VPS mit OpenVPN - kein Internet

[benjiman]

Hallo zusammen,

Ich habe aus der Freude am Basteln und der Selbst-Education mir mal einen VPS bei OVH für einen Monat “gegönnt”. Ziel des ganzen ist der Betrieb von OpenVPN.
Für diese Zwecke habe ich mich zu der von OVH out-of-Box Distribution “OpenVPN on Debian 8” entschieden.

Die Installation hat soweit funktioniert. Ich komme auf die Admin GUI übers Internet und habe mir dort einen OpenVPN User mit PW angelegt. Über diesen User kann ich mich auch über ein iOS Device erfolgreich auf den VPN-Dienst anmelden. Leider bekomme ich ab dem Moment jedoch kein Internet mehr. Genauer gesagt sagt mir auch der Connectivity Test der Admin GUI das keine Verbindung aufgebaut werden kann - es liegt also eher nicht an dem User.

Wenn ich mich über SSH auf den VPS verbinde kann ich aber alle möglichen Seiten anpingen. Also hat der Server entsprechend Internet.

UFW habe ich disabled.

Und nun stehe ich aufm Schlauch und weiß nicht weiter.

 

[razzy]

welcher DNS wird denn zu dem"client" gepusht?
wenn du per VPN verbunden bist, kannst du von den Geräten öffentliche IPs anpingen?

 

[benjiman]

Laut Setting soll der Client die DNS des Servers übernehmen. Hatte aber Testweise auch schon OpenDNS konfiguriert ohne das es geholfen hat.

Wie gesagt auch ohne Client sagt mir das Connectivity-Test Tool von OpenVPN das keine Verbindung ins Internet möglich ist

 

[benjiman]

Noch jemand ne Idee?

 

[Raijin]

Um über einen VPN-Server im Internet zu surfen, muss

1) der Client sein Standardgateway auf den VPN-Server umstellen
2) der Server Routing aktiviert haben
3) der Server die Verbindung in der Firewall erlauben


Bei OpenVPN wird das Gateway (1) über die Option "redirect-gateway" geregelt. Diese kann entweder vom Server gepusht werden (Client muss dann aber auch im- oder explizit pullen) oder man trägt das in die Client.conf ein.

Das Routing (2) wiederum ist OS-spezifisch. Einfach bei google "[verwendetesBetriebssystem] ip routing aktivieren" suchen.

Analog dazu ist natürlich auch die Firewall (3) vom Betriebssystem abhängig.


Zum Testen der Funktion nutzt man tracert bzw. traceroute (je nach OS). Bei Windows zB "tracert 8.8.8.8". Nun sieht man welchen Weg die Daten nehmen. Ohne VPN käme der lokale Router bzw. das Provider-Gateway als erstes. Mit VPN käme die VPN-IP des VPN-Servers und danach dessen Internetrouter bzw. Providergateway.

 

[benjiman]

Um über einen VPN-Server im Internet zu surfen, muss

1) der Client sein Standardgateway auf den VPN-Server umstellen
2) der Server Routing aktiviert haben
3) der Server die Verbindung in der Firewall erlauben

Hey Raijin, erstmal danke für deine Hilfe!

1) Dazu finde ich nix bzw. wenn ich das richtig verstehe wäre das in der server.conf geregelt. Diese Datei gibts auf dem System aber nicht (bzw. nur die .gz).
2) Ist aktiv
3) tracert schlägt schon beim ersten Hop fehl

UFW erlaubt OpenSSL, testweise aber auch mal deaktiviert, macht keinen Unterschied.

Hier mal ein Screenshot von der OpenVPN Admin GUI bzw. dessen Connectivity Test.

 

[Raijin]

1) Mit der Admin GUI hab ich nix am Hut, die habe ich mir nie angeschaut geschweige denn sie genutzt. Ich empfinde sie offen gestanden auch als überflüssig, da OpenVPN sehr gut dokumentiert ist und die Konfiguration in 99 von 100 Fällen auch nur aus einer Handvoll Optionen besteht. Meine server.conf hat ca ein Dutzend Zeilen... Im Hintergrund der GUI wird aber nix anderes passieren als mit einer 08/15 server.conf bzw client.conf. Schau dir die Doku auf der offiziellen OpenVPN-Homepage an, da wirst du mit Sicherheit finden wo du in der GUI dazu einen Haken setzen musst. Evtl. gibt es auch ein Textfeld wo man manuelle Einstellungen hinzufügen kann.

3) Was genau heißt bei dir "schlägt fehl"? Traceroute ist ein sehr komplexes Kommando und es kommt auf das präzise Resultat an. Hops können zB schlicht und ergreifend nicht auf direkte ICMP-Pakete (u.a. Pings/traces) reagieren und mit Timeout bzw * * * beim trace auftauchen. Das bedeutet aber nicht zwangsläufig das was Otto Normal auf den ersten Blick denkt. Im Idealfall also bitte einen Screenshot vom Resultat posten.

 

[benjiman]

1) Mit der Admin GUI hab ich nix am Hut....n.

1) Das freut mich das DU dir die GUI nie hast anschauen muessen. Ich habe auch unzaehlige How-To's ausprobiert ohne GUI, weil OpenVPN ja auch ach so einfach sein soll. Aber fuer mich, als nicht-Linux Mensch, ist es das eben nicht! Wie im ersten Post schon geschrieben mache ich das auch nur in meiner Freizeit - neben Frau & Kind - nur aus Spass an der Freud! Abgesehen davon hat keine Anleitung out-of-the-Box funktioniert oder setzt voraus das man zwei Systeme zur Verfuegung hat (das zweite als CA) - hab ich aber nicht! Ich wollte einfach nur einen OpenVPN Server den ich via Mac OS erreichen kann. Sicherlich gut wenn ich dafuer SSL-Certificates nutzen koennte, aber meines Erarchtens nach Overkill. Local User + sicheres PW wuerden es auch tun. Aber dafuer finde mal Anleitungen...

3) Sorry wegen meiner unpraezisen Aussage... ich bekomme im Tracert nur ***

 

[Raijin]

LoL, also wenn du so allergisch reagierst, lass ich dich mal machen.

OpenVPN kommt bei der Installation sowohl unter Linux als auch unter Windows bereits mit fertigen Configs und Skripts zur Erstellung von Zertifikaten. Man kann damit in der Tat binnen 5 Minuten einen voll funktionsfähigen VPN-Server einrichten.

Wenn du dich mit Linux nicht auskennst, ist es generell nicht ratsam, einen Linux-Server zu betreiben.

 

[benjiman]

Wenn du dich mit Linux nicht auskennst, ist es generell nicht ratsam, einen Linux-Server zu betreiben.

Richtig... wir haetten alle am Besten in Hoehlen wohnen bleiben sollen.

LoL, also wenn du so allergisch reagierst, lass ich dich mal machen.
OpenVPN kommt bei der Installation sowohl unter Linux als auch unter Windows bereits mit fertigen Configs und Skripts zur Erstellung von Zertifikaten. Man kann damit in der Tat binnen 5 Minuten einen voll funktionsfähigen VPN-Server einrichten.

Wie schon vorher geschrieben, danke fuer deine Hilfe. Den Ton hast du aber selbst gewaehlt.

 

[Raijin]

Nein, aber ein Server, der öffentlich erreichbar ist, gehört ordentlich abgesichert. Hast du überhaupt eine Ahnung mit welcher Frequenz solche Server von Portscans und BruteForce-Attacken, etc. betroffen sind? Wenn man den Server nicht ordentlich schützt, ist der schneller gekapert als man "Ooops" sagen kann.

Wenn man etwas dazulernen will, zB den Umgang und die Absicherung eines Linux-Servers und darauf aufbauend einen VPN-Server, o.ä., macht man da zunächst im lokalen Netzwerk auf nem PI, Laptop oder auch einer VM.

Was meinst du wie anonymous und Co zu ihren riesigen Botnetzen kommen? Genau, unsachgemäß abgesicherte Server im Netz.

Aber tu was du nicht lassen kannst. Ich wollte dir helfen, aber du wirst sofort patzig. Viel Spaß noch!

 

[benjiman]

Nein, aber ein Server, der öffentlich erreichbar ist, gehört ordentlich abgesichert. Hast du überhaupt eine Ahnung mit welcher Frequenz solche Server von Portscans und BruteForce-Attacken, etc. betroffen sind? Wenn man den Server nicht ordentlich schützt, ist der schneller gekapert als man "Ooops" sagen kann.

Korrekt und dessen bin ich mir bewusst... deshalb sichere ich den Server nach besten Wissen entsprechend ab, d.h. aktuelle Updates, fail2ban, UFW,...

Aber was solls... nochmals danke fuer dein urspruengliches Unterfangen mir zu helfen... aber deshalb muss dieser abwertende Unterton noch lange nicht sein.

 

[Raijin]

aber deshalb muss dieser abwertende Unterton noch lange nicht sein.

Keine Ahnung wo du das herhast. Ich habe leidglich auf deine patzige Art reagiert. Dein Stein des Anstoßes - die Aussage, dass ich die OpenVPN Admin GUI nicht verwende, weil ich sie für überflüssig halte - ist meine persönliche Meinung und nix anderes. Ich wollte damit lediglich darauf hinaus, dass ich keinen blassen Schimmer habe was wie wo man da die Haken setzen muss. Wenn du dich da gleich in deiner Ehre gekränkt und angegriffen fühlst, ist das dein persönliches Empfinden, aber es war in keinster Weise als Affront gemeint. Nächstes Mal vielleicht nicht so dünnhäutig reagieren und immer alles persönlich nehmen..

Whatever.. So long..

 

[benjiman]

1) Mit der Admin GUI hab ich nix am Hut, die habe ich mir nie angeschaut geschweige denn sie genutzt. Ich empfinde sie offen gestanden auch als überflüssig,

Das klingt fuer mich schon ziemlich eindeutig abwertend im Kern...

die Aussage, dass ich die OpenVPN Admin GUI nicht verwende, weil ich sie für überflüssig halte - ist meine persönliche Meinung und nix anderes. Ich wollte damit lediglich darauf hinaus, dass ich keinen blassen Schimmer habe was wie wo man da die Haken setzen muss.

Najut... egal, dann ist das ja geklaert, Missverstaendnis

Nice eve noch...

Ergänzung (26. November 2018)

Haha schon fast irgendwie peinlich... https://www.cyberciti.biz/faq/howto-setup-openvpn-server-on-ubuntu-linux-14-04-or-16-04-lts/ damit hat's dann wirklich einfach & schnell geklappt...

 

[Raijin]

Na siehste.. Ohne das Skript im Detail zu kennen, wird es im Prinzip nix anderes tun als die mitgelieferten Skripte von OpenVPN selbst. Diese muss man jedoch nacheinander ausführen und das Install-Skript, das du gefunden hast, macht das eben in einem Abwasch. Deswegen meinte ich, dass man die GUI eigentlich überhaupt nicht braucht...

Ich empfehle dir dennoch, dich insbesondere mit den Config-Dateien zu beschäftigen. Mit diesen steuerst du nämlich beispielsweise das Routing während der VPN-Verbindung (falls erforderlich). Die in dem Link dargestellte server.conf ist die besagte Vorlage, die bei OpenVPN stets dabei ist und bereits vollständig funktionstüchtig ist. Blindes Nutzen und/oder Abtippen bietet aber keinerlei Lerneffekt für andere Szenarien - zB ein OpenVPN-Server im eigenen Netzwerk für den Zugriff von außen, um beispielsweise Daten vom NAS über VPN durch einen Public Hotspot hindurch runterladen. OpenVPN ist ziemlich gut dokumentiert und die meisten Optionen in den confs sind recht einfach zu verstehen, wenn man sich nicht ganz dumm stellt

 

[benjiman]

Alles klar & Danke Dir - die conf dateien werde ich mir noch mal in Ruhe reinziehen