OpenVPN im DualStack Betrieb

Wie man OpenVPN im DualStack IPv4/IPv6 parallel betreibt

Mit der OpenVPN Version 2.4 und höher ist es möglich mit nur einer Server Konfiguration OpenVPN parallel im IPv4 Modus und IPv6 Modus zu betreiben.

Eine gute Anleitung auch wegen EasyRSA findet man hier: OpenVPN Debian Wiki

Neu ist die Verwendung von udp und udp6 zusammen in einer Konfiguration. Über Kommentare wurde ich mich freuen.
Hier eine Beispiel Konfiguration des Servers:


##Serverart
#server IP + NETMASKE
server 10.x.x.x 255.255.255.0 # 24er Netz

##Port
port 1194

##Protokoll
proto udp
proto udp6

##Interface (tap0,tap1 usw)
dev tun0
topology subnet

##Bei DualStack Lite per ipv4 (mtu kann unterschiedlich sein)
#link-mtu 1402
#tun-mtu 1432
#fragment 1300
#mssfix

##Aktiviert ipv6 bei dev tun (veraltet ab 2.4)
#tun-ipv6

##User und Group anlegen mit: useradd -s /bin/false openvpn
##persist-tun und -key erforderlich
user openvpn
group openvpn
persist-tun
persist-key

ca /pfad_anpassen/ca.crt
cert /pfad_anpassen/server.crt
key /pfad_anpassen/server.key
dh /pfad_anpassen/dh2048.pem

##Erneuert den Key
reneg-sec 3600

ping-timer-rem
keepalive 10 60

##Debug Level
verb 3

##An alle Clients übermitteln
#push "dhcp-option DOMAIN home.lan"
#push "dhcp-option DNS 10.x.x.x"
#push "dhcp-option DNS 10.x.x.x"
#push "route 10.x.x.x 255.255.255.255"
#push "explicit-exit-notify 3"

##Verschlüsselung
#cipher AES-256-CBC

##Benutzern dieselbe IP zuweisen
ifconfig-pool-persist /pfad_anpassen/ipp

##Statuslogdatei
status /pfad_anpassen/status.log

##Spezielles Konfigurationsverzeichnis für einzelne Benutzer
client-config-dir /pfad_anpassen/ccd

##Clients kommunizieren untereinander
#client-to-client

##Komprimierung aktivieren
#comp-lzo

script-security 2

float

##Shell Script beim Starten ausfuehren
#up /pfad_anpassen/up.sh

##Shell Script beim Beenden ausfuehren
#down /pfad_anpassen/down.sh

##Routen in andere Netze hinter dem Client
#route 10.x.x.x 255.255.255.0 10.x.x.x

Hier eine Beispiel Konfiguration des Clients:


client

pull

remote mein.server.de 1194 #ipv4

proto udp #ipv4
proto udp6 #ipv6

##Nur unter Linux/Mac (Ziffer anpassen)
dev tun0
#dev tap0

##Bei DualStack Lite per ipv4 (mtu kann unterschiedlich sein)
#link-mtu 1432
#tun-mtu 1432
#fragment 1300
#mssfix

##Aktiviert IPv6 bei tun (veraltet ab 2.4)
#tun-ipv6

##Nur unter Windows
#dev tun #ohne Zahl
#dev tap #ohne Zahl
#dev-node 

##Setzt ./build-key- voraus ab 2.4 veraltet
#ns-cert-type server
# ab Version 2.4
remote-cert-tls server

##Nur unter Linux
##User und Group anlegen mit: useradd -s /bin/false openvpn
group openvpn
user openvpn
persist-tun
persist-key

##Pfade bzw Dateinamen ggf. anpassen
#ca ca.crt
#cert .crt
#key .key
#tls-auth ta.key

##Name der in CN (./build-key-server ) eingegeben wurde ab 2.4 veraltet
#tls-remote mein.server.de

#cipher AES-256-CBC

##Erneuert den Key
reneg-sec 3600

keepalive 10 60

##Debug Level
verb 3

##DNS Server
##
##DNS Anfragen laufen dann durchs VPN

#dhcp-option DOMAIN domain.de
#dhcp-option DNS 
#dhcp-option DNS 

##Routing Einstellungen

##Route in ein anderes Subnetz hinter dem Server
#route 10.x.x.x
#route-ipv6 fd00::/64

##Kompletten IPv6 Traffic durchs VPN leiten
#route-ipv6 2000::/3

##Kompletten IPv4 Traffic durchs VPN leiten
#redirect-gateway def1 bypass-dhcp

##tun o. tap device verzoegert starten
#up-delay

#Komprimierung aktivieren
#comp-lzo

script-security 2

#nobind

float

##Shell Script beim Starten ausfuehren
up /etc/openvpn/up.sh

##Shell Script beim Beenden ausfuehren
down /etc/openvpn/down.sh













Check Also

Kein ifconfig in Debian9 “Stretch”

Wer das neue Debian Codename Stretch installiert hat, sucht nach dem Programm “ifconfig” vergeblich. Man ...

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Lars Pilawski hat 4,73 von 5 Sternen 981 Bewertungen auf ProvenExpert.com