mdex Support>mdex OpenVPN-Einstellungen

mdex OpenVPN-Einstellungen

Das Gerät muss einige Kriterien erfüllen, damit dieses eine OpenVPN-Verbindung zum mdex OpenVPN-Server herstellen kann:
  • Integrierter OpenVPN-Client mit Authentifizierungsmöglichkeit per Zertifikat und Username/Password.
  • Die erforderlichen mdex OpenVPN-Einstellungen und Zertifikate müssen im OpenVPN-Client einstellbar sein.

Nachfolgend finden Sie die erforderlichen OpenVPN-Einstellungen zur Verwendung des jeweiligen mdex IP-Dienst (Produkt):
1. fixed.IP+ via OpenVPN
2. public.IP via OpenVPN

1. fixed.IP+ via OpenVPN

mdex OpenVPN (Sicherheitslevel 20)

Seit Oktober 2017 steht der mdex OpenVPN-Server 'openvpn20.mdex.de als 'mdex OpenVPN (Sicherheitslevel 20)' zur Verfügung.
mdex OpenVPN (Sicherheitslevel 20) ALERT! Besser mdex OpenVPN (Sicherheitslevel 30) verwenden!
Seit Oktober 2017 steht der mdex OpenVPN-Server openvpn20.mdex.de als mdex OpenVPN (Sicherheitslevel 20) zur Verfügung.
  • Die erforderlichen OpenVPN-Einstellungen des mdex Leitstellentunnel und der mdex fixed.IP+ via OpenVPN sind identisch.
  • Voraussetzung ist OpenVPN-Version 2.3 (oder neuer) im eingesetzten Gerät/Client. Prüfen Sie bitte, ob für Ihr Gerät/Router eine neue Firmware mit OpenVPN-Version 2.3 (oder neuer) zur Verfügung steht.
  • Bei Verwendung einer public.IP via OpenVPN empfehlen wir die Einstellungen 2. public.IP via OpenVPN.

fixed.IP+ via OpenVPN
UDP-Verbindung MOVED TO... empfohlen! TCP-Verbindung (nur für Sonderfälle) 1
info Verschlüsselte UDP-Verbindung info Verschlüsselte TCP-Verbindung 1
Mode: tun client tun client
Protokoll: proto udp proto tcp-client
Server hostname: openvpn20.mdex.de openvpn20.mdex.de
Server port: 1194
(oder 9300) 		1194
(oder 443, 5228)
LZO: DONE DONE
Authentication: ca + auth-user-pass ca + auth-user-pass
ca: mdexCA20.crt 2
(rechte Maustaste -> Ziel speichern unter...) 		mdexCA20.crt 2
(rechte Maustaste -> Ziel speichern unter...)
ALERT! Das Datum im Router/Gerät, auf dem der OpenVPN-Client eingerichtet wurde, muss aktuell sein. Mit einem zu alten Datum wird die Authentifizierung mit der Fehlermeldung Incoming plaintext read error / TLS handshake failed abgelehnt, siehe auch hier.
cipher: AES-256-GCM
(oder AES-256-CBC) 		AES-256-GCM
(oder AES-256-CBC)
auth: SHA256 SHA256
tun-mtu: 1500 1500
fragment: 1300 -
mssfix: DONE -
float: DONE DONE
nobind: DONE DONE
fast-io: DONE (optional/empfohlen) DONE (optional/empfohlen)
reneg-sec: 86400 86400
explicit-exit-notify 2: empfohlen -
remote-cert-tls: server server
tls-version-min: 1.2 1.2
redirect-gateway def1: -
(nur bei public.IP erforderlich) 3 		-
(nur bei public.IP erforderlich) 3

1 Verschlüsselte TCP-Verbindung:
  • Die TCP-Verbindungsherstellung sollte nur in Sonderfällen verwendet werden, z.B. wenn der UDP Port von einer Firewall geblockt wird.
  • Die Datenmenge für die TCP OpenVPN Verbindungsherstellung wird auf ca. 3-5 MB im Monat reduziert. Bei schlechtem Mobilfunkempfang können höhere Datenmengen als 5 MB für die OpenVPN-Verbindung anfallen und es kann zu Problemen bei der Datenübertragung kommen.
  • Zur Einsparung von Datenvolumen der OpenVPN Verbindung werden die Anfragen zur Verbindungsüberprüfung seltener gesendet. Die Statusanzeige im mdex Management Portal mCOP_Logo_small.png erfolgt dadurch bei einer Unterbrechung der TCP OpenVPN Verbindung bis zu 60 Minuten zeitverzögert.

2 Beim Zertifikat mdexCA20.crt handelt es sich um das Standard PEM-Format, welches in den meisten Routern bzw. OpenVPN-Clients verwendet werden kann. Für andere Formate siehe hier.
3 Bei Verwendung einer public.IP empfehlen wir eine unverschlüsselte Verbindung laut 2. public.IP via OpenVPN.
ALERT! Insbesondere bei Neu-Einrichtungen sollte besser mdex OpenVPN (Sicherheitslevel 30) verwendet werden!

mdex OpenVPN (Sicherheitslevel 30)

Seit August 2025 steht der mdex OpenVPN-Server openvpn30.mdex.de als 'mdex OpenVPN (Sicherheitslevel 30)' mit noch mehr Sicherheit bei der Datenübertragung zur Verfügung.

Sorted descending UDP-Verbindung TCP-Verbindung
tls-version-min: 1.3
Server port: 1194 (oder 9300) 1194 (oder 443, 5228)
Server hostname: openvpn30.mdex.de
remote-cert-tls: server
Protokoll: proto udp proto tcp-client
nobind: DONE
Mode: tun client
float: DONE
explicit-exit-notify 2: empfohlen ---
data-ciphers: CHACHA20-POLY1305:AES-256-GCM
ca: mdexCA30.crt
Authentication: ca + auth-user-pass
auth: none

ALERT! Das Datum im Router/Gerät, auf dem der OpenVPN-Client eingerichtet wurde, muss aktuell sein. Mit einem zu alten Datum wird die Authentifizierung mit der Fehlermeldung Incoming plaintext read error / TLS handshake failed abgelehnt, siehe auch hier.

TIP Fertige mdex fixed.IP+ OpenVPN-Konfiguration

2. public.IP via OpenVPN

mdex OpenVPN (Sicherheitslevel 20)

Seit Oktober 2017 steht der mdex OpenVPN-Server publicip20.mdex.de zur Verfügung.
mdex OpenVPN (Sicherheitslevel 20) ALERT! nicht mehr verwenden!
Diese Einstellungen sind nur für die Verwendung einer public.IP via OpenVPN vorgesehen!
ALERT! Bei einer fixed.IP+ via OpenVPN muss unbedingt eine verschlüsselte Verbindung laut 1. fixed.IP+ via OpenVPN verwendet werden!

public.IP+ via OpenVPN
Ohne Verschlüsselung MOVED TO... empfohlen! Mit Verschlüsselung (optional) 1
info Unverschlüsselte UDP-Verbindung, siehe Hinweis 1 info Verschlüsselte UDP-Verbindung, siehe Hinweis 1
Mode: tun client tun client
Protocol: udp udp
Server hostname: publicip20.mdex.de openvpn20.mdex.de
Server port: 1194 (oder 9300) 1194 (oder 9300)
LZO: - DONE
Authentication: ca + auth-user-pass ca + auth-user-pass
ca: mdexCA20.crt 2
(rechte Maustaste -> Ziel speichern unter...) 		mdexCA20.crt 2
(rechte Maustaste -> Ziel speichern unter...)
ALERT! Das Datum im Router/Gerät, auf dem der OpenVPN-Client eingerichtet wurde, muss aktuell sein. Mit einem zu alten Datum wird die Authentifizierung mit der Fehlermeldung Incoming plaintext read error / TLS handshake failed abgelehnt, siehe auch hier.
cipher: "none"
(oder CHACHA20-POLY1305) 		AES-256-GCM
(oder AES-256-CBC)
auth: "none" SHA256
ns-cert-type: "server" "server"
tun-mtu: 1500 1500
fragment: 1448 1300
mssfix: DONE DONE
float: DONE DONE
nobind: DONE DONE
fast-io: DONE (optional/empfohlen) DONE (optional/empfohlen)
reneg-sec: 86400 86400
explicit-exit-notify 2: DONE (empfohlen) DONE (empfohlen)
redirect-gateway def1: DONE DONE

2 Beim Zertifikat mdexCA20.crt handelt es sich um das Standard PEM-Format, welches in den meisten Routern bzw. OpenVPN-Clients verwendet werden kann. Für andere Formate siehe hier.
ALERT! Insbesondere bei Neu-Einrichtungen sollte besser mdex OpenVPN (Sicherheitslevel 30) verwendet werden!

mdex OpenVPN (Sicherheitslevel 30)

Seit August 2025 steht der mdex OpenVPN-Server publicip30.mdex.de als 'mdex OpenVPN (Sicherheitslevel 30)' mit noch mehr Sicherheit zur Verfügung.

Unverschlüsselt 1 Verschlüsselt 1
Server hostname: publicip30.mdex.de openvpn30.mdex.de
Server port: 1194 (oder 9300)
Protokoll: proto udp
redirect gateway def 1: DONE
data-ciphers: none:CHACHA20-POLY1305 CHACHA20-POLY1305:AES-256-GCM
explicit-exit-notify 2: empfohlen
Mode: tun client
Authentication: ca + auth-user-pass
ca: mdexCA30.crt
auth: none
float: DONE
nobind: DONE
remote-cert-tls: server
tls-version-min: 1.3

1 Zur Verwendung einer public.IP kann die OpenVPN-Verbindung zu den Servern publicip30.mdex.de (unverschlüsselt) oder openvpn30.mdex.de (verschlüsselt) hergestellt werden.
  • Eine OpenVPN-Verschlüsselung zwischen Client/Router und OpenVPN-Server (mdex) ist bei Verwendung einer public.IP aber nicht erforderlich, weil die Kommunikation zum Internet über die per NAT zugewiesene public.IP ja grundsätzlich unverschlüsselt erfolgt.
  • Da der Datendurchsatz einer unverschlüsselten OpenVPN-Verbindung in aller Regel höher ist als bei einer verschlüsselten Verbindung, empfehlen wir bei Verwendung einer public.IP via OpenVPN die Einstellungen ohne Verschlüsselung zum Server publicip30.mdex.de zu verwenden.

TIP Fertige mdex public.IP OpenVPN-Konfiguration