# cd /tmp

# dpkg -i openvpn-2.4.8_buster_armhf.deb

OpenVPN ist zum jetzigen Zeitpunkt notwendig, da das Programm zum Generieren des Tap-Devices von der folgenden Service-Unit gestartet wird. Ohne OpenVPN würde die Unit fehlschlagen und somit auch die Netzwerkverbindung.

# tar -xf openvpn-setup.tar

# mkdir -p /etc/openvpn/keys

# mv /tmp/openvpn/keys /etc/openvpn

# rm -r /tmp/openvpn

# chown -R root:root /etc/openvpn

# chmod 700 /etc/openvpn

# chmod 600 /etc/openvpn/keys/*

Der Zugriff (auch lesend) auf die Keyfiles sowie der OpenVPN-Konfiguration ist ausschließlich ‚root‘ erlaubt.

# adduser vpnuser --no-create-home --gecos "" --disabled-password

Virtueller User, unter dessen UID der OpenVPN-Daemon laufen wird

# ip a s dev eth0 | grep -i "link/ether"

    link/ether b8:27:dd:kk:yz:5d brd ff:ff:ff:ff:ff:ff

MAC-Adresse des physischen NICs zur Übernahme in die Bridge-Konfiguration ermitteln

# ne /etc/systemd/system/network-bridge-static.service

[Unit]

Description=thlu:network-bridge-static.service    Bridged Network for VPN

After=basic.target

Before=network.target shutdown.target

Wants=network.target

Conflicts=shutdown.target

[Service]

Environment="PATH=/bin:/usr/sbin:/usr/bin:/usr/local/sbin:/usr/local/bin"

Type=oneshot

RemainAfterExit=yes

ExecStartPre=openvpn --mktun --dev tap0

ExecStartPre=ip link add br0 type bridge

ExecStartPre=ip link set br0 type bridge stp_state 0

ExecStartPre=ip link set br0 type bridge forward_delay 0

ExecStartPre=ip link set br0 address b8:27:dd:kk:yz:5d

ExecStartPre=ip addr add 10.0.1.200/24 dev br0

ExecStartPre=sysctl -w net.ipv6.conf.br0.forwarding=1

ExecStartPre=sysctl -w net.ipv6.conf.br0.disable_ipv6=0

ExecStartPre=sysctl -w net.ipv6.conf.br0.autoconf=1

ExecStartPre=sysctl -w net.ipv6.conf.br0.use_tempaddr=2

ExecStartPre=sysctl -w net.ipv6.conf.br0.accept_ra=2

ExecStartPre=ip link set eth0 master br0

ExecStartPre=ip link set eth0 up

ExecStartPre=ip link set tap0 master br0

ExecStartPre=ip link set tap0 up

ExecStartPre=ip link set br0 up

ExecStartPre=ip route add default via 10.0.1.1

ExecStart   =true

ExecStop    =ip link set tap0 nomaster

ExecStopPost=ip link set tap0 down

ExecStopPost=ip addr flush dev tap0

ExecStopPost=openvpn --rmtun --dev tap0

ExecStopPost=ip link set eth0 nomaster

ExecStopPost=ip link set eth0 down

ExecStopPost=ip addr flush dev eth0

ExecStopPost=ip link set br0 down

ExecStopPost=ip addr flush dev br0

ExecStopPost=ip link del br0 type bridge

[Install]

WantedBy=multi-user.target

Service-Unit zum Starten des Netzwerkes

--mktun erzeugt eigentlich ein persistentes TAP-Device... sollte es, eigentlich. Aber aufgrund von wiederholten Unstimmigkeiten habe ich mich entschieden, das bei Systemstart explizit zu veranlassen

MAC-Adresse synchronisieren und statische IP-Adresse aus lokalen Netzwerk vorgeben (siehe oben Prämissen)

Default-Gateway

# ne /etc/sysctl.d/ip_setup.conf

net.ipv4.ip_forward=1

net.ipv6.conf.all.forwarding=1

net.ipv6.conf.default.disable_ipv6=0

net.ipv6.conf.default.forwarding=1

net.ipv6.conf.default.autoconf=0

net.ipv6.conf.default.use_tempaddr=0

net.ipv6.conf.default.accept_ra=0

net.ipv6.conf.eth0.disable_ipv6=1

net.ipv6.conf.eth0.forwarding=1

net.ipv6.conf.eth0.autoconf=0

net.ipv6.conf.eth0.use_tempaddr=0

net.ipv6.conf.eth0.accept_ra=0

Konfigruation der Interfaces für TCP/IP-Handling:

- Forwarding für alle Interfaces erlauben

- IPv6 default erlauben, aber ausdrücklich für eth0 verbieten

eth0 bekommt keine IPv4-Adresse, mit dem ‚disable‘ wird sichergestellt, dass auch der Kernel keine IPv6-Adresse via SLAAC generiert.

Das neue Bridge-Interface ‚br0‘ erhält sowohl eine aktive manuell zugewiesene Static-IPv4 aus dem LAN, als auch bei Verfügbarkeit von IPv6 eine durch SLAAC generierte öffentliche IPv6.

In reinen IPv4-Umgebungen sollten diese Einstellungen trotzdem keine negativen Auswirkungen haben.

# systemctl disable network.service

# systemctl enable network-bridge-static.service

# systemctl reboot

$ ping 10.0.1.200 -c 3

PING 10.0.1.200 (10.0.1.200) 56(84) bytes of data.

64 bytes from 10.0.1.200: icmp_seq=1 ttl=64 time=0.433 ms

64 bytes from 10.0.1.200: icmp_seq=2 ttl=64 time=0.442 ms

64 bytes from 10.0.1.200: icmp_seq=3 ttl=64 time=0.409 ms

$ ssh toml@10.0.1.200 -p 22

$ su -

Achtung: Neue statische IP = 200. Bridge = OK?

# ip a

1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000

    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00

    inet 127.0.0.1/8 scope host lo

       valid_lft forever preferred_lft forever

    inet6 ::1/128 scope host

       valid_lft forever preferred_lft forever

2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast master br0 state UP group default qlen 1000

    link/ether b8:27:dd:kk:yz:5d brd ff:ff:ff:ff:ff:ff

3: br0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default qlen 1000

    link/ether b8:27:dd:kk:yz:5d brd ff:ff:ff:ff:ff:ff

    inet 10.0.1.200/24 scope global br0

       valid_lft forever preferred_lft forever

    inet6 2003:z2b9:ybcv:x344:5d3:3661:e819:c4f6/64 scope global temporary dynamic

       valid_lft 6672sec preferred_lft 3072sec

    inet6 2003:z2b9:ybcv:x344:ba27:ebff:feee:dd5d/64 scope global dynamic mngtmpaddr

       valid_lft 6672sec preferred_lft 3072sec

    inet6 fe80::ba27:ebff:feee:dd5d/64 scope link

       valid_lft forever preferred_lft forever

# ne /etc/openvpn/server_udp_br.conf

server-bridge 10.0.1.200 255.255.255.0 10.0.1.201 10.0.1.210

#client-to-client

proto udp

dev tap0

port 55553

ca   /etc/openvpn/keys/ca.crt

cert /etc/openvpn/keys/server.crt

key  /etc/openvpn/keys/server.key

cipher AES-256-GCM

auth SHA256

auth-nocache

dh /etc/openvpn/keys/dh.pem

ecdh-curve secp384r1

tls-version-min 1.3

tls-crypt /etc/openvpn/keys/ta.key

ping-timer-rem

keepalive 10 60

persist-key

persist-tun

group vpnuser

user vpnuser

verb 3

mute 10

log-append /var/log/openvpn/openvpn_udp.log

OpenVPN-Konfiguration:

Sollen örtlich voneinander getrennte VPN-Clients auch untereinander kommunizieren können, muss der Comment-Tag ‚#‘ bei dieser Zeile entfernt werden.

Sofern die Datei-Namen der Key-Files anders lauten, entweder die Conf anpassen oder Symlinks erstellen, z.B.:

# cd /etc/openvpn/keys

# ln -s RaspiSrv.key server.key

# ln -s RaspiSrv.crt server.crt

# ln -s dh4096.pem dh.pem

# ne /etc/systemd/system/openvpn.service

Service-Unit für den Start des OpenVPN-Servers beim Systemstart.

[Unit]

Description=thlu:openvpn.service   Start a OpenVPN-Daemon

After=network-bridge-static.service

Requires=network-bridge-static.service

[Service]

Type=forking

PIDFile=/var/run/openvpn/pid

ExecStartPre=/bin/mkdir -p /var/run/openvpn

ExecStartPre=/bin/mkdir -p /var/log/openvpn

ExecStartPre=/bin/chmod 770 /var/log/openvpn

ExecStartPre=/bin/chown root:vpnuser /var/log/openvpn

ExecStartPre=/bin/sleep 2

ExecStart=/usr/sbin/openvpn --daemon --writepid /var/run/openvpn/pid --status /var/run/openvpn/status 60 --config /etc/openvpn/server_udp_br.conf

KillMode=process

[Install]

WantedBy=multi-user.target

Die Installations-Schritte sind bis auf ein unterschiedliches Konfigurationsfile sowie unterschiedliche Keyfiles (Client != Server) identisch... Symlinks siehe also oberhalb beim Server.

# ne /etc/openvpn/client_udp_br.conf

tls-client

remote-cert-tls server

remote myprivateddnslink.net

proto udp

port 55553

dev tap0

lladdr 02:b8:39:89:5d:30  

pull

ping 60

cipher AES-256-GCM

auth SHA256

auth-nocache

ca        /etc/openvpn/keys/ca.crt

cert      /etc/openvpn/keys/client.crt

key       /etc/openvpn/keys/client.key

tls-crypt /etc/openvpn/keys/ta.key

mute 10

verb 3

explicit-exit-notify

log-append /var/run/openvpn/client.log

--remote-cert-tls stellt sicher, dass der angesprochene Server auch wirklich der ist, der er sein soll und nicht ein fremdes System, was sich als Server ausgibt. Dieser Parameter ist ein Sicherheitsparameter.

Im Regelfall generiert OpenVPN bei der Erstellung eines TAP-Devices jedesmal eine zufällige MAC-Adresse für das Device. Das ist meistens unkritisch, kann allerdings dann aber auch zu Problemen führen, wenn man in seinem heimischen DSL-Router für gerouteten Internet-Verkehr für alle neuen Geräte die Default-Einstellung „Gesperrt“ eingerichtet hat. In dem Falle, wäre der VPN-Client jedesmal wegen einer neuen MAC-Adresse ein neues Gerät und wäre somit per Default blockiert. Das kann man mit einer statischen MAC umgehen, die man sich einmalig via Random-Device selbst erzeugt:

$ hexdump -vn5 -e '/5 "02"' -e '/1 ":%02x"' -e '"\n"' /dev/urandom

  02:b8:39:89:5d:30

Die 02 im ersten Segment ist eine Besonderheit, aber nicht zwingend. Ich habe die 02  einfach aus Bequemlichkeit gewählt, um die beiden ‚Least Significant Bits‘ im ersten Byte zu setzen.

Bit 0   ist  ein "multicast bit“, was anzeigt, das ist eine multicast oderr broadcast adresse

Bit 1   ist "local bit“, was anzeigt, die MAC ist nicht „assigned by vendor“ und deshalb möglicherweise nicht unique.

Somit ist das erste Segment der IP  wie folgt gesetzt: 02 = 0000 0010

$ su -

# mkdir /var/log/openvpn

# touch /var/log/openvpn/openvpn_udp.log

# tail -f /var/log/openvpn/openvpn_udp.log

Log-Anzeige im ersten Terminal des Servers

# openvpn --config /etc/openvpn/server_udp_br.conf

Start des Programms im zweiten Terminal des Servers

Terminal

Mon Mar 30 14:32:56 2020 OpenVPN 2.4.8 armv7l-unknown-linux-gnueabihf [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [MH/PKTINFO] [AEAD] built on Mar 14 2020

Mon Mar 30 14:32:56 2020 library versions: OpenSSL 1.1.1d  10 Sep 2019, LZO 2.10

Mon Mar 30 14:32:56 2020 Diffie-Hellman initialized with 4096 bit key

Mon Mar 30 14:32:56 2020 ECDH curve secp384r1 added

Mon Mar 30 14:32:56 2020 Outgoing Control Channel Encryption: Cipher 'AES-256-CTR' initialized with 256 bit key

Mon Mar 30 14:32:56 2020 Outgoing Control Channel Encryption: Using 256 bit message hash 'SHA256' for HMAC authentication

Mon Mar 30 14:32:56 2020 Incoming Control Channel Encryption: Cipher 'AES-256-CTR' initialized with 256 bit key

Mon Mar 30 14:32:56 2020 Incoming Control Channel Encryption: Using 256 bit message hash 'SHA256' for HMAC authentication

Mon Mar 30 14:32:56 2020 TUN/TAP device tap0 opened

Mon Mar 30 14:32:56 2020 TUN/TAP TX queue length set to 100

Mon Mar 30 14:32:56 2020 Could not determine IPv4/IPv6 protocol. Using AF_INET

Mon Mar 30 14:32:56 2020 Socket Buffers: R=[163840->163840] S=[163840->163840]

Mon Mar 30 14:32:56 2020 UDPv4 link local (bound): [AF_INET][undef]:55553

Mon Mar 30 14:32:56 2020 UDPv4 link remote: [AF_UNSPEC]

Mon Mar 30 14:32:56 2020 GID set to vpnuser

Mon Mar 30 14:32:56 2020 UID set to vpnuser

Mon Mar 30 14:32:56 2020 MULTI: multi_init called, r=256 v=256

Mon Mar 30 14:32:56 2020 IFCONFIG POOL: base=10.0.1.201 size=10, ipv6=0

Mon Mar 30 14:32:56 2020 Initialization Sequence Completed

$ su -

# mkdir /var/run/openvpn

# touch /var/run/openvpn/client.log

# tail -f /var/run/openvpn/client.log

Log-Anzeige im ersten Terminal des Client-Geräts

# openvpn --config /etc/openvpn/client_udp_br.conf

Start des Programms im zweiten Terminal des Client-Geräts

Terminal

Mon Mar 30 15:28:44 2020 OpenVPN 2.4.8 x86_64-pc-linux-gnu [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [MH/PKTINFO] [AEAD] built on Nov 13 2019

Mon Mar 30 15:28:44 2020 library versions: OpenSSL 1.1.1d  10 Sep 2019, LZO 2.10

Mon Mar 30 15:28:44 2020 Outgoing Control Channel Encryption: Cipher 'AES-256-CTR' initialized with 256 bit key

Mon Mar 30 15:28:44 2020 Outgoing Control Channel Encryption: Using 256 bit message hash 'SHA256' for HMAC authentication

Mon Mar 30 15:28:44 2020 Incoming Control Channel Encryption: Cipher 'AES-256-CTR' initialized with 256 bit key

Mon Mar 30 15:28:44 2020 Incoming Control Channel Encryption: Using 256 bit message hash 'SHA256' for HMAC authentication

Mon Mar 30 15:28:44 2020 TCP/UDP: Preserving recently used remote address: [AF_INET]189.45.649.808:55553

Mon Mar 30 15:28:44 2020 Socket Buffers: R=[212992->212992] S=[212992->212992]

Mon Mar 30 15:28:44 2020 UDP link local (bound): [AF_INET][undef]:55553

Mon Mar 30 15:28:44 2020 UDP link remote: [AF_INET]189.45.649.808:55553

Mon Mar 30 15:28:45 2020 TLS: Initial packet from [AF_INET]189.45.649.808:55553, sid=44968a94 a552338d

Mon Mar 30 15:29:00 2020 VERIFY OK: depth=1, CN=toml.de

Mon Mar 30 15:29:00 2020 VERIFY KU OK

Mon Mar 30 15:29:00 2020 Validating certificate extended key usage

Mon Mar 30 15:29:00 2020 ++ Certificate has EKU (str) TLS Web Server Authentication, expects TLS Web Server Authentication

Mon Mar 30 15:29:00 2020 VERIFY EKU OK

Mon Mar 30 15:29:00 2020 VERIFY OK: depth=0, CN=Server

Mon Mar 30 15:29:00 2020 Control Channel: TLSv1.3, cipher TLSv1.3 TLS_AES_256_GCM_SHA384, 384 bit EC, curve: secp384r1

Mon Mar 30 15:29:00 2020 [Server] Peer Connection Initiated with [AF_INET]189.45.649.808:55553

Mon Mar 30 15:29:01 2020 SENT CONTROL [Server]: 'PUSH_REQUEST' (status=1)

Mon Mar 30 15:29:01 2020 PUSH: Received control message: 'PUSH_REPLY,route-gateway 10.0.1.200,ping 10,ping-restart 60,ifconfig 10.0.1.201...

Mon Mar 30 15:29:01 2020 OPTIONS IMPORT: timers and/or timeouts modified

Mon Mar 30 15:29:01 2020 OPTIONS IMPORT: --ifconfig/up options modified

Mon Mar 30 15:29:01 2020 OPTIONS IMPORT: route-related options modified

Mon Mar 30 15:29:01 2020 OPTIONS IMPORT: peer-id set

Mon Mar 30 15:29:01 2020 OPTIONS IMPORT: adjusting link_mtu to 1656

Mon Mar 30 15:29:01 2020 OPTIONS IMPORT: data channel crypto options modified

Mon Mar 30 15:29:01 2020 Outgoing Data Channel: Cipher 'AES-256-GCM' initialized with 256 bit key

Mon Mar 30 15:29:01 2020 Incoming Data Channel: Cipher 'AES-256-GCM' initialized with 256 bit key

Mon Mar 30 15:29:01 2020 TUN/TAP device tap0 opened

Mon Mar 30 15:29:01 2020 TUN/TAP TX queue length set to 100

Mon Mar 30 15:29:01 2020 /usr/sbin/ifconfig tap0 hw ether 02:b8:39:89:5d:30

Mon Mar 30 15:29:01 2020 TUN/TAP link layer address set to 02:b8:39:89:5d:30

Mon Mar 30 15:29:01 2020 /usr/sbin/ifconfig tap0 10.0.1.201 netmask 255.255.255.0 mtu 1500 broadcast 10.0.1.255

Mon Mar 30 15:29:01 2020 Initialization Sequence Completed

# systemctl enable openvpn.service

# systemctl start openvpn.service

Sofern der Verbindungs-Test erfolgreich durchgeführt war und die manuellen Starts beendet sind, kann der VPN-Server nur für den Systemstart aktiviert und sofort als Daemon gestartet werden.

Ein wichtiger Hinweis zum Schluss!

Das hier beschriebene Bridging-Modell für einen OpenVPN-Tunnel ins Heimnetzwerk benötigt für die reine Funktion der Verbindung von außerhalb über das Internet zum Heimnetzwerk keine Paketfilter-Regeln. Das bedeutet, Einstellungen für iptables oder nftables sind nicht notwendig. Aber, und das ist der wichtigste Hinweis: Man sollte in seinem eigenen Interesse auf gar keinen Fall sein mobiles Gerät einfach so an einem fremden Gastgeber-Netzwerk (Restaurants, Cafes, Hotels oder irgendwo in der City an zufällig gefundenen offenen WLAN-Netze) ohne Schutzmaßnahmen anmelden und verbinden, wenn die Absicht besteht, anschließend einen VPN-Tunnel via Bridging nachhause zu öffnen. Schlimmstenfalls hat man damit eine Durchmarsch-Route für fremde und ebenfalls im im Gastgeber-Netz aktive Geräte bis hin in sein eigenes Netzwerk zuhause eröffnet.

Aber die notwendigen Firewall-Regeln, um solche Gefahren zu eliminieren, können natürlich hier aufgrund des kritischen Umfangs der möglichen Security-Verstöße kein Thema sein. Das Einrichten restriktiver Firewall-Regeln, deaktivieren unbenötigter Services, restriktive User-Berechtigungen, beschränken von ‚lauschenden Diensten‘ und weitergehende Erklärungen habe ich im Artikel Security beschrieben.

Und ja, man kann diese Hinweise natürlich auch ignorieren und sich selbstherrlich über berechtigte Warnungen hinwegsetzen. Nun ja, da kann man nichts machen... Sicherheit existiert jedenfalls nur solange, wie der ‚Admin‘ nicht selber auf Sicherheit verzichtet oder schlimmstenfalls sogar fahrlässig eine vorhandene Sicherheit außer Kraft setzt. Mach Dir einfach bewusst, wenn Du auf eine absolute und exklusive Kontrolle Deines Netzwerk verzichtest, hast Du auch keine Kontrolle darüber, wer die Hardware Deines Netzwerks unerlaubt mitbenutzt und darüber Zugang zu privaten Daten und Ressourcen im Netzwerk hat. Wenn Deine Netzwerkzugänge einmal kompromittiert sind, hast Du auch kaum eine Möglichkeit das im Nachgang noch festzustellen. Irgendwelche Antiviren-Programme können da jedenfalls keinen Schutz herstellen, weil sie solche ausgenutzten Exploits gar nicht feststellen können.

# ne /etc/systemd/system/network-bridge-dhcp.service

[Unit]

Description=thlu:network-bridge-dhcp.service    Bridged Network for VPN

After=basic.target

Before=network.target shutdown.target

Wants=network.target

Conflicts=shutdown.target

[Service]

Environment="PATH=/bin:/usr/sbin:/usr/bin:/usr/local/sbin:/usr/local/bin"

Type=oneshot

RemainAfterExit=yes

ExecStartPre=openvpn --mktun --dev tap0

ExecStartPre=ip link add br0 type bridge

ExecStartPre=ip link set br0 type bridge stp_state 0

ExecStartPre=ip link set br0 type bridge forward_delay 0

ExecStartPre=ip link set br0 address b8:27:dd:kk:yz:5d

ExecStartPre=sysctl -w net.ipv6.conf.br0.forwarding=1

ExecStartPre=sysctl -w net.ipv6.conf.br0.disable_ipv6=0

ExecStartPre=sysctl -w net.ipv6.conf.br0.autoconf=1

ExecStartPre=sysctl -w net.ipv6.conf.br0.use_tempaddr=2

ExecStartPre=sysctl -w net.ipv6.conf.br0.accept_ra=2

ExecStartPre=ip link set eth0 master br0

ExecStartPre=ip link set eth0 up

ExecStartPre=ip link set tap0 master br0

ExecStartPre=ip link set tap0 up

ExecStartPre=ip link set br0 up

ExecStartPre=dhclient -v br0

ExecStart   =true

ExecStop    =ip link set tap0 nomaster

ExecStopPost=ip link set tap0 down

ExecStopPost=ip addr flush dev tap0

ExecStopPost=openvpn --rmtun --dev tap0

ExecStopPost=ip link set eth0 nomaster

ExecStopPost=ip link set eth0 down

ExecStopPost=ip addr flush dev eth0

ExecStopPost=ip link set br0 down

ExecStopPost=ip addr flush dev br0

ExecStopPost=ip link del br0 type bridge

[Install]

WantedBy=multi-user.target

Alternative Service-Unit zum Starten des Netzwerkes, die hier nicht als Static-IP-Setup, sondern mit IP via DHCP-Server realisiert ist.