OpenVPN über Stunnel



  • Hallo,

    auf meiner pfSense habe ich einen OpenVPN-Server eingerichtet, den ich nutze, wenn ich mit meinem Smartphone oder Laptop über fremde WLANs online bin. Das klappt soweit allles prima.

    Nun möchte ich gerne einem Freund von mir die Möglichkeit geben, diesen VPN-Server temporär zu nutzen. Allerdings sollte/müsste die Verbindung über einen HTTPS Tunnel erfolgen. Leider habe ich noch keine Anleitung gefunden, wie ich für diesen Anwendungsfalll stunnel auf keiner pfSense konfigurieren muss, was ggf. an zusätzlichen Firewall-Regeln oder Anpassungen bzgl. OpenVPN-Server zu beachten ist und was ich bei stunnel als Zertifiakt einbinden muss.

    Ich würde mich daher über jeden Link zu einer hilfreichen Konfigurationsanleitung oder über sonstige zielführende Hinweise freuen. :-)

    Schon mal herzlichen Dank im voraus.
    Jürgen


  • Moderator

    Allerdings sollte/müsste die Verbindung über einen HTTPS Tunnel erfolgen.

    Wut? Warum?? OpenVPN IST ein(e Art) HTTPS Tunnel. Warum willst du einen Tunnel in einem Tunnel verpacken? Das macht doch keinen Sinn?
    stunnel macht man ja u.a. wenn man kein anderes VPN am Start hat.

    Gruß Jens



  • @JeGr:

    Warum??

    Der Zugriff auf mein VPN soll aus einem außereuropäischen Land erfolgen. Die direkte VPN-Verbindung ist - möglicherweise wg. DPI? - nicht bzw. nur extrem verlangsamt möglich.

    Gruß  Jürgen


  • Moderator

    möglicherweise wg. DPI?

    Dafür hat OpenVPN 2.4 allerdings die Möglichkeit nicht nur Daten- sondern auch ControlChannel zu Verschlüsseln. Daher würde ich erst einmal das versuchen, bevor ich ein Paket 3-fach verpacke und durch 2 Tunnel schiebe :)

    OpenVPN Server mit 2.4er Settings auf TCP und 443 konfigurieren, TLS-Key Usage Mode auf Enc+Auth (statt nur Auth) und testen.



  • @JeGr:

    OpenVPN Server mit 2.4er Settings auf TCP und 443 konfigurieren, TLS-Key Usage Mode auf Enc+Auth (statt nur Auth) und testen.

    Danke für den Hinweis. Ich werde das zunächst testen (lassen), bevor ich mich ggf. weiter mit stunnel beschäftige.

    Gruß  Jürgen


  • Moderator

    Ansonsten steht dir unter "Packages" ein stunnel Paket zur Verfügung, dass dann auch recht selbsterklärend sein sollte und seine Zertifikate über den normalen Weg (Cert Manager) wählen kann.

    Grüße