VPN (mit routing/dev tun) auf Openwrt

Szenario:

1 Zentralnetz 10.10.1.0/24 mit externer IP xxx.xxx.xxx.xxx, zwei Filialen 10.10.2.0/24 und 10.10.3.0/24 sowie ein einzelner externer Client, sollen per VPN über Internet verbunden werden.
Zentral dient ein Linux-Router 10.10.1.1 als Gateway.
Dezentral zwei OpenWrt-Router 10.10.2.1 und 10.10.3.1 (hinter irgendwelchen Internet-Routern extern mit DHCP versorgt)
Externer Client (Home Office) 10.10.4.1
Das Netz 10.10.5.0/24 benötigen wir um Ips für die virtuellen Interfaces bereitzustellen
Der Server benötigt eine "echte IP"

Server

easy-rsa und openvpn installieren
Zertifikate generieren (für Server und jeden Client einzeln!)
Zertifikate in /etc/openvpn/certs kopieren
chmod 700 /etc/openvpn/certs
chmod 600 /etc/openvpn/certs/*
Server Konfiguration: Dateiname ist egal, bei mehreren ".conf" werden mehrere Instanzen des Servers erzeugt*
*Zumindest auf Debian "Jessie" steckt irgendwo (/etc/init.d/openvpn??) ein Bug: Die Datei muss "server.conf" heissen!

Hinweis: Bei Debian liegt bereits eine server.conf bei, dort kann man die Werte auch einfach einsetzen. OpenWRT kommt mit einer Datei "openvpn", die als Vorlage für a) Server oder b) Client dienen kann oder aber c) nur auf die eigene ".conf" verweist. Dafür ist unter dem jeweiligen Stichwort "option enabled=1" zu setzen. (Es darf nur einmal "1" gesetzt sein!) .

/etc/openvpn/server.conf

port 1194 #Port des VPN-Servers

proto udp

dev tun

ca /etc/openvpn/certs/ca.crt #Zertifikate Ort und Name ggf. anpassen

cert /etc/openvpn/certs/central.crt

key /etc/openvpn/certs/central.key

dh /etc/openvpn/certs/dh1024.pem

cipher AES-128-CBC # AES Verschlüsselung

server 10.10.5.0 255.255.255.0 #IP-Netz aus dem die IPS für

"virtuelle" VPN-Interfaces geholt werden:

client-to-client #clients dürfen miteinander kommunizieren

client-config-dir /etc/openvpn/remote_networks #Verzeichnis der confs für die Aussenstellen

verb 3

route 10.10.2.0 255.255.255.0 #Netze der Aussenstellen

route 10.10.3.0 255.255.255.0

#route 10.10.4.0 255.255.255.0

#Keine Route für den einzelnen Windows Client! Wir kennen ja die IPs und Netzmaske seines Heimnetzes nicht und wollen es auch gar nicht

#erreichen. Der Rechner selbst wird über seine "virtuelle" IP 10.10.5.xyz erreicht.

push "route 10.10.1.0 255.255.255.0" #Route zur Zentrale1 den Clients mitteilen

push "dhcp-option WINS 10.10.1.223" #ggf. zentralen WINS-Server an Clients mitteilen

keepalive 10 120

comp-lzo

max-clients 100

persist-key

persist-tun #möglichst immer die gleiche IP für tun-device verwenden

fast-io

in /etc/openvpn/ccd (CientConfDirectory) für jedes externe Netz* eine Datei mit Route anlegen
*nicht zwingend für den Einzelclient, siehe in "server.conf"

z.B. für Aussen1 die Datei "clientxy"* mit dem Inhalt:

*Der Dateiname muss mit dem "Common Name" des Clients übereinstimmen! Das ist in der Regel der bei Erzeugung der Client-Zertifikate verwendete Dateiname. Wurden die Zertifikate umbenannt, bleibt der Common Name unverändert. Dann kann man ihn in clientxy.crt im Klartext auslesen.

iroute 10.10.2.0 255.255.255.0 #notwendige Angabe für internes Routing des Tunnels

ifconfig push 10.10.5.5 10.10.5.6 #die 2 benötigten (siehe "Technik") virtuellen IPs des Routers. #die Angabe kann entfallen, dann vergibt OpenVpn diese automatisch .

Wie der Befehl "ip route" zeigt, werden Routen beim Start von OpenVPN automatisch gesetzt.
Wenn auf dem Server bereits eine IP-Tables-Firewall (Forwarding muss aktiviert sein) läuft, genügt eine zusätzliche Zeile:

z.B. iptables -A POSTROUTING -t nat -s 10.10.5.0/24 -j SNAT --to-source 10.10.1.1

Hinweis: Die externen Clients kommen unter der virtuellen "tun-ip" des Clients, also 10.10.5.xxx, auf virtuellem Interface 10.10.5.1 an - dem Netz, dass wir in "server.conf" hinter "server" angeben haben. Damit sie intern Geräte erreichen, muss die IP auf internes Netz, also die interne Server-IP 10.10.1.xxx umgeschrieben werden.

Die Firewall-Zeile bedeutet: Nachdem klar ist, wohin die Pakete gehen, sollen Pakete aus dem Netz des externen Clients die Absender IP der internen Server Netzwerkkarte bekommen.

Weitere Firewall-Regeln auf dem Server sind i.d.R. nicht nötig, da aus Sicht des Servers nur Pakete aus dem eigenen Netz behandelt werden: Die Daten kommen auf einer virtuellen IP 10.10.5.xxx (des Clients) an und gehen unter der internen IP (des Servers) raus. Daten von intern gehen den umgekehrten Weg.

Somit sind alle Geräte intern von den Clients erreichbar und umgekehrt*. Wenn auch der Server (z.B. per ssh) von den Clients erreicht werden soll, muss eine INPUT-Regel für das virtuelle Netz eingefügt werden.

*Dies gilt für routende Clients also für OpenWrt-Router: Bei Windows Clients (die routen nicht) muss eine Eingangs-Firewall-Regel für das virtuelle Netz, hier also 10.10.5.0/24, gesetzt werden.

Client

Einmalig für beliebig viele Clients und Router jeweils eine "clientxy.conf" (Linux) bzw. "clientxy.ovpn" (Windows) anlegen.

client #Dies ist ein Client

dev tun #Einstellung muss wie in server.conf sein

proto udp #Einstellung muss wie in server.conf sein

remote xxx.xxx.xxx.xxx 1194 #Externe Router IP

resolv-retry infinite #Versuche zum Verbindungsaufbau wiederholen

ns-cert-type server #Zerfikatstyp von easy-rsa erzeugt

cipher AES-128-CBC #Einstellung muss wie in server.conf sein

ping 15

ping-restart 45

ping-timer-rem

persist-tun

persist-key

comp-lzo #wie in server.conf

verb 5

ca /etc/openvpn/certs/ca.crt

cert /etc/openvpn/certs/clientxy.crt

key /etc/openvpn/certs/clientxy.key

Auf Client Software downloaden und installieren
- Windows u. Linux: https://openvpn.net/index.php/open-source/downloads.html
- Mac-OSX: https://tunnelblick.net/
Kopieren von client.ovpn, ca.crt, clientxy.key, clientxy.crt in das OpenVpn/config-Verzeichnis (Windows: C:\Programme\OpenVpn\config).
Ggf. die Dateinamen der Zertifikate anpassen.

OpenWrt-Router

Vorab prüfen:
- jedesmal: gibt es auf dem Server für dieses Zertifikat eine Datei im Verzeichnis /etc/openvpn/ccd ?
- Stimmen die Einträge in der Datei? (siehe Abschnitt Server)
- nur beim ersten Client: existiert der Routeneintrag auf dem Server?
- nur beim ersten Client: Existiert die Firewallregel? (siehe oben)
- Hinweis es dauert nach Änderungen usw. ca. 1 Minute bis der Tunnel steht
es können alle default-Einstellungen verwendet werden
bei frisch geflashtem Gerät: im Browser http://192.168.1.1
Passwort setzen
mit ssh einloggen:
Software aktualisieren: opkg update
vernünftigen Editor installieren, z.B.: opkg install joe
openvpn installieren: opkg install openvpn-polarssl
Autostart enablen: /etc/init.d/openvpn enable
in /etc/config/openvpn unter "config openvpn custom_config" richtigen Namen der client.conf/client.ovpn eintragen
dort option enabled auf "1" setzen
prüfen, dass unter "sample server" und "sample client" jeweils enabled auf "0" steht
client.conf in /etc/openvpn kopieren
mkdir /etc/openvpn/certs
ca.crt, clientxy.key und clientxy.crt in /etc/openvpn/certs kopieren
prüfen ob in der client.conf die Dateinamen und Pfade der Zertifikate stimmen
Test: Auf der Routerkonsole manuell OpenVPN starten: "openvpn /etc/openvpn/client.conf"
- (Tap: Es müssen viele laufende Meldungen und schliesslich "RWRWRWrwRw" Zeichen erscheinen.)
- Tun:
  - Anzeige endet mit "Initialization...Completed"
  - Man sieht "ifconfig tun" die virtuelle IP und
  - virtuelles Netz (10.10.5.0)
  - ping auf andere Tunnelseite 10.10.5.1 (wenn nicht, steht Tunnel nicht)
  - ping auf Server 10.10.10.1 (wenn nicht, Firewall zu, kein Forwarding)
  - ping auf anderen Rechner im Netz (wenn nicht, Firewallregel s.o. fehlt)
Wenn es läuft: Router neu starten
im Browser Webinterface des Routers aufrufen
Interface hinzufügen
- unter "Network-Interfaces-Add New Interface" ein neues interface "vpn" erstellen.
- Protocoll... : "Static address"
- Covered ... interfaces: "tun0" markieren (wenn es das nicht gibt, steht der Tunnel nicht)
- Submit
- (im nächsten Schirm, Reiter Advanced ggf. IPV6 abschalten, Save and Apply172.16.fffff)
Firewall Zone definieren
- unter "Network Firewall ADD-Button" neue Zone "vpn1" erstellen
- Input, Output, Forward = alles "accept"
- Masqerading anmarkern
- (d.h.die Geräte der Aussenstelle z.B. 10.10.2.0/24 werden mit der virtuellen IP des Routers z.B. 10.10.5.6 maskiert )
- Covered networks: vpn
- Allow forward to...: lan
- Allow forward from...: lan
- Save and Apply
Netzwerkeinstellungen korrigieren:
1. Network - Interfaces - Wan - Edit
2. IPV4 hier: 10.10.2.1 (die externe Router IP der Aussenstelle)
3. Netmask: 255.255.255.0
4. Broadcast 10.10.2.255
5. Gateway
6. ggf. DHCP disablen
7. Save and Apply
Netzwerkeinstellungen korrigieren:
- Network - Interfaces - Lan - Edit
- IPV4 hier: 10.10.2.1 (die interne Router IP der Aussenstelle)
- Netmask: 255.255.255.0
- Broadcast 10.10.2.255
- Gateway - leer lassen
- ggf. DHCP disablen
- Save and Apply
Entweder bezieht jetzt der zur Konfuration benutzte Rechner eine neue IP oder man muss Sie manuell eingeben (=DHCP disabled).
Neu anmelden
SNAT -Regel (Begründung siehe Server)
- Network - Firewall - vpn1 - Edit -Traffic-Rules-New source NAT
- Name: r1
- Source zone: vpn1
- Destination zone: lan
- To source ip: 10.10.2.1 (interne IP des OpenWRT-Routers)
- Save and Apply
- Rule auf enabled setzen.
- Vorsicht manchmal nimmt das Interface die Eingaben nicht an!
ssh-Regel um von aussen warten zu können
- Network-Firewall-Traffic-Rules
- Open ports on router: ssh-TCP-22 ADD
- Neue rule editieren:
  - ssh
  - ipv4 only
  - TCP
  - any
  - Source zone: wan
  - any
  - any
  - any
  - Device
  - any
  - 22
  - accept
  - SAVE & APPLY
Abschließende Arbeiten:
- ggf. DHCP ausschalten
- Wlan ausschalten
- Factory - Reset erschweren: /etc/rcbutton/reset: "-gt 5" auf 30 setzen
Fertig. Alle Geräte erreichen sich wechselseitig. Der "normale" Verkehr geht wie vorher über des Standgateway des "äußeren" Router-Interfaces ins Internet.

Soll ein OpenWRT Router (mit echter IP) als Server verwendet werden: Gleiche Konfiguration, aber server.conf und Server-Zertifikate statt client.conf usw. verwenden.

Test

Technik

Google Sites

Report abuse