Forum: PC Hard- und Software OpenVPN Client Hardware

Panorama schrieb:
> Gibt es dafür aktuelle und günstige Hardware,

dafür musste sich der WLAN-router mit OpenWRT eignen.

Peter II schrieb:
> dafür musste sich der WLAN-router mit OpenWRT eignen.

Die TP-841ND läuft mit OpenWRT ganz gut.

Wenn du mehr installieren willst, nimm die TP-842ND. Die hat einen 
USB-Anschluss. Mit dem Overlay-FS kannst du damit das Rootfs der 
Maschine erweitern.

Die ganze Geschichte läuft auch wohl relativ stabil, da der Freifunk 
Berlin diese Teile mit OpenVPN (zur Mitstoerer-Haftung) in ganz Berlin 
betreibt.

> OpenWRT

Danke! Hatte ich bis jetzt irgendwie nicht auf dem Schirm.
Vor Jaaahren habe ich mal DD-WRT auf einen WRT54G gespielt und die 
Kisten seitdem komplett vergessen.

Ich bekomme demnächst einen TL-MR3020 und darf damit mal mein Glück 
versuchen. :)
Wenn es gut läuft bestelle ich mir eventuell den 842ND um mehr 
Anschlüsse zu bekommen. 4GB USB-Stick ist auch schon reserviert.

Für Mitleser: Bei den mini-Routern soll der TL-WR710N etwas besser als 
mein TL-MR3020 sein, z.B. kann er gleichzeit WLAN-Client und AP sein.
Sagt zumindest der da: 
http://www.digitalreplica.org/2014/10/pocket-internet-privacy-shield/

OpenWRT läuft soweit super. Ich habe ein "Site to Site" VPN aufgebaut 
und kann alle Hosts auf beiden Seiten des Tunnels erreichen.

Nur ein Problem bleibt, ich schaffe es nicht auch auf dem Router den 
Tunnel zu nutzen.

>> Host 1 - Router "Zuhause" - Tunnel - Router "OpenWRT" - Host 2 <<

"Ping Host 1 -> Host 2" und umgekehrt funktioniert. Die Hosts kennen nur 
ihr Default Gateway, also sollten die Router richtig konfiguriert sein.

"Ping Router OpenWRT -> Host 1/Router Zuhause" funktioniert nicht! 
(Getestet im Web-UI und auf der Konsole)
Es ist so als würde OpenWRT seine eigene Routing-Tabelle ignorieren...

Leider brauche ich genau diese Funktion für DNS Forwarding.
Wie bekomme ich das hin?

nimm einen router von asus.
wrt kompatibel
hat einen openvpn client drauf

So jetzt läuft der Tunnel wie ich es mir vorstelle. Es fehlte noch eine 
iptables Regel auf dem OpenWRT damit der VPN Server auch Anfragen vom 
Router selbst akzeptiert.

> iptables -t nat -A POSTROUTING -s [VPN] -j SNAT --to-source [Router]

Andere Baustelle, der USB Stick am Router. Da liegt das Dateisystem und 
etwas Notfall-Swap drauf.

Kann OpenWRT das Dateisystem verschlüsseln?

Nicht das mir jemand den Stick samt VPN-Schlüsseln rausträgt...

Panorama schrieb:

> Kann OpenWRT das Dateisystem verschlüsseln?
>
> Nicht das mir jemand den Stick samt VPN-Schlüsseln rausträgt...

Wo soll der Key liegen?

Panorama schrieb:
> Kann OpenWRT das Dateisystem verschlüsseln?
>
> Nicht das mir jemand den Stick samt VPN-Schlüsseln rausträgt...

Die wirklich gefährlichen Schlüssel müssen doch garnicht auf der 
OpenVPN-Box liegen.

Vor allem dein Root-CA-Key sollte da gar nicht niemals drauf.

Bleibt dem Dieb, deine CA-Certificate-Chain incl. Server Certificate 
(absolut ungefährlich) und deinen Server-Secret-Key (ärgerlich) 
mitzunehmen.

Damit kann er keine neuen Clients für dein VPN authorisieren, dazu 
brauchts den Root-CA-Key.

Er könnte aber sich aber als MITM gegenüber Clients als VPN-Server 
ausgeben.

d.H.: CRL vorsehen, vor allem so, dass die CRL auch ohne den geklauten 
VPN-Server verwendet werden kann.

Auf dem OpenWRT liegt ein Client-Zertifikat, mehr nicht. (*.p12 Datei)
Die Datei liegt einfach mit im Openvpn-Ordner.

Root-CA usw. macht mein Server hier zuhause, um den mache ich mir 
(momentan) weniger Sorgen.

Linksammler schrieb:
> vor allem so, dass die CRL auch ohne den geklauten
> VPN-Server verwendet werden kann.

Wie funktioniert das?

Auf der Serverseite werde ich eine CRL bauen und einbinden (crl-verify).