|
|
|
|
| Zitat von statixx
So in etwa stimmt das, nur dass mein Server die Weiterleitung per iptables macht. Ich nehme openvpn, dort hab ich da ssubnet Zuhause in die config für meinen Router im Server eingetragen, ich lenke quasi direkt auf dem Server auf die IP meines Desktop oder Nas daheim um, den Rest macht openvpn, bzw die Routingtabelle des Routers daheim.
Falls das ein gangbarer weg für dich wäre kann ich dir auch Mal die configs zukommen lassen.
| |
Denke schon, dass das ein Weg wäre.
Zwar ist mir das VPN Gedöns noch nicht 100% klar, aber interessant ist es.
Bitte ja, eventuell geht dann das licht auf durch die Configs.
Und welchen Anbieter dann für den externen Server?
Ist mein restlicher Traffic (normale Internetnutzung vom Heimnetzwerk) dann aber eh nicht getunnelt/beschraenkt... bzw. läuft normal weiter?
|
[Dieser Beitrag wurde 2 mal editiert; zum letzten Mal von Pago am 06.12.2020 9:21]
|
|
|
|
|
|
Ich bin bei netcup. Die billigsten vserver gehen da bei 2,50/monat etwa los, für den Zweck wäre das völlig ausreichend. Linux-Kenntnisse würd ich allerdings voraussetzen.
Dein restlicher Traffic bleibt davon unberührt. Also je nachdem wie dein Router konfiguriert ist.
Ich such dir nachher mal die configs zusammen.
|
[Dieser Beitrag wurde 1 mal editiert; zum letzten Mal von statixx am 06.12.2020 9:22]
|
|
|
|
|
|
openvpn.conf:
|
Code: |
## Don't log anything
verb 5
## Network config
port 1194
proto udp6
dev tun
server 192.168.231.0 255.255.255.0
ifconfig-pool-persist /etc/openvpn/ipp.txt
keepalive 25 120
## Use persistent keys + interface
persist-tun
persist-key
## Crypto to use
auth SHA256
cipher AES-256-GCM
## Use compression
comp-lzo
## Run as unpriviledged user
user openvpn
group openvpn
## Limit clients
max-clients 20
## Directory for individiual client config options
client-config-dir ccd
## TLS-config stuff starts here. ##
tls-version-min 1.2
ca /etc/openvpn/ca.crt
cert /etc/openvpn/server.crt
key /etc/openvpn/server.key
dh /etc/openvpn/dh4096.pem
|
|
Das Aufsetzen einer PKI spar ich mich an der Stelle, dafür gibt's zig Tutorials im Netz. Falls du da auf Probleme stoßen sollest, meld dich aber.
Wichtig ist das ccd-Verzeichnis. Dort hab ich für den jeweiligen Client ein File hinterlegt. Mein Router daheim meldet sich als "scootypuffsr" (Common Name im Client-Zertifikat), mein Subnet zuhause ist 192.168.225.0/24. Damit trägt der daemon das Zuhause-Subnet mit der Client-IP von scootypuffsr als Gateway in die Routingtabelle des Servers ein.
|
Code: |
# cat /etc/openvpn/ccd/scootypuffsr
iroute 192.168.225.0 255.255.255.0
|
|
Danach gibt's ein wenig iptables-foo, um die Verbindung hinzubiegen:
|
Code: |
DEV=ens3
VPN_DEV=tun0
VPN_NET="192.168.231.0/24"
IP=$(ifconfig $DEV | grep 'inet ' | cut -d \t -f 2 | cut -d \ -f 2)
add_forward() {
local lport=$1
local dest=$2
local dport=$3
iptables -t nat -A PREROUTING -d ${IP} -p tcp --dport $lport -j DNAT --to-destination ${dest}:$dport
iptables -A FORWARD -i $DEV -o ${VPN_DEV} -d ${dest} -p tcp --dport $dport -j ACCEPT
iptables -t nat -A POSTROUTING ! -s ${VPN_NET} -o ${VPN_DEV} -d ${dest} -p tcp --dport $dport -j MASQUERADE
}
echo '1' > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o $DEV -s ${VPN_NET} -j MASQUERADE # Masquerading for VPN traffic
# SSH forward to home machines
# srcport # destination # destport # Comment
add_forward 2223 192.168.225.23 22 # pannuci
add_forward 2264 192.168.225.64 22 # donbot
add_forward 2265 192.168.225.65 22 # cubert
|
|
Das ist quick'n dirty aus meinem Firewall-Wust extrahiert, ich hoffe es fehlt nix.
Auf dem Client passiert eigentlich nix weiter, als den OpenVPN-Client anzuschmeißen. Routing zwischen VPN-Interface und Heimnetz muss erlaubt sein, sonst ist da afair nix besonderes.
|
|
|
|
|
|
|
Danke, probiere ich mal aus
|
|
|
|
|
|
|
warum gibst du deinem provider nicht einfach geld, damit du nicht hinter nem cgnat sitzt?
|
|
|
|
|
|
Thema: Lnformatiker helfen PC Neulingen ( EigentlichTM müsste das funktionieren. ) |