OpenVPN Server installieren auf DD-WRT Router oder pfSense Firewall

Allgemeine Einleitung

Dieses Tutorial basiert auf den bei Administrator.de bereits bestehenden Tutorials von datasearch zum Einrichten eines OpenVPN Servers:
OpenVPN_Teil_1 und OpenVPN_Teil_2
Wobei hier der Schwerpunkt auf dem Teil 1 zur Erstellung der Schlüssel für Client und Server liegt.
Die Installation die der OpenVPN Teil 2 beschreibt ist, bedingt durch die andere Hardware eines DD-WRT Routers oder der pfSense Weboberfläche zum Konfigurieren folgerichtig etwas unterschiedlich zu einer PC basierten Installation.
Dadurch aber noch einfacher auch für Laien zu realisieren, da alles mit einer einfachen Weboberfläche konfiguriert wird !

Als Alternative zu einer Installation auf Windows oder Linux kommt hier die platzsparendere Variante direkt in einem Router mit DD-WRT Firmware oder der freien Firewall/Router Software pFsense zum Einsatz.
Die VPN Funktion ist somit nicht abhängig von Serverhardware sondern autark auf einer Netzwerkkomponente, was außer der Platz Ersparniss zudem erheblich kostengünstiger ist in der Unterhaltung und vom Hardwareaufwand.

OpenVPN ist eine sehr weit verbreitete freie VPN Lösung mit Client Software für nahezu alle gängigen Betriebssysteme.
Durch ihre Flexibilität erlaubt sie z.B. das wahlfreie Konfigurieren des Tunnel Ports so das dieser z.B. vom Standard UDP 1194 auch auf den gängigen SSL Port TCP 443 gelegt werden kann, um mit der VPN Verbindung problemlos Firewall und Accesslisten ohne einen zusätzlichen Eingriff zu überwinden.

Das Tutorial benutzt die Default Einstellungen von OpenVPN und auch DD-WRT. Anpassungen an vorhandene IP Netzwerk Adressierung ist dann individuell nach vorhandener IP Adressierung zu machen.

Eine Schemazeichnung für das Netzwerkdesign sieht so aus:


Bzw. mit der pFsense Variante dann analog:


Die o.a. Bilder sind nur Schema Zeichnungen zur Funktion. Es besteht keine Beschränkung auf nur einen Client ! Natürlich sind auch Mehrfachverbindungen, sei es per Netz zu Netz Kopplung oder mit remoten Clients, möglich !

Hardware Voraussetzungen

pfSense
Die Hardware für die pfSense Variante kann entweder PC/Atom basierend sein mit einer preiswerten CF Flashkarte als verschleissfreiem Datenträger für den Dauerbetrieb wie HIER im Kapitel Download und Installation beschrieben.
Auch ein alter PC lässt sich so bequem recyceln.
Viel kosteneffizenter im Hinblick auf den Stromverbrauch und erheblich robuster für den Dauerbetrieb ist aber immer eine kleine, preiswerte Appliance im Eigenbau oder Fertiggerät wie in_diesem_Tutorial beschrieben.

DD-WRT
Hardware Basis ist wie oben bereits bemerkt ein Router mit DD-WRT Firmware wie er auch HIER schon beschrieben ist. Solche Router sind heute meist in Form eines Linksys WRT54GL im Handel (z.B. Reichelt oder Alternate). Teilweise sogar schon mit geflashter DD-WRT Firmware.
Weitere bekannte Plattformen für DD-WRT sind Router der Fa. Buffalo wie der bekannte WZR HP-G300NH
DD-WRT ist auch für andere Router Plattformen verfügbar ! Eine genaue Übersicht über unterstützte Router Hardware bietet das DD-WRT Wiki:
http://www.dd-wrt.com/wiki/index.php/Supp ...
oder die interaktive Datenbank:
http://www.dd-wrt.com/dd-wrtv3/dd-wrt/har ...
Eine deutsche Projektbeschreibung findet man hier:
http://www.dd-wrt.com/wiki/index.php/DD-W ...

Als DD-WRT Router Hardware für das folgende Tutorial dient der populäre WRT54GL der mit der aktuellen DD-WRT (V24 SP2) geflasht wurde. Das Vorgehen bei anderen Modellen ist aber analog !
Wichtig ist hier das WRT54 Image xx24-VPN_generic (Man achte auf das "VPN" im Imagenamen ! Version 24) denn das enthält den OpenVPN Server und auch einen Client. Mit dem Client kann ein DD-WRT Router selber OpenVPN Client sein. Dieses Tutorial behandelt die Serverfunktion als VPN Dialin Server und am Beispiel der Standortvernetzung auch die Installation als Client.
Das aktuelle Image zum Download und Flashen für einen Linksys WRT54G findet man auf der DD-WRT Seite wenn man seine Router Modellbezeichnung wie z.B. "WRT-54GL" dort eingibt:
http://www.dd-wrt.com/site/support/router ...

OpenVPN Zertifikate und Schlüssel

Da OpenVPN auf dem Router selber schon durch die DD-WRT Firmware oder pfsense Firmware installiert ist, ist es lediglich erforderlich die erzeugten Schlüssel und die Konfig Datei auf den Router oder die pfsense Firewall zu übertragen.
Auch das ist sehr einfach, lediglich per Cut and Paste, über die webbasierte Installationsseite des Routers zu erledigen. Das ist schon alles um OpenVPN auf dem Router oder der pfsense Firewall/Router zu aktivieren !

Zwingende Voraussetzung ist das Erzeugen der Schlüssel will man nicht mit einfachen preshared Keys arbeiten, was natürlich auch geht aber etwas unsicher ist !
Dazu läd man sich am besten erstmal das komplette Installations Paket des grafischen Windows OpenVPN Clients herunter und installiert es. Das Paket hat schon fertige Skripts zum einfachen und bequemen Generieren der Schlüssel mit an Bord:
http://openvpn.se/
bzw.:
http://openvpn.se/files/install_packages/ ...

Das Erzeugen der Schlüssel und Zertifikate ist damit kinderleicht zu machen.
Die dazu nötigen Schritte sind detailiert im bereits oben erwähnten OpenVPN_Teil_1 Tutorial, auch für Laien verständlich, beschrieben.
Auch das HowTo auf der OpenVPN Projektseite erklärt dieses in einer Schritt für Schritt Anleitung:
http://www.openvpn.net/index.php/open-sou ...

Man geht also lediglich in die Eingabeaufforderung von Windows (analog auch MacOS oder Linux), wechselt in das Skriptverzeichnis und führt einfach nacheinander, wie beschrieben, die Skrite aus und sichert sich so seine Schlüssel z.B. auf einem USB Stick.

Die Schritte im Schnellverfahren unter Windows sehen so aus: (OpenVPN GUI muss zuvor installiert sein !)

• Eingabeaufforderung öffnen und mit cd ins Verzeichnis "C:\Programme\OpenVPN\easy-rsa" wechseln.
• Mit dem Editor die Datei vars.bat editieren und nur im unteren Teil die Variablen nach seinen persönlichen Vorgaben/Einstellungen anpassen. Z.B.:

set KEY_COUNTRY=DE
set KEY_PROVINCE=Bayern
set KEY_CITY=Muenchen
set KEY_ORG=Privat
set KEY_EMAIL=name@email.de

• Datei vars.bat sichern
• Nun in der Eingabeaufforderung die folgenden Kommandos aufrufen: Zuerst "vars" , dann "clean-all" und dann "build-ca" wie es im HowTo steht !
• Die Abfragen nach dem Start von "build-ca" kann man allesamt mit der Eingabetaste bestätigen außer der Fragen nach dem Common name ! Hier trägt man z.B. ein "server" oder "OpenVPN" oder einen anderen spezifischen Namen. Das Feld darf NICHT leerbleiben ! Der Common Name entspricht dann auch später dem Dateinamen des Schlüssels ! Also server.key oder OpenVPN.key bzw. server.crt oder OpenVPN.crt
• Jetzt weiter wie im Tutorial verfahren und in der gleichen Eingabeaufforderung "build-key-server server" eingeben (Erzeugung Schlüssel für den Server) und hier ebenfalls wieder zwingend bei der Abfrage Common name z.B. server eingeben oder den Servernamen. Die Frage nach dem Passwort quittiert man mit einem Druck auf die Eingabetaste und die beiden folgenden Fragen "sign certificate" und "...commit" beantwortet man unbedingt mit einem y !!
• Jetzt die Client Keys (Schlüssel für die remoten Benutzer) erzeugen mit "build-key client1". Hier wiederum bei der schon bekannten "Common name" Abfrage client1 eingeben. Anlog verfährt man für weitere Clients mit "build-key client2", "build-key client3", "build-key client4" usw. "Common name" Abfrage wieder entsprechend...client2.....client3...usw. Auch hier ist wieder der Common Name entsprechend Name der Client Schlüsseldatei z.B. client1.key bzw. client1.crt !
• Zum Schuß die Diffie-Hellmann Parameter mit "build-dh" erzeugen....
• Fertig...!

Die Schlüsselerzeugung ist damit abgeschlossen und alle Schlüssel findet man im Verzeichnis /keys in das man dann mit "cd keys" wechselt und die man dann z.B. auf USB Stick sichert oder aus diesem Verzeichnis direkt in die entsprechenden Eingabefelder bei dd-wrt oder Pfsense kopiert per cut and paste.
Die Inhalte sind mit dem Editor oder Wordpad editierbar.

Zertifikate und Schlüssel grafisch (GUI) mit XCA Programm erzeugen

Wer Kommandozeilen nicht mag und die Zertifikate und Schlüssel lieber mit einer grafischen Oberfläche erzeugen will, findet mit dem Tool XCA dafür ein idelaes Werkzeug.
Die Anwendung ist für alle 3 wichtigen Betriebssysteme in der aktuellen Version 8.1 hier verfügbar: http://sourceforge.net/projects/xca/files ... bzw. hier OS spezifisch für Windows, MacOSX und Linux
Dank an Forumsnutzer christianW der ein sehr gutes und leicht verständliches HowTo zum Erzeugen der Schlüssel mit XCA geschrieben hat, was HIER runtergeladen werden kann.
Damit ist ein Erzeugen der Schlüssel dann auch für Kommandozeilen "Muffel" eine einfache Sache von ein paar Mausklicks !

Zertifikate und Schlüssel grafisch im pfSense GUI erzeugen

Eine andere Option ist bei der Verwendung von pfSense im OpenVP Umfeld die Zerifikate und Keys direkt, ebenfalls per Mausklick gleich im pfSense GUI zu erzeugen.
pfSense hat dieses Tool im Menü System --> Cert Manager praktischerweise gleich mit an Bord
Auch das erspart die Eingabeaufforderung und alle externen Programme.
Diese Zertifikate und Keys können dann über das grafische Setup auch einfach per Mausklick exportiert werden.
Die genaue Vorgehensweise wird unten im Abschnitt zur pfSense Installation von OpenVPN ganz genau beschrieben,

Installation auf dem DD-WRT Router

OK, sind nun der Router oder die pfsense Firewall fertig geflasht bzw. installiert und über ihr jeweiliges Konfigurations Webinterface erreichbar und auch die 4 Schlüssel ca.crt, server.crt, server.key und dh1024.pem erzeugt wie oben beschrieben kanns losgehen... !!!
Dazu kopiert man diese 4 Schlüssel Dateien ggf. auf einen Stick oder den Rechner zum Konfigurieren und dann kann die eigentliche Konfiguration des DD-WRT Routers oder der pfsense Firewall beginnen:

Nach Vergabe der Zugangspasswörter bei DD-WRT beim ersten Connect auf die Setup Webseite unter 192.168.1.1 (Default), klickt man auf das Menü Services -> VPN und aktiviert hier den OpenVPN Daemon mit dem Start Type WAN up was bedeutet das der OpenVPN Server immer dann gestartet wird wenn das WAN Interface aktiv ist !

Danach öffnen sich 7 freie Textfelder zur Eingabe:
Public Server Cert
Certificate revoke list ==>> bleibt leer !
Public Client cert
Private Client key
DH pem
OpenVPN config
OpenVPN TLS Auth ==>> bleibt leer !!


In 4 dieser Felder cut und pasted (Kopieren und Einfügen) man nun seine 4 oben erzeugten Schlüsseldaten rein.
Alle Schlüsseldateien sind reine ASCII Textdateien und lassen sich mit dem Word Pad oder einem Text Editor öffnen. Ist der Schlüssel oder Zertifikat editiert, klickt man unter "Bearbeiten" dann auf "Alles markieren" und dann "Kopieren".
Darauf wechselt man in das Textfenster der Routerkonfig mit einem Rechtsklick und "Einfügen" um den Inhalt hier ins Textfeld zu kopieren.
Diese Prozedur macht man jetzt Fenster für Fenster nach folgendem Schema:

Public Server Cert ==>> Master Zertifikat, ca.crt Datei
Certificate revoke list ==>> bleibt leer !!
Public Client cert ==>> Server Zertifikat, server.crt Datei
Private Client key ==>> Server Key, server.key
DH pem ==>> DH Parameter, dh1024.pem Datei
OpenVPN config OpenVPN Konfig Datei, z.B. Beispiel unten
OpenVPN TLS Auth ==>> bleibt leer !!

Die 5te Datei ist die Konfigurationsdatei für den Server. Dazu kann man die unten aufgeführte Datei in einen Editor cut and pasten und entsprechend seinen individuellen Einstellungen (IP Adressen etc.) anpassen und dann z.B. mit dem Namen "openvpn-svrconf.txt" sichern und dann per cut an paste in das Feld "OpenVPN config" im Router eingeben.

Die OpenVPN Konfig zum Editieren sieht dann so aus: (Kommentarzeilen in () rot vorher entfernen !!!)

port 1194
proto udp
dev tun0
ca /tmp/openvpn/ca.crt (Master Zertifikat)
cert /tmp/openvpn/cert.pem (Server Zertifikat)
key /tmp/openvpn/key.pem (Server Key)
dh /tmp/openvpn/dh.pem (DH Parameter)
server 172.16.2.0 255.255.255.0
push "route 192.168.1.0 255.255.255.0" (Default LAN IP Netz DD-WRT, muss ggf. auf verwendetes IP Netz geändert werden !!)
keepalive 10 120
comp-lzo
persist-key
persist-tun
verb 3

Zusatz zur o.a. Konfig:
Wer den gesamten Traffic des Clients durch den VPN Tunnel routen möchte leitet einfach dessen Default Gateway in den VPN Tunnel um.
Statt push "route 192.168.1.0 255.255.255.0" lautet das Push Kommando dann push "redirect-gateway def1"
http://openvpn.net/index.php/open-source/ ...

Sehr WICHTIG ist in der o.a Server Konfigurations Datei, das die Pfadangaben oben in der Konfig /tmp/openvpn/ unbedingt stimmen für alle Dateien, denn die sind durch OpenVPN fest vorgegeben !
Ein Screenshot sieht dann so aus: (Zertifikate aus Sicherheitsgründen verkürzt wiedergegeben !)


Zum Schluss sichert dann ein Klick auf SAVE und Apply Settings die Konfig !
Der OpenVPN Client bleibt ausgeschaltet (disable) !!


Achtung: Als letzer Konfigurationsschritt muss bei DD-WRT die SPI Firewall deaktiviert werden, die sonst eingehende OpenVPN Packete am Internet WAN/DSL Interface filtern würde und so zur Nichtfunktion des OpenVPN Servers führt !
Dazu wechselt man ins Menü Security -> Firewall und schaltet die SPI Firewall mit "disable" ab um spätere Frustrationen zu vermeiden !
Der Zugriff aus dem Internet auf den Router ist weiterhin gesichert und nicht möglich. Es tritt also kein Sicherheitsloch damit auf !


Ein Klick auf SAVE und Apply Settings sichert auch hier die Einstellungen !
Zum Abschluss sollte man den Router nun neu booten lassen (Einmal stromlos machen !)
Damit ist die Konfiguration des Routers abgeschlossen und einem ersten Test des OpenVPN Servers steht nichts mehr im Wege !

Ist der OpenVPN Server aktiv ?

Leider muss man alle oben beschriebenen Einstellungen über das Websetup blind machen mit Vertrauen alles richtig gemacht zu haben. Man kann leider nicht über die Status Seite den OpenVPN Server im Router auf seine korrekte Funktion überprüfen.
Für die detailierte Fehlersuche ist das aber kein Hinderniss denn die Lösung dafür ist bei DD-WRT recht einfach !
DD-WRT bietet einen Terminalzugang per Telnet oder SSH auf die Konsole !
Der Telnet Zugriff funktioniert sofort über die LAN IP.
Wer es etwas sicherer haben möchte nimmt SSH:
Dafür aktiviert man im Menü Services -> Services mit einem Klick auf enable einfach den SSHd Daemon und sichert diese Einstellung mit SAVE und APPLY.
Mit einem Windows Telnet und SSH Client wie dem bekannten PUTTY oder auch TeraTerm (Apple Macs und Linux haben SSH von sich aus an Bord) hat man dann Zugriff aufs Betriebssystem des Routers indem man Putty oder TeraTerm startet und als Ziel einfach die LAN IP des dd-wrt/pfsense Routers angibt.
Der Benutzername zum SSH Login ist "root" (ohne "") und das Passwort ist das, was beim Starten bzw. Installieren von DD-WRT vergeben wurde !
Die Eingabe von ps am Kommandoprompt zeigt dann eine Liste der laufenden Prozesse im Router. Findet man hier in der Liste seinen OpenVPN Daemon wieder wie im Screenshot unten zu sehen, ist alles OK und der OpenVPN Server betriebsbereit !


Ist er dort nicht zu sehen, sollte man zuerst mit dem Kommando ls -l /tmp/openvpn prüfen ob die 5 Konfig Dateien von oben korrekt im Verzeichnis /tmp/openvpn gelandet sind.
Der Output sollte so aussehen wenn alles geklappt hat:

root@Router:~# ls -l /tmp/openvpn/
-rw-r--r-- 1 root root 1189 Apr 2 12:19 ca.crt
-rw-r--r-- 1 root root 3573 Apr 2 12:19 cert.pem
-rw-r--r-- 1 root root 246 Apr 2 12:19 dh.pem
-rw-r--r-- 1 root root 888 Apr 2 12:19 key.pem
-rw-r--r-- 1 root root 257 Apr 2 12:19 openvpn.conf
-rwx------ 1 root root 36 Apr 2 12:19 route-down.sh
-rwx------ 1 root root 60 Apr 2 12:19 route-up.sh
root@Router:~#

Ist das der Fall, kann man versuchen OpenVPN manuell mit dem Kommando openvpn /tmp/openvpn/openvpn.conf zu starten.
Dabei sollten folgende Meldungen erscheinen:

root@Router:~# openvpn /tmp/openvpn/openvpn.conf
Fri Apr 2 12:34:06 2010 OpenVPN 2.1_rc20 mipsel-unknown-linux-gnu [SSL] [LZO1] [EPOLL] built on Oct 10 2009
Fri Apr 2 12:34:06 2010 Diffie-Hellman initialized with 1024 bit key
Fri Apr 2 12:34:06 2010 WARNING: file '/tmp/openvpn/key.pem' is group or others accessible
Fri Apr 2 12:34:06 2010 TLS-Auth MTU parms [ L:1542 D:138 EF:38 EB:0 ET:0 EL:0 ]
Fri Apr 2 12:34:06 2010 TUN/TAP device tun0 opened
Fri Apr 2 12:34:06 2010 TUN/TAP TX queue length set to 100
Fri Apr 2 12:34:06 2010 /sbin/ifconfig tun0 172.16.2.1 pointopoint 172.16.2.2 mtu 1500
Fri Apr 2 12:34:06 2010 /sbin/route add -net 172.16.2.0 netmask 255.255.255.0 gw 172.16.2.2
Fri Apr 2 12:34:06 2010 Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:0 EL:0 AF:3/1 ]
Fri Apr 2 12:34:06 2010 Socket Buffers: R=[32767->65534] S=[32767->65534]
Fri Apr 2 12:34:06 2010 UDPv4 link local (bound): [undef]:1194
Fri Apr 2 12:34:06 2010 UDPv4 link remote: [undef]
Fri Apr 2 12:34:06 2010 MULTI: multi_init called, r=256 v=256
Fri Apr 2 12:34:06 2010 IFCONFIG POOL: base=172.16.2.4 size=62
Fri Apr 2 12:34:06 2010 Initialization Sequence Completed

Ist dem so, ist alles korrekt installiert und ein <ctrl c> stoppt den OpenVPN Server im User Modus (kein Eingabeprompt) wieder, damit wir ihn nun als Daemon (Dienst) wieder starten können mit dem folgendem Kommando:
openvpn --daemon --config /tmp/openvpn/openvpn.conf
Wem das zu umständlich ist, der rebootet den DD-WRT Router schlicht und einfach indem er den Netzteil Stecker zieht !

Bei Problemen gibt der OpenVPN Server immer konkrete Fehlermeldungen von sich mit denen man Konfig Fehler dann sofort beheben
kann !
Bei OpenWRT ist das OpenVPN Handling ähnlich wie man HIER ebenfalls sehen kann.

Installation auf der kostenfreien Firewall pfSense

Die kostenfreie Firewall pfSense besitzt im Gegensatz zu seinem Ursprungsprojekt MOnOwall einen OpenVPN Server und Client gleich mit an Bord. Die pfSense SW ist vollkommen kompatibel zur M0n0wall SW und wird genau so installiert sei es auf einer PC Plattform oder einem standalone Minimainboard (ALIX).
PfSense supportet ebenfalls VLAN Tagging was sie damit auch für VDSL Anschlüsse befähigt. Dieses Heise_Tutorial beschreibt wie es problemlos einzurichten ist am VDSL.
Details zur Installation von PC oder ALIX Mini Mainbord Version findet man in weiteren detailierten Tutorials bei Administrator.de wie z.B. HIER !
Pfsense bietet erheblich mehr Firewall Features als die schlankere Monowall. Wer also etwas mehr Wert auf Firewall Funktionen wie Redundanz, Performance Monitoring usw. legt, sollte sich für pfsense entscheiden. Wer eher eine einfache und schlanke Firewall ohne Schnickschnack will, bleibt bei der Monowall.
Mit der aktuellen Version 2.0 der pFSense Firmware ist ein externes Erzeugen alle Schlüssel für Server und Client nicht mehr erforderlich und kann bequem mit ein paar Mausklicks direkt auf dem pfSense Setup GUI gemacht werden.
Wer allerdings schon fertig erzeugte Zertifikate und Keys hat kann diese natürlich ebenso ganz einfach per cut an paste in die pFsense Firewall via Setup Menü übertragen um z.B. auf diese Plattform zu migrieren.
Wichtig: ALIX Bord Nutzer sollten vorher im System Setup unter Advanced -> Miscellaneous den Hardware Krypto Chip auf der Geode CPU aktivieren mit einem Haken bei Use glxsb ! Das steigert die Kryptoperformance massiv.
Zum Erstellen der Zertifikate und Keys geht man nun folgendermaßen vor:
1.) Als erstes wird eine interne CA angelegt im Menü System --> Cert Manager --> Karteireiter CAs:

Hier als Beispiel der fiktiven "Fa. Meyer". Die Daten sind entsprechend den eigenen Daten anzupassen
2.) Im Zweiten Schritt legt man die Zertifikate für den Server und die remoten Clients an --> Karteireiter Certificates:

3.) Hier legt man auch gleich die Zertifikate für seine remoten User an, die man entsprechen durchnummeriert oder mit ihren Namen ersetzt um die Identifikation leichter zu machen:

Über die Export Buttons kann man diese Zertifikate und Keys in Dateien sichern und auf den Clientrechner in das Keyverzeichnis kopieren.
4.) Sinnvoll ist es auch gleich eine sog. Revocation Liste anzulegen mit der man Zertifikate für ungültig erklären kann, sollten z.B. remote User die Firma verlassen oder wenn der Laptop gestohlen wird.

Fertig...Damit sind alle Zertifikate generiert und im nächsten Schritt...

5.) ...aktiviert man nun den Open VPN Server im Menü VPN --OpenVPN --> Karteireiter Server:
Generelle Einstellungen:

(Bei einer Standort Vernetzung mit einem OpenVPN Router wählt man hier "Peer to Peer")
Verschlüsselungs Einstellungen:
Tip: ALIX Board Nutzer sollten unbedingt hier vorher im Menü System --> Advanced --> Misc den Hardware Verschlüsselungssupport mit einem Haken bei "Use glxsb" aktivieren und die HW Crypto auf BSD cryptodev engine setzen !
Wichtig: Hier unbedingt die vorher erzeugte CA auswählen wie das erzeugte Server Zertifikat und die Revocation Liste !!
Tunnel Einstellungen:
Hier sind mehrere Punkte wichtig:

• Das Tunnel IP Netzwerk ist ein separates Netz und sollte keine 192.168er banal IP sein. Es gelten wie immer diese_Design_Richtlinien !
• Lokale LAN Netzwerk IP eintragen. Wer zusätzliche Interfaces (DMZ usw.) erreichen will kann unten im "Advanced" Feld weitere IP Netze mit der "push" Option an die Clients automatisch propagieren !
• Anzahl der maximalen Anzahl von gleichzeitigen VPN Verbindungen einstellen
• LZO Kompression aktivieren

Client Einstellungen
Hier kann man nun diverse individuelle Einstellungen für die Clients vornehmen wie DNS Server und ob man z.B. NetBios Broadcast durch den Tunnel lassen möchte ide von den jeweiligen Anforderungen abhängig sind !
Mit einem finalen Klick auf "Save" ist der Server fertig eingerichtet und sofort aktiv

Anpassen der pfSense Firewall und spez. Client Parameter

GANZ WICHTIG: Die Firewall pfSense benötigt unbedingt eine Firewall Regel am WAN Port und virtuellen VPN Port um OpenVPN Pakete von außen auf ihrem WAN Port zuzulassen bzw. Tunneltraffic ins lokale LAN zuzulassen !!
Ohne diese Regel ist ein Zugriff von außen, wie bei einer Firewall logischerweise üblich, geblockt !
Ein OpenVPN Client könnte die pfSense Firewall ohne diese Regel nicht erreichen auf dem WAN/Internet Interface.
Dies ist also essentiell wichtig zu beachten um späteren Frust gleich vorzubeugen !!
Unter Firewall -> Rules ist diese folgende Regel dann zuerst für den WAN Port zu definieren um OpenVPN Client Zugriff zu erlauben:

Diese Einstellungen geht von den Standard OpenVPN Ports UDP 1194 aus !
Werden andere Port benutzt wie z.B. TCP 443 muss diese Regel natürlich entsprechend angepasst werden auf diese Ports !
Mit SAVE sichern und Apply aktivieren....

Nun die Regel auf dem internen VPN Tunnel Interface:

Diese Regel oben lässt erstmal alles zu um Ping Checks usw. machen zu können. Bei Bedarf kann diese auf entsprechende Protokolle eingeschränkt werden um nur bestimmte Dienste oder Zugriff auf einzelne Hosts, Server etc. z.B. zuzulassen.

Für den Zugriff auf die obige Standard pfSense Server Einrichting sind abweichend zur beschriebenen Client Installation unten noch ein paar Anpassungen zu machen:
Der automatisch generierte TA Key des Servers bei der Einrichtung muss per cut and paste aus dem GUI in eine Text Datei kopiert werden und ins Keyverzeichnis des Clients kopiert werden:


In der Client Konfig Datei sind dann die folgenden Anpassungen zu machen:

ca C:/Programme/OpenVPN/easy-rsa/clientkeys/CAMeyer.crt
cert C:/Programme/OpenVPN/easy-rsa/clientkeys/OVPN-Client1.crt
key C:/Programme/OpenVPN/easy-rsa/clientkeys/OVPN-Client1.key
;ns-cert-type server --> Mit Semikolon ; auskommentieren !
tls-auth C:/Programme/OpenVPN/easy-rsa/clientkeys/ta.key 1 --> Verweist auf den oben kopierten TA Key !
cipher AES-128-CBC

Das war alles !
Nun steht einem ersten Test mit einem OpenVPN Client nichts mehr im Wege...!! Dies kann z.B. schnell mit einem testweise direkt oder per Switch am WAN Interface angeschlossenen PC, Mac, Linux mit OpenVPN Client geschehen.
Damit lässt sich schnell und einfach lokal das OpenVPN VPN auf korrekte Funktion testen bevor man es ans Internet hängt für den Fernzugriff.

OpenVPN hinter einem bestehenden NAT Router betreiben

Oft hat man schon einen bestehenden NAT Router im Netzwerk und möchte dieses Netz mit dem o.a. OpenVPN Server auf einer DD-WRT oder pfSende Plattform erweitern.
Dies ist ebenso möglich alllerdings muss man dann einige Dinge zusätzlich beachten, da der VPN Tunnel erst durch den vorgeschalteten Router muss !
Die folgende Abbildung zeigt so ein klassisches Design:


Hierbei sind nun folgende Dinge zwingend zu beachten:

• Der WAN Anschluss der der DD-WRT oder pfSense Plattform wird mit dem LAN Anschluss des Internet Routers verbunden.
• Auf dem WAN Port stellt man im Setup Menü eine statische IP Adresse die im LAN IP Netz des vorliegenden NAT Routers liegt und zwar außerhalb dessen DHCP Bereichs um IP Adressüberschneidungen zu vermeiden. Bewährt haben sich IP Adressen "ganz oben" wie z.B. 192.168.1.254 (Beispiel oben. Bei einer FritzBox z.B. 192.168.178.254 usw.) Ebenso ist das Default Gateway und die DNS Server IP auf die LAN IP Adresse des vorliegenden Routers einzustellen ! Alternativ kann man den WAN Port im Setup Auswahlmenü auch im DHCP Modus (Client) betreiben. Warum das nicht ganz so gut ist beschreibt der nächste Punkt.
• Im vorliegenden Router muss eine Port Weiterleitung des UDP Ports 1194 (OpenVPN Default) lokal auf die statische WAN IP Adresse des OpenVPN Routers eingetragen werden. Da diese Port Weiterleitung statisch ist, ist es sehr sinnvoll auch die OVPN Router WAN IP statisch zu setzen. DHCP ginge ebenso, allerdings besteht die Gefahr das sich aufgrund der Dynamik von DHCP diese IP einmal ändert und dann laufen die OpenVPN Pakete von der Port Weiterleitung ins Leere. Es gilt also: "DHCP gut...statisch ist besser !"
• Zusätzlicher Punkt nur für die DD-WRT Plattform: DD-WRT MUSS hier im Gateway Modus laufen und die SPI Firewall muss deaktiviert werden ! Dieser Punkt gilt NICHT für pfSense !!
• Soll der OpenVPN Client das VPN über einen DynDNS Namen bzw. Account erreichen, MUSS dieser DynDNS Dienst auf dem vorliegenden Router aktiviert werden und NICHT auf dem OpenVPN Router ! Logisch, da der OpenVPN Client ja nur die öffentliche IP des vorliegenden Routers sehen kann, der dann ja eingehende UDP 1194 Pakete (OpenVPN default) dann aber weiterleitet auf den OpenVPN Router. VPN Server Ziel ist also immer die öffentliche WAN/DSL Adresse des vorliegenden Routers !
• Wichtig ist darauf zu achten, das sich die IP Adressen des Verbindungs LANs, des lokalen LANs und auch des internen OpenVPN Servernetzes nicht doppeln oder überschneiden ! Hier ist also auf eine korrekte IP Adressierung zu achten. Es gelten wie immer die goldenen_VPN-Regeln beim IP Design !

Beachtet man alle diese Punkte funktioniert auch so ein Design hinter einem NAT Router absolut problemlos !

Wichtiger Tip zum einfachen vorab Testen der fehlerfreien OpenVPN Funktion:
Bevor man den Zugriff von extern über das Internet ausprobiert, testet man die Funktion erst einmal lokal um sicher zu gehen das alles korrekt funktioniert.
Dazu hängt man den OpenVPN Client ganz einfach per Kabel oder WLAN in das "Verbindungs LAN" und gibt in der OpenVPN Client Konfig Datei die Ziel IP des OpenVPN Routers im "Verbindungs LAN" an. (Hier im Beispiel die 192.168.1.254 dann in der Konfig Datei mit der Zeile remote 192.168.1.254 1194 !)
Bei einem Verbindungstest sollte sofort eine gültige VPN Verbindung zustande kommen. (Client Log).
Ein paar zusätzliche Troubleshooting Tips findet man auch auf der OpenVPN_Webseite
Dieser Vorabtest sollte IMMER fehlerfrei durchlaufen, denn so kann man absolut sicher gehen das die OpenVPN Konfiguration selber fehlerfrei ist.
Nachträgliche Fehler oder Verbindungsprobleme liegen dann meist an Firewall Einstellungen am Client oder NAT Routern im Signalweg ! Mna kann die Suche dann darauf konzentrieren und nicht mehr bei der OpenVPN Konfiguration.
Klappt also alles fehlerfrei bis hierhin steht einem finalen Zugriffstest aus dem großen weiten Internet nichts mehr im Wege !

Client Installation

Die Client Installation geht sehr einfach von der Hand. Durch die Zertifikats Generierung ist der grafische Windows Client schon installiert und das damit erzeugte Client Zertifikat sollte auch im richtigen Verzeichnis sein ist man der Anleitung oben gefolgt.
Das ist wichtig, denn ohne Client Zertifikat wird der Verbindungsversuch abgewiesen. Hat man mehrere Clients generiert man einfach mehrer Client Zertifikate und kann diese zusammen mit der Konfig Datei an remote User aushändigen.

Apple Mac Benutzer finden einen Client hier:
http://code.google.com/p/tunnelblick/

Ein Linux KDE Client gibt es hier:
http://home.gna.org/kvpnc/en/index.html

Auch der Client benötigt wie der Server eine Konfig Datei !
Man kann entweder die Standard Konfig Datei im Windows GUI über einen Rechtsklick auf das Taskleistensymbol und "Edit" editieren und nach den u.a. Vorgaben anpassen oder diese Datei hier direkt übernehmen:

client
dev tun
proto udp
remote 192.168.100.162 1194 <-- ändern auf reale OpenVPN Server IP oder DynDNS !
;remote mein-vpn-server.dyndns.org 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca C:/Programme/OpenVPN/easy-rsa/keys/ca.crt
cert C:/Programme/OpenVPN/easy-rsa/keys/client1.crt
key C:/Programme/OpenVPN/easy-rsa/keys/client1.key
ns-cert-type server
comp-lzo
verb 3

Screenshots des Windows Clients sieht man hier:
http://openvpn.se/screenshots.html

Auch hier gilt wieder das korrekte Eintragen des Pfades auf die Zertifikatsdateien C:/Programme/OpenVPN/easy-rsa/keys/ was aber in der Regel der Client Installer und die Skripte automatisch erledigen !
Achtung: Die obige IP Adresse 192.168.100.162 ist lediglich zum Testen im Labor hier als Beispiel !
In der realen Konfig Datei muss hier die Internet IP Adresse oder der DynDNS Hostname des Internet WAN/DSL Interfaces des Routers oder der pfsense Firewall stehen (VPN Server Zieladresse) !
Da der Linksys WRT54G und auch die pfsense FW kein integriertes DSL_Modem haben, kann man wie oben bereits erwähnt, ihn testweise mit seinem Internet Interface (Ethernet) in das lokale Netz hängen, eine IP Adresse per DHCP vergeben lassen oder statisch einstellen und so die OpenVPN Funktion sauber lokal testen bevor man ihn ans Internet hängt.
Dafür muss man die o.a. Ziel IP Adresse natürlich entsprechend anpassen in der Client Konfig Datei !!

Klickt man nun beim Client auf Connect, kann man im aufgehenden Statusfenster genau den Connect Prozess beobachten und auch bei Fehlern reagieren !
Ist alles OK, schliesst das Fenster automatisch und das Taskleistensymbol wechselt auf eine grüne Farbe und zeigt in einem Ballon Tip die VPN IP an !
Ein Ping auf die LAN IP Adresse des Routers 192.168.1.1 sollte dann eine Antwort ergeben !
Mit einem route print in der Eingabeaufforderung bei Windows kann man anhand der Routing Tabelle sehen ob alle Netze korrekt über das VPN geroutet werden ! Es zeigt also ob das "push route..." Kommando im Server korrekt erkannt wurde !

Damit ist der VPN Tunnel dann korrekt aufgebaut und bietet einen Zugriff auf alle Endgeräte im remoten Netz ! Weitere IP Netze auf der remoten (Server) Seite lassen sich per push "route <ip_netz_adresse> <mask>" in der Server Konfig Datei dynmaisch auf den Client übertragen so das ein sauberes Routing stattfindet.
Ein wichtiges Augenmerk sollte immer auf die Windows Firewall oder ggf. eine zusätzlich installierte Personal FW geworfen werden wenn andere PCs im Netzwerk erreicht werden müssen !!
In der Regel blockt die FW fremde IP Netze (..und das VPN ist ein solches fremdes IP Netz !!) gnadenlos, so das man hier in den erweiterten Eigenschaften unter Ports den Bereich unbedingt auf "Alle Rechner inkl. Internet" erweitern sollte.

pfsense bietet zudem noch über seine System Logs eine detailierte Möglichkeit die Aktivität des OpenVPN Servers zu beobachten und zu Troubleshooten und hat hier einen Vorteil gegenüber dd-wrt, das diese Möglichkeit nicht besitzt !!

Besonderheit DD-WRT Client !!:
DD-WRT Benutzern ist nicht entgangen das der DD-WRT Router ebenfalls einen OpenVPN Client an Bord hat. Damit ist der Router in der Lage auf alle OpenVPN Server eine VPN Verbindung mit OpenVPN aufzubauen und so einfach und sehr preiswert eine Standort VPN Vernetzung zu realisieren, was auch vollkommen problemlos funktioniert.
Allerdings gibt es eine DD-WRT Besonderheit zu beachten:
Der DD-WRT OVPN Client nimmt es mit dem Begriff Client VPN sehr genau. Er macht nämlich am Tunnelinterface des VPN Tunnel auch ein NAT (Masquerading).
Das ist insofern fatal, als das damit eine Verbindung ins Client LAN von anderen LANs nicht möglich ist, denn das verhindert die NAT Firewall am Tunnelinterface.
Es ist also immer nur eine Verbindung remotes Standort Netzwerk am Router (OpenVPN Client) zum VPN Server und dessen Netzwerke möglich. Also sogesehen eine Einbahnstrasse.
Für viele Standort VPN Verbindungen die nur Resourcen am zentralen Standort nutzen mag das vollkommen ausreichen. Für die die auch Resourcen im Clinet LAN nutzen müssen nicht.
Das DD-WRT Wiki hat auch einen entsprechenden Eintrag dafür:
http://www.dd-wrt.com/wiki/index.php/Open ...
wie andere Wikis ebenso....
http://cyberdelia.de/2011/03/ddwrt-openvp ...
Mit den Patches ist dann ein transparentes LAN to LAN VPN problemlos mit dem DD-WRT Client realisierbar.
Wer die dort geposteten Workarounds vermeiden will muss sich derzeit nach einer anderen Firmware umsehen wie OpenWRT, Tomato usw. die diese NAT Einschränkung beim OVPN Client nicht aufweist.
Alternative ist dann auf einen anderen Router mit OpenVPN Client Option auszuweichen wie Monowall, pfSense, Mikrotik usw. usw.

Standortvernetzung mit OpenVPN

Natürlich ist mit der gleichen Einstellung zusätzlich zur Client Einwahl auch sehr einfach eine sog. Site-to-Site Standortvernetzung mit OpenVPN zu realsieren.
Als Beispiel sei folgendes Design angenommen:

Es sind lediglich 2 Standorte mit den Netzen 172.32.10.0 /24 und 172.32.20.0 /24 hinzugekommen. Diese Anzahl an Standorten kann man beliegig erhöhen. Wichtig ist, das oben in der Schlüsselerzeugung auch eine entsprechende Anzahl von Client Schlüsseln erzeugt wurde (Bsp. "client1....clientx")
Die Server Konfiguration wird dazu entsprechend erweitert:

Um auch eine Kommunikation der Standortnetze untereinander zu gewährleisten muss der Haken bei "Client to Client VPN" gesetzt sein ! (Ist eine Kommunikation der Standortnetze untereinander nicht gewünscht lässt man dies weg !)
Der erste Route Befehl leitet alle Pakete aus dem Netz der Zentrale zu den Standortnetzen ins VPN.
Die beiden anderen Route Befehle setzen die Routen an den Standort VPN Routern automatisch so, das Daten ins Netz der Zentrale und zum anderen Standort ebenfalls ins VPN geroutet werden.
Die Konfig wird nun gesichert und folgende Dinge im Reiter "Client Specific Configuration" eingestellt: (Beispiel hier für Standort-1 mit dem Client Key common name client1 )

Hier klickt man auf das "+" und fügt eine Konfig ein und trägt den "Common Name" des oben bei der Schlüsselerzeugung eingegebenen Client Common Names ein (Bsp. hier client1 )
Das Kommando iroute 172.32.10.0 255.255.255.0 blockt eigene, lokale Pakete vom VPN Tunnel.
Das wiederholt man anlog mit einem weiteren "+" für alle lokalen Standortnetze !
Damit ist die Server Konfiguration abgeschlossen.

Die Standorte
Der Standort Router wird wie folgt konfiguriert mit einem Klick auf VPN --> OpenVPN und Client.:

Hier ist lediglich der DynDNS Hostnamen des Routers in der Zentrale oder dessen öffentliche Internet IP als Ziel anzugeben.
"Cryptography" ist wieder auf AES-128-Bit CBC einzustellen wie oben im Server (Wichtig: muss übereinstimmend sein !)
"Authentication" ist auch analog wieder auf PKI zu setzen und die erzeugten Client Keys (client1....clinetx usw.) von oben per cut and paste einzutragen !
Custom Options auf "float" setzen um Adressänderungen bei ggf. doppeltem NAT im Providernetz zu akzeptieren.
Mit der Beschreibung am Ende ist die Client Installation dann abgeschlossen und der Standort wird sich nach dem Klick auf "Save" zur Sicherung sofort mit dem Router der Zentrale verbinden und den VPN Tunnel aufbauen. Das kann man im Systemlog von pfSense kontrollieren !
Damit ist dann die transparente Netzwerk Vernetzung der Standorte mit der Zenrale und unter sich funktionsbereit, was man mit einem Ping der Endgeräte verifizieren kann.
Achtung: Nicht vergessen, da man aus fremden IP Netzen kommt ggf. immer die lokale Firewall anpassen !

Domain Integration (DNS)

Eine sehr interessante Option bietet OpenVPN noch Betreibern einer Windows Domain die am Hauptstandort einen DC mit DNS zentral betreiben.
OpenVPN kann automatisch DNS Anfragen der Standorte an lokale Domainnamen an den DNS abfangen und somit problemlos ohne Klimmzüge lokal auflösen.
Dazu definiert man in den Clients unter Services --> DNS Forwarder einfach die lokale Domain und die dazugehörige DNS Server IP Adresse des DCs.

Damit ist dann auch die Domain Integration der Standorte im Handumdrehen erledigt.

Wichtige Tipps zum VPN IP Adress Design

Es gehört zu den goldenen Regeln eines vorausschauenden VPN Designs das lokales und remotes Netzwerk NIEMALS gleich sein dürfen !!
Ist ja auch logisch, da so ein Routing der remoten Netze bei Gleichheit vollkommen unmöglich wird.

Viele Laien wählen als IP Netzwerk die allseits bekannten IP Netze 192.168.1.0 /24 oder 192.168.2.0 /24 usw. da diese oft per Default von allen Consumer DSL (Speedport usw.) und Kabelroutern verwendet werden und zuhauf im Einsatz sind.
192.168.178.0 /24 scheidet ebenfalls aus, da jede FritzBox dieses Netz lokal verwendet ! Niemand macht sich die Mühe das umzustellen und übernimmt oft kritiklos und häufig auch aus Unwissen diese Standard Einstellungen !
Die Folge davon ist das diese IP Netze in vielen öffentlichen Netzen wie in Hotels, Hotspots, Flughäfen und (leider) auch zahllosen Firmennetzen benutzt werden.
Tritt dann IP Gleichheit der remoten und lokalen VPN Netze ein, macht das einen VPN Betrieb technisch unmöglich !

Es ist daher dringend angeraten beim Aufbau und Planung von VPN Zugängen immer etwas exotischere IP Netze für sein lokales LAN zu wählen die einen IP Adresskonflikt dadurch nahezu unmöglich machen und einen störungsfreien VPN Betrieb ermöglichen.
Sieht man sich einmal den RFC-1918 (Private IP Netze) etwas genauer an der die IP Adresskontingente für Private Netze global festlegt:
http://de.wikipedia.org/wiki/Private_IP-A ...
erkennt man schnell das man sich nicht mit banalen 192.168er IP Adressen abfinden muss, sondern auch noch den Block im 172er und 10er Bereich hat.
Wählt man nun bei der VPN Planung etwas IP netztechnisch "Exotisches" für die Adressierung wie z.B.
192.168.217.0 /24 = 255.255.255.0 24 Bit Adress Maske
oder
172.24.1.0 /24
oder
10.168.70.0 /24
oder oder oder....
kann man sich relativ sicher sein das ein IP Adresskonflikt durch gleiche IP Netze doch sehr sehr selten ist und man sich VPN Probleme gleich von Anfang an aus der (IP) Welt schafft !

Weitere Optionen sind der VPN Tunnelaufbau über Proxy Server und andere Features die OpenVPN bietet. Weitergehende Infos bietet hier die Documentation auf der OpenVPN Seite:
http://www.openvpn.net/index.php/open-sou ...

Eine Standort Vernetzung mit der VPN Funktion der FritzBox ist mit OpenVPN nicht möglich es sei denn man flasht die FB mit der alternativen freetz Firmware.
Eine heterogene Standortvernetzung ist aber problemlos mit FB und Monowall/pfSense möglich nutzt man das IPsec Protokoll.
Dieses Tutorial beschreibt die einzelnen Schritte:
http://www.administrator.de/index.php?con ...

Letzte Aktualisierung: 13/04/2012

-----BEGIN CERTIFICATE----- 

MIIDQDCCAqmgAwIBAgIJANclwHUBez61MA0GCSqGSIb3DQEBBAUAMHQxCzAJBgNV 

BAYTAkRFMQwwCgYDVQQIEwNBZ3UxEjAQBgNVBAcTCUFndWhhdXNlbjEQMA4GA1UE 

ChMHUHJpdmF0ZTESMBAGA1UEAxMJYWd1c2VydmVyMR0wGwYJKoZIhvcNAQkBFg5h 

Z3U5NkBhZ3U5Ni5kZTAeFw0xMDA0MDIwOTUxMTlaFw0yMDAzMzAwOTUxMTlaMHQx 

CzAJBgNVBAYTAkRFMQwwCgYDVQQIEwNBZ3UxEjAQBgNVBAcTCUFndWhhdXNlbjEQ 

MA4GA1UEChMHUHJpdmF0ZTESMBAGA1UEAxMJYWd1c2VydmVyMR0wGwYJKoZIhvcN 

AQkBFg5hZ3U5NkBhZ3U5Ni5kZTCBnzANBgkqhkiG9w0BAQEFAAOBjQAwgYkCgYEA 

wVwWoa0KuszkOnQLD9GTegvLnxSP/Db1LqPlknsVVBvpelLFO3id4aH27hIEaybF 

Xb5RGSULvjPJ+zIakXTCqu/sVvILQrvySF2LoBiwqB8q+IF8vRE2CQTLH27pibVD 

m7nSDBrmGe8IpcV61YyF0lb2VX5VE0Ffm5Sfgeti+20CAwEAAaOB2TCB1jAdBgNV 

HQ4EFgQUbiF5cn0X6ezEQ5vr4wWqysw4SjEwgaYGA1UdIwSBnjCBm4AUbiF5cn0X 

6ezEQ5vr4wWqysw4SjGheKR2MHQxCzAJBgNVBAYTAkRFMQwwCgYDVQQIEwNBZ3Ux 

EjAQBgNVBAcTCUFndWhhdXNlbjEQMA4GA1UEChMHUHJpdmF0ZTESMBAGA1UEAxMJ 

YWd1c2VydmVyMR0wGwYJKoZIhvcNAQkBFg5hZ3U5NkBhZ3U5Ni5kZYIJANclwHUB 

ez61MAwGA1UdEwQFMAMBAf8wDQYJKoZIhvcNAQEEBQADgYEAjvErFVHVYZ6mwTap 

6BgqQ7a/t2QaE7hCrNpdykI3PEi+WKhfNQ7pY2mnrYebbz81straSBb+XmajRKDn 

kEheUekzr6RJyJs/SthlHv0DSdbQyi4cuRu45alAP+B0JfvFA2BvAJQfFFy5dkpX 

VxaRK7LoZ5YLkp3mkd3vn/eptkg= 

-----END CERTIFICATE-----

Certificate: 

    Data: 

        Version: 3 (0x2) 

        Serial Number: 1 (0x1) 

        Signature Algorithm: md5WithRSAEncryption 

        Issuer: C=DE, ST=Agu, L=Aguhausen, O=Private, CN=aguserver/emailAddress=agu96@agu96.de 

        Validity 

            Not Before: Apr  2 09:52:17 2010 GMT 

            Not After : Mar 30 09:52:17 2020 GMT 

        Subject: C=DE, ST=Agu, O=Private, CN=aguserver/emailAddress=agu96@agu96.de 

        Subject Public Key Info: 

            Public Key Algorithm: rsaEncryption 

            RSA Public Key: (1024 bit) 

                Modulus (1024 bit): 

                    00:c1:41:12:09:9a:2e:38:0b:ba:c2:bc:fb:57:5b: 

                    b5:e9:7b:40:ec:8c:20:cf:be:6b:04:08:ff:aa:c2: 

                    03:f0:b3:88:65:18:c6:ad:f1:ad:64:2d:82:7d:53: 

                    61:f8:11:64:b1:09:92:fc:d4:ab:64:75:c2:be:91: 

                    27:a1:ef:25:dd:a0:b1:26:f4:86:32:f9:f8:f8:af: 

                    97:1a:a1:e6:61:80:52:51:5a:8d:31:6f:de:9d:43: 

                    2e:98:06:ef:d0:ae:60:72:cc:ca:36:32:a3:14:34: 

                    04:b1:81:9c:39:18:b8:95:bf:cf:0e:e3:fb:eb:aa: 

                    c9:29:6c:2a:b4:ab:3e:39:1b 

                Exponent: 65537 (0x10001) 

        X509v3 extensions: 

            X509v3 Basic Constraints:  

                CA:FALSE 

            Netscape Cert Type:  

                SSL Server 

            Netscape Comment:  

                OpenSSL Generated Server Certificate 

            X509v3 Subject Key Identifier:  

                8F:C2:94:A1:E2:53:2D:C7:E0:22:BE:EE:5D:0A:41:CE:59:C5:CB:68 

            X509v3 Authority Key Identifier:  

                keyid:6E:21:79:72:7D:17:E9:EC:C4:43:9B:EB:E3:05:AA:CA:CC:38:4A:31 

                DirName:/C=DE/ST=Agu/L=Aguhausen/O=Private/CN=aguserver/emailAddress=agu96@agu96.de 

                serial:D7:25:C0:75:01:7B:3E:B5 

    Signature Algorithm: md5WithRSAEncryption 

        16:33:6a:41:ef:17:36:fb:6b:83:23:f4:d1:c8:5a:2a:12:ec: 

        29:a6:52:51:41:ff:31:f2:d0:0c:7e:8c:3f:08:79:d1:42:3e: 

        bf:9c:90:61:32:bc:72:e9:59:d2:b6:a4:54:86:61:26:59:d2: 

        d2:da:56:be:b9:02:91:45:7d:58:99:e1:85:48:2c:ed:29:8b: 

        11:94:23:2e:69:81:22:aa:81:04:00:df:9b:eb:b1:7d:95:c3: 

        28:8e:a9:1b:47:e8:72:ba:ed:21:29:75:11:4f:7d:5c:e6:0e: 

        2a:11:76:fd:1e:6d:72:40:93:11:64:ca:8a:dd:e5:34:13:e9: 

        02:fc 

-----BEGIN CERTIFICATE----- 

MIIDazCCAtSgAwIBAgIBATANBgkqhkiG9w0BAQQFADB0MQswCQYDVQQGEwJERTEM 

MAoGA1UECBMDQWd1MRIwEAYDVQQHEwlBZ3VoYXVzZW4xEDAOBgNVBAoTB1ByaXZh 

dGUxEjAQBgNVBAMTCWFndXNlcnZlcjEdMBsGCSqGSIb3DQEJARYOYWd1OTZAYWd1 

OTYuZGUwHhcNMTAwNDAyMDk1MjE3WhcNMjAwMzMwMDk1MjE3WjBgMQswCQYDVQQG 

EwJERTEMMAoGA1UECBMDQWd1MRAwDgYDVQQKEwdQcml2YXRlMRIwEAYDVQQDEwlh 

Z3VzZXJ2ZXIxHTAbBgkqhkiG9w0BCQEWDmFndTk2QGFndTk2LmRlMIGfMA0GCSqG 

SIb3DQEBAQUAA4GNADCBiQKBgQDBQRIJmi44C7rCvPtXW7Xpe0DsjCDPvmsECP+q 

wgPws4hlGMat8a1kLYJ9U2H4EWSxCZL81KtkdcK+kSeh7yXdoLEm9IYy+fj4r5ca 

oeZhgFJRWo0xb96dQy6YBu/QrmByzMo2MqMUNASxgZw5GLiVv88O4/vrqskpbCq0 

qz45GwIDAQABo4IBHzCCARswCQYDVR0TBAIwADARBglghkgBhvhCAQEEBAMCBkAw 

MwYJYIZIAYb4QgENBCYWJE9wZW5TU0wgR2VuZXJhdGVkIFNlcnZlciBDZXJ0aWZp 

Y2F0ZTAdBgNVHQ4EFgQUj8KUoeJTLcfgIr7uXQpBzlnFy2gwgaYGA1UdIwSBnjCB 

m4AUbiF5cn0X6ezEQ5vr4wWqysw4SjGheKR2MHQxCzAJBgNVBAYTAkRFMQwwCgYD 

VQQIEwNBZ3UxEjAQBgNVBAcTCUFndWhhdXNlbjEQMA4GA1UEChMHUHJpdmF0ZTES 

MBAGA1UEAxMJYWd1c2VydmVyMR0wGwYJKoZIhvcNAQkBFg5hZ3U5NkBhZ3U5Ni5k 

ZYIJANclwHUBez61MA0GCSqGSIb3DQEBBAUAA4GBABYzakHvFzb7a4Mj9NHIWioS 

7CmmUlFB/zHy0Ax+jD8IedFCPr+ckGEyvHLpWdK2pFSGYSZZ0tLaVr65ApFFfViZ 

4YVILO0pixGUIy5pgSKqgQQA35vrsX2VwyiOqRtH6HK67SEpdRFPfVzmDioRdv0e 

bXJAkxFkyord5TQT6QL8 

-----END CERTIFICATE-----

-----BEGIN RSA PRIVATE KEY----- 

MIICXQIBAAKBgQDBQRIJmi44C7rCvPtXW7Xpe0DsjCDPvmsECP+qwgPws4hlGMat 

8a1kLYJ9U2H4EWSxCZL81KtkdcK+kSeh7yXdoLEm9IYy+fj4r5caoeZhgFJRWo0x 

b96dQy6YBu/QrmByzMo2MqMUNASxgZw5GLiVv88O4/vrqskpbCq0qz45GwIDAQAB 

AoGBALZ//sq2oaMn4Iz67tjGsPn2/Y7lni7RgjpjTR4y7omm4c2nIikuLDKIj8xO 

rBwaQN63TeoZ5GmQlAJnDehs8XG/ZBq1yWCztpXA/YoJ7FrP+v8ejNlkIx9CjTe2 

sHppeOlbA6vzp4NGlH+Xin5XZ0hQGlIFbYa4EwsE0wZsxJhBAkEA8I+LIcZ7swGj 

7oNXJfsb0VxyhPNdEn3eftNPF4tNijs9hSt52nGCNUAjw2l/AF9zaNwhuM2YtNWf 

mV4xuXsD0QJBAM2oRZ8o4qFQ0cxnz3cYKlL35IlCmhy/xtN17Ap38L0aVZXLELqw 

7OEPsbzMuXme4f8uSGjn3279pKTrBkRJhSsCQAc3ZycWOzO9gttu2ThsdgMr0Muo 

OUyKthf74s2EAkl5SXkrOraQ3SUXzXrZOVQbiOzGXcSbdk9GcUk6iCdWR2ECQQDD 

GQtTPhohJuagnyq1tHsSUpC/litVcqlQGeJe3AHJo53liMrKEOXnbFgU37JkqlGD 

H4kZ3D6esIjs2vkK9yQZAkAoNPcp74eVmw1gwpsyDEHNzTQHMBR+AzKbQbjxpuRK 

2t0mSfj7QgJuicPgLPURRs4l2W9KByalYujsmg9clgW4 

-----END RSA PRIVATE KEY-----

-----BEGIN DH PARAMETERS----- 

MIGHAoGBAP1rvTSiJeCzmGqexXkslR8qRq05H+fl553r9epOgLW/Ecog8J1V2was 

hpzVb4wa0XMcyrowHmIeC7Lxfzldm0R1sUsaj1SKlIfLDXZ790zB4Z591H6gvcym 

W8n5fTB77anwkICPoAH9nXIf3pIKztUXchv8lNrkidtzcLwp6tqrAgEC 

-----END DH PARAMETERS-----

############################################## 

# Sample client-side OpenVPN 2.0 config file # 

# for connecting to multi-client server.     # 

#                                            # 

# This configuration can be used by multiple # 

# clients, however each client should have   # 

# its own cert and key files.                # 

#                                            # 

# On Windows, you might want to rename this  # 

# file so it has a .ovpn extension           # 

############################################## 

# Specify that we are a client and that we 

# will be pulling certain config file directives 

# from the server. 

client 

# Use the same setting as you are using on 

# the server. 

# On most systems, the VPN will not function 

# unless you partially or fully disable 

# the firewall for the TUN/TAP interface. 

;dev tap 

dev tun 

# Windows needs the TAP-Win32 adapter name 

# from the Network Connections panel 

# if you have more than one.  On XP SP2, 

# you may need to disable the firewall 

# for the TAP adapter. 

;dev-node MyTap 

# Are we connecting to a TCP or 

# UDP server?  Use the same setting as 

# on the server. 

;proto tcp 

proto udp 

# The hostname/IP and port of the server (DD-WRT Router WAN IP). 

# You can have multiple remote entries 

# to load balance between the servers. 

remote 192.168.100.161 1194 

;remote my-server-2 1194 

# Choose a random host from the remote 

# list for load-balancing.  Otherwise 

# try hosts in the order specified. 

;remote-random 

# Keep trying indefinitely to resolve the 

# host name of the OpenVPN server.  Very useful 

# on machines which are not permanently connected 

# to the internet such as laptops. 

resolv-retry infinite 

# Most clients don't need to bind to 

# a specific local port number. 

nobind 

# Downgrade privileges after initialization (non-Windows only) 

;user nobody 

;group nobody 

# Try to preserve some state across restarts. 

persist-key 

persist-tun 

# If you are connecting through an 

# HTTP proxy to reach the actual OpenVPN 

# server, put the proxy server/IP and 

# port number here.  See the man page 

# if your proxy server requires 

# authentication. 

;http-proxy-retry # retry on connection failures 

;http-proxy [proxy server] [proxy port #] 

# Wireless networks often produce a lot 

# of duplicate packets.  Set this flag 

# to silence duplicate packet warnings. 

;mute-replay-warnings 

# SSL/TLS parms. 

# See the server config file for more 

# description.  It's best to use 

# a separate .crt/.key file pair 

# for each client.  A single ca 

# file can be used for all clients. 

ca C:/Programme/OpenVPN/easy-rsa/keys/ca.crt 

cert C:/Programme/OpenVPN/easy-rsa/keys/aguclient1.crt 

key C:/Programme/OpenVPN/easy-rsa/keys/aguclient1.key 

# Verify server certificate by checking 

# that the certicate has the nsCertType 

# field set to "server".  This is an 

# important precaution to protect against 

# a potential attack discussed here: 

#  http://openvpn.net/howto.html#mitm 

# 

# To use this feature, you will need to generate 

# your server certificates with the nsCertType 

# field set to "server".  The build-key-server 

# script in the easy-rsa folder will do this. 

ns-cert-type server 

# If a tls-auth key is used on the server 

# then every client must also have the key. 

;tls-auth ta.key 1 

# Select a cryptographic cipher. 

# If the cipher option is used on the server 

# then you must also specify it here. 

;cipher x 

# Enable compression on the VPN link. 

# Don't enable this unless it is also 

# enabled in the server config file. 

comp-lzo 

# Set log file verbosity. 

verb 3 

# Silence repeating messages 

;mute 20