OpenVPN mit SSH (Stealth VPN) auf einem Router mit OpenWRT

Installation

Laden Sie zuerst das oben verlinkte Archiv mit den OpenVPN-Konfigurationsdateien herunter und entpacken es. Öffnen Sie das Programm PuTTY oder ein anderes Terminal-Programm und melden Sie sich auf dem Router an. Führen Sie folgende Kommandos nacheinander aus: opkg update und opkg install openvpn-openssl luci-app-openvpn wget sshtunnel sshpass

SSH-Keys herunterladen

Damit der SSH-Client prüfen kann, dass er sich mit einem Perfect Privacy VPN-Server verbunden hat, benötigen Sie zuerst die known_hosts Datei mit den öffentlichen Schlüsseln der Server. Laden Sie diese auf OpenWRT mit wget herunter: wget https://www.perfect-privacy.com/downloads/perfect_privacy_known_hosts

Konfiguration anpassen

Erstellen Sie anschließend mit Hilfe von WinSCP (alternativ können diese Schritte natürlich auch im SSH-Terminal durchgeführt werden) im Verzeichnis /etc/openvpn/ des OpenWRT-Routers die Datei up.sh mit den folgenden Zeilen als Inhalt

#!/bin/sh
env | sed -n -e "
/^foreign_option_.*=dhcp-option.*DNS/s//nameserver/p
/^foreign_option_.*=dhcp-option.*DOMAIN/s//domain/p
" | sort -u > /tmp/resolv.conf.vpn
uci set dhcp.@dnsmasq[0].resolvfile="/tmp/resolv.conf.vpn"
/etc/init.d/dnsmasq restart

und die Datei down.sh mit dem Inhalt

#!/bin/sh
uci set dhcp.@dnsmasq[0].resolvfile="/tmp/resolv.conf.auto"
/etc/init.d/dnsmasq restart

Und im Verzeichnis /etc/init.d/ die Datei pservice mit dem Inhalt des dieses Links.

Öffnen Sie die Eigenschaften von den Dateien up.sh, down.sh und pservice und setzen die Rechte auf 755.

Führen Sie danach folgendes Kommando über PuTTY oder einanderes Terminal-Programm aus: /etc/init.d/pservice enable

Erstellen Sie danach eine zweite pservice Datei im Verzeichnis /etc/config/ mit folgendem Inhalt:

config pservice
  option name 'OpenVPN-SOCKS-Proxy'
  option respawn_maxfail 0
  option command /bin/sh
  list args -c
  list args 'exec sshpass -p "PASSWORT" ssh -N -D 127.0.0.1:10000 -o UserKnownHostsFile=/root/perfect_privacy_known_hosts -p 53 BENUTZERNAME@IP_ADRESSE'

Statt IP_ADRESSE setzen Sie die IP-Adresse des gewünschten Servers ein. Diese finden Sie auf der Übersichtsseite OpenVPN mit Stealth VPN (SSH). Wichtig: Verwenden Sie keine Serverbezeichnung.

Unser Tipp: Wählen Sie einen Standort, der geographisch möglichst nah gelegen ist, um die beste Geschwindigkeit zu erreichen.

Statt PASSWORT und BENUTZERNAME geben Sie Ihre Perfect-Privacy-Daten ein.

Für den Port können Sie zwischen 22, 53, 443, 8085, 9009 oder 36315 wählen. Port 53 und 443 sind besonders empfehlenswert, um VPN-Sperren zu umgehen (im Beispiel haben wir uns für Port 53 entschieden).

DNS-Server konfigurieren

Loggen Sie sich auf ihrem OpenWRT-Router über einen Browser ein (192.168.1.1). Wechseln Sie zum Network=>Interfaces=>WAN=>Edit=>Advanced Settings Tab und deaktivieren Sie Use DNS servers advertised by peer. Tragen Sie unter Use custom DNS servers mindestens zwei öffentliche IPv4 DNS-Server (z.B. 8.8.8.8 und 8.8.4.4) ein und klicken Sie auf den Button Save.

Machen Sie das gleiche im WAN6 Tab und tragen Sie auch dort mindestens zwei IPv6 DNS Server ein. Klicken Sie anschließend auf den Save und den Save & Apply Button. Sie können entweder die DNS-Server von Google benutzen (IPv4: 8.8.8.8 und 8.8.4.4 IPv6: 2001:4860:4860::8888 und 2001:4860:4860::8844) oder welche vom OpenNIC-Projekt.

Hinweis: Wenn Sie möchten, können Sie auch Perfect-Privacy-Nameserver einsetzen (zu finden auf der DNS-Server-Seite im Kunden-Bereich). Beachten Sie aber, dass diese ohne VPN-Verbindung nur Perfect-Privacy-Domains auflösen, was bedeutet, dass der Internetzugang nur mit bestehender VPN-Verbindung funktioniert. Allerdings besteht kein DNS-Leak wenn man öffentliche DNS-Server benutzt, da DNS-Anfragen bei bestehender VPN-Verbindung immer anonymisiert über den verschlüsselten VPN-Tunnel gesendet werden, solange das VPN verbunden ist.

OpenVPN Konfiguration

Wechseln Sie zum Menü VPN=>OpenVPN und tragen Sie unter OVPN configuration file upload PP_Basel1 ein. Klicken Sie dann auf Durchsuchen und wählen die heruntergeladene Basel1.ovpn Datei von Perfect Privacy aus. Klicken Sie danach auf den Button Upload.

Öffnen Sie die neu angelegte Instanz PP_Basel1 mit Klick auf Edit und ersetzen Sie in der ersten Zeile den Text "userpass.txt“ durch “PP_Basel1.auth“.

Fügen Sie im zweiten Feld den Perfect Privacy Nutzernamen und das zugehörige Passwort ein und speichern Sie anschließend mit Save ab.

Unter /var/log/openvpn.log können Sie später jederzeit das Log einsehen, falls irgendwelche Probleme bei einer OpenVPN Verbindung auftreten sollten.

Firewall-Konfiguration

Gehen Sie zum Menü Network=>Interfaces und klicken Sie auf Add new interface….

• Name: PP_VPN
• Protocol: Unmanaged
• Interface: In der letzten Zeile tun0 eingeben

Mit dem Create interface Button die Einstellungen übernehmen.

Wechseln Sie im neu erstellten Interface zum Tab Firewall Settings. Öffnen Sie die Auswahl neben Create / Assign firewall-zone, und tippen in der untersten Zeile PP_FW ein. Mit dem Save Button die Einstellungen übernehmen.

Wechseln Sie anschließend zu Network=>Firewall und klicken rechts neben PP_FW auf Edit. Passen Sie folgendes an:

• Name: PP_FW
• Input: reject
• Output: accept
• Forward: reject
• Masquerading: aktivieren
• MSS clamping: aktivieren
• Covered networks: PP_VPN

Im unteren Feld folgendes auswählen:

• Allow forward from source zones: lan aktivieren

Mit dem Save Button die Einstellungen übernehmen und anschliessend auf Save & Apply klicken.

OpenVPN aktivieren

Gehen Sie zum Menü Services=>OpenVPN und setzen Sie ein Häkchen bei Enabled. Klicken Sie anschließend auf den Button Save & Apply und starten Sie PP_Basel1 mit dem Button start.

Optional: Kill-Switch aktivieren

Achtung: Dieser Schritt aktiviert den Firewall-Schutz ("Kill-Switch“), der dafür sorgt, dass bei unterbrochener Internetverbindung kein Traffic mehr ins Internet geschickt wird. Wenn Sie über Ihren Router auf das Internet auch ohne VPN zugreifen möchten, müssen Sie diesen Schritt überspringen.

Navigieren Sie zu Network=>Firewall und öffnen Sie unter Zones lan mit dem Button Edit.

Scrollen Sie nach unten zum Punkt Inter-Zone Forwarding und aktivieren Sie neben Allow forward to destination zones nur PP_FW. Klicken Sie danach auf den Button Save und anschliessend auf den Button Save & Apply.

Wenn Sie den Firewall-Schutz ("Kill-Switch“) wieder deaktivieren wollen, dann aktivieren Sie neben Allow forward to destination zones: PP-FW zusätzlich WAN und WAN6.

Sie können dann prüfen, dass die VPN-Verbindung korrekt funktioniert, indem Sie auf einem beliebigen über den Router angebundenen Gerät unsere Check-IP-Webseite aufrufen.