mdex OpenVPN-Einstellungen

Das Gerät muss einige Kriterien erfüllen, damit dieses eine OpenVPN-Verbindung zum mdex OpenVPN-Server herstellen kann:

Integrierter OpenVPN-Client mit Authentifizierungsmöglichkeit per Zertifikat und Username/Password.
Die erforderlichen mdex OpenVPN-Einstellungen und Zertifikate müssen im OpenVPN-Client einstellbar sein.

Nachfolgend finden Sie die erforderlichen OpenVPN-Einstellungen zur Verwendung des jeweiligen mdex IP-Dienst (Produkt):
1. fixed.IP+ via OpenVPN
2. public.IP via OpenVPN

1. fixed.IP+ via OpenVPN

Hinweise zum im mCOP angezeigten Server 'openvpn30.mdex.de'

Im mCOP wird nur der neue Server openvpn30.mdex.de (Sicherheitslevel 30) angezeigt, dennoch ist eine Verbindung zum herkömmlichen Server openvpn20.mdex.de (Sicherheitslevel 20) weiterhin möglich. Für Neuinstallationen wird jedoch der neue OpenVPN30-Server laut mdex OpenVPN (Sicherheitslevel 30) empfohlen.

Angekündigte Wartungen oder Störungen des Servers openvpn30.mdex.de betreffen auch Verbindungen zum herkömmlichen Server openvpn20.mdex.de.

OpenVPN-Clients können unabhängig vom Server alle Devices innerhalb des 'mdex VPN' erreichen und umgekehrt.

Eine Abschaltung des alten Servers openvpn20.mdex.de ist derzeit nicht geplant. Sollte es zu einer Abschaltung des OVPN20-Servers kommen, werden Sie rechtzeitig und mit ausreichend Handlungsspielraum von uns informiert.

mdex OpenVPN (Sicherheitslevel 20)

Seit Oktober 2017 steht der mdex OpenVPN-Server 'openvpn20.mdex.de als 'mdex OpenVPN (Sicherheitslevel 20)' zur Verfügung.

mdex OpenVPN (Sicherheitslevel 20) Besser mdex OpenVPN (Sicherheitslevel 30) verwenden!
Seit Oktober 2017 steht der mdex OpenVPN-Server openvpn20.mdex.de als mdex OpenVPN (Sicherheitslevel 20) zur Verfügung.

Die erforderlichen OpenVPN-Einstellungen des mdex Leitstellentunnel und der mdex fixed.IP+ via OpenVPN sind identisch.

Voraussetzung ist OpenVPN-Version 2.3 (oder neuer) im eingesetzten Gerät/Client. Prüfen Sie bitte, ob für Ihr Gerät/Router eine neue Firmware mit OpenVPN-Version 2.3 (oder neuer) zur Verfügung steht.

Bei Verwendung einer public.IP via OpenVPN empfehlen wir die Einstellungen 2. public.IP via OpenVPN.

fixed.IP+ via OpenVPN

UDP-Verbindung empfohlen! TCP-Verbindung (nur für Sonderfälle) ¹

Verschlüsselte UDP-Verbindung Verschlüsselte TCP-Verbindung ¹

Mode: tun client tun client

Protokoll: proto udp proto tcp-client

Server hostname: openvpn20.mdex.de openvpn20.mdex.de

Server port: 1194
(oder 9300) 1194
(oder 443, 5228)

LZO:

Authentication: ca + auth-user-pass ca + auth-user-pass

ca: mdexCA20.crt ²
(rechte Maustaste -> Ziel speichern unter...) mdexCA20.crt ²
(rechte Maustaste -> Ziel speichern unter...)

Das Datum im Router/Gerät, auf dem der OpenVPN-Client eingerichtet wurde, muss aktuell sein. Mit einem zu alten Datum wird die Authentifizierung mit der Fehlermeldung Incoming plaintext read error / TLS handshake failed abgelehnt, siehe auch hier.

cipher: AES-256-GCM
(oder AES-256-CBC) AES-256-GCM
(oder AES-256-CBC)

auth: SHA256 SHA256

tun-mtu: 1500 1500

fragment: 1300 -

mssfix: -

float:

nobind:

fast-io: (optional/empfohlen) (optional/empfohlen)

reneg-sec: 86400 86400

explicit-exit-notify 2: empfohlen -

remote-cert-tls: server server

tls-version-min: 1.2 1.2

redirect-gateway def1: -
(nur bei public.IP erforderlich) ³ -
(nur bei public.IP erforderlich) ³

¹ Verschlüsselte TCP-Verbindung:

Die TCP-Verbindungsherstellung sollte nur in Sonderfällen verwendet werden, z.B. wenn der UDP Port von einer Firewall geblockt wird.

Die Datenmenge für die TCP OpenVPN Verbindungsherstellung wird auf ca. 3-5 MB im Monat reduziert. Bei schlechtem Mobilfunkempfang können höhere Datenmengen als 5 MB für die OpenVPN-Verbindung anfallen und es kann zu Problemen bei der Datenübertragung kommen.

Zur Einsparung von Datenvolumen der OpenVPN Verbindung werden die Anfragen zur Verbindungsüberprüfung seltener gesendet. Die Statusanzeige im mdex Management Portal erfolgt dadurch bei einer Unterbrechung der TCP OpenVPN Verbindung bis zu 60 Minuten zeitverzögert.

² Beim Zertifikat mdexCA20.crt handelt es sich um das Standard PEM-Format, welches in den meisten Routern bzw. OpenVPN-Clients verwendet werden kann. Für andere Formate siehe hier.
³ Bei Verwendung einer public.IP empfehlen wir eine unverschlüsselte Verbindung laut 2. public.IP via OpenVPN.

Insbesondere bei Neu-Einrichtungen sollte besser mdex OpenVPN (Sicherheitslevel 30) verwendet werden!

mdex OpenVPN (Sicherheitslevel 30)
Seit August 2025 steht der mdex OpenVPN-Server openvpn30.mdex.de als 'mdex OpenVPN (Sicherheitslevel 30)' mit noch mehr Sicherheit bei der Datenübertragung zur Verfügung.

Die erforderlichen OpenVPN-Einstellungen des mdex Leitstellentunnel und der mdex fixed.IP+ via OpenVPN sind identisch.

Bei Verwendung einer public.IP via OpenVPN empfehlen wir die Einstellungen 2. public.IP via OpenVPN.

UDP-Verbindung TCP-Verbindung

Server hostname: openvpn30.mdex.de

Server port: 1194 (oder 9300) 1194 (oder 443, 5228)

data-ciphers: CHACHA20-POLY1305:AES-256-GCM

Protokoll: proto udp proto tcp-client

explicit-exit-notify 2: empfohlen ---

Mode: tun client

Authentication: ca + auth-user-pass

ca: mdexCA30.crt

auth: none

float:

nobind:

remote-cert-tls: server

tls-version-min: 1.3

Das Datum im Router/Gerät, auf dem der OpenVPN-Client eingerichtet wurde, muss aktuell sein. Mit einem zu alten Datum wird die Authentifizierung mit der Fehlermeldung Incoming plaintext read error / TLS handshake failed abgelehnt, siehe auch hier.

Fertige mdex fixed.IP+ OpenVPN-Konfiguration

OpenVPN-Konfigurationsdatei (inkl. Zertifikat) für Router/Systeme: mdex fixed.IP30 Router.ovpn

Für PCs, Server, Smartphones, Tablets siehe mdex Leitstellentunnel

Hier finden Sie die Einrichtung des mdex OpenVPN-Clients in einem Teltonika-Router.

Hier finden Sie die Einrichtung des mdex OpenVPN-Clients in einem Advantech-Router.

	fixed.IP+ via OpenVPN
	UDP-Verbindung empfohlen!	TCP-Verbindung (nur für Sonderfälle) ¹
	Verschlüsselte UDP-Verbindung	Verschlüsselte TCP-Verbindung ¹
Mode:	tun client	tun client
Protokoll:	proto udp	proto tcp-client
Server hostname:	openvpn20.mdex.de	openvpn20.mdex.de
Server port:	1194 (oder 9300)	1194 (oder 443, 5228)
LZO:
Authentication:	ca + auth-user-pass	ca + auth-user-pass
ca:	mdexCA20.crt ² (rechte Maustaste -> Ziel speichern unter...)	mdexCA20.crt ² (rechte Maustaste -> Ziel speichern unter...)
Das Datum im Router/Gerät, auf dem der OpenVPN-Client eingerichtet wurde, muss aktuell sein. Mit einem zu alten Datum wird die Authentifizierung mit der Fehlermeldung Incoming plaintext read error / TLS handshake failed abgelehnt, siehe auch hier.
cipher:	AES-256-GCM (oder AES-256-CBC)	AES-256-GCM (oder AES-256-CBC)
auth:	SHA256	SHA256
tun-mtu:	1500	1500
fragment:	1300	-
mssfix:		-
float:
nobind:
fast-io:	(optional/empfohlen)	(optional/empfohlen)
reneg-sec:	86400	86400
explicit-exit-notify 2:	empfohlen	-
remote-cert-tls:	server	server
tls-version-min:	1.2	1.2
redirect-gateway def1:	- (nur bei public.IP erforderlich) ³	- (nur bei public.IP erforderlich) ³

	UDP-Verbindung	TCP-Verbindung
Server hostname:	openvpn30.mdex.de
Server port:	1194 (oder 9300)	1194 (oder 443, 5228)
data-ciphers:	CHACHA20-POLY1305:AES-256-GCM
Protokoll:	proto udp	proto tcp-client
explicit-exit-notify 2:	empfohlen	---
Mode:	tun client
Authentication:	ca + auth-user-pass
ca:	mdexCA30.crt
auth:	none
float:
nobind:
remote-cert-tls:	server
tls-version-min:	1.3

2. public.IP via OpenVPN

Hinweise zum im mCOP angezeigten Server 'openvpn30.mdex.de'

Im mCOP wird nur der Server openvpn30.mdex.de (Sicherheitslevel 30) angezeigt, dennoch ist eine Verbindung zu diesen Servern möglich:

Sicherheitslevel 20 openvpn20.mdex.de verschlüsselt

publicip20.mdex.de unverschlüsselt zur Erhöung des Datendurchsatz

Sicherheitslevel 30
(empfohlen) openvpn30.mdex.de verschlüsselt

publicip30.mdex.de uverschlüsselt zur Erhöung des Datendurchsatz

Für Neuinstallationen wird jedoch der neue OpenVPN30-Server laut mdex OpenVPN (Sicherheitslevel 30) empfohlen!

Angekündigte Wartungen oder Störungen des Servers openvpn30.mdex.de betreffen auch Verbindungen zu allen o.a Servern.

Eine Abschaltung des alten Servers openvpn20.mdex.de, bzw. publicip20.mdex.de ist derzeit nicht geplant. Sollte es zu einer Abschaltung der OVPN20-Server kommen, werden Sie rechtzeitig und mit ausreichend Handlungsspielraum von uns informiert.

mdex OpenVPN (Sicherheitslevel 20)
Seit Oktober 2017 steht der mdex OpenVPN-Server publicip20.mdex.de zur Verfügung.

mdex OpenVPN (Sicherheitslevel 20) nicht mehr verwenden!
Diese Einstellungen sind nur für die Verwendung einer public.IP via OpenVPN vorgesehen!
Bei einer fixed.IP+ via OpenVPN muss unbedingt eine verschlüsselte Verbindung laut 1. fixed.IP+ via OpenVPN verwendet werden!

public.IP+ via OpenVPN

Ohne Verschlüsselung empfohlen! Mit Verschlüsselung (optional) ¹

Unverschlüsselte UDP-Verbindung, siehe Hinweis ¹ Verschlüsselte UDP-Verbindung, siehe Hinweis ¹

Mode: tun client tun client

Protocol: udp udp

Server hostname: publicip20.mdex.de openvpn20.mdex.de

Server port: 1194 (oder 9300) 1194 (oder 9300)

LZO: -

Authentication: ca + auth-user-pass ca + auth-user-pass

ca: mdexCA20.crt ²
(rechte Maustaste -> Ziel speichern unter...) mdexCA20.crt ²
(rechte Maustaste -> Ziel speichern unter...)

Das Datum im Router/Gerät, auf dem der OpenVPN-Client eingerichtet wurde, muss aktuell sein. Mit einem zu alten Datum wird die Authentifizierung mit der Fehlermeldung Incoming plaintext read error / TLS handshake failed abgelehnt, siehe auch hier.

cipher: "none"
(oder CHACHA20-POLY1305) AES-256-GCM
(oder AES-256-CBC)

auth: "none" SHA256

ns-cert-type: "server" "server"

tun-mtu: 1500 1500

fragment: 1448 1300

mssfix:

float:

nobind:

fast-io: (optional/empfohlen) (optional/empfohlen)

reneg-sec: 86400 86400

explicit-exit-notify 2: (empfohlen) (empfohlen)

redirect-gateway def1:

² Beim Zertifikat mdexCA20.crt handelt es sich um das Standard PEM-Format, welches in den meisten Routern bzw. OpenVPN-Clients verwendet werden kann. Für andere Formate siehe hier.

Insbesondere bei Neu-Einrichtungen sollte besser mdex OpenVPN (Sicherheitslevel 30) verwendet werden!

mdex OpenVPN (Sicherheitslevel 30)
Seit August 2025 steht der mdex OpenVPN-Server publicip30.mdex.de als 'mdex OpenVPN (Sicherheitslevel 30)' mit noch mehr Sicherheit zur Verfügung.

Unverschlüsselt ¹ Verschlüsselt ¹

Mode: tun client

remote-cert-tls: server

Server hostname: publicip30.mdex.de openvpn30.mdex.de

Protokoll: proto udp

data-ciphers: none:CHACHA20-POLY1305 CHACHA20-POLY1305:AES-256-GCM

auth: none

ca: mdexCA30.crt

explicit-exit-notify 2: empfohlen

redirect gateway def 1:

float:

nobind:

Authentication: ca + auth-user-pass

Server port: 1194 (oder 9300)

tls-version-min: 1.3

¹ Zur Verwendung einer public.IP kann die OpenVPN-Verbindung zu den Servern publicip30.mdex.de (unverschlüsselt) oder openvpn30.mdex.de (verschlüsselt) hergestellt werden.

Eine OpenVPN-Verschlüsselung zwischen Client/Router und OpenVPN-Server (mdex) ist bei Verwendung einer public.IP aber nicht erforderlich, weil die Kommunikation zum Internet über die per NAT zugewiesene public.IP ja grundsätzlich unverschlüsselt erfolgt.

Da der Datendurchsatz einer unverschlüsselten OpenVPN-Verbindung in aller Regel höher ist als bei einer verschlüsselten Verbindung, empfehlen wir bei Verwendung einer public.IP via OpenVPN die Einstellungen ohne Verschlüsselung zum Server publicip30.mdex.de zu verwenden.

Fertige mdex public.IP OpenVPN-Konfiguration

OpenVPN-Konfigurationsdatei (inkl. Zertifikat) für Router/Systeme: mdex public.IP30 Router.ovpn

Hier finden Sie die Einrichtung des mdex OpenVPN-Clients in einem Teltonika-Router.

Hier finden Sie die Einrichtung des mdex OpenVPN-Clients in einem Advantech-Router.

Sicherheitslevel 20	openvpn20.mdex.de	verschlüsselt
publicip20.mdex.de	unverschlüsselt zur Erhöung des Datendurchsatz
Sicherheitslevel 30 (empfohlen)	openvpn30.mdex.de	verschlüsselt
publicip30.mdex.de	uverschlüsselt zur Erhöung des Datendurchsatz

	public.IP+ via OpenVPN
	Ohne Verschlüsselung empfohlen!	Mit Verschlüsselung (optional) ¹
	Unverschlüsselte UDP-Verbindung, siehe Hinweis ¹	Verschlüsselte UDP-Verbindung, siehe Hinweis ¹
Mode:	tun client	tun client
Protocol:	udp	udp
Server hostname:	publicip20.mdex.de	openvpn20.mdex.de
Server port:	1194 (oder 9300)	1194 (oder 9300)
LZO:	-
Authentication:	ca + auth-user-pass	ca + auth-user-pass
ca:	mdexCA20.crt ² (rechte Maustaste -> Ziel speichern unter...)	mdexCA20.crt ² (rechte Maustaste -> Ziel speichern unter...)
Das Datum im Router/Gerät, auf dem der OpenVPN-Client eingerichtet wurde, muss aktuell sein. Mit einem zu alten Datum wird die Authentifizierung mit der Fehlermeldung Incoming plaintext read error / TLS handshake failed abgelehnt, siehe auch hier.
cipher:	"none" (oder CHACHA20-POLY1305)	AES-256-GCM (oder AES-256-CBC)
auth:	"none"	SHA256
ns-cert-type:	"server"	"server"
tun-mtu:	1500	1500
fragment:	1448	1300
mssfix:
float:
nobind:
fast-io:	(optional/empfohlen)	(optional/empfohlen)
reneg-sec:	86400	86400
explicit-exit-notify 2:	(empfohlen)	(empfohlen)
redirect-gateway def1:

	Unverschlüsselt ¹	Verschlüsselt ¹
Mode:	tun client
remote-cert-tls:	server
Server hostname:	publicip30.mdex.de	openvpn30.mdex.de
Protokoll:	proto udp
data-ciphers:	none:CHACHA20-POLY1305	CHACHA20-POLY1305:AES-256-GCM
auth:	none
ca:	mdexCA30.crt
explicit-exit-notify 2:	empfohlen
redirect gateway def 1:
float:
nobind:
Authentication:	ca + auth-user-pass
Server port:	1194 (oder 9300)
tls-version-min:	1.3

mdex Kontakt
support@mdex.de
+49 4109 555 333

Impressum Login