Good to Know Database

Raspbian Wheezy: OpenVPN einrichten


OpenVPN ist ein Programm mit welchem ein Virtual Private Network (VPN) realisiert werden kann. Mit OpenVPN und OpenSSL ist es möglich einen verschlüsselten VPN-Tunnel zwischen zwei Systemen aufzubauen.

Im folgenden Tutorial möchte ich Ihnen zeigen wie Sie OpenVPN auf Ihrem Raspberry Pi für verschiedene Einsatzzwecke konfigurieren und die gegebenenfalls benötigten Zertifikate mit OpenSSL erstellen. Als Grundlage wird hier das Raspbian Image vom 09.02.2013 (2013-02-09-wheezy-raspbian.zip) verwendet.

Installation

Bevor Sie OpenVPN konfigurieren und einsetzen können, müssen Sie die Pakete openssl und openvpn installieren.

pi@raspberrypi ~ $ sudo apt-get update
pi@raspberrypi ~ $ sudo apt-get install openssl openvpn

Manuelle Host zu Host Verbindung

Wenn Sie temporär eine VPN-Verbindung zwischen zwei Rechnern aufbauen wollen, reicht es in der Regel wenn man den VPN-Tunnel auf der Konsole erstellt.

Mit dem folgenden Befehl wird eine unverschlüsselte VPN-Verbindung zum Rechner mit der IP-Adresse 192.168.10.2 aufgebaut. Dem Device tun0 des aktuellen Rechners wird beim Verbindungsaufbau die IP-Adresse 192.168.100.1 zugeteilt und die Gegenstelle erhält die IP-Adresse 192.168.100.2.

pi@raspberrypi ~ $ sudo openvpn --dev tun0 --remote 192.168.10.2 --ifconfig 192.168.100.1 192.168.100.2 >> openvpn.log 2>&1 &

Da im Moment die Gegenstelle noch keine Verbindung annimmt, müssen Sie den gleichen Befehl mit ein paar Änderungen auf dem zweiten System aufrufen.

georg@ubuntu1204:~$ sudo openvpn --dev tun0 --remote 192.168.10.1 --ifconfig 192.168.100.2 192.168.100.1 >> openvpn.log 2>&1 &

Auf einer Seite können Sie auch die Option --remote entfernen. Wenn Sie allerdings auf beiden Seiten keine Remoteadresse angegeben haben, kann von jeder Adresse eine VPN-Verbindung aufgebaut werden, was im Moment noch sehr riskant ist, da wir weder eine Authentifizierung der Gegenstelle noch eine Verschlüsselung des Tunnels vornehmen und sich somit jeder mit OpenVPN verbinden kann.

Wenn der VPN-Tunnel erfolgreich aufgebaut wurde, sollten Sie die folgenden Meldungen im Logfile sehen.

pi@raspberrypi ~ $ tail -f openvpn.log
Mon Mar  4 19:28:22 2013 OpenVPN 2.2.1 arm-linux-gnueabihf [SSL] [LZO2] [EPOLL] [PKCS11] [eurephia] [MH] [PF_INET6] [IPv6 payload 20110424-2 (2.2RC2)] built on Apr 28 2012
Mon Mar  4 19:28:22 2013 IMPORTANT: OpenVPN's default port number is now 1194, based on an official port number assignment by IANA.  OpenVPN 2.0-beta16 and earlier used 5000 as the default port.
Mon Mar  4 19:28:22 2013 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Mon Mar  4 19:28:22 2013 ******* WARNING *******: all encryption and authentication features disabled -- all data will be tunnelled as cleartext
Mon Mar  4 19:28:22 2013 TUN/TAP device tun0 opened
Mon Mar  4 19:28:22 2013 do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
Mon Mar  4 19:28:22 2013 /sbin/ifconfig tun0 192.168.100.1 pointopoint 192.168.100.2 mtu 1500
Mon Mar  4 19:28:22 2013 UDPv4 link local (bound): [undef]
Mon Mar  4 19:28:22 2013 UDPv4 link remote: [AF_INET]192.168.10.2:1194
Mon Mar  4 19:28:31 2013 Peer Connection Initiated with [AF_INET]192.168.10.2:1194
Mon Mar  4 19:28:31 2013 Initialization Sequence Completed

Mit dem Befehl ifconfig können Sie zusätzlich überprüfen ob das Device tun0 verfügbar ist und anschließend mit einem Ping die Verbindung überprüfen.

pi@raspberrypi ~ $ ifconfig tun0
tun0      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
          inet addr:192.168.100.1  P-t-P:192.168.100.2  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100
          RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)

pi@raspberrypi ~ $ ping -c 5 192.168.100.2
PING 192.168.100.2 (192.168.100.2) 56(84) bytes of data.
64 bytes from 192.168.100.2: icmp_req=1 ttl=64 time=1.97 ms
64 bytes from 192.168.100.2: icmp_req=2 ttl=64 time=1.05 ms
64 bytes from 192.168.100.2: icmp_req=3 ttl=64 time=1.14 ms
64 bytes from 192.168.100.2: icmp_req=4 ttl=64 time=1.13 ms
64 bytes from 192.168.100.2: icmp_req=5 ttl=64 time=1.10 ms

--- 192.168.100.2 ping statistics ---
5 packets transmitted, 5 received, 0% packet loss, time 4005ms
rtt min/avg/max/mdev = 1.056/1.282/1.972/0.348 ms

Da wir OpenVPN im Hintergrund gestartet haben, müssen Sie OpenVPN mit dem folgenden Befehl beenden und schließen somit auch den VPN-Tunnel wieder.

pi@raspberrypi ~ $ sudo killall openvpn

georg@ubuntu1204:~$ sudo killall openvpn

Wenn Sie die VPN-Verbindung verschlüsseln wollen, müssen Sie einen sogenannten statischen Schlüssel erzeugen welcher auf beiden Rechnern verfügbar sein muss. Den statischen Schlüssel erstellen Sie mit dem folgenden Befehl.

pi@raspberrypi ~ $ sudo openvpn --genkey --secret /etc/openvpn/static.key

Die soeben erstellte Datei müssen Sie jetzt über einen sicheren Weg auf den zweiten Rechner transferieren. Dazu können Sie einen USB-Stick, eine verschlüsselte E-Mail oder wie im folgenden Beispiel SCP verwenden.

pi@raspberrypi ~ $ sudo scp /etc/openvpn/static.key georg@192.168.10.2:/home/georg/

Auf dem zweiten System legen Sie jetzt den statischen Schlüssel im Verzeichnis /etc/openvpn/ ab und ändern den Eigentümer der Datei.

georg@ubuntu1204:~$ sudo mv static.key /etc/openvpn/
georg@ubuntu1204:~$ sudo chown root:root /etc/openvpn/static.key

Sobald der statische Schlüssel auf beiden Rechnern verfügbar ist, können Sie einen verschlüsselten VPN-Tunnel aufbauen. Dazu fügen Sie einfach den beiden Befehlen von oben die Option --secret und den vollständigen Pfad zur static.key an.

pi@raspberrypi ~ $ sudo openvpn --dev tun0 --remote 192.168.10.2 --ifconfig 192.168.100.1 192.168.100.2 --secret /etc/openvpn/static.key >> openvpn.log 2>&1 &

georg@ubuntu1204:~$ sudo openvpn --dev tun0 --remote 192.168.10.1 --ifconfig 192.168.100.2 192.168.100.1 --secret /etc/openvpn/static.key >> openvpn.log 2>&1 &

OpenVPN können Sie in diesem Fall ebenfalls mit dem folgenden Befehl beenden.

pi@raspberrypi ~ $ sudo killall openvpn

georg@ubuntu1204:~$ sudo killall openvpn

Host zu Host Verbindung mit dem OpenVPN-Daemon

Eine weitere Variante zwei Rechner mit OpenVPN zu verbinden besteht darin die Einstellungen in einer Konfigurationsdatei zu speichern und den OpenVPN-Daemon für den Verbindungsaufbau zu verwenden.

Zuerst wird hier der VPN-Client mit der IP-Adresse 192.168.10.1 konfiguriert. Erstellen Sie auf diesem Rechner die Datei /etc/openvpn/server.conf.

pi@raspberrypi ~ $ sudo vi /etc/openvpn/server.conf

In diese Datei fügen Sie jetzt die folgenden Zeilen ein.

dev tun0
remote 192.168.10.2
ifconfig 192.168.100.1 192.168.100.2
secret static.key

Wie Sie sehen werden nur die bereits aus dem vorhergehenden Abschnitt bekannten Optionen eingetragen.

Auf dem zweiten VPN-Client mit der IP-Adresse 192.168.10.2 erstellen Sie ebenfalls die Datei /etc/openvpn/server.conf.

georg@ubuntu1204:~$ sudo vi /etc/openvpn/server.conf

Auch hier kommen keine neuen Optionen hinzu.

dev tun0
remote 192.168.10.1
ifconfig 192.168.100.2 192.168.100.1
secret static.key

Sollten Sie noch keinen statischen Schlüssel erstellt und auf beiden Systemen unter /etc/openvpn/static.key hinterlegt haben, erstellen Sie diesen wie im vorherigen Abschnitt beschrieben und hinterlegen ihn auf beiden Systemen.

Der OpenVPN-Daemon wird anschließend wie folgt auf beiden Systemen gestartet.

pi@raspberrypi ~ $ sudo /etc/init.d/openvpn start

georg@ubuntu1204:~$ sudo /etc/init.d/openvpn start

Sobald auf beiden Systemen der OpenVPN-Daemon gestartet wurde, wird ein VPN-Tunnel aufgebaut. Sollte dies nicht der Fall sein, überprüfen Sie die Meldungen im Logfile /var/log/messages.

pi@raspberrypi ~ $ tail -f /var/log/syslog

georg@ubuntu1204:~$ tail -f /var/log/syslog

Um den VPN-Tunnel zu trennen, müssen Sie nur den OpenVPN-Daemon stoppen.

pi@raspberrypi ~ $ sudo /etc/init.d/openvpn stop

georg@ubuntu1204:~$ sudo /etc/init.d/openvpn stop

OpenVPN-Server für mehrere Clients

Wenn Sie von mehreren Clients eine Verbindung zu einem OpenVPN-Server aufbauen wollen, kommen Sie mit den bisher genannten Methoden nicht sehr weit. In diesem Fall müssen Sie die Authentifizierung und Verschlüsselung mit Zertifikaten durchführen.

In diesem Abschnitt soll ein OpenVPN-Server (192.168.10.1) konfiguriert werden, welcher im Internet unter der Adresse vpn-server.dyndns.org erreichbar ist, und ein VPN-Client welcher sich über das Internet mit dem VPN-Server verbinden kann und anschließend Zugriff auf das interne Netzwerk 192.168.10.0/24 hat.

Bevor Sie die Zertifikate generieren, erstellen Sie die folgenden OpenSSL-Verzeichnisse und wechseln nach /etc/ssl.

pi@raspberrypi ~ $ sudo mkdir -p /etc/ssl/openvpn/private /etc/ssl/openvpn/certs
pi@raspberrypi ~ $ cd /etc/ssl/openvpn/

Zuerst erstellen Sie mit dem folgenden Befehl einen Certificate Authority (CA) Schlüssel. Während des Vorgangs müssen Sie ein Passwort vergeben welches Sie im weiteren Verlauf noch öfters benötigen. Des Weiteren wird dieses Passwort auch benötigt um ein abgelaufenes Zertifikat zu erneuern oder kompromittierte Zertifikate zu sperren.

pi@raspberrypi /etc/ssl/openvpn $ sudo openssl genrsa -aes256 -out private/vpn-cakey.pem 2048
Generating RSA private key, 2048 bit long modulus
..........................................................................................+++
..............+++
e is 65537 (0x10001)
Enter pass phrase for private/vpn-cakey.pem:StrengGeheim
Verifying - Enter pass phrase for private/vpn-cakey.pem:StrengGeheim

Nachdem der CA-Schlüssel erstellt wurde, wird die Certificate Authority erzeugt. Mit dem Parameter -days wird angegeben wie lange der Schlüssel gültig sein soll (hier 10 Jahre). Sie müssen nun das zuvor verwendete Passwort eingeben und anschließend einige Fragen beantworten.

pi@raspberrypi /etc/ssl/openvpn $ sudo openssl req -new -x509 -days 3650 -key private/vpn-cakey.pem -out vpn-ca.pem -set_serial 1
Enter pass phrase for private/vpn-cakey.pem:StrengGeheim
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:DE
State or Province Name (full name) [Some-State]:Bayern
Locality Name (eg, city) []:Woerth an der Donau
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Privat
Organizational Unit Name (eg, section) []:IT
Common Name (e.g. server FQDN or YOUR name) []:VPN
Email Address []:pi@localhost

Damit die Nummerierung der Zertifikate automatisch erfolgt, erstellen Sie die folgende Datei.

pi@raspberrypi /etc/ssl/openvpn $ sudo su -c 'echo 01 > serial'

Jetzt erzeugen Sie einen Certificate Signing Request (CSR) für den Server. Dazu müssen wieder einige Fragen beantwortet werden.

pi@raspberrypi /etc/ssl/openvpn $ sudo openssl req -new -newkey rsa:1024 -out certs/servercsr.pem -nodes -keyout private/serverkey.pem -days 3650
Generating a 1024 bit RSA private key
...............................++++++
.++++++
writing new private key to 'private/serverkey.pem'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:DE
State or Province Name (full name) [Some-State]:Bayern
Locality Name (eg, city) []:Woerth an der Donau
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Privat
Organizational Unit Name (eg, section) []:IT
Common Name (e.g. server FQDN or YOUR name) []:VPN_SERVER
Email Address []:pi@localhost

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:

Sobald der CSR erstellt wurde, wird das Server-Zertifikat generiert. Hierbei müssen Sie nur das Passwort des CA-Schlüssels eingeben.

pi@raspberrypi /etc/ssl/openvpn $ sudo openssl x509 -req -in certs/servercsr.pem -out certs/servercert.pem -CA vpn-ca.pem -CAkey private/vpn-cakey.pem -CAserial serial -days 3650
Signature ok
subject=/C=DE/ST=Bayern/L=Woerth an der Donau/O=Privat/OU=IT/CN=VPN_SERVER/emailAddress=pi@localhost
Getting CA Private Key
Enter pass phrase for private/vpn-cakey.pem:StrengGeheim

Nachdem das Server-Zertifikat erzeugt wurde, müssen Sie noch für jeden OpenVPN-Client ein Client-Zertifikat erstellen. Dazu wird zuerst ein Certificate Signing Request (CSR) für den ersten Client erzeugt. Wie beim Server-CSR müssen Sie auch hier wieder einige Fragen beantworten..

pi@raspberrypi /etc/ssl/openvpn $ sudo openssl req -new -newkey rsa:1024 -out certs/client1csr.pem -nodes -keyout private/client1key.pem -days 3650
Generating a 1024 bit RSA private key
........................++++++
.................++++++
writing new private key to 'private/client1key.pem'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:DE
State or Province Name (full name) [Some-State]:Bayern
Locality Name (eg, city) []:Woerth an der Donau
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Privat
Organizational Unit Name (eg, section) []:IT
Common Name (e.g. server FQDN or YOUR name) []:VPN_CLIENT1
Email Address []:pi@localhost

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:

Ist der Client Certificate Signing Request erzeugt worden, folgt die Generierung des Client-Zertifikats. Auch hier müssen Sie nur das Passwort des CA-Schlüssels eingeben.

pi@raspberrypi /etc/ssl/openvpn $ sudo openssl x509 -req -in certs/client1csr.pem -out certs/client1cert.pem -CA vpn-ca.pem -CAkey private/vpn-cakey.pem -CAserial serial -days 3650
Signature ok
subject=/C=DE/ST=Bayern/L=Woerth an der Donau/O=Privat/OU=IT/CN=VPN_CLIENT1/emailAddress=pi@localhost
Getting CA Private Key
Enter pass phrase for private/vpn-cakey.pem:StrengGeheim

Wenn Sie mehrere OpenVPN-Clients einsetzen, müssen Sie die beiden Schritte für den Certificate Signing Request und für das Client-Zertifikat mehrmals wiederholen.

Nachdem Sie die Zertifikate für den Server und die Clients erstellt haben, müssen Sie noch die Diffie-Hellman-Parameter für den VPN-Server erstellen, welche für den Austausch der Schlüssel über eine ungesicherte Verbindung benötigt werden. Dieser Vorgang kann je nach Systemleistung einige Sekunden bis ein paar Minuten dauern.

pi@raspberrypi /etc/ssl/openvpn $ sudo openssl dhparam -out dh1024.pem 1024
Generating DH parameters, 1024 bit long safe prime, generator 2
This is going to take a long time
......................................................+.......+.......
[...]

Nachdem Sie alle Zertifikate und die Diffie-Hellman-Parameter erstellt haben, kopieren Sie die Server-Zertifikate in das OpenVPN-Verzeichnis.

pi@raspberrypi /etc/ssl/openvpn $ sudo cp vpn-ca.pem certs/servercert.pem private/serverkey.pem dh1024.pem /etc/openvpn/

Die Client-Zertifikate sollten Sie auch hier wieder über einen sicheren Transportweg auf die Clients kopieren. Mit dem folgenden Befehl werden die benötigten Client-Zertifikate mit SCP auf den Client kopiert.

pi@raspberrypi /etc/ssl/openvpn $ sudo scp vpn-ca.pem certs/client1cert.pem private/client1key.pem georg@192.168.10.2:/home/georg/

Auf dem zweiten System verschieben Sie jetzt die drei Dateien ins Verzeichnis /etc/openvpn/ und ändern den Eigentümer der Dateien

georg@ubuntu1204:~$ sudo mv vpn-ca.pem client1cert.pem client1key.pem /etc/openvpn/
georg@ubuntu1204:~$ sudo chown root:root /etc/openvpn/vpn-ca.pem /etc/openvpn/client1cert.pem /etc/openvpn/client1key.pem

Sobald die Zertifikate in die OpenVPN-Verzeichnisse kopiert wurden, müssen Sie noch die Konfigurationsdateien erstellen. Zuerst erstellen Sie die Konfigurationsdatei für den OpenVPN-Server.

pi@raspberrypi ~ $ sudo vi /etc/openvpn/server.conf

Die Konfigurationsdatei sollte wie folgt aufgebaut sein.

dev tun
ca /etc/openvpn/vpn-ca.pem
cert /etc/openvpn/servercert.pem
key /etc/openvpn/serverkey.pem
dh /etc/openvpn/dh1024.pem
server 192.168.100.0 255.255.255.0
push "route 192.168.10.0 255.255.255.0"
keepalive 10 120
auth SHA1
cipher AES-256-CBC
verb 3

Die Option dev gibt an welches virtuelle Netzwerkgerät verwendet werden soll. Die nächsten Optionen geben die Zertifikate und die Diffie-Hellman-Parameter an. Danach folgt die Option server mit welcher Sie das Netzwerk und die Subnetmask für OpenVPN angeben.
Mit push wird hier eine Route auf dem VPN-Client eingetragen sobald dieser eine Verbindung zum VPN-Server aufgebaut hat. Damit ist es möglich bei aktiviertem IP-Forwarding auf das Netzwerk des Servers zugreifen zu können.
Die beiden Werte der Option keepalive geben an, in welchem Intervall ein Ping an die Gegenstelle gesendet werden soll und nach welcher Zeit ohne Antwort der Verbindungspartner nicht mehr verfügbar ist.
Die Optionen auth und cipher legen fest mit welchem Algorithmus die Authentifizierung und die Verschlüsselung erfolgen. Der Wert hinter verb gibt den Level der Debug-Meldungen an. In den meisten Fällen reicht der Level 3 aus um genügend Statusinformationen vom OpenVPN-Daemon zu erhalten. Sobald OpenVPN zu Ihrer Zufriedenheit läuft, können Sie diesen Wert auch auf 0 setzen und somit nur noch die kritische Fehler im Logfile loggen.

Nachdem Sie die Server-Konfiguration abgeschlossen haben, erstellen Sie die Konfiguration auf den Client-Systemen.

georg@ubuntu1204:~$ sudo vi /etc/openvpn/server.conf

Ihre Client-Konfiguration sollte wie folgt aussehen.

client
float
dev tun
remote vpn-server.dyndns.org 1194
ca /etc/openvpn/vpn-ca.pem
cert /etc/openvpn/client1cert.pem
key /etc/openvpn/client1key.pem
auth SHA1
cipher AES-256-CBC
verb 3

Da sich hier bereits bekannte Optionen wiederfinden, werde ich nur die neuen Optionen kurz erläutern. Die Option client gibt an das sich der OpenVPN-Daemon im Client-Modus befindet und Konfigurationen vom Server annimmt.
Mit der Option float ist es möglich, dass sich die IP-Adresse des OpenVPN-Servers ändert ohne das die Verbindung abbricht. Dies ist zum Beispiel dann der Fall wenn der OpenVPN-Server seine IP-Adresse von einem DHCP-Server erhält oder die Verbindung über eine Internetverbindung ohne feste IP-Adresse läuft. Sobald sich die IP-Adresse ändert und Pakete von der neuen Adresse ankommen welche alle Authentifizierungsüberprüfungen bestehen, übernimmt die neue Adresse die Kontrolle über die VPN-Verbindung.
Die Option remote gibt die Adresse und den Port des OpenVPN-Server an.

Wie bereits erwähnt, wird mit dem folgenden Eintrag in der Konfigurationsdatei des OpenVPN-Servers eine Route auf dem Client eingetragen sobald dieser eine Verbindung aufgebaut hat.

push "route 192.168.10.0 255.255.255.0"

Dies reicht allerdings noch nicht aus um auf ein System im Netzwerk des OpenVPN-Servers zugreifen zu können. Dazu müssen Sie auf dem Server das IP-Forwarding aktivieren und den einzelnen Clients im Netzwerk den OpenVPN-Server als Gateway bekannt machen.

Das IP-Forwarding können Sie mit dem folgenden Befehl temporär aktivieren.

pi@raspberrypi ~ $ sudo sysctl -w net.ipv4.ip_forward=1
net.ipv4.ip_forward = 1

Wenn Sie das IP-Forwarding dauerhaft aktivieren wollen, setzen Sie in der Datei /etc/sysctl.conf zusätzlich den Wert der folgenden Option auf 1.

net.ipv4.ip_forward = 0

Jetzt können Sie bereits vom VPN-Client aus Pakete an einen Rechner im Netzwerk 192.168.10.0/24 senden, erhalten aber keine Antwort. Das liegt daran das die Pakte zwar am Ziel ankommen aber kein Weg zurück zu Ihrem VPN-Client bekannt ist. Aus diesem Grund müssen Sie auf den Clients im Netzwerk 192.168.10.0/24 noch den OpenVPN-Server als Gateway für alle Anfragen aus dem Netzwerk 192.168.100.0/24 angeben.

georg@ubuntu1204:~$ sudo route add -net 192.168.100.0 netmask 255.255.255.0 gw 192.168.10.1

Sobald die Konfiguration des Servers und der Clients abgeschlossen ist, können Sie die OpenVPN-Daemons starten.

pi@raspberrypi ~ $ sudo /etc/init.d/openvpn start

georg@ubuntu1204:~$ sudo /etc/init.d/openvpn start

Sollte es Probleme beim Aufbau der VPN-Tunnel geben, überprüfen Sie die Log-Meldungen.

pi@raspberrypi ~ $ tail -f /var/log/syslog

georg@ubuntu1204:~$ tail -f /var/log/syslog

Hinweis: Wenn Sie einen OpenVPN-Tunnel mit Zertifikaten absichern, müssen Sie sicherstellen, dass auf den einzelnen Rechnern die Systemzeit übereinstimmt. Am Besten lösen Sie dieses Problem, indem Sie auf den VPN-Systemen das Network Time Protocol (NTP) einsetzen.


Dieser Eintrag wurde am 06.03.2013 erstellt und zuletzt am 25.09.2016 bearbeitet.

Direkter Link zu dieser Seite: http://www.gtkdb.de/index_36_2127.html

[ Zur Startseite ]   [ Zur Kategorie ]


Valid XHTML 1.0 Transitional Valid CSS Valid Atom 1.0

© 2004-2018 by Georg Kainzbauer