VPN Server einrichten und anonym surfen

Einen eigenen VPN vServer fürs surfen anonym im Internet unter Linux einrichten und für Windows, Android und iOS Geräte nutzen. Eine „Anleitung“ für jeden.

Wer gerne anonym im Internet surfen möchte kann auf einen VPN Anbieter zurückgreifen, somit kann über diesen eine verschlüsselte Verbindung ins Internet hergestellt werden und man benutzt die IP Adresse dieses VPN Anbieters. Somit ist die eigene IP Adresse nach außen nicht sichtbar. Jedoch ob man dem VPN Anbieter vertrauen kann ist fragwürdig, da diese oft die Server im Ausland stehen haben und somit auch von mehreren Kunden genutzt werden.

Eine bessere Lösung ist somit einen eigenen VPN Server anzumieten und einzurichten, damit ist die eigene IP Adresse nach außen hin nicht sichtbar, ebenso ist die Internet Verbindung verschlüsselt und das ganze evtl. noch mit Paysafecard bezahlbar. Ebenso sollte der VPN Server für Windows, Android und iOS Geräte nutzbar sein, damit man über ein öffentliches WLAN bei aktiver verschlüsselter VPN Verbindung zum eigenen VPN-Server seine e-mails anschauen kann.

Wie das ganze Kinderleicht funktioniert, hier die komplette Anleitung Schritt für Schritt erklärt.

Schritt 1:
Was wird benötigt:

Zuerst benötigen wir einen Server im Internet, der eine eigene IP-Adresse hat und der KVM-Virtualisierung anbietet.

Schritt 2:
Server bestellen:

Schritt 3:
Server unter Debian installieren:

Wenn ihr jetzt in eurer Übersicht seit, habt ihr links unten eine Box mit der Überschrift „Manage VM“.

Hier nun „noVNC“ anklicken und es öffnet sich ein weiteres Fenster mit der Virtuellen Maschine.

Jetzt solltet ihr diese Bild mit dem Debian Installer vor euch haben, wenn nicht habt ihr bei der Bestellung nicht das richtige Paket unter „ISO“ ausgewählt, dieses kann aber nachträglich innerhalb eures Accounts noch geändert werden. So, nun einfach die „Enter“ Taste betätigen.

Hier nun die Installation Sprache auswählen, je nach eurer Wahl und die „Enter“ Taste drücken.

Dann die Länderauswahl für die Zeitzone auswählen und mit „Enter“ bestätigen.

Als nächstes das Layout der Tastatur mit den Pfeiltasten auswählen, hier z.B. „Deutsch“ und danach wieder „Enter“ drücken. Achtung, innerhalb dieses Fensters ist trotzdem, obwohl die Tastatur auf Deutsch eingestellt wurde das „Y“ und das „Z“ vertauscht, bitte nachher bei der Passwortvergabe berücksichtigen. Das ändert sich aber, sobald wir uns auf dem Server per Putty einloggen und die VPN Konfiguration vornehmen.

Hier vergebt ihr nun den Server einen Rechnernamen, z.B. „VPNServer“ oder „MeinServer“, was immer ihr auch wollt. Wenn ihr den Namen eingeben habt, dann auf die „TAP“ Taste damit der Cursor auf „Weiter“ springt und danach wieder die „Enter“ Taste.

Jetzt noch den Domain Namen vergeben, also irgendwas was ihr wollt und nach wieder „TAP“ und „Enter“.

Nun müßt ihr das Root Passwort für den „Superuser“ eingeben, bitte merken, da wir uns später mit dem Server per Putty gleich als Root User anmelden. Der Root User ist vom System schon angelegt, dieser User hat die vollen Rechte auf dem Server, also vorsichtig umgehen damit. Zum Verständnis: Der Root User heißt auch „Root„, kann aber später bei Login „root“ also klein geschrieben werden.

Hier dann das Passwort für den Root User wiederholen und dann mit „TAP“ und „Enter“ weiter.

Jetzt legt ihr noch einen Benutzer an, hier ein Name nach eurer Wahl. Nur mit dem Benutzer kann der erste Login dann später auf dem Server erfolgen, deshalb auch hier das Passwort gut merken. Danach benötigen wir einen Login mit dem Benutzer nicht mehr. Wer aber will, kann sich natürlich immer erst mit dem Benutzer auf den Server einloggen, dieses sollte auch der Normalfall sein und danach dann zum Root user wechseln. Auch hier wieder mit „TAP“ und „Enter„.

Ein bisschen verwirrend, jetzt muß jetzt nochmal der Benutzer bestätigt werden.

Auch hier dem angelegtem Benutzer ein Passwort vergeben und gut merken.

Jetzt nochmal das Passwort für den Benutzer bestätigen.

Hier die Zeitzone auswählen und mit „Enter“ bestätigen.

Hier wird jetzt die Festplatte des Server partitioniert, einfach bei den Standard Einstellungen lassen Geführt – vollständige Festplatte verwenden. „Enter“

Dann einfach nochmal die Partitionierung bestätigen mit „Enter“

Alle Dateien auf eine Partition, für Anfänger empfohlen. Wieder mit „Enter“ bestätigen.

Nun „Partitionierung beenden und Änderungen übernehmen“ mit „Enter“ bestätigen.

Achtung, nun wird die Partitionierung angezeigt, der Cursor steht aber auf „Nein“ unbedingt hier mit der „TAP“ Taste auf „Ja“ wechseln.

Jetzt noch einen Spiegelserver auswählen, wir bestätigen hier „Deutschland“ mit „Enter„.

Auch hier den ersten Eintrag „ftp.de.debian.org“ mit der „Enter“ Taste bestätigen.

HTTP-Proxy-Daten benötigen wir nicht, also leer lassen und auf „Weiter„.

An der Paketverwendungserfassung nehmen wir nicht teil, also hier auf „Nein„.

Hier jetzt nur die zwei untersten Punkte mit der „Leertaste“ auswählen und dann wieder mit der „TAP“ Taste auf „weiter„.

Hier den GRUB-Bootloader mit „Ja“ bestätigen.

Genau so mit „Enter“ bestätigen.

Danach die Installation abschließen mit „weiter„. Nun startet der Server neu durch.

Wenn die Installation funktioniert hat solltet ihr nun die Login Konsole des Debian Servers wie hier im Bild sehen.

Als letztes das Fenster der Virtuellen Maschine oben rechts schließen und ihr könnt euch jetzt aus eurem Server Account ausloggen.

Als letzten Schritt benötigen wir nun Putty einfach hier herunterladen.

Hier könnt ihr die putty.exe wie im Bild entweder 32-bit oder 64-bit herunterladen und auf dem Desktop speichern.

Als nächstes starten wir nun Putty

Einfach die Putty.exe Datei doppelt anklicken.

Unter Host Name (or IP address) kommt eure IP Adresse des Servers die ihr euch bei dynBOX notiert habt, der Port bleibt erstmal die Standard Einstellung Port 22, also so eintragen und unten bei „Saved Sessions“ entweder nochmal die IP Adresse eintragen oder z.B. VPNServer, danach auf „Save“ klicken. Somit könnt ihr wenn ihr euch später mit dem Server per Putty verbinden wollt einfach unter „Saved Sessions“ den Server auswählen, dann auf „Load“ klicken und ganz unten auf „Open„.

Wenn ihr jetzt zum ersten mal eine Verbindung mit dem Server herstellt, bekommt ihr einen PuTTY Security Alert angezeigt, hier dann mit „Ja“ bestätigen.

Hier gebt ihr jetzt den Benutzernamen den ihr bei eurer Installation von Debian vergeben habt ein und danach mit der „Enter“ Taste quittieren.

Danach euer Benutzer Passwort das ihr ebenfalls bei der Installation des Server vergeben habt.

Wenn ihr dann alles funktioniert hat, sollte die Konsole dann so aussehen, euer Benutzername@Servername:~$

Um nun die Konfiguration am Server zu ändern und den Server für einen VPN Zugang zu konfigurieren benötigen wir Superuser Rechte, die wir mit dem Root User haben. Dazu müßen wir nun vom Benutzer um Superuser wechseln.

Hier jetzt „su“ eingeben und die „Entertaste„, danach werdet ihr nach dem Passwort für den Supperuser, also den „root“ gefragt. Jetzt euer vergebenes Passwort das ihr euch notiert habt eingeben, jetzt seit ihr als root User mit dem Server verbunden und könnt nun alles am System verändern.

Als nächstes werden wir jetzt noch den Login am Server so verändern, dass ihr euch immer gleich als Root am Server einloggt zusätzlich werden wir noch den Standard Port 22 für SSH abändern. Diese muß dann noch in Putty eingetragen werden. Wer diese nicht möchte, kann dieses natürlich aus Sicherheitsgründen so lassen und sich zuerst mit dem Benutzer einloggen und dann auf den Superuser wechseln.

Hier jetzt zum Superuser mit „su“ wechseln und das Passwort eingeben. Nun bearbeiten wir die SSH Datei mit einem Editor, hierzu nehmen wir den Editor „Nano“.
Folgenden Befehl wie im Bild angezeigt nun eingeben: nano /etc/ssh/sshd_config

Hier setzen wir jetzt mit dem Editor in der 5. Zeile bei „Port 22“ eine Raute „#“ davor und schreiben unterhalb eine neue mit abgeändertem Port 1963 ohne Raute. Genau das gleiche machen wir mit dem Eintrag „PermitRootLogin without-password„, hier eine Raute „#“ wieder davor setzten und einen neuen Eintrag „PermitRootLogin yes“ ohne Raute. Natürlich kann man auch nur die Rauten löschen und den Eintrag abändern, aber gerade am Anfang ist es besser wenn die original Einträge stehen bleiben. Somit kann dann auch nachvollzogen werden was man geändert hat. Nach der Änderung den Editor Nano dann mit der „Strg“ Taste und der „X“ Taste beenden. Unten am Bildschirm wird man nun gefragt ob gespeichert werden soll, dann mit „J“ für Ja bestätigen.

Nun nur noch innerhalb Putty bei eurem eingetragenen Server den Port 22 auf wie hier im Beispiel auf Port 1963 abändern, damit ihr auch in Zukunft über Putty wieder eine Verbindung zu eurem Server herstellen könnt. Achtung, hier kommt jetzt wieder innerhalb Putty ein PuTTY Security Alert, da ihr den Port geändert habt, diesen einfach wieder bestätigen.

Konsolen login als root.

Als letztes muß der Server noch neu gestartet werden, hierzu ist in der Konsole folgendes einzugeben: schutdown -r now. Damit startet der Server neu.

Schritt 4:
VPN Server einrichten unter Linux Debian:

Jetzt kommen wir zum wichtigsten Schritt, der Installation und Einrichtung des VPN Servers. Ab diesem Schritt kann natürlich auch bei jedem anderem Provider ein VPN eingerichtet werden, Voraussetzung ihr habt bei diesem ein aktuelles Linux Debian am laufen. Siehe Anleitung oben. Hier nehmen wir gerade die Version 8 Jessie, sollte aber auch mit der Version 9 Stretch laufen. Der Vorteil, der VPN-Server kann von fast jedem Endgerät kontaktiert werden, egal ob Windows 7, 10, iOS oder ein Android Gerät.

Zu dieser nun gezeigter Vorgehensweise gibt es natürlich auch schon mehrere Anleitungen im Internet. Aber mit dieser Anleitung kann es wirklich auch der absolute Leihe nachvollziehen und muß kein Computerspezialist oder großartige Linux Kenntnisse besitzen, einfach alles so eingeben wie beschrieben und ihr habt euren eigenen VPN-Server im Internet zum surfen am laufen.

Als erstes müßt ihr euch wieder an der Konsole mit Putty als root User einloggen oder dann auf den root User wechseln. Nun werden keine Bilder mehr angezeigt sondern alles so beschrieben wie ihr es an der Konsole eingeben müßt.

Debian Ipsec VPN Server mit Racoon und xl2tpd

Nun wird erstmal racoon xl2tpd und iptables installiert, dazu bitte folgendes eingeben:

apt-get install racoon xl2tpd iptables

Ihr könnt das auch kopieren und dann in der Konsole wieder einfügen, copy & paste sozusagen.

Nun die Installation von mit „J“ bestätigen, also ein „j“ eingeben und die „Enter“ Taste drücken.

Hier geben wir an, das Racoon direkt bearbeitet werden soll, „OK“ bestätigen.

Jetzt sollte „direkt“ aktiviert sein, dann nochmal mit der „TAP“ Taste auf „OK“ und dann mit der „Enter“ Taste bestätigen.

Als nächstes fügen wir nun folgenden Code am Ende in die racoon.conf Datei ein, hierfür die racoon.conf mit dem Editor Nano öffnen, hierfür folgenden Befehl in die Konsole eingeben:
nano /etc/racoon/racoon.conf

remote anonymous
{
exchange_mode aggressive,main;
nat_traversal on;
generate_policy on;
ike_frag on;

proposal_check obey; # obey, strict, or claim

proposal {
encryption_algorithm 3des;
hash_algorithm sha1;
authentication_method pre_shared_key;
dh_group 2;
}
proposal {
encryption_algorithm aes;
hash_algorithm sha1;
authentication_method pre_shared_key;
dh_group 2;
}
proposal {
encryption_algorithm 3des;
hash_algorithm sha256;
authentication_method pre_shared_key;
dh_group 2;
}
proposal {
encryption_algorithm aes;
hash_algorithm sha256;
authentication_method pre_shared_key;
dh_group 2;
}
}

sainfo anonymous
{
pfs_group 2;
encryption_algorithm aes,3des;
authentication_algorithm hmac_sha256,hmac_sha1;
compression_algorithm deflate;
}

Jetzt muß der Passkey vergeben werden, bitte diesen gut notieren. Dieser muß später ins Endgerät welches eine Verbindung zu dem VPN-Server herstellen will eingetragen werden und sollte dementsprechend stark sein.
Hier ein Beispiel: Ztpv989d4MMHTf923dt
Dafür die Datei psk.txt bearbeiten, mit folgedem Befehl:
nano /etc/racoon/psk.txt

* meinpasskey

Alles löschen und dann euren Passkey in der Datei eintragen.
Sollte dann so zum beserem Verständnis aussehen:
* Ztpv989d4MMHTf923dt

Nun folgendes am Ender der Datei xl2tpd.conf hizufügen mit folgendem Befehl:
nano /etc/xl2tpd/xl2tpd.conf

[global]
port = 1701
access control = no
ipsec saref = yes
force userspace = yes
;debug avp = yes
;debug network = yes
;debug packet = yes
;debug state = yes
;debug tunnel = yes

[lns default]
exclusive = yes
ip range = 192.168.30.10-192.168.30.20
local ip = 192.168.30.1
;hidden bit = no
length bit = yes
name = VPNServer
;ppp debug = yes
require authentication = yes
unix authentication = no
require chap = yes
refuse pap = yes
pppoptfile = /etc/ppp/xl2tpd-options

Jetzt muß noch ein User und ein Passwort für den User der sich mit dem VPN-Server verbinden möchte vergeben werden. Bitte auch wieder notieren und wieder am Ende der Datei hinzufügen.
Hierzu die Datei chap-secrets bearbeiten mit folgedem Befehl:
nano /etc/ppp/chap-secrets

user1 * passwort *
user2 * passwort *

Beispiel:
Oma * e38FzpH567 *
Opa * 349jpwhTv9 *
es können alos mehrere User angelegt werden.

Nun muß die Datei l2tp.conf mit folgendem Inhalt erstellt werden mit fogendem Befehl:
nano /etc/ipsec-tools.d/l2tp.conf

spdflush;
flush;
spdadd 0.0.0.0/0[1701] 0.0.0.0/0[0] udp -P out ipsec esp/transport//require;
spdadd 0.0.0.0/0[0] 0.0.0.0/0[1701] udp -P in ipsec esp/transport//require;

Jetzt die Datei xl2tpd-options mit fogendem Inhalt erstellen, mit folgedem Befehl:
nano /etc/ppp/xl2tpd-options

lock
auth
name "VPN-Server"
# DUMP crashes the daemon - do not uncomment
#dump
# CCP seems to confuse Android clients, better turn it off
noccp
#novj
#novjccomp
nopcomp
noaccomp
#require-mschap
require-mschap-v2
logfile /var/log/xl2tpd.log
#hier nun ein Zensurfreier DNS-Server anstatt Goggle DNS: 8.8.8.8
ms-dns 8.8.8.8
lcp-echo-interval 120
lcp-echo-failure 10
idle 1800
connect-delay 5000
nodefaultroute
noipdefault

proxyarp
mtu 1400
mru 1400

ip-up-script /etc/ppp/ip-up.sh
ip-down-script /etc/ppp/ip-down.sh

####################################
Exkurs Debian 9x VPN-Server
####################################

Kleiner Exkurs, solltet ihr den Server mit Debian 9 installiert haben, gibt es keine rc.local Datei.
Zusätzlich hat sich noch die Netzwerk Schnittstelle geändert, so dass diese erst ausgelesen werden muß und dann in der Datei rc.local Datei geändert werden muß.
Sollte das nicht passieren, kann mann sich an dem VPN-Server einloggen, bekommt aber keine Internet Verbindung da das Routing nicht passt.

Also kurz die Netzwerkschnittstelle mit folgendem Befehl abfragen:
Einfach in der Konsole folgenden Befehl eingeben: ip addr

Wie Ihr erkennen könnt ist hier die Netzwerkschnittstelle nicht wie unter Debian 8 „eth0“ sondern „ens18“, dieses muß natürlich in der Datei rc.local zwei mal angegeben werden.

 

Nun in der Datei rc.local fogendes eintragen:
Zum bearbeiten folgenden Befehl:
nano /etc/rc.local

#!/bin/sh -e
#
# rc.local
#
# This script is executed at the end of each multiuser runlevel.
# Make sure that the script will "exit 0" on success or any other
# value on error.
#
# In order to enable or disable this script just change the execution
# bits.
#
# By default this script does nothing.

echo 1 > /proc/sys/net/ipv4/ip_forward
/sbin/iptables -F
/sbin/iptables -X
/sbin/iptables -t nat -F
/sbin/iptables -t nat -X
/sbin/iptables -t mangle -F
/sbin/iptables -t mangle -X
iptables -A FORWARD -i ens18 -o ppp0 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -t nat -A POSTROUTING -s 192.168.30.0/24 -o ens18 -j MASQUERADE
/usr/sbin/setkey -f /etc/ipsec-tools.d/l2tp.conf

exit 0

Nun nur noch die Rechte der rc.local Datei ändern und folgenden Befehl eingeben:
chmod 755 /etc/rc.local
und danach den Befehl:
/etc/rc.local

#########################################
Ende Exkurs Debian 9x VPN-Server
#########################################

Weiter mit der Ursprünglichen Beschreibung:

Nun in der Datei rc.local fogendes überhalb von „exit 0“ eintragen.
Zum bearbeiten folgenden Befehl:
nano /etc/rc.local

echo 1 > /proc/sys/net/ipv4/ip_forward
/sbin/iptables -F
/sbin/iptables -X
/sbin/iptables -t nat -F
/sbin/iptables -t nat -X
/sbin/iptables -t mangle -F
/sbin/iptables -t mangle -X
iptables -A FORWARD -i eth0 -o ppp0 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -t nat -A POSTROUTING -s 192.168.30.0/24 -o eth0 -j MASQUERADE
/usr/sbin/setkey -f /etc/ipsec-tools.d/l2tp.conf

Nun nur noch ein Restart script erstellen mit folgendem Befehl:
nano /usr/local/bin/ipres.sh
Folgendes eintragen:

#!/bin/sh
service racoon restart
service xl2tpd restart

Als nächstes nun wieder einen Restart des VPN-Servers mit folgendem Befehl in der Konsole:
shutdown -r now

So, der VPN-Server ist nun fertig eingerichtet und sollte über die IP Adresse erreichbar sein. Was ihr jetzt noch tun müßt, einfach auf euren Endgeräten eine VPN-Verbindung zur eurem VPN-Server einrichten. Wie das zum Beispiel mit Windows 10 funktioniert seht ihr im nächsten Abschnitt.

Schritt 5:
VPN Verbindung zum VPN Server mit Windows 10 herstellen.

Um mit Windows 10 eine Verbindung mit eurem VPN-Server herzustellen klickt ihr als erstes rechts in der Taskleiste auf den Infobereich.

Dann den Info Bereich „Erweitern“ anklicken und hier seht ihr dann „VPN„, dieses nun anklicken.

Nun auf VPN-Verbindung hinzufügen anklicken.

Hier vergebt ihr jetzt einen Namen der VPN Verbindung zu eurem Server, dann die IP-Adresse eures VPN-Servers eintragen. Als VPN-Typ bitte „L2TP/IPsec mit vorinstalliertem Schlüssel“ aus dem Listenfeld auswählen. Hier trägt ihr den während der Installation des Servers vergebenen und hoffentlich notieren Passkey ein. Als Anmeldeinformationstyp bitte „Benutzername und Kennwort“ auswählen. Natürlich bei Benutzername euren User den ihr vergeben habt und zu Schluß natürlich das Kennwort des Benutzers, habt ihr ja bei der Installation notiert. Dann noch ein Hacken setzten bei „Anmeldeinformationen speichern„.
Die VPN Verbindung innerhalb Windows 10 ist jetzt zu eurem Server eingerichtet.

Als letztes klickt ihr nun unten in der Taskleiste auf das Netzwerksymbol und hier sollte eure eingerichtete VPN-Verbindung zu sehen sein, jetzt auswählen und auf Verbinden klicken.

Um jetzt zu sehen ob alles funktioniert könnt ihr ja mal eure IP-Adresse mit und ohne VPN-Verbindung abfragen, einfach dazu z.B. auf https://www.wieistmeineip.de/ gehen. Wenn ihr also jetzt eine Verbindung mit dem VPN-Server herstellt, ist nach außen nur noch die IP-Adresse des VPN-Servers sichtbar und nicht mehr die von eurem Router.

Wenn ihr ein Handy z.B. iPhone oder ein Android Gerät habt, könnt ihr hier jetzt zusätzlich eine VPN-Verbindung zu eurem VPN-Server auf eurem Handy einrichten.

VPN-Verbindung iOS fürs iPhone

Hier die VPN Verbindungseinstellungen fürs iPhone unter iOS. Als Typ bitte „L2TP“ auswählen, dann die IP-Adresse unter Server. Account euren vergebenen User wie hier z.B. Oma. Dann unter Passwort das Passwort das ihr für Oma oder Opa vergeben habt und unter „Shared Secret“ bitte den „Passkey“ eintragen.

Nachtrag:
Bei Android Handys bitte die Verbindungsart „L2TP/IPSec PSK“ auswählen.

2. Nachtrag:
In der Datei „xl2tpd-options“ kann anstatt dem Google DNS-Server 8.8.8.8 eine Zensurfreier DNS-Server angegeben werden digitalcourage. Dieser hat die IP: 46.182.19.48

FERTIG !!