VPN-Hotspot gegen VDS

[CroneKorkN]

Hallo,

ich möchte einen Hotspot einrichten, der allen Verkehr durch meinen Server Tunnelt, so dass die Telekom nicht mitlesen kann.

Mein gescheiterter Versuch:
Ich habe ein Freetz für meine Fritzbox kompiliert. Leider ist es mir nicht gelungen OpenVPN einzurichten. Die Konfiguration war unfassbar umständlich. Try&Error war kaum möglich, da ich jedes mal per telnet eine neue Datei hochladen und die Fritzbox neustarten musste, um etwas an der Konfig zu ändern.

Mein neuer Ansatz: DD-WRT
Billigen TP-Link Router aus der DD-WRT-Datenbank kaufen und DD-WRT installieren. Darin sollte OpenVPN erfolgreich einzurichten sein.

Proof of Concept
Hat das schonmal jemand erfolgreich umgesetzt?

Habe hier gelesen, die Router wären zu langsam, um den Datenverkehr zu entschlüsseln und das würde die Bandbreite stark limitieren. Ist dem so? Was tut man dagegen?

MfG,
ckn

 

[ynbl]

Was hast du denn fuer eine Anbindung? Das ist wichtig fuer den "zu schwach fuer den Datenverkehr"-Aspekt.

 

[CroneKorkN]

Habe VDSL100, also 100 Mbit hoch, 40 MBit runter.

Allerdings schaffe ich zu meinem Server bei Hetzner immer nur 6 bis 10 MBit, obwohl der mit 1000 Mbit angebunden ist, 100 Mbit garantiert sind und ich per jdownloader auch 500 bis 1000 Mbit erreiche. Meine Telekom-Leitung kann ich per Steam-Download oder jdownloader auch Problemlos auslasten. Nur von Zuhause auf den Server ist Mist.

(edit: Habe dazu ein Thema erstellt: https://ngb.to/threads/23661-Root-Server-langsame-Downloads)

Dass ich über das VPN nie wirklich schnell untwerwegs sein werde, dachte ich mir schon. Es soll halt beim Surfen und Videos schauen nicht negativ auffallen.

 

[ynbl]

Da wirst du mit der von dir vorgeschlagenen Hardware nicht gluecklich werden. Die CPU da drin ist viel zu schwach fuer VPN-Traffic in der Groessenordnung. Da wuerde ich eher zu irgendwas in Richtung pcengines.ch APU1D4 tendieren. Das ist halt signifikant teurer.

 

[CroneKorkN]

Hältst du 10 MBit mit dem TP-Link für realistisch?

 

[virtus]

@ynbl: Nein, seine Anbindung ist, bezogen auf seine Frage, unabhängig von seiner Internetanbindung.
Die Frage ist, welchen Datendurchsatz die Fritzbox packt, wenn sie einen OpenVPN Client realisiert. Das hängt nicht primär von der tatsächlichen Anschlusskapazität ab, die die Telekom schaltet, sondern davon, wie "gut" bzw. schlecht die Hardware ist. OpenVPN ist im Vergleich zu anderen VPN-Lösungen deutlich anspruchsvoller, was die benötigte Systemleistung betrifft und gerade Switches/ Router für den Heimbedarf zeichnen sich im Regelfall nicht durch high-end Hardware aus. (Brauchen sie auch im Regelfall nicht.)

Die Frage ist nicht, ob der Datendurchsatz verringert wird, sondern in welchem Maße. Das hängt insbesondere von der Fritzbox ab, die du verwendest. Abgesehen davon hängt es natürlich auch davon ab, was die Fritzbox sonst noch so macht.

Wieso willst du unbedingt OpenVPN verwenden? Gibt es dafür einen besonderen Grund? Woran genau scheitert es denn?

 

[CroneKorkN]

Ich möchte nicht unbedingt OpenVPN, nur habe ich das erfolgreich auf Handy und Laptop eingerichtet. Mit der gleichen Client-Config bin ich bei Freetz aber nicht weitergekommen. Und das basteln war halt extrem aufwendig, so dass ich nach ein paar Versuchen aufgegeben habe. Da die gleiche Config auf den anderen Clients läuft, habe ich es auf Freetz geschoben.

Ich bin für jede Lösung offen. Sie sollte nur nicht viel mehr kosten als ein Billig-Rouer.

 

[virtus]

Mit der gleichen Client-Config bin ich bei Freetz aber nicht weitergekommen.

Was heißt das konkret? Gab es Fehlermeldungen? Falls ja welche?
Wenn du Hilfe willst, musst du auch schon sagen, wo das Problem liegt.

 

[CroneKorkN]

Sry dass ich jetzt keine sinnvolle Fehlermeldung geben kann. Den Ansatz hatte ich ja abgebrochen und wollte es mit DD-WRT auf einem anderen Router probieren.

Bevor ich mich da wieder dranmache: du hast gefragt ob es unbedingt OpenVPN sein muss. Wie würdest du es angehen?

 

[Firefly]

Bei dem TP-Link Router den du dir da rausgesucht hast habe ich mit OpenVPN einen Datendurchsatz von ca. 6-7 Mbit/s erreichen können.

 

[CroneKorkN]

Und alternative Software zu OpenVPN? Ich habe nur hier und da gelesen, dass andere VPN-Lösungen bei der Sicherheit nicht mehr up to date sein sollen. Aber zum Surfen wäre das ja schonmal gut. Benutzt du eine Fritzbox oder was anderes und mit welcher Firmware? edit: steht ja da

 

[Firefly]

In einem kurzen Test mit PPTP waren maximal 10 Mbit/s drin, ist aber halt ein schwaches Protokoll. L2TP/IPSec habe ich nicht ausprobiert.

 

[CroneKorkN]

Dann lieber OpenVPN. Benutzt du DD-WRT?

 

[Firefly]

Als ich diesen Router getestet habe war das mit DD-WRT. Da ~7 Mbit/s mit aber viel zu wenig waren habe ich mir selbst einen Router zusammengebaut und als OpenVPN Client mit pfSense konfiguriert.
Der TP-Link läuft inzwischen als Freifunk Router, dafür reicht der völlig aus.

 

[virtus]

Es spricht nichts prinzipiell gegen OpenVPN.
Bevor du dir weitere Hardware (und einen weiteren Stromverbraucher) zulegst, sollten wir vielleicht mal schauen, ob du das nicht doch auf deiner Fritzbox zum Laufen bekommst. Dazu wäre es wichtig die Fehlermeldung(en) zu analysieren. Vielleicht wäre auch die Konfiguration deines VPN-Servers und die Client-Konfiguration interessant.

 

[justme]

Es gibt Router die das koennen was Du moechstest.
Von Preisleistung ist der Netgear R7000 am besten. Mit etwas Glueck kannst Du ihn fuer knapp unter 150 Euro bekommen.
Unter DD-WRT habe ich mit OpenVPN schon bis zu 47Mbit bzw. 5mb/s im Download geschafft.
Ich kann ueber den Router ohne Probleme einen HD Stream schauen. Fuer HD Stream sind mindestens 16Mbit notwendig.
Falls Du Dichg nicht mit DD-WRT auseinandersetzen willst (ist ziemlich kompliziert), gibt es in der Zwischenzeit auch eine modifizierte Asus-WRT Software die auf dem Router laeuft. http://www.linksysinfo.org/index.php?threads/asuswrt-merlin-on-netgear-r7000.71108/
Der grosse Vorteil von Asus-WRT ist, dass es viel leichter ist einzurichten und man kann bis zu 5 verschiedene openVPN Server abspeichern und zwischem diesen ganz einfach wechseln. Bei DD-WRT musst du jedes Mal die ganzen Configs und Certs neu reinkopieren wenn Du denn Server wechseln willst.
Deine Fritzbox musst Du so oder so weiterbetreiben. Sie fungiert sozusagen als Modem, der DD-WRT Router wird in Reihe dahinter geschaltet und fungiert als reiner Router.
Es gibt keine DD-WRT faehigen Router die ein DSL oder Kabelmodem mit eingebaut haben.

 

[sia]

Wenn man wirklich VPN nutzen will, sollte man sich nicht im Billigsegment der Router umschauen, wie schon erwähnt.

Ich empfehle hier einen Edgerouter ERLite-3 oder ER-X (50-110€ je nach Verfügbarkeit). Die schaffen locker 90MBit/s+ VPN-Traffic, habe ich schon mit mehreren Benutzern getestet.

Du kannst den Router sogar als zwei verschiedene Gateways einsetzen und somit die Möglichkeit schaffen, sowohl un-VPN-ten als auch verschlüsselten Traffic über dieselbe Box zu leiten, selbst ohne eigene Client-Software.

 

[CroneKorkN]

Auf der Fehlersuche wegen langsamer Verbindung zu meinem Server hat sich die eine Fritzbox als defekt herausgestellt. Daher habe ich jetzt erstmal einen billigen TP-Llink Router angeschafft. Eventuell bastle ich mal damit herum. Da ich keine Ersatzfritzbox mehr habe, möcht ich die eine vorhandene lieber nicht verbasteln.

Ich habe mal den Ubiquity Routern hinterher gegoogelt und da scheint man für 50€ eine ausreichend schnellen Router zu bekommen. Ich denke in die Richtung wird es gehen!

 

[sia]

Aber aufpassen: Die Ubiquiti-Router haben "natürlich" keinen WLAN-Chip, ergo auch keine AP-Funktion
Habe ein spärliches Wiki dazu angelegt: http://wiki.crunchweb.eu/admin:netzwerk:erlite-3

Falls dir was fehlt, kannst du mir gerne eine PN schreiben oder noch besser, hier im Forum posten.

Die "zugehörigen" Ubiquiti Unifi-Access-Points muss man mit einer Java-Software konfigurieren. Schade, dass das nicht einfach per SSH geht, aber man kann ja nicht alles haben.

 

[CroneKorkN]

Cool, man kann damit zwei DSL-Leitungen Parallelschalten? Mit Dual-WAN und Load-Balancing sollte das doch klappen. Mein Traum wäre ja, hier ein paar VDSL100-Leitungen zusammenzuschließen Dass der EdgerouterX kein WLAN hat stört mich wenig, das veraltet eh alle paar Jahre.

Aber... nun habe ich erstmal enen WRT54GL aus dem zweiten Weltkrieg ausgegraben. Darauf läuft jetzt ddwrt aber OpenVPN möchte nicht verbinden. Client-Error:

[src=bash]20160621 08:50:32 N Authenticate/Decrypt packet error: packet HMAC authentication failed[/src]

Spoiler

20160621 08:50:19 W WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
20160621 08:50:19 W NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
20160621 08:50:19 I Re-using SSL/TLS context
20160621 08:50:19 Control Channel MTU parms [ L:1553 D:138 EF:38 EB:0 ET:0 EL:0 ]
20160621 08:50:19 Socket Buffers: R=[32767->65534] S=[32767->65534]
20160621 08:50:19 Data Channel MTU parms [ L:1553 D:1450 EF:53 EB:4 ET:0 EL:0 ]
20160621 08:50:19 Local Options String: 'V4 dev-type tun link-mtu 1553 tun-mtu 1500 proto UDPv4 cipher BF-CBC auth SHA256 keysize 128 key-method 2 tls-client'
20160621 08:50:19 Expected Remote Options String: 'V4 dev-type tun link-mtu 1553 tun-mtu 1500 proto UDPv4 cipher BF-CBC auth SHA256 keysize 128 key-method 2 tls-server'
20160621 08:50:19 Local Options hash (VER=V4): '200d4846'
20160621 08:50:19 Expected Remote Options hash (VER=V4): '8971655f'
20160621 08:50:19 I UDPv4 link local: [undef]
20160621 08:50:19 I UDPv4 link remote: <SERVER_IP>:1194
20160621 08:50:19 TLS: Initial packet from <SERVER_IP>:1194 sid=e1ca7114 d763bd07
20160621 08:50:20 VERIFY OK: depth=1 /C=DE/ST=HE/L=Idstein/O=ckn/OU=sublimity/CN=ckn_CA/name=EasyRSA/emailAddress=openvpn@freibrief.net
20160621 08:50:20 VERIFY OK: depth=0 /C=DE/ST=HE/L=Idstein/O=ckn/OU=sublimity/CN=server/name=EasyRSA/emailAddress=openvpn@freibrief.net
20160621 08:50:20 W WARNING: 'link-mtu' is used inconsistently local='link-mtu 1553' remote='link-mtu 1541'
20160621 08:50:20 W WARNING: 'auth' is used inconsistently local='auth SHA256' remote='auth SHA1'
20160621 08:50:20 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
20160621 08:50:20 Data Channel Encrypt: Using 256 bit message hash 'SHA256' for HMAC authentication
20160621 08:50:20 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
20160621 08:50:20 Data Channel Decrypt: Using 256 bit message hash 'SHA256' for HMAC authentication
20160621 08:50:20 Control Channel: TLSv1 cipher TLSv1/SSLv3 AES128-SHA 2048 bit RSA
20160621 08:50:20 I [server] Peer Connection Initiated with <SERVER_IP>:1194
20160621 08:50:22 SENT CONTROL [server]: 'PUSH_REQUEST' (status=1)
20160621 08:50:22 PUSH: Received control message: 'PUSH_REPLY dhcp-option DNS 208.67.222.222 dhcp-option DNS 208.67.220.220 route 10.8.0.1 topology net30 ping 10 ping-restart 120 ifconfig 10.8.0.6 10.8.0.5'
20160621 08:50:22 OPTIONS IMPORT: timers and/or timeouts modified
20160621 08:50:22 OPTIONS IMPORT: --ifconfig/up options modified
20160621 08:50:22 OPTIONS IMPORT: route options modified
20160621 08:50:22 NOTE: --mute triggered...
20160621 08:50:22 1 variation(s) on previous 5 message(s) suppressed by --mute
20160621 08:50:22 I Preserving previous TUN/TAP instance: tun1
20160621 08:50:22 I Initialization Sequence Completed
20160621 08:50:32 N Authenticate/Decrypt packet error: packet HMAC authentication failed
20160621 08:50:42 N Authenticate/Decrypt packet error: packet HMAC authentication failed
20160621 08:50:52 N Authenticate/Decrypt packet error: packet HMAC authentication failed
20160621 08:51:02 N Authenticate/Decrypt packet error: packet HMAC authentication failed
20160621 08:51:12 N Authenticate/Decrypt packet error: packet HMAC authentication failed
20160621 08:51:22 NOTE: --mute triggered...
20160621 08:52:14 6 variation(s) on previous 5 message(s) suppressed by --mute
20160621 08:52:14 MANAGEMENT: Client connected from 127.0.0.1:5001
20160621 08:52:14 D MANAGEMENT: CMD 'state'
20160621 08:52:14 MANAGEMENT: Client disconnected
20160621 08:52:14 MANAGEMENT: Client connected from 127.0.0.1:5001
20160621 08:52:14 D MANAGEMENT: CMD 'state'
20160621 08:52:14 MANAGEMENT: Client disconnected
20160621 08:52:14 MANAGEMENT: Client connected from 127.0.0.1:5001
20160621 08:52:14 D MANAGEMENT: CMD 'state'
20160621 08:52:14 MANAGEMENT: Client disconnected
20160621 08:52:14 MANAGEMENT: Client connected from 127.0.0.1:5001
20160621 08:52:14 D MANAGEMENT: CMD 'log 500'

Syslog am Server sagt zum Fehlerzeitpunkt nur das:

Spoiler

Jun 21 08:50:20 ckn ovpn-server[13689]: fedora-laptop-ckn/217.93.116.204:2060 WARNING: 'link-mtu' is used inconsistently, local='link-mtu 1541', remote='link-mtu 1553'
Jun 21 08:50:20 ckn ovpn-server[13689]: fedora-laptop-ckn/217.93.116.204:2060 WARNING: 'auth' is used inconsistently, local='auth SHA1', remote='auth SHA256'
Jun 21 08:52:25 ckn ovpn-server[13689]: fedora-laptop-ckn/217.93.116.204:2060 WARNING: 'link-mtu' is used inconsistently, local='link-mtu 1541', remote='link-mtu 1553'
Jun 21 08:52:25 ckn ovpn-server[13689]: fedora-laptop-ckn/217.93.116.204:2060 WARNING: 'auth' is used inconsistently, local='auth SHA1', remote='auth SHA256'

Kein ERROR, nur Warning. Google sagt, ich hätte wohl nicht-passende Zertifikate verwendet. Habe die aber exra alle neu erstellt, für Server und Client. Meine bisherigen 4096-Bit-Zertifikate passten nicht in den Einstellungensspeicher des WRT54GL. Dank easy-rsa kann man das kaum versauen und die selben Certs funktionieren am Laptop.

client.conf:

Spoiler

ca /tmp/openvpncl/ca.crt
cert /tmp/openvpncl/client.crt
key /tmp/openvpncl/client.key
management 127.0.0.1 5001
management-log-cache 50
verb 4
mute 5
log-append /var/log/openvpncl
writepid /var/log/openvpncl.pid
client
resolv-retry infinite
nobind
persist-key
persist-tun
script-security 2
mtu-disc yes
dev tun1
proto udp
cipher bf-cbc
auth sha256
remote ckn.li 1194
tls-client
tun-mtu 1500
fast-io
tls-cipher AES128-SHA
redirect-gateway autolocal

server.conf

Spoiler

mode server
port 1194
proto udp
dev tun
ca ca.crt
cert server.crt
key server.key # This file should be kept secret
dh dh2048.pem
server 10.8.0.0 255.255.255.0
tls-server
ifconfig-pool-persist ipp.txt
push "dhcp-option DNS 208.67.222.222"
push "dhcp-option DNS 208.67.220.220"
keepalive 10 120
user nobody
group nogroup
persist-key
persist-tun
status openvpn-status.log
verb 0

duplicate-cn

Die Option "tls-server" habe ich testweise hinzugefügt, weil in ddwrt "tls-client" hartgecoded ist. Könnte das der Auslöser sein?