mdex OpenVPN-Einstellungen

Das Gerät muss einige Kriterien erfüllen, damit dieses eine OpenVPN-Verbindung zum mdex OpenVPN-Server herstellen kann:
  • Integrierter OpenVPN-Client mit Authentifizierungsmöglichkeit per Zertifikat und Username/Password.
  • Die erforderlichen mdex OpenVPN-Einstellungen und Zertifikate müssen im OpenVPN-Client einstellbar sein.

Nachfolgend finden Sie die erforderlichen OpenVPN-Einstellungen zur Verwendung des jeweiligen mdex IP-Dienst (Produkt):
1. fixed.IP+ via OpenVPN
2. public.IP via OpenVPN

TIP Vorbereitete mdex OpenVPN-Konfigurationen:
mdex Router: Bei Einsatz eines mdex Routers siehe FAQ Wie wird der mdex OpenVPN-Client im mdex Router konfiguriert?.
PCs, Server, Smartphones, Tablets: Für den Einsatz von PCs, Tablets oder Smartphones stehen unter Einrichtung des Leitstellentunnel fertige Konfigurationsdateien zum Download bereit, siehe auch FAQ Wie kann eine fixed.IP+/public.IP direkt auf einem PC/Server installiert werden?.

1. fixed.IP+ via OpenVPN

mdex OpenVPN (Sicherheitslevel 20)

Seit Oktober 2017 steht der mdex OpenVPN-Server 'openvpn20.mdex.de' als mdex OpenVPN (Sicherheitslevel 20) mit noch mehr Sicherheit bei der Datenübertragung zur Verfügung.
  • Die erforderlichen OpenVPN-Einstellungen des mdex Leitstellentunnel und der mdex fixed.IP+ via OpenVPN sind identisch.
  • Voraussetzung ist OpenVPN-Version 2.3 (oder neuer) im eingesetzten Gerät/Client. Prüfen Sie bitte, ob für Ihr Gerät/Router eine neue Firmware mit OpenVPN-Version 2.3 (oder neuer) zur Verfügung steht.
  • Bei Verwendung einer public.IP via OpenVPN empfehlen wir die Einstellungen 2. public.IP via OpenVPN.

UDP-Verbindung
(empfohlen)
TCP-Verbindung
(nur für Sonderfälle)
info Verschlüsselte UDP-Verbindung info Verschlüsselte TCP-Verbindung 1
Mode: tun client tun client
Protokoll: proto udp proto tcp-client
Server hostname: openvpn20.mdex.de openvpn20.mdex.de
Server port: 1194
(oder 9300)
1194
(oder 443, 5228)
LZO: DONE DONE
Authentication: ca + auth-user-pass ca + auth-user-pass
ca: mdexCA20.crt
(rechte Maustaste -> Ziel speichern unter...)
mdexCA20.crt
(rechte Maustaste -> Ziel speichern unter...)
cipher: AES-256-GCM
(oder AES-256-CBC)
AES-256-GCM
(oder AES-256-CBC)
auth: SHA256 SHA256
tun-mtu: 1500 1500
fragment: 1300 -
mssfix: DONE -
float: DONE DONE
nobind: DONE DONE
reneg-sec: 86400 86400
explicit-exit-notify 2: empfohlen -
remote-cert-tls: server server
tls-version-min: 1.2 1.2
redirect-gateway def1: -
(nur bei public.IP erforderlich) 2
-
(nur bei public.IP erforderlich) 2

1 Verschlüsselte TCP-Verbindung:
  • Die TCP-Verbindungsherstellung sollte nur in Sonderfällen verwendet werden, z.B. wenn der UDP Port von einer Firewall geblockt wird.
  • Die Datenmenge für die TCP OpenVPN Verbindungsherstellung wird auf ca. 3-5 MB im Monat reduziert. Bei schlechtem Mobilfunkempfang können höhere Datenmengen als 5 MB für die OpenVPN-Verbindung anfallen und es kann zu Problemen bei der Datenübertragung kommen.
  • Zur Einsparung von Datenvolumen der OpenVPN Verbindung werden die Anfragen zur Verbindungsüberprüfung seltener gesendet. Die Statusanzeige im mdex Management Portal (mCOP) erfolgt dadurch bei einer Unterbrechung der TCP OpenVPN Verbindung bis zu 60 Minuten zeitverzögert.

2 Bei Verwendung einer public.IP empfehlen wir die Einstellungen 2. public.IP via OpenVPN.

TIP Vorbereitete mdex fixed.IP+ OpenVPN-Konfigurationen:
mdex Router: Bei Einsatz eines mdex Routers siehe FAQ Wie wird der mdex OpenVPN-Client im mdex Router konfiguriert?.
PCs, Server, Smartphones, Tablets: Für den Einsatz von PCs, Tablets oder Smartphones stehen unter Einrichtung des Leitstellentunnel fertige Konfigurationsdateien zum Download bereit, siehe auch FAQ Wie kann eine fixed.IP+/public.IP direkt auf einem PC/Server installiert werden?.
Andere Systeme/Router: UDP-Konfigurationsatei (inkl. mdexCA20.crt Zertifikat): mdex fixed.IP20_UDP.ovpn (rechte Maustaste -> Ziel speichern unter...)

Teltonika RUT2xx: mdex fixed.IP+ via OpenVPN-Einstellungen:

RUT240_fixedip.png

mdex OpenVPN (altes Sicherheitslevel 10)

ALERT! Das Laufzeitende dieser OpenVPN-Server ist 10/2023. Bitte nur noch mdex OpenVPN (Sicherheitslevel 20) verwenden!

  • mdex OpenVPN (altes Sicherheitslevel 10) sollte nur noch für Geräte verwendet werden, für die OpenVPN-Version 2.3 (oder neuer) nicht verfügbar ist und somit die aktuellen mdex OpenVPN (Sicherheitslevel 20)-Einstellungen technisch noch nicht unterstützt werden.
  • Aus sicherheitstechnischen Gründen wird eine mittelfristige Umstellung der Geräte auf mdex OpenVPN (Sicherheitslevel 20) dringend empfohlen, da die mdex OpenVPN (altes Sicherheitslevel 10) nicht mehr dem aktuellen Stand der Technik entsprechen.
  • Prüfen Sie bitte regelmäßig, ob für Ihr Gerät eine neue Firmware mit OpenVPN-Version 2.3 (oder neuer) zur Verfügung steht, so dass die aktuellen mdex OpenVPN (Sicherheitslevel 20)-Einstellungen verwendet werden können.

Server: fixedip.mdex.de (altes Sicherheitslevel 10)

ALERT! Das Laufzeitende dieser OpenVPN-Server ist 10/2023. Bitte nur noch mdex OpenVPN (Sicherheitslevel 20) verwenden!

Diese mdex OpenVPN-Einstellungen sind nur für mdex OpenVPN-Zugänge mit Device-Username i...... (z.B. i0123456) oder r0...... (z.B. r0123456) kompatibel, denen laut mdex Management Portal (mCOP) einer der nachfolgenden OpenVPN-Server zugewiesen wurden:
Zugewiesene OpenVPN-Server: openvpn20.mdex.de DONE fixedip.mdex.de DONE businessip.mdex.de choice-no

UDP-Verbindung TCP-Verbindung
(nur für Sonderfälle)
info Verschlüsselte UDP-Verbindung info Verschlüsselte TCP-Verbindung 1
Mode: tun client tun client
Protocol: udp tcp-client
Server hostname: fixedip.mdex.de fixedip.mdex.de
Server port: 1194 -> für mdexCA10.crt, Abschaltung 10/2023
9300 -> für ClientCAPack.crt, Abschaltung 10/2022
443
LZO: DONE DONE
Authentication: ca + auth-user-pass ca + auth-user-pass
ca: Für UDP Port 1194:
mdexCA10.crt -> Server-Laufzeitende 10/2023
(rechte Maustaste -> Ziel speichern unter...)

Für UDP Port 9300:
ClientCAPack.crt -> Zertifikat läuft 10/2022 ab!
Für TCP Port 443:
ClientCAPack.crt -> Zertifikat läuft 10/2022 ab!
(rechte Maustaste -> Ziel speichern unter...)
crl-verify (optional) 2 : fixed.IP-crl.pem fixed.IP-crl.pem
cipher: BF-CBC
(blowfish 128)
BF-CBC
(blowfish 128)
auth: -
(SHA1 wird verwendet)
-
(SHA1 wird verwendet)
ns-cert-type: "server" "server"
tun-mtu: 1500 1500
fragment: 1300 -
mssfix: DONE -
float: DONE DONE
nobind: DONE DONE
fast-io: optional optional
reneg-sec: 86400 86400
explicit-exit-notify 2: empfohlen -
redirect-gateway def1: -
(nur bei public.IP erforderlich) 3
-
(nur bei public.IP erforderlich) 3

1 Verschlüsselte TCP-Verbindung:
  • Die TCP-Verbindungsherstellung sollte nur in Sonderfällen verwendet werden, z.B. wenn der UDP Port von einer Firewall geblockt wird.
  • Die Datenmenge für die TCP OpenVPN Verbindungsherstellung wird auf ca. 3-5 MB im Monat reduziert. Bei schlechtem Mobilfunkempfang können höhere Datenmengen als 5 MB für die OpenVPN-Verbindung anfallen und es kann zu Problemen bei der Datenübertragung kommen.
  • Zur Einsparung von Datenvolumen der OpenVPN Verbindung werden die Anfragen zur Verbindungsüberprüfung seltener gesendet. Die Statusanzeige im mdex Management Portal (mCOP) erfolgt dadurch bei einer Unterbrechung der TCP OpenVPN Verbindung bis zu 60 Minuten zeitverzögert.
2 crl-verify: "Certificate Revocation List" (optional).
Aufgrund des Heartbleed Bug wurden die Zertifikate der herkömmlichen mdex OpenVPN Server vorsorglich ausgetauscht.
Für mehr Sicherheit wird zusätzlich empfohlen, die mdex 'Certificate Revocation List' via crl-verifiy im OpenVPN Client zu implementieren. So ist sichergestellt, dass der OpenVPN Client keine Verbindung zu einem fremden OpenVPN Server (mit alten Zertifkat) herstellt.

3 Bei Verwendung einer public.IP empfehlen wir die Einstellungen 2. public.IP via OpenVPN.

Server: businessip.mdex.de (altes Sicherheitslevel 10)

ALERT! Das Laufzeitende dieser OpenVPN-Server ist 10/2023. Bitte nur noch mdex OpenVPN (Sicherheitslevel 20) verwenden!

Diese mdex OpenVPN-Einstellungen sind nur für mdex OpenVPN-Zugänge mit Device-Username v...... (z.B. v0123456) oder rb...... (z.B. rb0123456) kompatibel, denen laut mdex Management Portal (mCOP) einer der nachfolgenden OpenVPN-Server zugewiesen wurde:
Zugewiesene OpenVPN-Server: openvpn20.mdex.de DONE businessip.mdex.de DONE fixedip.mdex.de choice-no

UDP-Verbindung TCP-Verbindung
(nur für Sonderfälle)
UDP Long Timeout
(nur für Sonderfälle)
info Verschlüsselte UDP-Verbindung info Verschlüsselte TCP-Verbindung 1 info Verschlüsselte UDP-Verbindung 3
Mode tun client tun client tun client
Protocol udp tcp-client udp
Server hostname businessip.mdex.de businessip.mdex.de businessip.mdex.de
Server port 1194 443 9301
LZO DONE DONE DONE
Authentication ca + auth-user-pass ca + auth-user-pass ca + auth-user-pass
ca ClientCAPack.crt
(rechte Maustaste -> Ziel speichern unter...)
ClientCAPack.crt
(rechte Maustaste -> Ziel speichern unter...)
ClientCAPack.crt
(rechte Maustaste -> Ziel speichern unter...)
crl-verify (optional) 2 business.IP-crl.pem business.IP-crl.pem business.IP-crl.pem
cipher BF-CBC
(blowfish 128)
BF-CBC
(blowfish 128)
BF-CBC
(blowfish 128)
auth - - -
ns-cert-type "server" "server" "server"
tun-mtu 1500 1500 1500
fragment 1300 - -
mssfix DONE - DONE
float DONE DONE DONE
nobind DONE DONE DONE
fast-io optional optional optional
reneg-sec 86400 86400 86400
explicit-exit-notify 2 empfohlen - empfohlen

1 Verschlüsselte TCP-Verbindung:
  • Die TCP-Verbindungsherstellung sollte nur in Sonderfällen verwendet werden, z.B. wenn der UDP Port von einer Firewall geblockt wird.
  • Die Datenmenge für die TCP OpenVPN Verbindungsherstellung wird auf ca. 3-5 MB im Monat reduziert. Bei schlechtem Mobilfunkempfang können höhere Datenmengen als 5 MB für die OpenVPN-Verbindung anfallen und es kann zu Problemen bei der Datenübertragung kommen.
  • Zur Einsparung von Datenvolumen der OpenVPN Verbindung werden die Anfragen zur Verbindungsüberprüfung seltener gesendet. Die Statusanzeige im mdex Management Portal (mCOP) erfolgt dadurch bei einer Unterbrechung der TCP OpenVPN Verbindung bis zu 60 Minuten zeitverzögert.

2 crl-verify: "Certificate Revocation List" (optional).
Aufgrund des Heartbleed Bug wurden die Zertifikate der herkömmlichen mdex OpenVPN Server vorsorglich ausgetauscht.
Für mehr Sicherheit wird zusätzlich empfohlen, die mdex 'Certificate Revocation List' via crl-verifiy im OpenVPN Client zu implementieren. So ist sichergestellt, dass der OpenVPN Client keine Verbindung zu einem fremden OpenVPN Server (mit alten Zertifkat) herstellt.

3 UDP Long-Timeout: Langer Timeout Timer für geringeres Datenvolumen
Zur Einsparung von Datenvolumen der OpenVPN Verbindung werden die Anfragen zur Verbindungsüberprüfung seltener gesendet. Dadurch fallen im Normalfall nur ca. 1 MB/Monat für die OpenVPN Verbindung an (je nach Häufigkeit der Verbindungsherstellung auch mehr). Die Statusanzeige im mdex Management Portal (mCOP) erfolgt bei einer Unterbrechung der OpenVPN Verbindung bis zu 60 Minuten zeitverzögert.

2. public.IP via OpenVPN

Diese Einstellungen sind nur für die Verwendung einer public.IP via OpenVPN vorgesehen!
ALERT! Bei einer fixed.IP+ via OpenVPN muss unbedingt eine verschlüsselte Verbindung laut 1. fixed.IP+ via OpenVPN verwendet werden!
  • Da eine public.IP grundsätzlich uneingeschränkt aus dem Internet erreichbar ist, ist auch keine OpenVPN-Verschlüsselung zwischen dem mdex OpenVPN-Server und dem OpenVPN-Client des Geräts/Routers erforderlich.
  • Bei einer unverschlüsselten OpenVPN-Verbindung ist je nach Routermodell ggf. ein höherer Datendurchsatz möglich.

public.IP via OpenVPN
Mode: tun client
Protocol: udp
Server hostname: publicip20.mdex.de 1
Server port: 1194 1 (oder 9300)
LZO: -
Authentication: ca + auth-user-pass
ca: mdexCA20.crt 1
(rechte Maustaste -> Ziel speichern unter...)
cipher: "none"
auth: "none"
ns-cert-type: "server"
tun-mtu: 1500
fragment: 1448 1
mssfix: DONE
float: DONE
nobind: DONE
fast-io: DONE
(empfohlen)
reneg-sec: 86400
explicit-exit-notify 2: DONE
(empfohlen)
redirect-gateway def1: DONE

1 Neu seit 10/2020
  • Das Zertifkat ClientCAPack.crt des alten Servers 'publicip.mdex.de' läuft 10/2022 ab!
  • Ab 11/2022 kann die OpenVPN-Verbindung nur noch mit den neuen Einstellungen hergestellt werden:
    Server hostname: publicip.mdex.de MOVED TO... publicip20.mdex.de
    ca: ClientCAPack.crt MOVED TO... mdexCA20.crt
    fragment: 1452 MOVED TO... 1448
  • Die Verbindungsherstellung kann über UDP Port 1194 (neu) oder 9300 erfolgen.

TIP Vorbereitete mdex OpenVPN-Konfigurationen:
mdex Router: Bei Einsatz eines mdex Routers siehe FAQ Wie wird der mdex OpenVPN-Client im mdex Router konfiguriert?.
PCs, Server, Smartphones, Tablets: Für den Einsatz von PCs, Tablets oder Smartphones stehen unter Einrichtung des Leitstellentunnel fertige Konfigurationsdateien zum Download bereit, siehe auch FAQ Wie kann eine fixed.IP+/public.IP direkt auf einem PC/Server installiert werden?.
Andere Systeme/Router: UDP-Konfigurationsatei (inkl. mdexCA20.crt Zertifikat): mdex public.IP.ovpn (rechte Maustaste -> Ziel speichern unter...)

Teltonika RUT2xx: mdex public.IP via OpenVPN-Einstellungen

RUT240_publicIP.png