Anleitung OpenVPN Perfect Privacy auf Fritzbox

[axel]

AW: OpenVPN Perfect Privacy auf Fritzbox

OK alles verstanden soweit.

Ans Eungemachte: ich hab OpenVPN komplett runtergeschmissen wieder, inkl. Zertifikate.

Mein erstes Problem:

Wie bekomme ich die iptables Verkettungen s.o. in mein vorhandenes Skript eingebastelt(hier ausm Board)?

Da gehts los, nachher komme ich nicht mehr auf den Rootserver...

Kann gerne später das Skript posten(?).

 

[Osprey]

AW: OpenVPN Perfect Privacy auf Fritzbox

Hi axfa, bau dir nochmal eine neue Firewall ohne Script und füge diese Zeilen ein für openvpn :

 

[axel]

AW: OpenVPN Perfect Privacy auf Fritzbox

Sodile...

Hier wie versprochen mein bestehendes Skript (danke, ist ausm Board):

Spoiler

#!/bin/sh
### BEGIN INIT INFO
# Provides: custom firewall
# Required-Start: $remote_fs $syslog $network
# Required-Stop: $remote_fs $syslog $network
# Default-Start: 2 3 4 5
# Default-Stop: 0 1 6
# Short-Description: firewall initscript
# Description: Custom Firewall
### END INIT INFO

IPT=/sbin/iptables

case "$1" in
start)

# bestehende Verbindungen
$IPT -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
# Über Loopback alles erlauben
$IPT -I INPUT -i lo -j ACCEPT
$IPT -I OUTPUT -o lo -j ACCEPT
# SSH
$IPT -A INPUT -i eth0 -p tcp --dport *SSH-PORT* -j ACCEPT
# OSCAM WEB1
$IPT -A INPUT -i eth0 -p tcp --dport *OSCAM'1_WEBIF-PORT* -j ACCEPT
# OSCAM WEB2
$IPT -A INPUT -i eth0 -p tcp --dport *OSCAM'2_WEBIF-PORT* -j ACCEPT

# CCCAM1
$IPT -A INPUT -i eth0 -p tcp --dport *CCcam-PORT* -j ACCEPT
# CS378x
$IPT -A INPUT -i eth0 -p tcp --dport *cs378x'1-PORT* -j ACCEPT
$IPT -A INPUT -i eth0 -p tcp --dport *cs378x'2-PORT* -j ACCEPT

$IPT -A INPUT -i eth0 -j REJECT

# SICHERHEIT
$IPT -A INPUT -p icmp -m icmp --icmp-type 8 -j DROP
$IPT -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT
$IPT -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j A CCEPT
$IPT -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s
echo "Firewall wurde aktiviert, der Server ist geschützt"
exit 0
;;

stop)
$IPT -F INPUT
echo "Achtung, Firewall wurde gestoppt, der Server ist ungeschützt"
exit 0
;;

restart|reload|force-reload)
$0 stop
sleep 1
$0 start
exit 0
;;

*)
echo "Usage: $0 {start|stop|restart|reload|force-reload}"
exit 1
;;
esac

WO genau bastele ich nun die VPN Regeln dazwischen / ein?

Vielen Dank & Gruß

 

[Osprey]

AW: OpenVPN Perfect Privacy auf Fritzbox

Guten Morgen zusammen,

Spoiler

#!/bin/sh
### BEGIN INIT INFO
# Provides: custom firewall
# Required-Start: $remote_fs $syslog $network
# Required-Stop: $remote_fs $syslog $network
# Default-Start: 2 3 4 5
# Default-Stop: 0 1 6
# Short-Description: firewall initscript
# Description: Custom Firewall
### END INIT INFO

IPT=/sbin/iptables

case "$1" in
start)
Zwischen hier:
# bestehende Verbindungen
$IPT -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
# Über Loopback alles erlauben
$IPT -I INPUT -i lo -j ACCEPT
$IPT -I OUTPUT -o lo -j ACCEPT
# SSH
$IPT -A INPUT -i eth0 -p tcp --dport *SSH-PORT* -j ACCEPT
# OSCAM WEB1
$IPT -A INPUT -i eth0 -p tcp --dport *OSCAM'1_WEBIF-PORT* -j ACCEPT
# OSCAM WEB2
$IPT -A INPUT -i eth0 -p tcp --dport *OSCAM'2_WEBIF-PORT* -j ACCEPT

# CCCAM1
$IPT -A INPUT -i eth0 -p tcp --dport *CCcam-PORT* -j ACCEPT
# CS378x
$IPT -A INPUT -i eth0 -p tcp --dport *cs378x'1-PORT* -j ACCEPT
$IPT -A INPUT -i eth0 -p tcp --dport *cs378x'2-PORT* -j ACCEPT

--und hier

$IPT -A INPUT -i eth0 -j REJECT

# SICHERHEIT
$IPT -A INPUT -p icmp -m icmp --icmp-type 8 -j DROP
$IPT -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT
$IPT -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j A CCEPT
$IPT -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s
echo "Firewall wurde aktiviert, der Server ist geschützt"
exit 0
;;

stop)
$IPT -F INPUT
echo "Achtung, Firewall wurde gestoppt, der Server ist ungeschützt"
exit 0
;;

restart|reload|force-reload)
$0 stop
sleep 1
$0 start
exit 0
;;

*)
echo "Usage: $0 {start|stop|restart|reload|force-reload}"
exit 1
;;
esac

WO genau bastele ich nun die VPN Regeln dazwischen / ein?

 

[axel]

AW: OpenVPN Perfect Privacy auf Fritzbox

OK,

so gemacht:

Spoiler

#!/bin/sh
### BEGIN INIT INFO
# Provides: custom firewall
# Required-Start: $remote_fs $syslog $network
# Required-Stop: $remote_fs $syslog $network
# Default-Start: 2 3 4 5
# Default-Stop: 0 1 6
# Short-Description: firewall initscript
# Description: Custom Firewall
### END INIT INFO

IPT=/sbin/iptables

case "$1" in
start)

# bestehende Verbindungen
$IPT -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
# Über Loopback alles erlauben
$IPT -I INPUT -i lo -j ACCEPT
$IPT -I OUTPUT -o lo -j ACCEPT
# SSH
$IPT -A INPUT -i eth0 -p tcp --dport *SSH-PORT* -j ACCEPT
# OSCAM WEB1
$IPT -A INPUT -i eth0 -p tcp --dport *OSCAM'1_WEBIF-PORT* -j ACCEPT
# OSCAM WEB2
$IPT -A INPUT -i eth0 -p tcp --dport *OSCAM'2_WEBIF-PORT* -j ACCEPT

# CCCAM1
$IPT -A INPUT -i eth0 -p tcp --dport *CCcam-PORT* -j ACCEPT
# CS378x
$IPT -A INPUT -i eth0 -p tcp --dport *cs378x'1-PORT* -j ACCEPT
$IPT -A INPUT -i eth0 -p tcp --dport *cs378x'2-PORT* -j ACCEPT

#### VPN

iptables -A INPUT -i eth0 -m state --state NEW -p udp --dport 47126 -j ACCEPT
iptables -A INPUT -i tun+ -j ACCEPT
iptables -A FORWARD -i tun+ -j ACCEPT
iptables -A FORWARD -i tun+ -o eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -i eth0 -o tun+ -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE
iptables -A OUTPUT -o tun+ -j ACCEPT

####



$IPT -A INPUT -i eth0 -j REJECT

# SICHERHEIT
$IPT -A INPUT -p icmp -m icmp --icmp-type 8 -j DROP
$IPT -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT
$IPT -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j A CCEPT
$IPT -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s
echo "Firewall wurde aktiviert, der Server ist geschützt"
exit 0
;;

stop)
$IPT -F INPUT
echo "Achtung, Firewall wurde gestoppt, der Server ist ungeschützt"
exit 0
;;

restart|reload|force-reload)
$0 stop
sleep 1
$0 start
exit 0
;;

*)
echo "Usage: $0 {start|stop|restart|reload|force-reload}"
exit 1
;;
esac

tun+

Doofe Frage, ist das eine Variable? Woanders gesetzt?

:emoticon-0112-wonde

Danke vielmals. Wenn das läuft, wie sind die nächsten Schritte?

EDIT: Jetzt fällt es wie Schuppen von den Augen, verstanden glaube ich!

Eine Art "Blacklist" zuerst, dann "Whitelist"... Erstmal ALLES! verbieten, dann nach und nach "löchern", die Firewall!

###

"tun+" checke ich leider nicht, bitte erklären... :emoticon-0138-think

EDIT2:

Wegen der "venet0-Geschichte", so sieht das aus (->eth0):

Spoiler

root@blöderhund:~# ifconfig
eth0 Link encap:Ethernet Hardware Adresse 00:??:??:??:??:80
inet Adresse:x.x.x.185 Bcast:x.x.x.255 Maske:255.255.255.0
inet6-Adresse: lalala/64 Gültigkeitsbereich:Verbindung
UP BROADCAST RUNNING MULTICAST MTU:1500 Metrik:1
RX packets:egal errors:0 dropped:0 overruns:0 frame:0
TX packets:egal errors:0 dropped:0 overruns:0 carrier:0
Kollisionen:0 Sendewarteschlangenlänge:1000
RX bytes:egal (egal GiB) TX bytes:egal (egal GiB)
Interrupt:16 Speicher:fbce0000-fbd00000

lo Link encap:Lokale Schleife
inet Adresse:127.0.0.1 Maske:255.0.0.0
inet6-Adresse: ::1/128 Gültigkeitsbereich:Maschine
UP LOOPBACK RUNNING MTU:65536 Metrik:1
RX packets:egal errors:0 dropped:0 overruns:0 frame:0
TX packets:egal errors:0 dropped:0 overruns:0 carrier:0
Kollisionen:0 Sendewarteschlangenlänge:0
RX bytes:egal (xx.0 MiB) TX bytes:egal (yy.0 MiB)

 

[Osprey]

AW: OpenVPN Perfect Privacy auf Fritzbox

Hi,

"tun+" checke ich leider nicht, bitte erklären...

hier aus dem openvpn wiki die Erklärung zu deiner Frage:

Spoiler

TUN oder TAP

Auf dem OpenVPN-Server muss in jedem Fall das IP-Forwarding (Routing) eingestellt sein, damit die Pakete auch weiterkommen und nicht verworfen werden. Es gibt zwei Arten von Devices bei OpenVPN, die für unterschiedliche Anwendungsarten verwendet werden.

tun-Device
Durch den VPN-Tunnel können mit diesem Device alle gängigen Netzwerkprotokolle auf IP-Layer 3 übermittelt werden. So ist es möglich Daten zu kopieren und E-Mails zu lesen, als wäre man in diesem LAN. Durch Routing wird die Übermittlung der Daten durch die verschiedenen Netzwerke geregelt.

Beispiel: Du möchtest über den Tunnel lediglich Surfen, E-Mails abrufen und Chatten, dafür eignet sich das TUN-Device am besten.

tap-Device
Das tap-Device wird verwendet beim Bridging. Die einfachste Form wäre, wenn zwei Netze - das virtuelle VPN-Netz und das lokale Netzwerk - über eine Netzwerk-Brücke miteinander verbunden und im selben Subnetz vereint sind. Auch werden alle Broadcasts durch diese Art von Verbindung durchgelassen. Dies kann beispielsweise bei Netzwerk-Spielen erforderlich sein.

Beispiel: Du willst über den Tunnel auch Netzwerkspiele mit anderen Tunnel-Teilnehmern spielen, auf Windows-Freigaben zugreifen oder LAN-Chats nutzen. Das TAP-Device ermöglicht das dank Tunneln des Broadcast-Traffics.

Wegen eth0 oder venet0 ist halt abhängig was du hast ob ein voll root - oder nur ein v(irtuellen)ps Server hast . Beim VPS meistens venet0

 

[axel]

AW: OpenVPN Perfect Privacy auf Fritzbox

Danke!

Also TAP-Device, wenn ich mein lokales Netz und Rootserver "zu einem Netz" verbinden will, richtig?

Trotzdem: "tun+", nochmal die doofe Frage: Was ist das?

Danke

PS: Ich nerve jetzt damit, bis das funzt bzw. ich es gerafft habe... :smoke:

 

[Osprey]

AW: OpenVPN Perfect Privacy auf Fritzbox

Ah okay verstehe was dich stört, das "+" ?! Das ist wie eine Wildcard du kennst sicherlich das "*" das ist auch so. Also es beinhaltet tun0, tun1, tun3.....
Ob tun oder tap, ich nutze tun. Vielleicht hielft dir dieses Wiki:

Sie müssen registriert sein, um Links zu sehen.

nochmal bei deiner Entscheidung. LG Osprey

 

[Osprey]

AW: OpenVPN Perfect Privacy auf Fritzbox

Guten Morgen,
habe vergessen noch mitzuteilen, dass man bsp. mit einem x386 Debian auch die ganzen Einstellungen Webbasierend machen kann.

cd /tmp
wget http://swupdate.openvpn.org/as/openvpn-as-2.0.17-Debian7.i386.deb
dpkg --install *.deb
passwd openvpn #admin passwort eingeben

https:ip.des.servers:943/admin

Spoiler

Du musst angemeldet sein, um Bilder zu sehen.

Ich bervorzuge allerdings die Methode ohne WebInterface.
Schönen Sonntag noch!

 

[axel]

AW: OpenVPN Perfect Privacy auf Fritzbox

Hi,

ich werd's gleich / später mal angehen, komplett von vorne.

Ich hoffe ich darf dann nochmal nerven!

Gruß

 

[satelli]

AW: OpenVPN Perfect Privacy auf Fritzbox

Hallo,
ich wollte noch erwähnen, dass Max eine 2-4 MBit Leitung rausspringt. Das ist leider Routerbedingt...

satelli

 

[Diabollo1]

AW: OpenVPN Perfect Privacy auf Fritzbox

Für den CS-Serwer sollte diese Geschwindigkeit voll ausreichen. Ich überlege auch so ein DD-Wrt Router hinter der Ftitzbox anzuschließen. Welche VPN Anbieter würden dann in Frage kommen? Sicherlich welche wo die Portweiterleitung funktioniert. Oder aber vps mit Open VPN Serwer

 

[Osprey]

AW: OpenVPN Perfect Privacy auf Fritzbox

Hi, wenn du das selber einrichten kannst, ist natürlich "Selfmade" das beste und günstigste über einen gemieteten VPS. dd-wrt Router ist nur Sinnvoll wenn du Geräte hast auf denen kein openvpn läuft (Bsp. keine Linux Receiver). Ansonsten jedes Gerät das openvpn kann, kann auch Client sein und du sparst den dd-wrt Router.
Irgendwie sind wir hier bei den Fritzboxen ziemlich im falschen Bereich.