VPN für Homeserver einrichten

[darkpuridee]

Hallo zusammen,

ich würde gerne weiter den Schritt Sicherheit gehen, und möchte paar Service von meinem Server nur über VPN erreichbar machen. Würde da gerne auf OpenVPN dann setzen.
Hab jetzt allerdings verschiedene Dinge gelesen, Begriff "tap" und "dun" zB... Gibt es da irgendwelche Dinge zu beachten? Ich möchte auf jeden Fall nicht den kompletten Netzwerktraffic überbrücken, sondern mit der VPN Verbindung nur das Netzwerk erweitern (sagt man das so?)
Auf Noob Sprache: Ich will am Endgerät(zB Smartphone von Unterwegs) nicht die IP Adresse dann von meinem Home-DSL Anschluss haben.

Kann mir da jmd paar tipps geben?

 

[besterino]

HowTo von OpenVPN lesen. Grds. macht man aber mit TUN m.E. nichts verkehrt.

 

[Tchacker]

OpenVPN Access Server oder dietpi mit pivpn/wireguard


Gesendet von iPhone mit Tapatalk Pro

 

[darkpuridee]

Danke Euch beiden.

Funktioniert das überhaupt was ich vor habe?

Ich möchte lediglich nicht dass der normale Traffic nicht über VPN läuft. Laut dem HowTo muss man unter Win 1ß nur in den Netzwerkeinstellunten IPV4 den Haken vom beim VPN "standaer gateway benutzen" raus machen. Hab ich allerdings nicht ._.

 

[besterino]

Das funktioniert schon - hab allerdings nicht im Kopf, wie genau. Ist bei mir einfach schon eine Weile her.

 

[AliManali]

Nicht den Haken raus nehmen bei Standardgateway, sondern da alles leer lassen (beim VPN Adapter). Sollte beim normalen openVPN Client aber schon so per default sein. Und dann kannst Du auch in den erweiterten Einstellungen noch zusätzlich mit dem Metrik Wert den Verkehr priorisieren. Also z.B. beim VPN Adapter den Wert 75, bei der physischen NIC 25.

 

[darkpuridee]

Ich hab ja nicht mal die ne besagten Haken.

Dann spiel ich mal mit der Metrik.

Sonst gibt es keine Möglichkeit das zu regeln?

Ich möchte halt auch nicht die IP vom vpn Server übernehmen. Sondern einfach nur die Möglichkeit haben mich erst mit vpn zu verbinden damit ich auf meine rdp Verbindung drauf kann

Gesendet von meinem Mate 20 Pro mit Tapatalk

 

[AliManali]

Natürlich brauchst bzw. bekommst Du eine IP vom VPN Server. Da wird aber per default kein Standardgateway vergeben. Da hat niemand einen Haken zum setzen beim Standardgateway, Du sollst das leer lassen. Bzw. die Adresse automatisch vergeben lassen, dann sollte per default der Standardgateway leer bleiben.

 

[darkpuridee]

Aber ich meine das ich automatisch die IP von dem vpn DSL Anschluss erhaltedadurch Routet er ja den traffic durch den Anschluss. Dadurch verminderte ich meine komplette gewdhiwidgkeit.

Das ist mein Problem welches ich lediglich habe.

Gesendet von meinem Mate 20 Pro mit Tapatalk

 

[konfetti]

?? - sehr verwirrend was Du schreibst.

Wenn man sich per VPN verbindet, von z.B. dem mobilen Hotspot am Handy zur öffentlichen IP @ Home, dann wird per default der Traffic über dieses VPN geroutet, und damit ist dann der Ausgangspunkt für jeglichen Traffic ins Internet aber auch der @ Home.

Wenn man das nicht will, braucht man Regeln, die in der firewall entsprechend reglementieren, das bestimmte Services über das VPN angeboten werden, andere hingegen ausgenommen werden, z.B. default traffic vom VPN ins internet.


Was hast du denn für eine Firewall, auf der das VPN läuft?

 

[define]

Für mich klingt es so, als ob ein DynDNS Dienst die Sache schon regeln würde. Warum muss es denn zwingend ein VPN sein?

 

[konfetti]

DynDNS macht ja quasi nur einen Namensauflösung auf eine beliebige sich ändernde IP - weil Namen leichter zu merken sind, als täglich die IP zu kontrollieren

VPN ist dann die möglichkeit auf Dienste hinter der FW zuzugreifen und sich wie im eigenen Netz zu bewegen. - klassicherweise gibt man, wenn es unbedingt sein muss, ja nur bestimmte Dienste über die FW "frei" nach außen...

 

[darkpuridee]

Ich weiß nicht genau wie ich ich nennen soll.

Mir hat damals mal jemand eine VPN Verbindung eingerichtet, da hab ich mich mit dem Server verbunden, damit ich via SSH mich auf meinem Linux Server anmelden konnte, ohne dass sämtlicher raffic über den VPN lief, ohne dass ich ne andere IP Adresse bekommen habe.
Ich muss ja nur in das VPN Netz rein, damit ich meine 10.10.0.8 IP erhalte, um mich mit dem RDP verbinden zu können, DYNDNS hilft mir dabei auch nicht. Ich will ja dass nur diese 10.10.0.8 IPsich mit RDP verbinden kann. Also nur wirklich jemand dann, der Zugang zum VPN hat und das RDP Kenntwort kennt.

 

[martingo]

Welchen Client verwendest Du denn? Mindestens der integrierte Windows VPN Client kann festlegen, ob das VPN als Default Gateway genutzt wird. Das ist die korrekte Bezeichnung für: (fast) alles übers VPN schicken.
Nachdem der interne Client aber kein Openvpn kann, hast Du einen anderen Client dafür. Welchen?
Wahrscheinlich kannst Du das Default Gateway oder die VPN Routen dort ändern. Ob auch der Server die Routen pushen/vorgeben kann, weiß ich nicht.

 

[besterino]

Ist doch alles gar nicht so schwer und steht übrigens alles auch genau so im OpenVPN HowTo: Normalerweise routet der VPN-Client nur den Verkehr ins private Netz (also zum VPN-Server) über den Tunnel, d.h. normale Verbindungen ins Internet gehen NICHT über den Tunnel. Wenn man das abweichend vom Default-Verhalten doch möchte, muss man das explizit in der Server-Config festlegen mit:

push "redirect-gateway ..."

By default, when an OpenVPN client is active, only network traffic to and from the OpenVPN server site will pass over the VPN. General web browsing, for example, will be accomplished with direct connections that bypass the VPN.

In certain cases this behavior might not be desirable — you might want a VPN client to tunnel all network traffic through the VPN, including general internet web browsing. While this type of VPN configuration will exact a performance penalty on the client, it gives the VPN administrator more control over security policies when a client is simultaneously connected to both the public internet and the VPN at the same time.

Implementation
Add the following directive to the server configuration file:

push "redirect-gateway def1"

If your VPN setup is over a wireless network, where all clients and the server are on the same wireless subnet, add the local flag:

push "redirect-gateway local def1"

Pushing the redirect-gateway option to clients will cause all IP network traffic originating on client machines to pass through the OpenVPN server. The server will need to be configured to deal with this traffic somehow, such as by NATing it to the internet, or routing it through the server site’s HTTP proxy.

Quelle: OpenVPN

Bonus-Feature: Wenn man ganze Subnetze hinter dem VPN-Server für den VPN-Client erreichbar machen will, macht man das auch in der Server-Config mit

push "route ZIELNETZ SUBNETZ-MASKE"

"Normalerweise" (was immer das heißen mag ) legt man ein Subnetz für die VPN-Clients fest, z.B. 192.168.77.0/24. Vorteil des eigenen VPN-Subnetzes: man kann den Traffic einfach zuordnen und ggf. weiter/granular (mit Firewalls & Co.) steuern. Damit die VPN-Clients auf das interne Netz zugreifen können, gibt man denen - wie oben unter "Bonus Feature" beschrieben - das zu erreichende Subnetz mit (in Deinem Fall dann vermutlich 10.10.0.0/24). VPN-Clients bekommen dann brav von ihrem VPN-Server eine IP-Adresse aus 192.168.77-er IP-Pool zugewiesen und können mit allen Kisten im 10.10.0er Netz kommunizieren.

 

[define]

...

Danke für die Erklärung, aber das wusste ich bereits
Ich konnte nur aus den Texten des TE nichts anders schließen.