VPN zum entfernten PI(UMTS steht)

  • Hallo Forum

    Leider habe ich Erfolglos eine Woche lang ein Tunnel Sicherheitsproblem nicht hinbekommen.
    Eine Tunnelverbindung steht und funktioniert auch zwischen zwei PI's aber es wird im Forum immer vor diesen Tunnelsystem gewarnt.
    Da viele immer wieder von VPN Verbindung sprechen würde ich gerne meine Verbindung zwischen meinen RemotePI und Heimnetzwerk aufbauen.
    Meine Hardwareseite ausserhalb besteht aus:
    RaspberryPI
    TP-LINK 3020 Router mit UMTS Stick.
    Der TP 3020 hat schon eine Verbindung zum Internet über den UMTS Stick.

    Im Heimnetzwerk steht eine:
    FritBox 7490
    Raspberry PI
    PC und Laptops.

    Leider find ich hier im Netz bisher Projekte wo der Raspberry direkt mit dem UMTS Stick verbunden ist.
    Ich würde gerne den TP 3020 auf der entfernten Seite mitbenutzen.
    Als Image habe ich das "2016-02-09-raspbian-jessie" auf beiden PIs.

    Gruß Herbert


  • ... beiden PIs.

    Welcher der beiden PIs ist hinter einem Router (... oder gleichwertig, als border device) mit einer öffentlichen IPv4-Adresse (d. h. evtl. kein DS-lite oder CGN) und ist aus dem Internet erreichbar?

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Meine PIs

    PI4B/8GB (border device) OpenBSD 7.4 (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server

    PI3B+ FreeBSD 14.0-R-p3 (arm64): SSH-Serv., WireGuard-Serv., ircd-hybrid-Serv., stunnel-Proxy, Mumble-Serv., ddclient

    PI4B/4GB Bullseye-lite (64bit; modifiziert): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server, botamusique, ample

  • Hallo

    Danke für die schnelle Rückmeldung.

    Beide PI's stehen hier erstmal im Arbeitzimmer.
    Der RemotePI ist über ein TP-Link Switch und der Switsch ist am Netwerkanschluss des TP Link Router verbunden.
    Dieser Router hat einen UMTS Stick (Flaterate A***-Ta...) angeschlossen der eine Verbindung zum Internet hat.

    Der GatewayPI ist direkt über LAN mit Heimnetzwerk der Fritzbox 7490 verbunden. Natürlich sind noch andere Geräte wie z.B. mein Laptop oder andere WLAN Geräte im Heimnetzwerk verlinkt.
    Da ich mit meinem Laptop das 5GHZ über einen USB WLAN Stick nutze und auch noch einen 2,4 GHZ interne WLAN am Laptop habe kann ich mich somit gleichzeitig über beide Netze verfügen.

    Das Ziel wäre das (ich nenne es mal das RemoteNetzwerk) über eine VPN Verbindung zu erreichen um dann auf den RemotePI zugreifen zu können um z.B. verschieden Dinge zu steuern,messen und was sonst noch so Spass mach zum lernen.

    Gruß Herbert

  • Morgen Forum

    Leider habe ich Erfolglos versucht meine Tunnelverbindung mittels "meigrafd" link aufzubauen um diese "etwas Sicherer" zu gestalten.
    Bei diesem Versuch scheiter ich mit weiter unten stehenden Meldung das ich keinen richtigen Schlüssel hätte. Zudem habe ich versucht mich an die Anweisung zu halten wobei ich natürlich die Bezeichnung sshuser gegen meinen sshXXXX getauscht habe.
    in dem neu angelegten Ordner .ssh sind auch die neu erstellten Dateien:

    -rw------- 1 sshXXXX sshXXXX 408 Mär 1 08:11 authorized_keys
    -rw------- 1 sshXXXX sshXXXX 1766 Mär 1 08:09 id_rsa
    -rw-r--r-- 1 sshXXXX sshXXXX 408 Mär 1 08:09 id_rsa.pub

    Danach der Hinweis:
    "Die Datei id_rsa beinhaltet den Privaten Schlüssel welchen wir für den SSH Zugriff des Klienten benötigen und muss auf den Rechner kopiert werden welcher dann auf den PI zugreift. Das könnt ihr am besten per SCP machen".

    Diese Datei habe ich mittels scp Befehl zum GatewayPI übertragen.

    Nach dem Hinweiss die /etc/ssh/sshd_config zu ändern und ein Neueinlesen der sshd_config komme ich nicht über Putty auf den RemotPI.
    Ein Login als pi oder sshXXXX gibt mir folgende Fehlermeldung:

    Putty Fatal Error
    Disconnected: No supported authentication methods available
    (server sent: publickey)

    Ich frage mich natürlich in welches Verzeichnis ich die Datei "id_rsa" auf dem GatewayPi kopiere mußte.
    Bei mir liegt diese z.Z auf dem GatewayPI im Verzeichnis /home/pi/.ssh des Benutzers PI da es hier ja keinen User sshXXXX gibt.
    zudem gehört diese Datei pi:

    -rw------- 1 pi pi 1766 Mär 1 08:09 id_rsa


    Komme hier einfach nicht weiter.
    Das tolle ist ja das meigradf zum Schluss erwähnt:"Wer die Key-Datei nicht hat kann auch nicht zugreifen".

    Wahrscheinlich habe ich diesen selber nicht mal (selbst ausgesperrt). :s

    Naja, vorher ist ja der Hinweiss das aktive Fenster göffnet zu halten und dann erst versuchen damit der Benutzer sich nicht selbst aussperrt.
    :thumbs1:


    Gruß aus Dorsten
    Herbert


  • ... die Bezeichnung sshuser gegen meinen sshXXXX getauscht habe.

    Ursprünglich geht es in deinem Thread doch um VPN. Warum jetzt ssh in diesem Thread?

    BTW: Wo hast Du das Schlüsselpaar erzeugt (generiert), auf dem Server (Zielsystem) oder auf dem Client?

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Meine PIs

    PI4B/8GB (border device) OpenBSD 7.4 (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server

    PI3B+ FreeBSD 14.0-R-p3 (arm64): SSH-Serv., WireGuard-Serv., ircd-hybrid-Serv., stunnel-Proxy, Mumble-Serv., ddclient

    PI4B/4GB Bullseye-lite (64bit; modifiziert): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server, botamusique, ample

  • In deinen Fall, von einem UMTS-System zu einer FritzBox (FB) an einem DSL-Anschluss, wirst du den Tunnel nur vom PI aus aufbauen können.

    Wenn du die FB als Tunnelendpunkt nimmst, wird der Tunnel eine Tunnel vom Typ IPsecV1 sein, da die FB nur das kann.

    Du kannst bei der FB die Konfiguration der Einstellungen für den Tunnel über die Weboberfläche vornehmen, und die dann die Daten, die du für den anderen Tunnelendpunkt brauchst (deinem PI) dort in einer Datei exportieren.
    Auf dem PI installierst du IPsec, in der Version 1, und importierst die Datei bzw. übernimmst die Daten aus der Datei in die entsprechenden Konfigurationsdateien.

    Die FB muss im Internet über einen ddns-Namen erreichbar sein. Da gibt es verschiedene Anbieter, auch den Dienst von AVM kannst du dafür nutzen.

    Bei dem TP-Link-Router kann es Notwendig sein, dass du die Ports 4500 und 500 sowie den Protokoll-Typ GRE in Richtung PI freigibst,

    --------------------
    Die Bedingung bei jedem VPN-Tunnel ist, dass das System, dass den Tunnelaufbau annimmt, aus dem Internet direkt, ohne NAT durch dritte oder einen Proxy, erreichbar ist.

    Computer ..... grrrrrr

  • Hall Forum

    Danke für die Rückmeldungen.

    rpi444
    Da muss Dir recht geben das ich dieses Thema VPN voll verfehlt habe.
    Ich dachte mit der Überschrift "VPN zum entfernten PI(UMTS steht)" wäre auch der SSH Tunnel einbegriffen.

    Rasp-Berlin
    Eine Verbindung über SSH vom RemotePI --- TPLINK 3020 --- Fritzbox7490---- GatewayPI steht.
    Zur Zeit versuche ich ja auch noch hier:
    RPi mit UMTS Stick, VPN zu FritzBox
    weiter zu kommen.

    @Beide


    Was kann ich jetzt am besten machen um nicht noch weiter Blöd.... anzustellen, seitens diesem Thread's.

    Gruß Herbert


  • ... wäre auch der SSH Tunnel einbegriffen.

    Für einen SSH-Tunnel, siehe z. B.: https://wiki.ubuntuusers.de/SSH/#SSH-Tunnel

    Für den SSH-Tunnel mit Putty, siehe z. B.: http://www.netzmafia.de/skripten/internet/putty-tunnel.html

    oder/und

    http://howto.ccs.neu.edu/howto/windows/…ing-with-putty/

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Meine PIs

    PI4B/8GB (border device) OpenBSD 7.4 (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server

    PI3B+ FreeBSD 14.0-R-p3 (arm64): SSH-Serv., WireGuard-Serv., ircd-hybrid-Serv., stunnel-Proxy, Mumble-Serv., ddclient

    PI4B/4GB Bullseye-lite (64bit; modifiziert): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server, botamusique, ample

  • Hallo Forum

    Jetzt habe ich fast den ganzen Tag versucht eine VPN Verbindung (ja richtig, keine SSH den die hatte ich ja schon die ganze Zeit am laufen)einzurichten.
    Die SSH Verbindung über das Tunnelsystem von Chris klappte ja schon und ich konnte und kann meine GPIO schalten und walten wie es sich für einen richtigen Anfänger gehört.
    Und wenn ein Anfänger so wie ich ja auch gerne selber was lernen möchte gibt es hier ja auch manchmal "so Vorschläge" wie lesen lesen lesen. Nur heute habe ich die Erfahrung gemacht das zu viel lesen lesen lesen auch negativ sein kann um weiter zu kommen.
    Während des lesen kommt man schnell als Anfänger auf Kommentare wie SSH ist nicht sicher, "so würde ich es nicht machen" oder baue dir doch ein VPN Tunnel. So wieder ein Tunnel. Nun habe ich nach langen hin und her eine (ich nenne sie mal VPN VERBINDUNG) von meinen RASPberry PI zur Fritzbox, wobei wahrscheinlich jetzt Einwende kommen es wäre umgekehrt wie bei der Stromrichtung, erscheinen.
    Somit brauche ich zum schalten meine GPIO ja keinen GatewayPI mehr. Zur Zeit baut sich der PI jede Stunde eine Verbindung auf weil ich es noch nicht geschafft habe in der Crontab es so zu gestalten das er nach dem booten läuft. Der Eintrag mit 1 Minute nach voll funktioniert in der Crontab zuverlässig!!
    Jetzt bin ich froh das ich erstmal überhaupt eine Verbindung über VPN habe da taucht schon wieder openVPN auf???
    Danach das die Fritzbox bei meinem jetzigen aktuellen VPN Betrieb Stromschwankungen bekommen würde???

    Naja, viele Wege führen nach ROM und es kann ja nur besser werden den man lernt nicht aus.
    Danke an alle für die Hilfe denn es macht immer noch Spass

    Gruß aus Dorsten
    Herbert

  • Morgen Forum

    Heute habe ich meinen RemotePI eingeschaltet und dieser hat sich leider nicht von selbst über VPN mit der Fritzbox verbunden.
    In der Crontab habe ich verschiedene Einträge versucht. Bei meinem vorherigen Tunnelsystem konnnte ich durch den Eintrag:

    @reboot /home/pi/tunnel.sh

    die Verbindung sofort herstellen.

    Das habe ich jetzt mit dem VPN Tunnel auch versucht indem ich ein Shelldatei anlegte mit dem Script darin.

    @reboot /home/pi/vpnstart.sh

    leider klappt der automatische start damit nicht.

    Jetzt habe ich z.B. diesen Eintrag erzeugt:

    #*/5 * * * * /home/pi/vpnstart.sh > /dev/null
    Jetzt startet er aber alle 5 Minuten (also müßte die vpnstart.sh keinen Fehler haben)
    wenn ich es richtig verstehe, was aber nicht Sinn der Sache ist.
    Gut Ich schalte den PI ein und muss höchstens 5 Minuten warte aber......

    Werde in der Zwischenzeit versuchen mehr über die Crontab zu verstehen.

    Gruß aus Dorsten und einen erfolgreichen Tag
    Herbert

    PS. Wer gibt denn hier die Sterne, ich Stelle die Fragen wo sich die Gurus hier die Augen verdrehen und bin schon ein halber Guru :helpnew:


  • @reboot /home/pi/tunnel.sh

    leider klappt der automatische start damit nicht.

    Evtl. ist mit @reboot noch zu "früh". Versuch mal mit dem Script, aus der /etc/rc.local, mit der richtigen Syntax.

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Meine PIs

    PI4B/8GB (border device) OpenBSD 7.4 (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server

    PI3B+ FreeBSD 14.0-R-p3 (arm64): SSH-Serv., WireGuard-Serv., ircd-hybrid-Serv., stunnel-Proxy, Mumble-Serv., ddclient

    PI4B/4GB Bullseye-lite (64bit; modifiziert): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server, botamusique, ample

  • Hallo

    Danke, aber ich muss sofort erklären das der Eintrag:

    @reboot /home/pi/tunnel.sh
    Verbindung funktioniert
    Inhalt der tunnel.sh
    /usr/bin/autossh -pxxxx -fNC -R xxxx:127.2.3.1:12 -R 111111:127.0.0.1:xx user@abcdefghijklnmopqrstuvw.myfritz.net

    @reboot /home/pi/vpnstart.sh
    Verbindung fehlgeschlagen
    Inhalt der hier vpnstart.sh
    #!/bin/bash
    sudo vpnc /etc/vpnc/fritzbox.conf

    #*/5 * * * * /home/pi/vpnstart.sh > /dev/null
    Verbindung wird nach 5 Minuten aufgebaut, aber das macht er ja dann alle 5 MInuten.
    Inhalt hier der vpnstart.sh
    #!/bin/bash
    sudo vpnc /etc/vpnc/fritzbox.conf

    Kann es sein das der Unterschied des vpnstart.sh mit dem Eintrag "#*/5 * * * * /home/pi/vpnstart.sh > /dev/null" bis zu 5 Minuten noch vergehen und bei dem Eintrag "@reboot /home/pi/vpnstart.sh" es sofort passiert und der PI selber noch nicht so weit ist?.
    So verstehe ich jedenfalls Deinen Hinweis.

    Versuche es jetzt mit /etc/rc.local

    Vielen Dank
    Gruß Herbert


  • Kann es sein das der Unterschied des vpnstart.sh mit dem Eintrag "#*/5 * * * * /home/pi/vpnstart.sh > /dev/null" bis zu 5 Minuten noch vergehen und bei dem Eintrag "@reboot /home/pi/vpnstart.sh" es sofort passiert und der PI selber noch nicht so weit ist?.

    Ja, so ähnlich. Wahrscheinlich geht es auch schon nach 1 Minute (und nicht erst nach 5 Minten) und mit dem entsprechenden Eintrag/Script könntest Du das auch verhindern, dass das Script danach alle 5 Minuten oder minütlich, erneut gestartet wird, ... aber die log-Dateien werden dir vom cron trotzdem zugemüllt? Oder hast Du das so konfiguriert, dass das nicht der Fall ist?

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Meine PIs

    PI4B/8GB (border device) OpenBSD 7.4 (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server

    PI3B+ FreeBSD 14.0-R-p3 (arm64): SSH-Serv., WireGuard-Serv., ircd-hybrid-Serv., stunnel-Proxy, Mumble-Serv., ddclient

    PI4B/4GB Bullseye-lite (64bit; modifiziert): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server, botamusique, ample

  • Wennd as so:

    Code
    #*/5 *  * * * /home/pi/vpnstart.sh > /dev/null


    in der Crontab drin steht, kann es nicht funktionieren.

    Ersten zeigt die # am Anfang, dass der Eintrag auskommentiert ist, zweitens fehlt im Script für das Programm "vpnc" der Pfad.

    Computer ..... grrrrrr

  • Hallo Rasp-Berlin


    */5 * * * * /home/pi/vpnstart.sh > /dev/null

    so steht es bei mir und er startet auch. Habe mal meine WIN Zeit geschaut un die des PI's. Beide laufen Zeitgleich.
    Schalte ich den PI um 12:43 ein habe ich um 12:45 und ein paar Sekunden eine Verbindung.
    Schalte ich den PI um 13:01 ein muss ich bis ca. 13:05 und ein paar Sekunden warten und er ist verbunden.
    Also mit diesem Eintrag, jetzt habe ich die Raute natürlich wieder entfernt, macht er das mit den erwähnten:
    "Ich muss höchstens 5 Minuten warten".

    Gruß Herbert

  • Hallo Forum

    Externes Netzwerk:
    RaspberryPI
    TP-LINK 3020 Router mit UMTS Stick.
    Der TP 3020 hat schon eine Verbindung zum Internet über den UMTS Stick.

    Im Heimnetzwerk steht eine:
    FritBox 7490
    Raspberry PI
    PC, Laptops, Tablet und Handy.

    Sollzustand(Wunsch):
    Ich möchte auch von ausserhalb per Handy oder Tablet auf meinen entfernten PI zugreifen.

    Istzustand:
    Ich kann von meinem Geräten PC, Laptop, Tablet und Handy intern über das Heimnetz auf den externen PI zugreifen.
    Der externe PI baut eine Verbindung zur FritzBox auf und ich kann z.B. per PUTTY im Heimnetzwerk auf den externen PI zugreifen.
    Dort hat er in der FritzBox unter:
    Internet:
    Freigaben:
    VPN:

    Aktiv Name Adresse im Internet lokales Netzwerk entferntes Netzwerk Status
    x MsXXXXXXXXX 176.AAA.BBB.CCC 0.0.0.0 192.168.ABC.DEF :^^:


    diese Einträge.

    Nun würde ich auch gerne von ausserhalb auf den PI über die FritzBox kommen.
    Nur da komme ich nicht weiter.
    Ich hatte evtl. daran gedacht, mir zu meinem Laptop oder PC eine Remote Verbindung aufzubauen was aber wohl dazu führt
    die Geräte eingeschaltet zu lassen.
    Auch eine Portweiterleitung über die Adresse 192.168.ABC.DEF wird abgewiesen weil die Adresse 192.168.ABC.DEF nicht zum Netzwerk gehört.

    Die Portfreigabe kann nicht erstellt oder aktiviert werden, da das Ziel nicht im Heimnetz liegt.

    Wie oben erwähnt habe ich im Heimnetzwerk von meinen z.B. WIN7 Laptop über Putty eine Verbindung zum externen PI.
    Vom PuttyTerminal kann ich so z.B. meine Funksteckdosen im entfernten Raum schalten. Die Temperaturen auslesen usw.
    Auch der Ping zur Adresse 192.168.ABC.DEF klappt.
    Deswegen glaubte ich auch das der externe PI in meinem Heimnetzwerk eingebunden ist und ich mal "ebend" eine Portweiterleitung einrichte.

    Gruß aus Dorsten
    Herbert

Jetzt mitmachen!

Du hast noch kein Benutzerkonto auf unserer Seite? Registriere dich kostenlos und nimm an unserer Community teil!