openVPN auf Oldstable (11.8) neu - gutes Howto gesucht

[dirk11]

Hi Leute,

ich will bzw. "muss" openVPN auf meinem Heimserver "überholen". Das habe ich vor 10 Jahren mal eingerichtet, jetzt sind offensichtlich die ersten Zertifikate abgelaufen. Damals noch easy-RSA 2, jetzt sind wir selbst in oldstable (11.8 ) bei Version 3 angelangt.
Ich überlege, die Neuerstellung der Zertifikate und Schlüssel zum Anlaß zu nehmen, alles "ordentlich" zu machen. Bei einigen Einträgen in den .conf weiß ich nicht mehr, warum ich die gemacht habe - ich weiß aber noch, dass ich damals große Performance-Probleme beim Datendurchsatz hatte und auch festgestellt habe, dass UDP auf Handys besser als TCP funktioniert und das es auf Laptops umgekehrt war, weshalb zwei openVPN-Instanzen laufen, eine auf UDP 11194, eine auf TCP 1195.

Außerdem gibt es grundlegend zwei Nutzungs-Szenarios: einmal nur den Zugriff auf Geräte im LAN, zum Anderen aber auch die Durchleitung jeglichen Client-Transfers, weil der Client z.B. in eingeschränkten Hotel-WLAN hängt.

Ich hänge eine .conf mal an, vielleicht mag sich die ja jemand anschauen, der sich damit gut auskennt. Ich weiß z.B. noch, dass die letzten Einträge (*buf) gemacht wurden, weil ich ohne die weniger als die Hälfte des möglichen Datendurchsatz an meiner DSL-Leitung hatte. SECLEVEL=0 steht noch drin, weil damals noch sha-1 genutzt wurde - das wird ja heute kaum noch der Fall sein.
Und ich würde mich freuen, wenn mir jemand ein Debian passendes deutschsprachiges Howto nennen könnte. Die aus dem Debian-Wiki (EN) und von Ubuntu (dt.) sind mir bekannt, aber vielleicht gibt es ja noch verständlichere.

Code: Alles auswählen

port 1195
proto tcp
dev tun1
ca /etc/openvpn/easy-rsa/keys/ca.crt
cert /etc/openvpn/easy-rsa/keys/server.crt
key /etc/openvpn/easy-rsa/keys/server.key
dh /etc/openvpn/easy-rsa/keys/dh2048.pem
server 10.5.0.0 255.255.255.0
push "route 192.168.1.0 255.255.255.0"
client-config-dir ccd
client-to-client
keepalive 40 90
tls-auth ta.key 0
cipher AES-256-CBC
comp-lzo
persist-key
persist-tun
status openvpn-status.log
verb 3
topology subnet
push "topology subnet"
tls-server
remote-cert-tls client
script-security 2
auth-user-pass-verify /etc/openvpn/auth-new.pl via-file
link-mtu 1472
mssfix 1472
tls-cipher "DEFAULT:@SECLEVEL=0"

sndbuf 0
rcvbuf 0
push "sndbuf 393216"
push "rcvbuf 393216"

P.S.: gibt es ein tool, mit welchem man bei Schlüssel-Erstellung auch einfach eine .ovpn mit erstellen lassen kann? Die von Hand per Copy&Paste zu bauen ist doch eher umständlich.

[orcape]

Hi dirk11,
im Laufe der Jahre hat sich bei den OpenVPN-Versionen schon so einiges verändert, so das ich da, bei 3 laufenden Tunneln im Laufe dieser doch recht langen Zeit, immer mal etwas modifizieren musste.
Einen davon habe ich dann auf IPSec umgestellt, welches doch etwas performanter ist.
Du hast ja selbst gemerkt, das da einiges verändert wurde und die Config heutiger, aktueller OpenVPN-Tunnel, ist dann doch in manchen Punkten abweichend.
Leider sind die Configs meiner beiden verbliebenen OVPN-Server etwas abweichend, da FreeBSD und lassen sich nicht so einfach 1:1 auf Debian übertragen.
Wenn es sich machen lässt, ist IPSec oder Wireguard dann doch die bessere und nicht zuletzt, schnellere Variante und wenn Du einmal "umstricken" musst, ist vielleicht zu überlegen, ob man das gleich richtig tut.
Gruß orcape

[Blackbox]

Mittlerweile würde ich auch bevorzugt zu wireguard raten, mit etwas Beschäftigung wirst du sehen, wie viel komfortabler wireguard zu verwenden ist.

[orcape]

Mittlerweile würde ich auch bevorzugt zu wireguard raten, mit etwas Beschäftigung wirst du sehen, wie viel komfortabler wireguard zu verwenden ist.

Richtig, nur ist auch da nicht alles "Gold was glänzt", denn auch dort gibt es Einschränkungen.
Wenn es sich zum Beispiel um einen LTE-Vertrag mit CGN (Carrier grade NAT) handelt, kommen auch da schon Probleme auf und man ist mit einem ordentlich aufgesetzten OpenVPN-Tunnel besser bedient.
Gruß orcape

[Blackbox]

nicht alles "Gold was glänzt"

Dann ist es doch richtig, dass ich davon abgesehen habe, es so zu beschreiben.

Wenn es sich zum Beispiel um einen LTE-Vertrag mit CGN (Carrier grade NAT) handelt, kommen auch da schon Probleme auf und man ist mit einem ordentlich aufgesetzten OpenVPN-Tunnel besser bedient.

Ist das ein anbieterübergreifendes Problem, weil ich mit meinem Linux Phone, wireguard und meinem Anbieter keinerlei herausragende Probleme verzeichnen kann, einziger Ausreißer sind zu hohe Latenzen im ländlichen Raum.

[orcape]

Ist das ein anbieterübergreifendes Problem, weil ich mit meinem Linux Phone, Debianwireguard und meinem Anbieter keinerlei herausragende Probleme verzeichnen kann, einziger Ausreißer sind zu hohe Latenzen im ländlichen Raum.

Welcher Provider das gar nicht macht, kann ich Dir nicht sagen, aber Du kannst beim Provider auch eine IPv4 beantragen. Dann bist Du da direkt erreichbar.
Die Frage ist aber auch hier, welcher Provider das macht und wie hoch die Kosten sind.
Ich bin aber genau deshalb bei "sim.de" wegen dieser Problematik nicht von OpenVPN auf Wireguard gewechselt.
Die Kosten sind so schon hoch genug, auch wenn sich das immer mehr relativiert.
orcape

[dirk11]

Moin!
Aus irgendeinem Grund hat mir das Forum keine neuen Nachrichten im Thread angezeigt (also so gar nicht), weshalb mir eure Antworten erst jetzt aufgefallen sind.
Das Problem ist gelöst, ich bin bei openVPN geblieben, musste mich allerdings komplett wieder einlesen, weil es im Grunde 10 Jahre problemlos funktioniert hat. Im Privatbereich brauche ich keine Ablaufdaten in Zertifikaten, aber egal, kann ich nicht ändern...

Meine Vorgehensweise ist eine Mischung aus dem VPN-Wiki von Debian und dem VPN-Wiki von Ubuntu. Beide sind leider an einigen Stellen unverständlich geschrieben. D.h., man weiß nicht, was bestimmte Dinge für Auswirkungen haben. Deshalb habe ich anfangs meine Server-Zertifikate 3x machen müssen, bis ich verstanden habe, was ich tun bzw. nicht tun muss, damit sie so sind, wie ich mir das vorstelle. Ist ein wenig mühsam, aber egal.
"Früher" waren meine Client-Zertifikate mit den Namen der Clients bezeichnet; auch das habe ich umgestellt und sie einfach nur durchnummeriert und mir stattdessen eine Textdatei zur Dokumentation hinzugefügt, weil es ja doch vorkommt, dass man ein Gerät austauscht oder mal ein neues hinzukommt.
Ein Ärgernis sind in meinen Augen .ovpn-Dateien, weil man sich die mühsam von Hand zusammen copy&pasten muss. Auch dafür habe ich schlussendlich aber eine Lösung gefunden, ich habe dieses Script (unter Punkt 34.) genommen und etwas angepasst (bei Debian liegen die gesuchten Dateien auf mehrere Verzeichnisse verteilt und nicht im home).
Was auch blöd war: es gibt bei Nutzung des Android-openVPN-Client Fehlermeldungen bzgl. Verschlüsselung, wo man erst durch Ergoogeln erfährt, dass man die ignorieren soll, weil alles in Ordnung ist. Beim Android-Client wurde alles kaputt-optimiert, man kommt nicht mehr an die Parameter einer importierten .ovpn, wenn darin was nicht stimmt, muss man jedesmal die .ovpn editieren und neu importieren. Sehr umständlich. Aus irgendeinem Grund kann Debian-oldstable-openVPN auch offenbar bestimmte Verschlüsselungen nicht (und der Android-Client wiederum andere nicht), aber egal, ich habe gemeinsame Verschlüsselungen gefunden.

Funktioniert soweit alles wieder, irgendwann überprüfe ich vielleicht mal, ob es Parameter gibt, welche die Performance optimieren.

[orcape]

@ dirk11

Aus irgendeinem Grund kann Debian-oldstable-openVPN auch offenbar bestimmte Verschlüsselungen nicht (und der Android-Client wiederum andere nicht), aber egal, ich habe gemeinsame Verschlüsselungen gefunden.

Mit OpenVPN ist es wie mit jeder Software, an der permanent weiter entwickelt wird.
Du kannst nicht erwarten, das nach einer Aktualisierung an einer Software, jede damit verbundene Anwendung weiter so funktioniert.
Das wäre zu einfach.
Gruß orcape

[dirk11]

So meine ich das nicht. Das sind Verschlüsselungen, die IMHO schon bei Old-Oldstable in der Beispiel-Conf standen, die mit -GCM am Ende. Aber egal. Irgendwann werde ich vermutlich noch dieses Jahr auch auf meinem Server auf stable umsteigen (ich warte, bis mindestens das erste minor-Release durch ist), und dann bin ich zumindest versionsmäßig aktuell.

[MSfree]

Irgendwann werde ich vermutlich noch dieses Jahr auch auf meinem Server auf stable umsteigen (ich warte, bis mindestens das erste minor-Release durch ist)

Bookworm (stable) ist seit Ende September bei 12.2 und 12.3 dürfte nicht mehr lange dauern.
Es wird langsam Zeit, sich auf Trixie vorzubereiten.

[orcape]

Es wird langsam Zeit, sich auf Trixie vorzubereiten.

Wenn Du viel Zeit hast und mit Stable "Stabilität" auf einem produktiven System separat laufen lassen kannst, ist das ja Ok.
Zu Zeiten als KDE4 noch in der Anfangsphase lag, habe ich auch Testing favorisiert, mit allen damit verbundenen Wehwehchen.
Das war aber auch noch mit der Neugier auch richtig viel neues "Klickibunti" verbunden.
Na ja, nicht nur Debian wird älter, damit verschieben sich auch die Prioritäten.
Gruß orcape

[dirk11]

Danke für die Infos!

Und ja, Prioritäten ändern sich. Mir geht die Versioneritis mittlerweile eher auf die Nerven. Aber davon werden wir wohl nie wieder runter kommen, von dieser Lebenszeit-Fresserei.

[orcape]

...von dieser Lebenszeit-Fresserei.

Na ja, sieh es mal so... Unsereiner braucht den Händler um die Ecke eigentlich nicht mehr wirklich, das spart Geld, Nerven und kommt irgendwie auch der Familie zu Gute.
Natürlich hast Du nicht unrecht damit, aber es ist zumindest noch sinnvoller, wie im TV irgendwelche Verdummungs-Sendungen zu konsumieren.
Für mich ist das mittlerweile sowieso nur noch eine Beschäftigung für die Zeit, wenn Garten und Natur "brach liegen".
Die Sommermonate beschränkt sich das nur auf das Nötigste.
Gruß orcape

[dirk11]

Ist auch was dran.

Und schon wieder hatte ich keinen Benachrichtigungs-Button oben rechts im Forum...

[MSfree]

Und schon wieder hatte ich keinen Benachrichtigungs-Button oben rechts im Forum...

Die bekommt man nur, wenn der Anwortende korrekt zitiert, inklusive post_id, time, user_id.

Wenn man nur mit der Kurzform [ quote]blabla[ /quote] zitiert, kann die Forensoftware nicht wissen, wen sie benachrichtigen soll.

[orcape]

Und schon wieder hatte ich keinen Benachrichtigungs-Button oben rechts im Forum...

Die bekommt man nur, wenn der Anwortende korrekt zitiert, inklusive post_id, time, user_id.

Wenn man nur mit der Kurzform [ quote]blabla[ /quote] zitiert, kann die Forensoftware nicht wissen, wen sie benachrichtigen soll.

...kann die Forensoftware nicht wissen, wen sie benachrichtigen soll.

Gehört die Forensoftware zur KI???

Dann wundert mich nichts mehr.

Gruß orcape