7
Statische IP-Adresse mit openVPN einrichten
Ich suche schon einige Stunden aber werde nicht wirklich fündig.
Folgendes Szenario:
Ich habe einen Debian-Server mit 2 festen IP-Adressen, von denen ich aber nur eine benutze.
Nun habe ich mir überlegt ob es möglich ist, mit Hilfe von openvpn/iptables etc. die Daten,
die an die 2. (derzeit ungenutzte) Adresse gehen, direkt auf einen per openvpn "angetunnelten"
Server umzuleiten. Um das mal "bildlich" darzustellen:
Server/Home/openvpn-client <- openvpntunnel -> Server/Internet/openvpn-server
Den Tunnel habe ich als tun-device mit shared-Key aufgesetzt. (Einfachste Config)
Mein Problem liegt jetzt eigentlich nur noch darin, die Daten, die auf die eth1 gehen,
durch den Tunnel zu meinem Server nach Haus zu routen.
Ziel des ganzen soll es eigentlich nur sein, meinen Home-Server der an einer DSL-Leitung
mit dynamischer IP hinter einer Fritzbox hängt unter einer festen Adresse erreichbar zu machen.
Dynamisches DNS kommt nicht in Frage denn es soll auch eMail darüber laufen.
Da ich bei meinem Server im Internet ja über feste Adressen verfüge, kommt auch ein
VPN-Dienstleister nicht in Frage. .oO(( Ok, eigentlich bin ich da dann nur zu geizig ;) ))
Hat schonmal jemand soetwas aufgebaut und kann mich in die richtige Richtung schubsen ?
Ich habe einen Debian-Server mit 2 festen IP-Adressen, von denen ich aber nur eine benutze.
Nun habe ich mir überlegt ob es möglich ist, mit Hilfe von openvpn/iptables etc. die Daten,
die an die 2. (derzeit ungenutzte) Adresse gehen, direkt auf einen per openvpn "angetunnelten"
Server umzuleiten. Um das mal "bildlich" darzustellen:
Server/Home/openvpn-client <- openvpntunnel -> Server/Internet/openvpn-server
Den Tunnel habe ich als tun-device mit shared-Key aufgesetzt. (Einfachste Config)
Mein Problem liegt jetzt eigentlich nur noch darin, die Daten, die auf die eth1 gehen,
durch den Tunnel zu meinem Server nach Haus zu routen.
Ziel des ganzen soll es eigentlich nur sein, meinen Home-Server der an einer DSL-Leitung
mit dynamischer IP hinter einer Fritzbox hängt unter einer festen Adresse erreichbar zu machen.
Dynamisches DNS kommt nicht in Frage denn es soll auch eMail darüber laufen.
Da ich bei meinem Server im Internet ja über feste Adressen verfüge, kommt auch ein
VPN-Dienstleister nicht in Frage. .oO(( Ok, eigentlich bin ich da dann nur zu geizig ;) ))
Hat schonmal jemand soetwas aufgebaut und kann mich in die richtige Richtung schubsen ?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 188911
Url: https://administrator.de/contentid/188911
Printed on: May 4, 2024 at 08:05 o'clock
7 Comments
Latest comment
Hallo,
also wenn ich dich richtig verstehe! Befinden sich die beiden "Server" an zwei verschiedenen Orten?
Ich stell mir das so vor!
Debian -> z.B. Firma (2 Feste IPs)
Home -> z.B. Zuhause (keine Feste IP)
ist das so richtig?
also wenn ich dich richtig verstehe! Befinden sich die beiden "Server" an zwei verschiedenen Orten?
Ich stell mir das so vor!
Debian -> z.B. Firma (2 Feste IPs)
Home -> z.B. Zuhause (keine Feste IP)
ist das so richtig?
Das kann so nicht funktionieren, denn der Tunnelendpunkt zuhause benötigt logischerweise auch eine öffentliche IP Adresse, wie sollte der OVPN Tunnel sonst funktionieren ?!
Fazit: Dir fehlt schlicht eine IP Adresse um das zu realisieren.
Fazit: Dir fehlt schlicht eine IP Adresse um das zu realisieren.
Was willst Du genau erreichen?
1. Soll die "feste IP" bei Dir zuhause sein? oder
2. willst Du alles was an die zweite feste Ip geht direkt nach zuhause umrouten?
zu 1.: wird schwierig.
zu 2: mit openVPN einen zunnel zu deiner debian-Box aufbauen und mit iptables alles was an die zweiter IP-Adresse geht per statisches NAT auf deien Heimbox umbiegen. quasi "exposed host" um es mit den begriffen der Baumarktrouter zu sagen.
lks
1. Soll die "feste IP" bei Dir zuhause sein? oder
2. willst Du alles was an die zweite feste Ip geht direkt nach zuhause umrouten?
zu 1.: wird schwierig.
zu 2: mit openVPN einen zunnel zu deiner debian-Box aufbauen und mit iptables alles was an die zweiter IP-Adresse geht per statisches NAT auf deien Heimbox umbiegen. quasi "exposed host" um es mit den begriffen der Baumarktrouter zu sagen.
lks
Da hab ich gedacht, ich formulier das alles genau aus und da wurds dann wohl wieder schwammig ;)
@linguin: Ganz genau. Und den Server zu Haus möchte ich über die zweite öffentliche IP vom Firmenserver ereichbar machen.
@aqui: Natürlich habe ich durch meinen Provider bei der Einwahl eine öffentliche IP-Adresse. Nur halt ne dynamische. Ich möchte halt gern ne feste ;)
@Lochkartenstanzer: Zu 2. : Ich denke, drauf läuft es hinaus. Bin nur weit davon entfernt ein IP-Tables-Spezi zu sein und meine bisherigen Versuche sind gescheitert.
Zu Hause sitze ich hinter einer Fritzbox. Im lokalen Netz (192.168.0.0/24) befindet sich ein (virtueller) Debian-Server
der sich per openVPN (über tun0) mit einem anderen Debian-Server im Rechenzentrum (dort auch tun0) verbindet.
Dieser hat zwei feste IP-Adressen auf eth0 und eth1.
Nun soll eigentlich "nur" alles was auf dem Server im RZ über die eth1 kommt über den Tunnel zu meinem Debian-Server zu Haus geleitet werden (und natürlich auch zurück), sprich, wenn ich die 2.IP des Servers im RZ im Webbrowser eingeben, sollte mir mein Apache von der Debian-Kiste zu Hause antworten.
Nochmal mit Adressen:
Server1 im RZ:
eth0 1.1.1.1
eth1 1.1.1.2
tun0 10.8.0.1
Server2 zu Haus:
eth0 192.168.0.100
tun0 10.8.0.2
Umleitung der Daten von Server1/eth1 via Tunnel nach Server2 und zurück
(Ich hab das Gefühl, ich verschleiere das immer mehr
)
@linguin: Ganz genau. Und den Server zu Haus möchte ich über die zweite öffentliche IP vom Firmenserver ereichbar machen.
@aqui: Natürlich habe ich durch meinen Provider bei der Einwahl eine öffentliche IP-Adresse. Nur halt ne dynamische. Ich möchte halt gern ne feste ;)
@Lochkartenstanzer: Zu 2. : Ich denke, drauf läuft es hinaus. Bin nur weit davon entfernt ein IP-Tables-Spezi zu sein und meine bisherigen Versuche sind gescheitert.
Zu Hause sitze ich hinter einer Fritzbox. Im lokalen Netz (192.168.0.0/24) befindet sich ein (virtueller) Debian-Server
der sich per openVPN (über tun0) mit einem anderen Debian-Server im Rechenzentrum (dort auch tun0) verbindet.
Dieser hat zwei feste IP-Adressen auf eth0 und eth1.
Nun soll eigentlich "nur" alles was auf dem Server im RZ über die eth1 kommt über den Tunnel zu meinem Debian-Server zu Haus geleitet werden (und natürlich auch zurück), sprich, wenn ich die 2.IP des Servers im RZ im Webbrowser eingeben, sollte mir mein Apache von der Debian-Kiste zu Hause antworten.
Nochmal mit Adressen:
Server1 im RZ:
eth0 1.1.1.1
eth1 1.1.1.2
tun0 10.8.0.1
Server2 zu Haus:
eth0 192.168.0.100
tun0 10.8.0.2
Umleitung der Daten von Server1/eth1 via Tunnel nach Server2 und zurück
(Ich hab das Gefühl, ich verschleiere das immer mehr
)
@dareal
Darum geht es nicht oder du hast den Sinn eines VPNs nicht verstanden. Du hast ja eine 2te öffentliche IP. Um aber im VPN Tunnel den Traffic forwarden zu können muss auch der Tunnelendpunkt egal wo der jetzt bei dir liegt zuhause auf Server oder Router auch ein zusätzliche IP aus diesem Bereich haben die dein Server hat.
Andernfalls kannst du den Traffic niemals redirecten technisch.
Folglich benötigt du eine weitere IP für den VPN Tunnel der den Traffic zu dir transportieren soll. Einen Workaround gibt es:
Wenn du den Traffic nicht über die OVPN Verbindung routest sondern ganz einfach bridgest also mit einer Layer 2 Brücke im Tunnel überträgst. Eigentlich wird zwingend davon abgeraten, da man dann auch den gesamten Broad- und Multicast Traffic im Tunnel hat. Da du aber nur einen einzigen Server hast hält sich der ja sehr in Grenzen. Folglich ist so ein Szenario denkbar und auch so umsetzbar ohne weitere IPs nutzen zu müssen:
http://openvpn.net/index.php/open-source/documentation/miscellaneous/76 ...
Welche DSL IP du dafür zuhause bekommen hast ist völlig irrelevant !
IP Tables Spezi wird man z.B. mit einem Buch !
Darum geht es nicht oder du hast den Sinn eines VPNs nicht verstanden. Du hast ja eine 2te öffentliche IP. Um aber im VPN Tunnel den Traffic forwarden zu können muss auch der Tunnelendpunkt egal wo der jetzt bei dir liegt zuhause auf Server oder Router auch ein zusätzliche IP aus diesem Bereich haben die dein Server hat.
Andernfalls kannst du den Traffic niemals redirecten technisch.
Folglich benötigt du eine weitere IP für den VPN Tunnel der den Traffic zu dir transportieren soll. Einen Workaround gibt es:
Wenn du den Traffic nicht über die OVPN Verbindung routest sondern ganz einfach bridgest also mit einer Layer 2 Brücke im Tunnel überträgst. Eigentlich wird zwingend davon abgeraten, da man dann auch den gesamten Broad- und Multicast Traffic im Tunnel hat. Da du aber nur einen einzigen Server hast hält sich der ja sehr in Grenzen. Folglich ist so ein Szenario denkbar und auch so umsetzbar ohne weitere IPs nutzen zu müssen:
http://openvpn.net/index.php/open-source/documentation/miscellaneous/76 ...
Welche DSL IP du dafür zuhause bekommen hast ist völlig irrelevant !
IP Tables Spezi wird man z.B. mit einem Buch !
@aqui: So langsam wird Licht bei mir 
Also mit einer weiteren öffentlichen festen IP (um bei dem Beispiel zu bleiben, 1.1.1.3) wäre es machbar ? Adressen sind nicht wirklich mein Problem ;) Wäre es dann so, das ich dem VPN-Client durch openVPN diese weitere Adresse zuweisen muss ?
Also mit einer weiteren öffentlichen festen IP (um bei dem Beispiel zu bleiben, 1.1.1.3) wäre es machbar ? Adressen sind nicht wirklich mein Problem ;) Wäre es dann so, das ich dem VPN-Client durch openVPN diese weitere Adresse zuweisen muss ?
Ja, richtig wenn du routen willst. Beim Bridging brauchst du es aber auch da der Client ja auch im gleichen Tunnelnetz sein muss.
Es gäbe noch einen Workaround was das überflüssig macht:
Du machst ganz einfach NAT im VPN Tunnel. Dadurch hast du dann aber eine NAT Firewall im Tunnel und das Routing ist nicht mehr transparent. Also alles was dann vom Client Richtung Server geht wird geblockt sofern keine aktive Session besteht.
Vermutlich nicht gerade das was du erreichen willst, aber als "Einbahnstrasse" würde es klappen da OVPN NAT am Tunnelinterface supportet.
Besser ist immer das sauber zu routen.
Es gäbe noch einen Workaround was das überflüssig macht:
Du machst ganz einfach NAT im VPN Tunnel. Dadurch hast du dann aber eine NAT Firewall im Tunnel und das Routing ist nicht mehr transparent. Also alles was dann vom Client Richtung Server geht wird geblockt sofern keine aktive Session besteht.
Vermutlich nicht gerade das was du erreichen willst, aber als "Einbahnstrasse" würde es klappen da OVPN NAT am Tunnelinterface supportet.
Besser ist immer das sauber zu routen.
