How to: 'Relayed' Status per VPS + OpenVPN lösen

***Update 23.12.2021***
// Anmerkungen VPS Netzwerkadapter + IP Router

***Update 13.11.2021***
// Erweiterungen am Ende der Anleitung
// Feste OpenVPN Client IP
// Fernzugriff auf Router + Miner

Eine Schritt-für-Schritt Anleitung, um Helium Miner über eine LTE Mobilfunkverbindung oder einen anderen Internetanschluss ohne öffentliche IPv4 Adresse zu betreiben

 

⛔ Das Problem

Man könnte dem How-to verschiedene Titel wie "Port Forwarding per OpenVPN + VPS" oder "Helium Mining über Mobilfunk" geben, denn alle haben einen Feind: Status "Relayed" 😅

Möchte man seinen Hotspot unabhängig vom Internetanschluss Zuhause per LTE Mobilfunkrouter platzieren oder hat man daheim einen Internetanschluss ohne öffentliche IPv4 Adresse, kommt man nicht um die Frage herrum, wie dies in der Praxis gelöst werden soll. Grundsätzlich funktionieren die Hotspots - allerdings wird man schnell feststellen, dass das Helium-Netzwerk diese Hotspots als "Relayed" kennzeichnet. Dadurch reduzieren sich die Einnahmen drastisch!

Hintergrund ist, dass es sich hier um ein Peer-to-Peer (P2P) Netzwerk handelt.
Für eine Kommunikation muss jeder Hotspot über den TCP Port 44158 erreichbar sein.

 

Hat man nun einen Internetanschluss mit einer öffentlichen IPv4 Adresse, kann man in seinem Router einfach ein 'Port Forwarding' konfigurieren und dem Hotspot eine feste IP Adresse in seinem Netzwerk vergeben. Dies ist mit wenigen Klicks erledigt und diese Seite kann geschlossen werden 😉

Bei meinem Glasfaseranschluss der Deutschen Glasfaser (DG) hat dies direkt funktioniert,
obwohl man hier offizel nur eine feste IPv6 Adresse erhällt (DualStack mit CGNATv4).

Anschluss hat eine öffentliche / feste IPv4 Adresse, die Anfrage auf den Port 44158 wird vom heimlichen Router an den Miner per Port Forwarding weitergeleitet: Funktion OK

Anluss mit einen CGNAT (Carrier-grade NAT) - hier wird die IP umgeknackt und der Anschluss erhällt vom Provider eine andere IP Adresse, die Portweiterleitung kann nicht mehr zugeordnet werden. Funktion NOK

✅ Die Lösung

Einen VPS (Virtual Private Server) als VPN Server aufsetzen und eine VPN Verbindung zum Router herstellen! Die Kommunikation des Hotspots wird durch den VPN Tunnel zum VPS geleitet - der VPS hat eine öffentliche IPv4 Adresse im Rechenzentrum.
Mit dieser Lösung ist es auch möglich, mehere Hotspots mit einem VPS zu betreiben.

 

Für alle die bisher nichts damit zu tun hatten - es klingt komplizierter als es ist 😉
Ich versuche eine möglichst einfache Schritt-für-Schritt Anleitung daraus zu machen, die jeder nachvollziehen kann.

Die Anleitung selbst besteht aus 3 Blöcken: 

VPS einrichten, OpenVPN Server konfigurieren, Router konfigurieren + OpenVPN Client aktivieren 

Lasst euch nicht von der Länge abschrecken, ich habe versucht es möglichst detailiert zu beschreiben.

 

 

📋 Was wird benötigt? 

• Einen virtuellen Server (VPS) bei einem Hosting Anbieter (~ 5,00€ im Monat)
• WinSCP - https://winscp.net/eng/download.php - oder ein FTP Client (z.B. Filetilla)
  
• Optional: SSH Client - PuTTy - https://www.putty.org/
• Router, der OpenVPN unterstützt, z.B. RUT240, CUDY LT400, GI Mango etc...
  Falls nicht vorhanden, siehe How-To mit der Mango Box
• ..und einen Kaffee nicht vergessen ☕
  
  
  

🌐1. Los geht`s - Cloud VPS Server aufsetzen

Es gibt eine Vielzahl von Hosting Anbietern. Ich nutze für die Anleitung Linode, da es hier einen Startbetrag von 100USD (auf 60 Tage begrenzt) gibt, und der VPS nur 5USD im Monat kostet. Um einige Clients zu verbinden, sollte die Leistung locker ausreichen. Es gibt auch eine Vielzahl deutscher Anbieter, die Teilweise aber teuer sind. Einige User haben berichtet, das es bei einigen Anbietern (Firewallbedingt) nicht klappen soll. Daher bleibe ich erst mal mit meinen Servern bei Linode.

Meldet euch mit diesem Referral Link bei Linode an und erhaltet die 100USD Startguthaben.

 "Linode" über 'Create' erstellen

 

 

Wählt nun als Distribution "Debian 11", Region Frankfurt und unter 'Sharded CPU' den Nanode 1GB aus.

Weiter unten könnt ihr eurem Server einen Namen und Passwort vergeben.
Das Passwort wir später auch zur Anmeldung per SSH / PuTTY benötigt ('root password')

Nun wird noch ein SSH Key benötigt. Ihr habt keinen? Kein Problem, wir generieren uns einfachen einen.. 👌 Falls ihr an einem Mac arbeitet, folgt dazu bitte dieser Anleitung.

In aktuellen Windows 10 Versionen kann der SSH Key mit Boardmitteln generiert werden.
Öffnet dazu eine Boxbox (Ausführen -> cmd) und gebt folgendes ein:

 

    ssh-keygen    

Tippt einen Filenamen ein und drückt 3x Enter.
Unter dem angegebenen Pfad findet ihr 2 neue Files - die PUB Datei mit eurem Datei Namen öffnet ihr mit Notepad und kopiert die Zeile.
Diese fügt ihr dann bei Linode als SSH Key ein, vergebt einen Namen und klickt auf 'Add Key'
und setzt den Haken bei eurem Usernamen.

Nun klickt auf 'Create Linode' und euer VPS wird eingerichtet.
Die Einrichtung kann ein paar Minuten dauern, Pinkelpause 💩

 

Wenn die Kiste fertig ist, solle es wie folgt aussehen:

Die wichtigste Angabe ist die IP Adresse, im Beispiel die 172.105.249.230
Hierbei handelt es sich um eine öffentliche, echte IPv4 Adresse, die von überall aus dem Netz erreicht werden kann. Unser Ziel ist es, das der Helium Hotspot diese IP verwendet, und nicht die des LTE Routers / Internet Routers.

💥 Das war`s für den ersten Teil - Ihr habt euren Cloud VPS erfolgreich eingerichtet!

 

 

🔗2. Ärmel hochkrempeln - OpenVPN Server installieren und konfigurieren 

Weiter gehts, wir verbinden uns per Webconsole/ PuTTY auf die Oberfläche des Debian VPS.
Keine Ahnung was das ist? Kein Problem 😅

Ihr habt jetzt 2 Möglichkeiten:
Der einfache Weg ist es mit der Linode SSH Webconsole zu arbeiten.
Dazu braucht ihr PuTTy nicht zu installieren. Der zuvor generierte SSH Schlüssel wurde für die Websonsole benötigt.

Habt ihr PuTTy installiert oder möchtet lieber mit diesem Tool arbeiten, ist das auch kein Problem. Ich beschreibe hier das Arbeiten mit der Webconsole.

Klickt dazu auf 'Lunch LISH Console'

 

 

Jetzt müsst ihr euch einloggen - Username ist immer root und das Passwort hattet ihr zuvor in der Linode Anmeldung vergeben. Nicht wundern, bei der Eingabe des PW werden keine Zeichen angezeigt.

Seit ihr eingeloggt, sollte es wie folgt ausschauen:

 

Herzlich Willkommen! 😍

Im nächsten Schritt Updaten wir unser System und installieren die 'iptables'

Führt folgende befehle aus:

    apt update   

    apt upgrade   

Falls hier eine Abfrage erscheint, mit y bestätigen. In meinem Bespiel war das System aktuell

 

    apt install iptables   

Die Abfrage bestätigt ihr auch mit y (yes)

 

 

Jetzt geht es an die OpenVPN Installation:

 

     wget https://raw.githubusercontent.com/Angristan/openvpn-install/master/openvpn-install.sh -O debian10-vpn.sh    

    chmod +x debian10-vpn.sh    

Mit dem nächsten Befehl wird OpenVPN installiert:

 

    sudo ./debian10-vpn.sh   

Gleicht die IP Adresse mit eurer Linode IP ab - diese sollte gleich sein, drückt Enter zum fortfahren.

Bestätigt die IPv6 Abfrage ebenfalls mit y und Enter.

Die näche Abfrage: hier könnt ich den Port für die VPN Verbindung konfigurieren. Ich nehme die Auswahl 1 und konfiguriere den Standardport 1194
Protokoll: hier wählt ihr UDP (betrifft nicht den Port des Miners!)

 

 

Als DNS Server wählen wir  Cloudflare, Auswahl Nr. 3

 

Den nächsten Punkt zur Kompremierung verneinen wir

 

 

Wir belassen die Settings im default, wer möchte kann sich damit auf der OpenVPN Seite auseinandersetzen, dort gibt es prima Dokus. Uns reicht erst mal der Standard, daher 'n'

 

Und Feuer 💥

 

Geschafft, nun müsst ihr einen Clientnamen für euren Router vergeben. Ich nenne meinen 'Helium-How-To-VPN'

 

Ich füge einen Client ohne passwortgeschütztes Configfile hinzu

 

Geschaft! Es wurde ein Configfile erstellt, hier liegt es unter 

/root/Helium-How-To-VPN.ovpn

Dieses File wird im nächsten Schritt für die Routerkonfiguration benötigt und muss vom VPS gedownloaded werden.

Hierzu nutzen wir das Tool 'WinSCP' - ein FTP Programm wie Filezilla tut es aber auch.
Die Hostschlüssel Abfrage bei der ersten Verbindung müsst ihr akzeptieren.

 

Holt euch das Configfile aus dem Verzeichnis 'root' ab und legt es an einen beliebigen Platz auf eurem Rechner

 

 

Das wäre geschafft, jetzt fügen wir das Routing und die Portweiterleitung ein.

 

Führt nachfolgende Befehle nacheinander aus, ihr erhaltet nach dem Ausführen keine Rückmeldung.

 

Nachtrag 23.12.2021
WICHTIG
Wird nicht Linode als VPS Hoster genutzt, kann es sein, das der virtuelle Netzwerkadapter (hier: eth0) anders benannt ist. Der Name muss dann entsprechend in den nachfolgenden Zeilen angepasst werden. Herausfinden kann man den Namen aller aktiven Netzwerkadapter mit dem Befehl  cat /proc/net/dev 

 

 

    iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --set-mss 1240   

    iptables -A FORWARD -i tun0 -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE   

    iptables -A FORWARD -i eth0 -o tun0 -p tcp --syn --dport 44158 -m conntrack --ctstate NEW -j ACCEPT   

    iptables -A FORWARD -i eth0 -o tun0 -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT   

    iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 44158 -j DNAT --to-destination 10.8.0.2   
 

 

 Jetzt noch das IPv4 Forwarding für den VPS aktivieren:

    echo net.ipv4.ip_forward=1 >> /etc/sysctl.conf    

    sysctl -p  

Die Antwort sollte dann wie folgt aussehen

 

 

 

Um die Konfiguration dauerhaft zu speichern, wird ein extra Programm benötigt. Ansonsten kann die Einstellung nach einem Neustart verloren gehen - und das wäre blöd.

Alle 3 Abfragen mit y yes bestätigen.

 

    sudo apt-get install iptables-persistent  

Nun ist das Routing gespeichert. Ihr könnt bei späteren Änderungen folgende Befehle zum Speichern / Laden der Tables nutzen. Beim Systemneustart werden die Einstellungen automatisch geladen.

 

    sudo netfilter-persistent save   

    sudo netfilter-persistent reload   

 

Hier eine Übersicht der Befehle, die für den OpenVPN Server hilfreich sein können:

 

sudo systemctl stop openvpn

sudo systemctl start openvpn

sudo systemctl restart openvpn

sudo systemctl status openvpn@server  

 

Geschaft! Jetzt starten wir den VPS einmal mit dem Befehl 'sudo reboot' (oder über die Linode Verwaltung) neu und prüfen ob alles geklappt hat.

Status OpenVPN: OK (beenden mit STRG + C)

 

 Jetzt noch die IPTABLES kontrollieren

 

    sudo iptables -S    

Ebenso das Port Forwarding zum VPN Client

 

    iptables -t nat -L   

 

Sauber! Alles ist da - der schwierigste Teil ist gemeistert.
Nun kommt nur noch Spielerei 👐

📟 3. Endspurt - Router konfigurieren

Ihr habt es fast geschafft - nun muss lediglich noch der Router mit dem VPN Client - dem Gegenstück - konfiguriert werden. Ich starte anhand des LTE Routers Teltonika RUT240, weitere Modelle folgen hier ebenfalls. Grundsätzlich ist das die Konfiguration bei allen Routern gleich, die Punkte finden sich nur in unterschiedlichen Menüs. Das solltet ihr hinbekommen.

Verbindet euch mit dem WiFi des RUT240 (oder per LAN Kabel) und öffnet die Konfigurationsseite 192.168.1.1 - Zugangsdaten findet ihr unter dem Gerät.

Unter System > Firmware kommt ihr als erstes ein Update durchführen. Sollte das Gerät noch keine Internetverbindung haben, ist auch ein Update per File möglich.

Weiter geht es mit unserem OpenVPN Client.
Diesen findet ihr unter Services > VPN > OpenVPN

Ihr wählr 'Enable' und 'Config from File' aus und ladet eure zuvor runtergeladene Configfile hoch - das war`s schon mit dem VPN Part 👌

Unter Status > Network > OpenVPN sollte nach kurzer Zeit 'Connected' stehen - Internetverbindung natürlich vorrausgesetzt.
Öffnet ihr nun https://whatismyipaddress.com/ solltet ihr die IP des Linode VPS haben 😎

2 Dinge fehlen noch, ihr müsst eurem Hotspot eine fest zugewiesene IP verpassen.

Network > LAN > Static Leases

Ist euer Hotspot bereits per LAN / WiFi verbunden, könnt ihr das Gerät mit MAC Adresse und aktueller IP auswählen. Um auch das richtige Gerät auszuwählen, solltet ihr die MAC Adresse auf dem Gerät prüfen (Aufkleber meist auf der Unterseite oder Verpackung)

Vergebt dazu noch einen Hostname und die Gewünschte IP Adresse.

(In meinem Beispiel hatte der SenseCAP bereits die IP 182.168.1.8)

Klickt auf 'ADD' und im Anschluss weiter unten auf 'Save'

 

 

 

IP erledigt, nun kommt noch das Port Forwarding, damit unsere Packete vom VPN auch an den Port 44158 unserers Hotspots ankommen. 

Network > Firewall > Port Forwarding

 

Hier tragt ihr die abgebildeten Daten ein und setzt natürlich eure IP des Hotspots ein. Klickt auf 'Add'

Klickt hier auf Edit und stellt die Konfiguration wie abgebildet ein. Achtet, das die Einstellung auf 'Enabled' gesetzt wird. Speichert die einstellung auf der Seite und nach dem Speichern nochmal auf der vorherigen Seite. Fertig

Startet nun einmal den Router und danach euren Hotspot neu.
Bei Änderungen an den Netzwerkeinstellungen sollte unbedindt auch der Hotspot neu gestartet werden, da die Änderungen ansonsten nicht geladen werden.

Nun könnt ihr mit einem Portchecker prüfen, ob die Kommunikation steht und der Port 44158 erreichbar ist. Besucht dazu https://portchecker.co/ und gebt eure Linode IP + Port 44158 ein.
Nach dem Hardware Neustart kann es 1-2 Minuten dauern, bis der Tunnel und die Verbindung da ist.

 

 

 

Ihr könnt die Ein- und Ausgehende Kommunikation auch auf dem VPS prüfen, dazu installieren wir das Tool TCPDUMP

 

    apt-get install tcpdump   

 

und starten das Programm mit 

 

tcpdump -i tun0 -n

Wenn die Kommunikation über den Tunnel läuft, sollte hier im Sekundentaket Pakete zu sehen sein. Der 'Relayed' Status sollte sich dann nach kurzer Zeit in Luft auflösen. Puh!

Herzlichen Glückwunsch - Du das es geschafft - So schwer war`s nicht, oder 😋

 

Wenn euch meine Anleitung weiter geholfen hat und ihr das Böse 'Relayed' besiegt habt, würde ich mich über eine Kaffeespende freuen ☕💱

 

🔄HNT Wallet: 135w9bKftKVj4xc4xBKa2WJjm7mNuYXGNho9YLKG9JBgz1Si9E7

 

Update 13.11.2021

 

Die Einrichtung anderer Routertypen ist im Grunde gleich zu der Einrichtung des RUT240. Die Menüpunkte sind vielleicht anders benannt und angeordnet - das 'tun' ist aber überall gleich: 

1. Dem Miner eine feste IP zuweisen (DHCP)

2. Für den Miner mit der festen IP ein Port Forwarding erstellen (Firewall / Freigabe)

3. OpenVPN per Zertifikatdatei einrichten (Router muss OpenVPN unterstützen)

 

Feuer frei! 💥

 

Daher werde ich keine weiteren (ausführlichen) Anleitungen zu anderen Routern erstellen, die Punkte lassen sich relativ zügig ergooglen. Bei Fragen dazu könnt ihr mich aber gerne kontaktieren 👋 

💲 4. Erweiterungen

💢OpenVPN Client immer die gleiche IP am VPS / VPN Server zuweisen
Damit das Routing nicht durcheinander kommt, ist es sinnvoll, dem VPN Client (im Fall meiner Anleitung dem RUT240) eine Feste IP zuzuweisen.

Dazu geht Ihr wie folgt vor:

Verbindet euch zu eurem VPS per WinSCP/FTP Tool und legt unter /etc/OpenVPN einen neuen Ordner mit dem Namen 'CCD' an.

 

Im Ordner CCD wiederrum legt ihr ein neuen File OHNE Dateiendung an, Name des File = Name des Clientzertifikats, das ihr oben unter Punkt 2 erstellt habt. In meinem Fall war das 'Helium-How-To-VPN'.
In den folgenden Screens ist der Name unterschiedlich, da es sich um einen anderen Server handelt.

Nun öffnet ihr das File und folgt folgenden Inhalt ein und speichert das ganze:

# Feste IP für den Client (Client-IP Subnet)
ifconfig-push 10.8.0.2 255.255.255.0

 

  

Nun öffnet ihr euer server.conf File unter /etc/OpenVPN und fügt folgendes am Ende ein:

 

 # Verzeichnis für die Client-Configs
client-config-dir ccd

Das war`s - nach einem Neustart des VPN Servers oder des VPS ist die Einstellung aktiv und euer Clientrouter bekommt immer die IP 10.8.0.2 zugewiesen. Weitere Router können so per neuem Zertifikat und CCD Datei klar definiert werden. Weitere Infos dazu im nächsten Abschnitt 👇

💢 Fernzugriff auf den Router und Miner

Ein Wichtiger Punkt, aus der Ferne sollte man Zugriff auf den Router und den Miner haben. Bei Routern von Teltonika (z.B. RUT240) ist dies gut mit dem RMS Service gelöst, ich wollte aber noch einen 'echten' Zugriff auf meine Miner.

Die folgenden Schritte bauen auf die vorherigen auf und ergänzen diese.

Als erstes erstellen wir für unseren neuen Client, von dem wir uns aus verbinden möchten, ein neues OpenVPN Zertifikat. Der Ablauf ist gleich dem am Anfang beschriebenen Ablauf:

 

 

    sudo ./debian10-vpn.sh   

Hier wählt ihr Punkt 1 für einen neuen User (Zertifikat)
und durchlauft die erstellung wie am Anfang des  How Tos.

Das erstelle  Zertifikat liegt mit dem zuvor von euch vergebenen Namen unter /root/

Im meinen Fall 'richie241.ovpn'

Wir wechsen wieder zu /etc/OpenVPN/ccd/ und erstellen hier ein neues File OHNE Dateiendung mit dem Namen des neuen Zertifikates.

Inhalt des Files: 

# Feste IP für den Client (Client-IP Subnet)
ifconfig-push 10.8.0.4 255.255.255.0

Somit haben wir festgelegt, das der neue Client immer die IP 10.8.0.4 erhällt.

In die CCD Datei eures Rourters, die wir im Schritt OpenVPN Client immer die gleiche IP am VPS / VPN Server zuweisen erstellt haben, fügt ihr folgende Ergänzung ein

# Internes Routing zum Heimnetz über diesen Client
iroute 192.168.1.0 255.255.255.0

Hier müsst ihr ggf. das Netz eures Routers (des Miners) eintragen. In meinem Fall der RUT240 mit dem Netz wie beschrieben. Einmal Speichern.

Nun passier ihr noch die server.conf an und erlaubt dem Client, das Netz des RUTs zu benutzen.

# Route zum Heimnetz auf dem Host-System des OpenVPN-Servers anlegen
route 192.168.1.0 255.255.255.0

# Route zum Heimnetz allen Clients mitteilen
push "route 192.168.1.0 255.255.255.0"

# DNS-Server den Clients mitteilen (IP RUT240)
push "dhcp-option DNS 192.168.1.1"

Speichern und OpenVPN Dienst / VPS neu starten, damit die Änderungen aktiv sind.

 

 

Nachtrag 23.12.2021

Wichtig
Wird ein anderer Router (z.B. Mango) oder ein anderer IP Range genutzt, müssen die IPs aus dem obrigen Beispiel entsprechend angepasst weden.
Beispiel Default IP Mango: 192.168.8.1
Aus dem Eintrag 192.168.1.1 wird 192.168.8.1, aus 192.168.1.0 wird 192.168.8.0

 

 
Jetzt könnt ihr euch den OpenVPN Client auf euren Windows PC / Mac / Handy installieren und die neue Zertifikatdatei zur Konfiguration reinladen.

In meinem Bespiel nutze ich den Windows Client.

Sobald ihr euch verbunden habt, könnt ihr im Browser die IP der Miners oder des Routers eingeben und ihr Zugriff auf die Geräte.

That`s it 👍