Tut-OpenVPN Server im Container unter Proxmox

lemuba

Hallo @H4lunkE

So, dann hier weiter

In Referenz auf Deine Frage:

Ich erkläre das kurz auf meine Hardware bezogen - musst Du ggf. für Deine anpassen...

1. Benötigst Du einen DynDns Account, die Daten werden dann entsprechend im Router eingetragen.

Sieht dann nach erfolgreicher Eingabe der Daten und Anmeldung meines Routers (Fritzbox 7590) so aus:

DynDNS: aktiviert, "meinName".selfhost.eu, IPv4-Status: erfolgreich angemeldet, IPv6-Status: unbekannt

2. DynDns war zu meiner Zeit kostenlos über selfhost.eu zu bekommen und gibt es wohl immer noch:
   http://selfhost.eu/cgi-bin/selfhost?p=cms&article=free&CGISESSID=f5b53416172e611211362f0eb7c5942e

3. Danach installierst Du von den Proxmox Container Templates:
   turnkey-openvpn

Dafür reicht ne Minimalinstallation mit wenig Resourcen, schaust Du bei mir:

4. Nachdem der Container läuft, seine IP-Adresse ermitteln, wenn Du keine feste IP vergeben hast (sollte aber eine Feste sein...).

5. Zurück zu Deinem Router und eine Port-Forwarding Regel für OpenVPN anlegen:
   Port: 1194, UDP auf die IP Adresse Deines OpenVPN Containers

6. Danach gehst Du im Browser auf das TurnKey OpenVPN Webinterface, einfach per Eingabe der IP - es sollte dann das kommen:
   

7. Klicke da im Menü zur Info auf: Quick Referenece

8. Erstelle in der Proxmox Open VPN Konsole dann Dein eigenes Schlüsselfile pro gewünschtem Client (z.b. für ein Tablet):
   Beispiel:

root@OpenVpn ~# openvpn-addclient mydevice info@test.de

9. Sollte dann Folgendes bei rauskommen:

Debian GNU/Linux 9 OpenVpn tty1

OpenVpn login: root
Password: 
Last login: Fri Sep 11 23:11:38 CEST 2020 on tty1
Welcome to Openvpn, TurnKey GNU/Linux 15.1 / TurnKey 9.7 Stretch

  System information (as of Wed Sep 16 23:49:35 2020)
  
    System load:  0.70              Memory usage:  25%
    Processes:    25                Swap usage:    0%
    Usage of /:   18.0% of 3.87GB   IP address for eth0:  192.168.12.8
                                    IP address for tun0:  10.207.137.1
  
  TKLBAM (Backup and Migration):  NOT INITIALIZED
  
    To initialize TKLBAM, run the "tklbam-init" command to link this
    system to your TurnKey Hub account. For details see the man page or
    go to:
  
        https://www.turnkeylinux.org/tklbam

Linux OpenVpn 5.4.60-1-pve #1 SMP PVE 5.4.60-2 (Fri, 04 Sep 2020 10:24:50 +0200) x86_64
root@OpenVpn ~# openvpn-addclient meintablet info@test.de
Using Common Name: meintablet
Generating a RSA private key
..................................................................................................................................................................................................................................................................................................+++++
...........+++++
writing new private key to 'meintablet.key'
-----
Using configuration from /etc/openvpn/easy-rsa/openssl.cnf
Check that the request matches the signature
Signature ok
The Subject's Distinguished Name is as follows
countryName           :PRINTABLE:'US'
stateOrProvinceName   :PRINTABLE:'CA'
localityName          :PRINTABLE:'San Francisco'
organizationName      :PRINTABLE:'TurnKey Linux'
organizationalUnitName:PRINTABLE:'OpenVPN'
commonName            :PRINTABLE:'meintablet'
name                  :PRINTABLE:'openvpn'
emailAddress          :IA5STRING:'info@test.de'
Certificate is to be certified until Sep 14 21:52:12 2030 GMT (3650 days)

Write out database with 1 new entries
Data Base Updated

INFO: generated /etc/openvpn/easy-rsa/keys/meintablet.ovpn
root@OpenVpn ~# openvpn-addclient mydevice info@test.de
Using Common Name: mydevice
Generating a RSA private key
...................................................................................................................................................................................+++++
....................................................+++++
writing new private key to 'mydevice.key'
-----
Using configuration from /etc/openvpn/easy-rsa/openssl.cnf
Check that the request matches the signature
Signature ok
The Subject's Distinguished Name is as follows
countryName           :PRINTABLE:'US'
stateOrProvinceName   :PRINTABLE:'CA'
localityName          :PRINTABLE:'San Francisco'
organizationName      :PRINTABLE:'TurnKey Linux'
organizationalUnitName:PRINTABLE:'OpenVPN'
commonName            :PRINTABLE:'mydevice'
name                  :PRINTABLE:'openvpn'
emailAddress          :IA5STRING:'info@test.de'
Certificate is to be certified until Sep 14 21:57:21 2030 GMT (3650 days)

Write out database with 1 new entries
Data Base Updated

INFO: generated /etc/openvpn/easy-rsa/keys/mydevice.ovpn
root@OpenVpn ~

10: Dieses Key-File (mydevice.ovpn) benötigst Du nun, ziehe ich z.B. mit Filezilla, per SFTP, runter: INFO: generated /etc/openvpn/easy-rsa/keys/mydevice.ovpn

11. Auf meinem Iphone und IPad habe ich OpenVPN Connect installiert - klick mich:

12. Öffne dort die Key Datei mit OpenVPN Connect - das sollte es dann gewesen sein, der Rest erklärt sich selber.

Falls ich aufgrund Demenz etwas vergessen habe, oder nicht funktioniert, melde Dich nochmal. Viele Wege führen nach Rom, vielleicht wissens auch Andere hier noch besser...

Ich habe einen 500/100MBit - Glasfaseranschluss - die Begrenzung war bisher nur das Unterwegs-Gastnetzwerk in dem ich eingeloggt war, aber nie mehr die VPN Verbindung als Solche. VPN direkt eingerichtet über eine Fritzbox oder anderen schwachen Router/Hardware begrenzt da teilweise ganz gewaltig. Sofern VPN über einen potenten NUC (wie unseren ) eingerichtet, sicherlich eine sehr gute Option.

Hoffe ich konnte helfen,

Gruß,

Matthias

Edit/Generelle Info: Einige Hotel Wlans, aber auch Fritzbox Gastnetztwerke erlauben nur das reine Surfen und Email abbrufen - also nicht wundern, wenn Du aus einem solchem Wlan nicht per VPN nach Hause kommst, sich keine Verbindung aufbaut... Sofern ich dann alternativ auf meinem Iphone ne gute LTE Verbindung übers Mübilfunknetz habe, deaktiviere ich das Gastnetz-Wlan und OpenVpneeee per LTE nach Hause... Es gibt (gab?) aber auch wohl Mobilfunktarife, die ganz billgen, bei denen auch VPN gesperrt ist/war - tbc...

Lohnt sich immer man nachzuschauen falls man einen günstigen NUC/MiniPc sucht - klick mich.

crunchip

@lemuba sagte in Tut-OpenVPN Server im Container unter Proxmox:

Danach installierst Du von den Proxmox Container Templates:
turnkey-openvpn

Als Ergänzung, damit die Installation überhaupt funktioniert
Beim CT erstellen muss Unprivilegierter Container Haken entfernt werden

Lenny.CB

@lemuba habe auch noch eine Ergänzung:
für den Download der Datei "mydevice.ovpn" kann man auch folgendes machen:

in der Konsole eingeben:

/var/www/openvpn/bin/addprofile mydevice

mydevice ist in dem Fall der erstellte Client-Name
Dann wird eine URL und ein Pfad angezeigt.

jetzt Im Browser eingeben (vorher anpassen):

https://IP_vom_OpenVPN_Server/profiles/45454545fdgngdgmn4156154xfj15xhmg5/

dann bekommt man das hier angezeigt:

Dann entweder auf download klicken oder mir den Handy den QR scannen.

Lenny.CB

@lemuba jetzt noch meine Frage:
um von außen in sein Netzwerk zu kommen muss man doch noch:

• in der Fritte eine statische Route eintragen
• Datei openvpn.conf noch anpassen
  Korrekt?

lemuba

@crunchip sagte in Tut-OpenVPN Server im Container unter Proxmox:

@lemuba sagte in Tut-OpenVPN Server im Container unter Proxmox:

Danach installierst Du von den Proxmox Container Templates:
turnkey-openvpn

Als Ergänzung, damit die Installation überhaupt funktioniert
Beim CT erstellen muss Unprivilegierter Container Haken entfernt werden

Hast Du Recht - mal sehen was sonst noch so reinkommt - ergänze/korrigiere ich dann noch Oben....
Ist schon paar Tage her wo ich das eingerichtet hatte. Den Haken nehme ich eigentlich immer raus.
So schauts bei mir aus.

lemuba

@Lenny-CB sagte in Tut-OpenVPN Server im Container unter Proxmox:

@lemuba jetzt noch meine Frage:
um von außen in sein Netzwerk zu kommen muss man doch noch:

• in der Fritte eine statische Route eintragen
• Datei openvpn.conf noch anpassen
  Korrekt?

In der Fritte eine statische Route eintragen: Ja, hatte ich ja oben beschrieben.

Datei openvpn.conf noch anpassen

Die Datei mal gesucht:

Siehst Du auch am Datum, hatte ich nicht geändert.

Aktueller Datei Inhalt:

d /run/openvpn 0755 root root - -

Aber Du hast Recht, irgendwo muss ich noch was editiert haben, da das Schlüsselfile den Link auf meinen DynDns Account enthält.
Schaue ich heute Abend nach...

Lenny.CB

@lemuba sagte in Tut-OpenVPN Server im Container unter Proxmox:

In der Fritte eine statische Route eintragen: Ja, hatte ich ja oben beschrieben.

Ich meine nicht die DynDns-Geschichte. Ich meine eine "IPv4-Route".
Ich bin jetzt auch nicht grad der VPN-Spezi, aber ohne diese IPv4-Route finden deine Antwortpakete nicht mehr den Weg zu Dir zurück.

Wenn ich z.B. bei bestehender VPN-Verbindung in meinem Handy die interne IP vom ioBroker eingebe, bekomme ich die Seite angezeigt.
Das passiert aber nicht wenn ich die IPv4-Route nicht eintrage und die .conf Datei nicht anpasse.
Dafür ist das Routing zwischen den virtuellen und internen Netzwerk.
@VPN-Spezis: bitte berichtigen wenn Quark schreibe. Ich will ja auch noch lernen.

Nachtrag: etwas weiter oben meinte ich die Datei "server.conf" (/etc/openvpn/server.conf)

lemuba

@Lenny-CB sagte in Tut-OpenVPN Server im Container unter Proxmox:

@lemuba sagte in Tut-OpenVPN Server im Container unter Proxmox:

In der Fritte eine statische Route eintragen: Ja, hatte ich ja oben beschrieben.

Ich meine nicht die DynDns-Geschichte. Ich meine eine "IPv4-Route".
Ich bin jetzt auch nicht grad der VPN-Spezi, aber ohne diese IPv4-Route finden deine Antwortpakete nicht mehr den Weg zu Dir zurück.

Wenn ich z.B. bei bestehender VPN-Verbindung in meinem Handy die interne IP vom ioBroker eingebe, bekomme ich die Seite angezeigt.
Das passiert aber nicht wenn ich die IPv4-Route nicht eintrage und die .conf Datei nicht anpasse.
Dafür ist das Routing zwischen den virtuellen und internen Netzwerk.
@VPN-Spezis: bitte berichtigen wenn Quark schreibe. Ich will ja auch noch lernen.

Nachtrag: etwas weiter oben meinte ich die Datei "server.conf" (/etc/openvpn/server.conf)

Auf alle Fälle scheinst Du schon mal Recht zu haben - ich verstehe auch nicht viel von VPN
Hatte bis Dato nur versucht, das mein Client/Iphone die Verbindung aufbaut - und das funktioniert ja - Statische Route hatte ich keine eingeben, oder konfiguriert - somit wie gerade festgestellt, komme ich auch noch nicht in mein Heimnetzwerk - hatte gerade das noch gefunden und muss nun selber erstmal schauen wie, was, wo:

https://serversupportforum.de/threads/turnkey-openvpn-fuer-kommunikation-im-heimnetz.59876/

Lenny.CB

@lemuba
schau dir mal die server.conf an.

--> nano /etc/openvpn/server.conf

hinzufügen:

push "route 192.168.2.0 255.255.255.0"		
push "dhcp-options DNS 192.168.2.1"			

--> push "route 192.168.2.0 255.255.255.0" verweist auf das interne Netzwerk, ggf. muss das auf dein Netzwerk anpassen
--> push "dhcp-options DNS 192.168.2.1" verweist auf den internen DNS-Server. Im Regelfall der Router), wieder anpassen

dann noch die folgende Zeile auskommentieren

push "route 10.10.10.0 255.255.255.0"

dann noch die IPv$-Route in der Fritte:

--> Heimnetz/Netzwerk/Netzwerkeinstellungen/IPv4-Routen

neue Route Anlegen:

IPv4Netzwerk:	10.10.10.0		--> IP vom virtuellen Netz
Subnetzmaske:	255.255.255.0		--> Sub vom virtuellen Netz
Gateway:	192.168.0.30		--> IP von OpenVPN-Server

auf dein Netz anpassen, dann sollte es mit den internen IP durch den Tunnel funzen.

Lenny.CB

was ich aber merkwürdig finde:
ich muss dennoch eine Portfreigabe machen.

Ich meine damit:
192.168.2.45:8081 geht nur durch den Tunnel wenn ich den entsprechenden Port in der Fritte weiterleite
192.168.2.45:8081 funktioniert ohne Portweiterleitung nur im "richtigen" internen Netz.

Weis wer warum?

lemuba

@Lenny-CB

Tja, ich bringe es leider nicht hin.

Mit turnkey-init kann man das Teil ja sozusagen resetten und die Installationsroutine neu starten. Dabei die Adressen wieder eingeben.
Ich habe letztendlich die voreigestellten 10er (10.x.x.x Adressen) genommen. So oder so, ich komme leider mit keinem Routing in der Fritzbox hin.

Mein Router: 192.168.12.1
Mein TKVPN: 192.168.12.8

Meine Server Config:

# PUBLIC_ADDRESS: ich.selfhost.eu (used by openvpn-addclient)

port 1194
proto udp
dev tun

comp-lzo
keepalive 10 120

persist-key
persist-tun
user nobody
group nogroup

chroot /etc/openvpn/easy-rsa/keys/crl.jail
crl-verify crl.pem

ca /etc/openvpn/easy-rsa/keys/ca.crt
dh /etc/openvpn/easy-rsa/keys/dh2048.pem
tls-auth /etc/openvpn/easy-rsa/keys/ta.key 0
key /etc/openvpn/easy-rsa/keys/server.key
cert /etc/openvpn/easy-rsa/keys/server.crt

ifconfig-pool-persist /var/lib/openvpn/server.ipp
client-config-dir /etc/openvpn/server.ccd
status /var/log/openvpn/server.log
verb 4

# virtual subnet unique for openvpn to draw client addresses from
# the server will be configured with x.x.x.1
# important: must not be used on your network
server 10.55.75.0 255.255.255.0


# push routes to clients to allow them to reach private subnets
push "route 10.0.1.0 255.255.255.0"

Ich glaube ich haue das Ding (Container) in die Tonne und suche was besser dokumentiertes. Hatte mir nun auch schon die Finger wund gegoogelt.

Lenny.CB

@lemuba is doch fast gut. Bin grad nicht am Rechner. Schreib morgen noch was dazu.
In der Installation hast du 2 unterschiedliche 10er IPs eingetragen?

Lenny.CB

@lemuba
so wie es ausschaut, hast Du 2 verschiedene IP-Bereiche angegeben bei der Installation. In einer Videoanleitung die ich mal gesehen habe, wurde gesagt, dass die gleich sein können. Habe ich dann bei mir auch so gemacht.

Für deinen Fall, wenn sie unterschiedlich sind (ungetestet!)

nano /etc/openvpn/server.conf
zu deiner vorhandenen server.conf hinzufügen

push "route 192.168.12.0 255.255.255.0"
push "dhcp-options DNS 192.168.12.1"

Ich gehe davon aus, dass deine Fritzbox auch den DNS macht.

FRITZ.Box--> Heimnetz/Netzwerk/Netzwerkeinstellungen/IPv4-Routen
neue Route anlegen:

IPv4Netzwerk:	10.55.75.0		--> IP vom virtuellen Netz
Subnetzmaske:	255.255.255.0		--> Sub vom virtuellen Netz
Gateway:	192.168.12.8		--> IP von OpenVPN-Server

lemuba

@Lenny-CB sagte in Tut-OpenVPN Server im Container unter Proxmox:

@lemuba
so wie es ausschaut, hast Du 2 verschiedene IP-Bereiche angegeben bei der Installation. In einer Videoanleitung die ich mal gesehen habe, wurde gesagt, dass die gleich sein können. Habe ich dann bei mir auch so gemacht.

Diese Videoanleitung hatte ich auch schon durch... kein Erfolg, dann wurde noch nichtmal die Client-Verbindung auf dem Iphone Grün.:

Die von Dir vorgeschlagne server.conf Settings und Routings auch ohne Erfolg bisher.

Ich schaue nochmal in Ruhe am Wochenende. Ich denke ich werde aber auch nochmal direkt ein Debian OpenVpn/nicht Turnkey aufsetzen/testen.
Ich bin eigentlich Weltmeister im Googeln Aber die Turnkey VPN Doku ist armselig - dachte erst, weil als Proxmox Template angeboten, dass da mehr hinter steht... offentsichlich nicht.

Bei meiner vorheringen Lösung, Dietpi/Open VPN (nun abgeschaltet), brauchte ich überhaupt kein Routing auf meiner Fritte einstellen. Kam über Jahre so problemlos in mein Heimnetz - kann aber sein, dass ich "damals" DHCP-technisch, etc. noch was an der Diskstation selber einstellen musste - nur kann ich mich da nicht mehr dran erinnern

Das ist nun auch das Tolle an Proxmox, den einzelnen Containern und VMs - man kann überall seine Notizen/Links reinschreiben...

crunchip

@lemuba sagte in Tut-OpenVPN Server im Container unter Proxmox:

Diese Videoanleitung hatte ich auch schon durch.

welche war das?

vllt hilft das hier
https://administrator.de/wissen/openvpn-server-installieren-pfsense-firewall-mikrotik-dd-wrt-gl-inet-router-123285.html#toc-17

lemuba

@crunchip

Die hier:

https://www.youtube.com/watch?v=jw_ogfmEgbc

crunchip

@lemuba dacht ich mir
habs bissher auch nicht hinbekommen, scheiter am unifi
aber irgendwo hab ich mal was mitbekommen, das Tun im Video fehlt, das muss noch gesetzt/aktiviert werden, ohne gehts nicht,
kenn mich damit selbst nicht aus

Lenny.CB

@lemuba sagte in Tut-OpenVPN Server im Container unter Proxmox:

@crunchip

Die hier:

https://www.youtube.com/watch?v=jw_ogfmEgbc

genau das meine ich. Danach habe ich das auch gemacht. Verbindung war dann OK. Nur aufs interne Netz ging es nicht.

@crunchip sagte in Tut-OpenVPN Server im Container unter Proxmox:

@lemuba sagte in Tut-OpenVPN Server im Container unter Proxmox:

Diese Videoanleitung hatte ich auch schon durch.

welche war das?

vllt hilft das hier
https://administrator.de/wissen/openvpn-server-installieren-pfsense-firewall-mikrotik-dd-wrt-gl-inet-router-123285.html#toc-17

und dieser Link brachte mich dann zur den push-Routen und der IPv4-Route.

Ist schon sehr merkwürdig.

H4lunkE

@lemuba

danke für das Tut

Ich kann leider in meinem Proxmox (6.2-11) kein turnkey-openvpn Template finden.
Kann ich das irgendwo runterladen?

FredF

@H4lunkE sagte in Tut-OpenVPN Server im Container unter Proxmox:

Kann ich das irgendwo runterladen?

Ja: