PPTP-VPN mit dem iPhone + Debian-Server

von alex olma | 12. März 2009 | 21:28 Uhr

iPhoneBlog-Leser Philipp Wegner (E-Mail) hat uns das folgende PPTP-VPN Tutorial geschickt, um sich von Unterwegs in sein heimisches Netzwerk einzuwählen. Natürlich mit einem iPhone.

Ohne andauerndes Port-Forwarding werdet ihr so auch ‘auf Reisen’ zum Teil eures eigenen LANs und tunnelt neben VoIP, IM euren ganzen wichtigen NAS-Dokumenten den Inhalt eures Webservers, der nicht ins Internet gestellt werden soll.

**

Eine kurze Anmerkung vorweg: Als meinen eigenen Debian-Homeserver betreibe ich die Slug, ein NAS-Gerät von Linksys, welches kaum mehr als zwei Watt Stromverbrauch verzeichnet, aber ein vollwertiges Debian für ARM bereithält.

iphone.jpg

Schritt 1: Aufsetzen des Servers

Ab Kernel 2.6.15 wird bei Debian MPPE unterstützt. Mit dem Befehl

apt-get install pptpd

installiert ihr den pptp-Dienst. Danach in der /etc/pptpd.conf-Konfigurationsdatei die Lokale- und die Remote-IP setzen. Die lokale IP wird auf die IP des pptp-Servers eingestellt, die Remote-IP ist die Range, die an Geräte vergeben wird, die sich per VPN verbinden.

localip 192.168.1.23
remoteip 192.168.0.220-230

Die Einträge sind beispielhaft auskommentiert. Einfach die Raute wegnehmen und die IPs anpassen. Dann in der /etc/ppp/pptpd-options einen DNS-Server eintragen:

ms-dns 192.168.1.1

Auch dieser Eintrag ist auskommentiert schon vorhanden, weshalb eine weitere einfache Anpassung genügt. Jetzt können die Geräte auch Namen auflösen.

Schritt 2: User hinzufügen

Danach in der /etc/ppp/chap-secrets einen Benutzer hinzufügen. Für einen iPhone-User beispielsweise:

iphone pptpd "passwort" *

Das Passwort muss tatsächlich in Anführungszeichen geschrieben werden. Passwörter ab 12 Stellen gelten als sicher. ‘iphone’ ist hier ein beispielhafter Benutzername. Als Server kann man ‘pptpd’ eintragen.

Schritt 3: Server-Neustart

Damit alle Settings aktiv werden gilt:

/etc/init.d/pptpd restart

Schritt 4: iPhone konfigurieren

Dieser Screenshot ist eine mögliche Konfiguration für den oben genannten User:

iphone2.jpg

Optional:

Ich weiß nicht ob man es braucht, aber ich habe noch IP-Forwarding aktiviert:

echo "1" > /proc/sys/net/ipv4/ip_forward

Der TCP-Port 1723 für pptp sollte vom Router auf den Server zeigen, womit der Leitweg dann auch korrekt funktionieren müsste.

dd-wrt1.jpg

Die Linux-Distibution DD-WRT für WiFi-Router unterstützt die PPTP-Einstellungen übrigens schon von Haus aus.

  • atom

    Nur dumm, wenn man das ganze mit einem VPS machen will, und der bescheuerte Hoster immer noch diesen 2.6.9 Kernel hat… #hmpf

  • atom

    Nur dumm, wenn man das ganze mit einem VPS machen will, und der bescheuerte Hoster immer noch diesen 2.6.9 Kernel hat… #hmpf

  • ini

    kann man mit der slug/nslu2 auch eine timecapsule ersetzen? würd mich über mehr infos freuen, ob du das bei dir in dieser form nutzt.

    • http://www.kyri0s.org/ Kyrios

      Ohne mich mit der konkreten Hardware auszukennen.

      Wenn du Spaß und Freude am “basteln” hast: JA.

      Wenn du auf hinstellen, geht stehst…. TimeCapsule.

    • http://www.kyri0s.org/ Kyrios

      Ohne mich mit der konkreten Hardware auszukennen.

      Wenn du Spaß und Freude am “basteln” hast: JA.

      Wenn du auf hinstellen, geht stehst…. TimeCapsule.

  • ini

    kann man mit der slug/nslu2 auch eine timecapsule ersetzen? würd mich über mehr infos freuen, ob du das bei dir in dieser form nutzt.

    • http://www.kyri0s.org Kyrios

      Ohne mich mit der konkreten Hardware auszukennen.

      Wenn du Spaß und Freude am “basteln” hast: JA.

      Wenn du auf hinstellen, geht stehst…. TimeCapsule.

  • http://www.sebbi.de/ Sebbi

    Schön, dass schon korrigiert wurde. Aber Stromverbrauch gibt man nicht in Wattstunden an ;-)

    Und was die Firewall angeht, man muss auch noch das Protokoll GRE erlauben, sonst klappt es wahrscheinlich nicht (außer der Router hat so einen VPN-Autoerkennungs Hokuspokus eingebaut).

    Grüße

  • http://www.sebbi.de Sebbi

    Schön, dass schon korrigiert wurde. Aber Stromverbrauch gibt man nicht in Wattstunden an ;-)

    Und was die Firewall angeht, man muss auch noch das Protokoll GRE erlauben, sonst klappt es wahrscheinlich nicht (außer der Router hat so einen VPN-Autoerkennungs Hokuspokus eingebaut).

    Grüße

  • Christoph

    @Sebbi, den Kommentar mit den Wattstunden wollte ich gerade machen :D

    Irgendwie vermischt der Artikel den VPN Server im Debian auf den NAS
    und die Nutzung des in DD-WRT eingebauten PPTP Servers. Im zweiten Fall
    ist der Router direkt der VPN Endpoint. Somit muss auf dem NAS kein pptp
    mehr eingerichtet werden. Für den ersten Fall muss, wie Sebbi schon gesagt
    hat, das GRE Protokoll auf Port 47 auf die LAN IP des Routers geforwarded( scheiss Wort ;-)
    werden. TCP 1723 alleine reicht bei den meisten Consumer Routern nicht.

    Gruß

    Christoph

  • Christoph

    @Sebbi, den Kommentar mit den Wattstunden wollte ich gerade machen :D

    Irgendwie vermischt der Artikel den VPN Server im Debian auf den NAS
    und die Nutzung des in DD-WRT eingebauten PPTP Servers. Im zweiten Fall
    ist der Router direkt der VPN Endpoint. Somit muss auf dem NAS kein pptp
    mehr eingerichtet werden. Für den ersten Fall muss, wie Sebbi schon gesagt
    hat, das GRE Protokoll auf Port 47 auf die LAN IP des Routers geforwarded( scheiss Wort ;-)
    werden. TCP 1723 alleine reicht bei den meisten Consumer Routern nicht.

    Gruß

    Christoph

  • Christoph

    @Sebbi, den Kommentar mit den Wattstunden wollte ich gerade machen :D

    Irgendwie vermischt der Artikel den VPN Server im Debian auf den NAS
    und die Nutzung des in DD-WRT eingebauten PPTP Servers. Im zweiten Fall
    ist der Router direkt der VPN Endpoint. Somit muss auf dem NAS kein pptp
    mehr eingerichtet werden. Für den ersten Fall muss, wie Sebbi schon gesagt
    hat, das GRE Protokoll auf Port 47 auf die LAN IP des Routers geforwarded( scheiss Wort ;-)
    werden. TCP 1723 alleine reicht bei den meisten Consumer Routern nicht.

    Gruß

    Christoph

  • http://www.iphoneblog.de/ alex olma

    Die ‘Wattstunden’ und der Einleitungstext zum Tutorial gehen auf meine Kappe, so dass ich zwecks der Übersichtlichkeit die falschen Angaben komplett entfernt habe.

  • http://www.iphoneblog.de/ alex olma

    Die ‘Wattstunden’ und der Einleitungstext zum Tutorial gehen auf meine Kappe, so dass ich zwecks der Übersichtlichkeit die falschen Angaben komplett entfernt habe.

  • http://www.iphoneblog.de alex olma

    Die ‘Wattstunden’ und der Einleitungstext zum Tutorial gehen auf meine Kappe, so dass ich zwecks der Übersichtlichkeit die falschen Angaben komplett entfernt habe.

  • blubalu

    Da ich auch ne Slug habe, kann ich das später mal 1:1 übernehmen und ausprobieren :D

  • blubalu

    Da ich auch ne Slug habe, kann ich das später mal 1:1 übernehmen und ausprobieren :D

  • fugazzy

    Ich habe den Bericht zum Anlass genommen dies auch mit einer FritzBox zu machen und nach etwas Frickelei hat es auch geklappt:
    Dazu braucht man allerdings eine angepasste Firmware: Freetz 1.1
    mit der sich der PPTP-VPN einbauen lässt.
    Dadurch kann ich jetzt endlich eine gesicherte VPN-Verbindung mit dem iPhone aufbauen, meinen VDR (Video Disk Rekorder, EasyVDR) per WOL einschalten und dann per iVDR oder ZapperPro den VDR von überall zum Beispiel für eine Aufnahme programmieren :-)

    • Orsino

      Habe auch freetz gebaut aber bekomme immer einen Verbindungsfehler (im Log steht MMPE required blabla).
      Hast Du in der options.pptp irgendwelche speziellen Einstellungen gemacht?

      • fugazzy

        Hallo Orsino,
        probier es mal mit folgender Zeile in der options.pptpd
        mppe required,no40,no56,stateless

      • Orsino

        Merci fugazzy,

        das funktioniert mit dieser Zeile.
        Merci vielmal.

        Wie kommt man denn auf die Parameter? Guru, Kristallkugel, durch probieren? :-)

      • fugazzy

        Google ist dein Freund :-)

  • fugazzy

    Ich habe den Bericht zum Anlass genommen dies auch mit einer FritzBox zu machen und nach etwas Frickelei hat es auch geklappt:
    Dazu braucht man allerdings eine angepasste Firmware: Freetz 1.1
    mit der sich der PPTP-VPN einbauen lässt.
    Dadurch kann ich jetzt endlich eine gesicherte VPN-Verbindung mit dem iPhone aufbauen, meinen VDR (Video Disk Rekorder, EasyVDR) per WOL einschalten und dann per iVDR oder ZapperPro den VDR von überall zum Beispiel für eine Aufnahme programmieren :-)

    • Orsino

      Habe auch freetz gebaut aber bekomme immer einen Verbindungsfehler (im Log steht MMPE required blabla).
      Hast Du in der options.pptp irgendwelche speziellen Einstellungen gemacht?

      • fugazzy

        Hallo Orsino,
        probier es mal mit folgender Zeile in der options.pptpd
        mppe required,no40,no56,stateless

      • Orsino

        Merci fugazzy,

        das funktioniert mit dieser Zeile.
        Merci vielmal.

        Wie kommt man denn auf die Parameter? Guru, Kristallkugel, durch probieren? :-)

      • fugazzy

        Google ist dein Freund :-)

  • wlanboy

    Christoph, also wirklich…
    “geforwarded”, warum so kompliziert? “Weitergeleitet” ist kein schlimmes Wort.

  • wlanboy

    Christoph, also wirklich…
    “geforwarded”, warum so kompliziert? “Weitergeleitet” ist kein schlimmes Wort.

  • http://www.iteconomy.ch/ Chris

    Sehr interessanter Artikel, leider krieg ichs nicht hin…

    Im Syslog steht bei jedem Verbindungsaufbau nur “CTRL: PTY read or GRE write failed”. Google hat dazu keine konkreten Antworten…

    Kernel 2.6.18 debian. Muss ich noch was anderes installieren als “aptitude install pptpd”?

    Grüsse!
    Chris

  • http://www.iteconomy.ch Chris

    Sehr interessanter Artikel, leider krieg ichs nicht hin…

    Im Syslog steht bei jedem Verbindungsaufbau nur “CTRL: PTY read or GRE write failed”. Google hat dazu keine konkreten Antworten…

    Kernel 2.6.18 debian. Muss ich noch was anderes installieren als “aptitude install pptpd”?

    Grüsse!
    Chris

  • aphex3k

    Sehr feines Tutorial! Einmal geflattred ;)

  • Beat Zahnd

    Oder die Variante mit L2TP over IPsec für jene die es gerne auf die harte Tour haben: http://wiki.debian.org/HowTo/iPhoneVPNServer

Werbung

Wer eine beliebige iPhone-App im iTunes App Store über diesen Link kauft, seinen Mac mit Programmen aus dem Mac App Store bestückt oder ein Produkt seiner Wahl bei Amazon bestellt, unterstützt das iPhoneBlog mit einem kleinen Prozentsatz des (unveränderten) Kaufpreises.

Mok adn lang hell tr

Werbeplatz gefällig? -> KLICK.

Flattr verteilt kleine Mikrozahlungen, mit denen Ihr persönlich diesem Blog kleine Aufmerksamkeiten zukommen lasst. Über diesen Button; jeden Monat neu. Vielen Dank dafür!