VPN Verbindung von zuhause zum Root Server

  • Hallo zusammen,


    Hab wegen meines Szenarios eine zeitlang gegoogelt, aber keine brauchbare Antwort gefunden.

    Ich moechte nur auf ein einziges Class-C-Netz durch den Tunnel zu meinem Rootserver dahinter umleiten. Der restliche

    Traffic soll davon nicht betroffen sein.

    Also erstens sollte das doch problemlos funktionieren mit OpenVPN (kenne von frueher nur ipsec) !?

    Und dabei muesste ich mir sogar aussuchen koennen, ob ich hinter meiner Netcup-IP das gleiche Class-C-Netz

    verwende wie zuhause !?

    Bevor ich loslege und ggf. die vorhanden iptables-Rules verkonfiguriere und dann auch noch das Rettungssystem in Anspruch nehmen

    muss, dachte ich mir "besser mal nachfragen".


    ******************************************************* |-- 192.168.177/24 (=Variante 1)

    192.168.178.123 ---------------------------------- 188.x.y.z

    ******************************************************* |-- 192.168.178/24 (per proxy-arp oder def.Subrange = Variante 2)


    Ich vermute mal, dass mehr fuer Variante 1 spricht ?!


    Gruss

    Andi

  • OpenVPN hab ich bisher nie genutzt, daher halt mich da zurueck.

    Was iptables-Tests angeht: wenn ich mir da unsicher bin/teste/spiele, dann hab ich da einen Cronjab aller 15min/30min gesetzt, der die Rules flasht, also komplett deaktiviert - damit bin nur eine befristete Zeit ausgesperrt ;)

    Man sollte nur dran denken, den Cronjob dann wieder zu deaktivieren ....

    Gruss

  • Du möchtest nur von außen auf dein Class C zuhause zugreifen richtig? Welches Gerät baut von Zuhause zum Netcup Server die Verbindung auf?

    Auf dem OVPN Server musst du nur den Zugriff von außen auf den VPN Port zulassen. Intern dann auf dem TUN Device Input und Forward.
    Der Rest geschieht in der server.conf selber. Push der Rückrouten, evtl. feste IP Zuweisung usw. OpenVPN baust du über UDP/TUN auf.

  • I

    Ich benötige Zugriff von meinem Ubuntu Laptop auf das "Public LAN", welches aber ein privates Class-C-Netz verwendet.

    Das "Public LAN" ist also genau genommen keines. Zum Testen im eigenen LAN/HOME ja alles kein Problem, solange diese

    Konstruktion nicht beim Provider steht.


    Das Ganze klappt jetzt auch ! Letztlich auch ohne Anpassung der iptables-Rules (ja, das mit dem Cronjob ist keine schlechte Idee,

    war mir beim Testen doch ziemlich sicherm mich nicht auszusperren).


    Das mit der push-Route hatte ich gestern auch schon per lokaler Route auf tun0 gelöst. Ist aber in der server.conf sicherlich eleganter.

    Die mit Abstand meiste Zeit hab ich dadurch verbraten, da ich das Netz "10.8.0.0" schon ziemlich früh geändert hatte.

    Aber anscheindend hat dieses Netz eine spezielle Bedeutung !? Als ich da wieder zurück bin, hat es sofort funktioniert.


    D.h. ich kann jetzt vom Laptop z.B. per SSH auf einen Server zugreifen, der eine im Internet nicht routbare private IP verwendet,

    was für meine private Cloud-Testszenarien(Openstack) völlig ausreichend ist.


    Nachdem es im Forum schon ein paar Diskussionen zum Thema Openstack auf Netcup Rootservern gab, werde ich hier noch für Interessierte

    einen extra Post im Forum verfassen.

  • Du brauchst halt einen IP Space für das VPN selber. Du könntest den Server auch als Einwahl direkt in das Netz konfigurieren, aber dann muss der VPN Server ja sich im Zielnetz befinden. 10.8.X.X ist kein spezieller, sondern halt nur ein privater Space wie 192.168.X.X oder bestimmte 172er.

    Der Performance wegen: schaue dir die MTU Settings an. Denk daran, dass die Pakete zusätzliche Header beinhalten und somit die Nuzdaten reduzieren. Ich musste bei einem Kunden auf 13XX herunter, weil gerade in Verbindung mit IPv& (DSLite) usw. sonst der Durchsatz in den Keller ging (Stickwort Fragmentierung).

  • Statt der 10.8.X.X hatte ich schon auch ein anderes privates Netz eingetragen. Vielleicht gab es da aber eine lokale Ueberschneidung.

    Auf die MTU-Geschichten bin ich bei meiner Suche auch gestossen. Hab gestern auch eine Warning dazu auf der Konsole gesehen.

    Viel Performance brauch ich aber eh nicht. Werde meine Settings hier aber dennoch anpassen. Danke fuer den Hinweis.

    Interessant im Uebrigen, dass hier fragmentiert wird. Aus den Anfaengen der DSL-Zeit kann ich mich bei Site-Site VPN Verbindungen noch

    an Abbrueche erinnert. Aber vielleicht war da "don't fragment" mit im Spiel.