Ivacy mit OpenVPN unter Linux

by jesse

Nach monatelanger Funkstille meinerseits mag ich mich auch mal wieder zu Wort melden. Ja – unsere IRC Junkies wissen es – es gibt mich noch ;-) Habe ich in letzter Zeit eher im Hintergrund mitgewirkt so ist es doch mal wieder Zeit für einen Post. Und in diesem soll es nun um Ivacy gehen (lies: yet another VPN provider). Über apoc bin ich auf diesen Anbieter gestossen.

Über den Sinn oder Unsinn einer solchen Geschichte sollte sich da jeder selbst seine Gedanken machen. Fakt ist halt, dass die VDS in Deutschland leider Realität geworden ist und dazu führt, dass sich immer mehr Surfer bei dem was sie machen unwohl fühlen. Fakt ist auch, dass Tor nur bedingt sicher ist und leider zuweilen nervraubend langsam daher schleicht.

Ich wollte mir das auf jeden Fall mal anschauen und habe mir einen kostenlosen Trialaccount angelegt (siehe auch Gutscheincode “URSULA”). Wie man das anonymisierte Surfen mit PPTP realisiert hat apoc bereits ausführlich beschrieben. Mir stand heute der Sinn nach der OpenVPN Implementierung.

Die nötigen Infos stehen im Loginbereich zur Verfügung, aber leider nur für Windows oder Klicki-Bunti Linux Ubuntu. Für die schnellen Tipper fasse ich nachfolgend ein Konsolen-Walk-Through zusammen.

Ihr beginnt natürlich mit der OpenVPN Installation. Eine aktuelle Version ist hilfreich (getestet mit OpenVPN 2.1_rc11).

$ emerge -av openvpn
# oder
$ apt-get install openvpn

Es folgt die Config /etc/ivacy.conf:

client
dev tun0
proto udp
remote openvpn.ivacy.com 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca /etc/openvpn/ivacy-ca.crt
cert /etc/openvpn/ivacy-client.crt
key /etc/openvpn/ivacy-client.key
tls-auth /etc/openvpn/ivacy-tls.key 1
ns-cert-type server
comp-lzo
verb 3
auth-user-pass
redirect-gateway
script-security 3
reneg-sec 0
up /etc/openvpn/update-resolv-conf
down /etc/openvpn/update-resolv-conf


Aufmerksame Leser sehen sofort, hier fehlen uns noch die angegebenen Zertifikate und Schlüssel. Am Besten kopiert Ihr die aus ivacy.com/en/doc/help/setup/winxp_openvpn.

$EDITOR /etc/openvpn/ivacy-ca.crt /etc/openvpn/ivacy-client.crt /etc/openvpn/ivacy-client.key /etc/openvpn/ivacy-tls.key

Nicht vergessen, ordentliche Rechte zu vergeben:

$ chmod 600 /etc/ivacy*

Und das wars auch schon. Einklinken könnt Ihr Euch jetzt mit:

openvpn --config /etc/openvpn/ivacy.conf
# nach dem Testen: daemonize it :)
openvpn --daemon ivacy /etc/openvpn/ivacy.conf

Ihr werdet nach Eurem Login und Passwort gefragt. Sind diese korrekt werden entsprechende Routen angelegt und Euer Traffic fliesst durch Ivacy.

Leider erhalte ich schon den ganzen Tag nach einiger Zeit read UDPv4 [ECONNREFUSED]: Connection refused (code=111). So ganz stabil scheint das also noch nicht zu sein. Ich hoffe, das bessert sich noch.

Edit wegen dem DNS-Problem:

Ivacy pusht die eigenen DNS-Server, aber unsere config hat das nicht verarbeitet. Schaut nach, ob Ihr das Paket resolvconf und das OpenVPN Script update-resolv-conf habt und tragt folgendes nach:

$ echo "up /etc/openvpn/update-resolv-conf" >> ivacy.conf
$ echo "down /etc/openvpn/update-resolv-conf" >> ivacy.conf

In der Konfiguration oben habe ich es bereits geändert.

11 Responses to “Ivacy mit OpenVPN unter Linux”

1. jan Says:
   January 31st, 2009 at 12:49

   Ich bekomme folgenden Fehler:

   Options error: Unrecognized option or missing parameter(s) in ivacy.conf:18: script-security (2.0.9)

   Im conf file steht aber “script-security 3″

2. jesse Says:
   January 31st, 2009 at 13:48

   Mit OpenVPN 2.0.9 haben auch andere Probleme. Versuche mal ein Update.

3. jan Says:
   January 31st, 2009 at 15:07

   Das wars!
   Ubuntu verwendet bereits die 2.1, deshalb…
   Also bei mir klappt die Verbindung jetzt.

   Jedoch das selbe Problem wie unter Ubuntu:
   Das push der nameserver funktioniert nicht!
   In der resolv.conf steht nachwievor der/die nameserver
   des ISP. Ein nslookup beweist dies. Um wirkliche “Anonymität” zu gewährleisten, sollte man solchen DNS leaks natürlich vorbeugen.
   Unter Ubuntu starte ich mir mit “up/down ./blub.sh” noch ein eigenes script, welches die aktuelle resolv.conf speichert und durch eine vorbereite resolv.conf mit den Ivacy nameservern ersetzt.
   Dann klappt auch die Namensauflösung sauber über Ivacy.
   Wer dies überprüfen möchte, soll mal auf decloak.net gehen.

4. jesse Says:
   January 31st, 2009 at 15:22

   Ist das nicht insofern egal, weil auch die Nameserver Abfragen über Ivacy getunnelt werden?

   Wie siehts mit der Stabilität bei Dir aus? Ich erhalte immernoch Connection refused :(

5. jan Says:
   January 31st, 2009 at 15:37

   Nein bei mir funktioniert es jetzt mit Debian, Ubuntu und Windows. Ich erhalte lediglich ab und zu mal ein “authorisation failed” (oder so ähnlich), dann muss ich passwort noch mal neu eingeben und dann klappt es aber.

   Zum DNS, ist eigentlich nicht egal. In der Regel hast du ja nach wie vor eine Route mit deiner “normalen” IP definiert und lediglich Ivacy als default route angegeben.
   Ein direkter Aufruf der IP des nameservers deines ISP geht also dann auch dementsprechend über die jeweilige route raus. Ausnahme wäre, wenn sich der nameserver deines ISP in einem anderen Subnetz befände. Dann würde er es wieder über die default route rausschicken und somit über Ivacy.

   Aber völlig unabhängig davon, kann eine Namensauflösung über den eigenen ISP zumindest die Identität deines ISP enthüllen und in Kombination mit Zeit und logs natürlich auch dich.

   Ich will das auf jeden Fall nicht und verwende deshalb, wenn ich schon einen VPN Anbieter bezahle, auch dessen DNS server.

6. jesse Says:
   January 31st, 2009 at 16:48

   Mh, joa stimmt. Spätestens wenn man den eigenen Router eingetragen hat ist das doof ;-)

   Hab mal eine Lösung mit dem OpenVPN Script update-resolv-conf und resolvconf nachgetragen.

   Hast Du eigentlich schon einen Bezahlaccount? Die werden sicherlich bevorzugt…

7. jan Says:
   January 31st, 2009 at 19:19

   Genau!
   In einem openVPN Forum wurde mir mitgeteilt, dass unter Linux generell kein automatischer Eintrag der nameserver erfolgt. Liegt also nicht an Ivacy.
   Nein, habe derzeit noch etwas von den gratis 100mb über und war bisher noch am testen. Momentan hindert mich noch etwas, dass es für mich keine anonyme Bezahlmöglichkeit gibt.

8. jesse Says:
   February 1st, 2009 at 5:40

   Sagt Dir uKash nicht zu? Gibt sicher auch bei Dir Karten. Oder Du lässt Dir eine besorgen :)

9. jan Says:
   February 1st, 2009 at 11:42

   Doch, nur gibt es uKash in Wien leider nicht zu kaufen.
   Paysafecard wäre halt mein Favorit…

10. Pillermann Says:
    November 10th, 2009 at 19:57

    Hey könntet ihr auch noch posten wie man mit einem kleinen Desktop verknüpfung openvpn starten kann?

    bzw gibt es dafür eine einfach gui?

    es funktioniert sehr gut unter ubuntu 9.04

Trackbacks

1. Ivacy VPN unter Linux: PPTP/OpenVPN und Socks5-Gateway | sixserv blog

Leave a Reply