OpenVPN Access Server (DEBIAN9) - Portweiterleitung

  • Hey zusammen,


    da mir die Dyndns lösung zu "einfach" ist, der basteltrieb auch iwie anschlägt, bräuchte ich hilfe bei folgender umsetzung:


    ich habe:

    VPS 100 mit openvpnaccess server auf debian 9 bei netcup


    Zuhause: fritzbox 7590 "als dummes gerät / passtrough" - dahinter am (wan asus router-> lan fritzbox) einen asus ac86u (exzelente vpn performance).


    Ziel: die feste IP des vps samt portanfragen von extern im internen Heimnetzwerk zu verteilen


    Beispiel: vpn client ist im asus router eingestellt, verbindet sich auch mit dem vpn server, unter wieistmeineip.de wird auch die ip des vps angezeigt - inet klappt also, verbindung ebenso.


    Nun wollte ich testweite zb auf dem rechner einen ts3 server testen - runtergeladen, gestartet - portforwarding 9987 udp auf meine interne (192.168.x.xx) - vergebene IP vom dhcp des asusrouters gemacht.


    wenn ich jetzt zb von nem externen gerät (smartphone mit ts3 app) die ip des "VPS" eingebe, dachte ich dass der vpn dann ins heimnetz weiterleitet und dort dann auf den "aktuell noch lokalen" ts server verbindet.


    allerdings tut er das nicht..

    habe das image von netcup genommen mit dem opvenvpn access server - wiegesagt, verbindung mit nem neu angelegten user usw klappt problemlos im asus router als vpn client.


    WAS muss ich tun, damit das routing <---> klappt?

    Würde amliebsten alle anfragen samt prots zb über den vpn ins heimnetz routen lassen, dort dann mittels nat + firewall das ganze filtern.. aber halt so das ich dann mit ner portweiterschaltung meine "dienste" ans laufen bekomme :)


    in der shell im debian habe ich noch nichts geändert -> image installiert, user angelegt -ovpn geladen, im asus eingerichtet, portweiterleitung für den ts port gemacht usw..


    möchte genau so ein szenario haben das ich quasi die feste ip des vps im kompletten heimnetz nutzen kann :) - kein dyndns, reverse proxy usw. - auch nicht "warum" :D würde es einfach gerne so haben wollen :,) (nicht böse gemeint)


    Anbindung zuhause: telekom 250/42 einwahl über ppoe


    falls jmd mir eine anleitung geben kann oder etwas unter die arme greiftr, wäre ich dankbar.


    edit: - möchte iwan vl nen kleinen lokalen heimserver haben, auf dem ne vm mit minecraft, ts, garrys mod, kleine website (mit serverdaten für die jeweiligen dienste) läuft. das ganze auch nicht 24/7 sondern für freunde, familie und zum spaß + experementieren.

    - RS Brezn (Pterodactyl; Nextcloud und geheime Erotiksammlung, damit die Freundin nichts davon mitbekommt)

    - VPS 200 G10 (Mailkuh)

    - Webhosting Bestprice Classic

  • Ich gehe mal davon aus, dass die VPN Verbindung soweit läuft.

    Jetzt musst du mit iptables (Firewall) den eingehenden Traffic weitergeben an den Rechner im heimischen Netz.


    Fie genauen Regeln habe ich nicht im Kopf kann ich dir heute Abend raus suchen.

    Habe das ganze ähnlich gemacht mit meinem NAS. Nutze aber WireGuard statt openVPN

  • Was du mit dem NAT und dem Router willst verstehe ich derzeit nicht.

    vps: Eth0; externe ip, VPN interne ip (192.168.1.1)


    Router verbindet sich mit dem VPN


    Bekommt die ip 192.168.1.2

    Sorgt somit dafür dass alle Rechner im 192.168.1.0/24 im virtuellen Netzwerk mit dem VPS hängen.

    jetzt leitest du folgendes weiter


    Externeip:Port an interneip:Port

    dazu musst grundsätzlich das Traffic routing Abschalten (googeln) und die Firewall einstellen:


    Habe das ganze ähnlich gemacht mit meinem NAS. Nutze aber WireGuard statt openVPN

    Code
    iptables -A FORWARD -i eth0 -o wg0 -p tcp --syn --dport 443 -m conntrack --ctstate NEW -j ACCEPT
    iptables -A FORWARD -i eth0 -o wg0 -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
    iptables -A FORWARD -i wg0 -o eth0 -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
    iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 443 -j DNAT --to-destination 192.168.1.25
    iptables -t nat -A POSTROUTING -j MASQUERADE
  • Erstmal vielen Dank!

    Ja VPN läuft soweit alles gut, werde deine Anleitung heute abend mal testen und berichten.

    Darf man fragen wieso wire statt ovpn?

    Vorteile / Nachteile, ggfls für meine Zwecke besser? Würde bei openvpn die Verschlüsselung eh abschalten - frisst Performance und wird für meine Zwecke nicht benötigt da ab dem root - > Netz dort eh unverschlüsselt weiter geht.

    - RS Brezn (Pterodactyl; Nextcloud und geheime Erotiksammlung, damit die Freundin nichts davon mitbekommt)

    - VPS 200 G10 (Mailkuh)

    - Webhosting Bestprice Classic

  • Vorteile / Nachteile

    Wireguard funktioniert vom Prinzip her anders (ist peer to peer, nicht client <-> server). Hat dadurch zum Beispiel große Nachteile, wenn man viele Leute einwählen lassen will (jeder braucht eine konfigurierte IP), ist somit für Firmen o.ä. schwer umzusetzen. Ich habe bei meinem Server auch mal den Überblik verloren, welcher Rechner jetzt welche IP bekommen hat ... Muss man also ordentlich Dokumentieren ;)

    Vorteil ist, dass es momentan das schnellste am Markt ist und es ist Roamingfähgig (finde ich toll, wenn ich mit dem Handy unterwegs bin).

    In deinem Fall, zum verbinden von zwei Netzen ist es momentan die Software der Wahl.

    Gute Untersuchung wurde hier gemacht: https://www.perfect-privacy.co…reguard-vpn-pros-and-cons

  • wireguard sieht für mich grad interessant aus, da es multithread unterstützt, dann würde niucht alles an 1 core im ac 86u hängen, bins g rade mal am testen und am einrichten (nie gemacht) :D hab mir debian 10 installiert und teste grad mal pivpn und kämpfe mich so durch *lel* :D

    - RS Brezn (Pterodactyl; Nextcloud und geheime Erotiksammlung, damit die Freundin nichts davon mitbekommt)

    - VPS 200 G10 (Mailkuh)

    - Webhosting Bestprice Classic

  • Zum schnell mal ausprobieren reicht wg-quick. Offizielle Anleitung: https://www.wireguard.com/quickstart/

    Man muss es halt vorher installieren und das ist unter Debian gerade fast am aufwändigsten, weil es nicht in den Stable repos ist. https://www.wireguard.com/install/

    Wenn du noch kein apt-pinning hast (du hast ja ein neues System), ist das mit dem Vierzeiler aus der Anleitung getan, ansonsten musst du aufpassen, dass keine andere Config überschrieben wird ;)


    Es ist etwas versteckt (wieso eigentlich), aber ich habe bei mir "Step 2 Alternative D" gewählt und bin sehr zufrieden: https://wiki.debian.org/Wireguard

    Ist also eigentlich: Installieren, configfile anlegen, starten. Für das Configfile gibts Beispiele in der wg-quick Manpage: https://git.zx2c4.com/wireguar…/about/src/man/wg-quick.8

  • Gute Untersuchung wurde hier gemacht: https://www.perfect-privacy.co…reguard-vpn-pros-and-cons

    An sich gut, aber der Post ist schon über ein Jahr alt, inzwischen ist wireguard wohl um einiges gereift, es soll ja vielleicht schon im Kernel 5.6 enthalten sein.



    Ich habe bei meinem Server auch mal den Überblik verloren, welcher Rechner jetzt welche IP bekommen hat ... Muss man also ordentlich Dokumentieren ;)

    Du kannst direkt in der Config mit '#' Kommentarzeilen schreiben, z.B.

    Code
    [Peer]
    # Laptop
    PublicKey = abc...

    Damit die Kommentare bestehen bleiben darfst du allerdings "SaveConfig" nicht aktiviert haben, weil das die sonst entfernt.

    friendly chat by and for customers:

    irc.hackint.org:6697

    #nc-kunden