[Tutorial] OpenVPN unter VTI

[robin.maier]

Hier eine Anleitung wie man OpenVPN unter VTI 15.x installieren kund konfigurieren kann.

1. Per SSH auf der Box als root anmelden und OPenVPN installieren
opkg install openvpn

um zu überprüfen ob openvpn installiert wurde kann man den Befehl:
opkg list-installed |grep openvpn   eingeben

root@vuuno4kse:~# opkg list-installed |grep openvpn
openvpn - 2.3.6-r0

Jetzt wechselt man in den Ordner: /etc/openvpn
cd /etc/openvpn/

Beim Installieren von openVPN wird automatisc hder Configurationsordner in /etc/openvpn erstellt

2. Konfigurationsdateien vom VPN ANbieter deiner Wahl herunterladen und modifizieren

Wichtg!  Mir ist kein VPN Anbieter bekannt, der kostenlos eine Config Datei für OpenVPN bereitstellt, da openvpn die meistgenutzte VPN Lösung momentan ist. Man muss also schon einen Bezahlten Account bei einem VPN Anbieter haben. Das was kostenlos angeboten wird sind BrowserPlugins oder fertige APPs die die Verbindung herstellen, damit abern icht auf einem Linux SatReceiver funktionieren.

Man loggt sich also bei seinem VPN Anbieter ein und sucht nach Configs für OpenVPN und wenn möglich und vorhanden für Enigma Boxen.
In der Regel gibt es 3 verschiedene Arten: OpenVPN,IKEv2 und neu: Wireguard. Für VTI benötigen wir aber openvpn.

Je nach Anbieter kann man jetzt ggf ein komplettes Bundle mit Configs für 
a) alle Länder oder einzelnes Land
b) Protokoll TCP oder UDP
c) Port --> verschiedene Ports

herunterladen.
Ich würde für den Anfang hier: Land (irgendein Europäisches Land) - Protokoll: TCP - Port 443 aussuchen. - Natürlicjh geht auch in der Regel alle anderen Configs
Wenn man die Möglichkeit hat noch nach eine Config für spezielle OpenVPN Verisonen zu filtern, dann sollte man die älteste Verison nehmen, da wir ja unter VTI die Version 2.3.6 installiert haben und neuere Configs ggf Befehle beinhalten, die diese Version nicht verstejht.

Jetzt sollte man eine oder mehrere Dateien, manchmal sind es auch ZIP Dateien mit verschiedenen Configs, sortiert nach Ländern herunterladen können.
Diese Config Dateien haben die Endung:  *.ovpn

3. Login Informationen herausbekommen
In nahezu allen Fällen ist es so, daß der Login in die Weboberfläche des VPN ANbieters nicht den eigentlichen VPN Login Informationen entspricht.
Entweder sind Username/Passwort irgendwo vermerkt oder sie wurden automatisch schon in die dementsprechende Config Datei eingetragen.

4. Öffnen und editieren der Config Dateien auf dem PC mit einem Editor Notepad++ (nicht zu empfehlen ist hier das Windows Notepad)
Wenn man die opvn Datei heruntergeladen hat kann man Diese mit dem Notepad++ öffnen und etwas editieren.

Eine opvn Datei sieht ungefähr so aus:

client
dev tun
proto tcp
remote cph-153.whiskergalaxy.com 443
verify-x509-name cph-153.windscribe.com name
nobind
auth-user-pass
resolv-retry infinite
auth SHA512
cipher AES-256-CBC
verb 2
mute-replay-warnings
remote-cert-tls server
persist-key
persist-tun
key-direction 1
<ca>
-----BEGIN CERTIFICATE-----
MIIF5zCCA8+gAwIBAgIUXKzAwOtQBNDoTXcnwR7GxbVkRqAwDQYJKoZIhvcNAQEL
BQAwezELMAkGA1UEBhMCQ0ExCzAJBgNVBAgMAk9OMRAwDgYDVQQHDAdUb3JvbnRv
MRswGQYDVQQKDBJXaW5kc2NyaWJlIExpbWl0ZWQxEDAOBgNVBAsMB1N5c3RlbXMx
HjAcBgNVBAMMFVdpbmRzY3JpYmUgTm9kZSBDQSBYMTAeFw0yMTA3MDYyMTM5NDNa
Fw0zNzA3MDIyMTM5NDNaMHsxCzAJBgNVBAYTAkNBMQswCQYDVQQIDAJPTjEQMA4G
A1UEBwwHVG9yb250bzEbMBkGA1UECgwSV2luZHNjcmliZSBMaW1pdGVkMRAwDgYD
VQQLDAdTeXN0ZW1zMR4wHAYDVQQDDBVXaW5kc2NyaWJlIE5vZGUgQ0EgWDEwggIi

In der Regel stehen oben die nötigen OPenVPN Commands und weiter unten dann die Zertifikate  der jeweiligen Anbieter.
Wir ersetzen nun die Zeile 
auth-user-pass  
mit folgenden Werten
auth-user-pass login.txt

Die Config sollte dann etwa so aussehen:

client
dev tun
proto tcp
remote cph-153.whiskergalaxy.com 443
verify-x509-name cph-153.windscribe.com name
nobind
auth-user-pass login.txt
resolv-retry infinite
auth SHA512
cipher AES-256-CBC
verb 2
mute-replay-warnings
remote-cert-tls server
persist-key
persist-tun
key-direction 1
<ca>
-----BEGIN CERTIFICATE-----
MIIF5zCCA8+gAwIBAgIUXKzAwOtQBNDoTXcnwR7GxbVkRqAwDQYJKoZIhvcNAQEL
BQAwezELMAkGA1UEBhMCQ0ExCzAJBgNVBAgMAk9OMRAwDgYDVQQHDAdUb3JvbnRv
MRswGQYDVQQKDBJXaW5kc2NyaWJlIExpbWl0ZWQxEDAOBgNVBAsMB1N5c3RlbXMx
HjAcBgNVBAMMFVdpbmRzY3JpYmUgTm9kZSBDQSBYMTAeFw0yMTA3MDYyMTM5NDNa
Fw0zNzA3MDIyMTM5NDNaMHsxCzAJBgNVBAYTAkNBMQswCQYDVQQIDAJPTjEQMA4G
A1UEBwwHVG9yb250bzEbMBkGA1UECgwSV2luZHNjcmliZSBMaW1pdGVkMRAwDgYD
VQQLDAdTeXN0ZW1zMR4wHAYDVQQDDBVXaW5kc2NyaWJlIE5vZGUgQ0EgWDEwggIi

Nun speichern wir die Datei ab unter dem Namen: openvon.conf 
Als nächstes erzeugen wir eine leere Datei mit Notepad++ und tragen in die
1. Zeile den VPN Username
2. Zeile das VPN Passwort

username_xyz
password-svr

Diese Datei speichern wir nun ab unter dem Namen:  login.txt
Was haben wir gemacht: Wir haben in der Config Datei einfach gesagt, dass die Login Credencials in einer extrnen Datei liegen, die auch mit eingelesen werden soll.

5. Kopieren der Dateien audf die SAT Box
Beide Dateien müssen nun auf die Satbox in den Ordner: /etc/openvpn kopiert werden.
Dort sollten nun 2 Dateien liegen: openvpn.conf und login.txt

6. Manuelles starten von openvpn
Jetzt sollten wir uns per SSH auf die Box als root verbinden und openvpn einmal per hand starten

cd /etc/openvopn
openvpn openvpn.conf

Openvpn startet nun interaktiv und gibt an der Kommandozeile verschiedene INformationen aus.
Beispiel:

root@vuuno4kse:/etc/openvpn# openvpn openvpn.conf
Tue Jan 30 14:54:09 2024 OpenVPN 2.3.6 arm-oe-linux-gnueabi [SSL (OpenSSL)] [LZO] [EPOLL] [MH] [IPv6] built on Mar  2 2018
Tue Jan 30 14:54:09 2024 library versions: OpenSSL 1.0.2a 19 Mar 2015, LZO 2.09
Tue Jan 30 14:54:09 2024 WARNING: file 'login.namecheap' is group or others accessible
Tue Jan 30 14:54:09 2024 Socket Buffers: R=[163840->131072] S=[163840->131072]
Tue Jan 30 14:54:09 2024 UDPv4 link local: [undef]
Tue Jan 30 14:54:09 2024 UDPv4 link remote: [AF_INET]xxx.xxx.xxx.xxx1194
Tue Jan 30 14:54:09 2024 TLS: Initial packet from [AF_INET]xxx.xxx.xxx.xxx:1194, sid=93811bc4 ce63e23c
Tue Jan 30 14:54:09 2024 WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
Tue Jan 30 14:54:09 2024 VERIFY OK: depth=1, C=US, ST=VPN, L=VPN, O=VPN, OU=VPN, CN=VPN, name=VPN, emailAddress=VPN
Tue Jan 30 14:54:09 2024 Validating certificate key usage
Tue Jan 30 14:54:09 2024 ++ Certificate has key usage  00a0, expects 00a0
Tue Jan 30 14:54:09 2024 VERIFY KU OK
Tue Jan 30 14:54:09 2024 Validating certificate extended key usage
Tue Jan 30 14:54:09 2024 ++ Certificate has EKU (str) TLS Web Server Authentication, expects TLS Web Server Authentication
Tue Jan 30 14:54:09 2024 VERIFY EKU OK
Tue Jan 30 14:54:09 2024 VERIFY OK: depth=0, C=US, ST=VPN, L=VPN, O=VPN, OU=VPN, CN=sto-a07.wlvpn.com, emailAddress=VPN
Tue Jan 30 14:54:09 2024 Data Channel Encrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
Tue Jan 30 14:54:09 2024 Data Channel Encrypt: Using 256 bit message hash 'SHA256' for HMAC authentication
Tue Jan 30 14:54:09 2024 Data Channel Decrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
Tue Jan 30 14:54:09 2024 Data Channel Decrypt: Using 256 bit message hash 'SHA256' for HMAC authentication
Tue Jan 30 14:54:09 2024 Control Channel: TLSv1, cipher TLSv1/SSLv3 ECDHE-RSA-AES256-SHA, 2048 bit RSA
Tue Jan 30 14:54:09 2024 [sto-a07.wlvpn.com] Peer Connection Initiated with [AF_INET]185.147.213.57:1194
Tue Jan 30 14:54:11 2024 SENT CONTROL [sto-a07.wlvpn.com]: 'PUSH_REQUEST' (status=1)
Tue Jan 30 14:54:11 2024 PUSH: Received control message: 'PUSH_REPLY,redirect-gateway def1 bypass-dhcp,dhcp-option DNS 198.18.0.1,dhcp-option DNS 198.18.0.2,rcvbuf 493216,sndbuf 493216,explicit-exit-notify 5,comp-lzo no,route-gateway 172.21.94.1,topology subnet,ping 20,ping-restart 40,ifconfig 172.21.94.13 255.255.254.0,peer-id 1'
Tue Jan 30 14:54:11 2024 Option 'explicit-exit-notify' in [PUSH-OPTIONS]:6 is ignored by previous <connection> blocks
Tue Jan 30 14:54:11 2024 OPTIONS IMPORT: timers and/or timeouts modified
Tue Jan 30 14:54:11 2024 OPTIONS IMPORT: explicit notify parm(s) modified
Tue Jan 30 14:54:11 2024 OPTIONS IMPORT: LZO parms modified
Tue Jan 30 14:54:11 2024 OPTIONS IMPORT: --sndbuf/--rcvbuf options modified
Tue Jan 30 14:54:11 2024 Socket Buffers: R=[131072->327680] S=[131072->327680]
Tue Jan 30 14:54:11 2024 OPTIONS IMPORT: --ifconfig/up options modified
Tue Jan 30 14:54:11 2024 OPTIONS IMPORT: route options modified
Tue Jan 30 14:54:11 2024 OPTIONS IMPORT: route-related options modified
Tue Jan 30 14:54:11 2024 OPTIONS IMPORT: --ip-win32 and/or --dhcp-option options modified
Tue Jan 30 14:54:11 2024 OPTIONS IMPORT: peer-id set
Tue Jan 30 14:54:11 2024 ROUTE_GATEWAY 192.168.xxx.1/255.255.255.0 IFACE=eth0 HWADDR=00:1d:ec:13:54:6b
Tue Jan 30 14:54:11 2024 TUN/TAP device tun1 opened
Tue Jan 30 14:54:11 2024 TUN/TAP TX queue length set to 100
Tue Jan 30 14:54:11 2024 do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
Tue Jan 30 14:54:11 2024 /sbin/ip link set dev tun1 up mtu 1500
Tue Jan 30 14:54:11 2024 /sbin/ip addr add dev tun1 172.21.94.13/23 broadcast 172.21.95.255
Tue Jan 30 14:54:11 2024 /sbin/ip route add xxx.xxx.xxx.xxx/32 via 192.168.xxx.1
Tue Jan 30 14:54:12 2024 /sbin/ip route add 0.0.0.0/1 via 172.21.94.1
Tue Jan 30 14:54:12 2024 /sbin/ip route add 128.0.0.0/1 via 172.21.94.1
Tue Jan 30 14:54:12 2024 Initialization Sequence Completed

Sollte etwas nicht funktionieren ist es wichtig genau von dieser Ausgabe eine Kopie zu bekommen, damit man sieht was angemeckert wird.
Um nun zu sehen, ib die VPN Verbindung wirklich zustande gekommen ist, sollte man einfach eine 2. SSH Sietzung zur Satbox aufmachen und dann folgenden Befehl eingeben
ifconfig

eth0      Link encap:Ethernet  HWaddr 00:1d:ec:13:54:6b
          inet addr:192.168.xxx.87  Bcast:0.0.0.0  Mask:255.255.255.0
          inet6 addr: fe80::21d:ecff:fe13:546b/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:1045141 errors:0 dropped:40606 overruns:0 frame:0
          TX packets:3445706 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:95136486 (90.7 MiB)  TX bytes:888445590 (847.2 MiB)

lo        Link encap:Local Loopback
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:65536  Metric:1
          RX packets:98 errors:0 dropped:0 overruns:0 frame:0
          TX packets:98 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:9412 (9.1 KiB)  TX bytes:9412 (9.1 KiB)

tun0      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
          inet addr:172.xx.xx.15  P-t-P:172.xx.xx.15  Mask:255.255.254.0
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1500  Metric:1
          RX packets:1062 errors:0 dropped:0 overruns:0 frame:0
          TX packets:917 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100
          RX bytes:344000 (335.9 KiB)  TX bytes:62237 (60.7 KiB)

Wichtig ist hier, dass man das Interface tun0 sieht welches für ein VPN INterface steht.
Nun kann man noch den Befehl:  wget -qO- ifconfig.me
Die IP Adresse sollte nun anders sein als die die man vom Provider bekommen hat

Nun kann man den openvon Befehkl mit CTRL+C abbrechen und beim nächsten Reboot sollte die Satbox dann automatisch OpenVPN starten und auch die richtige Config nutzen.

Es kann sein, daß man von dem VPN ANbieter iene Config bekomme die nicht kompatible Begfehle innerhalb deR config Datei nutzt, die das auf der Satbox installierte openVPN nicht (mehr) versteht weil nicht mehr aktuell.
wie zb comp-lzo . - hier muss man dann die Config in der Regel etwas umbauen oder auskommentieren.