OpenVPN Gateway

Dexter

Active Member
Hallo,

habe mir einen Raspberry PI 2 Model B geholt. Darauf möchte ich unteranderem ein OpenVPN Gateway installieren. Bin genau nach dieser Anleiotung vorgegangen: http://jankarres.de/2014/10/raspberr...-installieren/

Jedoch bekomme ich beim Starten des Dienstes die Meldung: "[FAIL] Starting virtual private network daemon: client failed!”

Woran liegt dies? Habe schon alles aufgesetzt und nutze die aktuellste Raspbian Version.

Habt ihr vielleicht eine andere ANleitung die ich nutzen kann? Es ist mir auch wichtig, dass das System auch am Ende sicher ist.

BG
 
Hab mich ehrlich gesagt noch nicht weiter damit beschäftigt. Wird dann heute mal im laufe des Tages gemacht. Wohnung muss ja auch mal sauber gemacht werden ;)

kurze Zwischeninfo. Muss erstmal das Projekt einige Tage liegen lassen. Gestern hat sich mein SD Kartenleser verabschiedet. Oder habt ihr noch ne Idee wie ich die Daten auf die SD Karte bekomme?

So das kopieren hat nun geklappt. Aber neuer Kartenleser muss trotzdem her ;)

So Leute. Ne kleine Info. Also hab es nun hinbekommen. Man sollte halt auch die Rechte richtig vergeben ;)

Sio nur noch ne Frage. Wie stelle ich dies nun im Router ein, so dass der Verkehr über den Raspberry Pi gerozutet wird? Wenn ich im Handy die IP vom Raspberry angebe, passiert nichts. Aber der ist per VPN verbunden, zeigt die IP auch entsprechend an.
 
Last edited by a moderator:
Zuerst einmal musst du das Packet-Forwarding aktivieren.
Datei /etc/sysctl.conf das Kommentarzeichen vor folgenden Eintrag entfernen:
net.ipv4.ip_forward=1

Code:
sudo nano /etc/sysctl.conf
Vorher: #net.ipv4.ip_forward=1
Nachher: net.ipv4.ip_forward=1

Ohne Gewähr:
Der Firewall auf dem Raspberry Pi musst du noch sagen, dass sie den Datenverkehr weiterleiten soll.
Code:
iptables -t nat -A POSTROUTING -o tun0 -j MASQUERADE

Mit den IP-Tables Regeln kann dir @JackCarver mehr helfen als ich.

Zum Schluss muss bei jedem Client als Standard-Gateway die IP des Raspberry eingetragen werden.
 
Last edited by a moderator:
Nach den Anpassungen in der sysctl, die dir Ghost genannt hat musst du nen Neustart des Pi machen, damit das aktiv wird, oder du verwendest im laufenden Betrieb:

echo "1" > /proc/sys/net/ipv4/ip_forward

um das Port Forwarding direkt ohne Neustart einzuschalten.

@Ghost:
Die iptables Regel sieht gut aus :)
 
Ich danke euch dafür. Werde ich heute direkt mal testen :)

UI UI UI :D Jetz geht es. Habs gerade mal probiert. Ich danke euch :D richtig cool. Jetzt muss ich nur noch rausfinden ob ich das auch so in den Router eintragen kann, so das ich nicht jedes Gerät manuell anpassen muss.
 
Last edited by a moderator:
Weiß einer von euch zufällig wie ich das im Router einstelle, dass der Datenverkehr über den Pi geleitet wird, außer man trägt z.B. am Rechner nen anderen Gateway ein?

edit: hab nen LinksysWDR4900
 
Last edited:
Du solltest in deinem Router Menü eine Option DHCP haben. Dort kannst du die IP des Default Gateways eintragen, idR ist das die IP deines Routers, aber hier probiere mal die IP des Pi einzutragen. Der Pi benötigt dazu natürlich ne static IP. Dein Router sollte dann die IP des Pi als Default Gateway an die Rechner übertragen.
 
@JackCarver danke dir. Nur leider funktioniert das nicht.Hab das gestern alles schon mal aiusprobiert. Danach geht garkein Netzwerkverkehr mehr. Den Pi hatte ich auch schon neugestartet, da der keine IP mehr über den VPN erhalten hat.-
 
Wie soll das auch gehen - da muß zumindest noch die statische route zum Internetprovider auftauchen, sonst geht alles zum Pi und wohin von dort? der hat dann den router bzw. sich selbst als default GW und so schließt sich der Kreis. Könntest höchstens noch einen zweiten router nehmen, der den Pi als default-GW hat und der Pi schickt es dann über den ersten router via VPN-tunnel. Ich hab aus dem Grund keinen Router, sondern einen Linux-Rechner, der den ganzen Krempel erledigt - wesentlich flexibler. Da laufen dann auch gleich Proxy, DNS, Web, Mail und File-Server zum Streamen drauf...
 
Der Pi muss naturlich statisch konfiguriert sein, nicht per DHCP in dem Fall. Du musst ihm ne statische IP aus demselben Netz das der Router per DHCP vergibt verpasen, der Pi braucht als Gateway nicht die IP des ISP, da er keine direkte Verbindung ins Internet hat sondern die IP deines Routers. Als DNS Server ebenfalls die IP des Routers oder besser zb 8.8.8.8, den Google DNS.
Damit kommt der Pi schonmal ohne DHCP ins Internet.
Auf dem Router stellst du dann am besten ne DNS Range ein, die die IP des Pi ausschliesst, so dass kein anderer PC die IP des Pi zugewiesen bekommt.
Wenn du jetzt noch einstellen kannst, dass der zugewiesene Gateway dein Pi ist und der zugewiesene DNS dein Router könnte das klappen.

Dieselben Settings machst du auch wenn du ne Linux Kiste als DHCP konfigurierst, sprich DNS Range, Gateway, DNS, thats all.
 
Servus Leute,

danke für die Hilfe und Infos. Habe mir heute mit nem Kumpel mal noch einiges überlegt. Da ich über den Pi selber nur 6Mbit down hinbekomme, was zu wenig ist, habe ich mir überlegt, so nen kleinen passiv gekühlten Kleinstrechner zu holen. Hab da so an eine ZOTAC ZBOX CI520 nano Box gedacht. Müsste doch von der Leistung ausreichen, oder? Will dann das Gerät als OpenVPN gateway nutzen., Zusätzlich als WLAN Router, WLAN Radius Server und als Teamspeak Server.

Was meint ihr dazu? Ist das umzusetzen? Was für ein System sollte ich da nehmen? Linux oder Windows?
Alternativ gibt es noch die ZOTAC ZBOX CI321 nano Box. Nur weiß ich nicht ob die von der Leistung ausreicht.

Vielleicht könnt ihr mir da weiterhelfen und Tips geben.
 
Die Kiste sollte das in jedem Fall hinkriegen mit nem Core i3. Ich würde definitiv n Linux System dafür nehmen, am besten ohne GUI, denn die brauchst du dazu nicht und das spart Platz und Resourcen. Die Kiste sollte in jedem Fall noch nen DHCP Server laufen haben, dass sie automatisch die Adressen an die Clients vergibt.

Wenn du Teamspeak zusätzlich oder besser zeitgleich mit OpenVPN laufen lassen möchtest ist Linux ebenfalls die bessere Wahl, da du hier das advanced Routing benötigst wo du in Abhängigkeit des Traffics sagen kannst was dann über die PP Server laufen soll und was nicht. Der TS Traffic der Leute, die sich von aussen auf deine Kiste verbinden soll ja nicht über PP laufen sondern direkt, wozu ne alternative Routing Tabelle nötig ist.
 
Ok, na das klingt doch schon mal gut. Ja nen DHCP Server werde ich da mit drauf machen.

Werde dann meinen TP-Link router sowieso rausschmeißen und nen anderen Router dran hängen. Ne externe Firewall brauch ich ja schon noch.

Die Kiste mit dem i3 hat ja nur einen LAN Anschluss. Kann ich das damit alles bewerkstelligen? Die kleinere Box hat ja komischerweise 2xLAN.

Welches Linux sollte man da drauf machen?
 
Bei mir läuft debian (wheezy, jessie teste ich gerade, ist jetzt aber auch stable) - da ist so ziemlich alles dabei, was man benötigt.

Zwei Lan-Interfaces sind schon sinnvoll, wie das über einen Anschluß laufen kann, müßte man ausprobieren.
Der muß sich ja zum einen per DHCP-client vom Provider die IP holen, zum anderen muß eth0:1 mit einer private IP das lokale Netz versorgen.
Auf eth0:1 muß dann auch der DHCP-server laufen. Ob man dort auch als zu bedienendes Interface einen alias spezifizieren kann, weiß ich nicht.

Firewall brauchst Du zusätzlich keine, die läuft ja auf der Kiste selbst und filtert ein/ausgehende Verbindungen von intern, extern, vpn und wlan.
Ggf. mußt Du zwischen die Box und dem provider-Modem noch einen switch hängen, da Du ja über das gleiche Interface raus willst.
Das Modem/der Router Deines Providers sollte ja hoffentlich den traffic Deines lokalen Netzwerks nicht nach außen lassen.
Alternativ geht, wenn Du nur 100MBit hast, evtl. auch ein USB-Lan-Adapter für das zweite Interface, ist aber nicht so performant.

Zu Teamspeak kann ich nix sagen, kenne ich nicht. Sollte aber über Portforwarding/routing machbar sein.
Ich hab hier auch sehr komplexe routing und firewall Regeln. Du mußt nur genau wissen, was Du willst.
So lari-fari "Teamspeak" (server? client? welche clients?) soll gehen ist nicht spezifisch genug.

Edit: bei mehreren Interfaces wird iptables viel zu komplex - nimm dann besser shorewall, das erledigt das in übersichtlicher Manier.
Ich hab hier insgesamt >20 Netzwerk-Interfaces (4 phys, 4 virtuelle xen clients, > 12 vpn) - iptables wäre da ein Alptraum.
 
Last edited:
Hab da so an eine ZOTAC ZBOX CI520 nano Box gedacht. Müsste doch von der Leistung ausreichen, oder?

Leistung hast du damit genügend. Wenn du ein Linux System verwendest sowieso.

ZOTAC ZBOX CI321 nano Box

Für dein Vorhaben reicht aber diese auch locker aus und du hast den Vorteil, dass 2 LAN Anschlüsse vorhanden sind.

Ich persönlich habe die ZOTAC ZBOX CI520 nano und bin damit mehr als zufrieden.
Am besten gefällt mir, dass die ZBOX keine Lüfter verbaut hat. Man hört nichts! Einfach perfekt das Teil.
Diese läuft rund um die Uhr 24/7.
Der Stromverbrauch ist 1A.

ximg.php
 
11 Watt ist nicht schlecht - meine Kiste verbraucht 65W, hat allerdings auch einen 4-core, 8MB, PCIe slots und vier Festplatten.
Pro Watt fallen hier bei Dauerbetrieb ca. 2€/Jahr an Stromkosten an. Lohnt sich also genau nachzurechnen.
 
Stromverbrauch gemessen mit geeichten Messgerät für die ZOTAC ZBOX CI520 nano

Der Stromverbrauch im Leerlauf liegt bei meiner Konfiguration bei etwa 7 Watt, wobei das Gerät nicht einmal handwarm wird.
Bei CPU-Volllast werden etwa 18 Watt aus der Steckdose gezogen.

@Dexter Für dein Vorhaben kannst mit etwa 7 bis 10 Watt rechnen. (ca. 20 € im Jahr)
 
Servus Leute. Ich danke euch für die ganzen Antworten. Somit wird es die kleine Zotac CI321 nano Box. Die sollte ja ausreichen und halt 2 Netzwerkanschlüsse. Hier geht es auch um den Verbtrauch. Weil das Gerät wird ja 24/7 laufen.

Zwecks TS. Der Server soll ja nur laufen, wenn er gebraucht wird. Ist halt für ein paar Leute von mir. Dmait man sich beim Zocken unterhalten kann.

Zwecks der Einrichtung. Erfolgt die dann über SSH, oder wie genau?
 
Back
Top