Openvpn bahnhof



  • Vet att det finns trådar men ingen fungerar
    nån som har ett fungerande koncept



  • Ingen :(



  • Vad är din fråga? Blockerar Bahnhof din VPN förbindelse eller handlar din fråga om att sätta upp en OVPN server?



  • Sätta upp en open VPN integrity



  • Jag har samma problem med att konfigurera Integrity.
    Bahnhof har ju ingen support på hårdvara och routers men jag har e-mailat deras kundtjänst och bett om instruktioner.
    Får se om dom ger några tips.



  • Något nytt?

    ///Peter



  • Tyvärr verkar inte Bahnhof ha kunskap eller vilja att ge tips och råd om konfiguration. Jag har pratat med deras support och även skrivit brev utan resultat.



  • Hur har ni gjort när ni lagt in det i pfsense? Vad säger loggen?
    Jag tog hem Bahnhof's config-fil för lite ledtrådar, inga större konstigheter. Jag har tyvärr inget konto där, så jag kan inte testa själv.



  • Skulle också gärna vilja veta hur man lägger in openvpn från bahnhof. Någon som vet hur ?



  • Jag har det uppsatt, kan skriva en liten howto när jag får lite tid över.



  • En snabb HowTo:

    Först så läs in certifikatet ni fått från Integrity VPN (Import an existing Certificate Authority)
    Klistra in Certifikatet, exempel:
    –--BEGIN CERTIFICATE-----

    Sedan skapa din VPN klient med följande options:
    Server Mode: Peer To Peer (SSL/TLS)
    Protocol: UDP
    Device Mode: tun
    Interface: WAN
    Server Host or address: vpn.integrity.st
    Server Port: 1196
    Description: Integrity VPN
    Username: inXXXXX (Det du har fått från Integrity)
    Password: XXXXXX  (Det du har fått från Integrity)
    TLS authentication: (Det du har fått från Integrity)

    Exempel:

    2048 bit OpenVPN static key

    –---BEGIN OpenVPN Static key V1-----

    Peer Certificate Authority: Ditt cert som du la till via cert manager
    Client Certificate: None (Username & Password required)
    Encryption Algorithm: AES-256-CBC (256-bit)
    Auth digest algorithm: SHA1 (160-bit)
    Compression: Enabled with Adaptive Compression
    Topology: Subnet
    Disable IPv6: Don't forward IPv6 traffic.
    Don't add/remove routes: CHECKED <–- Viktigt (Detta är för att ignorera redirect-gateway)

    Sedan gå till Interfaces->Assign->add
    Välj din VPN på ditt OPTXX.
    Gå till Interfaces->OPTXX
    Fyll i följande:
    Enable
    Desciption: IntegrityVPN
    IPv4 Configuration type: None
    IPv6 Configuration type: None
    Klicka på SAVE

    Gå till Firewall->rules
    Lägg till en regel för LAN enligt följande:
    Action: Pass
    Interface: LAN
    Address Family: IPv4
    Protocol: Any
    Source: (Den hosten du vill ska gå ut via IntegrityVPN) (HINT: Skapa ett alias om du vill ha flera hosts)
    Destination: Any
    Klicka på Advanced Option.
    Välj Gateway till IntegrityVPN

    PS. Glöm inte att sätta upp NAT.

    Om jag inte har glömt något så borde det fungera, surfa in på någon sida som säger vad du har för IP nummer från den hosten du valde att route:a ut på IntegrityVPN och se att du har rätt IP.
    Var så god! :)



  • Tack för din HowTo.
    Det var lite lurigt det här.. Allt var grönt, IP syntes på Integrity VPN men jag kom inte ut på linan.
    Löste det genom att gå in i regeln på nytt och spara om den (utan någon ändring) och nu funkar allt som det skall.

    mvh
    Henrik



  • Ett tips är att se till att trafiken som ska gå via OpenVPN inte "hoppar över" till default gateway om OpenVPN-uppkopplingen går ner. Funkar bra för mig. Jag gjorde en blockeringsregel enligt detta:

    @phil.davis:

    I think you need to check System: Advanced: Miscellaneous, "Skip rules when gateway is down":

    By default, when a rule has a specific gateway set, and this gateway is down, rule is created and traffic is sent to default gateway.This option overrides that behavior and the rule is not created when gateway is down

    pfSense is being nice to you, and making a rule to send your VPN traffic out the default gateway.
    Then, IMHO, you will still need a block rule, after the rule feeding 192.168.0.111 to VPNI, and before the general allow all rule, that blocks traffic from source 192.168.0.111



  • God morgon, för dryga veckan sedan började jag fundera över att koppla upp min dd-wrt flashade router mot Bahnhofs Integrity VPN (som jag betalat för i ett år men inte fått tummen ur) men fick snabbt tipset att bygga ihop en burk och installera PFSense.

    Sagt och gjort, burken består av ett Asus at3ion Deluxe överklockad till 1900Mhz och 4gb RAM. Det inbyggna nätverkskortet, Realtec, sköter WAN och ett från Intel LAN. Av nån anledning så ville inte installeringen till hårddisk funka så jag kör Embeddedversionen av 2.3.3 via ett USB-minne.

    Nu till problemet, jag har googlat upp lite olika guider och inte fått någon att funka, inte ens den fina i denna tråden. Anledningen är inte så svår att finna, det är skit bakom tangentbordet, jag kan ju följa guider och har ett litet humm om saker men jag går bet på detta.
    Jag började med denna guiden och försökte komplettera med denna guiden för OpenVPN https://forum.pfsense.org/index.php?topic=84177.0 .

    Efter det så har jag försökt kombinera och ändra lite inställningar efter variationer jag läst i olika trådar och kommit så långt att OpenVPN står som startad men "DOWN" och jag har nätåtkomst men är inte kopplad till Integrity.

    Jag har använt mig av CA och nyckel från Bahnhofs zippade Windowsfil ( https://bahnhof.se/filestorage/userfiles/file/Bahnhof-OpenVPN_v3.zip )

    Nu känner jag att tyvärr klarar jag inte mer själv och hoppades därför att nån här skulle kunna kolla mina inställningar och peka, ganska övertydligt, på vad jag gjort fel så jag kan få igång det. Jag har tagit lite skärmdumpar på det jag tror är det viktigaste. Notera att OpenVPN-status är tagen utan att vara kopplad mot nätet, därför står det Service not running och unable to connect to deamon.

    Med vänlig hälsning.



























    log.txt



  • Jag fick igång mitt integrity ganska kvickt och jag kan titta på dina bilder vid tillfälle så att du kan få igång ditt också. Däremot sade jag upp mitt efter några dagars testande p.g.a. dålig hastighet och att integrity inte kör några egna DNS'er. Valde att köra med OVPN istället men konfigurationen är densamma för OpenVPN-klienten.

    Man kan också fundera på hur man väljer vilken trafik som ska gå via OpenVPN. Allt, specifika VLAN, trafik på specifika nätverksportar/interfaces eller specifika IPs.



  • @StarkJohan:

    Jag fick igång mitt integrity ganska kvickt och jag kan titta på dina bilder vid tillfälle så att du kan få igång ditt också. Däremot sade jag upp mitt efter några dagars testande p.g.a. dålig hastighet och att integrity inte kör några egna DNS'er. Valde att köra med OVPN istället men konfigurationen är densamma för OpenVPN-klienten.

    Man kan också fundera på hur man väljer vilken trafik som ska gå via OpenVPN. Allt, specifika VLAN, trafik på specifika nätverksportar/interfaces eller specifika IPs.

    Det hade vart fantastiskt om du kunde göra det! Det är säkert nått enkelt jag missat.
    Jag har även funderat på OVPN istället men jag gillar tanken att Bahnhof ägen all utrustning, de har ju en historia av att vara lite odrägliga när de sätter den sidan till :)
    Men blir det för stort tapp i hastighet så byts det.



  • Vid första snabba kontrollen ser jag två grejor som är fel.

    1. I inställningarna för OpenVPN-clienten har du valt fel CA i dropdownen. Det ska inte vara "webconfigurator" utan den du lagt in själv med info från Integrity.
    2. Du har också gjort en "custom"-inställning som refererar till /etc/password.txt. Ta bort den raden. För det första har du redan skrivit user/pass längre upp i inställningarna. För det andra har filen du refererar till fel permissions (som du ser i loggen).

    Testa igen. Funkar det inte får jag titta lite närmare på dina bilder.



  • Vi får också titta lite på dina brandväggsregler. Du måste se till att rätt trafik kommer till rätt gateway.

    Vill du att all trafik i hela huset går via Integrity eller har du delat upp ditt nätverk på något vis?



  • @StarkJohan:

    Vid första snabba kontrollen ser jag två grejor som är fel.

    1. I inställningarna för OpenVPN-clienten har du valt fel CA i dropdownen. Det ska inte vara "webconfigurator" utan den du lagt in själv med info från Integrity.
    2. Du har också gjort en "custom"-inställning som refererar till /etc/password.txt. Ta bort den raden. För det första har du redan skrivit user/pass längre upp i inställningarna. För det andra har filen du refererar till fel permissions (som du ser i loggen).

    Testa igen. Funkar det inte får jag titta lite närmare på dina bilder.

    Ok, jag var lite osäker på hur det funkade så jag fixar det direkt när jag kommer hem.

    När det kommer till brandväggsregler så är jag fortfarande lite osäker.
    Jag har en Asus RT-n66u med DD-WRT som jag satt upp till att skapa två Vlan, ett till hemmet och ett till ett gästhus.
    Klarar min hårdvara av att leda all trafik via Integrity så är det lika bra, jag kan ju sedan undanta vissa enheter om jag skulle vilja det.
    Kanske är det lika bra att skapa två anslutningar och sedan välja vad som skall gå via vad?



  • @Callmenobody:

    Ok, jag var lite osäker på hur det funkade så jag fixar det direkt när jag kommer hem.

    När det kommer till brandväggsregler så är jag fortfarande lite osäker.
    Jag har en Asus RT-n66u med DD-WRT som jag satt upp till att skapa två Vlan, ett till hemmet och ett till ett gästhus.
    Klarar min hårdvara av att leda all trafik via Integrity så är det lika bra, jag kan ju sedan undanta vissa enheter om jag skulle vilja det.
    Kanske är det lika bra att skapa två anslutningar och sedan välja vad som skall gå via vad?

    Steg ett är att få igång klienten. Sen kan du fundera på hur du vill skicka trafiken. Jag valde att ha ett separat VLAN för trafiken jag vill skicka via OpenVPN då det blev smidigare för mig. Fördelen med den lösningen är att det blir enklare att köra med specifika DNSer då man kan ange det för varje VLAN (innan gjorde jag det bara för varje klient med specifik IP).



  • Ok, det låter ju vettigt.

    Om det hjälper så ser det nu ut så här:
    Direkt efter mediaboxen, eller vad den nu kallas sitter ovan nämnda router med två Vlan. En till varje "bostad".
    Utgång 1-3 ligger på Vlan1 vilket täcker in två accesspunker och en PS4a
    Utgång 4 sköter Vlan 2 som går till gästhuset där en accessrunkt finns.

    Tanken är att sätta Sensen mellan mediaboxen och Asusroutern och sedan ge åtkomst till Sensen via Vlan1 så jag slipper bryta all nätåtkomst för att göra justeringar.

    Men som du sa, först få det att fungera.



  • Så du låter sen pfSense sköta routing och har DDWRT som en "smart switch" för att tagga dina VLAN?

    Så gör jag också i princip. pfSense som router, en större smart switch efter det och sist DDWRT som "smarta" accesspunkter utan routing som bara taggar olika VLAN på olika SSIDs/portar.



  • @StarkJohan:

    Så du låter sen pfSense sköta routing och har DDWRT som en "smart switch" för att tagga dina VLAN?

    Japp, det är tanken!



  • @StarkJohan:

    Vid första snabba kontrollen ser jag två grejor som är fel.

    1. I inställningarna för OpenVPN-clienten har du valt fel CA i dropdownen. Det ska inte vara "webconfigurator" utan den du lagt in själv med info från Integrity.
    2. Du har också gjort en "custom"-inställning som refererar till /etc/password.txt. Ta bort den raden. För det första har du redan skrivit user/pass längre upp i inställningarna. För det andra har filen du refererar till fel permissions (som du ser i loggen).

    Testa igen. Funkar det inte får jag titta lite närmare på dina bilder.

    CA bytt till none (username and/or password required)
    och hela customrutan är raderad, BÅDA RADERNA.

    Det funkar fortfarande inte, vad var det du ville veta om brandväggen?
    NAT eller Rules?



  • CA ska vara den CA du la in (Integrity), som syns på din bild nr 12.



  • Du är fan fantastiskt!
    Det CA var redan valt men jag hade lyckats att klistra in fel nyckel. Så jag klistrade in rätt och nu kopplar jag upp mot integrity.
    Nu ska jag bara koppla in den och kolla vad jag får för hastighet.



  • Inga problem. Då är det brandväggen och NAT kvar. Posta igen om du inte får det att funka.



  • Inte få vad att fungera?
    Jag trodde det var klart iomed att integrity.st säger att jag är uppkopplad (deras hemsida alltså)



  • Nja. Du får se det som att du nu har "två vägar" till internet. Din egen gateway och VPN-tunneln till Integrity.

    Om du bara startar OpenVPN-klienten utan att styra om trafiken kommer du fortfarande använda din egen gateway ut. Du kan kontrollera om du går via din ISP eller via Integritytunneln t.ex. på denna länken: https://wtfismyip.com

    Du vill där se att ditt hostname är från Integrity, inte från Bahnhof (om det är Bahnhof du har som ISP). Testa först att gå till länken med OpenVPN-klienten stoppad för att se hur det ser ut då. Starta sen OpenVPN-klienten och ladda om sidan. Då ska du få ett helt annat IP som leder till ett Integrity-hostname.

    Annars får vi fixa till din routing/brandvägg.



  • NAT och rules.

    Samma IP av som på men jag är inte i Gbg

    ![OpenVPN av.jpg](/public/imported_attachments/1/OpenVPN av.jpg)
    ![OpenVPN av.jpg_thumb](/public/imported_attachments/1/OpenVPN av.jpg_thumb)
    ![OpenVPN på.jpg](/public/imported_attachments/1/OpenVPN på.jpg)
    ![OpenVPN på.jpg_thumb](/public/imported_attachments/1/OpenVPN på.jpg_thumb)
    ![Rules 1.jpg](/public/imported_attachments/1/Rules 1.jpg)
    ![Rules 1.jpg_thumb](/public/imported_attachments/1/Rules 1.jpg_thumb)



  • Du saknar någon regel som styr trafiken till Integrity, därför ändras inget när du kör igång OpenVPN-klienten.

    För att testa kan du t.ex. skapa en regel på ditt WAN-interface.

    Pass, IPV4, any på allt. Klicka sedan på "Display Advanced" när du sätter upp regeln. Där, ganska långt ner, har du en dropdown där du kan välja gateway. Välj Integrity VPN i den menyn.

    Om du mot förmodan inte har något Integrity att välja där får du sätta upp en gateway under System > Routing > Gateways men jag har för mig att den skapas per automatik.



  • Så där ja!

    Hastigheten med TP-test är lite sämre. På en 100/10-lina får jag ut 20,48/9,92 mbit/s






  • Det ser bättre ut ja. Nu kan du själv styra i brandväggen vilka klienter/subnät/VLAN som ska skickas ut via OpenVPN och vilka som ska ta den vanliga gatewayen via Bahnhof.

    Jag har också Bahnhof. Jag bor i södra Skåne och får normalt sett ut lite mer än angivna 100/100. Med Integrity fick jag ut mellan 30-60% av det medan jag överlag inte tappar någon hastighet alls med OVPN. Vad gäller hastigheten måste man tänka på att krypteringen kräver lite av CPU på pfSense-maskinen så om den inte hänger med får man alltså ut lägre hastighet. Det behöver alltså inte vara Integritys "fel" om du inte maxar linan.

    Fint att det funkar!

    Om du är paranoid kan du också fundera lite över vilken väg din DNS-trafik går. Potentiellt kan någon "spåra dig" och lägga lite pussel med vilken DNS du använder, vilka sidor du surfar till och vilka filer du tar emot. Å andra sidan tror jag inte att någon är skyldig att logga DNS-data per idag och jag tror inte heller att det i praktiken är en reell risk. Notera att jag på inget vis har djupare kunskap så ta detta med en nypa salt.



  • Ok, jag har en lite kraftigare fyrkärnig stationär PC med. Jag skall göra en installation på den med och testa skillnaden. Även kolla att jag har full hastighet i uttaget med såklart.



  • Jämför också med/utan OpenVPN-klienten igång, det är själva krypteringen som kan vara tung för CPUn. Snabbt kollat utan att dra om sladdar menar jag.



  • Ska kolla det med.
    Samt ringa Bahnhof, TP direkt i uttaget gav bara 66mbit/s



  • Lite snabbtest i morse gav 100/10 direkt i uttaget via PFSense utan VPN.
    PFSens med VPN var fortfarande ca 10 upp och 20 ner. CPU-belastningen låg på mellan 18 och 24% under TP-Testet.

    Skall fortfarande testa med andra burken med men funderar redan på alternativ VPN-tjänst.

    OVPN är ett alternativ, NordVPN ett annat.

    Förslag? Stabilitet är ju ett prio.



  • Jag har bara provat OVPN i några veckor men än så länge har det fungerat bra. Du kan prova gratis 5 timmar har jag för mig. Dom har en bra guide för pfSense där du kan se vilka saker du behöver ändra. Om jag inte minns helt fel är det förutom det självklara också port och några custom options att lägga till. Fixat på några minuter. Glöm inte att byta CA  ;) Känner inte till NordVPN.



  • @StarkJohan:

    Jag har bara provat OVPN i några veckor men än så länge har det fungerat bra. Du kan prova gratis 5 timmar har jag för mig. Dom har en bra guide för pfSense där du kan se vilka saker du behöver ändra. Om jag inte minns helt fel är det förutom det självklara också port och några custom options att lägga till. Fixat på några minuter. Glöm inte att byta CA  ;) Känner inte till NordVPN.

    Japp, jag har spanat lite på deras guide och mailat dom i försöket att tigga till mig lite längre testtid än 5h :)



  • Jo det tyckte jag också var lite snålt… Något dygn kunde dom åtminstone tillåtit.