Client --[openvpn_ipv4]--> vserver --[openvpn_ipv6]--> Zuhause und zurück möglich?



  • Hallo Zusammen!

    Ich weiß das ich hier falsch bin, und es hier ein Off-Topic gibt. Aber mein schriftliches Englisch ist so ziemlich beschissen wenn ich ehrlich bin.

    Und da ich letztens hier ruckzuck und kompetent weitergeholfen wurde, wollt ich gern hier meine Frage stellen :-)

    Es geht sich um folgendes: Ich habe nun dank euch erfolgreich ein OpenVPN IPv6 only Server auf pfSense konfiguriert. Da ich WAN-Seite nur eine IPv6 Adresse habe.

    Nun möchte ich wie im Titel "schematisch" dargestellt habe fragen ob dies möglich ist ein vserver zu mieten, diesen über IPv6-only nach Hause verbinden über openvpn, und ein IPv4-Client verbindet sich mit dem OpenVPN IPv4 only Server auf dem vserver. Da die Ethernetschnittstelle des Tunnels ja von pfSense zuhause eine IPv4 u. IPv6 Adresse von DHCP bekommt, denk ich mir wäre es doch dann kein Problem das die IPv4 only Clienten auf die IPv4 Dienste in meinem Netzwerk zugreifen?

    Ich weiß das ginge mit feste-ip.net (also das Resultat das ich erreichen will, wie technisch gelöst ist keine Ahnung).

    Ich denke die lösen es genau so. Nur kostet das dann nicht 1€ im Monat sondern mehr + die Anschaffung derer FIP Box.

    Mit einfachen Portmapping von feste-ip.net + OpenVPN Server auf pfSense auf TCP only zu stellen klappt leider nicht.

    Laut OpenVPN Log bricht er immer am folgenden Punkt ab:

    ERROR: FreeBSD route add command failed: external program exited with error status: 1



  • Hallo @Krautsalatmission ,

    OpenVPN kann seit Version 2.4 DualStack. Ich sehe da also kein Problem, auf einem Virtuallen Server einen OpenVPN-Server einzurichten, der eine Brücke zwischen einer statischen IP und einem dynamischen Heimnetz herstellt. In deiner schematischen Darstellung müsstest du natürlich einen OpenVPN-Server und einen -Client auf dem Virtuallen Server installieren und das Routing zwischen den Tunnelnetzen sicherstellen. Die einfachere Methode wäre vermutlich, pfSense als Client auf den Virtuellen Server verbinden und am OpenVPN-Server die Inter-Client-Communication zu erlauben.

    Eine weitere Möglichkeit wäre, einen Site-to-Site-Tunnel zwischen pfSense und dem Virtuellen Server herzustellen und einzelne Ports oder eine zusätzliche IPv4 über den Tunnel an deine pfSense (und von dort aus ggf. weiter an deinen heimischen VPN-Server) zu routen. So könntest du deinen heimischen VPN-Server am IPv6-Provider-Anschluss auch für IPv4-Clients verfügbar machen.



  • Danke Libratix!

    Den letzten Absatz habe ich ehrlich gesagt gar nicht verstanden! :-)

    Erstere schon. Die pfSense möchte ich nicht als Client verbinden lassen, weil dann würde mein ausgehender Verkehr (von zu Hause) denk ich mal permanent da durch gehen oder?

    Dann miete ich mir mal so ein paar Cent vserver an. Wie ich auf Debian ein OpenVPN Server u. Client einrichte weiß ich.

    Nur sagtest du gerade, ich müsste das Routing zwischen den beiden Netzwerken herstellen.

    Kannst mir sagen wie das geht?

    Am besten melde ich mich wieder sobald den Server + die OpenVPN Sache eingerichtet habe.

    Danke schon mal!



  • Nein, der ausgehende Traffic von zu Hause muss nicht zwingend über den Tunnel. Über deine Routing-Regeln kannst du genau steuern, welcher Traffic den VPN-Tunnel nutzt und welcher das normale WAN. In diesem Fall sollte pfSense so konfiguriert werden, dass nur Traffic an das Tunnel-Netzwerk auch über den Tunnel geht. Zudem wäre das die einfachste Konfiguration, weil du nur 1 OpenVPN-Instanz auf dem virtuellen Server hast und sich die Clients und das Heimnetz das selbe Tunnelnetzwerk teilen.

    In deinem Layout brauchst du 2 OpenVPN-Instanzen auf dem virtuellen Server und somit auch 2 Tunnelnetzwerke. Je nach eingesetztem Betriebssystem musst du dann erstmal Routing aktivieren (in den meisten Linux-OSes net.ipv4.ip_forward=1 für IPv4 Tunnelnetze), eventuell benötigte statische Routen setzen (alle zu erreichbaren Systeme außerhalb der Tunnelnetzwerke) und sicherstellen, dass keine Firewall den Traffic blockiert.



  • Ah ok. Dann ist das defintiv die bessere Lösung.

    Der OpenVPN Server auf dem pfSense kann aber aktiv bleiben?

    Weil ich mich mit dem direkt verbinden könnte, an Orten wo ich IPv6 zur Verfügung hätte.

    Den "Proxy" brauch ich ja nur an Orten wo ich nur IPv4 habe.

    Ich richte gerade ein vserver u. OpenVPN ein.

    Und danach einfach pfSense als Client + anderer Client verbinden (und die inter-client-communication aktivieren) und es läuft? Das wäre ja sehr einfach :-)


  • LAYER 8 Moderator

    OK ich verstehe den Titel schon nicht, die Beschreibung wird bei mir nicht besser.

    Du willst einen vServer mieten und mit diesem eine v4 (und möglichst auch ne v6!). Und was dann? Was willst du wie erreichen und wohin? Das ist mir hierbei noch nicht wirklich klar?



  • Da mein Anschluß zu Hause nur IPv6 anbietet, können Clienten außerhalb sich nur mit dem VPN verbinden, wenn die ebenfalls IPv6 sprechen können.

    Das ist soweit auch nicht schlimm, da 99% ich mich nur an Orte befinde, wo IPv6 existiert.

    Jedoch kann es natürlich zu der Situation kommen, wo man an einem Anschluß sitzt, der nur IPv4 beherrscht (oder so konfiguriert wurde).

    Und schon kann ich mich dann nicht mehr mit mein VPN verbinden.

    Daher brauche ich einen "Proxy" bzw "Zwischenstation" der beides sprechen kann. IPv4 u. IPv6.

    Und dafür gibt es Anbieter wie feste-ip.net. Die einem ein angepasstes raspberry-pi (bzw die Software darauf) anbieten. Oder andere Lösungen.



  • @Krautsalatmission ,
    ja, im Grunde ist es so einfach! Wenn es nicht auf anhieb funktioniert, dann fällt das wohl unter Feintuning. Firewallports richtig setzen, ggf. MTUs anpassen und natürlich die für dieses Szenario richtige VPN-Server Konfiguration. Eine Google-Recherche zu site-to-site OpenVPN bringt da sicher ein paar nützliche Tips, da du ja zum Beispiel keine default Route pushen willst sondern nur bestimmte Netzbereiche.
    Und es können auch mehrere OpenVPN-Instanzen auf dem selben Gerät parallel betrieben werden. Bei Server-Instanzen muss man nur jeder Instanz einen eigenen Port zuweisen. Clients suchen sich in der Regel automatisch einen freien Port. Die Anzahl der Instanzen wird effektiv wohl nur durch die Hardware limitiert, da für jede Instanz durchaus etwas Rechenpower nötig ist.

    Ich habe meinen vServer so konfiguriert, dass er den Tunnel mit der pfSense aufbaut und seine zweite öffentliche IPv4 über den Tunnel an die pfSense weiterleitet. So habe ich eine feste öffentliche IPv4 auf meiner pfSense, die über den Tunnel mit dem Internet verbunden ist. Meine Clients nutzen dann diese IP, um sich direkt auf den VPN-Server auf der pfSense zu verbinden. (Als Hinweis, was sonst noch machbar wäre.)


  • LAYER 8 Moderator

    @Krautsalatmission said in Client --[openvpn_ipv4]--> vserver --[openvpn_ipv6]--> Zuhause und zurück möglich?:

    Da mein Anschluß zu Hause nur IPv6 anbietet, können Clienten außerhalb sich nur mit dem VPN verbinden, wenn die ebenfalls IPv6 sprechen können.

    Aye.

    Das ist soweit auch nicht schlimm, da 99% ich mich nur an Orte befinde, wo IPv6 existiert.

    Du Glücklicher ;)

    Jedoch kann es natürlich zu der Situation kommen, wo man an einem Anschluß sitzt, der nur IPv4 beherrscht (oder so konfiguriert wurde).
    Und schon kann ich mich dann nicht mehr mit mein VPN verbinden.
    Daher brauche ich einen "Proxy" bzw "Zwischenstation" der beides sprechen kann. IPv4 u. IPv6.

    Jep, verstanden. Ja ist problemlos machbar. Einfachste Variante:

    • Lass deinen vorhandenen udp6 OVPN Einwahlserver in Ruhe, der läuft ja gut.
    • Miete irgendwo eine günstige VM mit v4 und v6 und installiere OVPN
    • Konfiguriere dort einen OVPN Service mit OVPN Tunnel Site2Site Server auf IPv6.
    • Konfiguriere auf deiner pfSense eine OVPN Tunnel Site2Site Client mit IPv6. Da du nicht Server spielst, ist der Port hier egal.
    • Tunnel so konfigurieren, dass die Route für dein internes v4 Netz auf der VM erreichbar wird
    • Konfiguriere einen IPv4 Einwahlserver auf der VM und pushe hier dein internes v4 Netz zum einwählenden Client

    Das wären jetzt so die Steps die mir dazu einfallen. Alternativ könnte man auch überlegen, ob man via stunnel oder ähnliches nicht direkt bei Verbindungsaufbau zur VM via IPv4 z.B. tcp/443 nicht direkt über den Site2Site IP6 Tunnel zu deiner pfSense durchroutet und dort direkt zum OVPN Server durchtunneln aber egal wie, machbar ist es auf jeden Fall.

    @Libratix said in Client --[openvpn_ipv4]--> vserver --[openvpn_ipv6]--> Zuhause und zurück möglich?:

    Die Anzahl der Instanzen wird effektiv wohl nur durch die Hardware limitiert, da für jede Instanz durchaus etwas Rechenpower nötig ist.

    Rein technisch? Nein. Die Anzahl der Instanzen ist völlig nebensächlich, das wird leider immer wieder mit dem tatsächlich verschlüsselten Traffic verwechselt. Dieser - und nur dieser - ist tatsächlich CPU Last erzeugend. Ob da ein OVPN Service oder 50 davon auf Verbindungen warten - oder Leerlauf Verbindungen halten - ist völlig nebensächlich, das ist dann mehr IRQ, Netzwerk und RAM Frage wo das aufschlägt. Aber der tatsächlich laufende Traffic der verschlüsselt und entschlüsselt wird, das ist der springende Punkt. Da kann ein OVPN Server der mit 250mbps Daten hin und her schaufelt die Kiste genauso lahmlegen, wie ein OVPN Roadwarrior Server mit 100 Verbindungen, bei denen jeder für 1-2Mbps Daten überträgt. :)



  • Hallo Zusammen,

    ich wollte ein kleinen Zwischenstand abgeben.

    Momentan komme ich nicht weiter, weil ich noch auf die Antwort warte von Strato Support.

    Weil auf meinen bei denen angemieteter Vserver anscheinend nicht möglich ist OpenVPN unteranderem zu betreiben, weil iptables gänzlich fehlt und somit keine Routen und Regeln anlegen kann.

    Da Docker ebenfalls nicht nutzen kann, denke ich mal das dies ein schlecht konfigurierter Container ist.



  • Puh, Strato hatte ich schon lange nicht mehr, weil mich Preis/Leistung für Privatzwecke nicht überzeugt hat.

    Mir fallen da spontan 2 Möglichkeiten:

    • der vServer nutzt ein Linux-System, das gar kein iptables mehr zur Verfügung stellt sondern auf Alternativen setzt.
    • in der Konfiguration der Repositorys stehen derzeit (abgespeckte) Strato-Repos, die sich durch die offiziellen Repos austauschen lassen um so iptables nach zu installieren.


  • Das ist immer das erste was ich mit so einem Server mache :-)

    In dem Fall ist das anders, weil ich keine eigene Module laden kann usw. Daher wahrscheinlich eine OpenVZ/Container Lösung.

    Welchen Anbieter würdest du denn empfehlen? Vor über 10 Jahren war ich mal Kunde bei Netcup. Domain + Vserver.

    Sehe gerade, kosten die hälfte und dort steht sogar explizit das per KVM virtualisiert wird.

    https://www.netcup.eu/vserver/vps.php#v-server-details

    Habe gerade einen von Strato, für 5€ im Monat. Habe auch nur dort einen gemietet, weil ich dort bereits einige Domains habe.



  • Netcup wäre für private Zwecke auch meine Empfehlung gewesen. Die KVM-Virtualisierung macht richtig Spaß und die Ausfallzeiten sind sehr gering. Insbesondere für den Preis.



  • 1 Kern reicht denke ich mal für ein bzw zwei Clienten? Also wegen OpenVPN und der stattfindenen Verschlüsselung während der Datenverkehr fließt.


Log in to reply