06. Dec 2014 09:12
Keine Kommentare

OpenWrt mit OpenVPN-Client

OpenVPN Verbindung über OpenWrt
OpenVPN Verbindung über OpenWrt

Die Nutzung von VPN erfreut sich immer größerer Beliebtheit. Nicht nur für das Umgehen von IP-Sperren ist eine VPN-Verbindung sinnvoll sondern auch um sich vor dem Abhören in WLAN Netzen wie z.B. öffentlichen HotSpots zu schützen oder Voice over IP Telefonate zu verschlüsseln. VPN Verbindungen benötigen gerade auf Mobilgeräten mehr Energie und verkürzen so die Akkulaufzeit. Einige Geräte wie z.B. der Chromecast unterstützen überhaupt kein VPN, da die Software auf dem Gerät nur sehr eingeschränkt für Video-Streaming konzipiert wurde. Es macht deshalb aus mehreren Gründen Sinn die VPN Client-Verbindung auf dem Router aufzubauen und alle Clients im Netzwerk über das VPN zu routen. In einigen Fällen möchte man jedoch nur bestimmte IP Adressen über VPN routen. Damit befasse ich mich in diesem Artikel und erläutere, wie es funktioniert.

Installation von OpenVPN unter OpenWrt

Man kann OpenVPN über die Paketverwaltung von OpenWrt installieren. Ich empfehle jedoch aufgrund der Größe von OpenVPN dies mit dem Image Generator direkt in die Firmware und somit in das sog. SquashFS zu integrieren. Das hat den Vorteil, dass man den Speicher des ROM nutzen kann und mehr Speicher für andere Dinge übrig bleibt. Egal für welchen Weg man sich entscheidet, man sollte in jedem Falle sicherstellen, dass auf dem Router genügend freier Speicher ist.

Konfiguration von OpenVPN unter OpenWrt

In der Datei "/etc/config/openvpn" befindet sich die OpenVPN Konfiguration, die OpenWrt selbst durchführen kann. Die Konfiguration von OpenVPN über die OpenWrt Konfigurationsdateien ist aber etwas eigensinnig und in den meisten Fällen wird man bereits eine OVPN-Datei mit der Konfiguration für den OpenVPN Server haben. Diese möchte man ungern speziell für OpenWrt nochmal neu schreiben. Meine OpenVPN Konfiguration in OpenWrt sieht deshalb wie folgt aus.

Die Einfachheit der Konfiguration ergibt sich dadurch, dass sie einfach auf eben die OVPN Konfigurationsdatei verweist, die ich auch auf dem Mobiltelefon, Tablet und Notebook verwende. Man kann also die Konfigurationsdatei weiter verwenden und muss bei Änderungen nicht nochmal die OpenWrt Konfigurationsdatei ändern. Meine eigentliche OpenVPN Konfigurationsdatei in "/etc/openvpn/meinvpnserver.ovpn" beinhaltet die folgenden Daten.

Die Konfiguration ist auch hier nicht besonders kompliziert. Im ersten Abschnitt wird definiert, dass der tcp-client benutzt wird auf port 4711 an meinvpnserver.com mit dem "tun"-Adapter, welcher nur IP-Traffic und im Gegensatz zum "tap" Adapter keinen Ethernet-Traffic routet. Der nachfolgende Abschnitt beinhaltet alle Zertifikate, die für die Verbindung notwendig sind. Bei "redirect-gateway" wird es jedoch spannend. Hier wird festgelegt, dass absolut jeder Traffic über das VPN zu routen ist und die DHCP-Optionen auf dem Router ignoriert werden. Mit "dhcp-option DNS 8.8.8.8" lege ich fest, dass der Google DNS Server für DNS verwendet werden soll.

Routen bestimmter IP-Adressen über OpenVPN

In vielen Anwendungsfällen möchte man nicht jeden Traffic über das VPN schicken sondern nur solchen, der an bestimmte Zieladressen gerichtet ist. Insbesondere, wenn man Anwedungen wie VoIP oder Videostreaming über VPN durchführen möchte. Man entfernt dazu die Zeile "redirect-gateway" und "dhcp-option" oder kommentiert diese aus und fügt folgende Zeilen ein.

Die erste Zeile definiert schlicht, dass die IP-Adresse "212.19.62.76" über das VPN geroutet werden soll. Es handelt sich hierbei um die IP-Adresse der Webseite "wieistmeineip.de". Sobald das VPN also auf dem Router funktioniert sollten alle Netzwerk-Clients, die "wieistmeineip.de" aufrufen dort die IP Adresse des VPN Servers sehen und nicht mehr jene des Routers selbst. In der zweiten Zeile wird eine IP Adresse mit ihrer Netzmaske definiert, sodass der gesamte Bereich ebenfalls über VPN geroutet wird. Das ist praktisch, wenn man nicht jede einzelne IP Adresse eines größeren Bereichs eintragen möchte.

Testen der OpenVPN Verbindung unter OpenWrt

Einen einfachen Funktionstest kann man ebenfalls mit einem Traceroute durchführen. Zusätzlich hilft es mit "ifconfig" zu überprüfen, ob der "tun" Adapter aktiv ist und auch eine IP Adresse hat. In meinem Fall haben die VPN Clients IP Adressen im Bereich 192.168.42.0 und der VPN Server besitzt 192.168.42.1. Im Traceroute sieht man dann, dass das Routing zuerst über den OpenVPN Server geht.

Wer seinen OpenVPN Server, so wie ich, selbst konfiguriert und eingerichtet hat sollte vorher gegebenenfalls mit einem normalen PC testen, bevor er den OpenWrt Router in Angriff nimmt. So kann man sicherstellen, dass die Grundkonfiguration funktioniert und Probleme an dieser ausschließen. Ich hoffe, ich konnte mit der Anleitung helfen und wünsche viel Spaß mit OpenVPN und OpenWrt.

Bücher zum Thema „OpenVPN“

Die nachfolgenden Bücher behandeln das Thema "OpenVPN" und werden von Amazon empfohlen. Viele dieser Bücher habe ich selbst gelesen und teilweise auch zur Recherche für diesen Artikel genutzt.
45,01 €
Jetzt bestellen »
OpenVPN: Das Praxisbuch (Galileo Computing)
Dirk Becker, Galileo Computing
49,00 €
Jetzt bestellen »
OpenVPN kompakt
Thomas Zeller, Brain-Media.de
9,90 €
Jetzt bestellen »
OpenVPN - kurz & gut (O'Reillys Taschenbibliothek)
Sven Riedel, O'Reilly Verlag GmbH & Co. KG
24,39 €
Jetzt bestellen »
OpenVPN: Das Praxisbuch (Galileo Computing)
Dirk Becker, Galileo Computing

Diese Artikel könnten Dich auch interessieren

Besucher, die diesen Beitrag gelesen haben, haben sich auch die unten aufgeführten Beiträge angesehen. Schau' doch einfach mal in die Artikel rein.
31 Besucher haben auch das gelesen
14 Besucher haben auch das gelesen
8 Besucher haben auch das gelesen
7 Besucher haben auch das gelesen
7 Besucher haben auch das gelesen
5 Besucher haben auch das gelesen

Kommentare zum Thema „OpenWrt mit OpenVPN-Client“

Wenn Du möchtest, kannst Du hier Kommentare zum Thema hinterlassen und Dich mit anderen Nutzern austauschen. Damit Du kommentieren kannst, musst Du Dich nur anmelden und schon kann es losgehen.
Jetzt zum Kommentieren anmelden