mdex OpenVPN-Einstellungen

Das Gerät muss einige Kriterien erfüllen, damit dieses eine OpenVPN-Verbindung zum mdex OpenVPN-Server herstellen kann:

• Integrierter OpenVPN-Client mit Authentifizierungsmöglichkeit per Zertifikat und Username/Password.
• Die erforderlichen mdex OpenVPN-Einstellungen und Zertifikate müssen im OpenVPN-Client einstellbar sein.

Nachfolgend finden Sie die erforderlichen OpenVPN-Einstellungen zur Verwendung des jeweiligen mdex IP-Dienst (Produkt):
1. fixed.IP+ via OpenVPN
2. public.IP via OpenVPN

1. fixed.IP+ via OpenVPN

mdex OpenVPN (Sicherheitslevel 20)

Seit Oktober 2017 steht der mdex OpenVPN-Server 'openvpn20.mdex.de' als mdex OpenVPN (Sicherheitslevel 20) mit noch mehr Sicherheit bei der Datenübertragung zur Verfügung.

• Die erforderlichen OpenVPN-Einstellungen des mdex Leitstellentunnel und der mdex fixed.IP+ via OpenVPN sind identisch.
• Voraussetzung ist OpenVPN-Version 2.3 (oder neuer) im eingesetzten Gerät/Client. Prüfen Sie bitte, ob für Ihr Gerät/Router eine neue Firmware mit OpenVPN-Version 2.3 (oder neuer) zur Verfügung steht.
• Bei Verwendung einer public.IP via OpenVPN empfehlen wir die Einstellungen 2. public.IP via OpenVPN.
  

	fixed.IP+ via OpenVPN
	UDP-Verbindung empfohlen!	TCP-Verbindung (nur für Sonderfälle) 1
	Verschlüsselte UDP-Verbindung	Verschlüsselte TCP-Verbindung 1
Mode:	tun client	tun client
Protokoll:	proto udp	proto tcp-client
Server hostname:	openvpn20.mdex.de	openvpn20.mdex.de
Server port:	1194 (oder 9300)	1194 (oder 443, 5228)
LZO:
Authentication:	ca + auth-user-pass	ca + auth-user-pass
ca:	mdexCA20.crt 2 (rechte Maustaste -> Ziel speichern unter...)	mdexCA20.crt 2 (rechte Maustaste -> Ziel speichern unter...)
	Das Datum im Router/Gerät, auf dem der OpenVPN-Client eingerichtet wurde, muss aktuell sein. Mit einem zu alten Datum wird die Authentifizierung mit der Fehlermeldung Incoming plaintext read error / TLS handshake failed abgelehnt, siehe auch hier.
cipher:	AES-256-GCM (oder AES-256-CBC)	AES-256-GCM (oder AES-256-CBC)
auth:	SHA256	SHA256
tun-mtu:	1500	1500
fragment:	1300	-
mssfix:		-
float:
nobind:
fast-io:	(optional/empfohlen)	(optional/empfohlen)
reneg-sec:	86400	86400
explicit-exit-notify 2:	empfohlen	-
remote-cert-tls:	server	server
tls-version-min:	1.2	1.2
redirect-gateway def1:	- (nur bei public.IP erforderlich) 3	- (nur bei public.IP erforderlich) 3

¹ Verschlüsselte TCP-Verbindung:

• Die TCP-Verbindungsherstellung sollte nur in Sonderfällen verwendet werden, z.B. wenn der UDP Port von einer Firewall geblockt wird.
• Die Datenmenge für die TCP OpenVPN Verbindungsherstellung wird auf ca. 3-5 MB im Monat reduziert. Bei schlechtem Mobilfunkempfang können höhere Datenmengen als 5 MB für die OpenVPN-Verbindung anfallen und es kann zu Problemen bei der Datenübertragung kommen.
  
• Zur Einsparung von Datenvolumen der OpenVPN Verbindung werden die Anfragen zur Verbindungsüberprüfung seltener gesendet. Die Statusanzeige im mdex Management Portal erfolgt dadurch bei einer Unterbrechung der TCP OpenVPN Verbindung bis zu 60 Minuten zeitverzögert.

² Beim Zertifikat mdexCA20.crt handelt es sich um das Standard PEM-Format, welches in den meisten Routern bzw. OpenVPN-Clients verwendet werden kann. Für andere Formate siehe hier.
³ Bei Verwendung einer public.IP empfehlen wir eine unverschlüsselte Verbindung laut 2. public.IP via OpenVPN.

Fertige mdex fixed.IP+ OpenVPN-Konfigurationen

mdex fixed.IP+ OpenVPN-Konfigurationen:
mdex Router:	Bei Einsatz eines mdex Routers siehe FAQ Wie wird der mdex OpenVPN-Client im mdex Router konfiguriert?.
PCs, Server, Smartphones, Tablets:	Für den Einsatz von PCs, Tablets oder Smartphones stehen unter Einrichtung des Leitstellentunnel fertige Konfigurationsdateien zum Download bereit, siehe auch FAQ Wie kann eine fixed.IP+/public.IP direkt auf einem PC/Server installiert werden?.
Andere Systeme/Router:	UDP-Konfigurationsdatei (inkl. mdexCA20.crt Zertifikat): mdex fixed.IP20_UDP.ovpn (rechte Maustaste -> Ziel speichern unter...)

Beispiel für Teltonika Router (ab Firmware R_00.07)Beispiel für Teltonika (ab Firmware R_00.07)

Teltonika mdex fixed.IP+ via OpenVPN-Einstellungen (ab Firmware R_00.07)

1. Unter Services -> OpenVPN bei Add new instance mit dem New configuration name fixedIP als Role Client den OpenVPN-Client mit Add hinzufügen:
   
   
2. Folgende OpenVPN-Einstellungen vornehmen:
   

   LZO:	Yes
   Authentication:	Password
   Encryption:	AES-256-GCM 256
   Remote host/IP address:	openvpn20.mdex.de
   Authentication algorithm:	SHA256
   Username:	Device-Username des mdex fixed.IP+ OpenVPN-Zugang
   Password:	Passwort des mdex fixed.IP+ OpenVPN-Zugang
   Extra options:	tun-mtu 1500 fragment 1300 mssfix float nobind reneg-sec 86400 remote-cert-tls server tls-version-min 1.2 explicit-exit-notify 2
   Certificate autority:	mdexCA20.crt (rechte Maustaste -> Ziel speichern unter...)

   
   
   
   
3. Unter Network -> Firewall -> General Settings sollte die Input-Zone "openvpn" auf Reject eingestellt werden:
   
   
   
4. Bei sämtlichen "Firewall - Traffic Rules" (für Remote Access) und Port Forwardings muss als Source zone openvpn eingestellt werden. Weitere Infos dazu siehe FAQ Wichtige Hinweise bei Verwendung einer mdex fixed.IP+ / public.IP via OpenVPN.

mdex OpenVPN (altes Sicherheitslevel 10)

Diese OpenVPN-Server sind veraltet! Bitte nur noch die aktuellen Einstellungen laut mdex OpenVPN (Sicherheitslevel 20) verwenden!

fixedip.mdex.de (altes Sicherheitslevel 10) anzeigenfixedip.mdex.de (altes Sicherheitslevel 10) verbergen

Server: fixedip.mdex.de (altes Sicherheitslevel 10)

Diese OpenVPN-Server sind veraltet! Bitte nur noch die aktuellen Einstellungen laut mdex OpenVPN (Sicherheitslevel 20) verwenden!

	UDP-Verbindung	TCP-Verbindung (nur für Sonderfälle)
	Verschlüsselte UDP-Verbindung	Verschlüsselte TCP-Verbindung 1
Mode:	tun client	tun client
Protocol:	udp	tcp-client
Server hostname:	fixedip.mdex.de	fixedip.mdex.de
Server port:	1194 -> für mdexCA10.crt, Laufzeitende 10/2023 9300 -> für ClientCAPack.crt, Laufzeitende 10/2022	443
LZO:
Authentication:	ca + auth-user-pass	ca + auth-user-pass
ca:	Für UDP Port 1194: mdexCA10.crt -> Server-Laufzeitende 10/2023 (rechte Maustaste -> Ziel speichern unter...) Für UDP Port 9300: ClientCAPack.crt -> Zertifikat läuft 10/2022 ab!	Für TCP Port 443: ClientCAPack.crt -> Zertifikat läuft 10/2022 ab! (rechte Maustaste -> Ziel speichern unter...)
crl-verify (optional) 2 :	fixed.IP-crl.pem	fixed.IP-crl.pem
cipher:	BF-CBC (blowfish 128)	BF-CBC (blowfish 128)
auth:	- (SHA1 wird verwendet)	- (SHA1 wird verwendet)
ns-cert-type:	"server"	"server"
tun-mtu:	1500	1500
fragment:	1300	-
mssfix:		-
float:
nobind:
fast-io:	(empfohlen)	(empfohlen)
reneg-sec:	86400	86400
explicit-exit-notify 2:	empfohlen	-
redirect-gateway def1:	- (nur bei public.IP erforderlich) 3	- (nur bei public.IP erforderlich) 3

¹ Verschlüsselte TCP-Verbindung:

• Die TCP-Verbindungsherstellung sollte nur in Sonderfällen verwendet werden, z.B. wenn der UDP Port von einer Firewall geblockt wird.
• Die Datenmenge für die TCP OpenVPN Verbindungsherstellung wird auf ca. 3-5 MB im Monat reduziert. Bei schlechtem Mobilfunkempfang können höhere Datenmengen als 5 MB für die OpenVPN-Verbindung anfallen und es kann zu Problemen bei der Datenübertragung kommen.
  
• Zur Einsparung von Datenvolumen der OpenVPN Verbindung werden die Anfragen zur Verbindungsüberprüfung seltener gesendet. Die Statusanzeige im mdex Management Portal erfolgt dadurch bei einer Unterbrechung der TCP OpenVPN Verbindung bis zu 60 Minuten zeitverzögert.
  

² crl-verify: "Certificate Revocation List" (optional).
Aufgrund des Heartbleed Bug wurden die Zertifikate der herkömmlichen mdex OpenVPN Server vorsorglich ausgetauscht.
Für mehr Sicherheit wird zusätzlich empfohlen, die mdex 'Certificate Revocation List' via crl-verifiy im OpenVPN Client zu implementieren. So ist sichergestellt, dass der OpenVPN Client keine Verbindung zu einem fremden OpenVPN Server (mit alten Zertifkat) herstellt.

³ Bei Verwendung einer public.IP empfehlen wir die Einstellungen 2. public.IP via OpenVPN.

businessip.mdex.de (altes Sicherheitslevel 10) anzeigenbusinessip.mdex.de (altes Sicherheitslevel 10) verbergen

Server: businessip.mdex.de (altes Sicherheitslevel 10)

Diese OpenVPN-Server sind veraltet! Bitte nur noch die aktuellen Einstellungen laut mdex OpenVPN (Sicherheitslevel 20) verwenden!

	UDP-Verbindung	TCP-Verbindung (nur für Sonderfälle)	UDP Long Timeout (nur für Sonderfälle)
	Verschlüsselte UDP-Verbindung	Verschlüsselte TCP-Verbindung 1	Verschlüsselte UDP-Verbindung 3
Mode	tun client	tun client	tun client
Protocol	udp	tcp-client	udp
Server hostname	businessip.mdex.de	businessip.mdex.de	businessip.mdex.de
Server port	1194	443	9301
LZO
Authentication	ca + auth-user-pass	ca + auth-user-pass	ca + auth-user-pass
ca	ClientCAPack.crt (rechte Maustaste -> Ziel speichern unter...)	ClientCAPack.crt (rechte Maustaste -> Ziel speichern unter...)	ClientCAPack.crt (rechte Maustaste -> Ziel speichern unter...)
crl-verify (optional) 2	business.IP-crl.pem	business.IP-crl.pem	business.IP-crl.pem
cipher	AES-256-GCM (AES-256-CBC oder BF-CBC)	AES-256-GCM (AES-256-CBC oder BF-CBC)	AES-256-GCM (AES-256-CBC oder BF-CBC)
auth	-	-	-
ns-cert-type	"server"	"server"	"server"
tun-mtu	1500	1500	1500
fragment	1300	-	-
mssfix		-
float
nobind
fast-io	optional	optional	optional
reneg-sec	86400	86400	86400
explicit-exit-notify 2	empfohlen	-	empfohlen

¹ Verschlüsselte TCP-Verbindung:

• Die TCP-Verbindungsherstellung sollte nur in Sonderfällen verwendet werden, z.B. wenn der UDP Port von einer Firewall geblockt wird.
• Die Datenmenge für die TCP OpenVPN Verbindungsherstellung wird auf ca. 3-5 MB im Monat reduziert. Bei schlechtem Mobilfunkempfang können höhere Datenmengen als 5 MB für die OpenVPN-Verbindung anfallen und es kann zu Problemen bei der Datenübertragung kommen.
  
• Zur Einsparung von Datenvolumen der OpenVPN Verbindung werden die Anfragen zur Verbindungsüberprüfung seltener gesendet. Die Statusanzeige im mdex Management Portal erfolgt dadurch bei einer Unterbrechung der TCP OpenVPN Verbindung bis zu 60 Minuten zeitverzögert.
  

² crl-verify: "Certificate Revocation List" (optional).
Aufgrund des Heartbleed Bug wurden die Zertifikate der herkömmlichen mdex OpenVPN Server vorsorglich ausgetauscht.
Für mehr Sicherheit wird zusätzlich empfohlen, die mdex 'Certificate Revocation List' via crl-verifiy im OpenVPN Client zu implementieren. So ist sichergestellt, dass der OpenVPN Client keine Verbindung zu einem fremden OpenVPN Server (mit alten Zertifkat) herstellt.

³ UDP Long-Timeout: Langer Timeout Timer für geringeres Datenvolumen
Zur Einsparung von Datenvolumen der OpenVPN Verbindung werden die Anfragen zur Verbindungsüberprüfung seltener gesendet. Dadurch fallen im Normalfall nur ca. 1 MB/Monat für die OpenVPN Verbindung an (je nach Häufigkeit der Verbindungsherstellung auch mehr). Die Statusanzeige im mdex Management Portal erfolgt bei einer Unterbrechung der OpenVPN Verbindung bis zu 60 Minuten zeitverzögert.

2. public.IP via OpenVPN

Diese Einstellungen sind nur für die Verwendung einer public.IP via OpenVPN vorgesehen!
Bei einer fixed.IP+ via OpenVPN muss unbedingt eine verschlüsselte Verbindung laut 1. fixed.IP+ via OpenVPN verwendet werden!

	public.IP+ via OpenVPN
	Ohne Verschlüsselung empfohlen! 1	Mit Verschlüsselung (optional) 1
	Unverschlüsselte UDP-Verbindung, siehe Hinweis 1	Verschlüsselte UDP-Verbindung, siehe Hinweis 1
Mode:	tun client	tun client
Protocol:	udp	udp
Server hostname:	publicip20.mdex.de	openvpn20.mdex.de
Server port:	1194 (oder 9300)	1194 (oder 9300)
LZO:	-
Authentication:	ca + auth-user-pass	ca + auth-user-pass
ca:	mdexCA20.crt 2 (rechte Maustaste -> Ziel speichern unter...)	mdexCA20.crt 2 (rechte Maustaste -> Ziel speichern unter...)
	Das Datum im Router/Gerät, auf dem der OpenVPN-Client eingerichtet wurde, muss aktuell sein. Mit einem zu alten Datum wird die Authentifizierung mit der Fehlermeldung Incoming plaintext read error / TLS handshake failed abgelehnt, siehe auch hier.
cipher:	"none" (oder CHACHA20-POLY1305)	AES-256-GCM (oder AES-256-CBC)
auth:	"none"	SHA256
ns-cert-type:	"server"	"server"
tun-mtu:	1500	1500
fragment:	1448	1300
mssfix:
float:
nobind:
fast-io:	(optional/empfohlen)	(optional/empfohlen)
reneg-sec:	86400	86400
explicit-exit-notify 2:	(empfohlen)	(empfohlen)
redirect-gateway def1:

¹ Zur Verwendung einer public.IP kann die OpenVPN-Verbindung zu den Servern publicip20.mdex.de (unverschlüsselt) oder openvpn20.mdex.de (verschlüsselt) hergestellt werden.

• Eine OpenVPN-Verschlüsselung zwischen Client/Router und OpenVPN-Server (mdex) ist bei Verwendung einer public.IP aber nicht erforderlich, weil die Kommunikation zum Internet über die per NAT zugewiesene public.IP ja grundsätzlich unverschlüsselt erfolgt.
• Da der Datendurchsatz einer unverschlüsselten OpenVPN-Verbindung in aller Regel höher ist als bei einer verschlüsselten Verbindung, empfehlen wir bei Verwendung einer public.IP via OpenVPN die Einstellungen ohne Verschlüsselung zum Server publicip20.mdex.de zu verwenden.

² Beim Zertifikat mdexCA20.crt handelt es sich um das Standard PEM-Format, welches in den meisten Routern bzw. OpenVPN-Clients verwendet werden kann. Für andere Formate siehe hier.

Fertige mdex public.IP+ OpenVPN-Konfigurationen

mdex OpenVPN-Konfigurationen:
mdex Router:	Bei Einsatz eines mdex Routers siehe FAQ Wie wird der mdex OpenVPN-Client im mdex Router konfiguriert?.
PCs, Server, Smartphones, Tablets:	Für den Einsatz von PCs, Tablets oder Smartphones stehen unter Einrichtung des Leitstellentunnel fertige Konfigurationsdateien zum Download bereit, siehe auch FAQ Wie kann eine fixed.IP+/public.IP direkt auf einem PC/Server installiert werden?.
Andere Systeme/Router:	UDP-Konfigurationsdatei (inkl. mdexCA20.crt Zertifikat): mdex public.IP.ovpn (rechte Maustaste -> Ziel speichern unter...)

Beispiel für Teltonika Router (ab Firmware R_00.07)Beispiel für Teltonika Router (ab Firmware R_00.07)

Teltonika publicIP via OpenVPN-Einstellungen (ab Firmware R_00.07)

1. Unter Services -> OpenVPN bei Add new instance mit dem New configuration name publicIP als Role Client den OpenVPN-Client mit Add hinzufügen:
   
   
   
2. Folgende OpenVPN-Einstellungen vornehmen:
   

   LZO:	None
   Authentication:	Password
   Encryption:	None
   Remote host/IP address:	publicip20.mdex.de
   Authentication algorithm:	None
   Username:	Device-Username des mdex fixed.IP+ OpenVPN-Zugang
   Password:	Passwort des mdex fixed.IP+ OpenVPN-Zugang
   Extra options:	tun-mtu 1500 fragment 1448 mssfix float nobind reneg-sec 86400 remote-cert-tls server tls-version-min 1.2 explicit-exit-notify 2 fast-io redirect-gateway def1
   Certificate autority:	mdexCA20.crt (rechte Maustaste -> Ziel speichern unter...)

   
   
   
   
3. Unter Network -> Firewall -> General Settings muss die Input-Zone "openvpn" auf Reject umgestellt werden:
   
   
   
4. Bei sämtlichen "Firewall - Traffic Rules" (für Remote Access) und Port Forwardings muss als Source zone openvpn eingestellt werden.