OpenVPN trotz Bug unter openmediavault einrichten

Nachtrag eines Users: Vor kurzem wurde die neuste Version des OpenVPN Plugins – Version 4.0.4 – veröffentlicht, in der der Schritt “Schritt 5: Fehler per SSH beheben” nicht mehr ausgeführt werden muss. Das war ein Fehler und wurde scheinbar behoben. Danke dafür lieber Philipp. 🙂

Wer unter openmediavault zusätzlich zu seinem vorhandenen Netzlaufwerk mit einer Erweiterung versucht, einen OpenVPN-Server einzurichten wird unter openmediavault 4.1.15-1 und co. sowie OpenVPN 4.0.1 schnell an seine Grenzen stoßen. Dabei soll die Einrichtung eines eigenen VPNs über diese Erweiterung so leicht wie möglich gemacht werden. Ein simpler Konfigurationsfehler im Plugin verhindert das einrichten. Hier wird euch in 6 einfachen Schritten gezeigt, wie man diesen Fehler behebt.

Schritt 1: OpenVPN installieren

Ist openmediavault zum Beispiel auf einem RaspberryPi am laufen, braucht man das Plugin in den “Erweiterungen” nur per einem Klick zu installieren.

Schritt 2: Netzwerkschnittstelle einrichten

Im Menüpunkt “Netzwerk” muss einfach eine neue Ethernet-Schnittstelle eingerichtet werden. Beim Raspberry Pi ist auch nur ein Ethernet-Anschluss auszuwählen. Am besten funktioniert OpenVPN, wenn eine statische IPv4- oder IPv6-Verbindung eingrichtet wird. Dazu muss im Routermenü lediglich die eigene Netzwerkmaske (oft 255.255.255.0), die IP-Adresse des Raspberrys (z.B. 192.168.1.13) und die IP-Adresse des Routers bzw. Gateways (also z.B. 192.168.1.1) herausgefunden und in die neue Kabelnetzverbindung eingetragen werden. Die lokale IP für den Pi muss dann auch im Router festgelegt werden. Mehr ist hier nicht zu tun. Natürlich geht das auch mit einer Drahtlosverbindung.

Schritt 3: OpenVPN vorkonfigurieren

Ist OpenVPN einmal installiert, findet sich links im Menü auch der entsprechende Eintrag. Hier muss nun OpenVPN aktiviert werden und dann würde ich folgende Optimalkonfiguration verwenden:

Port: 1194

Protokoll: UDP

Komprimierung: Ja

PAM: Ja -> sorgt dafür dass der VPN nocheinmal zusätzlich mit einem Benutzernamen und einem Passwort (das vorher unter "Benutzer" angelegt wurde) gesichert wird.

Adresse: 10.8.0.0

Maske: 255.255.255.0

Gatewayinterface: Die zuvor erstellte Netzwerkschnittstelle auswählen

Öffentliche Adresse: Hier muss die öffentliche IP-Adresse oder DynDNS-Domain eures Internetanschlusses hinein. (z.B. 95.102.30.18 oder meinvpn.no-ip.de)

Das ganze wird dann gespeichert.

Schritt 4: Portfreigabe

Damit euer VPN dann auch von außerhalb erreichbar ist, muss der zuvor festgelegte Port (1194) im Router freigegeben werden. (siehe Beispielkonfiguration)

Schritt 5: Fehler per SSH beheben

Um entsprechende Anpassungen zu machen, gebt eurem “Benutzer” auch SSH-Zugriff, damit ihr euch mit seinen Daten via SSH einloggen könnt. Auf den SSH-Server des openmediavault kommt man zwar theoretisch auch per Kommandozeile, leider jedoch macht das manchmal Probleme, weswegen ich die kostenlose Software “Putty” empfehle. Wichtig ist auch, dass SSH in openmediavault aktiviert worden ist.

Hier nun einfach die lokale IP-Adresse des Raspberrys eingeben und mit den entsprechenden Nutzerdaten anmelden.

Ist man angemeldet, sieht man erstmal in etwa das:

Nun gehen wir mit dem Befehl “cd etc/openvpn” in das entsprechende Verzeichnis. Danach kann man mit dem Befehl “nano server.conf” die Konfigurationsdatei von OpenVPN bearbeiten. Sollte es nicht direkt so aussehen wie im Bild unten, einfach einmal die Eingabetaste drücken.

Dort sieht man nun zwei Zeilen, die scheinbar zusammen gehören. Wir machen also aus den zwei Zeilen eine, entfernen dabei aber folgenden Teil “169.254.0.0 192.168.1.0” und ersetzen ihn durch “10.8.0.0“. Bei entsprechend anders festgelegter Adresse kommt diese natürlich dann dort hin.

Danach mit Strg-X und der Taste Y und der Enter-Taste aus dem Programm raus gehen. Putty kann jetzt geschlossen werden, wir sind hier fertig.

Nun muss openmediavault einmal über das Webinterface neu gestartet werden.

Wichtig ist jetzt: Damit diese Konfiguration so bleibt, dürfen im Webinterface keinerlei Einstellungen mehr im “OpenVPN”-Unterpunkt geschehen. Sonst müsste man den Schritt mit dem Putty-Tool wiederholen. Lediglich Nutzer können weiterhin angelegt oder gelöscht werden.

Schritt 6: Nutzer anlegen und VPN am PC oder Handy einrichten

Damit man sich nun mit seinem VPN verbinden kann, muss ein Nutzer erstellt werden. Dieser bekommt dann ein Zertifikat, dass auf das entsprechende Gerät geladen werden muss. Dies sollte am besten verschlüsselt (z.B. mit Encrypto) passieren. So wird sichergestellt, dass sich niemand fremdes mit dem VPN verbinden kann, da jedes Gerät dann ein einzigartiges Zertifikat bekommt.

Unter Windows gibt es dann das OpenVPN-Client Programm, in das man sein Zertifikat einbinden kann.

Unter macOS gibt es das auch, hier würde ich aber Tunnelblick bevorzugen.

Für Android gibt es die offizielle OpenVPN App.

Unter iOS gibt es die offizielle App “OpenVPN Connect“.

Damit OpenVPN auch so sicher sein kann wie es ist, muss das generierte Zertifikat, genauer gesagt die “.ovpn”-Datei, in die jeweilige Client-Software eingebunden werden. Schon sollte man sich bei korrekter Konfiguration mit seinem VPN verbinden können. Wichtig: Jedes Zertifikat kann nur einmal verwendet werden!

Nun kann man selbst im Ausland auf Webseiten zugreifen, wie man es vom VPN-Standort gewohnt ist. Desweiteren kann man so auch von außerhalb wie gewohnt auf sein Heimnetzwerk und somit auf seine Netzwerkfestplatten zugreifen.

Sollten nun noch fragen offen sein, kann man diese gern hier in den Kommentaren oder per Kontaktformular stellen. 🙂 Viel Spaß!