VPN - Außerhalb wlan

Heute ist Stammtischzeit:
Jeden Donnerstag 20:30 Uhr hier im Chat.
Wer Lust hat, kann sich gerne beteiligen. ;)
  • Moin.

    Ich hoffe, ihr könnt mir ein wenig auf die schnelle helfen. Habe leider nicht mehr allzu viel Zeit, weil ich den direkten Zugriff zum Server nur noch 6 Tage habe.

    Ich habe mir per dieser Anleitung https://www.datenreise.de/raspberry-pi-v…hten-anleitung/ mein vpn server eingerichtet. Mit ein paar Zusätzen, wie TLS key.

    Mein Problem besteht darin, daß ich per unbekannten wlan, wie zb Restaurants oder Freunde, mein internes heimwerker nicht ansprechen kann. Jedoch kann ich es ansprechen, wenn ich per Handy im "normalem" Netz bin.
    Wenn ich jetzt also im normalen Netz auf wlan umswitche, kann es möglich sein, das ich auf mein Heimnetzwerk Zugriff bekomme. Dafür müsste der vpn client allerdings durchgängig laufen.

    Also:
    - Ltd + vpn + switch to wlan = Heimnetzwerk
    - Fremdwlan + vpn = no Heimnetzwerk

    Allerdings, klappt die erste Variante nicht immer. Deswegen stelle ich erst die frage. Könnte gut damit leben, wenn es immer so klappen würde.

    I'm Fremdwlan, bekomme ich immer die connection per client und server hin. Allerdings gibt er mir die Route anscheinend nicht durch oder so, damit ich mit meinem Heimnetzwerk kommunizieren kann.

    Die config Einstellungen bzw die Anleitung ist eins zu eins übernommen worden.
    Bis auf...
    cipher AES-256-CBC
    remote-cert-tls server
    tls-client
    Wurde zum Server und client hinzugefügt.

    Vllt hat da jmd die gleiche Erfahrungen bzw generell Ahnung, was das Problem ist.

    Vielen Dank.

    Dan


  • Mein Problem besteht darin, daß ich per unbekannten wlan, wie zb Restaurants oder Freunde, mein internes heimwerker nicht ansprechen kann. Jedoch kann ich es ansprechen, wenn ich per Handy im "normalem" Netz bin.

    Geht es immer um dein Handy, d. h. um die Handy-Konfiguration (als VPN-Client)?

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Meine PIs

    PI4B/8GB (border device) OpenBSD 7.4 (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server

    PI3B+ FreeBSD 14.0-R-p3 (arm64): SSH-Serv., WireGuard-Serv., ircd-hybrid-Serv., stunnel-Proxy, Mumble-Serv., ddclient

    PI4B/4GB Bullseye-lite (64bit; modifiziert): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server, botamusique, ample

  • Müsste das mal auf dem Laptop und anderem Handy ausprobieren. Aber ich glaube, es liegt hauptsächlich an meinen Handy.

    Das hatte auch ne zeitlang, auf meinem Handy, funktioniert. Und irgendwann hatte ich die Probleme. Benutze Android und die openvpn for Android als App. Habe jetzt auch schon lange nichts neues mehr geflasht, falls dies jetzt als Problem sein könnte.

    Habe ich auch schon öfters gelesen, das manche keine vpn zulassen. Aber wäre die connection denn dann überhaupt erfolgreich? Oder würde der Client nicht die ganze Zeit auf Reaktionen vom Server warten?
    Denke aber, daß dieses nicht das Problem ist. Wie gesagt, bei einem Kumpel von mir, hatte ich absolut keine Probleme. Irgendwann, waren sie auf einmal da.


  • Müsste das mal auf dem Laptop ... . Wie gesagt, bei einem Kumpel von mir, hatte ich absolut keine Probleme. Irgendwann, waren sie auf einmal da.

    Wenn der Laptop mit dem VPN-Client, Linux als OS hat, dann poste mal, wenn Du damit im WLAN deines Kumpels bist, die Ausgaben von:

    Code
    ifconfig -a
    route -n
    sudo iptables -nvx -L -t nat

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Meine PIs

    PI4B/8GB (border device) OpenBSD 7.4 (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server

    PI3B+ FreeBSD 14.0-R-p3 (arm64): SSH-Serv., WireGuard-Serv., ircd-hybrid-Serv., stunnel-Proxy, Mumble-Serv., ddclient

    PI4B/4GB Bullseye-lite (64bit; modifiziert): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server, botamusique, ample

    Einmal editiert, zuletzt von rpi444 (18. Juli 2016 um 13:23)

  • Würde das auch ausreichen, wenn ich den Laptop über das Handy einwähle, per Hotspot? Ich weiß, daß Problem besteht im wlan aber vllt würde dir das auch was bringen?

    Ansonsten kann ich mal kurz an einem McDonalds oder so halten.

    Edit:
    Laptop ist Linux.

    Einmal editiert, zuletzt von DanSman (18. Juli 2016 um 13:31)


  • Würde das auch ausreichen, wenn ich den Laptop über das Handy einwähle, per Hotspot? Ich weiß, daß Problem besteht im wlan aber vllt würde dir das auch was bringen?

    Ja, das könntest Du machen.

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Meine PIs

    PI4B/8GB (border device) OpenBSD 7.4 (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server

    PI3B+ FreeBSD 14.0-R-p3 (arm64): SSH-Serv., WireGuard-Serv., ircd-hybrid-Serv., stunnel-Proxy, Mumble-Serv., ddclient

    PI4B/4GB Bullseye-lite (64bit; modifiziert): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server, botamusique, ample

  • Mein Problem besteht darin, daß ich per unbekannten wlan, wie zb Restaurants oder Freunde, mein internes heimwerker nicht ansprechen kann. Jedoch kann ich es ansprechen, wenn ich per Handy im "normalem" Netz bin.


    Starte auf deinem Server einfach einen zweiten VPN-Server (ebenfalls als Daemon) über TCP und Port 443. Dazu eine passende Config auf den Clients. Bei mir werden dafür sogar die gleichen Keyfiles verwendet. Dann verwendest du im Regelfall den UDP-Tunnel und wenn ein WISP mal zickig ist, wechselst du einfach auf TCP. Solange du keine andere Dienste auf dem Server verwendest, die ebenfalls auf Port 443 lauschen, gibt es da keine Probleme. Und wenn doch, richtest du das Portsharing ein.

    Einmal editiert, zuletzt von WinterUnit16246 (18. Juli 2016 um 17:55)

  • Moin.

    Da es ja vorher auch geklappt hat, moechte ich einen weiteren Server umgehen. Ich werde mir die naechsten Wochen allerdings einen weiteren Server in De einrichten. Deswegen habe ich hier den direkten zugriff auch nicht mehr allzu lang.
    Port 443, soll noch von Seafile und eigener Webseite angesprochen werden. Ebenso, mein Mumble Server. Allerdings dauert das noch ein wenig, bis es so weit ist.

    Braeuchte halt die VPN verbindungen, damit ich meine Daten/Bilder weiterhin synchroniesieren kann. Vorallem braeuchte ich die Synchroniesierung, fuer meine Firmen Daten.

    Wie auch immer, hier die Infos, was mir ausgespuckt wurde, per VPN uber Hotspot meines Handy's:


    ifconfig -a


    route -n

    Code
    Kernel IP routing table
    Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
    0.0.0.0         10.8.0.9        0.0.0.0         UG    0      0        0 tun0
    10.8.0.0        10.8.0.9        255.255.255.0   UG    0      0        0 tun0
    10.8.0.9        0.0.0.0         255.255.255.255 UH    0      0        0 tun0
    MyProviderIP    192.168.43.1    255.255.255.255 UGH   0      0        0 wlan0
    192.168.43.0    0.0.0.0         255.255.255.0   U     9      0        0 wlan0

    zu guter letzt

    sudo iptables -nvx -L -t nat

    Unschluessig ist mir, das meine internal ip im Heimnetzwerk eigentlich 192.168.1.65 sein sollte. Wenn ich mit VPN verbunden bin, dann ist es "192.168.43.239".


  • Da es ja vorher auch geklappt hat, ...
    ifconfig -a

    Code
    tun0      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00  
             inet addr:10.8.0.10  P-t-P:10.8.0.9  Mask:255.255.255.255
             UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1500  Metric:1
    
    
    wlan0     Link encap:Ethernet  HWaddr 48:d2:24:55:9c:52  
             inet addr:192.168.43.239  Bcast:192.168.43.255  Mask:255.255.255.0
             inet6 addr: fe80::4ad2:24ff:fe55:9c52/64 Scope:Link


    route -n

    Code
    Kernel IP routing table
    Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
    0.0.0.0         10.8.0.9        0.0.0.0         UG    0      0        0 tun0
    10.8.0.0        10.8.0.9        255.255.255.0   UG    0      0        0 tun0
    10.8.0.9        0.0.0.0         255.255.255.255 UH    0      0        0 tun0
    MyProviderIP    192.168.43.1    255.255.255.255 UGH   0      0        0 wlan0
    192.168.43.0    0.0.0.0         255.255.255.0   U     9      0        0 wlan0

    Versuch mal auf deinem Laptop, mit z. B.:

    Code
    sudo route del default gw 10.8.0.9 dev tun0
    sudo route add default gw 10.8.0.10 metric 100 dev tun0
    route -n
    ping -c 3 -W 2 10.8.0.1
    ping -c 3 -W 2 <IP-Adresse-Gerät-in-deinem-Heimnetz/VPN-des-Servers>
    ping -c 3 -W 2 193.99.144.80
    mtr -4nr -c 2 -i 2 193.99.144.80

    Was genau meinst Du mit:


    Unschluessig ist mir, das meine internal ip im Heimnetzwerk eigentlich 192.168.1.65 sein sollte. ...


    ?

    EDIT:

    Poste auch von deinem VPN-Server, die Ausgabe von:

    Code
    sudo iptables -nvx -L -t nat
    sysctl net.ipv4.ip_forward

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Meine PIs

    PI4B/8GB (border device) OpenBSD 7.4 (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server

    PI3B+ FreeBSD 14.0-R-p3 (arm64): SSH-Serv., WireGuard-Serv., ircd-hybrid-Serv., stunnel-Proxy, Mumble-Serv., ddclient

    PI4B/4GB Bullseye-lite (64bit; modifiziert): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server, botamusique, ample

    Einmal editiert, zuletzt von rpi444 (19. Juli 2016 um 10:13)

  • Leider verstehe ich das ganze Prinzip nicht so ganz. Ist es nicht möglich, das der vpn server ip Adressen für die Clients vergibt, die im heimischen Netzwerk vergeben würden? Sprich 192.168.1.65?

    Könntest du deine sachen ein wenig erläutern, was dies genau bewirkt bzw warum ich das machen sollte? Oder würde das zu viel sein?


  • Leider verstehe ich das ganze Prinzip nicht so ganz. Ist es nicht möglich, das der vpn server ip Adressen für die Clients vergibt, die im heimischen Netzwerk vergeben würden? Sprich 192.168.1.65?

    Nein, denn Du verbindest per VPN 2 (W)LANs und konfigurierst auch ein Routing aus einem LAN in das andere LAN.


    Könntest du deine sachen ein wenig erläutern, was dies genau bewirkt bzw warum ich das machen sollte? Oder würde das zu viel sein?

    Das wäre m. E. zu viel, denn das sind Netzwerk- und VPN-basics.

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Meine PIs

    PI4B/8GB (border device) OpenBSD 7.4 (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server

    PI3B+ FreeBSD 14.0-R-p3 (arm64): SSH-Serv., WireGuard-Serv., ircd-hybrid-Serv., stunnel-Proxy, Mumble-Serv., ddclient

    PI4B/4GB Bullseye-lite (64bit; modifiziert): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server, botamusique, ample

    Einmal editiert, zuletzt von rpi444 (19. Juli 2016 um 10:17)

  • Da es ja vorher auch geklappt hat, moechte ich einen weiteren Server umgehen.


    Ein zweiter VPN-Server heisst nicht, eine zweite Maschine aufzusetzen, sondern auf der Maschine, auf der jetzt schon OpenVPN mit dem UDP-Tunnel läuft, OpenVPN in einer zweiten Instanz noch mal laufen zu lassen.... und zwar mit TCP auf Port 443.

    Du wirst immer wieder auf WISP treffen, wo der UDP-Tunnel fehlschlägt. Bisher (immer) hat bei mir dann und in solchen Fällen alternativ der TCP-Tunnel zuverlässig funktioniert. Ausser einer weiteren Conf für TCP/443 und den Daemon noch mal zu starten, kostet das nichts .... weder Geld, noch Arbeit, noch Performance.

    Einmal editiert, zuletzt von WinterUnit16246 (19. Juli 2016 um 11:48)

  • Okidoki
    Wie stellt man das am besten ein? Thomas?


    rpi444
    Schicke erst einmal mal diese Ausgaben.

    sysctl net.ipv4.ip_forward
    net.ipv4.ip_forward = 1


    Boh meine Güte! Das war jetzt aber Harte Arbeit das alles irgendwie hier rein zu kopieren. Mache das nie wieder per Handy!

    Gn8 [WAVING HAND SIGN]


    Edit:
    push “route 192.168.1.0 255.255.255.0”
    Würde das nicht es erzwingen, wenn ich es in die Server config packe?

    Einmal editiert, zuletzt von DanSman (19. Juli 2016 um 16:35)

Jetzt mitmachen!

Du hast noch kein Benutzerkonto auf unserer Seite? Registriere dich kostenlos und nimm an unserer Community teil!