Raspi Debian: outbound vpn - inbound normales internet

Einrichten des lokalen Netzes, Verbindung zu anderen Computern und Diensten.
Antworten
moejoe
Beiträge: 13
Registriert: 29.10.2018 18:05:53

Raspi Debian: outbound vpn - inbound normales internet

Beitrag von moejoe » 02.11.2018 18:45:59

Equipment

Server:Raspiberry Vers.2 mit Debian 9.3
Router:Telekom Router W 724 V
Receiver: Vu+ Uno4k

Einstellungen:

T-Com Router:
*Portforward für SSH zum Raspberry PI
*Portforward zum serverdienst auf rasberrypi
*Noip Dyndns aktiviert.
RASPIBERRY:
*OpenVPN 2.4.0 arm keine iptables settings
*IP4-Forward im Kernel aktiviert
* Dyndns per Python script (duckdns)



Topologie:

ATM
|
|DSL
|
|
T-Com Router---- Lan---(eth0)----Raspberry
|
|
Lan
|
Reciever

Hallo miteinander,

Ich hab eine einfache Netzerkkonstellation zwischen Meinem Telekom Router Raspberry PI und meinem Reciever mit 2 Portforwardregeln am Router.

Ich würde gerne auf dem RAS die Vpn Verbindung so setzten, dass ich die eingehenden Verbindungen ( habe einen kl. serverdienst laufen ) über das normale Netz und die ausgehenden Verbindungen per VPN gehen.


meine /etc/network/interfaces:

Code: Alles auswählen

# interfaces(5) file used by ifup(8) and ifdown(8)

# Please note that this file is written to be used with dhcpcd
# For static IP, consult /etc/dhcpcd.conf and 'man dhcpcd.conf'

# Include files from /etc/network/interfaces.d:
source-directory /etc/network/interfaces.d

auto lo
 iface lo inet loopback
 auto eth0
allow-hotplug eth0

## iface eth0 inet dhcp
iface eth0 inet static
      address 192.168.2.102
      netmask 255.255.255.0
      gateway 192.168.2.1
      dns-nameserver 8.8.8.8 213.73.91.35 208.67.222.222

#usb
#allow-hotplug usb0
#iface usb0 inet dhcp
#gateway 192.168.43.1

# WLAN
#allow-hotplug wlan0
##iface wlan0 inet manual
#iface wlan0 inet static
#address 192.168.43.33
#netmask 255.255.255.0
#gateway 192.168.43.1
#dns-nameserver 192.168.43.1
##up route add default gw 192.168.43.1
##metric 100
#wpa-essid "xxxxx"
#wpa-psk "xxxxxxx"


meine ifconfig:

mit openpvn:

Code: Alles auswählen

eth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 192.168.2.102  netmask 255.255.255.0  broadcast 192.168.2.255
        inet6 fe80::ba27:ebff:fe5e:914a  prefixlen 64  scopeid 0x20<link>
        inet6 2003:cf:c3c0:f4f1:ba27:ebff:fe5e:914a  prefixlen 64  scopeid 0x0<global>
        inet6 2003:cf:c3c0:f447:ba27:ebff:fe5e:914a  prefixlen 64  scopeid 0x0<global>
        ether b8:27:eb:5e:91:4a  txqueuelen 1000  (Ethernet)
        RX packets 2355  bytes 208693 (203.8 KiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 2114  bytes 457730 (447.0 KiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

lo: flags=73<UP,LOOPBACK,RUNNING>  mtu 65536
        inet 127.0.0.1  netmask 255.0.0.0
        inet6 ::1  prefixlen 128  scopeid 0x10<host>
        loop  txqueuelen 1  (Local Loopback)
        RX packets 2  bytes 78 (78.0 B)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 2  bytes 78 (78.0 B)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

tun0: flags=4305<UP,POINTOPOINT,RUNNING,NOARP,MULTICAST>  mtu 1500
        inet 10.1.119.242  netmask 255.255.255.0  destination 10.1.119.242
        inet6 fe80::389e:e0e5:c16b:9758  prefixlen 64  scopeid 0x20<link>
        inet6 fdbf:1d37:bbe0:0:23:7:0:f2  prefixlen 112  scopeid 0x0<global>
        unspec 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00  txqueuelen 100  (UNSPEC)
        RX packets 1  bytes 76 (76.0 B)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 83  bytes 4520 (4.4 KiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0
ohne vpn:

Code: Alles auswählen

eth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 192.168.2.102  netmask 255.255.255.0  broadcast 192.168.2.255
        inet6 fe80::ba27:ebff:fe5e:914a  prefixlen 64  scopeid 0x20<link>
        inet6 2003:cf:c3c0:f4f1:ba27:ebff:fe5e:914a  prefixlen 64  scopeid 0x0<global>
        inet6 2003:cf:c3c0:f447:ba27:ebff:fe5e:914a  prefixlen 64  scopeid 0x0<global>
        ether b8:27:eb:5e:91:4a  txqueuelen 1000  (Ethernet)
        RX packets 3056  bytes 285214 (278.5 KiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 2602  bytes 562154 (548.9 KiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

lo: flags=73<UP,LOOPBACK,RUNNING>  mtu 65536
        inet 127.0.0.1  netmask 255.0.0.0
        inet6 ::1  prefixlen 128  scopeid 0x10<host>
        loop  txqueuelen 1  (Local Loopback)
        RX packets 2  bytes 78 (78.0 B)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 2  bytes 78 (78.0 B)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

Meine Routen:

ip route command ohne vpn:

Code: Alles auswählen

default via 192.168.2.1 dev eth0 onlink
192.168.2.0/24 dev eth0 proto kernel scope link src 192.168.2.102
ip route command mit vpn verbindung :

Code: Alles auswählen

0.0.0.0/1 via 10.1.118.1 dev tun0
default via 192.168.2.1 dev eth0 onlink
10.1.118.0/24 dev tun0 proto kernel scope link src 10.1.118.248
91.205.187.186 via 192.168.2.1 dev eth0
128.0.0.0/1 via 10.1.118.1 dev tun0
192.168.2.0/24 dev eth0 proto kernel scope link src 192.168.2.102

/etc/iproute2/rt_tables:

Code: Alles auswählen

#
# reserved values
#
255     local
254     main
253     default
0       unspec
#
# local
#
#1      inr.ruhep
#201 novpn
btw kann ich eigentlich tabes mit dem # Zeichen deaktivieren ?

Meine openvpnconfig:

Code: Alles auswählen

proto udp
tun-mtu 1500
fragment 1300
mssfix
cipher AES-256-CBC
ignore-unknown-option ncp-disable # ovpn 2.3 to 2.4 transition
ncp-disable

remote oslo.vpnprovider.com 1123 ### unechte portnummern
remote oslo.vpnprovider.com 33422
remote oslo.vpnprovider.com 113233
remote oslo.vpnprovider.com 12212
remote oslo.vpnprovider.com 1123
remote oslo.vpnprovider.com 1123
remote oslo.vpnprovider.com 112
remote oslo.vpnprovider.com 180

auth SHA512
auth-user-pass  /etc/openvpn/client/password.txt
client
comp-lzo
dev tun
#dev tun0
#float
hand-window 120
inactive 604800
mute-replay-warnings
nobind
ns-cert-type server
persist-key
persist-remote-ip
persist-tun
ping 5
ping-restart 120
redirect-gateway def1
remote-random
reneg-sec 3600
resolv-retry 60
route-delay 2
route-method exe
script-security 2
tls-cipher TLS-DHE-RSA-WITH-AES-256-GCM-SHA384:TLS-DHE-RSA-WITH-AES-256-CBC-SHA256:TLS-DHE-RSA-WITH-CAMELLIA-256-CBC-SHA:TLS-DHE-RSA-WITH-AES-256-CBC-SHA:TLS-RSA-WITH-CAMELLIA-256-CBC-SHA:TLS-RSA-WITH-AES-256-CBC-SHA
tls-timeout 5
verb 4
tun-ipv6

down /etc/openvpn/update-resolv-conf
up /etc/openvpn/update-resolv-conf
#script-security 2
#up /etc/openvpn/client/up.sh

key-direction 1
<ca>
-----BEGIN CERTIFICATE-----
Zertifikatsschlüssel
-----END CERTIFICATE-----

</ca>

<cert>
-----BEGIN CERTIFICATE-----
Zertifikatsschlüssel
-----END CERTIFICATE-----

</cert>

<key>
-----BEGIN PRIVATE KEY-----
Zertifikatsschlüssel
-----END PRIVATE KEY-----

</key>

<tls-auth>
#
# 2048 bit OpenVPN static key
#
-----BEGIN OpenVPN Static key V1-----
Zertifikatsschlüssel
-----END OpenVPN Static key V1-----

</tls-auth> 




Jetzt habe ich ein bichen im inet gestöbert und evtl. geht es mit folgender Konstellation:


Da er ja das gateway findet mit der option redirect-gateway def1, sobald die Verbindung steht. Würde denke ich folgendes reichen:

edit: dynamic ip geändert

Code: Alles auswählen

ip route add table 42 default via 192.168.2.1
ip rule add to mydynamiicip.net table 42   
Das ging leider nicht, deswegen habe ich vorerst die wan ip des routers nehmen müssen.

Code: Alles auswählen

ip rule add to xxx.xxx.xxx.xx table 42
Was ich denke was die einzelnen commandos bewirken

ip route add table 42 default via 192.168.2.1 ( alle verbindungen, die keiner weiteren regel zutreffen und die über die routing table 42 gehen, gehen über das default gateway ( 192.168.2.1)

ip rule add to xx.xxx.xxx table 42 ( alle incoming verbindungen, über die router internetadresse ( xx.xxx.xxx ist die wan ip) , gehen über die routing table 42)





2 Fragen:

Würde das so passen ? Oder übersehe ich da was ? Ich will es noch nicht ausprobieren, da ich mir meine Routen nicht zerschiesen will und ich mich nicht wirklich gut auskenne.

Falls das soweit passt, wie kann ich die ip rule mit einer dynamischen ip versehen?

Update: Habe es jetzt doch mit der Konstellation versucht, funktioniert aber nicht, eingehende Verbindungen werden geblockt.

beste grüsse
Zuletzt geändert von moejoe am 03.11.2018 18:31:57, insgesamt 2-mal geändert.

moejoe
Beiträge: 13
Registriert: 29.10.2018 18:05:53

Re: Raspi Debian: outbound vpn - inbound normales internet

Beitrag von moejoe » 03.11.2018 15:31:05

Update: Sachen im Post geändert und hinzugefügt.
*Portforwarding Rules ( eine Regel hat gefehlt)
*Dynamicip geändert
*interfaces hinzugefügt
*reihenfolge geändert ( hoffe etwas logischer)

Hab ich noch infos vergessen ?

grüsse

moejoe
Beiträge: 13
Registriert: 29.10.2018 18:05:53

Re: Raspi Debian: outbound vpn - inbound normales internet

Beitrag von moejoe » 14.11.2018 21:34:20

weiss das keiner ?

grüsse

Antworten