OpenVPN Portmapper



  • Hallo, Vollnoob hier.

    Ich würde gerne eine Art Portmapper auf einem VPS bauen oder so ähnlich.

    Was ich bereits mache ist Internet-Traffic @home von meiner pfSense mittels einer OVPN-Client-Verbindung über den Windows-VPS auszuleiten.

    Nun möchte ich es auch noch andersherum. Also auch noch Internet-Traffic, der am Windows-VPS aufschlägt auf einen Zielrechner @home weiterleiten.

    Letzteres habe ich nun geschafft, in dem ich Portforwarding mache vom VPN-Client auf den Zielrechner.

    Kann man das noch besser machen oder ist das so die einzige Lösung? Es geht zumindest.



  • @Bob-Dig

    Zuerst wieso braucht man das....
    Dann wie mach ich das denn ich will das auch haben.... ;)



  • @noplan Mortmapper z.B. für Leute, die leider nur IPv6 erreichbar haben und deswegen ein VPS anmieten um eben auch IPv4 servieren zu können.

    Musste leider feststellen, dass der Windows-Server anscheinend nur tcp 4to6 mappen kann. 😢



  • @Bob-Dig

    Sowas brauch ich unbedingt!
    Ich hab zwar noch keinen Plan was ich damit ach aber der Rest rennt auf der Box so gut jetzt kann man ruhig was herumschrauben


  • LAYER 8 Moderator

    @Bob-Dig said in OpenVPN Portmapper:

    Musste leider feststellen, dass der Windows-Server anscheinend nur tcp 4to6 mappen kann.

    Was mietest du auch Windows an ;)

    @noplan said in OpenVPN Portmapper:

    Ich hab zwar noch keinen Plan was ich damit ach aber der Rest rennt auf der Box so gut jetzt kann man ruhig was herumschrauben

    Im Prinzip völlig simpel. Kiste oder Container oder Droplet oder whatever mit 4/6 Dualstack mieten, ggf. sogar direkt gleich nen Image mit OpenVPN deployen (oder nen Minimal Linux eurer Wahl), absichern, Fail2Ban rauf, SSH auf anderen Port kleben und mit Key etc absichern und OpenVPN installieren. Fail2Ban auf SSH, UFW o.ä. für alle Ports außer SSH-neu und OpenVPN. Fertig.

    OVPN Server Konfiguration aufsetzen (da kann man ggf. auch die Konfig in der pfSense vorbereiten und exportieren ^^), pfSense als Client mit eigenem OVPN Interface konfigurieren.

    Dann kann man mit PBR gezielt Traffic via VPN ausleiten wenn man will. Beim VPN Server nimmst du dann entweder UFW/irgendwas um quasi 1:1 NAT zu machen und föhnst alles einkommende außer SSH/VPN einfach nach hinten zu der pfSense weiter. Routen nicht vergessen.

    Wenns nen VirtualServer, VM o.ä. ist wo ihr ggf. FreeBSD kompatibel arbeiten könnt - noch einfacher. Einfach ne "gehostete" pfSense Instanz draus machen (oder mit Proxmox die Kiste mit pfSense + VMs nutzen). Dann ist das Setup noch einfacher.

    Wenn man dann auf den Tunnel als Transfernetz noch ein fdXY:: Netz (private randomized v6) draufklebt kann man ggf. sogar noch das v6 Prefix des Servers per VPN durchreichen. Und Performance sparen geht auch, da der Traffic theoretisch eh "public" ist, kann man die Encryption des Tunnels weglassen und hat dann quasi nur einen UDP Tunnel. Sowohl IP4 als auch v6 Prefix könnte man dann durchblasen.



  • @JeGr

    Danke du Spielverderber...!
    Jetzt hab ich wieder ein Projekt mehr ;)


  • LAYER 8 Moderator

    Ich geb dir was zu spielen, also bin ich der F***ing Gamemaster :p



  • Was wäre denn jetzt aber ein geeigneter 4to6 Portmapper, wenn möglich kostenlos und für Win (oder linux).


  • LAYER 8 Moderator

    weil du schreibst für Linux: wofür? Du machst kein Portmapping (zumal der Begriff Portmapper was anderes ist) du NATtest bzw routest das einfach nach intern durch. Beispiel hatte ich doch oben beschrieben?

    Sorry noch krank und schreib nur ab und an mal vom Handy wenns gerade geht...



  • Ich muss mich entschuldigen, für meine Noobness. Hatte irgendwie nicht realisiert, dass ich das Problem ja bereits selbst gelöst hatte, nur halt ohne Portmapper.

    @JeGr Was Du ansprichst sind natürlich noch mal tolle Hinweise, um das Ganze noch besser/performanter aufzusetzen, danke dafür und gute Besserung.

    Eine Verständnisfrage aus Mangel an eigener Erfahrung. Ein Site2Site OVPN, kann man das auch in der pfSense nutzen um Traffic "auszuleiten" oder muss es dafür schon die Konfiguration als Client sein? Würde man ggf. mit zwei Verbindungen arbeiten, wenn man denn wechselseitig "ausleiten" wollte?


  • LAYER 8 Moderator

    @Bob-Dig said in OpenVPN Portmapper:

    Ein Site2Site OVPN, kann man das auch in der pfSense nutzen um Traffic "auszuleiten" oder muss es dafür schon die Konfiguration als Client sein?

    S2S unterscheidet sich nur marginal von RW Setup in der Hinsicht, dass bei S2S beide Seiten routen bekommen und Gateways haben, bei RW normalerweise nur die Client Seite. Somit kannst du bei S2S prinzipiell genau den gleichen Quark machen wie beim RW auch - nur eben dass es auch in die andere Richtung funktionieren würde bei Wunsch.

    Das wechselseitig versteh ich aber nicht so ganz :)



  • @JeGr Also mehr Möglichkeiten. Betrifft das eigentlich nur die pfSense oder auch OVPN selbst? Weil ich hab ja momentan einen Server auf Windows laufen, den ich nur mit viel Mühen und herumprobieren einrichten konnte. Wenn ich jetzt s2s machen wollte, werde ich wahrscheinlich failen, kein Aisstent auf der Sense und auf Windows eh nix. Ach, ich lass es besser.


  • LAYER 8 Moderator

    @Bob-Dig said in OpenVPN Portmapper:

    Wenn ich jetzt s2s machen wollte, werde ich wahrscheinlich failen, kein Aisstent auf der Sense und auf Windows eh nix. Ach, ich lass es besser.

    S2S ist in OVPN wesentlich einfacher zu konfigurieren als ein RW Setup. Und Windows oder nicht, die Konfig ist genau die gleiche. Du kannst notfalls (hatte ich auch schon) auch einfach die pfSense nutzen, die Konfig erzeugen auf Windows einspielen und gut :D Not macht erfinderisch ;)


Log in to reply