chrisbonkers
Goto Top

Raspberry Pi FTP Server über no-ip.biz

Hallo liebe Mitglieder!

Ich hoffe einer von euch kann mir helfen, folgendes Problem:
Ich habe einen Raspberry Pi (RPI), der mit debian Wheezy läuft und als Nas Server dient (ohne Probleme) und jetzt auch zum FTP Server werden soll, so dass ich meine daten überall aus dem Internet her abrufen kann!

Ich habe No-ip auf dem Pi per shell installiert, scheint auch ok zu sein, denn währen der Installation muss man die Anmelde Mail-Adresse und das Passwort von no-ip eingeben, und im Anschluss wird alles richtig aufgelöst, sprich chrisxxx.no-ip.biz und IP Adresse.

Wenn ich nun auf meinem Windows rechner filezilla starte, und den Hostnamen von no-ip eingebe samt passwort etc. zeigt mir filezilla Auflösung der IP Adresse richtig an, doch dann bricht die Verbindung zum Server ab!

Ich habe einen Netgear MBRN3000 3g Router, einmal den RPI, einen Windoof Schleppi (von dem ich unterwegs zugreifen möchte)
Netzintern funktioniert das auch recht gut, nur eben übers Netz nicht (Als FTP Server ist Proftpd zum einsatz gekommen). Auch User wurden fürs FTP unter Linux angelegt, samt UserGruppe und Passwort (Wie gesagt funktioniert Netzintern).

Was ich bereits unternommen habe:
Wie gesagt No-ip angelegt
Portforwarding am Router auf Port 20 und 21 über TCP
Unter Linux die iptables für port 20 und 21 geöffnet (ich bin nicht gerade ein Linux GURU vielleicht liegt auch da der Hund begraben)

Ich danke euch schon mal im voraus für die Hilfe, mfg Chris

Content-ID: 215113

Url: https://administrator.de/forum/raspberry-pi-ftp-server-ueber-no-ip-biz-215113.html

Ausgedruckt am: 25.12.2024 um 06:12 Uhr

108012
108012 24.08.2013 aktualisiert um 10:50:00 Uhr
Goto Top
Hallo,

und jetzt auch zum FTP Server werden soll, so dass ich meine daten überall aus dem Internet her abrufen kann!
FTP überträgt im Klartext, auch die Anmeldeinformationen! Nimm lieber SFTP.

Wenn ich nun auf meinem Windows rechner filezilla starte, und den Hostnamen von no-ip eingebe samt passwort etc. zeigt mir filezilla Auflösung der IP Adresse richtig an, doch dann bricht die Verbindung zum Server ab!
FileZilla ist eine SFTP Klient und Server Software, also Du solltest schon die Klient Software nehmen und auch darauf
achten das die Software nur FTP macht und nicht SFTP, ansonsten wird es nichts mit der Verbindung auch die
FTP Modi sind interessant also aktiv und passiv Modus sollten auch gleich eingestellt sein.

Ich habe einen Netgear MBRN3000 3g Router, einmal den RPI, einen ### Schleppi.....
Bei einigen Mobilfunk Providern ist ein "extra" privates Netzwerk auf ISP Seite dazwischen oder davor geschaltet und dort
werden nur Private IP Adressen vergeben und die sind nicht routbar im und durch das Internet!!!!


Gruß
Dobby

P.S.
- Teste bitte einmal was für eine IP Adresse Dir Dein Provider vergibt und "poste" diese hier, leicht abgeändert natürlich hinein.
Aber bitte ändere nicht die letzten 6 Ziffern und nicht die ersten!
z.B. 192.168.150.16 > 192.168.1.55!
Dann kann Dir keiner was und wir können trotzdem einen Blick darauf werfen.

- Überlege mal ob Du mit einer VPN Verbindung nach Hause nicht sicherer "fahren" würdest.
aqui
aqui 24.08.2013 aktualisiert um 13:52:56 Uhr
Goto Top
2 Kardinalsfehler die du gemacht hast !
1.) Der DynDNS Client gehört niemals auf ein Endgerät hinter einer NAT Firewall (DSL Router) sondern immer auf dem Router selber !
Der Router hält die aktive IP Adresse die zum No-IP Hostnamen gehört und nicht das Endgerät !
Folglich gehört also der DynDNS Client auf dem Router mit den no-ip Daten konfiguriert und nicht der des RasPi

2.) FTP kann man nicht reverse per Port Forwarding übertragen, das geht nur im passive Mode !
Warum das so ist kannst du hier nachlesen:
http://slacksite.com/other/ftp.html
Du musst also zwingend darauf achten das dein FTP Server den Passive Mode supportet.

iptables hat das Wheezy Image per se gar nicht auf dem RasPi. Deshalb ist es auch überflüssig diese zu konfigurieren bzw. es geht gar nicht. Es sei denn natürlich du hast die iptables nachträglich installiert, was aber wenig Sinn macht in einem Home Netzwerk, da der Router ja schon einen Firewall betreibt.

Da der RasPI per se SSH macht musst du auch nicht unbedingt einen FTP Server installieren um Dateien zu transferieren.
Mit Linux Bordmitteln geht das remote bequem mit scp und wenn du einen remoten Winblows Client hast dann ist WinSCP das Tool der Wahl für dich.
Damit lässt sich dann einfach per Drag and Drop Dateien transferieren und das auch noch verschlüsselt.
Grundlagen dazu in diesem Tutorial:
Netzwerk Management Server mit Raspberry Pi
chrisbonkers
chrisbonkers 24.08.2013 um 13:51:41 Uhr
Goto Top
Danke für die schnelle Antwort!!


Ich komme aus Österreich und habe das Internet von Drei.at!

Die ISP lautet 178.115.249.79 (die letzte Zahl ist natürlich nicht die originale)

Also sftp hat eine stärkere Verschlüsselung nehm ich jetzt mal an oder??

Genauso was ich nicht verstehe: Wenn ich auf meinem Windows laptop einen VPN Tunnel erstelle (PPTP) funktioniert es im eigenen netz, jedoch nicht übers inet, natürlich mit aktivem no-ip client, selbes gilt auf dem RPI !

meine private IP lautet: 192.168.15.x

echt ich bin schon am verzeifeln, egal was ich auch mache, ich bekomme keine Antwort vom Server. Ich kann ja nichtmal pingen auf no-ip.biz, sprich ping www.xxx.no-ip.biz, jedes mal Fehler bei Zeitüberschreitung, obwohl ich den Client auf meinem Windows Rechner als auch auf meinem RPI laufen habe und mir beide anzeigen dass alles in Ordnung ist, also entweder RPI oder Windows Rechner, nicht zeitgleich!


Hast du vlt irgendwo ein gutes tutorial für sftp oder VPN, denn VPN hat ja eine bessere Vershlüsselung per Zertifikat (bei richtiger Einstellung), denn alle Tut`s die ich versucht habe funktionieren nicht.
Was ich vor habe: mir geht es in erster Linie darum dass ich auf meine Datei Freigaben zugreifen kann, diese auch in Windows mounten kann, und über Netzlaufwerke zugriff darauf habe!

Ich weiß per ftp (SFTP) geht das ja nicht aber wäre eine Notlösung!

MFG, Gruß Chris
aqui
aqui 24.08.2013 aktualisiert um 14:10:07 Uhr
Goto Top
Bei PPTP sollte dir klar sein das du auf dem Router:
  • TCP 1723
  • GRE Protokoll mit der IP Protokoll Nummer 47 (nicht Port 47 !)
auf die lokale IP Adresse des RasPi forwarden musst !!
Ohne dieses Portforwarding beider Protokolle klappt natürlich niemals ein externer PPTP Zugriff auf ihn, da die Router NAT Firewall sonst den PPTP Zugriff verhindert, was sie ja auch soll...
Auch dafür hat ein Forumstutorial wieder mal alle Details für dich:
VPNs einrichten mit PPTP

Beachtet man das funktioniert der RasPi wunderbar als PPTP Server !

Noch ein Tip:
Installier dir mit sudo apt-get install tcpdump einen kleinen Sniffer auf dem RasPi und checke ob das Port Forwarding auf deinem Router sauber funktioniert und diese Pakete überhaupt alle am RasPi ankommen !!
Wie man tcpdump bedient kannst du u. a. hier nachlesen:
http://danielmiessler.com/study/tcpdump/

Und nochwas, was deine 3G Router Gurke von NetGear anbetrifft:
Wenn du dort nur einen billigen 3G Surf only Account hast, dann bekommst du vom Provider dort in der Regel eine RFC 1918 IP Adresse, Private IP am 3G Routerport !
http://de.wikipedia.org/wiki/Private_IP-Adresse#Adressbereiche
Das bedeutet dann das der Provider irgendwo zentral in seinem Backbone NAT (IP Adress Translation) macht !
Ist das der Fall nützt dir dein Port Forwarding am Router natürlich herzlich wenig, denn diese Provider NAT Firewall kannst du niemals überwinden, da du ja dort logischerweise, da du keinen Zugriff darauf hast, kein Port Forwarding definieren kannst, was aber zwingend erforderlich wäre !!
Das musst du unbedingt am Router checken WAS ür eine WAN/Internet Port IP du vom Provider bekommen hast !
Ist es eine der obigen privaten IPs kannst du sämtlichen remote Zugang dann gleich vergessen !!
Zusätzlich filtern die Mobil Provider oft noch sämtliche VPN Protokolle die den teureren "Professional" oder "Business" Accounts vorbehalten sind !
chrisbonkers
chrisbonkers 24.08.2013 um 15:45:22 Uhr
Goto Top
Hallo, danke mal für die tutorials, und danke auch für Eure super hilfe!!!

aber ich kanns heute leider nicht mehr testen, da ich in ner stunde bei verwandten zum essen eingeladen bin, heißt: ich werd morgen mein Glück versuchen =)

Zum Router: ich habe mir den Stick samt Sim-karte ohne Router gekauft, den Router dann später erst separat beim Media Markt, ist somit frei von sämtlichen Netzanbietern, und sollte auch frei sein von irgendwelchen Netz-Richtlinien (insofern das nicht über die Sim-Karte geblockt wird)

Wie check ich das ob nicht der Router oder die Sim diese Backbone NAT (IP Adress Translation) macht??
Welchen Wan/Internet port darf ich nicht haben, oder sollte ich haben??

Ich habe meine interne Netzstruktur mit 192.168.15.x aufgebaut, das habe ich aus dem Grund gemacht: Anfangs war es ja: 192.168.0.x, da hat mir der PPTP Dienst gesagt dass es einen IP-Conflikt geben kann, da dieser auf dem selben IP -Adress bereich arbeitet, also bin ich gleich auf x.x.15.x ausgewichten, sollte ja kein Problem darstellen oder??

Falls die frage zwecks dem Router in den Tutorials oder erklärungen stehen welche du mir geschickt hast, dann bitte um vergebung, wie gesagt ich komm heut nicht dazu es zu lesen =)

Aber nochmal danke, danke, danke!!

wenn das morgen funktioniert seit ihr meine Helden =)

Gruß, Chris
108012
108012 24.08.2013 aktualisiert um 17:07:09 Uhr
Goto Top
Die ISP lautet 178.115.249.79 (die letzte Zahl ist natürlich nicht die originale)
Gehabt haben musst Du sie aber mal! ~chr@178.115.249.79.wireless.dyn.drei.com

meine private IP lautet: 192.168.15.x
Genau so etwas hatte ich eigentlich von Deiner öffentlichen erwartet!

Es kann aber auch gut sein das Dein ISP (Mobile Provider) viele oder sogar alle Dienste blockt, so
wie @aqui es auch schon angesprochen hat, um Dir bzw. allen seinen Kunden, die mehr mit Ihrem
Internetzugang machen wollen, eben einfach einen teureren und meist Business Tarif genannten Tarif
"an zu drehen"!

Also sftp hat eine stärkere Verschlüsselung nehm ich jetzt mal an oder??
FTP hat gar keine Verschlüsselung! Und wenn jemand Deine No-IP Adresse heraus
bekommt dann kann er in Ruhe in Deinen FTP einbrechen und/oder einfach Deinen nächsten
Login Versuch mitzuschneiden oder sonst etwas zu machen was dieser jemand eben interessant findet!

Genauso was ich nicht verstehe: Wenn ich auf meinem Windows laptop einen VPN Tunnel erstelle (PPTP) funktioniert es im eigenen netz, jedoch nicht übers inet, natürlich mit aktivem no-ip client, selbes gilt auf dem RPI !
Ich sage Dir jetzt einmal was, wenn ich VPN, FTP, SSH oder irgend etwas anderes, einen Dienst mittels
eines Protokolls, testen möchte, mache ich das nur und ausschließlich von außerhalb, denn von innerhalb
Deines Netzwerkes interessiert uns und Dich nicht wirklich!!!

Was ich vor habe: mir geht es in erster Linie darum dass ich auf meine Datei Freigaben zugreifen kann, diese auch in Windows mounten kann, und über Netzlaufwerke zugriff darauf habe!

Also ich würde von vorne herein versuchen immer via VPN mittels IPSec auf mein Heimnetzwerk zuzugreifen!
- Die Verschlüsselung gilt bis heute noch nicht als kompromittiert und somit als sicher und
- Ich müsste vorne an der Firewall und an dem Router auch keine Ports öffnen, was mir persönlich wichtig wäre.

Und erst wenn das nicht funktioniert, dann erst würde ich versuchen mittels eines VPN Servers in einer
richtigen DMZ und nur dort meinen Dateien zu erreichen, obwohl ich persönlich selbst davon schon Abstand
nehmen das es mir zu unsicher ist!!!!!

Denn wenn jemand erst einmal Bilder von kleinen nackten Kindern auf Deinem kleinen Linux Server ablegt hast Du
eigentlich schon verloren!!!! und in Österreich spricht sich das auch schnell herum warum die Polizei morgens um
frei Ihr bei Euch geklingelt hat!!!! Un das ist es einfach nicht wert glaube mir einfach, das ist die Bequemlichkeit
nicht wert!!!

Also erstens, schreib mal Deinen Provider an oder ruf da einfach mal an das kostet ja nichts und wir sind alle schlauer.
Sollte dieser mitteilen dass dort nichts geblockt wird, musst Du wohl oder übel vorne am Router der ja auch NAT und
SPI macht, ein paar Ports öffnen und per Portweiterleitung an Deinen FTP Server bringen! Und das wäre mir schon
zu lau seitens der Sicherheit!

- FTP sendet und empfängt unverschlüsselt und daher unsicher
- PPTP gilt als kompromittiert und ist somit auch nicht mehr sicher
- Offene Ports am Router sind auch unsicher und sollten auch nur in Zusammenhang mit einer DMZ genutzt werden

Ich weiß per ftp (SFTP) geht das ja nicht aber wäre eine Notlösung!
Eine Notlösung ist, wenn Deinen Eltern einen Kredit aufnehmen müssen,
um für Dich einen sehr guten Anwalt zu bezahlen, weil irgend jemand mit
Deinem kleinen Server herumgespielt hat und/oder von dort etwas anderes gemacht hat als nur zu surfen!

Meine Tipps an Dich:
- Kauf Dir einen richtigen echten VPN fähigen Router oder eine VPN fähige Firewall
- Leg Dir einen Internetzugang zu der alle Dienste und Protokolle zur Benutzung bietet
- Schaff Dir ein NAS an und/oder mach den kleinen RPI sicher und härte das System ab!
- Benutze ausschließlich ausreichend verschlüsselte Verbindungen durch das Internet nach Hause und am besten nur IPSec.
Man kann bei dem geeigneten Internetzugang auch auf OpenSource Software wie zum Beispiel pfSense oder IPFire zugreifen

Ist nicht böse gemeint von mir aber so wie Du das vorhast zu erledigen, würde ich da mal Abstand von nehmen wollen.
Hauptsache es läuft irgend wie und dann kann jeder in Deinem Netz herum rennen und machen was er will,.....

Gruß
Dobby
aqui
aqui 25.08.2013 um 09:06:51 Uhr
Goto Top
Noch ein Tip:
Viele dieser Router kommen nicht damit klar wenn die SIM eine PIN definiert hat. Das solltest du auch checken und ggf. die PIN löschen sofern du keinen Internetzugang im Mobilnetz bekommst.
Sollte auch im NetGear Handbuch stehen !

"...Wie check ich das ob nicht der Router oder die Sim diese Backbone NAT (IP Adress Translation) macht?? "
Nun, diese Frage ist ein wenig peinlich, aber nundenn...
Du gehst ganz einfach in das Setup GUI deines Routers. Dort gibt es mit Sicherheit einen "Status" oder WAN Port Status den man abfragen kann und der dir die aktuelle am WAN oder UMTS Stickport aktive IP Adresse ausgibt !
DIE ist relevant !
Das darf keine 10er, 172.16-32er und keine 192.168er IP sein !

Was deine interne Struktur anbetrifft ist das schon OK. Hinweise dazu findest du auch hier:
VPNs einrichten mit PPTP
im Kapitel "Tips zum IP Adressdesign" !!
Fazit: Tutorial lesen !! Dann machen...
chrisbonkers
chrisbonkers 25.08.2013 um 09:55:42 Uhr
Goto Top
Hey Leute!

Soda, erstmal wieder ein herzliches Dankeschön an euch alle:

@ Dobby Ich werde nächsten Monat, bin also kein Kind mehr, und umso erfreuter bin dass du mir das so trocken gesagt, denn sonst würden mir sämtliche Anwaltskosten bleiben!

@ aqui: Sim ist frei von Pincode

Bei drei kann ich frühestens morgen anrufen da die heute nicht arbeiten in der Serviceline!

Also hier nochmal meine Verbindungsdaten:
Wieistmeineipadresse.at 178.115.249.xx

Das sagt der Router:
Routerstatus

Kontoname MBRN3000
Firmwareversion V1.0.0.65_2.0.12WW

HSDPA
Modem-Identität E122
Modem-Softwareversion 11.005.00.04.21
Modem-Treiberversion v.1.7
IMSI 23210692444xxxx
IMEI 35688103044xxxx
Anbieter 3 AT
Netzwerkmodus UMTS

Wireless-Broadband-Port
Verbindungsstatus Verbindung hergestellt
IP-Adresse 10.68.196.xxx
Protokoll PPP
IP-Subnetzmaske 255.255.xxx.xxx
DNS-Server
213.94.78.xx
213.94.78.xx

LAN Port
MAC-Adresse A0:21:B7:8A:xx:xx
IP-Adresse 192.168.15.1
DHCP ON
IP-Subnetzmaske 255.255.255.0

Wireless
Netzwerkname (SSID) XXXXXXXXXX
Region Europa
Kanal 4
WLAN-AP AN
Broadcast für Netzwerknamen AN

vlt könnt ihr damit ja mehr anfanken, um mal alle unklarheiten aus der Welt zu schaffen!!

Euch allen noch einen schönen Sonntag! Gruß Chris
aqui
aqui 25.08.2013 aktualisiert um 11:57:43 Uhr
Goto Top
"Also hier nochmal meine Verbindungsdaten:
Wieistmeineipadresse.at 178.115.249.xx "


Diese Info nutzt leider gar nix !! Damit ist ncht eindeutig sicher WO das NAT gemacht wird !!
Das kann zentral sein im Mobilfunk Provider Netz oder eben direkt am Router. Letzteres wäre für dich zwingend erforderlich damit es klappt !
"Wieistmeineip.de" zeigt ja nur an mit welcher Absender IP die Pakte bei ihm ankommen. Ob das die NAT Absender IP deines Routers ist oder die des zentralen NAT Gateways im Providernetz (wo du logischerweise keinen Zugriff hast) sagt es genau eben nicht !!

Wenn du oben mal genau gelesen hättest im Thread (was wie immer keiner macht... face-sad ) hättest du den Router Output hier gar nicht posten müssen....!!
Leider ist es genau das was befürchtet war:
Wireless-Broadband-Port
Verbindungsstatus Verbindung hergestellt
IP-Adresse 10.68.196.xxx <<--- zentrales Mobilfunk Provider NAT, denn die 10er Adresse ist KEINE öffentliche IP siehe
HIER !!
Protokoll PPP


Du hast eine billige Surf ONLY SIM Karte und dort bekommst du einen RFC 1918 IP vom Provider mit zentralem NAT.
Da du auf dem NAT Gateway des Providers keinerlei Port Forwarding eintragen kannst, schlägt also jeglicher remoter Zugriff per Portforwarding auf Geräte hinter deinem Router generell fehl !

Du hast nur 2 Chancen das zu lösen:
1.) DU baust ein VPN irgendwohin auf, also die VPN Verbindung MUSS immer von dir initiiert werden ! Das klappt aber nur einzig mit SSL basierten VPN Protokollen wie Open VPN oder SSH Tunneling wie hier beschrieben:
VPN für Arme - TCP in SSH tunneln mit Putty
Alternativ geht noch IPsec mit aktiviertem NAT Traversal aber immer nur wenn DU die VPN Session initiierst, sonst kannst du das Provider NAT nicht überwinden !
Auf dem Raspberry geht das wunderbar mit dem IKE Package (Shrew Client) mit
sudo apt-get install ike
installierst du das schnell und problemlos auf dem RasPi. Open VPN wenn du das als VPN Protokoll vorziehst analog.
Dieses IPsec Tutorial sagt dir genau wie:
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
Das IKE Package hat eine grafische Oberfläche auch auf dem RasPi zur bequemen Konfiguration !!
Bzw. für Open VPN gilt das hier auch für den RasPi:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Das o.a. zitierte RasPi_Tutorial hat einzelne Infos und weiterführende Links zu diesen Themen !

Port Forwarding schlägt logscherweise durch das zentrale Provider NAT generell immer fehl in so einen Szenario mit billig Surf Only Account.

2.) Du besorgst dir einen anderen Surf Account (Business) wo du einen öffentliche IP vom Provider bekommst !
Andere Chancen hast du de facto nicht.
daropstyle
daropstyle 26.08.2013 um 11:40:50 Uhr
Goto Top
Welche Ports hast du denn genau freigegeben?Läuft der FTP als passiven oder aktiv?
aqui
aqui 26.08.2013 aktualisiert um 12:19:29 Uhr
Goto Top
@daropstyle
Die Frage ist überflüssig und sinnfrei wenn er einen zentralen NAT Account (Surf Account) vom Provider hat !
Dann kann er soviel Port Forwarden wie er will, das wird nichts nützen.
Ist ja auch klar, denn den relevanten Port Forwarding Eintrag müsste er im Provider NAT Gateway machen wo er keinen Zugriff hat. Außerdem würden das dann auch noch zig Millionen andere Kunden machen wollen....Utopisch, klar !
Da er ja so einen Account hat wie man unschwer an seiner RFC 1918 IP vom Provider 10.68.196.xxx oben sieht, hat er also technisch keine Chance....auch wenn du mit ihm zig mal das Port Forwarding durchgehst.
Oder was war die Intention deiner o.a. Frage ??

Er hat genau die 2 oben aufgeführten Chancen das technisch zum Fliegen zu bringen !
Klassischer Standard bei Billig nur Surf Accounts und remoten Zugriff. Kommt hier wöchentlich im Forum rein....
chrisbonkers
chrisbonkers 26.08.2013 um 22:29:34 Uhr
Goto Top
Hey Leute, sry dass ich mich so lange nicht gemeldet habe!!!

Ich habe jetzt nach langem hin und her mit meinem ISP endlich eine öffentlich IP Adresse bekommen, die backbone-nat Adresse ist endlich weg, jetzt sollte meinem eigentlichen vorhaben einen OPEN-vpn-Server mit SSH oder ip-Sec Verschlüsselung ja nichts mehr im Wege stehen!!!

Ich danke euch von ganzem Herzen für eure vielen Bemühungen, ihr habt mir damit echt sehr sehr geholfen!

Ich werde berrichten ob ich die Konfiguration meines RPI zusammenbringe, ist ja nicht so einfach unter linux das mit den Zertifikaten etc....

Und nochmals vielen vielen Dank, auf euch ist echt verlass Jungs =)
aqui
aqui 27.08.2013 aktualisiert um 08:35:00 Uhr
Goto Top
Was ist denn da bitte "nicht so einfach" ??? Das ist kompletter Blödsinn, denn unter Linux ist das erheblich einfacher als unter Winblows, da Linux alles dafür schon an Bord hat ! Und auch noch einfacher zu troubleshooten.
Keine Ahnung warum du zu einer unsinnigen Aussage kommst, denn wenn dann liegt das "Problem" höchstens an dir selber nicht aber am Raspberry !!
Es gibt hier genügend Forumstutorials die dir helfen:
Netzwerk Management Server mit Raspberry Pi
und
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
und
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software

Wenns das denn jetzt war bitte dann auch
Wie kann ich einen Beitrag als gelöst markieren?
nicht vergessen !
chrisbonkers
chrisbonkers 27.08.2013 um 08:41:56 Uhr
Goto Top
@ aqui:
Ich arbeite normalerweise ausschließlich unter windows in der firma, ich hab auch nicht gesagt dass es unter windows einfacher geht, nur ich bin bin mit der shell unter linux nicht so vertraut!

Es ist halt nicht so einfach wenn man sich mit der marterie nicht so gut auskennt! XD
chrisbonkers
chrisbonkers 27.08.2013 um 08:52:38 Uhr
Goto Top
Und kannst du mir vlt. Ein tutorial geben wo ich den dd-wrt router nicjt benötige, denn diesen habe ich nicht face-smile
aqui
aqui 27.08.2013 aktualisiert um 10:07:18 Uhr
Goto Top
Wenn du dich ein wenig mit Open VPN beschäftigt hättest, dann hättest du schnell erkannt das die Konfiguration überall gleich ist !
Es ist völlig egal auf welcher OS Plattform man das konfiguriert die Schritte sind immer dieselben !! Sogra bei Winblows.
Halte dich also daran, dann machst du nix falsch.
Beachte die Punkte (Port Forwarding UDP 1194) wenn dein RasPi hinter einer Router NAT Firewall steht !
Das o.a. Raspberry Tutorial hat aber auch einen Link zur OVPN Installation (unter "Weiterführende Links"). Vermutlich hast du die auch "überlesen":
http://jankarres.de/2013/05/raspberry-pi-openvpn-vpn-server-installiere ...
Aber als armer Winblows Klicki Bunti Knecht bist du ja nun mit dem Raspberry auf dem allerbesten Wege nun mal ein richtiges Betriebssystem kennenzulernen und den arg eingeengten MS Horizont drastisch zu erweitern. Allein das ist schon genug Anerkennung wert... face-wink
chrisbonkers
chrisbonkers 27.08.2013 um 10:20:36 Uhr
Goto Top
Thehe das hast du echt schön gesagt aqui. Ich weiß dass linux besser ist microshrott Windows...gg
aqui
aqui 27.08.2013 um 12:00:52 Uhr
Goto Top
chrisbonkers
chrisbonkers 27.08.2013 aktualisiert um 12:15:48 Uhr
Goto Top
Ich schaff das einfach nicht, es kommt immer diese fehlermeldung :link http://uploaded.net/file/jcaxh441

ich hab den raspi server nau aufgestzt (debian wheezy), nas eingerichtet, no-ip-client am server installiert, ssl und openvpn nach dieser Anleitung: http://jankarres.de/2013/05/raspberry-pi-openvpn-vpn-server-installiere ... eingerichtet, portfreigabe 1194 am router gemacht, ich bin echt am ende meines lateins...
aqui
aqui 27.08.2013 um 12:43:15 Uhr
Goto Top
Ähhh..., was meinst du mit der Fehlermeldung ?? Das Uploaden von Bildern hier oder das Schliessen des Threads ??

So, und nun zum Rest...
  • no ip client ?? Was soll das sein ? Open VPN Konfig ? Raspi Konfig ?
  • NAS eingerichtet ?? Mmmhhh hat aber jetzt nix mit dem OVPN Konfig usw. zu tun, oder ?
Mit dem "Latein am Ende" meinst du damit das du jetzt nicht weisst wie es weiter geht oder das es nicht klappt ??

Um das zu klären solltest du erstmal folgende grundlegenden Fragen beantworten:
  • Open VPN installation hast du gemacht, richtig ?
  • Hast du alle Zertifikate generiert ? Und...hast du diese Zertifikate an die richtigen Stellen kopiert ?
  • Dein Raspi soll als OVPN Server laufen, also du willst dich remote einwählen da per VPN, richtig ?
  • Hast du die Server config Datei erstellt gemäss deines VPNs ( IP Adressen etc.) ?? Ggf. hier bitte posten

OK wenn das der Falls ist musst du OpenVPN erstmal stoppen, das geht mit etc/init.d/openvpn stop ("sudo su" davor natürlich)
Nun solltest du mit openvpn /etc/openvpn/openvpn.conf OpenVPN erstmal testweise manuell starten um zu sehen ob dort ggf. Fehlermeldungen auftauchen die auf Fehler in der Konfig hinweisen !
Siehe obiges OpenVPN Tutorial im Kapitel "Ist der OpenVPN Server aktiv ?" !
Ist das nicht der Fall kannst du das erstmal so lassen und mit einem lokalen OpenVPN Client die Verbindung aufbauen auf den Server.
Da er jetzt manuell gestartet ist wirst du bei der Verbindung des Clients etwaige Fehlermeldungen gleich Online sehen.
Zusätzlich siehst du sie auch im Client Log wenn denn welche kommen !
Ist alles richtig sollte sich der Client fehlerfrei verbinden !
Etwaige Fehlermeldungen dann hier posten...
Wenn der Client verbunden ist kannst du (bei einem Windows Client) einmal ipconfig eingeben. Ist alles sauber gelaufen wirst du am VPN Interface eine vom OVPN Server zugeteilte IP Adresse im VPN Tunnel sehen die der im Konfig File entspricht !

Wenn das alles so ist kannst du den manuell gestarteten OVPN Server auf der Konsole mit <ctrl> c stoppen und ihn mit etc/init.d/openvpn start dann als Daemon wieder im Hintergrund starten.
Damit wäre das Teil dann auch von remote einsatzbereit.
Bedenke das die Zieladresse des remoten Clients immer die öffentliche IP Adresse des Routers ist der das Port Forwarding macht ! Oder dessen DynDNS Hostname.
Aber erstmal wasserdicht lokal testen bevor man "nach draußen" geht !
chrisbonkers
chrisbonkers 27.08.2013 aktualisiert um 13:44:28 Uhr
Goto Top
Richtig, ich möchte den OpenVPN rein nutzen um mich von überall einzuwählen, um auf meine Daten Zugriff zu erhalten, darum auch der NAS-Server.

Und ich habe die Zertifikate 1:1 so generiert wie in dem von dir beschrieben Tutorial.
Natürlich habe ich in der *.OVPN meinen no-ip Server Host eingebeben, um die Auflösung der dynamischen IP zu realisieren (lt. ISP gibt es eine statische IP nur für Firmenkunden)

Und das Foto dass ich vorher gehostet habe (Fehler.jpg) zeigt den Fehler auf meinem Windows Rechner wenn ich mich zum Raspi-VPN Server verbinden will!


Hier ist mal die Server.conf

dev tun
proto udp
port 1194
ca /etc/openvpn/easy-rsa/keys/ca.crt
cert /etc/openvpn/easy-rsa/keys/server.crt
key /etc/openvpn/easy-rsa/keys/server.key
dh /etc/openvpn/easy-rsa/keys/dh1024.pem
user nobody
group nogroup
server 10.8.0.0 255.255.255.0
persist-key
persist-tun
status /var/log/openvpn-status.log
verb 3
client-to-client
push "redirect-gateway def1"
#set the dns servers
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 8.8.4.4"
log-append /var/log/openvpn
comp-lzo

Hier ist die *.ovpn Client Datei:

dev tun
client
proto udp
remote XXXXXXXXXXX.no-ip.biz 1194 (verändert)
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client1.crt
key client1.key
comp-lzo
verb 3

Hier die Ausgabe von ifconfig

pi@raspberrypi /etc/openvpn $ ifconfig
eth0 Link encap:Ethernet HWaddr b8:27:eb:f3:b2:73
inet addr:192.168.15.5 Bcast:192.168.15.255 Mask:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:13266 errors:0 dropped:0 overruns:0 frame:0
TX packets:13415 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:9190907 (8.7 MiB) TX bytes:2882996 (2.7 MiB)

lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:349 errors:0 dropped:0 overruns:0 frame:0
TX packets:349 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:24600 (24.0 KiB) TX bytes:24600 (24.0 KiB)

tun0 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
inet addr:10.8.0.1 P-t-P:10.8.0.2 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:0 (0.0 B) TX bytes:0 (0.0 B)
aqui
aqui 27.08.2013 aktualisiert um 15:32:47 Uhr
Goto Top
Nur mal so nebenbei: ".. in der *.OVPN meinen no-ip Server Host eingebeben" DAS musst du aber nur einzig auf dem OVPN Client machen und NICHT auf dem Server ?! Ist dir hoffentlich klar ?!

push "redirect-gateway def1" Muss nicht sein, denn damit redirectest du den gesamten Internet Traffic deines Clients über den OVPN Tunnel. Es reicht hier einfach dein lokales Netz zu propagieren also push "route 192.168.15.0 255.255.255.0"

#set the dns servers
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 8.8.4.4"

Ist eigentlich auch überflüssig, denn einen DNS remote brauchst du nicht erzwingen, den bekommst du ja so.

Der Rest sieht gut aus !
Sinnvoll wäre nochmal der Output wenn du den OVPN Server manuell startest, ob dort fehlermeldungen passieren und...
was passiert wenn du den Server lokal im 192.168.15er Netz ansprichts mit einem Client !
chrisbonkers
chrisbonkers 27.08.2013 um 16:32:14 Uhr
Goto Top
Wenn ich den VPN-Server manuell starte kommt keine Fehlermeldung, da is alles in Ordnung.

wenn ich mich lokal am VPN-server anmleden möchte kommt folgende Fehlermeldung: http://ul.to/r72gxur4


Die openvpn.conf habe ich wie folgt abgeändert:
dev tun
proto udp
port 1194
ca /etc/openvpn/easy-rsa/keys/ca.crt
cert /etc/openvpn/easy-rsa/keys/server.crt
key /etc/openvpn/easy-rsa/keys/server.key
dh /etc/openvpn/easy-rsa/keys/dh1024.pem
user nobody
group nogroup
server 10.8.0.0 255.255.255.0
persist-key
persist-tun
status /var/log/openvpn-status.log
verb 3
client-to-client
log-append /var/log/openvpn
comp-lzo
aqui
aqui 28.08.2013 aktualisiert um 17:50:23 Uhr
Goto Top
Bitte lasse diesen Blödsinn mit externen Bilderlinks die uns zwing irgendwelche Grafikfiles aus dubiosen virenverseuchten Servern zu laden !!
Das Forum hier hat einen Bilder upload Funktion wenn du deinen Originalthread editierst mit Klick auf Fragen -> Thread und dann rechts "Bearbeiten".
Oben siehst du dann Bilder Upload wo du das Bild hochladen kannst und den nach dem Hochladen erscheinenden Bilder URL mit Rechtsklick und cut and paste hier in jeglichen Text kopieren kannst.
Statt des URLs erschent denn dein Bild !!
So schwer kann das doch nun wahrlich nicht sein und...kann man auch noch nachträglich machen ?!

Wie ist also die Fehlermeldung ??

Und...
push "route 192.168.15.0 255.255.255.0"
FEHLT weiterhin in deiner Server Konfig !!!
Wie soll sonst der Client eine Route dahin bekommen ?? Raten kann der nicht !

Zusätzliche hilfreiche Tips außer den o.a. Dokumenten findest du auch hier:
http://www.heise.de/netze/artikel/Offene-Verschlusssache-221675.html