Keine Antworten in diesem Thema

[PadX18]

Wiedermal ein freundliches Hallo an alle,

 

nachdem ich letztens gezeigt habe, wie Ihr Euren Router mit der Tomato Firmware flashen könnt, möchte ich heute daran anknüpfen und Euch zeigen wie Ihr nun einen VPN, in unserem Fall anhand von Perfect-Privacy gezeigt, auf Eurem Router einrichten könnt.

 

Vorweg möchte ich gleich anmerken, dass diese Anleitung größtenteils aus dem Perfect-Privacy Forum übernommen wurde, lediglich ein paar Begriffe und Funktionen haben sich in den letzten Jahren geändert.

Diese wurden in der folgenden Anleitung berücksichtig, sodass alle gezeigten Einstellungen mit der akuellen Firmware übereinstimmen sollten!

 

Alle Links zum Perfect-Privacy Forum-Beitrag findet Ihr auch nochmal unten.

 

Wie schon in der letzten Anleitung wird von meinerseits wieder ein 

Please Login HERE or Register HERE to see this link!

 verwendet.

 

------------------------------------------------------------------------------------------------------------------------------------------------------------------------

 

 

1. Vorbereitungen

 

• Besorge einen 

  Please Login HERE or Register HERE to see this link!

   (Kleiner Tipp: Aktuell ist immer noch der kostenlose Probemonat verfügbar)
• Navigiere zu MITGLIEDER -> DOWNLOAD -> "Routersymbol" -> Bei "Router" auf den "Anzeigen-Button" -> Art: "Server als Gruppe" -> Protokoll: "UDP" -> Verschlüsselung: "AES-256-CBC" oder andere gewünschte Verschlüsselung auswählen 
• Anschließend auf den "Download-Button" klicken und die .zip Datei auf Deinem PC speichern.
• Entpacke die eben heruntergeladene .zip Datei und entscheide Dich für einen Server Deiner Wahl

 

 

Ich selbst verwende im Beispiel den Server von Amsterdam, sprich die "Amsterdam.ovpn" Datei.

 

 

 

2.1 Tomato Konfiguration

 

• Ändere zunächst unter "Administration/Admin Access" ganz unten das Standard-Passwort und deaktiviere danach das TomatoAnon Script.

 

 

 

Laut der Aussage von Shibby sendet das Script mit den Standardeinstellungen diese Daten zu statistischen Zwecken:

 

• Router Modell
• Tomato Version
• Buildtyp

 

Geht man jedoch auf seine Projektseite, auf der die Daten veröffentlicht werden, werden weitere Daten (allerdings nicht alle) aufgelistet. Auch wenn der Quellcode einsehbar ist, sollte man das Script unter dem Menü "Administration\TomatoAnon" zur Sicherheit mit diesen Einstellungen deaktivieren:

 

 

 

• TomatoAnon Settings ->
• "Yes, i do and want to make a choise"
• "No, i definitely wont enable it"

 

 

 

Beide Male ganz unten Save nicht vergessen!

 

 

2.2 Wlan

 

Stichwort Geolocation, mehr dazu im 

Please Login HERE or Register HERE to see this link!

.

Es wird empfohlen, Geolocation im Browser zu deaktivieren oder noch besser direkt das Wlan am Router zu deaktivieren.

 

• Dazu Basic/Network -> und bei beiden Netzwerken (2,4 & 5GHz) den Haken bei "Enable Wireless" entfernen -> Save

 

 

Wenn nach dem Speichern keine der Wlan-LED's leuchtet wurde das Wlan erfolgreich deaktiviert!

 

 

2.3 DNS Konfiguration

 

Um die Domain des ausgewählten Servers von Perfect-Privacy auflösen zu können, also um überhaupt erst einmal eine VPN-Verbindung zu PP aufbauen zu können, wird ein DNS-Server benötigt, dieser muss wie folgt eingetragen werden:

 

• Basic/Network -> WAN Settings -> DNS Server -> "Manual" -> und im makierten Bereich den gewünschten DNS-Server eintragen (z.B. den Google DNS-Server 8.8.8.8 | 8.8.4.4) -> Save

 

 

Nach dem erfolgreichen Aufbau der VPN-Verbindung wird der weitere DNS-Verkehr über Perfect-Privacy abgewickelt.

 

Alternativ kann später statt der Domain von PP auch direkt die IP des ausgewählten Servers eingetragen werden, dadurch könnte man den DNS-Eintrag umgehen - evtl. gäbe es auch eine Möglichkeit die Domain lokal aufzulösen dazu aber später bzw. ein andermal mehr...

 

 

2.4 IPv6 einschalten

 

• Basic/IPv6 -> IPv6 Configuration -> IPv6 Service Type -> "6rd from DHCP4 (Option 212)" -> Save

 

 

 

 

3.1 VPN-Konfiguration mit UDP

 

1. Menüpunkt: VPN Tunneling
2. Menüpunkt: OpenVPN Client
3. Reiter: Client 1 -> Basic
4. Start with WAN: Haken rein
5. Interface Type: "TUN"
6. Protocol: "UDP"
7. Server Address/Port: "amsterdam.perfect-privacy.com"(Domain des gewünschten Servers oder wie oben erwähnt direkt die IP des Servers wenn ohne DNS-Server)
8. Port: "1149" (Von "Gewünschter Server".ovpn) - Achtung nicht Port "1194" wie vorkonfiguriert  
9. Firewall: "Automatic"
10. Authorization mode: "TLS"
11. Username/Password Authentication: Haken rein
12. Username & Password: Benutzername und Passwort von Perfect-Privacy Account
13. Extra HMAC authorization (tls-auth): "Outgoing (1)"
14. Create NAT on tunnel: Haken rein

-> Save

 

 

 

15. Reiter: Advanced

16. Redirect Internet Traffic: Haken rein

17. Accept DNS configuration: "Strict" (Damit laufen die DNS-Requests über PP) 

18. Encryption cipher: "AES-256-CBC" (oder die vom Download gewählte Verschlüsselung)

19. Compression: "Adaptive"

20. TLS Renegotiation Time: "-1"

21. Connection retry: "-1"

22. Custom configuration:

 

tun-mtu 1500
fragment 1300
mssfix
auth SHA512
#float
hand-window 120
inactive 604800
mute-replay-warnings
ns-cert-type server
persist-remote-ip
ping 5
ping-restart 120
reneg-sec 3600
resolv-retry 60
route-delay 2
route-method exe
tls-cipher TLS-DHE-RSA-WITH-AES-256-GCM-SHA384:TLS-DHE-RSA-WITH-AES-256-CBC-SHA256:TLS-DHE-RSA-WITH-CAMELLIA-256-CBC-SHA:TLS-DHE-RSA-WITH-AES-256-CBC-SHA:TLS-RSA-WITH-CAMELLIA-256-CBC-SHA:TLS-RSA-WITH-AES-256-CBC-SHA
tls-timeout 5
verb 4
key-direction 1

 

-> Save

 

 

 

 

Wichtig: Auf korrekte Formatierung achten! - tls-cipher auch in "Gewählter Server".ovpn enthalten 

 

 

3.2 VPN Konfiguration mit TCP

 

Please Login HERE or Register HERE to see this link!

 

 

3.3 Zertifikate einfügen

 

• VPN Tunneling/OpenVPN Client -> Client 1 -> Reiter:"Keys"
• Öffne die "dein gewählter Server.ovpn" (Amsterdam.ovpn)

 

Kopiere die Inhalte in die entsprechenden Felder, wie auf dem Bild gezeigt.

 

 

 

-> Save

 

 

4. Firewall Konfiguration/Leak-Schutz

 

• Administration/Scripts -> Reiter "Firewall" -> Iptables einfügen:

iptables --flush FORWARD
iptables -P FORWARD DROP
iptables -I FORWARD -o tun+ -j ACCEPT
iptables -I FORWARD -i tun+ -j ACCEPT
iptables -t nat -I POSTROUTING -o tun+ -j MASQUERADE

-> Save

 

 

 

 

Dazu folgende Information von dem PP-Beitrag übernommen:

 

iptables --flush FORWARD

Löscht alle Regeln in der Kette FORWARD.

 

iptables -P FORWARD DROP

Legt eine Gesamtpolicy (Grundsatzregel) für die Kette FORWARD fest, die besagt, dass alle Ports zu schließen sind und für die Ports, über die man Pakete durchlassen möchte, müssen zusätzliche Erlaubnis-Regeln erstellt werden.

 

iptables -I FORWARD -o tun+ -j ACCEPT

Alle über tun+ raus gehende Pakete werden über alle Ports zugelassen.

 

iptables -I FORWARD -i tun+ -j ACCEPT

Alle über tun+ rein gehende Pakete werden über alle Ports zugelassen.

 

iptables -t nat -I POSTROUTING -o tun+ -j MASQUERADE

Diese Regel maskiert (ersetzt) die eigene LAN Adresse (Z.B. 192.168.1.100) durch eine VPN Adresse des tun+ Interface (Z.B. 10.0.0.1). Erst dann kann der Rechner den VPN Server erreichen.

 

Zusatzinformation:
Die oben aufgelisteten Regeln sichern den Router gegen Leaks ab. Dies wird dadurch erreicht, dass die Policy der FORWARD chain auf DROP gesetzt wird. Die FORWARD chain findet für alle Pakete Anwendung, die über den Router rein oder rausgehend gesendet werden, dh wenn der Router selber nur der Mittler und nicht das Ziel ist. Ein Beispiel dazu wäre wenn ein Client über den Router auf das Internet zugreift. Man öffnet nun die FORWARD chain lediglich für OpenVPN, Traffic über OpenVPN ist erlaubt, bricht die OpenVPN Verbindung ab geht nichts raus oder rein. Startet ein Client hinter dem Router eine eigene OpenVPN Verbindung, so wird diese kaskadiert durch die OpenVPN Verbindung des Routers gebaut. Die Ports müssen dazu nicht frei gegeben werden, da OpenVPN bereits über die FORWARD chain erlaubt ist.

 

------------------------------------------------------------------------------------------------------------------------------------------------------------------------

 

 

Damit wären alle Konfigurationen abgeschlossen, sodass wir uns nur noch mit unserem frisch eingerichteten VPN verbinden müssen:

 

• VPN Tunneling/OpenVPN Client -> Client 1 -> "Start Now"

 

Zum Abschluss noch schnell bei Perfect Privacy vorbeigeschaut, um die

Please Login HERE or Register HERE to see this link!

und den

Please Login HERE or Register HERE to see this link!

auf evtl. Leaks zu überprüfen.

Wer mag, kann zusätzlich noch den Kill-Switch testen, dazu einfach die VPN-Verbindung trennen und einen Server Deiner Wahl anpingen z.B. den Google DNS-Server (8.8.8.8) - ist dieser nicht erreichbar, hat der Kill-Switch erfolgreich funktioniert.

 

 

Quellen/originale Beiträge:

 

• Please Login HERE or Register HERE to see this link!

  (deutsch)

• Please Login HERE or Register HERE to see this link!

  (english)

 

In diesem Sinne natürlich auch ein Dankeschön an die Jungs von PP

 

 

Mit besten Grüßen

PadX18

 

____________

Edit: Bilder neu hochgeladen

Bearbeitet von PadX18, 31 January 2019 - 18:07 Uhr.