generelle Anfänger-Fragen zu openvpn(8) als Client

pit234a

Well-Known Member
Gerade lese ich mich da ein, natürlich an der Oberfläche und natürlich ergeben sich da schon Fragen.

Vielleicht das zuerst, was ich mir überhaupt wünsche: eine bestimmte Seite/Adresse mit einem Programm aufrufen und über einen frei zugänglichen VPN-Server leiten, ohne dass ich meinen kompletten Netzwerkverkehr über diesen VPN-Server leiten muss und zwar auch https-Adressen, wo ja dann auch Zertifikat-Handling wohl auch eine Rolle spielt die ich noch gar nicht durchblicke.
In meiner Fantasie sieht das also zB so aus, dass ich vielleicht "app" --openvpn https://.... sage und dann genau dise Aktion eben über VPN läuft, wobei app vielleicht "dillo" ist oder "mpv" oder so.

Was ich so bisher gelesen habe führt dazu, dass über ein neues (openvpn)-device aller Netzwerkverkehr über einen solchen Server geführt wird und da fürchte ich zusätzliche Abhängigkeit und mögliche Bandbreiten-Probleme. Das möchte ich eher nicht generell, weil ich die Frei verfügbaren VPNs nicht kenne und einschätzen kann.
 
Was mir spontan einfällt:

1. Wenn das Ziel definierte IP Adressen hat kannst Du eine entsprechende Route dieser IP Adressen auf das Tunnelinterface setzen (in der openvpn Konfiguration oder in einem Hook Skript). Dann gehen alle Zugriffe aller Anwendungen auf dieses Ziel durch den Tunnel. Wenn es kritisch ist dass nichts versehentlich über die default Route geht, kannst Du das per Firewall sperren.

2. Du kannst einen lokalen Proxy aufsetzen (z.B. Squid), der ausgehend den Datenverkehr durch den Tunnel schickt. Wenn die Anwendung die Umgebungsvariable HTTP_PROXY (oder so) berücksichtigt (leider eher unwahrscheinlich), brauchst Du die am Terminal nur setzen und dann die Anwendung starten. Alternativ kannst Du zum Starten der Anwendung irgendeinen Proxyfier verwenden, wie proxychains-ng oder proxybound oder so, dann geht das an der Konsole entsprechend mit "proxychains <app>" und der Verkehr der <app> läuft durch den Proxy.

Ist aber lange her dass ich sowas mal gemacht habe, vll hat ja jemand bessere Ideen.
 
Denke auch dass du da am ehesten mit nem Proxy - ich würde nen Socks Proxy verwenden - hinbekommst.

Also eine VM oder nen Pi in deinem Netz mit ovpn Client am VPN Server einwählen und dort prinzpiell alles übers VPN routen. Dann auf dieser VM nen Socks-Proxy und auf anderen Maschinen in deinem Netz kannst du dann via proxychains die Programme auf diesen Socks umleiten.

Hat aber sicher seine Schwächen, die Frage ist halt was genau du erreichen möchtest? GeoIP überwinden? Privacy? Performance/Latency?
 
Vielleicht das zuerst, was ich mir überhaupt wünsche: eine bestimmte Seite/Adresse mit einem Programm aufrufen und über einen frei zugänglichen VPN-Server leiten, ohne dass ich meinen kompletten Netzwerkverkehr über diesen VPN-Server leiten muss und zwar auch https-Adressen, wo ja dann auch Zertifikat-Handling wohl auch eine Rolle spielt die ich noch gar nicht durchblicke.
Wenn es darum geht, dass der Zielwebserver einfach nur nicht deine IP bekommen soll, dann reicht dir vielleicht https://www.torproject.org/download/

Ggf. hat Knoppix das schon onboard.
Wichtigste Regeln: in Deutschland Tor niemals als Exit-Node konfigurieren und niemals irgendwo mit den eigenen Credentials anmelden (mailproviderhomepage z.b.)

'Frei' verfübare VPNs (OpenVPN ist ein Name und soll nicht 'offenen' Zugang suggerieren) gibt es an sich auch so beschrieben gar nicht. Es gibt offene Proxies, entweder absichtlich oder unwissentlich/schlecht administriert. Die haben keine garantierte Bandbreite, oft auch unterirdische Ping-Zeiten, tlw. manipulieren sie auch den Traffic zu dir hin oder schneiden mit. (Auch da gilt, niemals Credentials drüberschieben!)

Wenn es darum geht geoblocking zu umgehen, dann könnte man sich ein Bezahl-VPN unter den zig Anbietern (alles die gleiche Suppe, die protokollieren und rücken bei Behördenanfragen alles raus) überlegen. Dafür hast du aber meist Bandbreite satt.
 
Wenn es darum geht, dass der Zielwebserver einfach nur nicht deine IP bekommen soll, dann reicht dir vielleicht https://www.torproject.org/download/

Ggf. hat Knoppix das schon onboard.

Oder Tails, das ist da noch sicherer konfiguriert ;) Aber wenn der OP nicht sagt was er vorhat brauchen wir hier auch nicht spekulieren.

Wichtigste Regeln: in Deutschland Tor niemals als Exit-Node konfigurieren und niemals irgendwo mit den eigenen Credentials anmelden (mailproviderhomepage z.b.)

Das mit dem Exitnode simmt leider (und gilt wohl auch für die meisten europ. Länder). Auch wenn mir nicht bekannt ist, dass tatsächlich jemand verurteilt wurde, weil er nen Exitnode betrieben hat, hat es da wohl einige Hausdurchsuchungen, Untersuchungshaft und andere Unannehmlichkeiten gegeben. Etwas was man gerne vermeiden möchte.

Das mit dem "nirgends Anmelden" ist aber so nicht korrekt und kommt etwas drauf an wofür ich Tor verwende. Überall wo ich mich anmelde ist das ganze über HTTPS gesichert, und da hilft es auch nicht, wenn jemand den Exitnode oder gar alle 3 Tor-Nodes kontrolliert. Im schlimmsten Fall sinkt die Sicherheit zurück auf HTTPS - und das gilt für sowas gemeinhin als sicher. Gegebenenfalls verlierst du natürlich die Anonymität für einen gewissen Zeitraum (das Tor Netz baut deine Routen ständig neu).

ist ein Name und soll nicht 'offenen' Zugang suggerieren) gibt es an sich auch so beschrieben gar nicht. Es gibt offene Proxies, entweder absichtlich oder unwissentlich/schlecht administriert. Die haben keine garantierte Bandbreite, oft auch unterirdische Ping-Zeiten, tlw. manipulieren sie auch den Traffic zu dir hin oder schneiden mit. (Auch da gilt, niemals Credentials drüberschieben!)

Wenn es darum geht geoblocking zu umgehen, dann könnte man sich ein Bezahl-VPN unter den zig Anbietern (alles die gleiche Suppe, die protokollieren und rücken bei Behördenanfragen alles raus) überlegen. Dafür hast du aber meist Bandbreite satt.

Es gibt durchaus brauchbare freie VPNs - kommt halt immer auf den Einsatzzweck drauf an, für Anonymität taugen die sicher alle nichts. OpenVPN hab ich für mich schon lange zu "legacy Kram" sortiert daher weiß ichs da nicht, aber das VPN von Cloudflare kann man z.b. mit dem normalen freien Wireguardclient nutzen. Auch das Mozilla VPN nutzt Wireguard und ist zumindest testweiße gratis (mit Möglichkeiten das zu verlängern).

Aber auch das Bezahlanbieter wie NordVPN und Co. alles rausrücken wage ich zu bezweifeln. Sonst würde deren Geschäftsmodell schlicht zusammenbrechen. Aber es ist halt auch ein Unterschied ob ein Rechteverwerter Filesharern auf die Schliche kommen möchte, oder ob die NSA die nationale Sicherheit bedroht sieht.
 
Überall wo ich mich anmelde ist das ganze über HTTPS gesichert, und da hilft es auch nicht, wenn jemand den Exitnode oder gar alle 3 Tor-Nodes kontrolliert.
Ganz doofes Beispiel nach Login :

Dem Grunde nach hast du Recht, wir wissen ja nicht was pit genau vorhat und ob 100% Anonymität gefordert ist.

Aber auch das Bezahlanbieter wie NordVPN und Co. alles rausrücken wage ich zu bezweifeln.
Im Zweifel will ichs nicht ausprobieren, wieviel Schutz mir z.B. 5€ bieten. :D

Es gibt durchaus brauchbare freie VPNs
Bei ProtonVPN kann man deren VPN testen
Ok, cool. Wusste ich tatsächlich nicht. :)
 
zunächst vielen Dank mal wieder für die Antworten.

Aus dem, was ich gelesen hatte, nenne ich mal dies: https://www.ovpn.com/en/guides/freebsd
Dort gibt es Angebote mit Adressen für VPN-Server in unterschiedlichen Ländern und die scheinen öffentlich zu sein und kostenlos.
Getestet habe ich da noch nicht, nur gelesen und insgesamt erschien es mir dann so, dass dies eine Lösung für mich sein könnte, aber eben mit dem schlechten Bauchgefühl, mich einem unbekannten Service aus zu liefern, also unbekannt hinsichtlich Anbieter und Bandbreite.

Was ich möchte ist nicht, mich anonym im Netz zu bewegen, sondern eine falsche Geo-Location vorzugaukeln.
Also, ich bin nun zB ein Deutscher und möchte auf Dienste in Deutschland zugreifen, reise aber ins Ausland und werde dann geblockt, weil die Daten nicht über Landesgrenze hinweg gehen dürfen.
Und mit dem Wort "dürfen" deutet sich ja schon an, dass es etwas illegales hat, wonach ich da frage. Diese Diskussion möchte ich nicht vertiefen, aber kurz erklären.


Denn konkret ist meine Situation, dass ich in Frankreich wohne und hier auch derzeit Im Home-Office arbeite, für ein Unternehmen in Deutschland und da wird ein intelligenter VPN-Service benutzt, der sowohl den Tunnel zu meiner Firma herstellt und Daten hindurch leitet, als auch gleichzeitig Zugriffe auf mein Heimnetz oder darüber dann auch direkt ins Internet zulässt. Das funktioniert in alle Richtungen sehr gut. Mit Win-10.

Und als ich diese Woche eine Störung an meiner Satelliten-Anlage hatte und ein Fußball-Spiel über Internet in FreeBSD ansehen wollte, wurde ich geblockt, weil ich eben im Ausland sitze.
Wir sehen nicht direkt Fern, sondern nutzen alle diverse PCs mit unterschiedlichen Betriebssystemen und mehreren Sat-Receivern, auf deren Streams über Webif zugegriffen werden kann und wir sehen quasi nur öffentlich-rechtlich-deutsch-TV. Auch Fußball. Also, das gleiche Spiel, die gleiche Übertragung, die mir im Internet geblockt wird, kann ich über Satellit ansehen und um der Nachfrage zuvor zu kommen: ich bezahle meine Rundfunk-Gebühren in Deutschland und Frankreich, fühle mich also nicht als illegaler Nutzer.
Weil ich nun seit einigen Monaten eine schnelle Internet-Leitung habe und da diese Störung an der Sat-Anlage war, dachte ich daran, vollkommen auf diese zu verzichten und mich auf IP-TV zu konzentrieren, aber dann möchte ich natürlich nicht auf die Sendungen verzichten, die mir wegen meiner IP-in-Frankreich geblockt werden.

Diese Anforderung ist aber eher selten und meine Sat-Anlage seit Gestern wieder repariert, so dass ich nunmehr eher akademisch darüber nachdenke, wie ich das mit FreeBSD vielleicht auch einfach lösen könnte. Also, was meine Firma mit einer quasi intelligenten SW löst, selbst auch hinbekommen könnte.

Es ist mir vollkommen bewusst, dass illegale Themen bei uns nichts zu suchen haben. Daran möchte ich mich auch halten. Wie legal oder illegal mein Wunsch ist, möchte ich aber nicht diskutieren. Ich bin kein Jurist und handele da eher nach Bauchgefühl und es ist nicht so, dass ich da einen finanziellen Vorteil suche oder einen Handel betreiben möchte.

Irgendwie wünschte ich mir, dass ich mit FreeBSD einfach eine Lösung finden könnte, so eine "one-Klick", also ohne Aufwand den Datenverkehr für eine Anwendung mal eine Zeit über einen VPN leiten. Ähnlich, wie ich das bei der Anwendung meiner Firma erlebe.
Das ist irgendwo immer so ein Ansporn: ich möchte ja nicht ein anderes System benutzen, nur weil dort etwas schon vorkonfiguriert daher kommt, was ich für FreeBSD nicht finde. Also lese ich halt mal, was da denn geht und leider verstehe zu wenig von all dem Zeug, um alles erfassen zu können.
Nimm nur mal die man page zu openvpn, wer das in einem Tag verstehen kann, muss deutlich mehr Genie-Gene haben, als ich.
Deshalb fragte ich mal nach.


Und soweit ich das nun sehe und verstehe, scheint es mir keine einfache Lösung zu geben, die in meinem Sinne funktioniert und die möglichen komplexen Lösungen bedenke ich zwar noch, kenne aber mich und meine natürliche Faulheit und nachdem meine Sat-Anlage wieder funktioniert, ist auch der Druck weg und wahrscheinlich werde ich das deshalb wieder ganz lassen.
Mal sehen, eine interessante Aufgabe ist das ja schon.


Mir ist es übrigens bisher noch nicht mal gelungen, den openvpn als client erfolgreich zu starten.
Die oben verlinkte Anleitung scheint ein wenig veraltet und ich erkenne noch nicht so richtig die notwendigen Voraussetzungen.
Vermutlich brauche ich zuerst ein /dev/tunx und wie ich das erstellen kann, ohne Neustart des Systems und ob das überhaupt alle Probleme löst, durchblicke ich noch nicht.
Naja, mal sehen...

aber nochmals Dank für die Antworten und Hinweise!
 
Prinzipiell ist ein VPN Tunnel wie ein Netzwerk Kabel das 2 Punkte verbindet. Das ist der Tun Mode. Jede Seite ist ein Subnetz. Dann gehen alle Router Möglichkeiten wie auf einer normalen Netzwerk Karte. Die VPN Pakete gehen aber über die normale Netzwerk Karte. In der Firewall der normalen Karte muss das freigeschaltet sein. Openvpn erstellt die tun/Tap devices selbst beim Start. Man das ihm aber auch geben. Es kann auch DHCP Adressen vergeben und routen setzen.

Im Tap Mode ist es wie wenn du dich an einen Switch anhängst.

Ich fand am Anfang den Tun Mode viel besser zu verstehen und betreibe ihn auch noch.
 
Mir ist es übrigens bisher noch nicht mal gelungen, den openvpn als client erfolgreich zu starten.
Was kommt denn für eine Fehlermeldung?
ggf. landet auch einiges im syslog bzw. in der Konfigurationsdatei ist eine Logdatei angegeben. Daraus ergibt sich ja möglicherweise der ein oder andere Hinweis.

Vermutlich brauche ich zuerst ein /dev/tunx
Das erstellt (wie bereits gesagt) der openvpn-Daemon von selbst.
Das ist auch nix im /dev/-Tree, sondern ein Netzwerk-Interface, welches dann auch bei
ifconfig
mit aufgelistet werden müsste.
 
ah, wieder etwas mehr kapiert und sehe im log, dass die Konfiguration, die ich ausprobierte gar nicht zu einem frei zugänglichen VPN führt, sondern eben bezahlt sein will und somit mein Zugang mangels Passwort scheitert.

das erklärt ja, weshalb ich keinen Client starten konnte.
Danke.
 
also: immerhin geht es schon, zumindest mal mit dem Ansatz, allen Netzwerkverkehr durch dieses tun-device zu senden. Für mein Vorhaben wäre das auch machbar, es kann ja zeitweise aus und wieder eingeschaltet werden.
Dabei habe ich nun einen freien Zugang von dem oben erwähnten ProtonVPN bekommen und dazu auch eine vorgefertigte Konfiguration, die ich leicht verändern musste. Zunächst musste ich das device von tun zu tun0 ändern, dann eine Zeile zu einer Authentifizierungsdatei ergänzen, denn ansonsten wird die Blind-Eingabe des Passwortes verlangt und daran scheiterte ich zu häufig und schließlich fügte ich noch die Zeile für meine log-Datei ein, weil ohne die ist schwer zu sehen, was man falsch macht.
Leider bieten die keinen freien VPN-Server in Deutschland an.
So habe ich nun denn eine Niederländische IP bekommen und außer zum Testen bringt mich das natürlich nicht weiter.
Immerhin ist das doch ein interessantes Konzept, das ich vielleicht auch noch weiter verfolgen werde und zwar, könnte ich mir vorstellen, einen eigenen Server in meiner Wohnung in DE zu installieren. Das hat vielleicht so seine Vorteile, aber darüber muss ich noch nachdenken.
 
openvpn-admin ist eine GUI und ich habe bisher ja nur gespielt und nicht genau hin gesehen, aber damit kann aus einem icon im Panel eine VPN-Verbindung hergestellt werden, also total easy. Man kann auch eine Verbindung konfigurieren/neu erstellen, aber dazu braucht man eben die genauen Daten und ich denke, wenn man die hat, ist man schneller mit dem Anlegen einer entsprechenden Datei.
Das GUI scheint mir aber sehr sinnvoll zu sein für den praktischen Betrieb, allerdings habe ich bisher ja alles nur als root gemacht, um zunächst nicht durch fehlende Rechte eingeschränkt zu werden.
Und hier höre ich heute mal auf, weil ich leicht frustriert darüber bin, dass es bei den getesteten, kostenlosen Anbietern mit Servern in DE keine funktionierenden Konfigurationen gibt, oder auch nur Daten, die man gebrauchen könnte.
Die Funktionalität ist eingeschränkt auf angebotene Apps und die gibt es natürlich nicht für FreeBSD und ich würde die dann auch nicht nutzen wollen.
Für mich ist das recht dubios, dass ich allen Datenverkehr einem unbekannten Anbieter anvertraue und dafür dann auch noch verschlossene SW nutzen soll. Vielleicht aber auch recht konsequent, wenn man es genauer betrachtet. Ist halt ein weiteres Geschäftsmodell.

Noch ein Wort zu TOR, was ich natürlich auch schon probiert hatte.
Die Performance ist schlecht, das kann vermutlich auch nicht verbessert werden, weil eben durch das Zwiebel-System gegeben.
Ich würde mich nach geradezu schämen, dieses Netz weiter zu belasten, nur weil ich einen unbedeutenden Film über IP sehen will. Es gibt Leute, die aus sehr ernsten Gründen auf dieses Netz angewiesen sind und denen soll das auch gehören!
 
Und hier höre ich heute mal auf, weil ich leicht frustriert darüber bin, dass es bei den getesteten, kostenlosen Anbietern mit Servern in DE keine funktionierenden Konfigurationen gibt, oder auch nur Daten, die man gebrauchen könnte.
Leider wird Dir da auch niemand helfen können, wenn Du nicht sagst über welchen Anbieter Du es denn probiert hast und was genau das Problem war. Vielleicht gings Dir hier auch nur generell darum Dein Frust loszuwerden. Verständlich, aber das geht so bisschen an dem Sinn des Forums vorbei. :-)

Noch ein Wort zu TOR, was ich natürlich auch schon probiert hatte.
Mal von Deinen löblichen Grund TOR nicht zu probieren und der Geschwindigkeit mal abgesehen:
Prinzipbedingt weiß man nicht genau, wo man bei TOR überhaupt rauskommt. Um damit Geo-Sperren via IP-Adresse zu umgehen ist es eher suboptimal.

Für mich ist das recht dubios, dass ich allen Datenverkehr einem unbekannten Anbieter anvertraue und dafür dann auch noch verschlossene SW nutzen soll. Vielleicht aber auch recht konsequent, wenn man es genauer betrachtet. Ist halt ein weiteres Geschäftsmodell.
So ein Anbieter braucht man auch nicht zwingend. Entweder Du stellst Dir zuhause einen Rechner hin (reicht ja ein Raspberry Pi) oder Du mietest Dir für nen schmalen Taler ein VServer in Deutschland. Und dann machst Du Dein VPN einfach selbst. Du bist dann nicht auf irgendeinen speziellen VPN-Anbieter oder irgendeine spezielle Software angewiesen, sondern kannst OpenVPN, Wireguard oder was auch immer nehmen.
 
Ich hatte das gleiche Problem wie du - als Österreicher wollte ich Fussball lieber auf den deutschen Sendern schauen da mir da der Kommentar lieber ist. Leider bemerkt das es diesesmal wohl GeoIP Blocking gibt (war früher bei WM/EM nicht so).

Also auf die schnelle den kleinsten vServer bei hetzner gemietet (3 Euro/Mon.) und dort wireguard eingerichtet. Auf Fedora ne Sache von <10Min. Bei mir im dd-wrt Router ebenfalls den Wireguard Tunnel erstellt und Go! Nun bin ich auf Knopfdruck "deutscher" ;) zumindet für die ARD und ZDF.

Das umgehen von GeoIP blockaden ist übgrigends auch nicht illegal - soetwas kommte zustande weil die Anbieter nur für gewisse Regionen Lizenzen haben und es eben machen müssen. Im Fall der EM hat nur MagentaTV die rechte von der UEFA gekauft, die haben das irgendwie blöd an ARD/ZDF weiter lizenziert. Aber vermutlich haben sie lieber nen Nutzer über VPN mehr als einen weniger ;)
 
Hallo @pit234a wenn ich in deiner Situation wäre und jetzt außerhalb von #neuland unbedingt das Programm der ÖRR sehen möchte. Dann würde ich so vorgehen. Ich melde mich bei bspw. Perfect Privacy an und dann

ssh -N -L 5080:127.0.0.1:3128 BENUTZERNAME@berlin.perfect-privacy.com

Dann stelle ich als SOCKS Proxy in meinem Programm die 127.0.0.1:3128 ein und schau die ÖRR.

Zugegeben das ist jetzt eine andere Lösung als direkt mit OpenVPN, aber sollte funktionieren, wenn die Server nicht Blacklisted sind.

Ohne SSH würde ich dann einfach den Tunnel mit den Optionen --route-noexec --route-nopull (damit nicht der gesamte Netzwerkverkehr durch den Tunnel geht) starten. Dann bspw. den Host route add derste247livede.akamaized.net $VPNGATEWAY hinzufügen. Das kann manchmal funktionieren, manchmal nicht. Wenn der Host bspw. mehrere A Records hat dann kann man mit host derste247livede.akamaized.net diese ermitteln und der Routing Tabelle hinzufügen. ggf. auch statische route in die rc.conf usw.


Gruß

P.S. ÖRR Kanäle als JSON
 
Leider wird Dir da auch niemand helfen können, wenn Du nicht sagst über welchen Anbieter Du es denn probiert hast und was genau das Problem war. Vielleicht gings Dir hier auch nur generell darum Dein Frust loszuwerden. Verständlich, aber das geht so bisschen an dem Sinn des Forums vorbei. :-)
ne, das sollte eher eine Rückmeldung über den aktuellen Status bei mir darstellen und erklären, dass ich den eigentlichen Test nicht wie von mir erhofft durchgeführt habe, also mich mit einem öffentlichen VPN in DE verbunden habe.
Die meiste Zeit habe ich mit hide.me verbracht, weil die viele Anleitungen (mit vielen Bildern) haben, aus denen ich mir die Daten sammeln konnte, die ich brauchte. Eigentlich schreiben die, dass man da die passende Konfiguration herunter laden könne, aber bei mir war kein passender Link zu sehen und viel später fand ich dann den Satz in einer Anleitung, dass der kostenlose Zugang nur über die eigene App funktioniert und es keine passende Konfiguration gäbe, wenn man nicht bezahlt. Beim Verbindungsversuch gab es keine Fehlermeldungen, aber es wurde eben auch keine Adresse zugewiesen.
Ansonsten habe ich so in etwa die ersten fünf aus einer Liste von angeblichen Testsiegern angesehen und mir auch diverse Konten erstellt (was man erst mal machen muss, um überhaupt voran zu kommen). Es war aber stets die gleiche Antwort: kostenlos geht nur, wenn man eine App nutzt und das ist ja sooo einfach.
Bei ProtonVPN kann man deren VPN testen mit einem kostenfreien Zugang.
lediglich bei denen bekam ich auf Anhieb eine Konfiguration und wählte einen beliebigen Server in NL.
Damit funktionierten meine Tests, wie oben schon beschrieben, aber eben nicht nach DE. Die schnell mal "getestete" Übertragungsrate ist dabei ausreichend gewesen, wenn schon deutlich deutlich weniger, als bei einem direkten Test.

Das Ding ist nicht, dass ich plötzlich unter die Armutsgrenze gefallen bin, aber ich gebe gefühlt für solche unsinnigen Dinge eh schon zu viel Geld aus und weil ich so gut wie kein TV sehe UND dann ja noch meine wieder funktionierenden Sat-Receiver habe, möchte ich für einen kurzen Test nicht auch noch Geld bezahlen und womöglich in Verträgen gefangen sein, aus denen man womöglich nicht so einfach wieder raus kommt, weil man vielleicht das Kleingedruckte falsch verstanden hat.
Am ehesten gefällt mir deshalb noch die Idee mit dem RasPi im eigenen Haus, aber auch da muss man ja irgendwie noch DynDNS bekommen und hat wieder etwas mehr zu pflegen. Trotzdem, das kann einfach auch für die Zukunft eine Option sein und ich bin froh für euren Input, ohne den ich meinen ersten Test ja nicht mal geschafft hätte.

als Österreicher wollte ich Fussball lieber auf den deutschen Sendern schauen da mir da der Kommentar lieber ist.
das hat nun wirklich nichts mehr mit FreeBSD zu tun und ich kenne nicht die Kommentare in Österreich, aber diese Woche litt ich zunächst mal wieder unter dem "Gesülze" des Herrn Béla Réthy, bis ich diverse Tonspuren probierte und dabei auf jene stieß, die eine Beschreibung für Sehgeschädigte Zuschauer liefert. Die nennen das Audiodescription, wenn ich recht erinnere und Hut ab! Das ist eine ganz tolle Leistung und man kann dann auch getrost mal nebenher etwas schreiben und bekommt doch alles mit. Und es fehlt die Zeit für ausschweifende Polemik ,um sich greifende Spekulationen und fruchtlose Unterstellungen. Vielleicht ein Tip, wenngleich es mir dann doch etwas zu viel Text war, so dass es für mich die Ausnahme bleiben wird.
 
Das umgehen von GeoIP blockaden ist übgrigends auch nicht illegal
So weit würde ich mich nicht aus dem Fenster lehnen. Wir sind hier in Deutschland. :-)
Wenn mans drauf anlegt, könnte man ein umgehen von wirksamen Kopierschutzmaßnahmen (oder ähnliches) konstruieren.
In der Praxis dürfte das aber irrelevant sein.

Die nennen das Audiodescription
Ja. Das gibts schon eine ganze Weile. Ein sinnvolle Anwendungsmöglichkeit der mehrerern Audiokanäle.

Am ehesten gefällt mir deshalb noch die Idee mit dem RasPi im eigenen Haus
Zumindest bist Du dann unabhängig von irgendwelchen Diensten. Außerdem kann es bei den VPN-Anbietern immer mal wieder passieren, das deren IP-Adressen gesperrt werden. Das jemand Deine heimische IP-Adresse sperrt ist dagegen sehr unwahrscheinlich.

aber auch da muss man ja irgendwie noch DynDNS bekommen und hat wieder etwas mehr zu pflegen.
Das funktioniert aber in der Regel problemlos. Und der ddclient funktioniert i.d.R. recht gut.
 
[...] Am ehesten gefällt mir deshalb noch die Idee mit dem RasPi im eigenen Haus, aber auch da muss man ja irgendwie noch DynDNS bekommen und hat wieder etwas mehr zu pflegen. [...]

Einfach bei dynv6.com anmelden (kostenlos) und anschließend ddclient installieren. Das Programm läuft als Daemon und aktualisiert u.a den A/AAAA Record mit deiner IP. Ziemlich simpel. Die Konfiguration ist bei mir 8 Zeilen (wenn ich mich recht erinnere). Ich nutze es für meine Jails. Das mit einem SSH Socks Proxy würde ja auch über deinen DSL-Anschluss funktionieren, wenn dein Router auch SSH anbietet und DynDNS, brauchst du eigentlich nur den DynDNS Dienst auf diesem einrichten und dann ssh -N -L 5080:127.0.0.1:3128 sshuser@meinrouter.dyndns. Viel Erfolg egal wie du es nun machst.
 
eigentlich dachte ich, dass es mir zu viel Aufwand ist, nachdem meine Sat-Anlage wieder läuft und vielleicht ist es das noch immer.
Dann bekam ich einen Pi3, zumindest mal leihweise und es ist ja schon ein gewisser Reiz, dann darauf ein kleines FreeBSD zu legen und mal damit zu spielen. Allerdings ist es inzwischen so lange her, dass ich ein FreeBSD neu installiert habe, dass ich mir auch da viele Dinge wieder anlesen muss, um es überhaupt an der Basis für mich anzupassen.
Nun ist da eine "Sound-Card", eine "GraKa" und ein Display dabei und das juckt dann ja irgendwie auch...
Aber zunächst baute ich die zusätzlichen Teile ab und probiere nur mit dem puren Pi und installierte mal ein openvpn und ja, eigentlich müsste ich dafür nun einen neuen Thread anlegen, denn hier habe ich nun Fragen zum Betrieb als Server und zunächst nicht als client.
Ich denke aber, dass es der Übersichtlichkeit halber besser ist, zumindest zunächst mal keinen neuen Thread zu starten.

weitgehend habe ich ziemlich doof diese Anleitung befolgt: https://ramsdenj.com/2016/07/25/openvpn-on-freebsd-10_3.html
Naja, der Server startet mir auch, aber einen Zugang erhalte ich bisher nicht.
Noch läuft das alles im eigenen Netz und vollkommen unkompliziert.
Die Fehlermeldung sagt mir, dass ich die Sache mit den Zertifikaten überhaupt nicht verstanden habe und so fühlt es sich bei mir auch an.

Ich durchblicke nicht, was ich wirklich brauche, was evtl wünschenswert ist und wie man das dann angeht.
Die Fehlermeldung selbst kann ich liefern, aber es geht mir eher auch um ein besseres Verständnis dieses Themas. Einfach Befehle abtippen ist unbefriedigend.
Muss ich alle Schlüssel und Zertifikate auf dem Server erzeugen und dann an die Clients verteilen? Also auch einen Client-Key?
Bei meinen Versuchen mit ProtonVPN hatte ich von denen eine config erhalten, die den CA und eine tls-auth enthielten, außerdem brauchte ich Username-passwd. EIn Knoppix, das ich dann test weise als Client benutzte, hat eine GUI zum Einstellen der Bedingungen für den Client und fragt nach Zertifakt, KEy, Passwort, kann diese aber offenbar nicht selbst erzeugen und dieses Knoppix hat auch kein easy.rsa installiert.
Das durchblicke ich eben alles noch gar nicht, was wo wie...

Und danach, die Zuweisung eine IP, wenn ich denn verbunden bin.
Der Server wird eine feste IP im entfernten Netz erhalten und ich könnte von dort eine Adresse per DHCP bekommen? oder kann ich auch dem Client (ich werde ja der einzige sein) eine feste IP zuordnen und die Daten des Netzwerks (den router etc) mitgeben?

Viele Fragen. Aber alle nicht dringend und eher als Rückmeldung und aktuelle Zusammenfassung zu sehen, wie weit zurück ich noch bin und was ich alles noch lesen und schaffen muss.
Dabei weiß ich noch nicht, was der router des Providers in DE eigentlich kann und erlaubt. Es gibt da grundsätzlich wenigstens zwei Möglichkeiten und das ist zwar noch zu weit in der Zukunft, könnte aber schließlich auch dazu führen, dass die Sache irgendwann nicht weiter verfolgen werde.
 
Gibts nen besonderen Grund, dass du OpenVPN verwenden möchtest? Ich kann dir sonst wirklich nur wireguard ans Herz legen, es ist deutlich einfacher zu Konfigurieren (das mit den Zertifikaten fällt komplett weg, da du public/private Keys verwendest) und obendrein ist es noch performanter.
 
Muss ich alle Schlüssel und Zertifikate auf dem Server erzeugen und dann an die Clients verteilen? Also auch einen Client-Key?
Du brauchst gar keine Zertifikate. Du kannst auch ein pre-shared Key nehmen. Der einzige Nachteil von pre-shared Keys bei solch einfachen Setups ist, das Du keine Perfect Forward Secrecy hast.

Hier mal beispielhaft ne einfache
/usr/local/etc/openvpn/openvpn.conf

Einmal für den "Server":
Apache-Konfiguration:
# See https://openvpn.net/index.php/open-source/documentation/manuals/65-openvpn-20x-manpage.html

# Set OpenVPN major mode. By default,
# OpenVPN runs in point-to-point mode ("p2p").
# OpenVPN 2.0 introduces a new mode ("server")
# which implements a multi-client server capability.
mode "p2p"

# Local host name or IP address. If specified,
# OpenVPN will bind to this address only.
# If unspecified, OpenVPN will bind to all interfaces
# local "host"

proto udp4

# If hostname resolve fails for --remote,
# retry resolve for n seconds before failing.
resolv-retry 60

# Allow remote peer to change its IP address and/or port number,
# such as due to DHCP (this is the default if --remote is not used).
float

# TCP/UDP port number for local.
lport 1194

# TCP/UDP port number for remote
rport 1194

dev tun

dev-type tun

# Build a tun link capable of forwarding IPv6 traffic.
# Should be used in conjunction with --dev tun or --dev tunX.
#tun-ipv6

# Set TUN/TAP adapter parameters. l is the IP address of
# the local VPN endpoint. For TUN devices, rn is the IP address of
# the remote VPN endpoint
# ifconfig l rn
ifconfig 192.168.0.5 192.168.1.5

route 192.168.1.0 255.255.255.0

# Limit bandwidth of outgoing tunnel data to n bytes per second
# on the TCP/UDP port. If you want to limit the bandwidth in both
# directions, use this option on both peers.
#shaper n

ping 60
ping-restart 240

user nobody
group nobody

persist-key
persist-tun

# Log at most n consecutive messages in the same category.
# This is useful to limit repetitive logging of similar message types.
mute 10

comp-lzo

# Enable Static Key encryption mode (non-TLS). Use pre-shared
# secret file which was generated with --genkey.
secret ps-k3y.key

auth-nocache

cipher AES-256-CBC

Und einmal für den OpenVPN-"Client":
Apache-Konfiguration:
mode "p2p"

# Dynamic-DNS Domainname Deines OpenVPN-Servers
remote "myhome.dynamic-dns.org"

proto udp

resolv-retry 60

float
lport 1194
rport 1194
dev tun
dev-type tun

ifconfig 192.168.1.5 192.168.0.5
route 192.168.0.0 255.255.255.0

ping 60
ping-restart 240

user nobody
group nobody

persist-key
persist-tun

comp-lzo

# Enable Static Key encryption mode (non-TLS). Use pre-shared
# secret file which was generated with --genkey.
secret ps-k3y.key

auth-nocache

cipher AES-256-CBC

Das Beispiel-Setup geht davon aus, das der Server in einem 192.168.0.0/24 Netz und von außen unter myhome.dynamic-dns.org erreichbar ist (Notfalls via Portforwarding auf der Fitzbox oder wo auch immer) steht und Dein Client-Netz ist ein 192.168.1.0/24. Das musst Du natürlich auf Deine Gegebenheiten alles anpassen.

PS: Nicht von dieser Beschriftung 'Apache-Konfiguration' verwirren lassen. Das war nur halt das Schema, wo ein halbwegs brauchbares Syntaxhighlighting rauskam. :-)
 
Gibts nen besonderen Grund, dass du OpenVPN verwenden möchtest?
nein.

Wie irgendwann weiter oben erwähnt konnte ich sehen, dass meine Firma VPN nutzt und da lag es halt nahe, nach openvpn zu sehen.
Ich dachte, dass das irgendwie der Standard wäre und die geringsten Probleme macht, weil ich da auch noch davon ausging, dass ich einen öffentlich zugänglichen Server einfach nutzen könnte.

Den Alternativen habe ich mich noch nicht gewidmet, weil ich das unbestimmte Gefühl hatte, mit openvpn nur noch "einen Mausklick entfernt" zu sein und erst dann nach und nach realisierte, dass es doch noch mehrere Mausklicks sind.


Du brauchst gar keine Zertifikate. Du kannst auch ein pre-shared Key nehmen. Der einzige Nachteil von pre-shared Keys bei solch einfachen Setups ist, das Du keine Perfect Forward Secrecy hast.
und vielen vielen Dank für das praktische Beispiel.
Ich bin ja son ein Typ, der lieber liest, als Youtube schaut und lieber probiert und scheitert, als eine fertige Lösung unverstanden zu übernehmen. Aber ganz ohne Beispiele ist learning by doing für einen Endanwender wie mich schon schwer.
Also, noch nicht gelesen und verstanden: trotzdem vorab schon mal Dank für das Beispiel!
Daran werde ich hoffentlich mehr lernen, als bisher.

Aber zunächst bin ich wieder durch andere Sachen blockiert, möchte das aber trotzdem weiter versuchen.
Danke für alle Antworten.
 
Ich bin ja son ein Typ, der lieber liest, als Youtube schaut
Geht mir ähnlich.

lieber probiert und scheitert, als eine fertige Lösung unverstanden zu übernehmen
Geht mir ähnlich. :-)

Also, noch nicht gelesen und verstanden: trotzdem vorab schon mal Dank für das Beispiel!
Genau. Das macht es vielleicht etwas klarer. Und die OpenVPN Doku ist ja auch ne gute Referenz, um die Optionen nachzuschlagen.
 
Zurück
Oben