SSL VPN über Standard Port
Verfasst: Fr 30.09.2011, 10:43
Da der Standard OpenVPN Port ja nicht zwangsläufig erreichbar ist, z.B. wenn der Client hinter einer Firefall sitzt, die nur HTTP/HTTPS erlaubt oder einen Proxy benutzen muss, möchte ich OpenVPN auf dem HTTPS Port (443) laufen lassen. Das Webinterface soll aber weiterhin erreichbar sein.
Das geht mit OpenVPN per port-share Befehl.
OpenVPN nimmt alles auf Port 443 an und leitet alle Nicht VPN-Verbindungen an einen anderen Webserver weiter.
1. Webinterface Port ändern
Extras -> Erweiterte Einstellungen -> Webserver
2. OpenVPN Konfigurieren.
VPN -> SSL-VPN
3. OpenVPN Vorlage bearbeiten
Extras ->Erweiterte Einstellunge -> Vorlagen -> openvpn -> /etc/openvpn.conf
Hier muss der port-share Eintrag gemacht werden.
Zusätzlich wird noch der listen-port bzw. für die Clients der remote port fest auf 443 gesetzt, da (siehe oben) per Webinterface der Port nicht auf 443 geändert werden kann.
Soweit so gut.
OpenVPN läuft auf Port 443, das Webinterface auf 1443. Browserverbindungen zur Applicance werden durch OpenVPN zum Webserver weitergeleitet und VPN-Verbindungen können erfolgreich aufgebaut werden.
Ein kleines Problem habe ich trotzdem noch. Wenn sich ein Benutzer den VPN-Client herunterläd, steht in der Config immer noch:
remote servername 1194
obwohl ja in der Vorlage steht:
remote ${REMOTE} 443
Ich habe auch mal weitere Befehle in die Vorlage geschrieben, diese scheinen ebenfalls ignoriert zu werden.
Jetz meine Frage: Wie und an welcher stelle wird die "appliance.ovpn" Datei für den Client generiert und wie kann ich die anpassen?
Das geht mit OpenVPN per port-share Befehl.
OpenVPN nimmt alles auf Port 443 an und leitet alle Nicht VPN-Verbindungen an einen anderen Webserver weiter.
1. Webinterface Port ändern
Extras -> Erweiterte Einstellungen -> Webserver
Code: Alles auswählen
User-Interface Port: 1443
VPN -> SSL-VPN
Code: Alles auswählen
SSL-VPN-Port: 443 # Soweit die Theorie, das Webinterface erlaubt aber nur Ports >= 1023. Lösung siehe unten
SSL-VPN-Protokoll: TCP # port-share funktioniert nur mit TCPExtras ->Erweiterte Einstellunge -> Vorlagen -> openvpn -> /etc/openvpn.conf
Hier muss der port-share Eintrag gemacht werden.
Zusätzlich wird noch der listen-port bzw. für die Clients der remote port fest auf 443 gesetzt, da (siehe oben) per Webinterface der Port nicht auf 443 geändert werden kann.
Code: Alles auswählen
#IF ${CLIENT_MODE}=0
#port ${PORT}
port 443
port-share 127.0.0.1 1443
#ELSE
client
#remote ${REMOTE} ${PORT}
remote ${REMOTE} 443
nobind
#ENDIFSoweit so gut.
OpenVPN läuft auf Port 443, das Webinterface auf 1443. Browserverbindungen zur Applicance werden durch OpenVPN zum Webserver weitergeleitet und VPN-Verbindungen können erfolgreich aufgebaut werden.
Ein kleines Problem habe ich trotzdem noch. Wenn sich ein Benutzer den VPN-Client herunterläd, steht in der Config immer noch:
remote servername 1194
obwohl ja in der Vorlage steht:
remote ${REMOTE} 443
Ich habe auch mal weitere Befehle in die Vorlage geschrieben, diese scheinen ebenfalls ignoriert zu werden.
Jetz meine Frage: Wie und an welcher stelle wird die "appliance.ovpn" Datei für den Client generiert und wie kann ich die anpassen?