch genug Arbeit ;)

Wenn man einen anderen Router als Client zum VPN Server verbindet, sollten beide LANs untereinander ereichbar sein.
Wenn ein PC den Client darstellt, gibt es noch folgenden Trick:

Regedit auf Client-Rechner starten.
HKEY_LOCAL_MACHINE\ System\ CurrentControlSet\ Services\ Tcpip\ Parameters

Eintrag "IPEnableRouter" Wert auf 1 setzen.

Rechner neu starten.

Gateway der übrigen Rechner im Client LAN auf die IP des Client Rechner setzen.

Nun sollte man schön hin und her Pingen können...

== Wichtige Links ==
*[[Freetz|Zurück zu Freetz]]
*[[Hauptseite|Zurück zu Hauptseite]]

[[Category:Fritzbox]]
[[Category:Sitemap]]

OpenVPN und Freetz, wie stricke ich mein eigenes VPN

2011-09-25T11:46:56Z

SteveO:

<div style="margin: 10px 10px 0pt 0pt; border: 1px solid rgb(51, 51, 51); padding: 0em 1em 1em; background-color: rgb(27, 28, 45);"><br><center>[[Image:ZD-Logo.png]]</center> <center><big><span style="color: rgb(181, 181, 181);">'''''Das Board mit Freiheiten'''''</span></big></center>
<font color="white"></font>

----

<br>
<div style="margin: 0px 20px 15pt 15pt; padding: 0em 1em 1em; background-color: rgb(48, 49, 64); border: 1px solid rgb(0, 0, 0);">
<br>
== <center><big>'''Freetz@OpenVPN''' </big></center> ==

Howto für OpenVPN mit Server@Freetz und Client@Windows.

Damit ein "echtes" VPN gestrickt werden kann erkläre ich hier das ganze mit Zertifikaten zur Authentifizierung.

Es geht auch mit Key-Auhtentification, allerdings kann dann immer nur ein Client auf den Server connecten. Mit Zertifikaten können beliebig viele VPN CLients gleichzeitig verbunden werden.

Alle Befehle gebe ich per SSH Konsole ein, Files werden per SSH/WinSCP kopiert und editiert. Darauf gehe ich hier nicht weiter ein. Wer damit Probleme hat wird im Freetz/FAQ Bereich fündig.

Benötigt:

Image für Fritzbox mit OpenVPN
OpenVPN Client für Windows, z.B. SecurepointSSLVPN_RC3

Zum erstellen der Zertifikate für Server und Clients hab ich mir auf meinem Debian Server zusäzlich OpenVPN installiert:

Als "root" am Server angemeldet folgendes in der Konsole ausführen:
apt-get install openvpn openssl

Wenn alles installiert ist, mit WinSCP folgenden Ordner erstellen:
/etc/openvpn

Mit WinSCP wechseln nach
/usr/share/doc/openvpn/examples

Ordner "easy-rsa" kopieren nach
/etc/openvpn

Wechseln nach:
/etc/openvpn/easy-rsa/2.0

Hier den Ordner "keys" anlegen.

Dann die Datei "vars" wie folgt editieren:

<div style="margin: 0; margin-top:10px; margin-right:10px; border: 4px solid #ffffff; padding: 0em 1em 1em 1em; background-color:#1B1C2D; align:right;">
# easy-rsa parameter settings

# NOTE: If you installed from an RPM,
# don't edit this file in place in
# /usr/share/openvpn/easy-rsa --
# instead, you should copy the whole
# easy-rsa directory to another location
# (such as /etc/openvpn) so that your
# edits will not be wiped out by a future
# OpenVPN package upgrade.

# This variable should point to
# the top level of the easy-rsa
# tree.
export EASY_RSA="`pwd`"

#
# This variable should point to
# the requested executables
#
export OPENSSL="openssl"
export PKCS11TOOL="pkcs11-tool"
export GREP="grep"

# This variable should point to
# the openssl.cnf file included
# with easy-rsa.
export KEY_CONFIG=`$EASY_RSA/whichopensslcnf $EASY_RSA`

# Edit this variable to point to
# your soon-to-be-created key
# directory.
#
# WARNING: clean-all will do
# a rm -rf on this directory
# so make sure you define
# it correctly!
export KEY_DIR="$EASY_RSA/keys"

# Issue rm -rf warning
echo NOTE: If you run ./clean-all, I will be doing a rm -rf on $KEY_DIR

# PKCS11 fixes
export PKCS11_MODULE_PATH="dummy"
export PKCS11_PIN="dummy"

# Increase this to 2048 if you
# are paranoid. This will slow
# down TLS negotiation performance
# as well as the one-time DH parms
# generation process.
export KEY_SIZE=1024

# In how many days should the root CA key expire?
export CA_EXPIRE=3650

# In how many days should certificates expire?
export KEY_EXPIRE=3650

# These are the default values for fields
# which will be placed in the certificate.
# Don't leave any of these fields blank.
export KEY_COUNTRY="DE"
export KEY_PROVINCE="ZD"
export KEY_CITY="ZDTOWN"
export KEY_ORG="]Zebradem"
export KEY_EMAIL="Freetz@Zebradem.com"

export OPENVPN=openvpn
</div>

Nun geht es an das erstellen der Zertifikate.
Wenn man in der Konsole beim erstellen etwas eingeben muss, kann man einfach immer "ENTER" drücken.
Ausnahme:
Wenn gefragt wird, ob Client-Zertifikate signiert werden sollen --> mit "y" (yes) bestätigen!!

In der Konsole wechsel nach
/etc/openvpn/easy-rsa/2.0

vars einlesen und die CA initialisieren:
. ./vars
./clean-all ## ACHTUNG!! löscht Inhalt von Keys Verzeichnis, nur beim ersten mal ausführen !!

Wenn man zu einem späteren Zeitpunkt ein Client-Zertifikat erstellen möchte, muss vorher immer
. ./vars
ausgeführt werden!

CA-Key und CA-Cert erzeugen:
./build-ca

Diffie-Hellman Parameter erzeugen:
./build-dh

Erzeugen von Server-Schlüsselpaar direkt von der CA:
./build-key-server server

Erzeugen eines Client-Schlüsselpaars (ohne Passwort), für
jeden Client eindeutigen Namen oder aufsteigende Nummer angeben:
./build-key client01

Zertifikate liegen nun in "/etc/openvpn/easy-rsa/2.0/keys"

Wenn man Client-Zertifikate mit Passwortschutz erstellen möchte:
./build-key-pass client01

Für Client benötigte Zertifikate und Dateien:
ca.crt
client01.crt
client01.key
Die 3 Dateien für den Client auf einen USB-Stick oder Client-Rechner kopieren.

Für Server benötigte Zertifikate und Dateien:
ca.crt
server.crt
server.key
dh1024.pem

Nun gehts in Freetz weiter :)

OpenVPN Einstellungen öffnen, Optionen wie folgt setzen:
[x] Automatisch
[x] Server
[x] UDP
[x] Brücke(TAP)
Port: 1194
[x] Zertifikate
Cipher: Blowfish

Lokale IP-Adresse: 10.8.0.1 (Dies wird die virtuelle IP vom Server, kann natürlich auch eine andere IP sein)
Netzmaske: 255.255.255.0
DHCP-Range: 10.8.0.150 10.8.0.160 (Je nach bedarf der virtuelle IP Bereich für Clients)
Lokales Netz: 192.168.178.0 255.255.255.0 (Tatsächlicher IP Bereich des LAN hinter dem Server, das von außen erreichbar sein soll)

[x] Erweiterte CLientkonfiguration (nicht unbedingt nötig, aber so wird es eine Runde Sache)

Client01 | 10.8.0.150 | 192.168.88.0 255.255.255.0 (Name des Client/Zertifikat | Fest zugewiesene VPN IP für Client | Zuletzt das echte Netz/LAN des Client mit Subnet)

Client02 | 10.8.0.151 | 192.168.55.0 255.255.255.0

Client03 | 10.8.0.152 | 192.168.33.0 255.255.255.0

Falls die Clients sich auch sehen sollen:

[x] Client-zu-Client

Anzahl der Maximalen Clients angeben.

DNS Server: 10.8.0.1

Den Rest so lassen wie er ist und speichern.

Mit WinSCP die folgenden Dateien öffnen und jeweils den gesamten Inhalt an genannte Stelle der OpenVPN Einstellung kopieren:
server.crt --> Box Cert (übernehmen)
ca.crt --> CA Cert (übernehmen)
dh1024.pem --> DH Param (übernehmen)
server.key --> Private Key (übernehmen)

Unter OpenVPN/CRL einfach einmal "Übernehmen" drücken, damit eine leere Datei erzeugt wird. Sonst startet OpenVPN nicht!

AVM-Firewall Settings:

lowinput sowie highoutput gleich einstellen:
Quelle --> any
Ziel --> any
Protokoll --> UDP
Start- und End-Port --> 1194
Aktion --> permit
(übernehmen)

Port Forwarding:
Protokoll --> UDP
Ziel --> Fritz!Box
Quell Port --> 1194
Ziel Port --> 1194
(übernehmen)

Fritzbox neu starten.

Weiter auf Client Rechner:

SecurepointSSLVPN_RC3 installieren.

VPN Client starten, neue Konfig anlegen:
Name
IP des Server (DynDns Adresse)
Root CA = ca.crt
Zertifikat = client01.crt
Schlüssel = client01.key
[x] Server Zertifikat
[ ] Auth user/pass (Haken entfernen!)

Rest so lassen, "Next" und "Finish" drücken.

Neu erstellte Konfig mit rechter Maustaste anklicken --> Editieren wählen

"DEV" von "tun" auf "tap" umstellen, "OK" klicken.

Wenn dies alles erledigt ist, am besten mal eine Sicherung der Freetz Settings sowie ein Export der Client-VPN-

Settings durchführen. War ja nun auch genug Arbeit ;)

Wenn man einen anderen Router als Client zum VPN Server verbindet, sollten beide LANs untereinander ereichbar sein.
Wenn ein PC den Client darstellt, gibt es noch folgenden Trick:

Regedit auf Client-Rechner starten.
HKEY_LOCAL_MACHINE\ System\ CurrentControlSet\ Services\ Tcpip\ Parameters

Eintrag "IPEnableRouter" Wert auf 1 setzen.

Rechner neu starten.

Gateway der übrigen Rechner im Client LAN auf die IP des Client Rechner setzen.

Nun sollte man schön hin und her Pingen können...

== Wichtige Links ==
*[[Freetz|Zurück zu Freetz]]
*[[Hauptseite|Zurück zu Hauptseite]]

[[Category:Fritzbox]]
[[Category:Sitemap]]

OpenVPN und Freetz, wie stricke ich mein eigenes VPN

2011-09-25T11:44:48Z

SteveO:

<div style="margin: 10px 10px 0pt 0pt; border: 1px solid rgb(51, 51, 51); padding: 0em 1em 1em; background-color: rgb(27, 28, 45);"><br><center>[[Image:ZD-Logo.png]]</center> <center><big><span style="color: rgb(181, 181, 181);">'''''Das Board mit Freiheiten'''''</span></big></center>
<font color="white"></font>

----

<br>
<div style="margin: 0px 20px 15pt 15pt; padding: 0em 1em 1em; background-color: rgb(48, 49, 64); border: 1px solid rgb(0, 0, 0);">
<br>
<center><big>'''Freetz@OpenVPN''' </big></center>

Howto für OpenVPN mit Server@Freetz und Client@Windows.

Damit ein "echtes" VPN gestrickt werden kann erkläre ich hier das ganze mit Zertifikaten zur Authentifizierung.

Es geht auch mit Key-Auhtentification, allerdings kann dann immer nur ein Client auf den Server connecten. Mit Zertifikaten können beliebig viele VPN CLients gleichzeitig verbunden werden.

Alle Befehle gebe ich per SSH Konsole ein, Files werden per SSH/WinSCP kopiert und editiert. Darauf gehe ich hier nicht weiter ein. Wer damit Probleme hat wird im Freetz/FAQ Bereich fündig.

Benötigt:

Image für Fritzbox mit OpenVPN
OpenVPN Client für Windows, z.B. SecurepointSSLVPN_RC3

Zum erstellen der Zertifikate für Server und Clients hab ich mir auf meinem Debian Server zusäzlich OpenVPN installiert:

Als "root" am Server angemeldet folgendes in der Konsole ausführen:
apt-get install openvpn openssl

Wenn alles installiert ist, mit WinSCP folgenden Ordner erstellen:
/etc/openvpn

Mit WinSCP wechseln nach
/usr/share/doc/openvpn/examples

Ordner "easy-rsa" kopieren nach
/etc/openvpn

Wechseln nach:
/etc/openvpn/easy-rsa/2.0

Hier den Ordner "keys" anlegen.

Dann die Datei "vars" wie folgt editieren:

<div style="margin: 0; margin-top:10px; margin-right:10px; border: 4px solid #ffffff; padding: 0em 1em 1em 1em; background-color:#1B1C2D; align:right;">
# easy-rsa parameter settings

# NOTE: If you installed from an RPM,
# don't edit this file in place in
# /usr/share/openvpn/easy-rsa --
# instead, you should copy the whole
# easy-rsa directory to another location
# (such as /etc/openvpn) so that your
# edits will not be wiped out by a future
# OpenVPN package upgrade.

# This variable should point to
# the top level of the easy-rsa
# tree.
export EASY_RSA="`pwd`"

#
# This variable should point to
# the requested executables
#
export OPENSSL="openssl"
export PKCS11TOOL="pkcs11-tool"
export GREP="grep"

# This variable should point to
# the openssl.cnf file included
# with easy-rsa.
export KEY_CONFIG=`$EASY_RSA/whichopensslcnf $EASY_RSA`

# Edit this variable to point to
# your soon-to-be-created key
# directory.
#
# WARNING: clean-all will do
# a rm -rf on this directory
# so make sure you define
# it correctly!
export KEY_DIR="$EASY_RSA/keys"

# Issue rm -rf warning
echo NOTE: If you run ./clean-all, I will be doing a rm -rf on $KEY_DIR

# PKCS11 fixes
export PKCS11_MODULE_PATH="dummy"
export PKCS11_PIN="dummy"

# Increase this to 2048 if you
# are paranoid. This will slow
# down TLS negotiation performance
# as well as the one-time DH parms
# generation process.
export KEY_SIZE=1024

# In how many days should the root CA key expire?
export CA_EXPIRE=3650

# In how many days should certificates expire?
export KEY_EXPIRE=3650

# These are the default values for fields
# which will be placed in the certificate.
# Don't leave any of these fields blank.
export KEY_COUNTRY="DE"
export KEY_PROVINCE="ZD"
export KEY_CITY="ZDTOWN"
export KEY_ORG="]Zebradem"
export KEY_EMAIL="Freetz@Zebradem.com"

export OPENVPN=openvpn
</div>

Nun geht es an das erstellen der Zertifikate.
Wenn man in der Konsole beim erstellen etwas eingeben muss, kann man einfach immer "ENTER" drücken.
Ausnahme:
Wenn gefragt wird, ob Client-Zertifikate signiert werden sollen --> mit "y" (yes) bestätigen!!

In der Konsole wechsel nach
/etc/openvpn/easy-rsa/2.0

vars einlesen und die CA initialisieren:
. ./vars
./clean-all ## ACHTUNG!! löscht Inhalt von Keys Verzeichnis, nur beim ersten mal ausführen !!

Wenn man zu einem späteren Zeitpunkt ein Client-Zertifikat erstellen möchte, muss vorher immer
. ./vars
ausgeführt werden!

CA-Key und CA-Cert erzeugen:
./build-ca

Diffie-Hellman Parameter erzeugen:
./build-dh

Erzeugen von Server-Schlüsselpaar direkt von der CA:
./build-key-server server

Erzeugen eines Client-Schlüsselpaars (ohne Passwort), für
jeden Client eindeutigen Namen oder aufsteigende Nummer angeben:
./build-key client01

Zertifikate liegen nun in "/etc/openvpn/easy-rsa/2.0/keys"

Wenn man Client-Zertifikate mit Passwortschutz erstellen möchte:
./build-key-pass client01

Für Client benötigte Zertifikate und Dateien:
ca.crt
client01.crt
client01.key
Die 3 Dateien für den Client auf einen USB-Stick oder Client-Rechner kopieren.

Für Server benötigte Zertifikate und Dateien:
ca.crt
server.crt
server.key
dh1024.pem

Nun gehts in Freetz weiter :)

OpenVPN Einstellungen öffnen, Optionen wie folgt setzen:
[x] Automatisch
[x] Server
[x] UDP
[x] Brücke(TAP)
Port: 1194
[x] Zertifikate
Cipher: Blowfish

Lokale IP-Adresse: 10.8.0.1 (Dies wird die virtuelle IP vom Server, kann natürlich auch eine andere IP sein)
Netzmaske: 255.255.255.0
DHCP-Range: 10.8.0.150 10.8.0.160 (Je nach bedarf der virtuelle IP Bereich für Clients)
Lokales Netz: 192.168.178.0 255.255.255.0 (Tatsächlicher IP Bereich des LAN hinter dem Server, das von außen erreichbar sein soll)

[x] Erweiterte CLientkonfiguration (nicht unbedingt nötig, aber so wird es eine Runde Sache)

Client01 | 10.8.0.150 | 192.168.88.0 255.255.255.0 (Name des Client/Zertifikat | Fest zugewiesene VPN IP für Client | Zuletzt das echte Netz/LAN des Client mit Subnet)

Client02 | 10.8.0.151 | 192.168.55.0 255.255.255.0

Client03 | 10.8.0.152 | 192.168.33.0 255.255.255.0

Falls die Clients sich auch sehen sollen:

[x] Client-zu-Client

Anzahl der Maximalen Clients angeben.

DNS Server: 10.8.0.1

Den Rest so lassen wie er ist und speichern.

Mit WinSCP die folgenden Dateien öffnen und jeweils den gesamten Inhalt an genannte Stelle der OpenVPN Einstellung kopieren:
server.crt --> Box Cert (übernehmen)
ca.crt --> CA Cert (übernehmen)
dh1024.pem --> DH Param (übernehmen)
server.key --> Private Key (übernehmen)

Unter OpenVPN/CRL einfach einmal "Übernehmen" drücken, damit eine leere Datei erzeugt wird. Sonst startet OpenVPN nicht!

AVM-Firewall Settings:

lowinput sowie highoutput gleich einstellen:
Quelle --> any
Ziel --> any
Protokoll --> UDP
Start- und End-Port --> 1194
Aktion --> permit
(übernehmen)

Port Forwarding:
Protokoll --> UDP
Ziel --> Fritz!Box
Quell Port --> 1194
Ziel Port --> 1194
(übernehmen)

Fritzbox neu starten.

Weiter auf Client Rechner:

SecurepointSSLVPN_RC3 installieren.

VPN Client starten, neue Konfig anlegen:
Name
IP des Server (DynDns Adresse)
Root CA = ca.crt
Zertifikat = client01.crt
Schlüssel = client01.key
[x] Server Zertifikat
[ ] Auth user/pass (Haken entfernen!)

Rest so lassen, "Next" und "Finish" drücken.

Neu erstellte Konfig mit rechter Maustaste anklicken --> Editieren wählen

"DEV" von "tun" auf "tap" umstellen, "OK" klicken.

Wenn dies alles erledigt ist, am besten mal eine Sicherung der Freetz Settings sowie ein Export der Client-VPN-

Settings durchführen. War ja nun auch genug Arbeit ;)

Wenn man einen anderen Router als Client zum VPN Server verbindet, sollten beide LANs untereinander ereichbar sein.
Wenn ein PC den Client darstellt, gibt es noch folgenden Trick:

Regedit auf Client-Rechner starten.
HKEY_LOCAL_MACHINE\ System\ CurrentControlSet\ Services\ Tcpip\ Parameters

Eintrag "IPEnableRouter" Wert auf 1 setzen.

Rechner neu starten.

Gateway der übrigen Rechner im Client LAN auf die IP des Client Rechner setzen.

Nun sollte man schön hin und her Pingen können...

== Wichtige Links ==
*[[Freetz|Zurück zu Freetz]]
*[[Hauptseite|Zurück zu Hauptseite]]

[[Category:Fritzbox]]
[[Category:Sitemap]]

SSH und Freetz, Beispiele für abhörsicheren Zugriff über Inet auf Fritzbox/LAN

2011-09-25T11:41:21Z

SteveO:

<div style="margin: 10px 10px 0pt 0pt; border: 1px solid rgb(51, 51, 51); padding: 0em 1em 1em; background-color: rgb(27, 28, 45);"><br><center>[[Image:ZD-Logo.png]]</center> <center><big><span style="color: rgb(181, 181, 181);">'''''Das Board mit Freiheiten'''''</span></big></center>
<font color="white"></font>

----

<br>
<div style="margin: 0px 20px 15pt 15pt; padding: 0em 1em 1em; background-color: rgb(48, 49, 64); border: 1px solid rgb(0, 0, 0);">
<br>

== <center><big>'''Teil 1''' </big></center> ==

Vorwort:

Mit Dropbear im Freetz hat man einen SSH Server. Damit sind einige Sachen möglich wie zB FTP, Konsolensteuerung (Telnet) oder das Tunneln im Inet vom heimischen Netzwerk.

Das besondere daran ist die Tatsache das all dies wegen der Verschlüsselung abhörsicher ist.

In diesem HowTo erkläre ich wie man sich eine sicheren Zugang per SSH mit Key Authentification erstellt, also ein Login auf den Zugang ohne Passwort.

Passwörter/User kombinationen haben den Schwachpunkt das man sie unter Umständen knacken kann. Dies kann mit einem Public/Private Key Pair nicht passieren.

Zudem spart man sich das ständige eingeben der Logindaten. So wird die Nutzung von SSH zu einer angenehmen und bevorzugten Variante für Datenübermittlung und Fernzugriff.

Benötigt:
WinSCP
Putty
Puttygen
Dyn - Adresse für Fritzbox
Unix Editor, zB Crimson Editor
Image mit Dropbear im Freetz

Zuerst erstellen wir uns ein Keypair. Dazu nutzen wir Puttygen.

Tool starten und wie im Bild unten einstellen:

<center>[[Datei:1so.jpg]]</center>

Dann auf " Generate " Button drücken und die Maus in der freien Fläche bewegen bis der grüne Balken ganz voll ist. So wird ein zufälliger Schlüssel erzeugt.

<center>[[Datei:2so.jpg]]</center>

Nun den Public und Private Key speichern ( bei Keypassphrase nichts eingeben!).
Sicherheitsabfrage beim speichern des Private Key mit ja beantworten.

Die Datei des Public Key nun im Crimson Editor öffnen und wie auf dem Bild markieren und kopieren:

<center>[[Datei:3so.jpg]]</center>

Nun im Freetz unter Einstellungen / SSH: authorized_keys den gerade kopierten Key nach dem Muster im Bild einfügen:

<center>[[Datei:4so.jpg]]</center>

Der Key MUSS!! in einer Zeile stehen, also die Zeilenumbrüche entfernen!!

Danach noch auf Übernehmen drücken.
Unter Pakete / Dropbear noch "Passwort Login" deaktivieren und "root Login" erlauben.

Den Start von Dropbear auf automatisch stellen und unter Diensten starten.

In der AVM Firewall eine Weiterleitung des Port 22 / TCP auf die Fritzbox erstellen ( Fritz neu starten).

Somit ist die Fritzbox inkl. Freetz schonmal fertig.

Nun geht es mit Putty weiter. Zb auf dem Laptop von dem aus ihr Zugriff auf die Fritz / das LAN haben wollt.

Zuerst wird der Zugriff ohne Inet für Konsole erklärt

Putty starten, IP der Fritzbox sowie Namen zum speichern der Einstellung (hier: Beispiel Config) angeben:

<center>[[Datei:5so.jpg]]</center>

Unter Data den Auto-Login Username "root" eintragen:

<center>[[Datei:6so.jpg]]</center>

Bei SSH / Auth das abgespeicherte Private key File (.ppk File) angeben:

<center>[[Datei:7so.jpg]]</center>

Dann wieder ganz hoch auf Session und die Einstellungen speichern.

Nach einem Klick auf "open" öffnet sich ganz von selbst die Konsole der Fritzbox.

WinSCP erkläre ich nicht Extra, es muss wie Putty eingestellt werden sowie das .ppk File angegeben werden. Ist das gemacht ist Filetransfer per SSH möglich.

Nun wird das Tunneln mittels Putty über das Inet erklärt

Putty öffnen und bei Host die Dyn - Adresse der Fritzbox und Namen zum speichern (hier: SSH Tunnel) eingeben:

<center>[[Datei:8so.jpg]]</center>

Wieder zu Data / Auto-Login Username und "root" eingeben sowie unter SSH / Auth das .ppk File angeben.

Unter X11 geben wir nun "localhost:0" ein:

Weiter gehts bei "Tunnels".

Hier geben wir nun an unter welchem Localhost-Port ( auf unserem Läppi) welcher Port und welche IP hinter dem Tunnel ereichbar sein soll.

Ein Beispiel:

Unser Port auf dem Läppi soll "8080" sein. Wir wollen das WebIF (Port 80) einer Dbox mit IP 192.168.178.100 erreichen

Bei Source Port geben wir die 8080 ein. Unter Destination die Lan IP der Dbox gefolgt vom Port des Webif, also 80.
Auf ADD drücken und die Combi ist übernommen.
Nach diesem Muster können beliebige Ziel-IPs/Ports Combis angegeben werden. Jede Combi muss mit ADD übernommen werden.

<center>[[Datei:9so.jpg]]</center>

Sind alle IPs die ich im LAN per Tunnel erreichen möchte angegeben wieder bei Session das ganze abspeichern.

Ein Klick auf "Open" verbindet wieder auf die Fritzbox.

Wenn man nun im Browser des Läppi " http://localhost:8080 " eingibt, gelangt man über den Tunnel auf das WebIF der Dbox.

Das ganze geht natürlich nur solange Putty geöffnet ist und somit den Tunnel aufrecht erhält.

So können zB auch das CCcam oder Freetz WebIF absolut sicher über das Inet kontrolliert werden.

Es ist nicht mehr nötig andere Ports nach außen zu öffnen ( außer dem CS Port).
Da der Zugriff nur per Keydatei erfolgt muss man auch keine Angst haben das jemand den Zugang knackt und empfindliche Daten wie zB Dyn Adressen von CS Peers einsehen kann.

PS: Wenn man Putty und das Keyfile auf einem USB Stick ablegt, ist von jedem beliebigen Rechner aus ein Zugriff via SSH möglich.

== <center><big>'''Teil 2''' </big></center> ==

<big>'''Zugriff per Proxy und SSH mit Firefox''' </big>

Beim Zugriff auf das Fritzbox WebIF kommt es über den Weg der im ersten Post beschrieben ist zu Problemen mit dem Referer, und die Seite des WebIF kann nicht geöffnet werden.

Um das zu umgehen gibt es noch die Möglichkeit seinen Browser mit einem Proxy zu konfigurieren. Wie das geht wird im folgenden erläutert.

Putty öffnen und das Profil der SSH Tunnel laden.

Zu SSH/Tunnels gehen und zB Source Port 9090 mit Dynamic erstellen.

Hier gibt man keine IP an, sondern nur den Port.

In dem Profil sollte ja schon bei Session/ Hostname die Dyn Adresse unserer FritzBox bzw. des SSH Server stehen.
Für den Fall das man ein neues Profil erstellt hat das dann noch machen.

Profil danach speichern und weiter geht es im Firefox.

Firefox Einstellungen öffnen, nach --> Erweitert --> Netzwerk --> Verbindung --> Einstellungen wechseln.

Manuelle Proxy-Konfiguration wählen

Bei SOCKS-Host trägt man nun " localhost " ein, und beim Port " 9090 "

Drunter bei Socks wählt man die " v5 " Variante.

Fertig.

Wenn nun die Verbindung mit Putty aufgebaut ist geht jeder Datenverkehr des Browsers durch den SSH Tunnel über die Fritzbox.

Das bedeuted man kann einfach die LAN IP des Routers im Browser eingeben und gelangt über den Tunnel dort hin.

Wenn man den SSH Tunnel schliest muss auch der Proxy wieder deaktiviert werden, da ansonsten keine Seite mehr erreichbar ist.

Um das ganze auch angenehm und komfortabel nutzen zu können kann man sich das Firefox Addon " <span style="color:#FFFFE0"> Quick-Proxy </span> " installieren. Nach erfolgter Installation hat man unten rechts im Rahmen des Browser ein kleines rotes " <span style="color:#FF3030"> P </span> ".
Nach einem Mausklick auf diesen Button wird selbiger <span style="color:#00FF00"> grün </span> und der Proxy ist aktiviert. Nochmaliges drücken deaktiviert den Proxy wieder.

So spart man sich das lästige öffnen der Einstellungen.

Wenn man mehr als eine Fritzbox per Proxy/SSH fernwarten möchte kann man am besten das Addon " <span style="color:#FFFFE0"> FoxyProxy </span> " verwenden. Damit kann man zwischen verschieden Proxys wechseln. Nach der Installation erscheint wieder unten rechts das entsprechende Symbol im Browser.
Mit einem Klick der rechten Maustaste darauf wechselt man zwischen den Proxys die zuvor in FoxyProxy konfiguriert wurden.

== Wichtige Links ==
*[[Freetz|Zurück zu Freetz]]
*[[Hauptseite|Zurück zu Hauptseite]]

[[Category:Fritzbox]]
[[Category:Sitemap]]

SSH und Freetz, Beispiele für abhörsicheren Zugriff über Inet auf Fritzbox/LAN

2011-09-25T11:39:04Z

SteveO:

<div style="margin: 10px 10px 0pt 0pt; border: 1px solid rgb(51, 51, 51); padding: 0em 1em 1em; background-color: rgb(27, 28, 45);"><br><center>[[Image:ZD-Logo.png]]</center> <center><big><span style="color: rgb(181, 181, 181);">'''''Das Board mit Freiheiten'''''</span></big></center>
<font color="white"></font>

----

<br>
<div style="margin: 0px 20px 15pt 15pt; padding: 0em 1em 1em; background-color: rgb(48, 49, 64); border: 1px solid rgb(0, 0, 0);">
<br>

== <center><big>'''Teil 1''' </big></center> ==

Vorwort:

Mit Dropbear im Freetz hat man einen SSH Server. Damit sind einige Sachen möglich wie zB FTP, Konsolensteuerung (Telnet) oder das Tunneln im Inet vom heimischen Netzwerk.

Das besondere daran ist die Tatsache das all dies wegen der Verschlüsselung abhörsicher ist.

In diesem HowTo erkläre ich wie man sich eine sicheren Zugang per SSH mit Key Authentification erstellt, also ein Login auf den Zugang ohne Passwort.

Passwörter/User kombinationen haben den Schwachpunkt das man sie unter Umständen knacken kann. Dies kann mit einem Public/Private Key Pair nicht passieren.

Zudem spart man sich das ständige eingeben der Logindaten. So wird die Nutzung von SSH zu einer angenehmen und bevorzugten Variante für Datenübermittlung und Fernzugriff.

Benötigt:
WinSCP
Putty
Puttygen
Dyn - Adresse für Fritzbox
Unix Editor, zB Crimson Editor
Image mit Dropbear im Freetz

Zuerst erstellen wir uns ein Keypair. Dazu nutzen wir Puttygen.

Tool starten und wie im Bild unten einstellen:

<center>[[Datei:1so.jpg]]</center>

Dann auf " Generate " Button drücken und die Maus in der freien Fläche bewegen bis der grüne Balken ganz voll ist. So wird ein zufälliger Schlüssel erzeugt.

<center>[[Datei:2so.jpg]]</center>

Nun den Public und Private Key speichern ( bei Keypassphrase nichts eingeben!).
Sicherheitsabfrage beim speichern des Private Key mit ja beantworten.

Die Datei des Public Key nun im Crimson Editor öffnen und wie auf dem Bild markieren und kopieren:

<center>[[Datei:3so.jpg]]</center>

Nun im Freetz unter Einstellungen / SSH: authorized_keys den gerade kopierten Key nach dem Muster im Bild einfügen:

<center>[[Datei:4so.jpg]]</center>

Der Key MUSS!! in einer Zeile stehen, also die Zeilenumbrüche entfernen!!

Danach noch auf Übernehmen drücken.
Unter Pakete / Dropbear noch "Passwort Login" deaktivieren und "root Login" erlauben.

Den Start von Dropbear auf automatisch stellen und unter Diensten starten.

In der AVM Firewall eine Weiterleitung des Port 22 / TCP auf die Fritzbox erstellen ( Fritz neu starten).

Somit ist die Fritzbox inkl. Freetz schonmal fertig.

Nun geht es mit Putty weiter. Zb auf dem Laptop von dem aus ihr Zugriff auf die Fritz / das LAN haben wollt.

Zuerst wird der Zugriff ohne Inet für Konsole erklärt

Putty starten, IP der Fritzbox sowie Namen zum speichern der Einstellung (hier: Beispiel Config) angeben:

<center>[[Datei:5so.jpg]]</center>

Unter Data den Auto-Login Username "root" eintragen:

<center>[[Datei:6so.jpg]]</center>

Bei SSH / Auth das abgespeicherte Private key File (.ppk File) angeben:

<center>[[Datei:7so.jpg]]</center>

Dann wieder ganz hoch auf Session und die Einstellungen speichern.

Nach einem Klick auf "open" öffnet sich ganz von selbst die Konsole der Fritzbox.

WinSCP erkläre ich nicht Extra, es muss wie Putty eingestellt werden sowie das .ppk File angegeben werden. Ist das gemacht ist Filetransfer per SSH möglich.

Nun wird das Tunneln mittels Putty über das Inet erklärt

Putty öffnen und bei Host die Dyn - Adresse der Fritzbox und Namen zum speichern (hier: SSH Tunnel) eingeben:

<center>[[Datei:8so.jpg]]</center>

Wieder zu Data / Auto-Login Username und "root" eingeben sowie unter SSH / Auth das .ppk File angeben.

Unter X11 geben wir nun "localhost:0" ein:

Weiter gehts bei "Tunnels".

Hier geben wir nun an unter welchem Localhost-Port ( auf unserem Läppi) welcher Port und welche IP hinter dem Tunnel ereichbar sein soll.

Ein Beispiel:

Unser Port auf dem Läppi soll "8080" sein. Wir wollen das WebIF (Port 80) einer Dbox mit IP 192.168.178.100 erreichen

Bei Source Port geben wir die 8080 ein. Unter Destination die Lan IP der Dbox gefolgt vom Port des Webif, also 80.
Auf ADD drücken und die Combi ist übernommen.
Nach diesem Muster können beliebige Ziel-IPs/Ports Combis angegeben werden. Jede Combi muss mit ADD übernommen werden.

<center>[[Datei:9so.jpg]]</center>

Sind alle IPs die ich im LAN per Tunnel erreichen möchte angegeben wieder bei Session das ganze abspeichern.

Ein Klick auf "Open" verbindet wieder auf die Fritzbox.

Wenn man nun im Browser des Läppi " http://localhost:8080 " eingibt, gelangt man über den Tunnel auf das WebIF der Dbox.

Das ganze geht natürlich nur solange Putty geöffnet ist und somit den Tunnel aufrecht erhält.

So können zB auch das CCcam oder Freetz WebIF absolut sicher über das Inet kontrolliert werden.

Es ist nicht mehr nötig andere Ports nach außen zu öffnen ( außer dem CS Port).
Da der Zugriff nur per Keydatei erfolgt muss man auch keine Angst haben das jemand den Zugang knackt und empfindliche Daten wie zB Dyn Adressen von CS Peers einsehen kann.

PS: Wenn man Putty und das Keyfile auf einem USB Stick ablegt, ist von jedem beliebigen Rechner aus ein Zugriff via SSH möglich.

== <center><big>'''Teil 2''' </big></center> ==

<big>'''Zugriff per Proxy und SSH mit Firefox''' </big>

Beim Zugriff auf das Fritzbox WebIF kommt es über den Weg der im ersten Post beschrieben ist zu Problemen mit dem Referer, und die Seite des WebIF kann nicht geöffnet werden.

Um das zu umgehen gibt es noch die Möglichkeit seinen Browser mit einem Proxy zu konfigurieren. Wie das geht wird im folgenden erläutert.

Putty öffnen und das Profil der SSH Tunnel laden.

Zu SSH/Tunnels gehen und zB Source Port 9090 mit Dynamic erstellen.

Hier gibt man keine IP an, sondern nur den Port.

In dem Profil sollte ja schon bei Session/ Hostname die Dyn Adresse unserer FritzBox bzw. des SSH Server stehen.
Für den Fall das man ein neues Profil erstellt hat das dann noch machen.

Profil danach speichern und weiter geht es im Firefox.

Firefox Einstellungen öffnen, nach --> Erweitert --> Netzwerk --> Verbindung --> Einstellungen wechseln.

Manuelle Proxy-Konfiguration wählen

Bei SOCKS-Host trägt man nun " localhost " ein, und beim Port " 9090 "

Drunter bei Socks wählt man die " v5 " Variante.

Fertig.

Wenn nun die Verbindung mit Putty aufgebaut ist geht jeder Datenverkehr des Browsers durch den SSH Tunnel über die Fritzbox.

Das bedeuted man kann einfach die LAN IP des Routers im Browser eingeben und gelangt über den Tunnel dort hin.

Wenn man den SSH Tunnel schliest muss auch der Proxy wieder deaktiviert werden, da ansonsten keine Seite mehr erreichbar ist.

Um das ganze auch angenehm und komfortabel nutzen zu können kann man sich das Firefox Addon " Quick-Proxy " installieren. Nach erfolgter Installation hat man unten rechts im Rahmen des Browser ein kleines rotes " <span style="color:#FF3030"> P </span> ". Nach einem Mausklick auf diesen Button wird selbiger <span style="color:#00FF00"> grün </span> und der Proxy ist aktiviert. Nochmaliges drücken deaktiviert den Proxy wieder.

So spart man sich das lästige öffnen der Einstellungen.

Wenn man mehr als eine Fritzbox per Proxy/SSH fernwarten möchte kann man am besten das Addon " FoxyProxy " verwenden. Damit kann man zwischen verschieden Proxys wechseln. Nach der Installation erscheint wieder unten rechts das entsprechende Symbol im Browser.
Mit einem Klick der rechten Maustaste darauf wechselt man zwischen den Proxys die zuvor in FoxyProxy konfiguriert wurden.

== Wichtige Links ==
*[[Freetz|Zurück zu Freetz]]
*[[Hauptseite|Zurück zu Hauptseite]]

[[Category:Fritzbox]]
[[Category:Sitemap]]

SSH und Freetz, Beispiele für abhörsicheren Zugriff über Inet auf Fritzbox/LAN

2011-09-25T11:32:21Z

SteveO:

<div style="margin: 10px 10px 0pt 0pt; border: 1px solid rgb(51, 51, 51); padding: 0em 1em 1em; background-color: rgb(27, 28, 45);"><br><center>[[Image:ZD-Logo.png]]</center> <center><big><span style="color: rgb(181, 181, 181);">'''''Das Board mit Freiheiten'''''</span></big></center>
<font color="white"></font>

----

<br>
<div style="margin: 0px 20px 15pt 15pt; padding: 0em 1em 1em; background-color: rgb(48, 49, 64); border: 1px solid rgb(0, 0, 0);">
<br>

== <center><big>'''Teil 1''' </big></center> ==

Vorwort:

Mit Dropbear im Freetz hat man einen SSH Server. Damit sind einige Sachen möglich wie zB FTP, Konsolensteuerung (Telnet) oder das Tunneln im Inet vom heimischen Netzwerk.

Das besondere daran ist die Tatsache das all dies wegen der Verschlüsselung abhörsicher ist.

In diesem HowTo erkläre ich wie man sich eine sicheren Zugang per SSH mit Key Authentification erstellt, also ein Login auf den Zugang ohne Passwort.

Passwörter/User kombinationen haben den Schwachpunkt das man sie unter Umständen knacken kann. Dies kann mit einem Public/Private Key Pair nicht passieren.

Zudem spart man sich das ständige eingeben der Logindaten. So wird die Nutzung von SSH zu einer angenehmen und bevorzugten Variante für Datenübermittlung und Fernzugriff.

Benötigt:
WinSCP
Putty
Puttygen
Dyn - Adresse für Fritzbox
Unix Editor, zB Crimson Editor
Image mit Dropbear im Freetz

Zuerst erstellen wir uns ein Keypair. Dazu nutzen wir Puttygen.

Tool starten und wie im Bild unten einstellen:

<center>[[Datei:1so.jpg]]</center>

Dann auf " Generate " Button drücken und die Maus in der freien Fläche bewegen bis der grüne Balken ganz voll ist. So wird ein zufälliger Schlüssel erzeugt.

<center>[[Datei:2so.jpg]]</center>

Nun den Public und Private Key speichern ( bei Keypassphrase nichts eingeben!).
Sicherheitsabfrage beim speichern des Private Key mit ja beantworten.

Die Datei des Public Key nun im Crimson Editor öffnen und wie auf dem Bild markieren und kopieren:

<center>[[Datei:3so.jpg]]</center>

Nun im Freetz unter Einstellungen / SSH: authorized_keys den gerade kopierten Key nach dem Muster im Bild einfügen:

<center>[[Datei:4so.jpg]]</center>

Der Key MUSS!! in einer Zeile stehen, also die Zeilenumbrüche entfernen!!

Danach noch auf Übernehmen drücken.
Unter Pakete / Dropbear noch "Passwort Login" deaktivieren und "root Login" erlauben.

Den Start von Dropbear auf automatisch stellen und unter Diensten starten.

In der AVM Firewall eine Weiterleitung des Port 22 / TCP auf die Fritzbox erstellen ( Fritz neu starten).

Somit ist die Fritzbox inkl. Freetz schonmal fertig.

Nun geht es mit Putty weiter. Zb auf dem Laptop von dem aus ihr Zugriff auf die Fritz / das LAN haben wollt.

Zuerst wird der Zugriff ohne Inet für Konsole erklärt

Putty starten, IP der Fritzbox sowie Namen zum speichern der Einstellung (hier: Beispiel Config) angeben:

<center>[[Datei:5so.jpg]]</center>

Unter Data den Auto-Login Username "root" eintragen:

<center>[[Datei:6so.jpg]]</center>

Bei SSH / Auth das abgespeicherte Private key File (.ppk File) angeben:

<center>[[Datei:7so.jpg]]</center>

Dann wieder ganz hoch auf Session und die Einstellungen speichern.

Nach einem Klick auf "open" öffnet sich ganz von selbst die Konsole der Fritzbox.

WinSCP erkläre ich nicht Extra, es muss wie Putty eingestellt werden sowie das .ppk File angegeben werden. Ist das gemacht ist Filetransfer per SSH möglich.

Nun wird das Tunneln mittels Putty über das Inet erklärt

Putty öffnen und bei Host die Dyn - Adresse der Fritzbox und Namen zum speichern (hier: SSH Tunnel) eingeben:

<center>[[Datei:8so.jpg]]</center>

Wieder zu Data / Auto-Login Username und "root" eingeben sowie unter SSH / Auth das .ppk File angeben.

Unter X11 geben wir nun "localhost:0" ein:

Weiter gehts bei "Tunnels".

Hier geben wir nun an unter welchem Localhost-Port ( auf unserem Läppi) welcher Port und welche IP hinter dem Tunnel ereichbar sein soll.

Ein Beispiel:

Unser Port auf dem Läppi soll "8080" sein. Wir wollen das WebIF (Port 80) einer Dbox mit IP 192.168.178.100 erreichen

Bei Source Port geben wir die 8080 ein. Unter Destination die Lan IP der Dbox gefolgt vom Port des Webif, also 80.
Auf ADD drücken und die Combi ist übernommen.
Nach diesem Muster können beliebige Ziel-IPs/Ports Combis angegeben werden. Jede Combi muss mit ADD übernommen werden.

<center>[[Datei:9so.jpg]]</center>

Sind alle IPs die ich im LAN per Tunnel erreichen möchte angegeben wieder bei Session das ganze abspeichern.

Ein Klick auf "Open" verbindet wieder auf die Fritzbox.

Wenn man nun im Browser des Läppi " http://localhost:8080 " eingibt, gelangt man über den Tunnel auf das WebIF der Dbox.

Das ganze geht natürlich nur solange Putty geöffnet ist und somit den Tunnel aufrecht erhält.

So können zB auch das CCcam oder Freetz WebIF absolut sicher über das Inet kontrolliert werden.

Es ist nicht mehr nötig andere Ports nach außen zu öffnen ( außer dem CS Port).
Da der Zugriff nur per Keydatei erfolgt muss man auch keine Angst haben das jemand den Zugang knackt und empfindliche Daten wie zB Dyn Adressen von CS Peers einsehen kann.

PS: Wenn man Putty und das Keyfile auf einem USB Stick ablegt, ist von jedem beliebigen Rechner aus ein Zugriff via SSH möglich.

== <center><big>'''Teil 2''' </big></center> ==

Zugriff per Proxy und SSH mit Firefox

Beim Zugriff auf das Fritzbox WebIF kommt es über den Weg der im ersten Post beschrieben ist zu Problemen mit dem Referer, und die Seite des WebIF kann nicht geöffnet werden.

Um das zu umgehen gibt es noch die Möglichkeit seinen Browser mit einem Proxy zu konfigurieren. Wie das geht wird im folgenden erläutert.

Putty öffnen und das Profil der SSH Tunnel laden.

Zu SSH/Tunnels gehen und zB Source Port 9090 mit Dynamic erstellen.

Hier gibt man keine IP an, sondern nur den Port.

In dem Profil sollte ja schon bei Session/ Hostname die Dyn Adresse unserer FritzBox bzw. des SSH Server stehen.
Für den Fall das man ein neues Profil erstellt hat das dann noch machen.

Profil danach speichern und weiter geht es im Firefox.

Firefox Einstellungen öffnen, nach --> Erweitert --> Netzwerk --> Verbindung --> Einstellungen wechseln.

Manuelle Proxy-Konfiguration wählen

Bei SOCKS-Host trägt man nun " localhost " ein, und beim Port " 9090 "

Drunter bei Socks wählt man die " v5 " Variante.

Fertig.

Wenn nun die Verbindung mit Putty aufgebaut ist geht jeder Datenverkehr des Browsers durch den SSH Tunnel über die Fritzbox.

Das bedeuted man kann einfach die LAN IP des Routers im Browser eingeben und gelangt über den Tunnel dort hin.

Wenn man den SSH Tunnel schliest muss auch der Proxy wieder deaktiviert werden, da ansonsten keine Seite mehr erreichbar ist.

Um das ganze auch angenehm und komfortabel nutzen zu können kann man sich das Firefox Addon " Quick-Proxy " installieren. Nach erfolgter Installation hat man unten rechts im Rahmen des Browser ein kleines rotes " P ". Nach einem Mausklick auf diesen Button wird selbiger grün und der Proxy ist aktiviert. Nochmaliges drücken deaktiviert den Proxy wieder.

So spart man sich das lästige öffnen der Einstellungen.

Wenn man mehr als eine Fritzbox per Proxy/SSH fernwarten möchte kann man am besten das Addon " FoxyProxy " verwenden. Damit kann man zwischen verschieden Proxys wechseln. Nach der Installation erscheint wieder unten rechts das entsprechende Symbol im Browser.
Mit einem Klick der rechten Maustaste darauf wechselt man zwischen den Proxys die zuvor in FoxyProxy konfiguriert wurden.

== Wichtige Links ==
*[[Freetz|Zurück zu Freetz]]
*[[Hauptseite|Zurück zu Hauptseite]]

[[Category:Fritzbox]]
[[Category:Sitemap]]

SSH und Freetz, Beispiele für abhörsicheren Zugriff über Inet auf Fritzbox/LAN

2011-09-25T11:29:52Z

SteveO:

<div style="margin: 10px 10px 0pt 0pt; border: 1px solid rgb(51, 51, 51); padding: 0em 1em 1em; background-color: rgb(27, 28, 45);"><br><center>[[Image:ZD-Logo.png]]</center> <center><big><span style="color: rgb(181, 181, 181);">'''''Das Board mit Freiheiten'''''</span></big></center>
<font color="white"></font>

----

<br>
<div style="margin: 0px 20px 15pt 15pt; padding: 0em 1em 1em; background-color: rgb(48, 49, 64); border: 1px solid rgb(0, 0, 0);">
<br>

<center><big>'''Teil 1''' </big></center>

Vorwort:

Mit Dropbear im Freetz hat man einen SSH Server. Damit sind einige Sachen möglich wie zB FTP, Konsolensteuerung (Telnet) oder das Tunneln im Inet vom heimischen Netzwerk.

Das besondere daran ist die Tatsache das all dies wegen der Verschlüsselung abhörsicher ist.

In diesem HowTo erkläre ich wie man sich eine sicheren Zugang per SSH mit Key Authentification erstellt, also ein Login auf den Zugang ohne Passwort.

Passwörter/User kombinationen haben den Schwachpunkt das man sie unter Umständen knacken kann. Dies kann mit einem Public/Private Key Pair nicht passieren.

Zudem spart man sich das ständige eingeben der Logindaten. So wird die Nutzung von SSH zu einer angenehmen und bevorzugten Variante für Datenübermittlung und Fernzugriff.

Benötigt:
WinSCP
Putty
Puttygen
Dyn - Adresse für Fritzbox
Unix Editor, zB Crimson Editor
Image mit Dropbear im Freetz

Zuerst erstellen wir uns ein Keypair. Dazu nutzen wir Puttygen.

Tool starten und wie im Bild unten einstellen:

<center>[[Datei:1so.jpg]]</center>

Dann auf " Generate " Button drücken und die Maus in der freien Fläche bewegen bis der grüne Balken ganz voll ist. So wird ein zufälliger Schlüssel erzeugt.

<center>[[Datei:2so.jpg]]</center>

Nun den Public und Private Key speichern ( bei Keypassphrase nichts eingeben!).
Sicherheitsabfrage beim speichern des Private Key mit ja beantworten.

Die Datei des Public Key nun im Crimson Editor öffnen und wie auf dem Bild markieren und kopieren:

<center>[[Datei:3so.jpg]]</center>

Nun im Freetz unter Einstellungen / SSH: authorized_keys den gerade kopierten Key nach dem Muster im Bild einfügen:

<center>[[Datei:4so.jpg]]</center>

Der Key MUSS!! in einer Zeile stehen, also die Zeilenumbrüche entfernen!!

Danach noch auf Übernehmen drücken.
Unter Pakete / Dropbear noch "Passwort Login" deaktivieren und "root Login" erlauben.

Den Start von Dropbear auf automatisch stellen und unter Diensten starten.

In der AVM Firewall eine Weiterleitung des Port 22 / TCP auf die Fritzbox erstellen ( Fritz neu starten).

Somit ist die Fritzbox inkl. Freetz schonmal fertig.

Nun geht es mit Putty weiter. Zb auf dem Laptop von dem aus ihr Zugriff auf die Fritz / das LAN haben wollt.

Zuerst wird der Zugriff ohne Inet für Konsole erklärt

Putty starten, IP der Fritzbox sowie Namen zum speichern der Einstellung (hier: Beispiel Config) angeben:

<center>[[Datei:5so.jpg]]</center>

Unter Data den Auto-Login Username "root" eintragen:

<center>[[Datei:6so.jpg]]</center>

Bei SSH / Auth das abgespeicherte Private key File (.ppk File) angeben:

<center>[[Datei:7so.jpg]]</center>

Dann wieder ganz hoch auf Session und die Einstellungen speichern.

Nach einem Klick auf "open" öffnet sich ganz von selbst die Konsole der Fritzbox.

WinSCP erkläre ich nicht Extra, es muss wie Putty eingestellt werden sowie das .ppk File angegeben werden. Ist das gemacht ist Filetransfer per SSH möglich.

Nun wird das Tunneln mittels Putty über das Inet erklärt

Putty öffnen und bei Host die Dyn - Adresse der Fritzbox und Namen zum speichern (hier: SSH Tunnel) eingeben:

<center>[[Datei:8so.jpg]]</center>

Wieder zu Data / Auto-Login Username und "root" eingeben sowie unter SSH / Auth das .ppk File angeben.

Unter X11 geben wir nun "localhost:0" ein:

Weiter gehts bei "Tunnels".

Hier geben wir nun an unter welchem Localhost-Port ( auf unserem Läppi) welcher Port und welche IP hinter dem Tunnel ereichbar sein soll.

Ein Beispiel:

Unser Port auf dem Läppi soll "8080" sein. Wir wollen das WebIF (Port 80) einer Dbox mit IP 192.168.178.100 erreichen

Bei Source Port geben wir die 8080 ein. Unter Destination die Lan IP der Dbox gefolgt vom Port des Webif, also 80.
Auf ADD drücken und die Combi ist übernommen.
Nach diesem Muster können beliebige Ziel-IPs/Ports Combis angegeben werden. Jede Combi muss mit ADD übernommen werden.

<center>[[Datei:9so.jpg]]</center>

Sind alle IPs die ich im LAN per Tunnel erreichen möchte angegeben wieder bei Session das ganze abspeichern.

Ein Klick auf "Open" verbindet wieder auf die Fritzbox.

Wenn man nun im Browser des Läppi " http://localhost:8080 " eingibt, gelangt man über den Tunnel auf das WebIF der Dbox.

Das ganze geht natürlich nur solange Putty geöffnet ist und somit den Tunnel aufrecht erhält.

So können zB auch das CCcam oder Freetz WebIF absolut sicher über das Inet kontrolliert werden.

Es ist nicht mehr nötig andere Ports nach außen zu öffnen ( außer dem CS Port).
Da der Zugriff nur per Keydatei erfolgt muss man auch keine Angst haben das jemand den Zugang knackt und empfindliche Daten wie zB Dyn Adressen von CS Peers einsehen kann.

PS: Wenn man Putty und das Keyfile auf einem USB Stick ablegt, ist von jedem beliebigen Rechner aus ein Zugriff via SSH möglich.

<center><big>'''Teil 2''' </big></center>

Zugriff per Proxy und SSH mit Firefox

Beim Zugriff auf das Fritzbox WebIF kommt es über den Weg der im ersten Post beschrieben ist zu Problemen mit dem Referer, und die Seite des WebIF kann nicht geöffnet werden.

Um das zu umgehen gibt es noch die Möglichkeit seinen Browser mit einem Proxy zu konfigurieren. Wie das geht wird im folgenden erläutert.

Putty öffnen und das Profil der SSH Tunnel laden.

Zu SSH/Tunnels gehen und zB Source Port 9090 mit Dynamic erstellen.

Hier gibt man keine IP an, sondern nur den Port.

In dem Profil sollte ja schon bei Session/ Hostname die Dyn Adresse unserer FritzBox bzw. des SSH Server stehen.
Für den Fall das man ein neues Profil erstellt hat das dann noch machen.

Profil danach speichern und weiter geht es im Firefox.

Firefox Einstellungen öffnen, nach --> Erweitert --> Netzwerk --> Verbindung --> Einstellungen wechseln.

Manuelle Proxy-Konfiguration wählen

Bei SOCKS-Host trägt man nun " localhost " ein, und beim Port " 9090 "

Drunter bei Socks wählt man die " v5 " Variante.

Fertig.

Wenn nun die Verbindung mit Putty aufgebaut ist geht jeder Datenverkehr des Browsers durch den SSH Tunnel über die Fritzbox.

Das bedeuted man kann einfach die LAN IP des Routers im Browser eingeben und gelangt über den Tunnel dort hin.

Wenn man den SSH Tunnel schliest muss auch der Proxy wieder deaktiviert werden, da ansonsten keine Seite mehr erreichbar ist.

Um das ganze auch angenehm und komfortabel nutzen zu können kann man sich das Firefox Addon " Quick-Proxy " installieren. Nach erfolgter Installation hat man unten rechts im Rahmen des Browser ein kleines rotes " P ". Nach einem Mausklick auf diesen Button wird selbiger grün und der Proxy ist aktiviert. Nochmaliges drücken deaktiviert den Proxy wieder.

So spart man sich das lästige öffnen der Einstellungen.

Wenn man mehr als eine Fritzbox per Proxy/SSH fernwarten möchte kann man am besten das Addon " FoxyProxy " verwenden. Damit kann man zwischen verschieden Proxys wechseln. Nach der Installation erscheint wieder unten rechts das entsprechende Symbol im Browser.
Mit einem Klick der rechten Maustaste darauf wechselt man zwischen den Proxys die zuvor in FoxyProxy konfiguriert wurden.

== Wichtige Links ==
*[[Freetz|Zurück zu Freetz]]
*[[Hauptseite|Zurück zu Hauptseite]]

[[Category:Fritzbox]]
[[Category:Sitemap]]

SSH und Freetz, Beispiele für abhörsicheren Zugriff über Inet auf Fritzbox/LAN

2011-09-25T10:16:20Z

SteveO:

<div style="margin: 10px 10px 0pt 0pt; border: 1px solid rgb(51, 51, 51); padding: 0em 1em 1em; background-color: rgb(27, 28, 45);"><br><center>[[Image:ZD-Logo.png]]</center> <center><big><span style="color: rgb(181, 181, 181);">'''''Das Board mit Freiheiten'''''</span></big></center>
<font color="white"></font>

----

<br>
<div style="margin: 0px 20px 15pt 15pt; padding: 0em 1em 1em; background-color: rgb(48, 49, 64); border: 1px solid rgb(0, 0, 0);">
<br>

Vorwort:

Mit Dropbear im Freetz hat man einen SSH Server. Damit sind einige Sachen möglich wie zB FTP, Konsolensteuerung (Telnet) oder das Tunneln im Inet vom heimischen Netzwerk.

Das besondere daran ist die Tatsache das all dies wegen der Verschlüsselung abhörsicher ist.

In diesem HowTo erkläre ich wie man sich eine sicheren Zugang per SSH mit Key Authentification erstellt, also ein Login auf den Zugang ohne Passwort.

Passwörter/User kombinationen haben den Schwachpunkt das man sie unter Umständen knacken kann. Dies kann mit einem Public/Private Key Pair nicht passieren.

Zudem spart man sich das ständige eingeben der Logindaten. So wird die Nutzung von SSH zu einer angenehmen und bevorzugten Variante für Datenübermittlung und Fernzugriff.

Benötigt:
WinSCP
Putty
Puttygen
Dyn - Adresse für Fritzbox
Unix Editor, zB Crimson Editor
Image mit Dropbear im Freetz

Zuerst erstellen wir uns ein Keypair. Dazu nutzen wir Puttygen.

Tool starten und wie im Bild unten einstellen:

<center>[[Datei:1so.jpg]]</center>

Dann auf " Generate " Button drücken und die Maus in der freien Fläche bewegen bis der grüne Balken ganz voll ist. So wird ein zufälliger Schlüssel erzeugt.

<center>[[Datei:2so.jpg]]</center>

Nun den Public und Private Key speichern ( bei Keypassphrase nichts eingeben!).
Sicherheitsabfrage beim speichern des Private Key mit ja beantworten.

Die Datei des Public Key nun im Crimson Editor öffnen und wie auf dem Bild markieren und kopieren:

<center>[[Datei:3so.jpg]]</center>

Nun im Freetz unter Einstellungen / SSH: authorized_keys den gerade kopierten Key nach dem Muster im Bild einfügen:

<center>[[Datei:4so.jpg]]</center>

Der Key MUSS!! in einer Zeile stehen, also die Zeilenumbrüche entfernen!!

Danach noch auf Übernehmen drücken.
Unter Pakete / Dropbear noch "Passwort Login" deaktivieren und "root Login" erlauben.

Den Start von Dropbear auf automatisch stellen und unter Diensten starten.

In der AVM Firewall eine Weiterleitung des Port 22 / TCP auf die Fritzbox erstellen ( Fritz neu starten).

Somit ist die Fritzbox inkl. Freetz schonmal fertig.

Nun geht es mit Putty weiter. Zb auf dem Laptop von dem aus ihr Zugriff auf die Fritz / das LAN haben wollt.

Zuerst wird der Zugriff ohne Inet für Konsole erklärt

Putty starten, IP der Fritzbox sowie Namen zum speichern der Einstellung (hier: Beispiel Config) angeben:

<center>[[Datei:5so.jpg]]</center>

Unter Data den Auto-Login Username "root" eintragen:

<center>[[Datei:6so.jpg]]</center>

Bei SSH / Auth das abgespeicherte Private key File (.ppk File) angeben:

<center>[[Datei:7so.jpg]]</center>

Dann wieder ganz hoch auf Session und die Einstellungen speichern.

Nach einem Klick auf "open" öffnet sich ganz von selbst die Konsole der Fritzbox.

WinSCP erkläre ich nicht Extra, es muss wie Putty eingestellt werden sowie das .ppk File angegeben werden. Ist das gemacht ist Filetransfer per SSH möglich.

Nun wird das Tunneln mittels Putty über das Inet erklärt

Putty öffnen und bei Host die Dyn - Adresse der Fritzbox und Namen zum speichern (hier: SSH Tunnel) eingeben:

<center>[[Datei:8so.jpg]]</center>

Wieder zu Data / Auto-Login Username und "root" eingeben sowie unter SSH / Auth das .ppk File angeben.

Unter X11 geben wir nun "localhost:0" ein:

Weiter gehts bei "Tunnels".

Hier geben wir nun an unter welchem Localhost-Port ( auf unserem Läppi) welcher Port und welche IP hinter dem Tunnel ereichbar sein soll.

Ein Beispiel:

Unser Port auf dem Läppi soll "8080" sein. Wir wollen das WebIF (Port 80) einer Dbox mit IP 192.168.178.100 erreichen

Bei Source Port geben wir die 8080 ein. Unter Destination die Lan IP der Dbox gefolgt vom Port des Webif, also 80.
Auf ADD drücken und die Combi ist übernommen.
Nach diesem Muster können beliebige Ziel-IPs/Ports Combis angegeben werden. Jede Combi muss mit ADD übernommen werden.

<center>[[Datei:9so.jpg]]</center>

Sind alle IPs die ich im LAN per Tunnel erreichen möchte angegeben wieder bei Session das ganze abspeichern.

Ein Klick auf "Open" verbindet wieder auf die Fritzbox.

Wenn man nun im Browser des Läppi " http://localhost:8080 " eingibt, gelangt man über den Tunnel auf das WebIF der Dbox.

Das ganze geht natürlich nur solange Putty geöffnet ist und somit den Tunnel aufrecht erhält.

So können zB auch das CCcam oder Freetz WebIF absolut sicher über das Inet kontrolliert werden.

Es ist nicht mehr nötig andere Ports nach außen zu öffnen ( außer dem CS Port).
Da der Zugriff nur per Keydatei erfolgt muss man auch keine Angst haben das jemand den Zugang knackt und empfindliche Daten wie zB Dyn Adressen von CS Peers einsehen kann.

PS: Wenn man Putty und das Keyfile auf einem USB Stick ablegt, ist von jedem beliebigen Rechner aus ein Zugriff via SSH möglich.

Teil 2

Zugriff per Proxy und SSH mit Firefox

Beim Zugriff auf das Fritzbox WebIF kommt es über den Weg der im ersten Post beschrieben ist zu Problemen mit dem Referer, und die Seite des WebIF kann nicht geöffnet werden.

Um das zu umgehen gibt es noch die Möglichkeit seinen Browser mit einem Proxy zu konfigurieren. Wie das geht wird im folgenden erläutert.

Putty öffnen und das Profil der SSH Tunnel laden.

Zu SSH/Tunnels gehen und zB Source Port 9090 mit Dynamic erstellen.

Hier gibt man keine IP an, sondern nur den Port.

In dem Profil sollte ja schon bei Session/ Hostname die Dyn Adresse unserer FritzBox bzw. des SSH Server stehen.
Für den Fall das man ein neues Profil erstellt hat das dann noch machen.

Profil danach speichern und weiter geht es im Firefox.

Firefox Einstellungen öffnen, nach --> Erweitert --> Netzwerk --> Verbindung --> Einstellungen wechseln.

Manuelle Proxy-Konfiguration wählen

Bei SOCKS-Host trägt man nun " localhost " ein, und beim Port " 9090 "

Drunter bei Socks wählt man die " v5 " Variante.

Fertig.

Wenn nun die Verbindung mit Putty aufgebaut ist geht jeder Datenverkehr des Browsers durch den SSH Tunnel über die Fritzbox.

Das bedeuted man kann einfach die LAN IP des Routers im Browser eingeben und gelangt über den Tunnel dort hin.

Wenn man den SSH Tunnel schliest muss auch der Proxy wieder deaktiviert werden, da ansonsten keine Seite mehr erreichbar ist.

Um das ganze auch angenehm und komfortabel nutzen zu können kann man sich das Firefox Addon " Quick-Proxy " installieren. Nach erfolgter Installation hat man unten rechts im Rahmen des Browser ein kleines rotes " P ". Nach einem Mausklick auf diesen Button wird selbiger grün und der Proxy ist aktiviert. Nochmaliges drücken deaktiviert den Proxy wieder.

So spart man sich das lästige öffnen der Einstellungen.

Wenn man mehr als eine Fritzbox per Proxy/SSH fernwarten möchte kann man am besten das Addon " FoxyProxy " verwenden. Damit kann man zwischen verschieden Proxys wechseln. Nach der Installation erscheint wieder unten rechts das entsprechende Symbol im Browser.
Mit einem Klick der rechten Maustaste darauf wechselt man zwischen den Proxys die zuvor in FoxyProxy konfiguriert wurden.

== Wichtige Links ==
*[[Freetz|Zurück zu Freetz]]
*[[Hauptseite|Zurück zu Hauptseite]]

[[Category:Fritzbox]]
[[Category:Sitemap]]

Datei:9so.jpg

2011-09-25T10:11:54Z

SteveO:

Datei:8so.jpg

2011-09-25T10:11:45Z

SteveO:

Datei:7so.jpg

2011-09-25T10:11:36Z

SteveO:

Datei:6so.jpg

2011-09-25T10:11:26Z

SteveO:

Datei:5so.jpg

2011-09-25T10:11:11Z

SteveO:

SSH und Freetz, Beispiele für abhörsicheren Zugriff über Inet auf Fritzbox/LAN

2011-09-25T09:59:13Z

SteveO:

Vorwort:

Mit Dropbear im Freetz hat man einen SSH Server. Damit sind einige Sachen möglich wie zB FTP, Konsolensteuerung (Telnet) oder das Tunneln im Inet vom heimischen Netzwerk.

Das besondere daran ist die Tatsache das all dies wegen der Verschlüsselung abhörsicher ist.

In diesem HowTo erkläre ich wie man sich eine sicheren Zugang per SSH mit Key Authentification erstellt, also ein Login auf den Zugang ohne Passwort.

Passwörter/User kombinationen haben den Schwachpunkt das man sie unter Umständen knacken kann. Dies kann mit einem Public/Private Key Pair nicht passieren.

Zudem spart man sich das ständige eingeben der Logindaten. So wird die Nutzung von SSH zu einer angenehmen und bevorzugten Variante für Datenübermittlung und Fernzugriff.

Benötigt:
WinSCP
Putty
Puttygen
Dyn - Adresse für Fritzbox
Unix Editor, zB Crimson Editor
Image mit Dropbear im Freetz

Zuerst erstellen wir uns ein Keypair. Dazu nutzen wir Puttygen.

Tool starten und wie im Bild unten einstellen:

<center>[[Datei:1so.jpg]]</center>

Dann auf " Generate " Button drücken und die Maus in der freien Fläche bewegen bis der grüne Balken ganz voll ist. So wird ein zufälliger Schlüssel erzeugt.

<center>[[Datei:2so.jpg]]</center>

Nun den Public und Private Key speichern ( bei Keypassphrase nichts eingeben!).
Sicherheitsabfrage beim speichern des Private Key mit ja beantworten.

Die Datei des Public Key nun im Crimson Editor öffnen und wie auf dem Bild markieren und kopieren:

<center>[[Datei:3so.jpg]]</center>

Nun im Freetz unter Einstellungen / SSH: authorized_keys den gerade kopierten Key nach dem Muster im Bild einfügen:

<center>[[Datei:4so.jpg]]</center>

Der Key MUSS!! in einer Zeile stehen, also die Zeilenumbrüche entfernen!!

Danach noch auf Übernehmen drücken.
Unter Pakete / Dropbear noch "Passwort Login" deaktivieren und "root Login" erlauben.

Den Start von Dropbear auf automatisch stellen und unter Diensten starten.

In der AVM Firewall eine Weiterleitung des Port 22 / TCP auf die Fritzbox erstellen ( Fritz neu starten).

Somit ist die Fritzbox inkl. Freetz schonmal fertig.

Nun geht es mit Putty weiter. Zb auf dem Laptop von dem aus ihr Zugriff auf die Fritz / das LAN haben wollt.

Zuerst wird der Zugriff ohne Inet für Konsole erklärt

Putty starten, IP der Fritzbox sowie Namen zum speichern der Einstellung (hier: Beispiel Config) angeben:

Unter Data den Auto-Login Username "root" eintragen:

Bei SSH / Auth das abgespeicherte Private key File (.ppk File) angeben:

Dann wieder ganz hoch auf Session und die Einstellungen speichern.

Nach einem Klick auf "open" öffnet sich ganz von selbst die Konsole der Fritzbox.

WinSCP erkläre ich nicht Extra, es muss wie Putty eingestellt werden sowie das .ppk File angegeben werden. Ist das gemacht ist Filetransfer per SSH möglich.

Nun wird das Tunneln mittels Putty über das Inet erklärt

Putty öffnen und bei Host die Dyn - Adresse der Fritzbox und Namen zum speichern (hier: SSH Tunnel) eingeben:

Wieder zu Data / Auto-Login Username und "root" eingeben sowie unter SSH / Auth das .ppk File angeben.

Unter X11 geben wir nun "localhost:0" ein:

Weiter gehts bei "Tunnels".

Hier geben wir nun an unter welchem Localhost-Port ( auf unserem Läppi) welcher Port und welche IP hinter dem Tunnel ereichbar sein soll.

Ein Beispiel:

Unser Port auf dem Läppi soll "8080" sein. Wir wollen das WebIF (Port 80) einer Dbox mit IP 192.168.178.100 erreichen

Bei Source Port geben wir die 8080 ein. Unter Destination die Lan IP der Dbox gefolgt vom Port des Webif, also 80.
Auf ADD drücken und die Combi ist übernommen.
Nach diesem Muster können beliebige Ziel-IPs/Ports Combis angegeben werden. Jede Combi muss mit ADD übernommen werden.

Sind alle IPs die ich im LAN per Tunnel erreichen möchte angegeben wieder bei Session das ganze abspeichern.

Ein Klick auf "Open" verbindet wieder auf die Fritzbox.

Wenn man nun im Browser des Läppi " http://localhost:8080 " eingibt, gelangt man über den Tunnel auf das WebIF der Dbox.

Das ganze geht natürlich nur solange Putty geöffnet ist und somit den Tunnel aufrecht erhält.

So können zB auch das CCcam oder Freetz WebIF absolut sicher über das Inet kontrolliert werden.

Es ist nicht mehr nötig andere Ports nach außen zu öffnen ( außer dem CS Port).
Da der Zugriff nur per Keydatei erfolgt muss man auch keine Angst haben das jemand den Zugang knackt und empfindliche Daten wie zB Dyn Adressen von CS Peers einsehen kann.

Bei Fragen einfach hier posten, sollte aber eigentlich alles erklärt sein.

Viel Erfolg...

PS: Wenn man Putty und das Keyfile auf einem USB Stick ablegt, ist von jedem beliebigen Rechner aus ein Zugriff via SSH möglich.

SSH und Freetz, Beispiele für abhörsicheren Zugriff über Inet auf Fritzbox/LAN

2011-09-25T09:58:25Z

SteveO:

HowTo: SSH und Freetz, Beispiele für abhörsicheren Zugriff über Inet auf Fritzbox/LAN

Vorwort:

Mit Dropbear im Freetz hat man einen SSH Server. Damit sind einige Sachen möglich wie zB FTP, Konsolensteuerung (Telnet) oder das Tunneln im Inet vom heimischen Netzwerk.

Das besondere daran ist die Tatsache das all dies wegen der Verschlüsselung abhörsicher ist.

In diesem HowTo erkläre ich wie man sich eine sicheren Zugang per SSH mit Key Authentification erstellt, also ein Login auf den Zugang ohne Passwort.

Passwörter/User kombinationen haben den Schwachpunkt das man sie unter Umständen knacken kann. Dies kann mit einem Public/Private Key Pair nicht passieren.

Zudem spart man sich das ständige eingeben der Logindaten. So wird die Nutzung von SSH zu einer angenehmen und bevorzugten Variante für Datenübermittlung und Fernzugriff.

Benötigt:
WinSCP
Putty
Puttygen
Dyn - Adresse für Fritzbox
Unix Editor, zB Crimson Editor
Image mit Dropbear im Freetz

Zuerst erstellen wir uns ein Keypair. Dazu nutzen wir Puttygen.

Tool starten und wie im Bild unten einstellen:

<center>[[Datei:1so.jpg]]</center>

Dann auf " Generate " Button drücken und die Maus in der freien Fläche bewegen bis der grüne Balken ganz voll ist. So wird ein zufälliger Schlüssel erzeugt.

<center>[[Datei:2so.jpg]]</center>

Nun den Public und Private Key speichern ( bei Keypassphrase nichts eingeben!).
Sicherheitsabfrage beim speichern des Private Key mit ja beantworten.

Die Datei des Public Key nun im Crimson Editor öffnen und wie auf dem Bild markieren und kopieren:

<center>[[Datei:3so.jpg]]</center>

Nun im Freetz unter Einstellungen / SSH: authorized_keys den gerade kopierten Key nach dem Muster im Bild einfügen:

<center>[[Datei:4so.jpg]]</center>

Der Key MUSS!! in einer Zeile stehen, also die Zeilenumbrüche entfernen!!

Danach noch auf Übernehmen drücken.
Unter Pakete / Dropbear noch "Passwort Login" deaktivieren und "root Login" erlauben.

Den Start von Dropbear auf automatisch stellen und unter Diensten starten.

In der AVM Firewall eine Weiterleitung des Port 22 / TCP auf die Fritzbox erstellen ( Fritz neu starten).

Somit ist die Fritzbox inkl. Freetz schonmal fertig.

Nun geht es mit Putty weiter. Zb auf dem Laptop von dem aus ihr Zugriff auf die Fritz / das LAN haben wollt.

Zuerst wird der Zugriff ohne Inet für Konsole erklärt

Putty starten, IP der Fritzbox sowie Namen zum speichern der Einstellung (hier: Beispiel Config) angeben:

Unter Data den Auto-Login Username "root" eintragen:

Bei SSH / Auth das abgespeicherte Private key File (.ppk File) angeben:

Dann wieder ganz hoch auf Session und die Einstellungen speichern.

Nach einem Klick auf "open" öffnet sich ganz von selbst die Konsole der Fritzbox.

WinSCP erkläre ich nicht Extra, es muss wie Putty eingestellt werden sowie das .ppk File angegeben werden. Ist das gemacht ist Filetransfer per SSH möglich.

Nun wird das Tunneln mittels Putty über das Inet erklärt

Putty öffnen und bei Host die Dyn - Adresse der Fritzbox und Namen zum speichern (hier: SSH Tunnel) eingeben:

Wieder zu Data / Auto-Login Username und "root" eingeben sowie unter SSH / Auth das .ppk File angeben.

Unter X11 geben wir nun "localhost:0" ein:

Weiter gehts bei "Tunnels".

Hier geben wir nun an unter welchem Localhost-Port ( auf unserem Läppi) welcher Port und welche IP hinter dem Tunnel ereichbar sein soll.

Ein Beispiel:

Unser Port auf dem Läppi soll "8080" sein. Wir wollen das WebIF (Port 80) einer Dbox mit IP 192.168.178.100 erreichen

Bei Source Port geben wir die 8080 ein. Unter Destination die Lan IP der Dbox gefolgt vom Port des Webif, also 80.
Auf ADD drücken und die Combi ist übernommen.
Nach diesem Muster können beliebige Ziel-IPs/Ports Combis angegeben werden. Jede Combi muss mit ADD übernommen werden.

Sind alle IPs die ich im LAN per Tunnel erreichen möchte angegeben wieder bei Session das ganze abspeichern.

Ein Klick auf "Open" verbindet wieder auf die Fritzbox.

Wenn man nun im Browser des Läppi " http://localhost:8080 " eingibt, gelangt man über den Tunnel auf das WebIF der Dbox.

Das ganze geht natürlich nur solange Putty geöffnet ist und somit den Tunnel aufrecht erhält.

So können zB auch das CCcam oder Freetz WebIF absolut sicher über das Inet kontrolliert werden.

Es ist nicht mehr nötig andere Ports nach außen zu öffnen ( außer dem CS Port).
Da der Zugriff nur per Keydatei erfolgt muss man auch keine Angst haben das jemand den Zugang knackt und empfindliche Daten wie zB Dyn Adressen von CS Peers einsehen kann.

Bei Fragen einfach hier posten, sollte aber eigentlich alles erklärt sein.

Viel Erfolg...

PS: Wenn man Putty und das Keyfile auf einem USB Stick ablegt, ist von jedem beliebigen Rechner aus ein Zugriff via SSH möglich.

SSH und Freetz, Beispiele für abhörsicheren Zugriff über Inet auf Fritzbox/LAN

2011-09-25T09:55:46Z

SteveO:

HowTo: SSH und Freetz, Beispiele für abhörsicheren Zugriff über Inet auf Fritzbox/LAN

Vorwort:

Mit Dropbear im Freetz hat man einen SSH Server. Damit sind einige Sachen möglich wie zB FTP, Konsolensteuerung (Telnet) oder das Tunneln im Inet vom heimischen Netzwerk.

Das besondere daran ist die Tatsache das all dies wegen der Verschlüsselung abhörsicher ist.

In diesem HowTo erkläre ich wie man sich eine sicheren Zugang per SSH mit Key Authentification erstellt, also ein Login auf den Zugang ohne Passwort.

Passwörter/User kombinationen haben den Schwachpunkt das man sie unter Umständen knacken kann. Dies kann mit einem Public/Private Key Pair nicht passieren.

Zudem spart man sich das ständige eingeben der Logindaten. So wird die Nutzung von SSH zu einer angenehmen und bevorzugten Variante für Datenübermittlung und Fernzugriff.

Benötigt:
WinSCP
Putty
Puttygen
Dyn - Adresse für Fritzbox
Unix Editor, zB Crimson Editor
Image mit Dropbear im Freetz

Zuerst erstellen wir uns ein Keypair. Dazu nutzen wir Puttygen.

Tool starten und wie im Bild unten einstellen:

[[Datei:1so.jpg]]

Dann auf " Generate " Button drücken und die Maus in der freien Fläche bewegen bis der grüne Balken ganz voll ist. So wird ein zufälliger Schlüssel erzeugt.

[[Datei:2so.jpg]]

Nun den Public und Private Key speichern ( bei Keypassphrase nichts eingeben!).
Sicherheitsabfrage beim speichern des Private Key mit ja beantworten.

Die Datei des Public Key nun im Crimson Editor öffnen und wie auf dem Bild markieren und kopieren:

[[Datei:3so.jpg]]

Nun im Freetz unter Einstellungen / SSH: authorized_keys den gerade kopierten Key nach dem Muster im Bild einfügen:

[[Datei:4so.jpg]]

Der Key MUSS!! in einer Zeile stehen, also die Zeilenumbrüche entfernen!!

Danach noch auf Übernehmen drücken.
Unter Pakete / Dropbear noch "Passwort Login" deaktivieren und "root Login" erlauben.

Den Start von Dropbear auf automatisch stellen und unter Diensten starten.

In der AVM Firewall eine Weiterleitung des Port 22 / TCP auf die Fritzbox erstellen ( Fritz neu starten).

Somit ist die Fritzbox inkl. Freetz schonmal fertig.

Nun geht es mit Putty weiter. Zb auf dem Laptop von dem aus ihr Zugriff auf die Fritz / das LAN haben wollt.

Zuerst wird der Zugriff ohne Inet für Konsole erklärt

Putty starten, IP der Fritzbox sowie Namen zum speichern der Einstellung (hier: Beispiel Config) angeben:

Unter Data den Auto-Login Username "root" eintragen:

Bei SSH / Auth das abgespeicherte Private key File (.ppk File) angeben:

Dann wieder ganz hoch auf Session und die Einstellungen speichern.

Nach einem Klick auf "open" öffnet sich ganz von selbst die Konsole der Fritzbox.

WinSCP erkläre ich nicht Extra, es muss wie Putty eingestellt werden sowie das .ppk File angegeben werden. Ist das gemacht ist Filetransfer per SSH möglich.

Nun wird das Tunneln mittels Putty über das Inet erklärt

Putty öffnen und bei Host die Dyn - Adresse der Fritzbox und Namen zum speichern (hier: SSH Tunnel) eingeben:

Wieder zu Data / Auto-Login Username und "root" eingeben sowie unter SSH / Auth das .ppk File angeben.

Unter X11 geben wir nun "localhost:0" ein:

Weiter gehts bei "Tunnels".

Hier geben wir nun an unter welchem Localhost-Port ( auf unserem Läppi) welcher Port und welche IP hinter dem Tunnel ereichbar sein soll.

Ein Beispiel:

Unser Port auf dem Läppi soll "8080" sein. Wir wollen das WebIF (Port 80) einer Dbox mit IP 192.168.178.100 erreichen

Bei Source Port geben wir die 8080 ein. Unter Destination die Lan IP der Dbox gefolgt vom Port des Webif, also 80.
Auf ADD drücken und die Combi ist übernommen.
Nach diesem Muster können beliebige Ziel-IPs/Ports Combis angegeben werden. Jede Combi muss mit ADD übernommen werden.

Sind alle IPs die ich im LAN per Tunnel erreichen möchte angegeben wieder bei Session das ganze abspeichern.

Ein Klick auf "Open" verbindet wieder auf die Fritzbox.

Wenn man nun im Browser des Läppi " http://localhost:8080 " eingibt, gelangt man über den Tunnel auf das WebIF der Dbox.

Das ganze geht natürlich nur solange Putty geöffnet ist und somit den Tunnel aufrecht erhält.

So können zB auch das CCcam oder Freetz WebIF absolut sicher über das Inet kontrolliert werden.

Es ist nicht mehr nötig andere Ports nach außen zu öffnen ( außer dem CS Port).
Da der Zugriff nur per Keydatei erfolgt muss man auch keine Angst haben das jemand den Zugang knackt und empfindliche Daten wie zB Dyn Adressen von CS Peers einsehen kann.

Bei Fragen einfach hier posten, sollte aber eigentlich alles erklärt sein.

Viel Erfolg...

PS: Wenn man Putty und das Keyfile auf einem USB Stick ablegt, ist von jedem beliebigen Rechner aus ein Zugriff via SSH möglich.

Datei:4so.jpg

2011-09-25T09:54:59Z

SteveO:

Datei:3so.jpg

2011-09-25T09:54:47Z

SteveO:

Datei:2so.jpg

2011-09-25T09:54:36Z

SteveO:

Datei:1so.jpg

2011-09-25T09:51:54Z

SteveO:

SSH und Freetz, Beispiele für abhörsicheren Zugriff über Inet auf Fritzbox/LAN

2011-09-25T09:47:24Z

SteveO:

HowTo: SSH und Freetz, Beispiele für abhörsicheren Zugriff über Inet auf Fritzbox/LAN

Vorwort:

Mit Dropbear im Freetz hat man einen SSH Server. Damit sind einige Sachen möglich wie zB FTP, Konsolensteuerung (Telnet) oder das Tunneln im Inet vom heimischen Netzwerk.

Das besondere daran ist die Tatsache das all dies wegen der Verschlüsselung abhörsicher ist.

In diesem HowTo erkläre ich wie man sich eine sicheren Zugang per SSH mit Key Authentification erstellt, also ein Login auf den Zugang ohne Passwort.

Passwörter/User kombinationen haben den Schwachpunkt das man sie unter Umständen knacken kann. Dies kann mit einem Public/Private Key Pair nicht passieren.

Zudem spart man sich das ständige eingeben der Logindaten. So wird die Nutzung von SSH zu einer angenehmen und bevorzugten Variante für Datenübermittlung und Fernzugriff.

Benötigt:
WinSCP
Putty
Puttygen
Dyn - Adresse für Fritzbox
Unix Editor, zB Crimson Editor
Image mit Dropbear im Freetz

Zuerst erstellen wir uns ein Keypair. Dazu nutzen wir Puttygen.

Tool starten und wie im Bild unten einstellen:

Dann auf " Generate " Button drücken und die Maus in der freien Fläche bewegen bis der grüne Balken ganz voll ist. So wird ein zufälliger Schlüssel erzeugt.

Nun den Public und Private Key speichern ( bei Keypassphrase nichts eingeben!).
Sicherheitsabfrage beim speichern des Private Key mit ja beantworten.

Die Datei des Public Key nun im Crimson Editor öffnen und wie auf dem Bild markieren und kopieren:

Nun im Freetz unter Einstellungen / SSH: authorized_keys den gerade kopierten Key nach dem Muster im Bild einfügen:

Der Key MUSS!! in einer Zeile stehen, also die Zeilenumbrüche entfernen!!

Danach noch auf Übernehmen drücken.
Unter Pakete / Dropbear noch "Passwort Login" deaktivieren und "root Login" erlauben.

Den Start von Dropbear auf automatisch stellen und unter Diensten starten.

In der AVM Firewall eine Weiterleitung des Port 22 / TCP auf die Fritzbox erstellen ( Fritz neu starten).

Somit ist die Fritzbox inkl. Freetz schonmal fertig.

Nun geht es mit Putty weiter. Zb auf dem Laptop von dem aus ihr Zugriff auf die Fritz / das LAN haben wollt.

Zuerst wird der Zugriff ohne Inet für Konsole erklärt

Putty starten, IP der Fritzbox sowie Namen zum speichern der Einstellung (hier: Beispiel Config) angeben:

Unter Data den Auto-Login Username "root" eintragen:

Bei SSH / Auth das abgespeicherte Private key File (.ppk File) angeben:

Dann wieder ganz hoch auf Session und die Einstellungen speichern.

Nach einem Klick auf "open" öffnet sich ganz von selbst die Konsole der Fritzbox.

WinSCP erkläre ich nicht Extra, es muss wie Putty eingestellt werden sowie das .ppk File angegeben werden. Ist das gemacht ist Filetransfer per SSH möglich.

Nun wird das Tunneln mittels Putty über das Inet erklärt

Putty öffnen und bei Host die Dyn - Adresse der Fritzbox und Namen zum speichern (hier: SSH Tunnel) eingeben:

Wieder zu Data / Auto-Login Username und "root" eingeben sowie unter SSH / Auth das .ppk File angeben.

Unter X11 geben wir nun "localhost:0" ein:

Weiter gehts bei "Tunnels".

Hier geben wir nun an unter welchem Localhost-Port ( auf unserem Läppi) welcher Port und welche IP hinter dem Tunnel ereichbar sein soll.

Ein Beispiel:

Unser Port auf dem Läppi soll "8080" sein. Wir wollen das WebIF (Port 80) einer Dbox mit IP 192.168.178.100 erreichen

Bei Source Port geben wir die 8080 ein. Unter Destination die Lan IP der Dbox gefolgt vom Port des Webif, also 80.
Auf ADD drücken und die Combi ist übernommen.
Nach diesem Muster können beliebige Ziel-IPs/Ports Combis angegeben werden. Jede Combi muss mit ADD übernommen werden.

Sind alle IPs die ich im LAN per Tunnel erreichen möchte angegeben wieder bei Session das ganze abspeichern.

Ein Klick auf "Open" verbindet wieder auf die Fritzbox.

Wenn man nun im Browser des Läppi " http://localhost:8080 " eingibt, gelangt man über den Tunnel auf das WebIF der Dbox.

Das ganze geht natürlich nur solange Putty geöffnet ist und somit den Tunnel aufrecht erhält.

So können zB auch das CCcam oder Freetz WebIF absolut sicher über das Inet kontrolliert werden.

Es ist nicht mehr nötig andere Ports nach außen zu öffnen ( außer dem CS Port).
Da der Zugriff nur per Keydatei erfolgt muss man auch keine Angst haben das jemand den Zugang knackt und empfindliche Daten wie zB Dyn Adressen von CS Peers einsehen kann.

Bei Fragen einfach hier posten, sollte aber eigentlich alles erklärt sein.

Viel Erfolg...

PS: Wenn man Putty und das Keyfile auf einem USB Stick ablegt, ist von jedem beliebigen Rechner aus ein Zugriff via SSH möglich.

SSH und Freetz, Beispiele für abhörsicheren Zugriff über Inet auf Fritzbox/LAN

2011-09-25T09:45:57Z

SteveO:

HowTo: SSH und Freetz, Beispiele für abhörsicheren Zugriff über Inet auf Fritzbox/LAN

Vorwort:

Mit Dropbear im Freetz hat man einen SSH Server. Damit sind einige Sachen möglich wie zB FTP, Konsolensteuerung (Telnet) oder das Tunneln im Inet vom heimischen Netzwerk.

Das besondere daran ist die Tatsache das all dies wegen der Verschlüsselung abhörsicher ist.

In diesem HowTo erkläre ich wie man sich eine sicheren Zugang per SSH mit Key Authentification erstellt, also ein Login auf den Zugang ohne Passwort.

Passwörter/User kombinationen haben den Schwachpunkt das man sie unter Umständen knacken kann. Dies kann mit einem Public/Private Key Pair nicht passieren.

Zudem spart man sich das ständige eingeben der Logindaten. So wird die Nutzung von SSH zu einer angenehmen und bevorzugten Variante für Datenübermittlung und Fernzugriff.

Benötigt:
WinSCP
Putty
Puttygen
Dyn - Adresse für Fritzbox
Unix Editor, zB Crimson Editor
Image mit Dropbear im Freetz

Zuerst erstellen wir uns ein Keypair. Dazu nutzen wir Puttygen.

Tool starten und wie im Bild unten einstellen:

Dann auf " Generate " Button drücken und die Maus in der freien Fläche bewegen bis der grüne Balken ganz voll ist. So wird ein zufälliger Schlüssel erzeugt.

Nun den Public und Private Key speichern ( bei Keypassphrase nichts eingeben!).
Sicherheitsabfrage beim speichern des Private Key mit ja beantworten.

Die Datei des Public Key nun im Crimson Editor öffnen und wie auf dem Bild markieren und kopieren:

Nun im Freetz unter Einstellungen / SSH: authorized_keys den gerade kopierten Key nach dem Muster im Bild einfügen:

Der Key MUSS!! in einer Zeile stehen, also die Zeilenumbrüche entfernen!!

Danach noch auf Übernehmen drücken.

Unter Pakete / Dropbear noch "Passwort Login" deaktivieren und "root Login" erlauben.

Den Start von Dropbear auf automatisch stellen und unter Diensten starten.

In der AVM Firewall eine Weiterleitung des Port 22 / TCP auf die Fritzbox erstellen ( Fritz neu starten).

Somit ist die Fritzbox inkl. Freetz schonmal fertig.

Nun geht es mit Putty weiter. Zb auf dem Laptop von dem aus ihr Zugriff auf die Fritz / das LAN haben wollt.

Zuerst wird der Zugriff ohne Inet für Konsole erklärt

Putty starten, IP der Fritzbox sowie Namen zum speichern der Einstellung (hier: Beispiel Config) angeben:

Unter Data den Auto-Login Username "root" eintragen:

Bei SSH / Auth das abgespeicherte Private key File (.ppk File) angeben:

Dann wieder ganz hoch auf Session und die Einstellungen speichern.

Nach einem Klick auf "open" öffnet sich ganz von selbst die Konsole der Fritzbox.

WinSCP erkläre ich nicht Extra, es muss wie Putty eingestellt werden sowie das .ppk File angegeben werden. Ist das gemacht ist Filetransfer per SSH möglich.

Nun wird das Tunneln mittels Putty über das Inet erklärt

Putty öffnen und bei Host die Dyn - Adresse der Fritzbox und Namen zum speichern (hier: SSH Tunnel) eingeben:

Wieder zu Data / Auto-Login Username und "root" eingeben sowie unter SSH / Auth das .ppk File angeben.

Unter X11 geben wir nun "localhost:0" ein:

Weiter gehts bei "Tunnels".

Hier geben wir nun an unter welchem Localhost-Port ( auf unserem Läppi) welcher Port und welche IP hinter dem Tunnel ereichbar sein soll.

Ein Beispiel:

Unser Port auf dem Läppi soll "8080" sein. Wir wollen das WebIF (Port 80) einer Dbox mit IP 192.168.178.100 erreichen

Bei Source Port geben wir die 8080 ein. Unter Destination die Lan IP der Dbox gefolgt vom Port des Webif, also 80.
Auf ADD drücken und die Combi ist übernommen.
Nach diesem Muster können beliebige Ziel-IPs/Ports Combis angegeben werden. Jede Combi muss mit ADD übernommen werden.

Sind alle IPs die ich im LAN per Tunnel erreichen möchte angegeben wieder bei Session das ganze abspeichern.

Ein Klick auf "Open" verbindet wieder auf die Fritzbox.

Wenn man nun im Browser des Läppi " http://localhost:8080 " eingibt, gelangt man über den Tunnel auf das WebIF der Dbox.

Das ganze geht natürlich nur solange Putty geöffnet ist und somit den Tunnel aufrecht erhält.

So können zB auch das CCcam oder Freetz WebIF absolut sicher über das Inet kontrolliert werden.

Es ist nicht mehr nötig andere Ports nach außen zu öffnen ( außer dem CS Port).
Da der Zugriff nur per Keydatei erfolgt muss man auch keine Angst haben das jemand den Zugang knackt und empfindliche Daten wie zB Dyn Adressen von CS Peers einsehen kann.

Bei Fragen einfach hier posten, sollte aber eigentlich alles erklärt sein.

Viel Erfolg...

PS: Wenn man Putty und das Keyfile auf einem USB Stick ablegt, ist von jedem beliebigen Rechner aus ein Zugriff via SSH möglich.

SSH und Freetz, Beispiele für abhörsicheren Zugriff über Inet auf Fritzbox/LAN

2011-09-25T08:44:58Z

SteveO: Die Seite wurde neu angelegt: „HowTo: SSH und Freetz, Beispiele für abhörsicheren Zugriff über Inet auf Fritzbox/LAN Vorwort: Mit Dropbear im Freetz hat man einen SSH Server. Da…“

HowTo: SSH und Freetz, Beispiele für abhörsicheren Zugriff über Inet auf Fritzbox/LAN

Vorwort:

Mit Dropbear im Freetz hat man einen SSH Server. Damit sind einige Sachen möglich wie zB FTP, Konsolensteuerung (Telnet) oder das Tunneln im Inet vom heimischen Netzwerk.

Das besondere daran ist die Tatsache das all dies wegen der Verschlüsselung abhörsicher ist.

In diesem HowTo erkläre ich wie man sich eine sicheren Zugang per SSH mit Key Authentification erstellt, also ein Login auf den Zugang ohne Passwort.

Passwörter/User kombinationen haben den Schwachpunkt das man sie unter Umständen knacken kann. Dies kann mit einem Public/Private Key Pair nicht passieren.

Zudem spart man sich das ständige eingeben der Logindaten. So wird die Nutzung von SSH zu einer angenehmen und bevorzugten Variante für Datenübermittlung und Fernzugriff.

Benötigt:
WinSCP
Putty
Puttygen
Dyn - Adresse für Fritzbox
Unix Editor, zB Crimson Editor
Image mit Dropbear im Freetz

Zuerst erstellen wir uns ein Keypair. Dazu nutzen wir Puttygen.

Tool starten und wie im Bild unten einstellen:

Dann auf " Generate " Button drücken und die Maus in der freien Fläche bewegen bis der grüne Balken ganz voll ist. So wird ein zufälliger Schlüssel erzeugt.

Nun den Public und Private Key speichern ( bei Keypassphrase nichts eingeben!).
Sicherheitsabfrage beim speichern des Private Key mit ja beantworten.

Die Datei des Public Key nun im Crimson Editor öffnen und wie auf dem Bild markieren und kopieren:

Nun im Freetz unter Einstellungen / SSH: authorized_keys den gerade kopierten Key nach dem Muster im Bild einfügen:

Der Key MUSS!! in einer Zeile stehen, also die Zeilenumbrüche entfernen!!

Danach noch auf Übernehmen drücken.

Unter Pakete / Dropbear noch "Passwort Login" deaktivieren und "root Login" erlauben.

Den Start von Dropbear auf automatisch stellen und unter Diensten starten.

In der AVM Firewall eine Weiterleitung des Port 22 / TCP auf die Fritzbox erstellen ( Fritz neu starten).

Somit ist die Fritzbox inkl. Freetz schonmal fertig.

Nun geht es mit Putty weiter. Zb auf dem Laptop von dem aus ihr Zugriff auf die Fritz / das LAN haben wollt.

Zuerst wird der Zugriff ohne Inet für Konsole erklärt

Putty starten, IP der Fritzbox sowie Namen zum speichern der Einstellung (hier: Beispiel Config) angeben:

Unter Data den Auto-Login Username "root" eintragen:

Bei SSH / Auth das abgespeicherte Private key File (.ppk File) angeben:

Dann wieder ganz hoch auf Session und die Einstellungen speichern.

Nach einem Klick auf "open" öffnet sich ganz von selbst die Konsole der Fritzbox.

WinSCP erkläre ich nicht Extra, es muss wie Putty eingestellt werden sowie das .ppk File angegeben werden. Ist das gemacht ist Filetransfer per SSH möglich.

Nun wird das Tunneln mittels Putty über das Inet erklärt

Putty öffnen und bei Host die Dyn - Adresse der Fritzbox und Namen zum speichern (hier: SSH Tunnel) eingeben:

Wieder zu Data / Auto-Login Username und "root" eingeben sowie unter SSH / Auth das .ppk File angeben.

Unter X11 geben wir nun "localhost:0" ein:

Weiter gehts bei "Tunnels".

Hier geben wir nun an unter welchem Localhost-Port ( auf unserem Läppi) welcher Port und welche IP hinter dem Tunnel ereichbar sein soll.

Ein Beispiel:

Unser Port auf dem Läppi soll "8080" sein. Wir wollen das WebIF (Port 80) einer Dbox mit IP 192.168.178.100 erreichen

Bei Source Port geben wir die 8080 ein. Unter Destination die Lan IP der Dbox gefolgt vom Port des Webif, also 80.
Auf ADD drücken und die Combi ist übernommen.
Nach diesem Muster können beliebige Ziel-IPs/Ports Combis angegeben werden. Jede Combi muss mit ADD übernommen werden.

Sind alle IPs die ich im LAN per Tunnel erreichen möchte angegeben wieder bei Session das ganze abspeichern.

Ein Klick auf "Open" verbindet wieder auf die Fritzbox.

Wenn man nun im Browser des Läppi " http://localhost:8080 " eingibt, gelangt man über den Tunnel auf das WebIF der Dbox.

Das ganze geht natürlich nur solange Putty geöffnet ist und somit den Tunnel aufrecht erhält.

So können zB auch das CCcam oder Freetz WebIF absolut sicher über das Inet kontrolliert werden.

Es ist nicht mehr nötig andere Ports nach außen zu öffnen ( außer dem CS Port).
Da der Zugriff nur per Keydatei erfolgt muss man auch keine Angst haben das jemand den Zugang knackt und empfindliche Daten wie zB Dyn Adressen von CS Peers einsehen kann.

Bei Fragen einfach hier posten, sollte aber eigentlich alles erklärt sein.

Viel Erfolg...

PS: Wenn man Putty und das Keyfile auf einem USB Stick ablegt, ist von jedem beliebigen Rechner aus ein Zugriff via SSH möglich.

Freetz

2011-09-25T08:43:38Z

SteveO:

<div style="margin: 10px 10px 0pt 0pt; border: 1px solid rgb(51, 51, 51); padding: 0em 1em 1em; background-color: rgb(27, 28, 45);"><br><center>
[[Image:Sigpic20114 40.gif.jpeg|center|Sigpic20114 40.gif.jpeg]]</center> <center><big><span style="color: rgb(181, 181, 181);">'''''Das Board mit Freiheiten'''''</span></big></center>
<font color="white"></font>

----

<br>
<div style="margin: 0px 20px 15pt 15pt; padding: 0em 1em 1em; background-color: rgb(48, 49, 64); border: 1px solid rgb(0, 0, 0);">
<br>

*[[Freetz Einleitung]][[Image:Freetz1.jpg|right]]
*[[Freetz Image erstellen|Freetz Image erstellen]]
*[[Freetz Addons]]
*[[Freetz Pakete]]
*[[FRITZ!Box hinter FRITZ!Box HowTo]]
*[[Anleitung Freetz flashen bis zum CS Server einrichten|Anleitung Freetz flashen bis zum CS Server einrichten]]
*[http://www.dm-computer.de/nil/sis-pm-freetz/pdf/sis-pms-freetz.pdf%7C sis-pms-freetz.pdf]
*[[Hardwareliste|Hardwareliste]]
*[[Freetz Server Beispiele]]
*[[Freetz Tips|Freetz Tips]]
*[[Freetz chroot|Freetz chroot]]
*[[CCcam alle Versionen @ Freetz mit Normal- und Chroot-Modus (ab 2.1.2 mit chroot)]]
*[[Chroot Debian FritzBox|chroot Debian FritzBox]]
*[[Freetz & Scripte|Freetz & Scripte]]
*[[External|External]]
*[[Howto freetz: uStor01 Daten per external hochladen|Howto freetz: uStor01 Daten per external hochladen ]]
*[[Cron|Cron-Crontab]]
*[[RuKernelTool]]
*[[FRITZ!Box|Fritzbox]]
*[[Speedport|Speedport]]
*[[Speed-to-fritz|Speed-to-fritz]]
*[[Smargo Einstellungen|Smargo Einstellungen]]
*[[Cron|Crontab]]
*[[OpenVPN und Freetz, wie stricke ich mein eigenes VPN]]
*[[SSH und Freetz, Beispiele für abhörsicheren Zugriff über Inet auf Fritzbox/LAN]]

<br>

*[[Hauptseite|Zurück zu Hauptseite]]
</div> </div>
[[Category:Freetz]] [[Category:Fritzbox]]

Freetz

2011-09-25T08:41:42Z

SteveO:

<div style="margin: 10px 10px 0pt 0pt; border: 1px solid rgb(51, 51, 51); padding: 0em 1em 1em; background-color: rgb(27, 28, 45);"><br><center>
[[Image:Sigpic20114 40.gif.jpeg|center|Sigpic20114 40.gif.jpeg]]</center> <center><big><span style="color: rgb(181, 181, 181);">'''''Das Board mit Freiheiten'''''</span></big></center>
<font color="white"></font>

----

<br>
<div style="margin: 0px 20px 15pt 15pt; padding: 0em 1em 1em; background-color: rgb(48, 49, 64); border: 1px solid rgb(0, 0, 0);">
<br>

*[[Freetz Einleitung]][[Image:Freetz1.jpg|right]]
*[[Freetz Image erstellen|Freetz Image erstellen]]
*[[Freetz Addons]]
*[[Freetz Pakete]]
*[[FRITZ!Box hinter FRITZ!Box HowTo]]
*[[Anleitung Freetz flashen bis zum CS Server einrichten|Anleitung Freetz flashen bis zum CS Server einrichten]]
*[http://www.dm-computer.de/nil/sis-pm-freetz/pdf/sis-pms-freetz.pdf%7C sis-pms-freetz.pdf]
*[[Hardwareliste|Hardwareliste]]
*[[Freetz Server Beispiele]]
*[[Freetz Tips|Freetz Tips]]
*[[Freetz chroot|Freetz chroot]]
*[[CCcam alle Versionen @ Freetz mit Normal- und Chroot-Modus (ab 2.1.2 mit chroot)]]
*[[Chroot Debian FritzBox|chroot Debian FritzBox]]
*[[Freetz & Scripte|Freetz & Scripte]]
*[[External|External]]
*[[Howto freetz: uStor01 Daten per external hochladen|Howto freetz: uStor01 Daten per external hochladen ]]
*[[Cron|Cron-Crontab]]
*[[RuKernelTool]]
*[[FRITZ!Box|Fritzbox]]
*[[Speedport|Speedport]]
*[[Speed-to-fritz|Speed-to-fritz]]
*[[Smargo Einstellungen|Smargo Einstellungen]]
*[[Cron|Crontab]]
*[[OpenVPN und Freetz, wie stricke ich mein eigenes VPN]]
*[[SSH und Freetz, Beispiele für abhörsicheren Zugriff über Inet auf Fritzbox/LAN ]]

<br>

*[[Hauptseite|Zurück zu Hauptseite]]
</div> </div>
[[Category:Freetz]] [[Category:Fritzbox]]

OpenVPN und Freetz, wie stricke ich mein eigenes VPN

2011-09-25T07:46:35Z

SteveO:

<div style="margin: 10px 10px 0pt 0pt; border: 1px solid rgb(51, 51, 51); padding: 0em 1em 1em; background-color: rgb(27, 28, 45);"><br><center>[[Image:ZD-Logo.png]]</center> <center><big><span style="color: rgb(181, 181, 181);">'''''Das Board mit Freiheiten'''''</span></big></center>
<font color="white"></font>

----

<br>
<div style="margin: 0px 20px 15pt 15pt; padding: 0em 1em 1em; background-color: rgb(48, 49, 64); border: 1px solid rgb(0, 0, 0);">
<br>
<center><big>'''Freetz@OpenVPN''' </big></center>

Howto für OpenVPN mit Server@Freetz und Client@Windows.

Damit ein "echtes" VPN gestrickt werden kann erkläre ich hier das ganze mit Zertifikaten zur Authentifizierung.

Es geht auch mit Key-Auhtentification, allerdings kann dann immer nur ein Client auf den Server connecten. Mit Zertifikaten können beliebig viele VPN CLients gleichzeitig verbunden werden.

Alle Befehle gebe ich per SSH Konsole ein, Files werden per SSH/WinSCP kopiert und editiert. Darauf gehe ich hier nicht weiter ein. Wer damit Probleme hat wird im Freetz/FAQ Bereich fündig.

Benötigt:

Image für Fritzbox mit OpenVPN
OpenVPN Client für Windows, z.B. SecurepointSSLVPN_RC3

Zum erstellen der Zertifikate für Server und Clients hab ich mir auf meinem Debian Server zusäzlich OpenVPN installiert:

Als "root" am Server angemeldet folgendes in der Konsole ausführen:
apt-get install openvpn openssl

Wenn alles installiert ist, mit WinSCP folgenden Ordner erstellen:
/etc/openvpn

Mit WinSCP wechseln nach
/usr/share/doc/openvpn/examples

Ordner "easy-rsa" kopieren nach
/etc/openvpn

Wechseln nach:
/etc/openvpn/easy-rsa/2.0

Hier den Ordner "keys" anlegen.

Dann die Datei "vars" wie folgt editieren:

<div style="margin: 0; margin-top:10px; margin-right:10px; border: 4px solid #ffffff; padding: 0em 1em 1em 1em; background-color:#1B1C2D; align:right;">
# easy-rsa parameter settings

# NOTE: If you installed from an RPM,
# don't edit this file in place in
# /usr/share/openvpn/easy-rsa --
# instead, you should copy the whole
# easy-rsa directory to another location
# (such as /etc/openvpn) so that your
# edits will not be wiped out by a future
# OpenVPN package upgrade.

# This variable should point to
# the top level of the easy-rsa
# tree.
export EASY_RSA="`pwd`"

#
# This variable should point to
# the requested executables
#
export OPENSSL="openssl"
export PKCS11TOOL="pkcs11-tool"
export GREP="grep"

# This variable should point to
# the openssl.cnf file included
# with easy-rsa.
export KEY_CONFIG=`$EASY_RSA/whichopensslcnf $EASY_RSA`

# Edit this variable to point to
# your soon-to-be-created key
# directory.
#
# WARNING: clean-all will do
# a rm -rf on this directory
# so make sure you define
# it correctly!
export KEY_DIR="$EASY_RSA/keys"

# Issue rm -rf warning
echo NOTE: If you run ./clean-all, I will be doing a rm -rf on $KEY_DIR

# PKCS11 fixes
export PKCS11_MODULE_PATH="dummy"
export PKCS11_PIN="dummy"

# Increase this to 2048 if you
# are paranoid. This will slow
# down TLS negotiation performance
# as well as the one-time DH parms
# generation process.
export KEY_SIZE=1024

# In how many days should the root CA key expire?
export CA_EXPIRE=3650

# In how many days should certificates expire?
export KEY_EXPIRE=3650

# These are the default values for fields
# which will be placed in the certificate.
# Don't leave any of these fields blank.
export KEY_COUNTRY="DE"
export KEY_PROVINCE="ZD"
export KEY_CITY="ZDTOWN"
export KEY_ORG="]Zebradem"
export KEY_EMAIL="Freetz@Zebradem.com"

export OPENVPN=openvpn
</div>

Nun geht es an das erstellen der Zertifikate.
Wenn man in der Konsole beim erstellen etwas eingeben muss, kann man einfach immer "ENTER" drücken.
Ausnahme:
Wenn gefragt wird, ob Client-Zertifikate signiert werden sollen --> mit "y" (yes) bestätigen!!

In der Konsole wechsel nach
/etc/openvpn/easy-rsa/2.0

vars einlesen und die CA initialisieren:
. ./vars
./clean-all ## ACHTUNG!! löscht Inhalt von Keys Verzeichnis, nur beim ersten mal ausführen !!

Wenn man zu einem späteren Zeitpunkt ein Client-Zertifikat erstellen möchte, muss vorher immer
. ./vars
ausgeführt werden!

CA-Key und CA-Cert erzeugen:
./build-ca

Diffie-Hellman Parameter erzeugen:
./build-dh

Erzeugen von Server-Schlüsselpaar direkt von der CA:
./build-key-server server

Erzeugen eines Client-Schlüsselpaars (ohne Passwort), für
jeden Client eindeutigen Namen oder aufsteigende Nummer angeben:
./build-key client01

Zertifikate liegen nun in "/etc/openvpn/easy-rsa/2.0/keys"

Wenn man Client-Zertifikate mit Passwortschutz erstellen möchte:
./build-key-pass client01

Für Client benötigte Zertifikate und Dateien:
ca.crt
client01.crt
client01.key
Die 3 Dateien für den Client auf einen USB-Stick oder Client-Rechner kopieren.

Für Server benötigte Zertifikate und Dateien:
ca.crt
server.crt
server.key
dh1024.pem

Nun gehts in Freetz weiter :)

OpenVPN Einstellungen öffnen, Optionen wie folgt setzen:
[x] Automatisch
[x] Server
[x] UDP
[x] Brücke(TAP)
Port: 1194
[x] Zertifikate
Cipher: Blowfish

Lokale IP-Adresse: 10.8.0.1 (Dies wird die virtuelle IP vom Server, kann natürlich auch eine andere IP sein)
Netzmaske: 255.255.255.0
DHCP-Range: 10.8.0.150 10.8.0.160 (Je nach bedarf der virtuelle IP Bereich für Clients)
Lokales Netz: 192.168.178.0 255.255.255.0 (Tatsächlicher IP Bereich des LAN hinter dem Server, das von außen erreichbar sein soll)

[x] Erweiterte CLientkonfiguration (nicht unbedingt nötig, aber so wird es eine Runde Sache)

Client01 | 10.8.0.150 | 192.168.88.0 255.255.255.0 (Name des Client/Zertifikat | Fest zugewiesene VPN IP für Client | Zuletzt das echte Netz/LAN des Client mit Subnet)

Client02 | 10.8.0.151 | 192.168.55.0 255.255.255.0

Client03 | 10.8.0.152 | 192.168.33.0 255.255.255.0

Falls die Clients sich auch sehen sollen:

[x] Client-zu-Client

Anzahl der Maximalen Clients angeben.

DNS Server: 10.8.0.1

Den Rest so lassen wie er ist und speichern.

Mit WinSCP die folgenden Dateien öffnen und jeweils den gesamten Inhalt an genannte Stelle der OpenVPN Einstellung kopieren:
server.crt --> Box Cert (übernehmen)
ca.crt --> CA Cert (übernehmen)
dh1024.pem --> DH Param (übernehmen)
server.key --> Private Key (übernehmen)

Unter OpenVPN/CRL einfach einmal "Übernehmen" drücken, damit eine leere Datei erzeugt wird. Sonst startet OpenVPN nicht!

AVM-Firewall Settings:

lowinput sowie highoutput gleich einstellen:
Quelle --> any
Ziel --> any
Protokoll --> UDP
Start- und End-Port --> 1194
Aktion --> permit
(übernehmen)

Port Forwarding:
Protokoll --> UDP
Ziel --> Fritz!Box
Quell Port --> 1194
Ziel Port --> 1194
(übernehmen)

Fritzbox neu starten.

Weiter auf Client Rechner:

SecurepointSSLVPN_RC3 installieren.

VPN Client starten, neue Konfig anlegen:
Name
IP des Server (DynDns Adresse)
Root CA = ca.crt
Zertifikat = client01.crt
Schlüssel = client01.key
[x] Server Zertifikat
[ ] Auth user/pass (Haken entfernen!)

Rest so lassen, "Next" und "Finish" drücken.

Neu erstellte Konfig mit rechter Maustaste anklicken --> Editieren wählen

"DEV" von "tun" auf "tap" umstellen, "OK" klicken.

Wenn dies alles erledigt ist, am besten mal eine Sicherung der Freetz Settings sowie ein Export der Client-VPN-

Settings durchführen. War ja nun auch genug Arbeit ;)

Wenn man einen anderen Router als Client zum VPN Server verbindet, sollten beide LANs untereinander ereichbar sein.
Wenn ein PC den Client darstellt, gibt es noch folgenden Trick:

Regedit auf Client-Rechner starten.
HKEY_LOCAL_MACHINE\ System\ CurrentControlSet\ Services\ Tcpip\ Parameters

Eintrag "IPEnableRouter" Wert auf 1 setzen.

Rechner neu starten.

Gateway der übrigen Rechner im Client LAN auf die IP des Client Rechner setzen.

Nun sollte man schön hin und her Pingen können...

== Wichtige Links ==
*[[Freetz|Zurück zu Freetz]]
*[[Hauptseite|Zurück zu Hauptseite]]

[[Category:Fritzbox]]
[[Category:Sitemap]]

OpenVPN und Freetz, wie stricke ich mein eigenes VPN

2011-09-25T07:45:30Z

SteveO:

<div style="margin: 10px 10px 0pt 0pt; border: 1px solid rgb(51, 51, 51); padding: 0em 1em 1em; background-color: rgb(27, 28, 45);"><br><center>[[Image:ZD-Logo.png]]</center> <center><big><span style="color: rgb(181, 181, 181);">'''''Das Board mit Freiheiten'''''</span></big></center>
<font color="white"></font>

----

<br>
<div style="margin: 0px 20px 15pt 15pt; padding: 0em 1em 1em; background-color: rgb(48, 49, 64); border: 1px solid rgb(0, 0, 0);">
<br>
<center><big>'''Freetz@OpenVPN''' </big></center>

Howto für OpenVPN mit Server@Freetz und Client@Windows.

Damit ein "echtes" VPN gestrickt werden kann erkläre ich hier das ganze mit Zertifikaten zur Authentifizierung.

Es geht auch mit Key-Auhtentification, allerdings kann dann immer nur ein Client auf den Server connecten. Mit Zertifikaten können beliebig viele VPN CLients gleichzeitig verbunden werden.

Alle Befehle gebe ich per SSH Konsole ein, Files werden per SSH/WinSCP kopiert und editiert. Darauf gehe ich hier nicht weiter ein. Wer damit Probleme hat wird im Freetz/FAQ Bereich fündig.

Benötigt:

Image für Fritzbox mit OpenVPN
OpenVPN Client für Windows, z.B. SecurepointSSLVPN_RC3

Zum erstellen der Zertifikate für Server und Clients hab ich mir auf meinem Debian Server zusäzlich OpenVPN installiert:

Als "root" am Server angemeldet folgendes in der Konsole ausführen:
apt-get install openvpn openssl

Wenn alles installiert ist, mit WinSCP folgenden Ordner erstellen:
/etc/openvpn

Mit WinSCP wechseln nach
/usr/share/doc/openvpn/examples

Ordner "easy-rsa" kopieren nach
/etc/openvpn

Wechseln nach:
/etc/openvpn/easy-rsa/2.0

Hier den Ordner "keys" anlegen.

Dann die Datei "vars" wie folgt editieren:

<div style="margin: 0; margin-top:10px; margin-right:10px; border: 4px solid #ffffff; padding: 0em 1em 1em 1em; background-color:#1B1C2D; align:right;">
# easy-rsa parameter settings

# NOTE: If you installed from an RPM,
# don't edit this file in place in
# /usr/share/openvpn/easy-rsa --
# instead, you should copy the whole
# easy-rsa directory to another location
# (such as /etc/openvpn) so that your
# edits will not be wiped out by a future
# OpenVPN package upgrade.

# This variable should point to
# the top level of the easy-rsa
# tree.
export EASY_RSA="`pwd`"

#
# This variable should point to
# the requested executables
#
export OPENSSL="openssl"
export PKCS11TOOL="pkcs11-tool"
export GREP="grep"

# This variable should point to
# the openssl.cnf file included
# with easy-rsa.
export KEY_CONFIG=`$EASY_RSA/whichopensslcnf $EASY_RSA`

# Edit this variable to point to
# your soon-to-be-created key
# directory.
#
# WARNING: clean-all will do
# a rm -rf on this directory
# so make sure you define
# it correctly!
export KEY_DIR="$EASY_RSA/keys"

# Issue rm -rf warning
echo NOTE: If you run ./clean-all, I will be doing a rm -rf on $KEY_DIR

# PKCS11 fixes
export PKCS11_MODULE_PATH="dummy"
export PKCS11_PIN="dummy"

# Increase this to 2048 if you
# are paranoid. This will slow
# down TLS negotiation performance
# as well as the one-time DH parms
# generation process.
export KEY_SIZE=1024

# In how many days should the root CA key expire?
export CA_EXPIRE=3650

# In how many days should certificates expire?
export KEY_EXPIRE=3650

# These are the default values for fields
# which will be placed in the certificate.
# Don't leave any of these fields blank.
export KEY_COUNTRY="DE"
export KEY_PROVINCE="ZD"
export KEY_CITY="ZDTOWN"
export KEY_ORG="]Zebradem"
export KEY_EMAIL="Freetz@Zebradem.com"

export OPENVPN=openvpn
</div>

Nun geht es an das erstellen der Zertifikate.
Wenn man in der Konsole beim erstellen etwas eingeben muss, kann man einfach immer "ENTER" drücken.
Ausnahme:
Wenn gefragt wird, ob Client-Zertifikate signiert werden sollen --> mit "y" (yes) bestätigen!!

In der Konsole wechsel nach
/etc/openvpn/easy-rsa/2.0

vars einlesen und die CA initialisieren:
. ./vars
./clean-all ## ACHTUNG!! löscht Inhalt von Keys Verzeichnis, nur beim ersten mal ausführen !!

Wenn man zu einem späteren Zeitpunkt ein Client-Zertifikat erstellen möchte, muss vorher immer
. ./vars
ausgeführt werden!

CA-Key und CA-Cert erzeugen:
./build-ca

Diffie-Hellman Parameter erzeugen:
./build-dh

Erzeugen von Server-Schlüsselpaar direkt von der CA:
./build-key-server server

Erzeugen eines Client-Schlüsselpaars (ohne Passwort), für
jeden Client eindeutigen Namen oder aufsteigende Nummer angeben:
./build-key client01

Zertifikate liegen nun in "/etc/openvpn/easy-rsa/2.0/keys"

Wenn man Client-Zertifikate mit Passwortschutz erstellen möchte:
./build-key-pass client01

Für Client benötigte Zertifikate und Dateien:
ca.crt
client01.crt
client01.key
Die 3 Dateien für den Client auf einen USB-Stick oder Client-Rechner kopieren.

Für Server benötigte Zertifikate und Dateien:
ca.crt
server.crt
server.key
dh1024.pem

Nun gehts in Freetz weiter :)

OpenVPN Einstellungen öffnen, Optionen wie folgt setzen:
[x] Automatisch
[x] Server
[x] UDP
[x] Brücke(TAP)
Port: 1194
[x] Zertifikate
Cipher: Blowfish

Lokale IP-Adresse: 10.8.0.1 (Dies wird die virtuelle IP vom Server, kann natürlich auch eine andere IP sein)
Netzmaske: 255.255.255.0
DHCP-Range: 10.8.0.150 10.8.0.160 (Je nach bedarf der virtuelle IP Bereich für Clients)
Lokales Netz: 192.168.178.0 255.255.255.0 (Tatsächlicher IP Bereich des LAN hinter dem Server, das von außen erreichbar sein soll)

[x] Erweiterte CLientkonfiguration (nicht unbedingt nötig, aber so wird es eine Runde Sache)

Client01 | 10.8.0.150 | 192.168.88.0 255.255.255.0 (Name des Client/Zertifikat | Fest zugewiesene VPN IP für Client | Zuletzt das echte Netz/LAN des Client mit Subnet)

Client02 | 10.8.0.151 | 192.168.55.0 255.255.255.0

Client03 | 10.8.0.152 | 192.168.33.0 255.255.255.0

Falls die Clients sich auch sehen sollen:

[x] Client-zu-Client

Anzahl der Maximalen Clients angeben.

DNS Server: 10.8.0.1

Den Rest so lassen wie er ist und speichern.

Mit WinSCP die folgenden Dateien öffnen und jeweils den gesamten Inhalt an genannte Stelle der OpenVPN Einstellung kopieren:
server.crt --> Box Cert (übernehmen)
ca.crt --> CA Cert (übernehmen)
dh1024.pem --> DH Param (übernehmen)
server.key --> Private Key (übernehmen)

Unter OpenVPN/CRL einfach einmal "Übernehmen" drücken, damit eine leere Datei erzeugt wird. Sonst startet OpenVPN nicht!

AVM-Firewall Settings:

lowinput sowie highoutput gleich einstellen:
Quelle --> any
Ziel --> any
Protokoll --> UDP
Start- und End-Port --> 1194
Aktion --> permit
(übernehmen)

Port Forwarding:
Protokoll --> UDP
Ziel --> Fritz!Box
Quell Port --> 1194
Ziel Port --> 1194
(übernehmen)

Fritzbox neu starten.

Weiter auf Client Rechner:

SecurepointSSLVPN_RC3 installieren.

VPN Client starten, neue Konfig anlegen:
Name
IP des Server (DynDns Adresse)
Root CA = ca.crt
Zertifikat = client01.crt
Schlüssel = client01.key
[x] Server Zertifikat
[ ] Auth user/pass (Haken entfernen!)

Rest so lassen, "Next" und "Finish" drücken.

Neu erstellte Konfig mit rechter Maustaste anklicken --> Editieren wählen

"DEV" von "tun" auf "tap" umstellen, "OK" klicken.

Wenn dies alles erledigt ist, am besten mal eine Sicherung der Freetz Settings sowie ein Export der Client-VPN-

Settings durchführen. War ja nun auch genug Arbeit ;)

Wenn man einen anderen Router als Client zum VPN Server verbindet, sollten beide LANs untereinander ereichbar sein.
Wenn ein PC den Client darstellt, gibt es noch folgenden Trick:

Regedit auf Client-Rechner starten.
HKEY_LOCAL_MACHINE\ System\ CurrentControlSet\ Services\ Tcpip\ Parameters

Eintrag "IPEnableRouter" Wert auf 1 setzen.

Rechner neu starten.

Gateway der übrigen Rechner im Client LAN auf die IP des Client Rechner setzen.

Nun sollte man schön hin und her Pingen können...

== Wichtige Links ==
*[[Freetz|Zurück zu Freetz]]
*[[Hauptseite|Zurück zu Hauptseite]]

[[Category:Fritzbox]]
[[Category:Sitemap]]

OpenVPN und Freetz, wie stricke ich mein eigenes VPN

2011-09-24T20:24:56Z

SteveO:

<div style="margin: 10px 10px 0pt 0pt; border: 1px solid rgb(51, 51, 51); padding: 0em 1em 1em; background-color: rgb(27, 28, 45);"><br><center>[[Image:ZD-Logo.png]]</center> <center><big><span style="color: rgb(181, 181, 181);">'''''Das Board mit Freiheiten'''''</span></big></center>
<font color="white"></font>

----

<br>
<div style="margin: 0px 20px 15pt 15pt; padding: 0em 1em 1em; background-color: rgb(48, 49, 64); border: 1px solid rgb(0, 0, 0);">
<br>
<center><big>'''Freetz@OpenVPN''' </big></center>

Howto für OpenVPN mit Server@Freetz und Client@Windows.

Damit ein "echtes" VPN gestrickt werden kann erkläre ich hier das ganze mit Zertifikaten zur Authentifizierung.

Es geht auch mit Key-Auhtentification, allerdings kann dann immer nur ein Client auf den Server connecten. Mit Zertifikaten können beliebig viele VPN CLients gleichzeitig verbunden werden.

Alle Befehle gebe ich per SSH Konsole ein, Files werden per SSH/WinSCP kopiert und editiert. Darauf gehe ich hier nicht weiter ein. Wer damit Probleme hat wird im Freetz/FAQ Bereich fündig.

Benötigt:

Image für Fritzbox mit OpenVPN
OpenVPN Client für Windows, z.B. SecurepointSSLVPN_RC3

Zum erstellen der Zertifikate für Server und Clients hab ich mir auf meinem Debian Server zusäzlich OpenVPN installiert:

Als "root" am Server angemeldet folgendes in der Konsole ausführen:
apt-get install openvpn openssl

Wenn alles installiert ist, mit WinSCP folgenden Ordner erstellen:
/etc/openvpn

Mit WinSCP wechseln nach
/usr/share/doc/openvpn/examples

Ordner "easy-rsa" kopieren nach
/etc/openvpn

Wechseln nach:
/etc/openvpn/easy-rsa/2.0

Hier den Ordner "keys" anlegen.

Dann die Datei "vars" wie folgt editieren:

<div style="margin: 0; margin-top:10px; margin-right:10px; border: 4px solid #ffffff; padding: 0em 1em 1em 1em; background-color:#1B1C2D; align:right;">
# easy-rsa parameter settings

# NOTE: If you installed from an RPM,
# don't edit this file in place in
# /usr/share/openvpn/easy-rsa --
# instead, you should copy the whole
# easy-rsa directory to another location
# (such as /etc/openvpn) so that your
# edits will not be wiped out by a future
# OpenVPN package upgrade.

# This variable should point to
# the top level of the easy-rsa
# tree.
export EASY_RSA="`pwd`"

#
# This variable should point to
# the requested executables
#
export OPENSSL="openssl"
export PKCS11TOOL="pkcs11-tool"
export GREP="grep"

# This variable should point to
# the openssl.cnf file included
# with easy-rsa.
export KEY_CONFIG=`$EASY_RSA/whichopensslcnf $EASY_RSA`

# Edit this variable to point to
# your soon-to-be-created key
# directory.
#
# WARNING: clean-all will do
# a rm -rf on this directory
# so make sure you define
# it correctly!
export KEY_DIR="$EASY_RSA/keys"

# Issue rm -rf warning
echo NOTE: If you run ./clean-all, I will be doing a rm -rf on $KEY_DIR

# PKCS11 fixes
export PKCS11_MODULE_PATH="dummy"
export PKCS11_PIN="dummy"

# Increase this to 2048 if you
# are paranoid. This will slow
# down TLS negotiation performance
# as well as the one-time DH parms
# generation process.
export KEY_SIZE=1024

# In how many days should the root CA key expire?
export CA_EXPIRE=3650

# In how many days should certificates expire?
export KEY_EXPIRE=3650

# These are the default values for fields
# which will be placed in the certificate.
# Don't leave any of these fields blank.
export KEY_COUNTRY="DE"
export KEY_PROVINCE="ZD"
export KEY_CITY="ZDTOWN"
export KEY_ORG="]Zebradem"
export KEY_EMAIL="Freetz@Zebradem.com"

export OPENVPN=openvpn
</div>

Nun geht es an das erstellen der Zertifikate.
Wenn man in der Konsole beim erstellen etwas eingeben muss, kann man einfach immer "ENTER" drücken.
Ausnahme:
Wenn gefragt wird, ob Client-Zertifikate signiert werden sollen --> mit "y" (yes) bestätigen!!

In der Konsole wechsel nach
/etc/openvpn/easy-rsa/2.0

vars einlesen und die CA initialisieren:
. ./vars
./clean-all ## ACHTUNG!! löscht Inhalt von Keys Verzeichnis, nur beim ersten mal ausführen !!

Wenn man zu einem späteren Zeitpunkt ein Client-Zertifikat erstellen möchte, muss vorher immer
. ./vars
ausgeführt werden!

CA-Key und CA-Cert erzeugen:
./build-ca

Diffie-Hellman Parameter erzeugen:
./build-dh

Erzeugen von Server-Schlüsselpaar direkt von der CA:
./build-key-server server

Erzeugen eines Client-Schlüsselpaars (ohne Passwort), für
jeden Client eindeutigen Namen oder aufsteigende Nummer angeben:
./build-key client01

Zertifikate liegen nun in "/etc/openvpn/easy-rsa/2.0/keys"

Wenn man Client-Zertifikate mit Passwortschutz erstellen möchte:
./build-key-pass client01

Für Client benötigte Zertifikate und Dateien:
ca.crt
client01.crt
client01.key
Die 3 Dateien für den Client auf einen USB-Stick oder Client-Rechner kopieren.

Für Server benötigte Zertifikate und Dateien:
ca.crt
server.crt
server.key
dh1024.pem

Nun gehts in Freetz weiter :)

OpenVPN Einstellungen öffnen, Optionen wie folgt setzen:
[x] Automatisch
[x] Server
[x] UDP
[x] Brücke(TAP)
Port: 1194
[x] Zertifikate
Cipher: Blowfish

Lokale IP-Adresse: 10.8.0.1 (Dies wird die virtuelle IP vom Server, kann natürlich auch eine andere IP sein)
Netzmaske: 255.255.255.0
DHCP-Range: 10.8.0.150 10.8.0.160 (Je nach bedarf der virtuelle IP Bereich für Clients)
Lokales Netz: 192.168.178.0 255.255.255.0 (Tatsächlicher IP Bereich des LAN hinter dem Server, das von außen erreichbar sein soll)

[x] Erweiterte CLientkonfiguration (nicht unbedingt nötig, aber so wird es eine Runde Sache)

Client01 | 10.8.0.150 | 192.168.88.0 255.255.255.0 (Name des Client/Zertifikat | Fest zugewiesene VPN IP für Client | Zuletzt das echte Netz/LAN des Client mit Subnet)

Client02 | 10.8.0.151 | 192.168.55.0 255.255.255.0

Client03 | 10.8.0.152 | 192.168.33.0 255.255.255.0

Falls die Clients sich auch sehen sollen:

[x] Client-zu-Client

Anzahl der Maximalen CLients angeben.

DNS Server: 10.8.0.1

Den Rest so lassen wie er ist und speichern.

Mit WinSCP die folgenden Dateien öffnen und jeweils den gesamten Inhalt an genannte Stelle kopieren:
server.crt --> Box Cert (übernehmen)
ca.crt --> CA Cert (übernehmen)
dh1024.pem --> DH Param (übernehmen)
server.key --> Private Key (übernehmen)

Unter OpenVPN/CRL einfach einmal "Übernehmen" drücken, damit eine leere Datei erzeugt wird. Sonst startet OpenVPN nicht!

AVM-Firewall Settings:

lowinput sowie highoutput gleich einstellen:
Quelle --> any
Ziel --> any
Protokoll --> UDP
Start- und End-Port --> 1194
Aktion --> permit
(übernehmen)

Port Forwarding:
Protokoll --> UDP
Ziel --> Fritz!Box
Quell Port --> 1194
Ziel Port --> 1194
(übernehmen)

Fritzbox neu starten.

Weiter auf Client Rechner:

SecurepointSSLVPN_RC3 installieren.

VPN Client starten, neue Konfig anlegen:
Name
IP des Server (DynDns Adresse)
Root CA = ca.crt
Zertifikat = client01.crt
Schlüssel = client01.key
[x] Server Zertifikat
[ ] Auth user/pass (Haken entfernen!)

Rest so lassen, "Next" und "Finish" drücken.

Neu erstellte Konfig mit rechter Maustaste anklicken --> Editieren wählen

"DEV" von "tun" auf "tap" umstellen, "OK" klicken.

Wenn dies alles erledigt ist, am besten mal eine Sicherung der Freetz Settings sowie ein Export der Client-VPN-

Settings durchführen. War ja nun auch genug Arbeit ;)

Wenn man einen anderen Router als Client zum VPN Server verbindet, sollten beide LANs untereinander ereichbar sein.
Wenn ein PC den Client darstellt, gibt es noch folgenden Trick:

Regedit auf Client-Rechner starten.
HKEY_LOCAL_MACHINE\ System\ CurrentControlSet\ Services\ Tcpip\ Parameters

Eintrag "IPEnableRouter" Wert auf 1 setzen.

Rechner neu starten.

Gateway der übrigen Rechner im Client LAN auf die IP des Client Rechner setzen.

Nun sollte man schön hin und her Pingen können...

== Wichtige Links ==
*[[Freetz|Zurück zu Freetz]]
*[[Hauptseite|Zurück zu Hauptseite]]

[[Category:Fritzbox]]
[[Category:Sitemap]]

OpenVPN und Freetz, wie stricke ich mein eigenes VPN

2011-09-24T20:23:16Z

SteveO:

<div style="margin: 10px 10px 0pt 0pt; border: 1px solid rgb(51, 51, 51); padding: 0em 1em 1em; background-color: rgb(27, 28, 45);"><br><center>[[Image:ZD-Logo.png]]</center> <center><big><span style="color: rgb(181, 181, 181);">'''''Das Board mit Freiheiten'''''</span></big></center>
<font color="white"></font>

----

<br>
<div style="margin: 0px 20px 15pt 15pt; padding: 0em 1em 1em; background-color: rgb(48, 49, 64); border: 1px solid rgb(0, 0, 0);">
<br>
<center><big>'''Freetz@OpenVPN''' </big></center>

Howto für OpenVPN mit Server@Freetz und Client@Windows.

Damit ein "echtes" VPN gestrickt werden kann erkläre ich hier das ganze mit Zertifikaten zur Authentifizierung.

Es geht auch mit Key-Auhtentification, allerdings kann dann immer nur ein Client auf den Server connecten. Mit Zertifikaten können beliebig viele VPN CLients gleichzeitig verbunden werden.

Alle Befehle gebe ich per SSH Konsole ein, Files werden per SSH/WinSCP kopiert und editiert. Darauf gehe ich hier nicht weiter ein. Wer damit Probleme hat wird im Freetz/FAQ Bereich fündig.

Benötigt:

Image für Fritzbox mit OpenVPN
OpenVPN Client für Windows, z.B. SecurepointSSLVPN_RC3

Zum erstellen der Zertifikate für Server und Clients hab ich mir auf meinem Debian Server zusäzlich OpenVPN installiert:

Als "root" am Server angemeldet folgendes in der Konsole ausführen:
apt-get install openvpn openssl

Wenn alles installiert ist, mit WinSCP folgenden Ordner erstellen:
/etc/openvpn

Mit WinSCP wechseln nach
/usr/share/doc/openvpn/examples

Ordner "easy-rsa" kopieren nach
/etc/openvpn

Wechseln nach:
/etc/openvpn/easy-rsa/2.0

Hier den Ordner "keys" anlegen.

Dann die Datei "vars" wie folgt editieren:

<div style="margin: 0; margin-top:10px; margin-right:10px; border: 4px solid #ffffff; padding: 0em 1em 1em 1em; background-color:#1B1C2D; align:right;">
# easy-rsa parameter settings

# NOTE: If you installed from an RPM,
# don't edit this file in place in
# /usr/share/openvpn/easy-rsa --
# instead, you should copy the whole
# easy-rsa directory to another location
# (such as /etc/openvpn) so that your
# edits will not be wiped out by a future
# OpenVPN package upgrade.

# This variable should point to
# the top level of the easy-rsa
# tree.
export EASY_RSA="`pwd`"

#
# This variable should point to
# the requested executables
#
export OPENSSL="openssl"
export PKCS11TOOL="pkcs11-tool"
export GREP="grep"

# This variable should point to
# the openssl.cnf file included
# with easy-rsa.
export KEY_CONFIG=`$EASY_RSA/whichopensslcnf $EASY_RSA`

# Edit this variable to point to
# your soon-to-be-created key
# directory.
#
# WARNING: clean-all will do
# a rm -rf on this directory
# so make sure you define
# it correctly!
export KEY_DIR="$EASY_RSA/keys"

# Issue rm -rf warning
echo NOTE: If you run ./clean-all, I will be doing a rm -rf on $KEY_DIR

# PKCS11 fixes
export PKCS11_MODULE_PATH="dummy"
export PKCS11_PIN="dummy"

# Increase this to 2048 if you
# are paranoid. This will slow
# down TLS negotiation performance
# as well as the one-time DH parms
# generation process.
export KEY_SIZE=1024

# In how many days should the root CA key expire?
export CA_EXPIRE=3650

# In how many days should certificates expire?
export KEY_EXPIRE=3650

# These are the default values for fields
# which will be placed in the certificate.
# Don't leave any of these fields blank.
export KEY_COUNTRY="DE"
export KEY_PROVINCE="ZD"
export KEY_CITY="ZDTOWN"
export KEY_ORG="]Zebradem"
export KEY_EMAIL="Freetz@Zebradem.com"

export OPENVPN=openvpn
</div>

Nun geht es an das erstellen der Zertifikate.
Wenn man in der Konsole beim erstellen etwas eingeben muss, kann man einfach immer "ENTER" drücken.
Ausnahme:
Wenn gefragt wird, ob Client-Zertifikate signiert werden sollen --> mit "y" (yes) bestätigen!!

In der Konsole wechsel nach
/etc/openvpn/easy-rsa/2.0

vars einlesen und die CA initialisieren:
. ./vars
./clean-all ## ACHTUNG!! löscht Inhalt von Keys Verzeichnis, nur beim ersten mal ausführen !!

Wenn man zu einem späteren Zeitpunkt ein Client-Zertifikat erstellen möchte, muss vorher immer
. ./vars
ausgeführt werden!

CA-Key und CA-Cert erzeugen:
./build-ca

Diffie-Hellman Parameter erzeugen:
./build-dh

Erzeugen von Server-Schlüsselpaar direkt von der CA:
./build-key-server server

Erzeugen eines Client-Schlüsselpaars (ohne Passwort), für
jeden CLient eindeutigen Namen oder aufsteigende Nummer angeben:
./build-key client01

Zertifikate liegen nun in "/etc/openvpn/easy-rsa/2.0/keys"

Wenn man Client-Zertifikate mit Passwortschutz erstellen möchte:
./build-key-pass client01

Für Client benötigte Zertifikate und Dateien:
ca.crt
client01.crt
client01.key
Die 3 Dateien für den Client auf einen USB-Stick oder Client-Rechner kopieren.

Für Server benötigte Zertifikate und Dateien:
ca.crt
server.crt
server.key
dh1024.pem

Nun gehts in Freetz weiter :)

OpenVPN Einstellungen öffnen, Optionen wie folgt setzen:
[x] Automatisch
[x] Server
[x] UDP
[x] Brücke(TAP)
Port: 1194
[x] Zertifikate
Cipher: Blowfish

Lokale IP-Adresse: 10.8.0.1 (Dies wird die virtuelle IP vom Server, kann natürlich auch eine andere IP sein)
Netzmaske: 255.255.255.0
DHCP-Range: 10.8.0.150 10.8.0.160 (Je nach bedarf der virtuelle IP Bereich für Clients)
Lokales Netz: 192.168.178.0 255.255.255.0 (Tatsächlicher IP Bereich des LAN hinter dem Server, das von außen erreichbar sein soll)

[x] Erweiterte CLientkonfiguration (nicht unbedingt nötig, aber so wird es eine Runde Sache)

Client01 | 10.8.0.150 | 192.168.88.0 255.255.255.0 (Name des Client/Zertifikat | Fest zugewiesene VPN IP für Client | Zuletzt das echte Netz/LAN des Client mit Subnet)

Client02 | 10.8.0.151 | 192.168.55.0 255.255.255.0

Client03 | 10.8.0.152 | 192.168.33.0 255.255.255.0

Falls die Clients sich auch sehen sollen:

[x] Client-zu-Client

Anzahl der Maximalen CLients angeben.

DNS Server: 10.8.0.1

Den Rest so lassen wie er ist und speichern.

Mit WinSCP die folgenden Dateien öffnen und jeweils den gesamten Inhalt an genannte Stelle kopieren:
server.crt --> Box Cert (übernehmen)
ca.crt --> CA Cert (übernehmen)
dh1024.pem --> DH Param (übernehmen)
server.key --> Private Key (übernehmen)

Unter OpenVPN/CRL einfach einmal "Übernehmen" drücken, damit eine leere Datei erzeugt wird. Sonst startet OpenVPN nicht!

AVM-Firewall Settings:

lowinput sowie highoutput gleich einstellen:
Quelle --> any
Ziel --> any
Protokoll --> UDP
Start- und End-Port --> 1194
Aktion --> permit
(übernehmen)

Port Forwarding:
Protokoll --> UDP
Ziel --> Fritz!Box
Quell Port --> 1194
Ziel Port --> 1194
(übernehmen)

Fritzbox neu starten.

Weiter auf Client Rechner:

SecurepointSSLVPN_RC3 installieren.

VPN Client starten, neue Konfig anlegen:
Name
IP des Server (DynDns Adresse)
Root CA = ca.crt
Zertifikat = client01.crt
Schlüssel = client01.key
[x] Server Zertifikat
[ ] Auth user/pass (Haken entfernen!)

Rest so lassen, "Next" und "Finish" drücken.

Neu erstellte Konfig mit rechter Maustaste anklicken --> Editieren wählen

"DEV" von "tun" auf "tap" umstellen, "OK" klicken.

Wenn dies alles erledigt ist, am besten mal eine Sicherung der Freetz Settings sowie ein Export der Client-VPN-

Settings durchführen. War ja nun auch genug Arbeit ;)

Wenn man einen anderen Router als Client zum VPN Server verbindet, sollten beide LANs untereinander ereichbar sein.
Wenn ein PC den Client darstellt, gibt es noch folgenden Trick:

Regedit auf Client-Rechner starten.
HKEY_LOCAL_MACHINE\ System\ CurrentControlSet\ Services\ Tcpip\ Parameters

Eintrag "IPEnableRouter" Wert auf 1 setzen.

Rechner neu starten.

Gateway der übrigen Rechner im Client LAN auf die IP des Client Rechner setzen.

Nun sollte man schön hin und her Pingen können...

== Wichtige Links ==
*[[Freetz|Zurück zu Freetz]]
*[[Hauptseite|Zurück zu Hauptseite]]

[[Category:Fritzbox]]
[[Category:Sitemap]]

OpenVPN und Freetz, wie stricke ich mein eigenes VPN

2011-09-24T20:19:39Z

SteveO:

<div style="margin: 10px 10px 0pt 0pt; border: 1px solid rgb(51, 51, 51); padding: 0em 1em 1em; background-color: rgb(27, 28, 45);"><br><center>[[Image:ZD-Logo.png]]</center> <center><big><span style="color: rgb(181, 181, 181);">'''''Das Board mit Freiheiten'''''</span></big></center>
<font color="white"></font>

----

<br>
<div style="margin: 0px 20px 15pt 15pt; padding: 0em 1em 1em; background-color: rgb(48, 49, 64); border: 1px solid rgb(0, 0, 0);">
<br>
<center><big>'''Freetz@OpenVPN''' </big></center>

Howto für OpenVPN mit Server@Freetz und Client@Windows.

Damit ein "echtes" VPN gestrickt werden kann erkläre ich hier das ganze mit Zertifikaten zur Authentifizierung.

Es geht auch mit Key-Auhtentification, allerdings kann dann immer nur ein Client auf den Server connecten. Mit Zertifikaten können beliebig viele VPN CLients gleichzeitig verbunden werden.

Alle Befehle gebe ich per SSH Konsole ein, Files werden per SSH/WinSCP kopiert und editiert. Darauf gehe ich hier nicht weiter ein. Wer damit Probleme hat wird im Freetz/FAQ Bereich fündig.

Benötigt:

Image für Fritzbox mit OpenVPN
OpenVPN Client für Windows, z.B. SecurepointSSLVPN_RC3

Zum erstellen der Zertifikate für Server und Clients hab ich mir auf meinem Debian Server zusäzlich OpenVPN installiert:

Als "root" am Server angemeldet folgendes in der Konsole ausführen:
apt-get install openvpn openssl

Wenn alles installiert ist, mit WinSCP folgenden Ordner erstellen:
/etc/openvpn

Mit WinSCP wechseln nach
/usr/share/doc/openvpn/examples

Ordner "easy-rsa" kopieren nach
/etc/openvpn

Wechseln nach:
/etc/openvpn/easy-rsa/2.0

Hier den Ordner "keys" anlegen.

Dann die Datei "vars" wie folgt editieren:

<div style="margin: 0; margin-top:10px; margin-right:10px; border: 4px solid #ffffff; padding: 0em 1em 1em 1em; background-color:#1B1C2D; align:right;">
# easy-rsa parameter settings

# NOTE: If you installed from an RPM,
# don't edit this file in place in
# /usr/share/openvpn/easy-rsa --
# instead, you should copy the whole
# easy-rsa directory to another location
# (such as /etc/openvpn) so that your
# edits will not be wiped out by a future
# OpenVPN package upgrade.

# This variable should point to
# the top level of the easy-rsa
# tree.
export EASY_RSA="`pwd`"

#
# This variable should point to
# the requested executables
#
export OPENSSL="openssl"
export PKCS11TOOL="pkcs11-tool"
export GREP="grep"

# This variable should point to
# the openssl.cnf file included
# with easy-rsa.
export KEY_CONFIG=`$EASY_RSA/whichopensslcnf $EASY_RSA`

# Edit this variable to point to
# your soon-to-be-created key
# directory.
#
# WARNING: clean-all will do
# a rm -rf on this directory
# so make sure you define
# it correctly!
export KEY_DIR="$EASY_RSA/keys"

# Issue rm -rf warning
echo NOTE: If you run ./clean-all, I will be doing a rm -rf on $KEY_DIR

# PKCS11 fixes
export PKCS11_MODULE_PATH="dummy"
export PKCS11_PIN="dummy"

# Increase this to 2048 if you
# are paranoid. This will slow
# down TLS negotiation performance
# as well as the one-time DH parms
# generation process.
export KEY_SIZE=1024

# In how many days should the root CA key expire?
export CA_EXPIRE=3650

# In how many days should certificates expire?
export KEY_EXPIRE=3650

# These are the default values for fields
# which will be placed in the certificate.
# Don't leave any of these fields blank.
export KEY_COUNTRY="DE"
export KEY_PROVINCE="ZD"
export KEY_CITY="ZDTOWN"
export KEY_ORG="]Zebradem"
export KEY_EMAIL="Freetz@Zebradem.com"

export OPENVPN=openvpn
</div>

Nun geht es an das erstellen der Zertifikate.
Wenn man in der Konsole beim erstellen etwas eingeben muss, kann man einfach immer "ENTER" drücken.
Ausnahme:
Wenn gefragt wird, ob Clientzertifikate Signiert werden sollen --> mit "y" (yes) bestätigen!!

In der Konsole wechsel nach
/etc/openvpn/easy-rsa/2.0

vars einlesen und die CA initialisieren:
. ./vars
./clean-all ## ACHTUNG!! löscht Inhalt von Keys Verzeichnis, nur beim ersten mal ausführen !!

Wenn man zu einem späteren Zeitpunkt ein Client Zertifikat erstellen möchte, muss vorher immer
. ./vars
ausgeführt werden!

CA-Key und CA-Cert erzeugen:
./build-ca

Diffie-Hellman Parameter erzeugen:
./build-dh

Erzeugen von Server-Schlüsselpaar direkt von der CA:
./build-key-server server

Erzeugen eines Client-Schlüsselpaars (ohne Passwort), für
jeden CLient eindeutigen Namen oder aufsteigende Nummer angeben:
./build-key client01

Zertifikate liegen nun in "/etc/openvpn/easy-rsa/2.0/keys"

Wenn man Clientzertifikate mit Passwortschutz erstellen möchte:
./build-key-pass client01

Für Client benötigte Zertifikate und Dateien:
ca.crt
client01.crt
client01.key
Die 3 Dateien für den Client auf einen USB-Stick oder Client-Rechner kopieren.

Für Server benötigte Zertifikate und Dateien:
ca.crt
server.crt
server.key
dh1024.pem

Nun gehts in Freetz weiter :)

OpenVPN Einstellungen öffnen, Optionen wie folgt setzen:
[x] Automatisch
[x] Server
[x] UDP
[x] Brücke(TAP)
Port: 1194
[x] Zertifikate
Cipher: Blowfish

Lokale IP-Adresse: 10.8.0.1 (Dies wird die virtuelle IP vom Server, kann natürlich auch eine andere IP sein)
Netzmaske: 255.255.255.0
DHCP-Range: 10.8.0.150 10.8.0.160 (Je nach bedarf der virtuelle IP Bereich für Clients)
Lokales Netz: 192.168.178.0 255.255.255.0 (Tatsächlicher IP Bereich des LAN hinter dem Server, das von außen erreichbar sein soll)

[x] Erweiterte CLientkonfiguration (nicht unbedingt nötig, aber so wird es eine Runde Sache)

Client01 | 10.8.0.150 | 192.168.88.0 255.255.255.0 (Name des Client/Zertifikat | Fest zugewiesene VPN IP für Client | Zuletzt das echte Netz/LAN des Client mit Subnet)

Client02 | 10.8.0.151 | 192.168.55.0 255.255.255.0

Client03 | 10.8.0.152 | 192.168.33.0 255.255.255.0

Falls die Clients sich auch sehen sollen:

[x] Client-zu-Client

Anzahl der Maximalen CLients angeben.

DNS Server: 10.8.0.1

Den Rest so lassen wie er ist und speichern.

Mit WinSCP die folgenden Dateien öffnen und jeweils den gesamten Inhalt an genannte Stelle kopieren:
server.crt --> Box Cert (übernehmen)
ca.crt --> CA Cert (übernehmen)
dh1024.pem --> DH Param (übernehmen)
server.key --> Private Key (übernehmen)

Unter OpenVPN/CRL einfach einmal "Übernehmen" drücken, damit eine leere Datei erzeugt wird. Sonst startet OpenVPN nicht!

AVM-Firewall Settings:

lowinput sowie highoutput gleich einstellen:
Quelle --> any
Ziel --> any
Protokoll --> UDP
Start- und End-Port --> 1194
Aktion --> permit
(übernehmen)

Port Forwarding:
Protokoll --> UDP
Ziel --> Fritz!Box
Quell Port --> 1194
Ziel Port --> 1194
(übernehmen)

Fritzbox neu starten.

Weiter auf Client Rechner:

SecurepointSSLVPN_RC3 installieren.

VPN Client starten, neue Konfig anlegen:
Name
IP des Server (DynDns Adresse)
Root CA = ca.crt
Zertifikat = client01.crt
Schlüssel = client01.key
[x] Server Zertifikat
[ ] Auth user/pass (Haken entfernen!)

Rest so lassen, "Next" und "Finish" drücken.

Neu erstellte Konfig mit rechter Maustaste anklicken --> Editieren wählen

"DEV" von "tun" auf "tap" umstellen, "OK" klicken.

Wenn dies alles erledigt ist, am besten mal eine Sicherung der Freetz Settings sowie ein Export der Client-VPN-

Settings durchführen. War ja nun auch genug Arbeit ;)

Wenn man einen anderen Router als Client zum VPN Server verbindet, sollten beide LANs untereinander ereichbar sein.
Wenn ein PC den Client darstellt, gibt es noch folgenden Trick:

Regedit auf Client-Rechner starten.
HKEY_LOCAL_MACHINE\ System\ CurrentControlSet\ Services\ Tcpip\ Parameters

Eintrag "IPEnableRouter" Wert auf 1 setzen.

Rechner neu starten.

Gateway der übrigen Rechner im Client LAN auf die IP des Client Rechner setzen.

Nun sollte man schön hin und her Pingen können...

== Wichtige Links ==
*[[Freetz|Zurück zu Freetz]]
*[[Hauptseite|Zurück zu Hauptseite]]

[[Category:Fritzbox]]
[[Category:Sitemap]]

OpenVPN und Freetz, wie stricke ich mein eigenes VPN

2011-09-24T20:12:21Z

SteveO:

<div style="margin: 10px 10px 0pt 0pt; border: 1px solid rgb(51, 51, 51); padding: 0em 1em 1em; background-color: rgb(27, 28, 45);"><br><center>[[Image:ZD-Logo.png]]</center> <center><big><span style="color: rgb(181, 181, 181);">'''''Das Board mit Freiheiten'''''</span></big></center>
<font color="white"></font>

----

<br>
<div style="margin: 0px 20px 15pt 15pt; padding: 0em 1em 1em; background-color: rgb(48, 49, 64); border: 1px solid rgb(0, 0, 0);">
<br>
<center><big>'''Freetz@OpenVPN''' </big></center>

Howto für OpenVPN mit Server@Freetz und Client@Windows.

Damit ein "echtes" VPN gestrickt werden kann erkläre ich hier das ganze mit Zertifikaten zur Authentifizierung.

Es geht auch mit Key-Auhtentification, allerdings kann dann immer nur ein Client auf den Server connecten. Mit Zertifikaten können beliebig viele VPN CLients gleichzeitig verbunden werden.

Alle Befehle gebe ich per SSH Konsole ein, Files werden per SSH/WinSCP kopiert und editiert. Darauf gehe ich hier nicht weiter ein. Wer damit Probleme hat wird im Freetz/FAQ Bereich fündig.

Benötigt:

Image für Fritzbox mit OpenVPN
OpenVPN Client für Windows, z.B. SecurepointSSLVPN_RC3

Zum erstellen der Zertifikate für Server und Clients hab ich mir auf meinem Debian Server zusäzlich OpenVPN installiert:

Als "root" am Server angemeldet folgendes in der Konsole ausführen:
apt-get install openvpn openssl

Wenn alles installiert ist, mit WinSCP folgenden Ordner erstellen:
/etc/openvpn

Mit WinSCP wechseln nach
/usr/share/doc/openvpn/examples

Ordner "easy-rsa" kopieren nach
/etc/openvpn

Wechseln nach:
/etc/openvpn/easy-rsa/2.0

Hier den Ordner "keys" anlegen.

Dann die Datei "vars" wie folgt editieren:

<div style="margin: 0; margin-top:10px; margin-right:10px; border: 4px solid #ffffff; padding: 0em 1em 1em 1em; background-color:#1B1C2D; align:right;">
# easy-rsa parameter settings

# NOTE: If you installed from an RPM,
# don't edit this file in place in
# /usr/share/openvpn/easy-rsa --
# instead, you should copy the whole
# easy-rsa directory to another location
# (such as /etc/openvpn) so that your
# edits will not be wiped out by a future
# OpenVPN package upgrade.

# This variable should point to
# the top level of the easy-rsa
# tree.
export EASY_RSA="`pwd`"

#
# This variable should point to
# the requested executables
#
export OPENSSL="openssl"
export PKCS11TOOL="pkcs11-tool"
export GREP="grep"

# This variable should point to
# the openssl.cnf file included
# with easy-rsa.
export KEY_CONFIG=`$EASY_RSA/whichopensslcnf $EASY_RSA`

# Edit this variable to point to
# your soon-to-be-created key
# directory.
#
# WARNING: clean-all will do
# a rm -rf on this directory
# so make sure you define
# it correctly!
export KEY_DIR="$EASY_RSA/keys"

# Issue rm -rf warning
echo NOTE: If you run ./clean-all, I will be doing a rm -rf on $KEY_DIR

# PKCS11 fixes
export PKCS11_MODULE_PATH="dummy"
export PKCS11_PIN="dummy"

# Increase this to 2048 if you
# are paranoid. This will slow
# down TLS negotiation performance
# as well as the one-time DH parms
# generation process.
export KEY_SIZE=1024

# In how many days should the root CA key expire?
export CA_EXPIRE=3650

# In how many days should certificates expire?
export KEY_EXPIRE=3650

# These are the default values for fields
# which will be placed in the certificate.
# Don't leave any of these fields blank.
export KEY_COUNTRY="DE"
export KEY_PROVINCE="ZD"
export KEY_CITY="ZDTOWN"
export KEY_ORG="]Zebradem"
export KEY_EMAIL="Freetz@Zebradem.com"

export OPENVPN=openvpn
</div>

Nun geht es an das erstellen der Zertifikate.
Wenn man in der Konsole beim erstellen etwas eingeben muss, kann man einfach immer "ENTER" drücken.
Ausnahme:
Wenn gefragt wird, ob Clientzertifikate Signiert werden sollen --> mit "y" (yes) bestätigen!!

In der Konsole wechsel nach
/etc/openvpn/easy-rsa/2.0

vars einlesen und die CA initialisieren:
. ./vars
./clean-all ## ACHTUNG!! löscht Inhalt von Keys Verzeichnis, nur beim ersten mal ausführen !!

Wenn man zu einem späteren Zeitpunkt ein Client Zertifikat erstellen möchte, muss vorher immer
. ./vars
ausgeführt werden!

CA-Key und CA-Cert erzeugen:
./build-ca

Diffie-Hellman Parameter erzeugen:
./build-dh

Erzeugen von Server-Schlüsselpaar direkt von der CA:
./build-key-server server

Erzeugen eines Client-Schlüsselpaars (ohne Passwort), für
jeden CLient eindeutigen Namen oder aufsteigende Nummer angeben:
./build-key client01

Zertifikate liegen nun in "/etc/openvpn/easy-rsa/2.0/keys"

Wenn man Clientzertifikate mit Passwortschutz erstellen möchte:
./build-key-pass client01

Für Client benötigte Zertifikate und Dateien:
ca.crt
client01.crt
client01.key
Die 3 Dateien für den Client auf einen USB-Stick oder Client-Rechner kopieren.

Für Server benötigte Zertifikate und Dateien:
ca.crt
server.crt
server.key
dh1024.pem

Nun gehts in Freetz weiter :)

OpenVPN Einstellungen öffnen, Optionen wie folgt setzen:
[x] Automatisch
[x] Server
[x] UDP
[x] Brücke(TAP)
Port: 1194
[x] Zertifikate
Cipher: Blowfish

Lokale IP-Adresse: 10.8.0.1 (Dies wird die virtuelle IP vom Server)
Netzmaske: 255.255.255.0
DHCP-Range: 10.8.0.150 10.8.0.160 (Je nach bedarf der virtuelle IP Bereich für Clients)
Lokales Netz: 192.168.178.0 255.255.255.0 (Tatsächlicher IP Bereich des LAN, das von außen erreichbar sein soll)

[x] Erweiterte CLientkonfiguration (nicht unbedingt nötig, aber so wird es eine Runde Sache)

Client01 | 10.8.0.150 | 192.168.88.0 255.255.255.0 (Zuletzt wieder das echte LAN des Client)

Client02 | 10.8.0.151 | 192.168.55.0 255.255.255.0

Client03 | 10.8.0.152 | 192.168.33.0 255.255.255.0

Falls die Clients sich auch sehen sollen:

[x] Client-zu-Client

Anzahl der Maximalen CLients angeben.

DNS Server: 10.8.0.1

Den Rest so lassen wie er ist und speichern.

Mit WinSCP die folgenden Dateien öffnen und jeweils den gesamten Inhalt an genannte Stelle kopieren:
server.crt --> Box Cert (übernehmen)
ca.crt --> CA Cert (übernehmen)
dh1024.pem --> DH Param (übernehmen)
server.key --> Private Key (übernehmen)

Unter OpenVPN/CRL einfach einmal "Übernehmen" drücken, damit eine leere Datei erzeugt wird. Sonst startet OpenVPN nicht!

AVM-Firewall Settings:

lowinput sowie highoutput gleich einstellen:
Quelle --> any
Ziel --> any
Protokoll --> UDP
Start- und End-Port --> 1194
Aktion --> permit
(übernehmen)

Port Forwarding:
Protokoll --> UDP
Ziel --> Fritz!Box
Quell Port --> 1194
Ziel Port --> 1194
(übernehmen)

Fritzbox neu starten.

Weiter auf Client Rechner:

SecurepointSSLVPN_RC3 installieren.

VPN Client starten, neue Konfig anlegen:
Name
IP des Server (DynDns Adresse)
Root CA = ca.crt
Zertifikat = client01.crt
Schlüssel = client01.key
[x] Server Zertifikat
[ ] Auth user/pass (Haken entfernen!)

Rest so lassen, "Next" und "Finish" drücken.

Neu erstellte Konfig mit rechter Maustaste anklicken --> Editieren wählen

"DEV" von "tun" auf "tap" umstellen, "OK" klicken.

Wenn dies alles erledigt ist, am besten mal eine Sicherung der Freetz Settings sowie ein Export der Client-VPN-

Settings durchführen. War ja nun auch genug Arbeit ;)

Wenn man einen anderen Router als Client zum VPN Server verbindet, sollten beide LANs untereinander ereichbar sein.
Wenn ein PC den Client darstellt, gibt es noch folgenden Trick:

Regedit auf Client-Rechner starten.
HKEY_LOCAL_MACHINE\ System\ CurrentControlSet\ Services\ Tcpip\ Parameters

Eintrag "IPEnableRouter" Wert auf 1 setzen.

Rechner neu starten.

Gateway der übrigen Rechner im CLient LAN auf die IP des Client Rechner setzen.

Nun sollte man schön hin und her Pingen können...

== Wichtige Links ==
*[[Freetz|Zurück zu Freetz]]
*[[Hauptseite|Zurück zu Hauptseite]]

[[Category:Fritzbox]]
[[Category:Sitemap]]

OpenVPN und Freetz, wie stricke ich mein eigenes VPN

2011-09-24T00:02:09Z

SteveO:

<div style="margin: 10px 10px 0pt 0pt; border: 1px solid rgb(51, 51, 51); padding: 0em 1em 1em; background-color: rgb(27, 28, 45);"><br><center>[[Image:ZD-Logo.png]]</center> <center><big><span style="color: rgb(181, 181, 181);">'''''Das Board mit Freiheiten'''''</span></big></center>
<font color="white"></font>

----

<br>
<div style="margin: 0px 20px 15pt 15pt; padding: 0em 1em 1em; background-color: rgb(48, 49, 64); border: 1px solid rgb(0, 0, 0);">
<br>
<center><big>'''Freetz@OpenVPN''' </big></center>

Howto für OpenVPN mit Server@Freetz und Client@Windows.

Damit ein "echtes" VPN gestrickt werden kann erkläre ich hier das ganze mit Zertifikaten zur Authentifizierung.

Es geht auch mit Key-Auhtentification, allerdings kann dann immer nur ein CLient auf den Server connecten. Mit Zertifikaten können beliebig viele VPN CLients gleichzeitig verbunden werden.

Alle Befehle gebe ich per SSH Konsole ein, Files werden per SSH/WinSCP kopiert und editiert. Darauf gehe ich hier nicht weiter ein. Wer damit Probleme hat wird hier im Freetz/FAQ Bereich fündig.

Benötigt:

Image für Fritzbox mit OpenVPN
OpenVPN Client für Windows, z.B. SecurepointSSLVPN_RC3

Zum erstellen der Zertifikate für Server und Clients hab ich mir auf meinem Debian Server zusäzlich OpenVPN installiert:

Als "root" am Server angemeldet folgendes in der Konsole ausführen:
apt-get install openvpn openssl

Wenn alles installiert ist, mit WinSCP folgenden Ordner erstellen:
/etc/openvpn

Mit WinSCP wechseln nach
/usr/share/doc/openvpn/examples

Ordner "easy-rsa" kopieren nach
/etc/openvpn

Wechseln nach:
/etc/openvpn/easy-rsa/2.0

Hier den Ordner "keys" anlegen.

Dann die Datei "vars" wie folgt editieren:

<div style="margin: 0; margin-top:10px; margin-right:10px; border: 4px solid #ffffff; padding: 0em 1em 1em 1em; background-color:#1B1C2D; align:right;">
# easy-rsa parameter settings

# NOTE: If you installed from an RPM,
# don't edit this file in place in
# /usr/share/openvpn/easy-rsa --
# instead, you should copy the whole
# easy-rsa directory to another location
# (such as /etc/openvpn) so that your
# edits will not be wiped out by a future
# OpenVPN package upgrade.

# This variable should point to
# the top level of the easy-rsa
# tree.
export EASY_RSA="`pwd`"

#
# This variable should point to
# the requested executables
#
export OPENSSL="openssl"
export PKCS11TOOL="pkcs11-tool"
export GREP="grep"

# This variable should point to
# the openssl.cnf file included
# with easy-rsa.
export KEY_CONFIG=`$EASY_RSA/whichopensslcnf $EASY_RSA`

# Edit this variable to point to
# your soon-to-be-created key
# directory.
#
# WARNING: clean-all will do
# a rm -rf on this directory
# so make sure you define
# it correctly!
export KEY_DIR="$EASY_RSA/keys"

# Issue rm -rf warning
echo NOTE: If you run ./clean-all, I will be doing a rm -rf on $KEY_DIR

# PKCS11 fixes
export PKCS11_MODULE_PATH="dummy"
export PKCS11_PIN="dummy"

# Increase this to 2048 if you
# are paranoid. This will slow
# down TLS negotiation performance
# as well as the one-time DH parms
# generation process.
export KEY_SIZE=1024

# In how many days should the root CA key expire?
export CA_EXPIRE=3650

# In how many days should certificates expire?
export KEY_EXPIRE=3650

# These are the default values for fields
# which will be placed in the certificate.
# Don't leave any of these fields blank.
export KEY_COUNTRY="DE"
export KEY_PROVINCE="ZD"
export KEY_CITY="ZDTOWN"
export KEY_ORG="]Zebradem"
export KEY_EMAIL="Freetz@Zebradem.com"

export OPENVPN=openvpn
</div>

Nun geht es an das erstellen der Zertifikate.
Wenn man in der Konsole beim erstellen etwas eingeben muss, kann man einfach immer "ENTER" drücken.
Ausnahme:
Wenn gefragt wird, ob Clientzertifikate Signiert werden sollen --> mit "y" (yes) bestätigen!!

In der Konsole wechsel nach
/etc/openvpn/easy-rsa/2.0

vars einlesen und die CA initialisieren:
. ./vars
./clean-all ## ACHTUNG!! löscht Inhalt von Keys Verzeichnis, nur beim ersten mal ausführen !!

CA-Key und CA-Cert erzeugen:
./build-ca

Diffie-Hellman Parameter erzeugen:
./build-dh

Erzeugen von Server-Schlüsselpaar direkt von der CA:
./build-key-server server

Erzeugen eines Client-Schlüsselpaars (ohne Passwort), für
jeden CLient eindeutigen Namen oder aufsteigende Nummer angeben:
./build-key client01

Zertifikate liegen nun in "/etc/openvpn/easy-rsa/2.0/keys"

Wenn man Clientzertifikate mit Passwortschutz erstellen möchte:
./build-key-pass client01

Für Client benötigte Zertifikate und Dateien:
ca.crt
client01.crt
client01.key
Die 3 Dateien für den Client auf einen USB-Stick oder Client-Rechner kopieren.

Für Server benötigte Zertifikate und Dateien:
ca.crt
server.crt
server.key
dh1024.pem

Nun gehts in Freetz weiter :)

OpenVPN Einstellungen öffnen, Optionen wie folgt setzen:
[x] Automatisch
[x] Server
[x] UDP
[x] Brücke(TAP)
Port: 1194
[x] Zertifikate
Cipher: Blowfish

Lokale IP-Adresse: 10.8.0.1 (Dies wird die virtuelle IP vom Server)
Netzmaske: 255.255.255.0
DHCP-Range: 10.8.0.150 10.8.0.160 (Je nach bedarf der virtuelle IP Bereich für Clients)
Lokales Netz: 192.168.178.0 255.255.255.0 (Tatsächlicher IP Bereich des LAN, das von außen erreichbar sein soll)

[x] Erweiterte CLientkonfiguration (nicht unbedingt nötig, aber so wird es eine Runde Sache)

Client01 | 10.8.0.150 | 192.168.88.0 255.255.255.0 (Zuletzt wieder das echte LAN des Client)

Client02 | 10.8.0.151 | 192.168.55.0 255.255.255.0

Client03 | 10.8.0.152 | 192.168.33.0 255.255.255.0

Falls die Clients sich auch sehen sollen:

[x] Client-zu-Client

Anzahl der Maximalen CLients angeben.

DNS Server: 10.8.0.1

Den Rest so lassen wie er ist und speichern.

Mit WinSCP die folgenden Dateien öffnen und jeweils den gesamten Inhalt an genannte Stelle kopieren:
server.crt --> Box Cert (übernehmen)
ca.crt --> CA Cert (übernehmen)
dh1024.pem --> DH Param (übernehmen)
server.key --> Private Key (übernehmen)

Unter OpenVPN/CRL einfach einmal "Übernehmen" drücken, damit eine leere Datei erzeugt wird. Sonst startet OpenVPN nicht!

AVM-Firewall Settings:

lowinput sowie highoutput gleich einstellen:
Quelle --> any
Ziel --> any
Protokoll --> UDP
Start- und End-Port --> 1194
Aktion --> permit
(übernehmen)

Port Forwarding:
Protokoll --> UDP
Ziel --> Fritz!Box
Quell Port --> 1194
Ziel Port --> 1194
(übernehmen)

Fritzbox neu starten.

Weiter auf Client Rechner:

SecurepointSSLVPN_RC3 installieren.

VPN Client starten, neue Konfig anlegen:
Name
IP des Server (DynDns Adresse)
Root CA = ca.crt
Zertifikat = client01.crt
Schlüssel = client01.key
[x] Server Zertifikat
[ ] Auth user/pass (Haken entfernen!)

Rest so lassen, "Next" und "Finish" drücken.

Neu erstellte Konfig mit rechter Maustaste anklicken --> Editieren wählen

"DEV" von "tun" auf "tap" umstellen, "OK" klicken.

Wenn dies alles erledigt ist, am besten mal eine Sicherung der Freetz Settings sowie ein Export der Client-VPN-

Settings durchführen. War ja nun auch genug Arbeit ;)

Wenn man einen anderen Router als Client zum VPN Server verbindet, sollten beide LANs untereinander ereichbar sein.
Wenn ein PC den Client darstellt, gibt es noch folgenden Trick:

Regedit auf Client-Rechner starten.
HKEY_LOCAL_MACHINE\ System\ CurrentControlSet\ Services\ Tcpip\ Parameters

Eintrag "IPEnableRouter" Wert auf 1 setzen.

Rechner neu starten.

Gateway der übrigen Rechner im CLient LAN auf die IP des Client Rechner setzen.

Nun sollte man schön hin und her Pingen können...

OpenVPN und Freetz, wie stricke ich mein eigenes VPN

2011-09-23T23:45:13Z

SteveO:

<div style="margin: 10px 10px 0pt 0pt; border: 1px solid rgb(51, 51, 51); padding: 0em 1em 1em; background-color: rgb(27, 28, 45);"><br><center>[[Image:ZD-Logo.png]]</center> <center><big><span style="color: rgb(181, 181, 181);">'''''Das Board mit Freiheiten'''''</span></big></center>
<font color="white"></font>

----

<br>
<div style="margin: 0px 20px 15pt 15pt; padding: 0em 1em 1em; background-color: rgb(48, 49, 64); border: 1px solid rgb(0, 0, 0);">
<br>
<center><big>'''Freetz@OpenVPN''' </big></center>

Howto für OpenVPN mit Server@Freetz und Client@Windows.

Damit ein "echtes" VPN gestrickt werden kann erkläre ich hier das ganze mit Zertifikaten zur Authentifizierung.

Es geht auch mit Key-Auhtentification, allerdings kann dann immer nur ein CLient auf den Server connecten. Mit Zertifikaten können beliebig viele VPN CLients gleichzeitig verbunden werden.

Alle Befehle gebe ich per SSH Konsole ein, Files werden per SSH/WinSCP kopiert und editiert. Darauf gehe ich hier nicht weiter ein. Wer damit Probleme hat wird hier im Freetz/FAQ Bereich fündig.

Benötigt:

Image für Fritzbox mit OpenVPN
OpenVPN Client für Windows, z.B. SecurepointSSLVPN_RC3

Zum erstellen der Zertifikate für Server und Clients hab ich mir auf meinem Debian Server zusäzlich OpenVPN installiert:

Als "root" am Server angemeldet folgendes in der Konsole ausführen:
apt-get install openvpn openssl

Wenn alles installiert ist, mit WinSCP folgenden Ordner erstellen:
/etc/openvpn

Mit WinSCP wechseln nach
/usr/share/doc/openvpn/examples

Ordner "easy-rsa" kopieren nach
/etc/openvpn

Wechseln nach:
/etc/openvpn/easy-rsa/2.0

Hier den Ordner "keys" anlegen.

Dann die Datei "vars" wie folgt editieren:

<div style="margin: 0; margin-top:10px; margin-right:10px; border: 4px solid #ffffff; padding: 0em 1em 1em 1em; background-color:#1B1C2D; align:right;">
# easy-rsa parameter settings

# NOTE: If you installed from an RPM,
# don't edit this file in place in
# /usr/share/openvpn/easy-rsa --
# instead, you should copy the whole
# easy-rsa directory to another location
# (such as /etc/openvpn) so that your
# edits will not be wiped out by a future
# OpenVPN package upgrade.

# This variable should point to
# the top level of the easy-rsa
# tree.
export EASY_RSA="`pwd`"

#
# This variable should point to
# the requested executables
#
export OPENSSL="openssl"
export PKCS11TOOL="pkcs11-tool"
export GREP="grep"

# This variable should point to
# the openssl.cnf file included
# with easy-rsa.
export KEY_CONFIG=`$EASY_RSA/whichopensslcnf $EASY_RSA`

# Edit this variable to point to
# your soon-to-be-created key
# directory.
#
# WARNING: clean-all will do
# a rm -rf on this directory
# so make sure you define
# it correctly!
export KEY_DIR="$EASY_RSA/keys"

# Issue rm -rf warning
echo NOTE: If you run ./clean-all, I will be doing a rm -rf on $KEY_DIR

# PKCS11 fixes
export PKCS11_MODULE_PATH="dummy"
export PKCS11_PIN="dummy"

# Increase this to 2048 if you
# are paranoid. This will slow
# down TLS negotiation performance
# as well as the one-time DH parms
# generation process.
export KEY_SIZE=1024

# In how many days should the root CA key expire?
export CA_EXPIRE=3650

# In how many days should certificates expire?
export KEY_EXPIRE=3650

# These are the default values for fields
# which will be placed in the certificate.
# Don't leave any of these fields blank.
export KEY_COUNTRY="DE"
export KEY_PROVINCE="ZD"
export KEY_CITY="ZDTOWN"
export KEY_ORG="]Zebradem"
export KEY_EMAIL="Freetz@Zebradem.com"

export OPENVPN=openvpn
</div>

Nun geht es an das erstellen der Zertifikate.
Wenn man in der Konsole beim erstellen etwas eingeben muss, kann man einfach immer "ENTER" drücken.
Ausnahme:
Wenn gefragt wird, ob Clientzertifikate Signiert werden sollen --> mit "y" (yes) bestätigen!!

In der Konsole wechsel nach
/etc/openvpn/easy-rsa/2.0

vars einlesen und die CA initialisieren:
. ./vars
./clean-all ## ACHTUNG!! löscht Inhalt von Keys Verzeichnis, nur beim ersten mal ausführen !!

CA-Key und CA-Cert erzeugen:
./build-ca

Diffie-Hellman Parameter erzeugen:
./build-dh

Erzeugen von Server-Schlüsselpaar direkt von der CA:
./build-key-server server

Erzeugen eines Client-Schlüsselpaars (ohne Passwort), für
jeden CLient eindeutigen Namen oder aufsteigende Nummer angeben:
./build-key client01

Zertifikate liegen nun in "/etc/openvpn/easy-rsa/2.0/keys"

Wenn man Clientzertifikate mit Passwortschutz erstellen möchte:
./build-key-pass client01

Für Client benötigte Zertifikate und Dateien:
ca.crt
client01.crt
client01.key
Die 3 Dateien für den Client auf einen USB-Stick oder Client-Rechner kopieren.

Für Server benötigte Zertifikate und Dateien:
ca.crt
server.crt
server.key
dh1024.pem

Nun gehts in Freetz weiter :)

OpenVPN Einstellungen öffnen, Optionen wie folgt setzen:
[x] Automatisch
[x] Server
[x] UDP
[x] Brücke(TAP)
Port: 1194
[x] Zertifikate
Cipher: Blowfish

Lokale IP-Adresse: 10.8.0.1[/COLOR] (Dies wird die virtuelle IP vom Server)
Netzmaske: 255.255.255.0
DHCP-Range: 10.8.0.150 10.8.0.160 (Je nach bedarf der virtuelle IP Bereich für Clients)
Lokales Netz: 192.168.178.0 255.255.255.0 (Tatsächlicher IP Bereich des LAN, das von außen erreichbar sein soll)

[x] Erweiterte CLientkonfiguration (nicht unbedingt nötig, aber so wird es eine Runde Sache)

Client01 | 10.8.0.150 | 192.168.88.0 255.255.255.0 (Zuletzt wieder das echte LAN des Client)

Client02 | 10.8.0.151 | 192.168.55.0 255.255.255.0

Client03 | 10.8.0.152 | 192.168.33.0 255.255.255.0

Falls die Clients sich auch sehen sollen:

[x] Client-zu-Client

Anzahl der Maximalen CLients angeben.

DNS Server: 10.8.0.1

Den Rest so lassen wie er ist und speichern.

Mit WinSCP die folgenden Dateien öffnen und jeweils den gesamten Inhalt an genannte Stelle kopieren:
server.crt --> Box Cert (übernehmen)
ca.crt --> CA Cert (übernehmen)
dh1024.pem --> DH Param (übernehmen)
server.key --> Private Key (übernehmen)

Unter OpenVPN/CRL einfach einmal "Übernehmen" drücken, damit eine leere Datei erzeugt wird. Sonst startet OpenVPN nicht!

AVM-Firewall Settings:

lowinput sowie highoutput gleich einstellen:
Quelle --> any
Ziel --> any
Protokoll --> UDP
Start- und End-Port --> 1194
Aktion --> permit
(übernehmen)

Port Forwarding:
Protokoll --> UDP
Ziel --> Fritz!Box
Quell Port --> 1194
Ziel Port --> 1194
(übernehmen)

Fritzbox neu starten.

Weiter auf Client Rechner:

SecurepointSSLVPN_RC3 installieren.

VPN Client starten, neue Konfig anlegen:
Name
IP des Server (DynDns Adresse)
Root CA = ca.crt
Zertifikat = client01.crt
Schlüssel = client01.key
[x] Server Zertifikat
[ ] Auth user/pass (Haken entfernen!)

Rest so lassen, "Next" und "Finish" drücken.

Neu erstellte Konfig mit rechter Maustaste anklicken --> Editieren wählen

"DEV" von "tun" auf "tap" umstellen, "OK" klicken.

Wenn dies alles erledigt ist, am besten mal eine Sicherung der Freetz Settings sowie ein Export der Client-VPN-

Settings durchführen. War ja nun auch genug Arbeit ;)

Wenn man einen anderen Router als Client zum VPN Server verbindet, sollten beide LANs untereinander ereichbar sein.
Wenn ein PC den Client darstellt, gibt es noch folgenden Trick:

Regedit auf Client-Rechner starten.
HKEY_LOCAL_MACHINE\ System\ CurrentControlSet\ Services\ Tcpip\ Parameters

Eintrag "IPEnableRouter" Wert auf 1 setzen.

Rechner neu starten.

Gateway der übrigen Rechner im CLient LAN auf die IP des Client Rechner setzen.

Nun sollte man schön hin und her Pingen können...

OpenVPN und Freetz, wie stricke ich mein eigenes VPN

2011-09-23T23:42:08Z

SteveO:

<div style="margin: 10px 10px 0pt 0pt; border: 1px solid rgb(51, 51, 51); padding: 0em 1em 1em; background-color: rgb(27, 28, 45);"><br><center>[[Image:ZD-Logo.png]]</center> <center><big><span style="color: rgb(181, 181, 181);">'''''Das Board mit Freiheiten'''''</span></big></center>
<font color="white"></font>

----

<br>
<div style="margin: 0px 20px 15pt 15pt; padding: 0em 1em 1em; background-color: rgb(48, 49, 64); border: 1px solid rgb(0, 0, 0);">
<br>
'''Freetz@OpenVPN'''

Howto für OpenVPN mit Server@Freetz und Client@Windows.

Damit ein "echtes" VPN gestrickt werden kann erkläre ich hier das ganze mit Zertifikaten zur Authentifizierung.

Es geht auch mit Key-Auhtentification, allerdings kann dann immer nur ein CLient auf den Server connecten. Mit Zertifikaten können beliebig viele VPN CLients gleichzeitig verbunden werden.

Alle Befehle gebe ich per SSH Konsole ein, Files werden per SSH/WinSCP kopiert und editiert. Darauf gehe ich hier nicht weiter ein. Wer damit Probleme hat wird hier im Freetz/FAQ Bereich fündig.

Benötigt:

Image für Fritzbox mit OpenVPN
OpenVPN Client für Windows, z.B. SecurepointSSLVPN_RC3

Zum erstellen der Zertifikate für Server und Clients hab ich mir auf meinem Debian Server zusäzlich OpenVPN installiert:

Als "root" am Server angemeldet folgendes in der Konsole ausführen:

apt-get install openvpn openssl

Wenn alles installiert ist, mit WinSCP folgenden Ordner erstellen:

/etc/openvpn

Mit WinSCP wechseln nach
/usr/share/doc/openvpn/examples

Ordner "easy-rsa" kopieren nach
/etc/openvpn

Wechseln nach:
/etc/openvpn/easy-rsa/2.0

Hier den Ordner "keys" anlegen.

Dann die Datei "vars" wie folgt editieren:

<div style="margin: 0; margin-top:10px; margin-right:10px; border: 4px solid #ffffff; padding: 0em 1em 1em 1em; background-color:#1B1C2D; align:right;">
# easy-rsa parameter settings

# NOTE: If you installed from an RPM,
# don't edit this file in place in
# /usr/share/openvpn/easy-rsa --
# instead, you should copy the whole
# easy-rsa directory to another location
# (such as /etc/openvpn) so that your
# edits will not be wiped out by a future
# OpenVPN package upgrade.

# This variable should point to
# the top level of the easy-rsa
# tree.
export EASY_RSA="`pwd`"

#
# This variable should point to
# the requested executables
#
export OPENSSL="openssl"
export PKCS11TOOL="pkcs11-tool"
export GREP="grep"

# This variable should point to
# the openssl.cnf file included
# with easy-rsa.
export KEY_CONFIG=`$EASY_RSA/whichopensslcnf $EASY_RSA`

# Edit this variable to point to
# your soon-to-be-created key
# directory.
#
# WARNING: clean-all will do
# a rm -rf on this directory
# so make sure you define
# it correctly!
export KEY_DIR="$EASY_RSA/keys"

# Issue rm -rf warning
echo NOTE: If you run ./clean-all, I will be doing a rm -rf on $KEY_DIR

# PKCS11 fixes
export PKCS11_MODULE_PATH="dummy"
export PKCS11_PIN="dummy"

# Increase this to 2048 if you
# are paranoid. This will slow
# down TLS negotiation performance
# as well as the one-time DH parms
# generation process.
export KEY_SIZE=1024

# In how many days should the root CA key expire?
export CA_EXPIRE=3650

# In how many days should certificates expire?
export KEY_EXPIRE=3650

# These are the default values for fields
# which will be placed in the certificate.
# Don't leave any of these fields blank.
export KEY_COUNTRY="DE"
export KEY_PROVINCE="ZD"
export KEY_CITY="ZDTOWN"
export KEY_ORG="]Zebradem"
export KEY_EMAIL="Freetz@Zebradem.com"

export OPENVPN=openvpn
</div>

Nun geht es an das erstellen der Zertifikate.
Wenn man in der Konsole beim erstellen etwas eingeben muss, kann man einfach immer "ENTER" drücken.
Ausnahme:
Wenn gefragt wird, ob Clientzertifikate Signiert werden sollen --> mit "y" (yes) bestätigen!!

In der Konsole wechsel nach
/etc/openvpn/easy-rsa/2.0

vars einlesen und die CA initialisieren:

. ./vars
./clean-all ## ACHTUNG!! löscht Inhalt von Keys Verzeichnis, nur beim ersten mal ausführen !!

CA-Key und CA-Cert erzeugen:

./build-ca

Diffie-Hellman Parameter erzeugen:

./build-dh

Erzeugen von Server-Schlüsselpaar direkt von der CA:

./build-key-server server

Erzeugen eines Client-Schlüsselpaars (ohne Passwort), für
jeden CLient eindeutigen Namen oder aufsteigende Nummer angeben:

./build-key client01

Zertifikate liegen nun in "/etc/openvpn/easy-rsa/2.0/keys"

Wenn man Clientzertifikate mit Passwortschutz erstellen möchte:

./build-key-pass client01

Für Client benötigte Zertifikate und Dateien:

ca.crt
client01.crt
client01.key

Die 3 Dateien für den Client auf einen USB-Stick oder Client-Rechner kopieren.

Für Server benötigte Zertifikate und Dateien:

ca.crt
server.crt
server.key
dh1024.pem

Nun gehts in Freetz weiter :)

OpenVPN Einstellungen öffnen, Optionen wie folgt setzen:

[x] Automatisch
[x] Server
[x] UDP
[x] Brücke(TAP)
Port: 1194
[x] Zertifikate
Cipher: Blowfish

Lokale IP-Adresse: 10.8.0.1[/COLOR] (Dies wird die virtuelle IP vom Server)
Netzmaske: 255.255.255.0
DHCP-Range: 10.8.0.150 10.8.0.160 (Je nach bedarf der virtuelle IP Bereich für Clients)
Lokales Netz: 192.168.178.0 255.255.255.0 (Tatsächlicher IP Bereich des LAN, das von außen erreichbar sein soll)

[x] Erweiterte CLientkonfiguration (nicht unbedingt nötig, aber so wird es eine Runde Sache)

Client01 | 10.8.0.150 | 192.168.88.0 255.255.255.0 (Zuletzt wieder das echte LAN des Client)

Client02 | 10.8.0.151 | 192.168.55.0 255.255.255.0

Client03 | 10.8.0.152 | 192.168.33.0 255.255.255.0

Falls die Clients sich auch sehen sollen:

[x] Client-zu-Client

Anzahl der Maximalen CLients angeben.

DNS Server: 10.8.0.1

Den Rest so lassen wie er ist und speichern.

Mit WinSCP die folgenden Dateien öffnen und jeweils den gesamten Inhalt an genannte Stelle kopieren:

server.crt --> Box Cert (übernehmen)
ca.crt --> CA Cert (übernehmen)
dh1024.pem --> DH Param (übernehmen)
server.key --> Private Key (übernehmen)

Unter OpenVPN/CRL einfach einmal "Übernehmen" drücken, damit eine leere Datei erzeugt wird. Sonst startet OpenVPN nicht!

AVM-Firewall Settings:

lowinput sowie highoutput gleich einstellen:

Quelle --> any
Ziel --> any
Protokoll --> UDP
Start- und End-Port --> 1194
Aktion --> permit
(übernehmen)

Port Forwarding:

Protokoll --> UDP
Ziel --> Fritz!Box
Quell Port --> 1194
Ziel Port --> 1194
(übernehmen)

Fritzbox neu starten.

Weiter auf Client Rechner:

SecurepointSSLVPN_RC3 installieren.

VPN Client starten, neue Konfig anlegen:

Name
IP des Server (DynDns Adresse)

Root CA = ca.crt
Zertifikat = client01.crt
Schlüssel = client01.key
[x] Server Zertifikat

[ ] Auth user/pass (Haken entfernen!)

Rest so lassen, "Next" und "Finish" drücken.

Neu erstellte Konfig mit rechter Maustaste anklicken --> Editieren wählen

"DEV" von "tun" auf "tap" umstellen, "OK" klicken.

Wenn dies alles erledigt ist, am besten mal eine Sicherung der Freetz Settings sowie ein Export der Client-VPN-

Settings durchführen. War ja nun auch genug Arbeit ;)

Wenn man einen anderen Router als Client zum VPN Server verbindet, sollten beide LANs untereinander ereichbar sein.
Wenn ein PC den Client darstellt, gibt es noch folgenden Trick:

Regedit auf Client-Rechner starten.

HKEY_LOCAL_MACHINE\ System\ CurrentControlSet\ Services\ Tcpip\ Parameters

Eintrag "IPEnableRouter" Wert auf 1 setzen.

Rechner neu starten.

Gateway der übrigen Rechner im CLient LAN auf die IP des Client Rechner setzen.

Nun sollte man schön hin und her Pingen können...

OpenVPN und Freetz, wie stricke ich mein eigenes VPN

2011-09-23T23:40:37Z

SteveO:

<div style="margin: 10px 10px 0pt 0pt; border: 1px solid rgb(51, 51, 51); padding: 0em 1em 1em; background-color: rgb(27, 28, 45);"><br><center>[[Image:ZD-Logo.png]]</center> <center><big><span style="color: rgb(181, 181, 181);">'''''Das Board mit Freiheiten'''''</span></big></center>
<font color="white"></font>

----

<br>
<div style="margin: 0px 20px 15pt 15pt; padding: 0em 1em 1em; background-color: rgb(48, 49, 64); border: 1px solid rgb(0, 0, 0);">
<br>
'''Freetz@OpenVPN'''

Howto für OpenVPN mit Server@Freetz und Client@Windows.

Damit ein "echtes" VPN gestrickt werden kann erkläre ich hier das ganze mit Zertifikaten zur Authentifizierung.

Es geht auch mit Key-Auhtentification, allerdings kann dann immer nur ein CLient auf den Server connecten. Mit Zertifikaten können beliebig viele VPN CLients gleichzeitig verbunden werden.

Alle Befehle gebe ich per SSH Konsole ein, Files werden per SSH/WinSCP kopiert und editiert. Darauf gehe ich hier nicht weiter ein. Wer damit Probleme hat wird hier im Freetz/FAQ Bereich fündig.

Benötigt:

Image für Fritzbox mit OpenVPN
OpenVPN Client für Windows, z.B. SecurepointSSLVPN_RC3

Zum erstellen der Zertifikate für Server und Clients hab ich mir auf meinem Debian Server zusäzlich OpenVPN installiert:

Als "root" am Server angemeldet folgendes in der Konsole ausführen:

apt-get install openvpn openssl

Wenn alles installiert ist, mit WinSCP folgenden Ordner erstellen:

/etc/openvpn

Mit WinSCP wechseln nach
/usr/share/doc/openvpn/examples

Ordner "easy-rsa" kopieren nach
/etc/openvpn

Wechseln nach:
/etc/openvpn/easy-rsa/2.0

Hier den Ordner "keys" anlegen.

Dann die Datei "vars" wie folgt editieren:

<div style="margin: 0; margin-top:10px; margin-right:10px; border: 4px solid #ffffff; padding: 0em 1em 1em 1em; background-color:#1B1C2D; align:right;">
# easy-rsa parameter settings

# NOTE: If you installed from an RPM,
# don't edit this file in place in
# /usr/share/openvpn/easy-rsa --
# instead, you should copy the whole
# easy-rsa directory to another location
# (such as /etc/openvpn) so that your
# edits will not be wiped out by a future
# OpenVPN package upgrade.

# This variable should point to
# the top level of the easy-rsa
# tree.
export EASY_RSA="`pwd`"

#
# This variable should point to
# the requested executables
#
export OPENSSL="openssl"
export PKCS11TOOL="pkcs11-tool"
export GREP="grep"

# This variable should point to
# the openssl.cnf file included
# with easy-rsa.
export KEY_CONFIG=`$EASY_RSA/whichopensslcnf $EASY_RSA`

# Edit this variable to point to
# your soon-to-be-created key
# directory.
#
# WARNING: clean-all will do
# a rm -rf on this directory
# so make sure you define
# it correctly!
export KEY_DIR="$EASY_RSA/keys"

# Issue rm -rf warning
echo NOTE: If you run ./clean-all, I will be doing a rm -rf on $KEY_DIR

# PKCS11 fixes
export PKCS11_MODULE_PATH="dummy"
export PKCS11_PIN="dummy"

# Increase this to 2048 if you
# are paranoid. This will slow
# down TLS negotiation performance
# as well as the one-time DH parms
# generation process.
export KEY_SIZE=1024

# In how many days should the root CA key expire?
export CA_EXPIRE=3650

# In how many days should certificates expire?
export KEY_EXPIRE=3650

# These are the default values for fields
# which will be placed in the certificate.
# Don't leave any of these fields blank.
export KEY_COUNTRY="DE"
export KEY_PROVINCE="ZD"
export KEY_CITY="ZDTOWN"
export KEY_ORG="]Zebradem"
export KEY_EMAIL="Freetz@Zebradem.com"

export OPENVPN=openvpn
</div>

Nun geht es an das erstellen der Zertifikate.
Wenn man in der Konsole beim erstellen etwas eingeben muss, kann man einfach immer "ENTER" drücken.
Ausnahme:
Wenn gefragt wird, ob Clientzertifikate Signiert werden sollen --> mit "y" (yes) bestätigen!!

In der Konsole wechsel nach
/etc/openvpn/easy-rsa/2.0

vars einlesen und die CA initialisieren:
****************************************

. ./vars
./clean-all ## ACHTUNG!! löscht Inhalt von Keys Verzeichnis, nur beim ersten mal ausführen !!

CA-Key und CA-Cert erzeugen:
****************************

./build-ca

Diffie-Hellman Parameter erzeugen:
**********************************

./build-dh

Erzeugen von Server-Schlüsselpaar direkt von der CA:
****************************************************

./build-key-server server

Erzeugen eines Client-Schlüsselpaars (ohne Passwort), für
jeden CLient eindeutigen Namen oder aufsteigende Nummer angeben:
****************************************************************

./build-key client01

Zertifikate liegen nun in "/etc/openvpn/easy-rsa/2.0/keys"

Wenn man Clientzertifikate mit Passwortschutz erstellen möchte:
***************************************************************

./build-key-pass client01

Für Client benötigte Zertifikate und Dateien:

ca.crt
client01.crt
client01.key

Die 3 Dateien für den Client auf einen USB-Stick oder Client-Rechner kopieren.

Für Server benötigte Zertifikate und Dateien:

ca.crt
server.crt
server.key
dh1024.pem

Nun gehts in Freetz weiter :)

OpenVPN Einstellungen öffnen, Optionen wie folgt setzen:

[x] Automatisch
[x] Server
[x] UDP
[x] Brücke(TAP)
Port: 1194
[x] Zertifikate
Cipher: Blowfish

Lokale IP-Adresse: 10.8.0.1[/COLOR] (Dies wird die virtuelle IP vom Server)
Netzmaske: 255.255.255.0
DHCP-Range: 10.8.0.150 10.8.0.160 (Je nach bedarf der virtuelle IP Bereich für Clients)
Lokales Netz: 192.168.178.0 255.255.255.0 (Tatsächlicher IP Bereich des LAN, das von außen erreichbar sein soll)

[x] Erweiterte CLientkonfiguration (nicht unbedingt nötig, aber so wird es eine Runde Sache)

Client01 | 10.8.0.150 | 192.168.88.0 255.255.255.0 (Zuletzt wieder das echte LAN des Client)

Client02 | 10.8.0.151 | 192.168.55.0 255.255.255.0

Client03 | 10.8.0.152 | 192.168.33.0 255.255.255.0

Falls die Clients sich auch sehen sollen:

[x] Client-zu-Client

Anzahl der Maximalen CLients angeben.

DNS Server: 10.8.0.1

Den Rest so lassen wie er ist und speichern.

Mit WinSCP die folgenden Dateien öffnen und jeweils den gesamten Inhalt an genannte Stelle kopieren:

server.crt --> Box Cert (übernehmen)
ca.crt --> CA Cert (übernehmen)
dh1024.pem --> DH Param (übernehmen)
server.key --> Private Key (übernehmen)

Unter OpenVPN/CRL einfach einmal "Übernehmen" drücken, damit eine leere Datei erzeugt wird. Sonst startet OpenVPN nicht!

AVM-Firewall Settings:

lowinput sowie highoutput gleich einstellen:

Quelle --> any
Ziel --> any
Protokoll --> UDP
Start- und End-Port --> 1194
Aktion --> permit
(übernehmen)

Port Forwarding:

Protokoll --> UDP
Ziel --> Fritz!Box
Quell Port --> 1194
Ziel Port --> 1194
(übernehmen)

Fritzbox neu starten.

Weiter auf Client Rechner:

SecurepointSSLVPN_RC3 installieren.

VPN Client starten, neue Konfig anlegen:

Name
IP des Server (DynDns Adresse)

Root CA = ca.crt
Zertifikat = client01.crt
Schlüssel = client01.key
[x] Server Zertifikat

[ ] Auth user/pass (Haken entfernen!)

Rest so lassen, "Next" und "Finish" drücken.

Neu erstellte Konfig mit rechter Maustaste anklicken --> Editieren wählen

"DEV" von "tun" auf "tap" umstellen, "OK" klicken.

Wenn dies alles erledigt ist, am besten mal eine Sicherung der Freetz Settings sowie ein Export der Client-VPN-

Settings durchführen. War ja nun auch genug Arbeit ;)

Wenn man einen anderen Router als Client zum VPN Server verbindet, sollten beide LANs untereinander ereichbar sein.
Wenn ein PC den Client darstellt, gibt es noch folgenden Trick:

Regedit auf Client-Rechner starten.

HKEY_LOCAL_MACHINE\ System\ CurrentControlSet\ Services\ Tcpip\ Parameters

Eintrag "IPEnableRouter" Wert auf 1 setzen.

Rechner neu starten.

Gateway der übrigen Rechner im CLient LAN auf die IP des Client Rechner setzen.

Nun sollte man schön hin und her Pingen können...

OpenVPN und Freetz, wie stricke ich mein eigenes VPN

2011-09-23T23:39:08Z

SteveO:

<div style="margin: 10px 10px 0pt 0pt; border: 1px solid rgb(51, 51, 51); padding: 0em 1em 1em; background-color: rgb(27, 28, 45);"><br><center>[[Image:ZD-Logo.png]]</center> <center><big><span style="color: rgb(181, 181, 181);">'''''Das Board mit Freiheiten'''''</span></big></center>
<font color="white"></font>

----

<br>
<div style="margin: 0px 20px 15pt 15pt; padding: 0em 1em 1em; background-color: rgb(48, 49, 64); border: 1px solid rgb(0, 0, 0);">
<br>
Freetz@OpenVPN

Howto für OpenVPN mit Server@Freetz und Client@Windows. Damit ein "echtes" VPN gestrickt werden kann erkläre ich hier das ganze mit Zertifikaten zur Authentifizierung.

Es geht auch mit Key-Auhtentification, allerdings kann dann immer nur ein CLient auf den Server connecten. Mit Zertifikaten können beliebig viele VPN CLients gleichzeitig verbunden werden.

Alle Befehle gebe ich per SSH Konsole ein, Files werden per SSH/WinSCP kopiert und editiert. Darauf gehe ich hier nicht weiter ein. Wer damit Probleme hat wird hier im Freetz/FAQ Bereich fündig.

Benötigt:

Image für Fritzbox mit OpenVPN
OpenVPN Client für Windows, z.B. SecurepointSSLVPN_RC3

Zum erstellen der Zertifikate für Server und Clients hab ich mir auf meinem Debian Server zusäzlich OpenVPN installiert:

Als "root" am Server angemeldet folgendes in der Konsole ausführen:

apt-get install openvpn openssl

Wenn alles installiert ist, mit WinSCP folgenden Ordner erstellen:

/etc/openvpn

Mit WinSCP wechseln nach
/usr/share/doc/openvpn/examples

Ordner "easy-rsa" kopieren nach
/etc/openvpn

Wechseln nach:
/etc/openvpn/easy-rsa/2.0

Hier den Ordner "keys" anlegen.

Dann die Datei "vars" wie folgt editieren:

<div style="margin: 0; margin-top:10px; margin-right:10px; border: 4px solid #ffffff; padding: 0em 1em 1em 1em; background-color:#1B1C2D; align:right;">
# easy-rsa parameter settings

# NOTE: If you installed from an RPM,
# don't edit this file in place in
# /usr/share/openvpn/easy-rsa --
# instead, you should copy the whole
# easy-rsa directory to another location
# (such as /etc/openvpn) so that your
# edits will not be wiped out by a future
# OpenVPN package upgrade.

# This variable should point to
# the top level of the easy-rsa
# tree.
export EASY_RSA="`pwd`"

#
# This variable should point to
# the requested executables
#
export OPENSSL="openssl"
export PKCS11TOOL="pkcs11-tool"
export GREP="grep"

# This variable should point to
# the openssl.cnf file included
# with easy-rsa.
export KEY_CONFIG=`$EASY_RSA/whichopensslcnf $EASY_RSA`

# Edit this variable to point to
# your soon-to-be-created key
# directory.
#
# WARNING: clean-all will do
# a rm -rf on this directory
# so make sure you define
# it correctly!
export KEY_DIR="$EASY_RSA/keys"

# Issue rm -rf warning
echo NOTE: If you run ./clean-all, I will be doing a rm -rf on $KEY_DIR

# PKCS11 fixes
export PKCS11_MODULE_PATH="dummy"
export PKCS11_PIN="dummy"

# Increase this to 2048 if you
# are paranoid. This will slow
# down TLS negotiation performance
# as well as the one-time DH parms
# generation process.
export KEY_SIZE=1024

# In how many days should the root CA key expire?
export CA_EXPIRE=3650

# In how many days should certificates expire?
export KEY_EXPIRE=3650

# These are the default values for fields
# which will be placed in the certificate.
# Don't leave any of these fields blank.
export KEY_COUNTRY="DE"
export KEY_PROVINCE="ZD"
export KEY_CITY="ZDTOWN"
export KEY_ORG="]Zebradem"
export KEY_EMAIL="Freetz@Zebradem.com"

export OPENVPN=openvpn
</div>

Nun geht es an das erstellen der Zertifikate.
Wenn man in der Konsole beim erstellen etwas eingeben muss, kann man einfach immer "ENTER" drücken.
Ausnahme:
Wenn gefragt wird, ob Clientzertifikate Signiert werden sollen --> mit "y" (yes) bestätigen!!

In der Konsole wechsel nach
/etc/openvpn/easy-rsa/2.0

vars einlesen und die CA initialisieren:
****************************************

. ./vars
./clean-all ## ACHTUNG!! löscht Inhalt von Keys Verzeichnis, nur beim ersten mal ausführen !!

CA-Key und CA-Cert erzeugen:
****************************

./build-ca

Diffie-Hellman Parameter erzeugen:
**********************************

./build-dh

Erzeugen von Server-Schlüsselpaar direkt von der CA:
****************************************************

./build-key-server server

Erzeugen eines Client-Schlüsselpaars (ohne Passwort), für
jeden CLient eindeutigen Namen oder aufsteigende Nummer angeben:
****************************************************************

./build-key client01

Zertifikate liegen nun in "/etc/openvpn/easy-rsa/2.0/keys"

Wenn man Clientzertifikate mit Passwortschutz erstellen möchte:
***************************************************************

./build-key-pass client01

Für Client benötigte Zertifikate und Dateien:

ca.crt
client01.crt
client01.key

Die 3 Dateien für den Client auf einen USB-Stick oder Client-Rechner kopieren.

Für Server benötigte Zertifikate und Dateien:

ca.crt
server.crt
server.key
dh1024.pem

Nun gehts in Freetz weiter :)

OpenVPN Einstellungen öffnen, Optionen wie folgt setzen:

[x] Automatisch
[x] Server
[x] UDP
[x] Brücke(TAP)
Port: 1194
[x] Zertifikate
Cipher: Blowfish

Lokale IP-Adresse: 10.8.0.1[/COLOR] (Dies wird die virtuelle IP vom Server)
Netzmaske: 255.255.255.0
DHCP-Range: 10.8.0.150 10.8.0.160 (Je nach bedarf der virtuelle IP Bereich für Clients)
Lokales Netz: 192.168.178.0 255.255.255.0 (Tatsächlicher IP Bereich des LAN, das von außen erreichbar sein soll)

[x] Erweiterte CLientkonfiguration (nicht unbedingt nötig, aber so wird es eine Runde Sache)

Client01 | 10.8.0.150 | 192.168.88.0 255.255.255.0 (Zuletzt wieder das echte LAN des Client)

Client02 | 10.8.0.151 | 192.168.55.0 255.255.255.0

Client03 | 10.8.0.152 | 192.168.33.0 255.255.255.0

Falls die Clients sich auch sehen sollen:

[x] Client-zu-Client

Anzahl der Maximalen CLients angeben.

DNS Server: 10.8.0.1

Den Rest so lassen wie er ist und speichern.

Mit WinSCP die folgenden Dateien öffnen und jeweils den gesamten Inhalt an genannte Stelle kopieren:

server.crt --> Box Cert (übernehmen)
ca.crt --> CA Cert (übernehmen)
dh1024.pem --> DH Param (übernehmen)
server.key --> Private Key (übernehmen)

Unter OpenVPN/CRL einfach einmal "Übernehmen" drücken, damit eine leere Datei erzeugt wird. Sonst startet OpenVPN nicht!

AVM-Firewall Settings:

lowinput sowie highoutput gleich einstellen:

Quelle --> any
Ziel --> any
Protokoll --> UDP
Start- und End-Port --> 1194
Aktion --> permit
(übernehmen)

Port Forwarding:

Protokoll --> UDP
Ziel --> Fritz!Box
Quell Port --> 1194
Ziel Port --> 1194
(übernehmen)

Fritzbox neu starten.

Weiter auf Client Rechner:

SecurepointSSLVPN_RC3 installieren.

VPN Client starten, neue Konfig anlegen:

Name
IP des Server (DynDns Adresse)

Root CA = ca.crt
Zertifikat = client01.crt
Schlüssel = client01.key
[x] Server Zertifikat

[ ] Auth user/pass (Haken entfernen!)

Rest so lassen, "Next" und "Finish" drücken.

Neu erstellte Konfig mit rechter Maustaste anklicken --> Editieren wählen

"DEV" von "tun" auf "tap" umstellen, "OK" klicken.

Wenn dies alles erledigt ist, am besten mal eine Sicherung der Freetz Settings sowie ein Export der Client-VPN-

Settings durchführen. War ja nun auch genug Arbeit ;)

Wenn man einen anderen Router als Client zum VPN Server verbindet, sollten beide LANs untereinander ereichbar sein.
Wenn ein PC den Client darstellt, gibt es noch folgenden Trick:

Regedit auf Client-Rechner starten.

HKEY_LOCAL_MACHINE\ System\ CurrentControlSet\ Services\ Tcpip\ Parameters

Eintrag "IPEnableRouter" Wert auf 1 setzen.

Rechner neu starten.

Gateway der übrigen Rechner im CLient LAN auf die IP des Client Rechner setzen.

Nun sollte man schön hin und her Pingen können...

OpenVPN und Freetz, wie stricke ich mein eigenes VPN

2011-09-23T23:37:44Z

SteveO:

<div style="margin: 10px 10px 0pt 0pt; border: 1px solid rgb(51, 51, 51); padding: 0em 1em 1em; background-color: rgb(27, 28, 45);"><br><center>[[Image:ZD-Logo.png]]</center> <center><big><span style="color: rgb(181, 181, 181);">'''''Das Board mit Freiheiten'''''</span></big></center>
<font color="white"></font>

----

<br>
<div style="margin: 0px 20px 15pt 15pt; padding: 0em 1em 1em; background-color: rgb(48, 49, 64); border: 1px solid rgb(0, 0, 0);">
<br>
Freetz@OpenVPN

Howto für OpenVPN mit Server@Freetz und Client@Windows. Damit ein "echtes" VPN gestrickt werden kann erkläre ich hier das ganze mit Zertifikaten zur Authentifizierung.

Es geht auch mit Key-Auhtentification, allerdings kann dann immer nur ein CLient auf den Server connecten. Mit Zertifikaten können beliebig viele VPN CLients gleichzeitig verbunden werden.

Alle Befehle gebe ich per SSH Konsole ein, Files werden per SSH/WinSCP kopiert und editiert. Darauf gehe ich hier nicht weiter ein. Wer damit Probleme hat wird hier im Freetz/FAQ Bereich fündig.

Benötigt:

Image für Fritzbox mit OpenVPN
OpenVPN Client für Windows, z.B. SecurepointSSLVPN_RC3

Zum erstellen der Zertifikate für Server und Clients hab ich mir auf meinem Debian Server zusäzlich OpenVPN installiert:

Als "root" am Server angemeldet folgendes in der Konsole ausführen:

apt-get install openvpn openssl

Wenn alles installiert ist, mit WinSCP folgenden Ordner erstellen:
<div style="margin: 0; margin-top:10px; margin-right:10px; border: 4px solid #ffffff; padding: 0em 1em 1em 1em; background-color:#1B1C2D; align:right;">
/etc/openvpn
</div>

Mit WinSCP wechseln nach
/usr/share/doc/openvpn/examples

Ordner "easy-rsa" kopieren nach
/etc/openvpn

Wechseln nach:
/etc/openvpn/easy-rsa/2.0

Hier den Ordner "keys" anlegen.

Dann die Datei "vars" wie folgt editieren:

<div style="margin: 0; margin-top:10px; margin-right:10px; border: 4px solid #ffffff; padding: 0em 1em 1em 1em; background-color:#1B1C2D; align:right;">
# easy-rsa parameter settings

# NOTE: If you installed from an RPM,
# don't edit this file in place in
# /usr/share/openvpn/easy-rsa --
# instead, you should copy the whole
# easy-rsa directory to another location
# (such as /etc/openvpn) so that your
# edits will not be wiped out by a future
# OpenVPN package upgrade.

# This variable should point to
# the top level of the easy-rsa
# tree.
export EASY_RSA="`pwd`"

#
# This variable should point to
# the requested executables
#
export OPENSSL="openssl"
export PKCS11TOOL="pkcs11-tool"
export GREP="grep"

# This variable should point to
# the openssl.cnf file included
# with easy-rsa.
export KEY_CONFIG=`$EASY_RSA/whichopensslcnf $EASY_RSA`

# Edit this variable to point to
# your soon-to-be-created key
# directory.
#
# WARNING: clean-all will do
# a rm -rf on this directory
# so make sure you define
# it correctly!
export KEY_DIR="$EASY_RSA/keys"

# Issue rm -rf warning
echo NOTE: If you run ./clean-all, I will be doing a rm -rf on $KEY_DIR

# PKCS11 fixes
export PKCS11_MODULE_PATH="dummy"
export PKCS11_PIN="dummy"

# Increase this to 2048 if you
# are paranoid. This will slow
# down TLS negotiation performance
# as well as the one-time DH parms
# generation process.
export KEY_SIZE=1024

# In how many days should the root CA key expire?
export CA_EXPIRE=3650

# In how many days should certificates expire?
export KEY_EXPIRE=3650

# These are the default values for fields
# which will be placed in the certificate.
# Don't leave any of these fields blank.
export KEY_COUNTRY="DE"
export KEY_PROVINCE="ZD"
export KEY_CITY="ZDTOWN"
export KEY_ORG="]Zebradem"
export KEY_EMAIL="Freetz@Zebradem.com"

export OPENVPN=openvpn
</div>

Nun geht es an das erstellen der Zertifikate.
Wenn man in der Konsole beim erstellen etwas eingeben muss, kann man einfach immer "ENTER" drücken.
Ausnahme:
Wenn gefragt wird, ob Clientzertifikate Signiert werden sollen --> mit "y" (yes) bestätigen!!

In der Konsole wechsel nach
/etc/openvpn/easy-rsa/2.0

vars einlesen und die CA initialisieren:
****************************************

. ./vars
./clean-all ## ACHTUNG!! löscht Inhalt von Keys Verzeichnis, nur beim ersten mal ausführen !!

CA-Key und CA-Cert erzeugen:
****************************

./build-ca

Diffie-Hellman Parameter erzeugen:
**********************************

./build-dh

Erzeugen von Server-Schlüsselpaar direkt von der CA:
****************************************************

./build-key-server server

Erzeugen eines Client-Schlüsselpaars (ohne Passwort), für
jeden CLient eindeutigen Namen oder aufsteigende Nummer angeben:
****************************************************************

./build-key client01

Zertifikate liegen nun in "/etc/openvpn/easy-rsa/2.0/keys"

Wenn man Clientzertifikate mit Passwortschutz erstellen möchte:
***************************************************************

./build-key-pass client01

Für Client benötigte Zertifikate und Dateien:

ca.crt
client01.crt
client01.key

Die 3 Dateien für den Client auf einen USB-Stick oder Client-Rechner kopieren.

Für Server benötigte Zertifikate und Dateien:

ca.crt
server.crt
server.key
dh1024.pem

Nun gehts in Freetz weiter :)

OpenVPN Einstellungen öffnen, Optionen wie folgt setzen:

[x] Automatisch
[x] Server
[x] UDP
[x] Brücke(TAP)
Port: 1194
[x] Zertifikate
Cipher: Blowfish

Lokale IP-Adresse: 10.8.0.1[/COLOR] (Dies wird die virtuelle IP vom Server)
Netzmaske: 255.255.255.0
DHCP-Range: 10.8.0.150 10.8.0.160 (Je nach bedarf der virtuelle IP Bereich für Clients)
Lokales Netz: 192.168.178.0 255.255.255.0 (Tatsächlicher IP Bereich des LAN, das von außen erreichbar sein soll)

[x] Erweiterte CLientkonfiguration (nicht unbedingt nötig, aber so wird es eine Runde Sache)

Client01 | 10.8.0.150 | 192.168.88.0 255.255.255.0 (Zuletzt wieder das echte LAN des Client)

Client02 | 10.8.0.151 | 192.168.55.0 255.255.255.0

Client03 | 10.8.0.152 | 192.168.33.0 255.255.255.0

Falls die Clients sich auch sehen sollen:

[x] Client-zu-Client

Anzahl der Maximalen CLients angeben.

DNS Server: 10.8.0.1

Den Rest so lassen wie er ist und speichern.

Mit WinSCP die folgenden Dateien öffnen und jeweils den gesamten Inhalt an genannte Stelle kopieren:

server.crt --> Box Cert (übernehmen)
ca.crt --> CA Cert (übernehmen)
dh1024.pem --> DH Param (übernehmen)
server.key --> Private Key (übernehmen)

Unter OpenVPN/CRL einfach einmal "Übernehmen" drücken, damit eine leere Datei erzeugt wird. Sonst startet OpenVPN nicht!

AVM-Firewall Settings:

lowinput sowie highoutput gleich einstellen:

Quelle --> any
Ziel --> any
Protokoll --> UDP
Start- und End-Port --> 1194
Aktion --> permit
(übernehmen)

Port Forwarding:

Protokoll --> UDP
Ziel --> Fritz!Box
Quell Port --> 1194
Ziel Port --> 1194
(übernehmen)

Fritzbox neu starten.

Weiter auf Client Rechner:

SecurepointSSLVPN_RC3 installieren.

VPN Client starten, neue Konfig anlegen:

Name
IP des Server (DynDns Adresse)

Root CA = ca.crt
Zertifikat = client01.crt
Schlüssel = client01.key
[x] Server Zertifikat

[ ] Auth user/pass (Haken entfernen!)

Rest so lassen, "Next" und "Finish" drücken.

Neu erstellte Konfig mit rechter Maustaste anklicken --> Editieren wählen

"DEV" von "tun" auf "tap" umstellen, "OK" klicken.

Wenn dies alles erledigt ist, am besten mal eine Sicherung der Freetz Settings sowie ein Export der Client-VPN-

Settings durchführen. War ja nun auch genug Arbeit ;)

Wenn man einen anderen Router als Client zum VPN Server verbindet, sollten beide LANs untereinander ereichbar sein.
Wenn ein PC den Client darstellt, gibt es noch folgenden Trick:

Regedit auf Client-Rechner starten.

HKEY_LOCAL_MACHINE\ System\ CurrentControlSet\ Services\ Tcpip\ Parameters

Eintrag "IPEnableRouter" Wert auf 1 setzen.

Rechner neu starten.

Gateway der übrigen Rechner im CLient LAN auf die IP des Client Rechner setzen.

Nun sollte man schön hin und her Pingen können...

OpenVPN und Freetz, wie stricke ich mein eigenes VPN

2011-09-23T23:32:40Z

SteveO:

<div style="margin: 10px 10px 0pt 0pt; border: 1px solid rgb(51, 51, 51); padding: 0em 1em 1em; background-color: rgb(27, 28, 45);"><br><center>[[Image:ZD-Logo.png]]</center> <center><big><span style="color: rgb(181, 181, 181);">'''''Das Board mit Freiheiten'''''</span></big></center>
<font color="white"></font>

----

<br>
<div style="margin: 0px 20px 15pt 15pt; padding: 0em 1em 1em; background-color: rgb(48, 49, 64); border: 1px solid rgb(0, 0, 0);">
<br>
Freetz@OpenVPN

Howto für OpenVPN mit Server@Freetz und Client@Windows. Damit ein "echtes" VPN gestrickt werden kann erkläre ich hier das ganze mit Zertifikaten zur Authentifizierung.

Es geht auch mit Key-Auhtentification, allerdings kann dann immer nur ein CLient auf den Server connecten. Mit Zertifikaten können beliebig viele VPN CLients gleichzeitig verbunden werden.

Alle Befehle gebe ich per SSH Konsole ein, Files werden per SSH/WinSCP kopiert und editiert. Darauf gehe ich hier nicht weiter ein. Wer damit Probleme hat wird hier im Freetz/FAQ Bereich fündig.

Benötigt:

Image für Fritzbox mit OpenVPN
OpenVPN Client für Windows, z.B. SecurepointSSLVPN_RC3

Zum erstellen der Zertifikate für Server und Clients hab ich mir auf meinem Debian Server zusäzlich OpenVPN installiert:

Als "root" am Server angemeldet folgendes in der Konsole ausführen:

apt-get install openvpn openssl

Wenn alles installiert ist, mit WinSCP folgenden Ordner erstellen:
<div style="margin: 0; margin-top:10px; margin-right:10px; border: 4px solid #ffffff; padding: 0em 1em 1em 1em; background-color:#1B1C2D; align:right;">
/etc/openvpn
</div>

Mit WinSCP wechseln nach
/usr/share/doc/openvpn/examples

Ordner "easy-rsa" kopieren nach
/etc/openvpn

Wechseln nach:
/etc/openvpn/easy-rsa/2.0

Hier den Ordner "keys" anlegen.

Dann die Datei "vars" wie folgt editieren:

<div style="margin: 0; margin-top:10px; margin-right:10px; border: 4px solid #ffffff; padding: 0em 1em 1em 1em; background-color:#1B1C2D; align:right;">
# easy-rsa parameter settings

# NOTE: If you installed from an RPM,
# don't edit this file in place in
# /usr/share/openvpn/easy-rsa --
# instead, you should copy the whole
# easy-rsa directory to another location
# (such as /etc/openvpn) so that your
# edits will not be wiped out by a future
# OpenVPN package upgrade.

# This variable should point to
# the top level of the easy-rsa
# tree.
export EASY_RSA="`pwd`"

#
# This variable should point to
# the requested executables
#
export OPENSSL="openssl"
export PKCS11TOOL="pkcs11-tool"
export GREP="grep"

# This variable should point to
# the openssl.cnf file included
# with easy-rsa.
export KEY_CONFIG=`$EASY_RSA/whichopensslcnf $EASY_RSA`

# Edit this variable to point to
# your soon-to-be-created key
# directory.
#
# WARNING: clean-all will do
# a rm -rf on this directory
# so make sure you define
# it correctly!
export KEY_DIR="$EASY_RSA/keys"

# Issue rm -rf warning
echo NOTE: If you run ./clean-all, I will be doing a rm -rf on $KEY_DIR

# PKCS11 fixes
export PKCS11_MODULE_PATH="dummy"
export PKCS11_PIN="dummy"

# Increase this to 2048 if you
# are paranoid. This will slow
# down TLS negotiation performance
# as well as the one-time DH parms
# generation process.
export KEY_SIZE=1024

# In how many days should the root CA key expire?
export CA_EXPIRE=3650

# In how many days should certificates expire?
export KEY_EXPIRE=3650

# These are the default values for fields
# which will be placed in the certificate.
# Don't leave any of these fields blank.
export KEY_COUNTRY="DE"
export KEY_PROVINCE="ZD"
export KEY_CITY="ZDTOWN"
export KEY_ORG="]Zebradem"
export KEY_EMAIL="Freetz@Zebradem.com"

export OPENVPN=openvpn
</div>

Nun geht es an das erstellen der Zertifikate.
Wenn man in der Konsole beim erstellen etwas eingeben muss, kann man einfach immer "ENTER" drücken.
Ausnahme:
Wenn gefragt wird, ob Clientzertifikate Signiert werden sollen --> mit "y" (yes) bestätigen!!

In der Konsole wechsel nach
/etc/openvpn/easy-rsa/2.0

vars einlesen und die CA initialisieren:
****************************************

. ./vars
./clean-all ## ACHTUNG!! löscht Inhalt von Keys Verzeichnis, nur beim ersten mal ausführen !!

CA-Key und CA-Cert erzeugen:
****************************

./build-ca

Diffie-Hellman Parameter erzeugen:
**********************************

./build-dh

Erzeugen von Server-Schlüsselpaar direkt von der CA:
****************************************************

./build-key-server server

Erzeugen eines Client-Schlüsselpaars (ohne Passwort), für
jeden CLient eindeutigen Namen oder aufsteigende Nummer angeben:
****************************************************************

./build-key client01

Zertifikate liegen nun in "/etc/openvpn/easy-rsa/2.0/keys"

Wenn man Clientzertifikate mit Passwortschutz erstellen möchte:
***************************************************************

./build-key-pass client01

Für Client benötigte Zertifikate und Dateien:

ca.crt
client01.crt
client01.key

Die 3 Dateien für den Client auf einen USB-Stick oder Client-Rechner kopieren.

Für Server benötigte Zertifikate und Dateien:

ca.crt
server.crt
server.key
dh1024.pem

Nun gehts in Freetz weiter :)

OpenVPN Einstellungen öffnen, Optionen wie folgt setzen:

[x] Automatisch
[x] Server
[x] UDP
[x] Brücke(TAP)
Port: 1194
[x] Zertifikate
Cipher: Blowfish

Lokale IP-Adresse: [COLOR="#FFFFE0"]10.8.0.1[/COLOR] (Dies wird die virtuelle IP vom Server)
Netzmaske: [COLOR="#FFFFE0"]255.255.255.0[/COLOR]
DHCP-Range: [COLOR="#FFFFE0"]10.8.0.150 10.8.0.160[/COLOR] (Je nach bedarf der virtuelle IP Bereich für Clients)
Lokales Netz: [COLOR="#FFFFE0"]192.168.178.0 255.255.255.0[/COLOR] (Tatsächlicher IP Bereich des LAN, das von außen erreichbar sein soll)

[x] Erweiterte CLientkonfiguration (nicht unbedingt nötig, aber so wird es eine Runde Sache)

Client01 | [COLOR="#FFFFE0"]10.8.0.150[/COLOR] | [COLOR="#FFFFE0"]192.168.88.0 255.255.255.0[/COLOR] (Zuletzt wieder das echte LAN des Client)

Client02 | [COLOR="#FFFFE0"]10.8.0.151[/COLOR] | [COLOR="#FFFFE0"]192.168.55.0 255.255.255.0[/COLOR]

Client03 | [COLOR="#FFFFE0"]10.8.0.152[/COLOR] | [COLOR="#FFFFE0"]192.168.33.0 255.255.255.0[/COLOR]

Falls die Clients sich auch sehen sollen:

[x] Client-zu-Client

Anzahl der Maximalen CLients angeben.

DNS Server: [COLOR="#FFFFE0"]10.8.0.1[/COLOR]

Den Rest so lassen wie er ist und speichern.

Mit WinSCP die folgenden Dateien öffnen und jeweils den gesamten Inhalt an genannte Stelle kopieren:

server.crt --> Box Cert (übernehmen)
ca.crt --> CA Cert (übernehmen)
dh1024.pem --> DH Param (übernehmen)
server.key --> Private Key (übernehmen)

Unter OpenVPN/CRL einfach einmal "Übernehmen" drücken, damit eine leere Datei erzeugt wird. Sonst startet OpenVPN nicht!

AVM-Firewall Settings:

[COLOR="#FFFFE0"]lowinput sowie highoutput gleich einstellen[/COLOR]:

Quelle --> any
Ziel --> any
Protokoll --> UDP
Start- und End-Port --> 1194
Aktion --> permit
(übernehmen)

Port Forwarding:

Protokoll --> UDP
Ziel --> Fritz!Box
Quell Port --> 1194
Ziel Port --> 1194
(übernehmen)

Fritzbox neu starten.

Weiter auf Client Rechner:

SecurepointSSLVPN_RC3 installieren.

VPN Client starten, neue Konfig anlegen:

Name
IP des Server (DynDns Adresse)

Root CA = ca.crt
Zertifikat = client01.crt
Schlüssel = client01.key
[x] Server Zertifikat

[ ] Auth user/pass (Haken entfernen!)

Rest so lassen, "Next" und "Finish" drücken.

Neu erstellte Konfig mit rechter Maustaste anklicken --> Editieren wählen

"DEV" von "tun" auf "tap" umstellen, "OK" klicken.

Wenn dies alles erledigt ist, am besten mal eine Sicherung der Freetz Settings sowie ein Export der Client-VPN-

Settings durchführen. War ja nun auch genug Arbeit ;)

Wenn man einen anderen Router als Client zum VPN Server verbindet, sollten beide LANs untereinander ereichbar sein.
Wenn ein PC den Client darstellt, gibt es noch folgenden Trick:

Regedit auf Client-Rechner starten.

[COLOR="#FFFFE0"]HKEY_LOCAL_MACHINE\ System\ CurrentControlSet\ Services\ Tcpip\ Parameters[/COLOR]

Eintrag "[COLOR="#FFFFE0"]IPEnableRouter[/COLOR]" Wert auf[COLOR="#FFFFE0"] 1[/COLOR] setzen.

Rechner neu starten.

Gateway der übrigen Rechner im CLient LAN auf die IP des Client Rechner setzen.

Nun sollte man schön hin und her Pingen können...

OpenVPN und Freetz, wie stricke ich mein eigenes VPN

2011-09-23T23:02:18Z

SteveO: Die Seite wurde neu angelegt: „Freetz@OpenVPN Howto für OpenVPN mit Server@Freetz und Client@Windows. Damit ein "echtes" VPN gestrickt werden kann erkläre ich hier das ganze mit Zertifik…“

Freetz@OpenVPN

Howto für OpenVPN mit Server@Freetz und Client@Windows. Damit ein "echtes" VPN gestrickt werden kann erkläre ich hier das ganze mit Zertifikaten zur Authentifizierung.

Es geht auch mit Key-Auhtentification, allerdings kann dann immer nur ein CLient auf den Server connecten. Mit Zertifikaten können beliebig viele VPN CLients gleichzeitig verbunden werden.

Alle Befehle gebe ich per SSH Konsole ein, Files werden per SSH/WinSCP kopiert und editiert. Darauf gehe ich hier nicht weiter ein. Wer damit Probleme hat wird hier im Freetz/FAQ Bereich fündig.

Benötigt:

Image für Fritzbox mit OpenVPN
OpenVPN Client für Windows, z.B. SecurepointSSLVPN_RC3

Zum erstellen der Zertifikate für Server und Clients hab ich mir auf meinem Debian Server zusäzlich OpenVPN installiert:

Als "root" am Server angemeldet folgendes in der Konsole ausführen:

[CODE]apt-get install openvpn openssl[/CODE]

Wenn alles installiert ist, mit WinSCP folgenden Ordner erstellen:

[CODE]/etc/openvpn[/CODE]

Mit WinSCP wechseln nach [CODE]/usr/share/doc/openvpn/examples[/CODE]
Ordner "easy-rsa" nach [CODE]/etc/openvpn[/CODE] kopieren.

Wechseln nach:

[CODE]/etc/openvpn/easy-rsa/2.0[/CODE]

Hier den Ordner "keys" anlegen.

Dann die Datei "vars" wie folgt editieren:

[CODE]# easy-rsa parameter settings

# NOTE: If you installed from an RPM,
# don't edit this file in place in
# /usr/share/openvpn/easy-rsa --
# instead, you should copy the whole
# easy-rsa directory to another location
# (such as /etc/openvpn) so that your
# edits will not be wiped out by a future
# OpenVPN package upgrade.

# This variable should point to
# the top level of the easy-rsa
# tree.
export EASY_RSA="`pwd`"

#
# This variable should point to
# the requested executables
#
export OPENSSL="openssl"
export PKCS11TOOL="pkcs11-tool"
export GREP="grep"

# This variable should point to
# the openssl.cnf file included
# with easy-rsa.
export KEY_CONFIG=`$EASY_RSA/whichopensslcnf $EASY_RSA`

# Edit this variable to point to
# your soon-to-be-created key
# directory.
#
# WARNING: clean-all will do
# a rm -rf on this directory
# so make sure you define
# it correctly!
export KEY_DIR="$EASY_RSA/[B][COLOR="#FF0000"]keys[/COLOR][/B]"

# Issue rm -rf warning
echo NOTE: If you run ./clean-all, I will be doing a rm -rf on $KEY_DIR

# PKCS11 fixes
export PKCS11_MODULE_PATH="dummy"
export PKCS11_PIN="dummy"

# Increase this to 2048 if you
# are paranoid. This will slow
# down TLS negotiation performance
# as well as the one-time DH parms
# generation process.
export KEY_SIZE=1024

# In how many days should the root CA key expire?
export CA_EXPIRE=3650

# In how many days should certificates expire?
export KEY_EXPIRE=3650

# These are the default values for fields
# which will be placed in the certificate.
# Don't leave any of these fields blank.
export KEY_COUNTRY="[B][COLOR="#FF0000"]DE[/COLOR][/B]"
export KEY_PROVINCE="[B][COLOR="#FF0000"]ZD[/COLOR][/B]"
export KEY_CITY="[B][COLOR="#FF0000"]ZDTOWN[/COLOR][/B]"
export KEY_ORG="[COLOR="#FF0000"][B]Zebradem[/B][/COLOR]"
export KEY_EMAIL="[B][COLOR="#FF0000"]Freetz@Zebradem.com[/COLOR][/B]"

export OPENVPN=openvpn[/CODE]

Nun geht es an das erstellen der Zertifikate.
Wenn man in der Konsole beim erstellen etwas eingeben muss, kann man einfach immer "[COLOR="#FFFFE0"][B]ENTER[/B][/COLOR]" drücken.
[COLOR="#FF0000"][B]Ausnahme[/B][/COLOR]: Wenn gefragt wird, ob Clientzertifikate Signiert werden sollen --> mit "[B][COLOR="#FFFFE0"]y[/COLOR][/B]" (yes) bestätigen!!

In der Konsole wechsel nach
[CODE]/etc/openvpn/easy-rsa/2.0[/CODE]

vars einlesen und die CA initialisieren:
****************************************

[CODE]. ./vars
./clean-all ## ACHTUNG!! löscht Inhalt von Keys Verzeichnis, nur beim ersten mal ausführen !![/CODE]

CA-Key und CA-Cert erzeugen:
****************************

[CODE]./build-ca[/CODE]

Diffie-Hellman Parameter erzeugen:
**********************************

[CODE]./build-dh[/CODE]

Erzeugen von Server-Schlüsselpaar direkt von der CA:
****************************************************

[CODE]./build-key-server server[/CODE]

Erzeugen eines Client-Schlüsselpaars (ohne Passwort), für
jeden CLient eindeutigen Namen oder aufsteigende Nummer angeben:
****************************************************************

[CODE]./build-key client01[/CODE]

[COLOR="#FFFFE0"]Zertifikate liegen nun in "/etc/openvpn/easy-rsa/2.0/keys"
[/COLOR]

Wenn man Clientzertifikate mit Passwortschutz erstellen möchte:
***************************************************************

[CODE]./build-key-pass client01
[/CODE]

Für Client benötigte Zertifikate und Dateien:
[COLOR="#FFFFE0"]
ca.crt
client01.crt
client01.key[/COLOR]

Die 3 Dateien für den Client auf einen USB-Stick oder Client-Rechner kopieren.

Für Server benötigte Zertifikate und Dateien:

[COLOR="#FFFFE0"]ca.crt
server.crt
server.key
dh1024.pem
[/COLOR]

Nun gehts in Freetz weiter :)

OpenVPN Einstellungen öffnen, Optionen wie folgt setzen:

[x] Automatisch
[x] Server
[x] UDP
[x] Brücke(TAP)
Port: 1194
[x] Zertifikate
Cipher: Blowfish

Lokale IP-Adresse: [COLOR="#FFFFE0"]10.8.0.1[/COLOR] (Dies wird die virtuelle IP vom Server)
Netzmaske: [COLOR="#FFFFE0"]255.255.255.0[/COLOR]
DHCP-Range: [COLOR="#FFFFE0"]10.8.0.150 10.8.0.160[/COLOR] (Je nach bedarf der virtuelle IP Bereich für Clients)
Lokales Netz: [COLOR="#FFFFE0"]192.168.178.0 255.255.255.0[/COLOR] (Tatsächlicher IP Bereich des LAN, das von außen erreichbar sein soll)

[x] Erweiterte CLientkonfiguration (nicht unbedingt nötig, aber so wird es eine Runde Sache)

Client01 | [COLOR="#FFFFE0"]10.8.0.150[/COLOR] | [COLOR="#FFFFE0"]192.168.88.0 255.255.255.0[/COLOR] (Zuletzt wieder das echte LAN des Client)

Client02 | [COLOR="#FFFFE0"]10.8.0.151[/COLOR] | [COLOR="#FFFFE0"]192.168.55.0 255.255.255.0[/COLOR]

Client03 | [COLOR="#FFFFE0"]10.8.0.152[/COLOR] | [COLOR="#FFFFE0"]192.168.33.0 255.255.255.0[/COLOR]

Falls die Clients sich auch sehen sollen:

[x] Client-zu-Client

Anzahl der Maximalen CLients angeben.

DNS Server: [COLOR="#FFFFE0"]10.8.0.1[/COLOR]

Den Rest so lassen wie er ist und speichern.

Mit WinSCP die folgenden Dateien öffnen und jeweils den gesamten Inhalt an genannte Stelle kopieren:

server.crt --> Box Cert (übernehmen)
ca.crt --> CA Cert (übernehmen)
dh1024.pem --> DH Param (übernehmen)
server.key --> Private Key (übernehmen)

Unter OpenVPN/CRL einfach einmal "Übernehmen" drücken, damit eine leere Datei erzeugt wird. Sonst startet OpenVPN nicht!

AVM-Firewall Settings:

[COLOR="#FFFFE0"]lowinput sowie highoutput gleich einstellen[/COLOR]:

Quelle --> any
Ziel --> any
Protokoll --> UDP
Start- und End-Port --> 1194
Aktion --> permit
(übernehmen)

Port Forwarding:

Protokoll --> UDP
Ziel --> Fritz!Box
Quell Port --> 1194
Ziel Port --> 1194
(übernehmen)

Fritzbox neu starten.

Weiter auf Client Rechner:

SecurepointSSLVPN_RC3 installieren.

VPN Client starten, neue Konfig anlegen:

Name
IP des Server (DynDns Adresse)

Root CA = ca.crt
Zertifikat = client01.crt
Schlüssel = client01.key
[x] Server Zertifikat

[ ] Auth user/pass (Haken entfernen!)

Rest so lassen, "Next" und "Finish" drücken.

Neu erstellte Konfig mit rechter Maustaste anklicken --> Editieren wählen

"DEV" von "tun" auf "tap" umstellen, "OK" klicken.

Wenn dies alles erledigt ist, am besten mal eine Sicherung der Freetz Settings sowie ein Export der Client-VPN-

Settings durchführen. War ja nun auch genug Arbeit ;)

Wenn man einen anderen Router als Client zum VPN Server verbindet, sollten beide LANs untereinander ereichbar sein.
Wenn ein PC den Client darstellt, gibt es noch folgenden Trick:

Regedit auf Client-Rechner starten.

[COLOR="#FFFFE0"]HKEY_LOCAL_MACHINE\ System\ CurrentControlSet\ Services\ Tcpip\ Parameters[/COLOR]

Eintrag "[COLOR="#FFFFE0"]IPEnableRouter[/COLOR]" Wert auf[COLOR="#FFFFE0"] 1[/COLOR] setzen.

Rechner neu starten.

Gateway der übrigen Rechner im CLient LAN auf die IP des Client Rechner setzen.

Nun sollte man schön hin und her Pingen können...