Nachtrag eines Users: Vor kurzem wurde die neuste Version des OpenVPN Plugins – Version 4.0.4 – veröffentlicht, in der der Schritt “Schritt 5: Fehler per SSH beheben” nicht mehr ausgeführt werden muss. Das war ein Fehler und wurde scheinbar behoben. Danke dafür lieber Philipp. 🙂
Wer unter openmediavault zusätzlich zu seinem vorhandenen Netzlaufwerk mit einer Erweiterung versucht, einen OpenVPN-Server einzurichten wird unter openmediavault 4.1.15-1 und co. sowie OpenVPN 4.0.1 schnell an seine Grenzen stoßen. Dabei soll die Einrichtung eines eigenen VPNs über diese Erweiterung so leicht wie möglich gemacht werden. Ein simpler Konfigurationsfehler im Plugin verhindert das einrichten. Hier wird euch in 6 einfachen Schritten gezeigt, wie man diesen Fehler behebt.
Schritt 1: OpenVPN installieren
Ist openmediavault zum Beispiel auf einem RaspberryPi am laufen, braucht man das Plugin in den “Erweiterungen” nur per einem Klick zu installieren.
Schritt 2: Netzwerkschnittstelle einrichten
Im Menüpunkt “Netzwerk” muss einfach eine neue Ethernet-Schnittstelle eingerichtet werden. Beim Raspberry Pi ist auch nur ein Ethernet-Anschluss auszuwählen. Am besten funktioniert OpenVPN, wenn eine statische IPv4- oder IPv6-Verbindung eingrichtet wird. Dazu muss im Routermenü lediglich die eigene Netzwerkmaske (oft 255.255.255.0), die IP-Adresse des Raspberrys (z.B. 192.168.1.13) und die IP-Adresse des Routers bzw. Gateways (also z.B. 192.168.1.1) herausgefunden und in die neue Kabelnetzverbindung eingetragen werden. Die lokale IP für den Pi muss dann auch im Router festgelegt werden. Mehr ist hier nicht zu tun. Natürlich geht das auch mit einer Drahtlosverbindung.
Schritt 3: OpenVPN vorkonfigurieren
Ist OpenVPN einmal installiert, findet sich links im Menü auch der entsprechende Eintrag. Hier muss nun OpenVPN aktiviert werden und dann würde ich folgende Optimalkonfiguration verwenden:
Port: 1194 Protokoll: UDP Komprimierung: Ja PAM: Ja -> sorgt dafür dass der VPN nocheinmal zusätzlich mit einem Benutzernamen und einem Passwort (das vorher unter "Benutzer" angelegt wurde) gesichert wird. Adresse: 10.8.0.0 Maske: 255.255.255.0 Gatewayinterface: Die zuvor erstellte Netzwerkschnittstelle auswählen Öffentliche Adresse: Hier muss die öffentliche IP-Adresse oder DynDNS-Domain eures Internetanschlusses hinein. (z.B. 95.102.30.18 oder meinvpn.no-ip.de)
Das ganze wird dann gespeichert.
Schritt 4: Portfreigabe
Damit euer VPN dann auch von außerhalb erreichbar ist, muss der zuvor festgelegte Port (1194) im Router freigegeben werden. (siehe Beispielkonfiguration)
Schritt 5: Fehler per SSH beheben
Um entsprechende Anpassungen zu machen, gebt eurem “Benutzer” auch SSH-Zugriff, damit ihr euch mit seinen Daten via SSH einloggen könnt. Auf den SSH-Server des openmediavault kommt man zwar theoretisch auch per Kommandozeile, leider jedoch macht das manchmal Probleme, weswegen ich die kostenlose Software “Putty” empfehle. Wichtig ist auch, dass SSH in openmediavault aktiviert worden ist.
Hier nun einfach die lokale IP-Adresse des Raspberrys eingeben und mit den entsprechenden Nutzerdaten anmelden.
Ist man angemeldet, sieht man erstmal in etwa das:
Nun gehen wir mit dem Befehl “cd etc/openvpn
” in das entsprechende Verzeichnis. Danach kann man mit dem Befehl “nano server.conf
” die Konfigurationsdatei von OpenVPN bearbeiten. Sollte es nicht direkt so aussehen wie im Bild unten, einfach einmal die Eingabetaste drücken.
Dort sieht man nun zwei Zeilen, die scheinbar zusammen gehören. Wir machen also aus den zwei Zeilen eine, entfernen dabei aber folgenden Teil “169.254.0.0 192.168.1.0” und ersetzen ihn durch “10.8.0.0“. Bei entsprechend anders festgelegter Adresse kommt diese natürlich dann dort hin.
Danach mit Strg-X und der Taste Y und der Enter-Taste aus dem Programm raus gehen. Putty kann jetzt geschlossen werden, wir sind hier fertig.
Nun muss openmediavault einmal über das Webinterface neu gestartet werden.
Wichtig ist jetzt: Damit diese Konfiguration so bleibt, dürfen im Webinterface keinerlei Einstellungen mehr im “OpenVPN”-Unterpunkt geschehen. Sonst müsste man den Schritt mit dem Putty-Tool wiederholen. Lediglich Nutzer können weiterhin angelegt oder gelöscht werden.
Schritt 6: Nutzer anlegen und VPN am PC oder Handy einrichten
Damit man sich nun mit seinem VPN verbinden kann, muss ein Nutzer erstellt werden. Dieser bekommt dann ein Zertifikat, dass auf das entsprechende Gerät geladen werden muss. Dies sollte am besten verschlüsselt (z.B. mit Encrypto) passieren. So wird sichergestellt, dass sich niemand fremdes mit dem VPN verbinden kann, da jedes Gerät dann ein einzigartiges Zertifikat bekommt.
Unter Windows gibt es dann das OpenVPN-Client Programm, in das man sein Zertifikat einbinden kann.
Unter macOS gibt es das auch, hier würde ich aber Tunnelblick bevorzugen.
Für Android gibt es die offizielle OpenVPN App.
Unter iOS gibt es die offizielle App “OpenVPN Connect“.
Damit OpenVPN auch so sicher sein kann wie es ist, muss das generierte Zertifikat, genauer gesagt die “.ovpn”-Datei, in die jeweilige Client-Software eingebunden werden. Schon sollte man sich bei korrekter Konfiguration mit seinem VPN verbinden können. Wichtig: Jedes Zertifikat kann nur einmal verwendet werden!
Nun kann man selbst im Ausland auf Webseiten zugreifen, wie man es vom VPN-Standort gewohnt ist. Desweiteren kann man so auch von außerhalb wie gewohnt auf sein Heimnetzwerk und somit auf seine Netzwerkfestplatten zugreifen.
Sollten nun noch fragen offen sein, kann man diese gern hier in den Kommentaren oder per Kontaktformular stellen. 🙂 Viel Spaß!
Hey, ich versuche seit tagen verzweifelt eine Verbindung zu bekommen. Meine Server.conf sieht genau so aus wie die hier!
Was kanns noch sein?
Ich verwende einen Ordoid HC2 mit ARMBIAN 5.73
Hey Mawa, kannst du uns einmal deine Konfigurationsdatei schicken? Achte unbedingt auf diesen Teil der Anleitung:
1. Leider konnte kein neue Eth Schnittstelle hinzufügt werden.
2. das cd etc/openvpn Verzeichnis kennt OMV nicht
was kann ich tun. Ich verbindun mehr mehr Filezilla auf den Raspberry via root aber das Das Verzeichnis gibt es nicht.
Ist zwar spät aber wen du oder jemand anderer das noch brauch:
cd /etc/openvpn
nennt sich bei mir server. conf….
Hi,
bei mir gibt es dann folgenden Error:
Failed to execute command ‘export PATH=/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin; export LANG=C.UTF-8; omv-mkconf openvpn setup 2>&1’ with exit code ‘2’: Bad argument `10.20.0.30′ Try `iptables -h’ or ‘iptables –help’ for more information.
Weiß jemand, was man dort tun muss?
Hey Jonas,
eine andere Version von openmediavault könnte dein Problem vielleicht lösen.
Hi,
Danke für deine Antwort 😉
Ich werde das ganze System mal updaten.
Viele Grüße
Hallo,
mich würde mal interessieren, ob sich mehrere Clienten zeitgleich mit dem OpenVPN Server verbinden können oder immer nur eine Verbindung etabliert werden kann und zeitgleich keine weitere.
Danke!
Hallo Mathias,
vielen Dank für deinen Kommentar! 🙂
Ja, prinzipiell ist das möglich. Dafür musst du aber ein neues Zertifikat/Key einrichten, da OpenVPN standardmäßig nur ein Device pro Zertifikat zulässt. Wenn du
duplicate-cn
in der Serverkonfiguration hinzufügst, können aber auch mehrere Clienten mit demselben Zertifikat eine Verbindung aufbauen. Ich hoffe ich konnte dir damit weiterhelfen.Beste Grüße
Max
Hallo Zusammen,
ich weiß nicht, ob die Seite hier noch aktiv ist, aber ich probiere es mal.
Ich habe alles genau nach dieser Anleitung gemacht und bei meiner Fritzbox auch eine Portfreigabe durchgeführt und meine dyndns (bei dynv6 erstellt) eingepflegt und freigegeben.
Leider funktioniert meine ovpn Verbindung nicht… es kommt nur die Meldung “waiting for server”.
Hat jemand zufällig eine Idee, woran das noch liegen kann?
Wäre echt toll, wenn jemand einen Tipp hätte!!
Hilflose Grüße
Theresa
Hallo Theresa,
ja, es finden immer noch viele Nutzer auf meine Seite, aber ich bin zugegebenermaßen derzeit nicht all zu aktiv. 😉
Hast du denn vielleicht schonmal probiert ob du im lokalen Netzwerk eine Verbindung zu deinem VPN-Server herstellen kannst? Was mir sonst auch noch einfällt ist, dass man bei Vodafone eigentlich keine Chance mehr hat Portfreigaben als Privatkunde durchzuführen. Bei mir funktioniert das ganze auch nicht mehr. Wenn du also Vodafone-Kunde sein solltest, hat sich das zumindest auf diesem Wege erledigt.
Hoffnungsvolle Grüße
Max