OpenVPN Gateway

Discussion in 'Fragen & Antworten (Q&A)' started by Dexter, May 14, 2015.

  1. JackCarver

    JackCarver Junior Member

    Und überwache immer deine Log Dateien, solang das nicht läuft. Fehlermeldungen findest du bei nem Background Prozess nur dort.
     
  2. Ghost

    Ghost Junior Member

  3. Dexter

    Dexter Junior Member

    Hab mich ehrlich gesagt noch nicht weiter damit beschäftigt. Wird dann heute mal im laufe des Tages gemacht. Wohnung muss ja auch mal sauber gemacht werden ;)

    kurze Zwischeninfo. Muss erstmal das Projekt einige Tage liegen lassen. Gestern hat sich mein SD Kartenleser verabschiedet. Oder habt ihr noch ne Idee wie ich die Daten auf die SD Karte bekomme?

    So das kopieren hat nun geklappt. Aber neuer Kartenleser muss trotzdem her ;)

    So Leute. Ne kleine Info. Also hab es nun hinbekommen. Man sollte halt auch die Rechte richtig vergeben ;)

    Sio nur noch ne Frage. Wie stelle ich dies nun im Router ein, so dass der Verkehr über den Raspberry Pi gerozutet wird? Wenn ich im Handy die IP vom Raspberry angebe, passiert nichts. Aber der ist per VPN verbunden, zeigt die IP auch entsprechend an.
     
    Last edited by a moderator: May 21, 2015
    Ghost likes this.
  4. Ghost

    Ghost Junior Member

    Zuerst einmal musst du das Packet-Forwarding aktivieren.
    Datei /etc/sysctl.conf das Kommentarzeichen vor folgenden Eintrag entfernen:
    net.ipv4.ip_forward=1

    Code:
    sudo nano /etc/sysctl.conf 
    Vorher: #net.ipv4.ip_forward=1
    Nachher: net.ipv4.ip_forward=1

    Ohne Gewähr:
    Der Firewall auf dem Raspberry Pi musst du noch sagen, dass sie den Datenverkehr weiterleiten soll.
    Code:
    iptables -t nat -A POSTROUTING -o tun0 -j MASQUERADE
    Mit den IP-Tables Regeln kann dir @JackCarver mehr helfen als ich.

    Zum Schluss muss bei jedem Client als Standard-Gateway die IP des Raspberry eingetragen werden.
     
    Last edited: May 20, 2015
  5. JackCarver

    JackCarver Junior Member

    Nach den Anpassungen in der sysctl, die dir Ghost genannt hat musst du nen Neustart des Pi machen, damit das aktiv wird, oder du verwendest im laufenden Betrieb:

    um das Port Forwarding direkt ohne Neustart einzuschalten.

    @Ghost:
    Die iptables Regel sieht gut aus :)
     
  6. Dexter

    Dexter Junior Member

    Ich danke euch dafür. Werde ich heute direkt mal testen :)

    UI UI UI :D Jetz geht es. Habs gerade mal probiert. Ich danke euch :D richtig cool. Jetzt muss ich nur noch rausfinden ob ich das auch so in den Router eintragen kann, so das ich nicht jedes Gerät manuell anpassen muss.
     
    Last edited by a moderator: May 21, 2015
  7. Ghost

    Ghost Junior Member

    @Dexter Cool. Freut mich sehr!
     
  8. Dexter

    Dexter Junior Member

    Weiß einer von euch zufällig wie ich das im Router einstelle, dass der Datenverkehr über den Pi geleitet wird, außer man trägt z.B. am Rechner nen anderen Gateway ein?

    edit: hab nen LinksysWDR4900
     
    Last edited: May 21, 2015
  9. JackCarver

    JackCarver Junior Member

    Du solltest in deinem Router Menü eine Option DHCP haben. Dort kannst du die IP des Default Gateways eintragen, idR ist das die IP deines Routers, aber hier probiere mal die IP des Pi einzutragen. Der Pi benötigt dazu natürlich ne static IP. Dein Router sollte dann die IP des Pi als Default Gateway an die Rechner übertragen.
     
    Dr_Iwan_Kakalakow likes this.
  10. Dexter

    Dexter Junior Member

    @JackCarver danke dir. Nur leider funktioniert das nicht.Hab das gestern alles schon mal aiusprobiert. Danach geht garkein Netzwerkverkehr mehr. Den Pi hatte ich auch schon neugestartet, da der keine IP mehr über den VPN erhalten hat.-
     
  11. t

    theoth Junior Member

    Wie soll das auch gehen - da muß zumindest noch die statische route zum Internetprovider auftauchen, sonst geht alles zum Pi und wohin von dort? der hat dann den router bzw. sich selbst als default GW und so schließt sich der Kreis. Könntest höchstens noch einen zweiten router nehmen, der den Pi als default-GW hat und der Pi schickt es dann über den ersten router via VPN-tunnel. Ich hab aus dem Grund keinen Router, sondern einen Linux-Rechner, der den ganzen Krempel erledigt - wesentlich flexibler. Da laufen dann auch gleich Proxy, DNS, Web, Mail und File-Server zum Streamen drauf...
     
  12. JackCarver

    JackCarver Junior Member

    Der Pi muss naturlich statisch konfiguriert sein, nicht per DHCP in dem Fall. Du musst ihm ne statische IP aus demselben Netz das der Router per DHCP vergibt verpasen, der Pi braucht als Gateway nicht die IP des ISP, da er keine direkte Verbindung ins Internet hat sondern die IP deines Routers. Als DNS Server ebenfalls die IP des Routers oder besser zb 8.8.8.8, den Google DNS.
    Damit kommt der Pi schonmal ohne DHCP ins Internet.
    Auf dem Router stellst du dann am besten ne DNS Range ein, die die IP des Pi ausschliesst, so dass kein anderer PC die IP des Pi zugewiesen bekommt.
    Wenn du jetzt noch einstellen kannst, dass der zugewiesene Gateway dein Pi ist und der zugewiesene DNS dein Router könnte das klappen.

    Dieselben Settings machst du auch wenn du ne Linux Kiste als DHCP konfigurierst, sprich DNS Range, Gateway, DNS, thats all.
     
    Dr_Iwan_Kakalakow likes this.
  13. Dexter

    Dexter Junior Member

    Servus Leute,

    danke für die Hilfe und Infos. Habe mir heute mit nem Kumpel mal noch einiges überlegt. Da ich über den Pi selber nur 6Mbit down hinbekomme, was zu wenig ist, habe ich mir überlegt, so nen kleinen passiv gekühlten Kleinstrechner zu holen. Hab da so an eine ZOTAC ZBOX CI520 nano Box gedacht. Müsste doch von der Leistung ausreichen, oder? Will dann das Gerät als OpenVPN gateway nutzen., Zusätzlich als WLAN Router, WLAN Radius Server und als Teamspeak Server.

    Was meint ihr dazu? Ist das umzusetzen? Was für ein System sollte ich da nehmen? Linux oder Windows?
    Alternativ gibt es noch die ZOTAC ZBOX CI321 nano Box. Nur weiß ich nicht ob die von der Leistung ausreicht.

    Vielleicht könnt ihr mir da weiterhelfen und Tips geben.
     
  14. JackCarver

    JackCarver Junior Member

    Die Kiste sollte das in jedem Fall hinkriegen mit nem Core i3. Ich würde definitiv n Linux System dafür nehmen, am besten ohne GUI, denn die brauchst du dazu nicht und das spart Platz und Resourcen. Die Kiste sollte in jedem Fall noch nen DHCP Server laufen haben, dass sie automatisch die Adressen an die Clients vergibt.

    Wenn du Teamspeak zusätzlich oder besser zeitgleich mit OpenVPN laufen lassen möchtest ist Linux ebenfalls die bessere Wahl, da du hier das advanced Routing benötigst wo du in Abhängigkeit des Traffics sagen kannst was dann über die PP Server laufen soll und was nicht. Der TS Traffic der Leute, die sich von aussen auf deine Kiste verbinden soll ja nicht über PP laufen sondern direkt, wozu ne alternative Routing Tabelle nötig ist.
     
  15. Dexter

    Dexter Junior Member

    Ok, na das klingt doch schon mal gut. Ja nen DHCP Server werde ich da mit drauf machen.

    Werde dann meinen TP-Link router sowieso rausschmeißen und nen anderen Router dran hängen. Ne externe Firewall brauch ich ja schon noch.

    Die Kiste mit dem i3 hat ja nur einen LAN Anschluss. Kann ich das damit alles bewerkstelligen? Die kleinere Box hat ja komischerweise 2xLAN.

    Welches Linux sollte man da drauf machen?
     
  16. t

    theoth Junior Member

    Bei mir läuft debian (wheezy, jessie teste ich gerade, ist jetzt aber auch stable) - da ist so ziemlich alles dabei, was man benötigt.

    Zwei Lan-Interfaces sind schon sinnvoll, wie das über einen Anschluß laufen kann, müßte man ausprobieren.
    Der muß sich ja zum einen per DHCP-client vom Provider die IP holen, zum anderen muß eth0:1 mit einer private IP das lokale Netz versorgen.
    Auf eth0:1 muß dann auch der DHCP-server laufen. Ob man dort auch als zu bedienendes Interface einen alias spezifizieren kann, weiß ich nicht.

    Firewall brauchst Du zusätzlich keine, die läuft ja auf der Kiste selbst und filtert ein/ausgehende Verbindungen von intern, extern, vpn und wlan.
    Ggf. mußt Du zwischen die Box und dem provider-Modem noch einen switch hängen, da Du ja über das gleiche Interface raus willst.
    Das Modem/der Router Deines Providers sollte ja hoffentlich den traffic Deines lokalen Netzwerks nicht nach außen lassen.
    Alternativ geht, wenn Du nur 100MBit hast, evtl. auch ein USB-Lan-Adapter für das zweite Interface, ist aber nicht so performant.

    Zu Teamspeak kann ich nix sagen, kenne ich nicht. Sollte aber über Portforwarding/routing machbar sein.
    Ich hab hier auch sehr komplexe routing und firewall Regeln. Du mußt nur genau wissen, was Du willst.
    So lari-fari "Teamspeak" (server? client? welche clients?) soll gehen ist nicht spezifisch genug.

    Edit: bei mehreren Interfaces wird iptables viel zu komplex - nimm dann besser shorewall, das erledigt das in übersichtlicher Manier.
    Ich hab hier insgesamt >20 Netzwerk-Interfaces (4 phys, 4 virtuelle xen clients, > 12 vpn) - iptables wäre da ein Alptraum.
     
    Last edited: May 23, 2015
  17. Ghost

    Ghost Junior Member

    Leistung hast du damit genügend. Wenn du ein Linux System verwendest sowieso.

    Für dein Vorhaben reicht aber diese auch locker aus und du hast den Vorteil, dass 2 LAN Anschlüsse vorhanden sind.

    Ich persönlich habe die ZOTAC ZBOX CI520 nano und bin damit mehr als zufrieden.
    Am besten gefällt mir, dass die ZBOX keine Lüfter verbaut hat. Man hört nichts! Einfach perfekt das Teil.
    Diese läuft rund um die Uhr 24/7.
    Der Stromverbrauch ist 1A.

    [​IMG]
     
  18. t

    theoth Junior Member

    11 Watt ist nicht schlecht - meine Kiste verbraucht 65W, hat allerdings auch einen 4-core, 8MB, PCIe slots und vier Festplatten.
    Pro Watt fallen hier bei Dauerbetrieb ca. 2€/Jahr an Stromkosten an. Lohnt sich also genau nachzurechnen.
     
  19. Ghost

    Ghost Junior Member

    Stromverbrauch gemessen mit geeichten Messgerät für die ZOTAC ZBOX CI520 nano

    Der Stromverbrauch im Leerlauf liegt bei meiner Konfiguration bei etwa 7 Watt, wobei das Gerät nicht einmal handwarm wird.
    Bei CPU-Volllast werden etwa 18 Watt aus der Steckdose gezogen.

    @Dexter Für dein Vorhaben kannst mit etwa 7 bis 10 Watt rechnen. (ca. 20 € im Jahr)
     
  20. Dexter

    Dexter Junior Member

    Servus Leute. Ich danke euch für die ganzen Antworten. Somit wird es die kleine Zotac CI321 nano Box. Die sollte ja ausreichen und halt 2 Netzwerkanschlüsse. Hier geht es auch um den Verbtrauch. Weil das Gerät wird ja 24/7 laufen.

    Zwecks TS. Der Server soll ja nur laufen, wenn er gebraucht wird. Ist halt für ein paar Leute von mir. Dmait man sich beim Zocken unterhalten kann.

    Zwecks der Einrichtung. Erfolgt die dann über SSH, oder wie genau?
     
  1. This site uses cookies to help personalise content, tailor your experience and to keep you logged in if you register.
    By continuing to use this site, you are consenting to our use of cookies.
    Dismiss Notice