Ihr Standort: Ihre IP: Ihr Status:GeschütztUngeschützt · Zu den Tests »

OpenVPN auf einem Router mit OpenWRT

Ssh-Terminal (PuTTY) | OpenVPN auf einem Router mit OpenWRT

Installation

Laden Sie zuerst das oben verlinkte Archiv mit den OpenVPN-Konfigurationsdateien herunter und entpacken es. Öffnen Sie das Programm PuTTY oder ein anderes Terminal-Programm und melden Sie sich auf dem Router an. Führen Sie folgende Kommandos nacheinander aus: opkg update und opkg install openvpn-openssl luci-app-openvpn kmod-ipt-nat6

Optional: Script für IPv6 anlegen

Achtung: Wenn Sie vorhaben später mehrere OpenVPN Verbindungen zu nutzen, dann überspringen Sie diesen Schritt, da das Script bisher nur mit einem OpenVPN Client funktioniert.
Das Script dient später dazu eine IPv6-Präfix vom VPN-Server anzufordern.

cat << EOF > /etc/firewall.nat6
iptables-save -t nat \
| sed -e "/\s[DS]NAT\s/d" \
| ip6tables-restore -T nat
EOF

Kopieren Sie das obige Kommando zur Erstellung des Scripts und die folgenden Kommandos jeweils nacheinander und fügen sie im Terminal ein, veranlassen Sie dann jeweils die Ausführung des Kommandos mit der Enter-Taste.

uci -q delete firewall.nat6
uci set firewall.nat6="include"
uci set firewall.nat6.path="/etc/firewall.nat6"
uci set firewall.nat6.reload="1"
uci commit firewall
service firewall restart

WinSCP Verbindungsaufbau | OpenVPN auf einem Router mit OpenWRT

OpenVPN-Konfigurationen auf den Router kopieren

Übertragen Sie die gewählte OpenVPN-Konfigurationsdatei (z.B. mit dem Programm WinSCP) in das Verzeichnis /etc/openvpn/ des OpenWRT-Routers. In diesem Beispiel (für die VPN-Server in Amsterdam) ist die zu übertragende Datei Amsterdam.ovpn.

WinSCP Eigenschaften der Datei | OpenVPN auf einem Router mit OpenWRT

Konfiguration anpassen

Erstellen Sie anschließend mit Hilfe von WinSCP (alternativ können diese Schritte natürlich auch im SSH-Terminal durchgeführt werden) die Datei userpass.txt im /etc/openvpn/ Verzeichnis. Tragen Sie in der ersten Zeile den Perfect Privacy Benutzernamen und in der zweiten Zeile das Perfect Privacy Passwort ein.

Erstellen Sie im gleichen Verzeichnis die Datei up.sh mit den folgenden Zeilen als Inhalt

#!/bin/sh
env | sed -n -e "
/^foreign_option_.*=dhcp-option.*DNS/s//nameserver/p
/^foreign_option_.*=dhcp-option.*DOMAIN/s//domain/p
" | sort -u > /tmp/resolv.conf.vpn
uci set dhcp.@dnsmasq[0].resolvfile="/tmp/resolv.conf.vpn"
/etc/init.d/dnsmasq restart

und die Datei down.sh mit dem Inhalt

#!/bin/sh
uci set dhcp.@dnsmasq[0].resolvfile="/tmp/resolv.conf.auto"
/etc/init.d/dnsmasq restart

Öffnen Sie die Eigenschaften von den Dateien userpass.txt, up.sh und down.sh und setzen die Rechte auf 755.

Öffnen Sie mit WinSCP die Datei openvpn im /etc/config/ Ordner. Löschen Sie den Inhalt der Datei und fügen stattdessen folgende Zeilen ein:

config openvpn 'PP_Amsterdam'
option config '/etc/openvpn/Amsterdam.ovpn'
Speichern Sie die Datei ab. Unter /var/log/openvpn.log können Sie später jederzeit das Log einsehen, falls irgendwelche Probleme bei einer OpenVPN Verbindung auftreten sollten.

WAN Schnittstelle: DNS-Server konfigurieren | OpenVPN auf einem Router mit OpenWRT

DNS-Server konfigurieren

Loggen Sie sich auf ihrem OpenWRT-Router über einen Browser ein (192.168.1.1). Wechseln Sie zum Network=>Interfaces=>WAN=>Edit=>Advanced Settings Tab und deaktivieren Sie Use DNS servers advertised by peer. Tragen Sie unter Use custom DNS servers mindestens zwei öffentliche IPv4 DNS-Server (z.B. 8.8.8.8 und 8.8.4.4) ein und klicken Sie auf den Button Save.

WAN6 Schnittstelle: DNS-Server konfigurieren | OpenVPN auf einem Router mit OpenWRT

Machen Sie das gleiche im WAN6 Tab und tragen Sie auch dort mindestens zwei IPv6 DNS Server ein. Klicken Sie anschließend auf Save & Apply Button. Sie können entweder die DNS-Server von Google benutzen (IPv4: 8.8.8.8 und 8.8.4.4 IPv6: 2001:4860:4860::8888 und 2001:4860:4860::8844) oder welche vom OpenNIC-Projekt.

Hinweis: Wenn Sie möchten, können Sie auch Perfect-Privacy-Nameserver einsetzen (zu finden auf der DNS-Server-Seite im Kunden-Bereich). Beachten Sie aber, dass diese ohne VPN-Verbindung nur Perfect-Privacy-Domains auflösen, was bedeutet, dass der Internetzugang nur mit bestehender VPN-Verbindung funktioniert. Allerdings besteht kein DNS-Leak wenn man öffentliche DNS-Server benutzt, da DNS-Anfragen bei bestehender VPN-Verbindung immer anonymisiert über den verschlüsselten VPN-Tunnel gesendet werden, solange das VPN verbunden ist.

Schnittstelle für VPN anlegen | OpenVPN auf einem Router mit OpenWRT

Firewall-Konfiguration

Gehen Sie zum Menü Network=>Interfaces und klicken Sie auf Add new interface….

  • Name of the new interface: PP_VPN
  • Protocol of the new interface: Unmanaged
  • Cover the following interface: Custom Interface: tun0

Mit dem Submit Button die Einstellungen übernehmen.

Eigenschaften der VPN Schnittstelle | OpenVPN auf einem Router mit OpenWRT

Wechseln Sie im neu erstellten Interface zum Tab Advanced Settings und aktivieren:

  • Bring up on boot
  • Use builtin IPv6-management

Mit dem Save Button die Einstellungen übernehmen.

Firewall für VPN Schnittstelle anlegen | OpenVPN auf einem Router mit OpenWRT

Navigieren Sie danach zum Tab Firewall Settings. Öffnen Sie die Auswahl neben Create / Assign firewall-zone, wählen Sie create aus und tippen dahinter PP_Firewall ein. Mit dem Save & Apply Button die Einstellungen übernehmen und anwenden.

Einstellungen der Firewall | OpenVPN auf einem Router mit OpenWRT

Wechseln Sie anschließend zu Network=>Firewall und klicken rechts neben PP_Firewall auf Edit. Passen Sie folgendes an:

  • Name: PP_Firewall
  • Input: reject
  • Output: accept
  • Forward: reject
  • Masquerading: aktivieren
  • MSS clamping: aktivieren
  • Covered networks: PP_VPN

Unter Inter-Zone Forwarding folgendes auswählen:

  • Allow forward from source zones: lan aktivieren

Mit dem Save Button die Einstellungen übernehmen.

OpenVPN aktivieren | OpenVPN auf einem Router mit OpenWRT

OpenVPN aktivieren

Gehen Sie zum Menü Services=>OpenVPN und setzen Sie ein Häkchen bei Enabled. Klicken Sie anschließend auf den Button Save & Apply und starten Sie PP_Amsterdam1 mit dem Button start.

Optional Kill-Switch aktivieren | OpenVPN auf einem Router mit OpenWRT

Optional: Kill-Switch aktivieren

Achtung: Dieser Schritt aktiviert den Firewall-Schutz ("Kill-Switch“), der dafür sorgt, dass bei unterbrochener Internetverbindung kein Traffic mehr ins Internet geschickt wird. Wenn Sie über Ihren Router auf das Internet auch ohne VPN zugreifen möchten, müssen Sie diesen Schritt überspringen.

Navigieren Sie zu Network=>Firewall und öffnen Sie unter Zones lan mit dem Button Edit.

Kill-Switch aktivieren/deaktivieren | OpenVPN auf einem Router mit OpenWRT

Scrollen Sie nach unten zum Punkt Inter-Zone Forwarding und aktivieren Sie neben Allow forward to destination zones nur PP_Firewall. Klicken Sie danach auf den Button Save & Apply.

Wenn Sie den Firewall-Schutz ("Kill-Switch“) wieder deaktivieren wollen, dann aktivieren Sie neben Allow forward to destination zones: PP-Firewall zusätzlich WAN und WAN6.

Check-IP | OpenVPN auf einem Router mit OpenWRT

Sie können dann prüfen, dass die VPN-Verbindung korrekt funktioniert, indem Sie auf einem beliebigen über den Router angebundenen Gerät unsere Check-IP-Webseite aufrufen.

VPN
?!
Diese Webseite verwendet Cookies zur Analyse der Zugriffe und zur Steuerung unserer Werbung. Wenn Sie diese Seite nutzen, stimmen Sie der Cookie-Nutzung zu. Mehr Informationen finden Sie in unserer Datenschutzerklärung.