In diesem Tutorial lernen Sie, wie man einen Proxmox OpenVPN LXC Container erstellen kann. Mehr Informationen über TurnKey OpenVPN finden Sie hier. Um die Sicherheit noch zusätzlich zu erhöhen, können Sie ihren VPN Server mit einem Pi-hole verbinden.
1. OpenVPN LXC Container erstellen
Als erstens erstellen Sie einen LXC Container mit dem OpenVPN TurnKey CT Template. Der LXC Container sollte eine Root Disk mit 2GB, 256MB RAM, 256MB SWAP und 1 CPU Core haben. Falls Sie nicht wissen wie man einen LXC Container erstellt können Sie für die Erstellung diesem Tutorial folgen. Natürlich müssen Sie dann das OpenVPN TurnKey CT Template herunterladen und nicht ein Debian 10 Template.
2. Installation Starten
Melden Sie sich über SSH oder über die Konsole im PVE Web Interface bei Ihrem Proxmox OpenVPN LXC Container an. Nun sollten Sie diesen Installer sehen. Folgen Sie dem Installer.
Wählen Sie Server aus und drücken OK (enter).
3. Email Addresse eingeben
4. FQDN oder öffentliche IP-Adresse eingeben
5. Client Subnetz eingeben
Dieses Subnetz sollte nicht in Ihrem Netzwerk vorhanden sein.
6. Erreichbares Subnetz eingeben
Das erreichbare Subnetz ist jenes, auf welches die Clients zugriff erghalten sollen. In meinem Fall ist es das gleiche Subnetz wie das des Proxmox OpenVPN LXC Containers.
7. Hub Services
Sie können die Hub-Services gerne aktivieren, um Backup und Migration und weitere Funktionen zu aktivieren. Für dieses Tutorial wird aber darauf verzichtet.
8. Systembenachrichtigungen
Aktivieren Sie, wenn nötig die Systembenachrichtigungen.
9. Updates Installieren
10. Installation erfolgreich
Die Installation ist nun erfolgreich abgeschlossen und sie können CTRL+C eingeben, um zugriff auf die normale Konsole zu bekommen.
11. Client Konfiguration
Ein Client Profil können Sie ganz einfach mit diesem Befehl erstellen.
openvpn-addclient client-name client-email [private-subnet]
Eine sich selbst löschende Client download URL erstellen
Die URL wird dann im Terminal angezeigt und kann im Browser aufgerufen werden um die OpenVPN Client Datei herunterzuladen oder über einen QR Code herunterzuladen.
/var/www/openvpn/bin/addprofile client-name
Manuell eine Profil download URL löschen
/etc/cron.hourly/openvpn-profiles-delexpired
Ein Client Zertifikat Wiederrufen
openvpn-revoke client-name
12. Portfreigabe
Vergessen Sie nicht die Portfreigabe auf Port 1194 UDP zu machen.
Danach können Sie ihren Proxmox OpenVPN LXC Container wie einen normalen OpenVPN Server nutzen.
Hi,
kann man beim TurnKey OpenVPN Server irgendwo auch einstellen,
dass ein Passwort beim Verbindungsaufbau zum VPN-Server, verlangt wird?
Bei mir verbindet sich der Client, mit dem erzeugten .ovpn File,
ohne Passwortabfrage. 🙁
Gruß
Marcel
Hallo Marcel
Das ist absichtlich so dass der Server nicht nach einem Passwort verlangt.
Die Authentifizierung funktioniert mit einem 2024 Bit RSA Key welcher in der openvpn Config gespeichert ist. Dies ist um einiges sicherer als ein 16 stelliges Passwort.
Freundliche Grüsse Ramon
Hallo Ramon,
Ich hätte gerne zusätzlich eine Passwort Absicherung.
Wenn man das .ovpn-File auf einem öffentlichen PC abspeichert und vergisst 🙂
z.B.: Firmen-PC, könnte jeder sich ohne Login verbinden.
Gibt es dafür eine Lösung?
Gruß
Marcel
Guten Tag
Da haben Sie natürlich absolut recht. Für diesen Anwendungszweck ist ein zusätzliches Passwort praktisch.
Ich habe dies testweise versucht aber mir gelang es leider bisher nicht.
Freundliche Grüsse Ramon
Eine Passwort-Abfrage müsste bereits bei der serverseitigen Erstellung der Client-Konfiguration vorgenommen werden. Eine Absicherung auf Client-Seite kann man z.B. dadurch erreichen, dass man die Konfigurationsdatei (.ovpn) in einen sicheren Container packt (z.B. VeraCrypt). Dann kann der VPN Zugang nur genutzt werden, wenn zuvor der Passwort-gesicherte Container geöffnet wurde.
Gruß Sönke
Hi,
Ich habe Fragen zur Client Installation. Habe einen Intel Nuc mit Proxmox und als VM ioBroker Slave am laufen, dieser steht in Tulln und sollte sich per OpenVPN zum Master nach WIen verbinden. Habe nicht wirklich erfahrung mit turnkey.
In Wien steht ein Synology Router auf dem OpenVPN läuft und ich komme per Handy, PC usw. von extern ohne Problem drauf.
Jetzt will ich in Tulln einen LXC Container mit turnkey installieren, aber eben nur als Client. Wie gehe ich da vor, die oben angegeben Infos sind mir als Laie einfach zu wenig, THX
Hallo
OpenVPN Turnkey ist ein OpenVPN Server und kein Client.
Als Client kannst du einen normalen Debian Container aufsetzen und dann darauf einen OpenVPN Client installieren. Und am Ende so connecten.
Gruss Ramon
Hallo und danke für diese Anleitung.
Ich verstehe nur nicht ganz, welche IP Bereiche ich bei mir eingeben muss.
Mein Router hat die IP 192.168.0.1 und der OpenVPN Server die IP 192.168.0.45
Was muss ich den jetzt bei den Punkten 5und 6 eingeben?
Hallo
Bei Punkt 5 kannst du ein beliebiges Netz angeben, welches sich nicht mit deinem Heimnetz überschneidet. Also beispielsweise 10.10.23.1 würde funktionieren.
Bei Punkt 6 gibst du 192.168.0.1 an wen du möchtest, dass man über das VPN zugriff, auf die Geräte in deinem Heimnetzwerk hat.
Gruss Ramon
Hallo und danke für die superschnelle Antwort.
Ich habe das so eingerichtet, nur bekomme ich vom Handy (Android/O.VPNAPP) keine Verbindung. In den Logs wird eine vollkommen falsche IP Angezeigt.
Ich habe dyndns Eingetragen und diese löst auch richtig auf.
Port 1194 UDP ist freigegeben.
Kannst du mir hier einen Tipp geben?
Guten Tag
Ich möchte mich erstmals für die lange Wartezeit entschuldigen.
Tut mir leid, dazu weiss ich spontan keine Lösung.
Freundliche Grüsse ramhee
Klasse