Hi, für unterwegs möchte ich mir eine kleine OpenVPN Box einrichten. Die Box möchte ich per LAN, WLAN, ... (was eben da ist) ans Internet hängen, alle Geräte hinter der Box können dann den Tunnel ins Heimnetz nutzen. Bis jetzt habe ich den OpenVPN Windows Client genutzt, ich möchte aber auch mal einen Raspberry o.ä. parallel anschließen. Gibt es dafür aktuelle und günstige Hardware, bevorzugt mit WLAN und >1 LAN Port?
Panorama schrieb: > Gibt es dafür aktuelle und günstige Hardware, dafür musste sich der WLAN-router mit OpenWRT eignen.
Peter II schrieb: > dafür musste sich der WLAN-router mit OpenWRT eignen. Die TP-841ND läuft mit OpenWRT ganz gut. Wenn du mehr installieren willst, nimm die TP-842ND. Die hat einen USB-Anschluss. Mit dem Overlay-FS kannst du damit das Rootfs der Maschine erweitern. Die ganze Geschichte läuft auch wohl relativ stabil, da der Freifunk Berlin diese Teile mit OpenVPN (zur Mitstoerer-Haftung) in ganz Berlin betreibt.
> OpenWRT Danke! Hatte ich bis jetzt irgendwie nicht auf dem Schirm. Vor Jaaahren habe ich mal DD-WRT auf einen WRT54G gespielt und die Kisten seitdem komplett vergessen. Ich bekomme demnächst einen TL-MR3020 und darf damit mal mein Glück versuchen. :) Wenn es gut läuft bestelle ich mir eventuell den 842ND um mehr Anschlüsse zu bekommen. 4GB USB-Stick ist auch schon reserviert. Für Mitleser: Bei den mini-Routern soll der TL-WR710N etwas besser als mein TL-MR3020 sein, z.B. kann er gleichzeit WLAN-Client und AP sein. Sagt zumindest der da: http://www.digitalreplica.org/2014/10/pocket-internet-privacy-shield/
OpenWRT läuft soweit super. Ich habe ein "Site to Site" VPN aufgebaut
und kann alle Hosts auf beiden Seiten des Tunnels erreichen.
Nur ein Problem bleibt, ich schaffe es nicht auch auf dem Router den
Tunnel zu nutzen.
>> Host 1 - Router "Zuhause" - Tunnel - Router "OpenWRT" - Host 2 <<
"Ping Host 1 -> Host 2" und umgekehrt funktioniert. Die Hosts kennen nur
ihr Default Gateway, also sollten die Router richtig konfiguriert sein.
"Ping Router OpenWRT -> Host 1/Router Zuhause" funktioniert nicht!
(Getestet im Web-UI und auf der Konsole)
Es ist so als würde OpenWRT seine eigene Routing-Tabelle ignorieren...
Leider brauche ich genau diese Funktion für DNS Forwarding.
Wie bekomme ich das hin?
nimm einen router von asus. wrt kompatibel hat einen openvpn client drauf
So jetzt läuft der Tunnel wie ich es mir vorstelle. Es fehlte noch eine
iptables Regel auf dem OpenWRT damit der VPN Server auch Anfragen vom
Router selbst akzeptiert.
> iptables -t nat -A POSTROUTING -s [VPN] -j SNAT --to-source [Router]
Andere Baustelle, der USB Stick am Router. Da liegt das Dateisystem und
etwas Notfall-Swap drauf.
Kann OpenWRT das Dateisystem verschlüsseln?
Nicht das mir jemand den Stick samt VPN-Schlüsseln rausträgt...
Panorama schrieb: > Kann OpenWRT das Dateisystem verschlüsseln? > > Nicht das mir jemand den Stick samt VPN-Schlüsseln rausträgt... Wo soll der Key liegen?
Panorama schrieb: > Kann OpenWRT das Dateisystem verschlüsseln? > > Nicht das mir jemand den Stick samt VPN-Schlüsseln rausträgt... Die wirklich gefährlichen Schlüssel müssen doch garnicht auf der OpenVPN-Box liegen. Vor allem dein Root-CA-Key sollte da gar nicht niemals drauf. Bleibt dem Dieb, deine CA-Certificate-Chain incl. Server Certificate (absolut ungefährlich) und deinen Server-Secret-Key (ärgerlich) mitzunehmen. Damit kann er keine neuen Clients für dein VPN authorisieren, dazu brauchts den Root-CA-Key. Er könnte aber sich aber als MITM gegenüber Clients als VPN-Server ausgeben. d.H.: CRL vorsehen, vor allem so, dass die CRL auch ohne den geklauten VPN-Server verwendet werden kann.
Auf dem OpenWRT liegt ein Client-Zertifikat, mehr nicht. (*.p12 Datei) Die Datei liegt einfach mit im Openvpn-Ordner. Root-CA usw. macht mein Server hier zuhause, um den mache ich mir (momentan) weniger Sorgen. Linksammler schrieb: > vor allem so, dass die CRL auch ohne den geklauten > VPN-Server verwendet werden kann. Wie funktioniert das? Auf der Serverseite werde ich eine CRL bauen und einbinden (crl-verify).
Bitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.