PiVPN

[derocco]

Jetzt habe ich gestern mal schnell zum testen das ganze instelliert an einem Pi der via wlan verbunden war. Nur schnell mit easy passwörten alles durgetestet als POC und OpenVPN hat tadellos funktioniert.
Gestestet mit Handy Hotspot(andere ip) dann via VPN mit heimnetz verbunden und mit Geräten da intern kommunizieren können und IP wir vom Heimnetz angezeigt.

-> redirect-gateway def1

Dann habe ich jetzt nochmals alles sauber gemacht. Starke generierte Passwürter verwendet, verkabelt alles auf ETH0 etc.

Nun das ganze ist jetzt aufgesetzt ich kann auch auf den Pi verbinden mit OpenVPN aber wenn ich dann im Netz bin, kann ich nur den Pi selber pingen. An andere Geräte komme ich nicht ran. Ins Internet auch nicht etc.

Hintergrund ist, dass ich ganzen traffic über Heimnetz leiten möchte.

Woran kann das liegen?

Das einzige wasich anders gemacht habe ist diesemal vom Assistenten die Adresse setzten lassen und nicht wie beim poc das händisch im .ovpn file gesetzt.

die ovpn files auf dem PI nehme ich zur sicherheit danach runter oder nicht? Habe beides getestet, Problem bleibt bestehen.

 

[Raijin]

Ich verstehe gerade nur Bahnhof. Kannst du das auch sinnvoll und strukturiert formulieren?

Du fängst wild an mit irgendwelchen Dingen, die du probiert hast, irrelevanten Infos wie Passwörtern. Irgendwann mittendrin scheinst du zum Punkt zu kommen, wenn du beiläufig erwähnst, dass du über das Heimnetz surfen willst, berichtest dann aber davon, dass du nichts im Heimnetz pingen kannst, was wiederum nichts mit surfen tun hat.


Grundsätzlich ist es so, dass ein Gerät, dass als Router fungieren soll, IP-Forwarding unterstützen muss. Ist das nicht aktiviert, werden alle Pakete, die nicht an das Gerät selbst gerichtet sind, in die Tonne getreten. Ist es aktiviert, kommt die Firewall ins Spiel, die die Pakete durchlassen oder blocken kann. Werden die gerouteten Pakete durchgelassen, muss das Ziel dahinter seinerseits die Pakete annehmen. Das wiederum ist eine Frage dessen Firewall und der NAT-Konfiguration am VPN-Router (PI).

Findet im PI kein (S)NAT / masquerade statt, treffen die Pakete aus dem VPN beim Ziel im Heimnetzwerk mit einer "fremden" Absender-IP ein. Entweder muss die Firewall des Ziels diese Pakete akzeptieren und das Ziel muss eine Rückroute in das VPN kennen (lokal oder via Standardgateway) oder aber der PI macht besagtes NAT und das Ziel antwortet dem PI, der dann wiederum zurück ins VPN leitet.

Beim Surfen via VPN ist ebenfalls IP-Forwarding vonnöten. Erneut muss der PI entweder NAT machen, um die VPN-Clients zu maskieren oder aber der Internetrouter benötigt eine Route ins VPN-Subnetz.



An welcher Stelle nun der Fehler liegt, lässt sich anhand deiner Informationen nicht beurteilen.

 

[???]

Beim Surfen via VPN ist ebenfalls IP-Forwarding vonnöten. Erneut muss der PI entweder NAT machen, um die VPN-Clients zu maskieren oder aber der Internetrouter benötigt eine Route ins VPN-Subnetz.

Das klingt für mich auch stark nach fehlender Rückroute. Aber wie du schon schriebst, kann man hier nur wild spekulieren.

@derocco
Ohne deine Netzwerk- und OpenVPN-Konfiguration zu kennen, kann man hier nicht helfen.

Zum Thema Sicherheit: Wenn man es damit ernst meint, dann sollte die CA bzw. sollten deren private Schlüssel nicht auf einem PC liegen, der eine Netzwerkverbindung hat.

 

[derocco]

also ich habe pivpn -d für debug gemacht, seit da läuft es.
Den Port hatte ich schon forwarded.

Also mal das ganze Setup noch zu nachvollziehen. Sorry war vorher gleich am gehen.

GlasfaserModem -> Router -> Switch
|
Am Router hängt der Raspi. Darauf läuft openVPN.
Zertifikate erstellt. DNS etc alles konfiguriert.
Ebenso PortForward auf dem Router zum Raspi

Sobald ich den VPN aufgebaut hatte konnte ich nur noch interne IP's erreichen. Alles nach draussen ging nicht.
Ich benötige den VPN aber primär um Regional Blocks zu umgehen. Sprich ich will auch im Ausland meine Schweizer TV Sender etc empfangen können oder das CH Netflix benutzen etc.

Daher route ich einfach allen traffic auf dem Endgerät via dem VPN.
Beim Test heute morgen hat das nicht mehr geklappt.

Test Setup war folgendermassen:

• Client via Handy Hotspot mit dem Internet verbinden.
• Ohne VPN: Öffentliche IP checken
• Öffentliche IP entspricht dem erwarteten ISP -> Swisscom

• VPN aufbauen zum Raspi via Dyndns Adresse des Routers und dem VPN Port der zum Raspi weiterlietet.
• Öffentliche IP checken
• Öffentliche IP entspricht jetzt wie erwartet dem IPS vom Glasfaser Betreiber.
• Interne Geräte (Syno, Cams etc) lasse sich via privaten Netzen ansprechen.

Ergo läuft jetzt.


Falls jemand ein Manual braucht:

• Raspi Image aufspielen (lite habe ich genommen)
• Login direkt am Raspi. (Achtung Querz vs. Querty) pi:raspberry
• SSH enable (via raspi-config oder via file)
• mit Putty auf die Kiste (Vorteil man setzt so einfach starke Passwörter ohne sich um Keyboard kümmern zu müssen...
• Passwörter ändern (!)
• upgrade / update
• Statische IP Setzen (sudo nano /etc/dhcpcd.conf)
• Statische IP Zuweisung im Router auf den Raspi
• Portforwarding UDP im Router auf den Raspi für den VPN Dienst
• curl -L https://install.pivpn.io | bash
• Das führt euch eigentlich safe durch.
• pivpn -a und die Clients registrieren.
• *.ovpn via winscp auf die client ziehen.
• Openvpn client installieren und Datei laden.
• SSH Habe ich angelassen weil der Port ja nicht exposed ist. Sollte wohl kein Problem sein?

Regional Block habe ich jetzt noch nicht getestet, da ich in CH sitze und da alles eingerichtet habe.