OpenVPN konfig um Zugriff auf PC/Netzwerk hinter DS Lite zu bekommen.

[kpax]

Hallo,
ich nutze einen Kabelanschluss von Vodafone/Kabeldeutschland. Dieser ist mit DS Lite angebunden. Da ich beruflich viel unterwegs bin, würde ich gerne auf meinen Heimserver, wenn möglich auch auf das ganze Netzwerk Zuhause, zugreifen.
Nun habe ich einen VServer gemietet und dort einen OpenVPN Server installiert. Nun habe ich auf meinem Laptop und meinem Heimserver die Client Software installiert und die die Verbindung eingerichtet.
Nun ist mein Problem, das die beiden Clients sich nicht sehen und kein Ping durch geht.
Hat jemand von euch eine Beispiel config bzw ein Stichwort nachdem ich suchen muss um eine passende Config zu erstellen?
Als server.conf habe ich die Standard Datei genommen und nur den Pfad zu meinen Zertifikaten angepasst.
Die client.conf reiche ich gleich nach. Allerdings habe ich in Richtung Routing und Server mode noch nicht genug beschäftigt und bräuchte da ein paar Tipps bzw Denkanstöße um den richtigen weg zu finden. Sitze da gerade irgendwie auf dem Schlauch.
Oder gehe ich das falsch an / hat jemand einen anderen Lösungsvorschlag?

Danke schonmal,
kpax

 

[NTB]

Google mal “openvpn client isolation“.

Erster bei mir scheint das zu behandeln, ist aber schon älter.
http://backreference.org/2010/05/02/controlling-client-to-client-connections-in-openvpn/

Hilft das?

Vielleicht reicht bei dir aber auch der erwähnte client-to-client Modus.

 

[icebeer]

Jupp, "client isolation" abzuschalten sollte helfen. Ansonsten ost der Ansatz mit Vserver und OpenVPN schon ein sehr smarter. Gefällt mir.

 

[TCM]

Wie sollte man es denn sonst machen? Das ist eher Standard.

Ist auf dem Server auch IP-Forwarding an?

 

[kpax]

so, 2 Monate später habe ich das ganze nun auch ans fliegen gebracht. Allerdings komplett anders. Durch IP Forwarding und die Client to Client Funktion hat das ganze zwar funktioniert, aber irgendwie hat das ganze dann doch genervt.
ich habe das ganze nun über einen Raspberry Pi als VPN Server, den ich wahrscheinlich bei Zeiten virtualisieren möchte und eine IPv6 Freigabe in kombination mit einem Feste-Ip.net Portmapper umgesetzt. Damit fällt eine verschlüsselte Verbindung weg und ich kann von ausserhalb auf alle Geräte im Netzwerk zugreifen. Bei Interesse kann ich meine Config gerne posten.

 

[l0n]

Welches Modem hast du bekommen? Ich bin bei Unitymedia und habe ein Ubee EVW3226, das reicht mir keine IPv6 Prefixe durch...

Die Konfig wie du da einen VPN Tunnel aufbaust würde mich doch schwer interessieren

 

[kpax]

ich habe eine Fritzbox.
Das ganze ist übrigens nicht auf meinem Mist gewachsen, sondern ist durch viel quer lesen in vielen tutorials und foren entstanden.
Auf dem raspberry habe ich das neuste Raspbian + openvpn + openssl + easy-rsa installiert.
Wie man die Zertifikate erstellt kann man in jedem tutorial lesen.
Meine server.conf sieht so aus:

dev tun
proto tcp6
port 1194
server 10.0.0.0 255.255.255.0
tls-server
dh /etc/openvpn/cert/dh1024.pem
ca /etc/openvpn/cert/ca.crt
cert /etc/openvpn/cert/vpnserver.crt
key /etc/openvpn/cert/vpnserver.key
push "route 10.0.0.0 255.255.255.0"
push "route 192.168.178.0 255.255.255.0"
push "redirect-gateway def1"
cipher AES-256-CBC
user nobody      
group nogroup   
status /etc/openvpn/openvpn-status.log
comp-lzo
verb 3
keepalive 10 120
persist-key
persist-tun
script-security 2

das "proto tcp6" sagt dem Server das er die Pakete über ipv6 entgegen nimmt. Tcp ist nicht der performanteste weg das ganze zu realisieren, aber der portmapper von feste-ip.net unterstützt kein udp.
mit dieser config wird dann der komplette netzwerkverkehr durch den tunnel geschickt. Ist zum surfen manchmal ein bisschen lästig, dafür kann ich direkt auf meinen xpenology homeserver und alle anderen Geräte zugreifen, als würde ich zuhause in meinem wlan sitzen.


die client.ovpn datei sieht so aus:

client
dev tun
proto tcp
remote xxxx.feste-ip.net 33123
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client1.crt
key client1.key
ns-cert-type server
cipher AES-256-CBC
comp-lzo
verb 3
script-security 2

hier wird nun normales tcp als protokoll verwendet, da man den server über die feste-ip.net adresse auf port 33123 anspricht. feste-ip.net mapped den ganzen verkehr dann auf die ipv6 adresse auf port 1194 um.

in der fritzbox habe ich eine myfritz freigabe auf den raspberry mit port 1194 erstellt.
diese myfritz freigabe kann man dann bei feste-ip.net in den portmapper eintragen und dann gehts.
feste-ip.net bietet nach der einrichtung eine funktion um zu testen ob der port erreichbar ist, das war sehr hilfreich.

einen speedtest mit iperf kann ich bei gelegenheit machen, habe im moment urlaub und konnte das ganze nur über mein smartphone als hotspot testen. habe hier zuhause allerdings nur edge und beim kollegen gestern abend hatte ich mein laptop nicht mit. Mit dem smartphone konnte ich allerdings eine Serie über die ds video app sehen.