OVPNIP7
IP-Tunnel mit OpenVPN einrichten auf Lucom LR77 v2

Artikel 57557

Stand 10.08.2023, 12:13:26

Version 64d4b846

Wir betreiben verschiedene Einwahl-Server zur Bereitstellung von IP-Tunnel-Verbindungen / festen, öffentlichen IPv4-Adressen. Die Anleitungen in dieser Kategorie sind speziell abgestimmt auf diesen Server:

  • Name: OVPNIP7
  • Hostname: ovpnip7.internet-xs.de
  • IP-Adresse: 212.58.69.22
  • Protokoll: OpenVPN / TUN / UDP oder TCP
  • Client IP-Adress-Bereich: 212.58.87.0/24 (212.58.87.1 - 212.58.87.254)
  • Benutzername / Zugangskennung Format: ixs022-....-........

Bitte prüfen Sie, ob Ihr IP-Tunnel-Zugang auch auf dem o.g. Server registriert ist.

Alle Arbeiten geschehen auf eigene Gefahr. Für Schäden an Soft- und Hardware sowie für Ausfälle Ihrer Infrastruktur sind Sie selbst verantwortlich. Wir können keine Unterstützung für nicht von uns getestete Szenarien, Hardware, Software und Betriebssysteme anbieten. Alle Anleitungen setzen ein Blanko- bzw. minimal konfiguriertes System voraus und sind als eine mögliche Konfigurationsvariante zu verstehen, die ggf. an Ihr lokales Umfeld und Ihre Anforderungen angepasst werden muss. Bitte beachten Sie immer die Sicherheitshinweise in der Bedienungsanleitung des Herstellers, besonders zum Betrieb von Hardware, dem Aufstellungsort und Betriebstemperaturen. Führen Sie Tests nicht in Produktivumgebungen durch. Testen Sie die Lösung ausgiebig, bevor Sie sie produktiv einsetzen. IT-Systeme sollten nur von qualifiziertem Personal konfiguriert werden. Als Administrator müssen Sie selbst abwägen, ob unsere Produkte und Dienstleistungen für Ihren Anwendungszweck und die gewünschte Verfügbarkeit geeignet sind, oder nicht. Führen Sie Änderungen nicht über eine entfernte Verbindung (Remote-Verbindung) durch. Verwenden Sie stets sichere Passwörter, ändern Sie Standard-Passwörter umgehend ab.

Voraussetzungen

  1. Lucom LR77 v2 (LTE router LR77 v2 Libratum) (B+B SmartWorx / Advantech)
  2. Firmware-Version: mind. 6.2.8 (2021-02-19)
  3. SIM-Karte mit Datenverbindung
  4. Test-Zugang oder bezahlter Zugang auf dem IP-Tunnel-Server OVPNIP7
  5. Stabile LTE-Verbindung

Testumgebung

  • Router: Lucom LR77 v2 (LTE router LR77 v2 Libratum) (B+B SmartWorx / Advantech)
  • Firmware: 6.2.8 (2021-02-19)
  • SIM-Karte: Vodafone

Die zu erwartende Bandbreite liegt bei ca. 5,5 Mbit/s (Download) bzw. 6,5 Mbit/s (Upload) (der Durchsatz wird durch die Prozessorleistung des Geräts begrenzt, nicht durch den IP-Tunnel-Dienst).

Grundkonfiguration

Damit der IP-Tunnel-Zugang konfiguriert werden kann, muss der Router über eine funktionierende Internet-Verbindung verfügen. Konfigurieren Sie den Router gemäß der Anleitung des Herstellers so, dass eine Internet-Verbindung zustande kommt.

Öffnen Sie die Konfigurationsoberfläche mit einem Internet-Browser.

  1. Adresse: http://192.168.1.1/ (in neueren Firmware-Versionen wird Ihr Browser auf HTTPS weitergeleitet, weshalb eine Zertifikatswarnung erscheint)
  2. Benutzername: root
  3. Passwort: root

Passwort ändern

Nach Abschluss der Konfiguration ist der Router über eine feste, öffentliche IPv4-Adresse aus dem Internet erreichbar. Deshalb sollte das Standard-Passwort umgehend durch ein sicheres Passwort ersetzt werden.

  1. Navigieren Sie zu Administration > Change Password
  2. New Password: ein neues, sicheres Passwort
  3. Confirm Password: “New Password” wiederholen
  4. Klicken Sie auf Apply.

SIM-Einstellungen vornehmen

  1. Navigieren Sie zu Configuration > Mobile WAN
  2. Create connection to mobile network: Aktiviert (falls das Kontrollkästchen sichtbar ist)
  3. Nehmen Sie die folgenden Einstellungen für den genutzten SIM-Slot vor.
  4. APN: Wie von Ihrem Mobilfunkprovider vorgegeben (z.B. web.vodafone.de (Vodafone), internet.telekom (Telekom / T-Mobile) oder internet (o2))
  5. Username: Wie von Ihrem Mobilfunkprovider vorgegeben (z.B. leer (Vodafone), t-mobile (Telekom / T-Mobile)
  6. Password: Wie von Ihrem Mobilfunkprovider vorgegeben (z.B. leer (Vodafone), tm (Telekom / T-Mobile)
  7. DNS Settings: set manually
  8. DNS IP Address: Setzen Sie hier einen DNS-Server wie z.B. 8.8.8.8 (Google), 1.1.1.1 (Cloudflare) oder 9.9.9.9 (IBM Quad9) ein, da Ihr Mobilfunkanbieter DNS-Anfragen, die von einer IP-Adresse außerhalb seines Netzes stammen, nicht beantworten wird, sobald der Router über eine feste, öffentliche IPv4-Adresse verfügt.
  9. Klicken Sie auf Apply

Mobilfunkverbindung testen

Prüfen Sie, ob Sie mit dem Konfigurationscomputer Webseiten im Internet über den LR77 v2 Router erreichen können. Es sollte außerdem ein ping auf ovpnip7.internet-xs.de möglich sein. Falls Sie keine Webseiten im Internet erreichen oder ein Ping auf ovpnip7.internet-xs.de nicht möglich ist, prüfen Sie bitte die Mobile WAN-Einstellungen.

Firewall vorbereiten

Damit die an die per IP-Tunnel-Verbindung bereitgestellte feste, öffentliche IPv4-Adresse gesendeten Pakete von den über die Web-Oberfläche konfigurierten Firewall-Regeln erfasst werden, muss die virtuelle Netzwerkschnittstelle in die entsprechende Firewall-Zone gesetzt werden.

  1. Navigieren Sie zu Configuration > Scripts > Startup
  2. Fügen Sie dem Startup-Script diese Zeilen an:
/sbin/iptables -t mangle -A PREROUTING -i tun+ -j pre
/sbin/iptables -t mangle -A PREROUTING -i tun+ -j block

Das Feld Startup Script sollte anschließend so aussehen:

#!/bin/sh
#
# This script will be executed *after* all the other init scripts.
# You can put your own initialization stuff in here.

/sbin/iptables -t mangle -A PREROUTING -i tun+ -j pre
/sbin/iptables -t mangle -A PREROUTING -i tun+ -j block

OpenVPN Client konfigurieren

  1. Navigieren Sie zu Configuration > OpenVPN > 1st Tunnel
  2. Create 1st OpenVPN tunnel: Aktiviert
  3. Description: ixs-ovpnip7
  4. Protocol: UDP
  5. UDP Port: 1194
  6. Remote IP Address: 212.58.69.22 (setzen Sie hier nicht die Ihrem IP-Tunnel Zugang zugeteilte feste, öffentliche IPv4-Adresse ein!)
  7. Remote Subnet: 212.58.87.0 (setzen Sie hier nicht die Ihrem IP-Tunnel Zugang zugeteilte feste, öffentliche IPv4-Adresse ein!)
  8. Remote Subnet Mask: 255.255.255.0
  9. Redirect Gateway: yes (falls Sie Port-Weiterleitungen / DNAT konfigurieren möchten) oder no (falls Sie nur auf die Web-Oberfläche des Routers zugreifen möchten)
  10. Local Interface IP Address: leer
  11. Remote Interface IP Address: leer
  12. Ping Interval: 20
  13. Ping Timeout: 120
  14. Renegotiate Interval: leer
  15. Max Fragment Size: leer
  16. Compression: none
  17. Nat Rules: applied
  18. Authenticate Mode: username / password
  19. Security Mode: tls-auth
  20. Pre-shared Secret: Leer
  21. CA Certificate: Bitte kopieren Sie den Text-Block unten inklusive-----BEGIN CERTIFICATE-----” und “-----END CERTIFICATE-----” in das Textfeld:
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
  1. Username: Setzen Sie hier den Benutzernamen / die Zugangskennung Ihres IP-Tunnel-Zugangs ein (z.B. ixs022-1234-a1b2c3d4)
  2. Password: Setzen Sie hier das Passwort zu Ihrem IP-Tunnel-Zugang ein
  3. Extra Options: --keysize 0 --cipher none --sndbuf 0 --rcvbuf 0 --fast-io --reneg-sec 0 --reneg-bytes 0 (falls Sie keine Port-Weiterleitungen vornehmen möchten, sondern nur die Konfigurationsoberfläche per fester, öffentlicher IPv4-Adresse erreichbar machen möchten, verwenden Sie diese Optionen: --keysize 0 --cipher none --pull-filter ignore redirect-gateway
  4. Klicken Sie auf Apply

Verbindung prüfen

  1. Navigieren Sie zu Status > System Log
  2. Eine Zeile wie diese sollte im Protokoll auftauchen: 2021-03-24 17:02:34 openvpn[1380]: Initialization Sequence Completed.
  3. Navigieren Sie zu Status > Network
  4. Im Bereich Interfaces sollte ein Eintrag ähnlich diesem erscheinen:
tun0      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00  
          inet addr:212.58.87.XXX  P-t-P:212.58.87.XXX  Mask:255.255.255.0
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1500  Metric:1
          RX packets:82 errors:0 dropped:0 overruns:0 frame:0
          TX packets:102 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100 
          RX bytes:11757 (11.4 KB)  TX bytes:20324 (19.8 KB)
  1. Im Bereich Routing Table sollten folgende Zeilen vorhanden sein, falls Sie die Option Redirect Gateway auf yes gesetzt haben:
0.0.0.0         212.58.87.1     128.0.0.0       UG    0      0        0 tun0
128.0.0.0       212.58.87.1     128.0.0.0       UG    0      0        0 tun0
212.58.69.22     192.168.253.254 255.255.255.255 UGH   0      0        0 usb0
212.58.87.0     212.58.87.1     255.255.255.0   UG    0      0        0 tun0
212.58.87.0     0.0.0.0         255.255.255.0   U     0      0        0 tun0

Port-Weiterleitungen / DNAT konfigurieren

Um Dienste von Geräten im Netzwerk des LR77 v2 Libratum per fester, öffentlicher IPv4-Adresse aus dem Internet zu erreichen, müssen entsprechende Port-Weiterleitungen / DNAT konfiguriert werden.

Die folgenden Schritte sind für alle Ports zu wiederholen, die per IP-Tunnel-IP-Adresse erreicht werden sollen.

  1. Navigieren Sie zu Configuration > NAT
  2. Public Port(s): Geben Sie hier eine Port-Nummer zwischen 1 und 65535 als externen Port ein, z.B. 8080
  3. Private Port(s): Geben Sie hier die Ziel-Port-Nummer der Port-Weiterleitung ein. Dieser Port wird i.d.R. durch das anzubindende Gerät vorgegeben, bspw. 80 oder 554 oder 443 oder 3389.
  4. Type: Das Protokoll wird durch das anzubindende Gerät vorgegeben (80, 443, 3389 i.d.R. TCP, 554 i.d.R. UDP)
  5. Server IP Address: Geben Sie hier die LAN-IP-Adresse des anzubindenden Geräts / Webcam / NVR / Datenlogger etc. ein (z.B. 192.168.0.10)
  6. Masquerade outgoing packets: Aktiviert
  7. Klicken Sie auf Apply.

Optional: Zugriff auf lokale Dienste erlauben

  1. Enable remote HTTP access on port: Aktiviert den Zugriff auf die Web-Oberfläche des Routers aus dem Internet.
  2. Enable remote HTTPS access on port: Aktiviert den Zugriff auf die Web-Oberfläche des Routers aus dem Internet mittels HTTPS (verschlüsselte Verbindung).
  3. Enable remote FTP access on port: Aktiviert den Zugriff auf den FTP-Server des Routers aus dem Internet.
  4. Enable remote SSH access on port: Aktiviert den Zugriff auf die Kommandozeile des Routers aus dem Internet (verschlüsselte Verbindung).
  5. Enable remote Telnet access on port: Aktiviert den Zugriff auf die Kommandozeile des Routers aus dem Internet (unverschlüsselt, sollte immer deaktiviert sein).
  6. Enable remote SNMP access on port: Aktiviert den Zugriff auf den SNMP-Server zum auslesen des Status aus dem Internet (unverschlüsselt, sollte immer deaktiviert sein).

Aktivieren Sie diese Optionen nur, wenn Sie sie wirklich benötigen. Ändern Sie ggf. die Ports ab, damit das Gerät von automatischen Scannern nicht so leicht gefunden werden kann. Verwenden Sie stets sichere Passworte und verschlüsselte Verbindungen für den Zugriff.

Sie können diese Einstellungen unter Configuration > Firewall weiter einschränken und bspw. den Zugriff auf die Web-Oberfläche des Routers nur aus bestimmten IP-Netzen erlauben.

Optional: Exposed Host

Mithilfe dem Kontrollkästchen Send all remaining incoming packets to default server kann jeglicher eingehender Traffic, der nicht von einer anderen Port-Weiterleitung erfasst wird, an eine bestimmte Ziel-LAN-IP-Adresse (Default Server IP Address) gesendet werden. Dies eignet sich immer dann, wenn Sie einen Firewall-Router im Netzwerk betreiben und den LR77 v2 Libratum z.B. als Backup-WAN-Zugang einsetzen möchten.

Neustart

Damit das zuvor eingerichtete Startup-Script erstmalig ausgeführt wird, muss der Router neu gestartet werden.

  1. Navigieren Sie zu Administration > Reboot
  2. Klicken Sie auf Reboot

Port-Weiterleitungen / DNAT testen

Verbinden Sie sich nun mit einem Gerät, das sich außerhalb des Netzwerks des LR77 v2 Libratum befindet (bspw. mit einem Smartphone, das ins LTE-Netz eingebucht ist), mit einem Port-Weiterleitungsziel. Beispiel:

http://212.58.87.X:8080

  • 212.58.87.X: Die Ihrem IP-Tunnel-Zugang zugeteilte feste, öffentliche IPv4-Adresse
  • 8080: Im Bereich Public Port(s) angegebene Port-Nummer

Die Anfrage wird vom Router dann an bspw. 192.168.0.10:80 weitergeleitet, wobei

  • 192.168.0.10: Im Feld Server IP Address angegebene Ziel-LAN-IP-Adresse
  • 80: Im Bereich Private Port(s) angegebener Ziel-Port

entspricht.

Automatischer Verbindungs-Neustart bei Verbindungsabbruch (optional)

Falls das Gerät an einem schwer erreichbaren Ort aufgestellt wird empfehlen wir, einen sog. “Ping-Reboot” einzurichten. Dabei versucht der Router, alle X Minuten ein bestimmtes Ziel zu erreichen. Ist das Ziel nicht erreichbar, wird die Mobilfunkverbindung neu gestartet. Das Ping-Ziel ist dabei der IP-Tunnel-Einwahlserver, auf dem der konfigurierte Zugang beheimatet ist.

  1. Navigieren Sie zu Configuration > Mobile WAN
  2. Check Connection: enabled
  3. Ping IP Address: 212.58.87.1
  4. Ping Interval: 120
  5. Ping Timeout: 10
  6. Apply

Der Router verfügt leider über keine Möglichkeit, sich automatisch vollständig neu zu starten. Es wird nur die Mobilfunkverbindung neu gestartet.

Tipps

  1. Nach erfolgreicher Konfiguration sollte ein Konfigurations-Backup über Administration > Backup Configuration erstellt werden.
  2. Ein Reset kann nur über den Reset-Taster am Gerät durchgeführt werden.

Fehlerdiagnose

  1. Bitte prüfen Sie im Status > System Log, ob das Gerät über ein aktuelles Datum / Uhrzeit verfügt.
  2. Die Ihrem IP-Tunnel-Zugang zugeteilte feste, öffentliche IPv4-Adresse muss nirgends eingesetzt werden, sie wird automatisch vom IP-Tunnel-Server bezogen.

Falls trotz minutiöser Befolgung dieser Anleitung keine Verbindung mit dem IP-Tunnel-Dienst zustande kommt, senden Sie uns bitte das Systemprotokoll (Status > System Log) unter Angabe der IP-Tunnel-Zugangskennung (Benutzername) und der zugeteilten IP-Adresse an info@internet-xs.de.

Erstellt
10.08.2023, 12:13:26
Zuletzt geändert
10.08.2023, 12:13:26
Version
64d4b846
Tags
ip-tunnel, ovpnip7, lucom, lr77
Permanenter Link
http://i-xs.de/kb-57557
PDF
https://www.internet-xs.de/kb/Internet-XS_KB-57557-64d4b846.pdf
Markdown
https://www.internet-xs.de/kb/Internet-XS_KB-57557-64d4b846.md
topf@internet-xs.de topf-white@internet-xs.de topf@internet-xs.com topf-white@internet-xs.com topf2024@internet-xs.de topf-white2024@internet-xs.de topf2024@internet-xs.com topf-white2024@internet-xs.com