mdex OpenVPN-Einstellungen
Das Gerät muss einige Kriterien erfüllen, damit dieses eine OpenVPN-Verbindung zum mdex OpenVPN-Server herstellen kann:
- Integrierter OpenVPN-Client mit Authentifizierungsmöglichkeit per Zertifikat und Username/Password.
- Die erforderlichen mdex OpenVPN-Einstellungen und Zertifikate müssen im OpenVPN-Client einstellbar sein.
Nachfolgend finden Sie die erforderlichen OpenVPN-Einstellungen zur Verwendung des jeweiligen mdex IP-Dienst (Produkt):
1. fixed.IP+ via OpenVPN
2. public.IP via OpenVPN
1. fixed.IP+ via OpenVPN
mdex OpenVPN (Sicherheitslevel 20)
Seit Oktober 2017 steht der mdex OpenVPN-Server 'openvpn20.mdex.de' als mdex OpenVPN (Sicherheitslevel 20) mit noch mehr Sicherheit bei der Datenübertragung zur Verfügung.
- Die erforderlichen OpenVPN-Einstellungen des mdex Leitstellentunnel und der mdex fixed.IP+ via OpenVPN sind identisch.
- Voraussetzung ist OpenVPN-Version 2.3 (oder neuer) im eingesetzten Gerät/Client. Prüfen Sie bitte, ob für Ihr Gerät/Router eine neue Firmware mit OpenVPN-Version 2.3 (oder neuer) zur Verfügung steht.
- Bei Verwendung einer public.IP via OpenVPN empfehlen wir die Einstellungen 2. public.IP via OpenVPN.
|
fixed.IP+ via OpenVPN |
|
UDP-Verbindung empfohlen! |
TCP-Verbindung (nur für Sonderfälle) 1 |
|
Verschlüsselte UDP-Verbindung |
Verschlüsselte TCP-Verbindung 1 |
Mode: |
tun client |
tun client |
Protokoll: |
proto udp |
proto tcp-client |
Server hostname: |
openvpn20.mdex.de |
openvpn20.mdex.de |
Server port: |
1194 (oder 9300) |
1194 (oder 443, 5228) |
LZO: |
|
|
Authentication: |
ca + auth-user-pass |
ca + auth-user-pass |
ca: |
mdexCA20.crt 2 (rechte Maustaste -> Ziel speichern unter...) |
mdexCA20.crt 2 (rechte Maustaste -> Ziel speichern unter...) |
Das Datum im Router/Gerät, auf dem der OpenVPN-Client eingerichtet wurde, muss aktuell sein. Mit einem zu alten Datum wird die Authentifizierung mit der Fehlermeldung Incoming plaintext read error / TLS handshake failed abgelehnt, siehe auch hier. |
cipher: |
AES-256-GCM (oder AES-256-CBC) |
AES-256-GCM (oder AES-256-CBC) |
auth: |
SHA256 |
SHA256 |
tun-mtu: |
1500 |
1500 |
fragment: |
1300 |
- |
mssfix: |
|
- |
float: |
|
|
nobind: |
|
|
fast-io: |
(optional/empfohlen) |
(optional/empfohlen) |
reneg-sec: |
86400 |
86400 |
explicit-exit-notify 2: |
empfohlen |
- |
remote-cert-tls: |
server |
server |
tls-version-min: |
1.2 |
1.2 |
redirect-gateway def1: |
- (nur bei public.IP erforderlich) 3 |
- (nur bei public.IP erforderlich) 3 |
1 Verschlüsselte TCP-Verbindung:
- Die TCP-Verbindungsherstellung sollte nur in Sonderfällen verwendet werden, z.B. wenn der UDP Port von einer Firewall geblockt wird.
- Die Datenmenge für die TCP OpenVPN Verbindungsherstellung wird auf ca. 3-5 MB im Monat reduziert. Bei schlechtem Mobilfunkempfang können höhere Datenmengen als 5 MB für die OpenVPN-Verbindung anfallen und es kann zu Problemen bei der Datenübertragung kommen.
- Zur Einsparung von Datenvolumen der OpenVPN Verbindung werden die Anfragen zur Verbindungsüberprüfung seltener gesendet. Die Statusanzeige im mdex Management Portal
erfolgt dadurch bei einer Unterbrechung der TCP OpenVPN Verbindung bis zu 60 Minuten zeitverzögert.
2 Beim Zertifikat mdexCA20.crt handelt es sich um das Standard PEM-Format, welches in den meisten Routern bzw. OpenVPN-Clients verwendet werden kann. Für andere Formate siehe hier.
3 Bei Verwendung einer public.IP empfehlen wir eine unverschlüsselte Verbindung laut 2. public.IP via OpenVPN.
Fertige mdex fixed.IP+ OpenVPN-Konfigurationen
mdex OpenVPN (altes Sicherheitslevel 10)
Diese OpenVPN-Server sind veraltet! Bitte nur noch die aktuellen Einstellungen laut mdex OpenVPN (Sicherheitslevel 20) verwenden!
2. public.IP via OpenVPN
Diese Einstellungen sind nur für die Verwendung einer public.IP via OpenVPN vorgesehen!
Bei einer fixed.IP+ via OpenVPN muss unbedingt eine verschlüsselte Verbindung laut 1. fixed.IP+ via OpenVPN verwendet werden!
|
public.IP+ via OpenVPN |
|
Ohne Verschlüsselung empfohlen! 1 |
Mit Verschlüsselung (optional) 1 |
|
Unverschlüsselte UDP-Verbindung, siehe Hinweis 1 |
Verschlüsselte UDP-Verbindung, siehe Hinweis 1 |
Mode: |
tun client |
tun client |
Protocol: |
udp |
udp |
Server hostname: |
publicip20.mdex.de |
openvpn20.mdex.de |
Server port: |
1194 (oder 9300) |
1194 (oder 9300) |
LZO: |
- |
|
Authentication: |
ca + auth-user-pass |
ca + auth-user-pass |
ca: |
mdexCA20.crt 2 (rechte Maustaste -> Ziel speichern unter...) |
mdexCA20.crt 2 (rechte Maustaste -> Ziel speichern unter...) |
Das Datum im Router/Gerät, auf dem der OpenVPN-Client eingerichtet wurde, muss aktuell sein. Mit einem zu alten Datum wird die Authentifizierung mit der Fehlermeldung Incoming plaintext read error / TLS handshake failed abgelehnt, siehe auch hier. |
cipher: |
"none" (oder CHACHA20-POLY1305) |
AES-256-GCM (oder AES-256-CBC) |
auth: |
"none" |
SHA256 |
ns-cert-type: |
"server" |
"server" |
tun-mtu: |
1500 |
1500 |
fragment: |
1448 |
1300 |
mssfix: |
|
|
float: |
|
|
nobind: |
|
|
fast-io: |
(optional/empfohlen) |
(optional/empfohlen) |
reneg-sec: |
86400 |
86400 |
explicit-exit-notify 2: |
(empfohlen) |
(empfohlen) |
redirect-gateway def1: |
|
|
1 Zur Verwendung einer public.IP kann die OpenVPN-Verbindung zu den Servern publicip20.mdex.de (unverschlüsselt) oder openvpn20.mdex.de (verschlüsselt) hergestellt werden.
- Eine OpenVPN-Verschlüsselung zwischen Client/Router und OpenVPN-Server (mdex) ist bei Verwendung einer public.IP aber nicht erforderlich, weil die Kommunikation zum Internet über die per NAT zugewiesene public.IP ja grundsätzlich unverschlüsselt erfolgt.
- Da der Datendurchsatz einer unverschlüsselten OpenVPN-Verbindung in aller Regel höher ist als bei einer verschlüsselten Verbindung, empfehlen wir bei Verwendung einer public.IP via OpenVPN die Einstellungen ohne Verschlüsselung zum Server publicip20.mdex.de zu verwenden.
2 Beim Zertifikat mdexCA20.crt handelt es sich um das Standard PEM-Format, welches in den meisten Routern bzw. OpenVPN-Clients verwendet werden kann. Für andere Formate siehe hier.
Fertige mdex public.IP+ OpenVPN-Konfigurationen