OpenVPN mit tomato Router hinter DS-Lite – Seite 2

Anstößigen Inhalt melden · ‎09.12.2018

Hallo zusammen

Ich habe folgendes Setup:

Internet <> UM ConnectBox mit DS-Lite <> Belkin Router mit tomato Firmware <> PC, NAS, PS4

Ich würde gerne mittels VPN von außen auf mein Netzwerk zugreifen, um mein IPv4 NAS und IPv4-PS4-Dienste zu nutzen. Da die ConnectBox das leider nicht von Hause auf mitbringt, habe ich den Belkin Router mit tomato Firmware dahinter geschaltet.

Dieser hat die Möglichkeit einen openVPN-Server zu betreiben. Da ich aber nicht allzuviel Ahnung von der Materie habe, bin ich relativ ratlos, wie ich

1) IPv6 über den tomato Router weiter an die Geräte dahinter vergeben

2) openVPN auf tomato Router einrichte, damit ich dann - einfach gesagt - meine anderen Geräte über die Netzwerkumgebung sehen kann (NAS etc.)

Ist das überhaupt möglich, wenn UM nur DS-Lite liefert?

Hat jemand Erfahrungen mit tomato und VPN hinter einem UM-DS-Lite-Anschluss?

Hätte alternativ noch eine Fritzbox 7360, die aber VPN nur bei nativem IPv4 anbietet.

Viele Grüße

Sebastian

Anonym253 · ‎19.12.2018

Hallo Sebastian,

ich erlaube mir auf meine Lösungsansätze zu verweisen. Allerdings ist es mit einer Fritzbox wahrscheinlich leichter zu realisieren als mit der "connect box" (z.B. wegen dyndns bzw. ggf. auch Präfixdelegation)

Inwieweit sich "tomato" von einem Linux auf auf einem Raspberrypi unterscheidet, weiß ich auch nicht.

Voraussetzung für meine beiden Vorschläge ist aber, dass die Rechner, die das VPN nutzen sollen ebenfalls eine IPv6-Anbindung haben.

Mit freundlichen Grüßen

Thomas Schäfer

openvpn für Heimnetz mit IPv4-Geräten an
DS/DS-lite-Anschlüssen

openvpn synology nas myfritz Nutzung von openvpn via IPv6 am
Beispiel der Fritzbox und der Synology Diskstation

Anstößigen Inhalt melden · ‎23.12.2018

Hallo zusammen,

---

@thomas:

Die Fritzbox ist ja im Prinzip nur dafür gut, um einen stabilen DDNS Hostnamen zu vergeben. Da ich DUIA erfolgreich auf dem tomato laufen habe und dies das gleiche Ergebnis erzielt, würde ich die Fritzbox erstmal nicht noch dazwischen schalten, sondern weiter über DUIA auf die IPv6 zugreifen.

Die Altlasten-Lösung klingt sehr interessant, dazu hab ich aber noch ein paar anwendungsspezifische Fragen (s.u)

----

Mir gehen gerade mehrere Dinge durch den Kopf.

Kurz vorab. Ich kann openVPN auf Windows mit dem tomato-VPN-Server verbinden, wenn als Serveradresse die lokale IPv4 eingetragen wird. Ob das auch mit einer globalen IPv4 funktionieren würde, kann ich nicht testen wegen DSlite. Ich habe daraufhin versucht die IPv6-Adresse des tomato Router einzutragen. Leider kommt immer die Fehlermeldung, dass die Adresszuweisung gescheitert ist, sprich der VPN-Server keine IPv6 vergeben kann.

Das führte mich zu folgenden Fragen:

1) Anscheinend muss ich es hinbekommen, dass tomato IPv6 vergeben kann -> Prefixdeligation von der Connectbox aktivieren (@thomas: meine fritzbox ist leider keine Coax-Fritzbox, deswegen Betrieb von Connectbox weiterhin notw.)

2) Kann ein IPv6 Client überhaupt dann mit den IPv4 Geräten (bspw. PS4) im Netzwerk kommunizeren?

Falls 2) mit nein beantworten würde, müsste ich tatsächlich eine Art openVPN für "Altlasten" kreieren. Der tomato läuft mit Linux; ich kann auch über Telnet Befehle drauf ausführen etc.

@thomas: deine Lösung sieht ja den rasberryPi als eine Art ipv6 vpn endpoint, der Anfragen ins ipv4 heimnetz routet, oder?

Ich werde mal deine Lösung versuchen auf dem tomato zum laufen zu bringen. Ist TCP anstatt UDP und TAP anstatt TUN möglich?

Viele Grüße

Sebastian

Anonym253 · ‎23.12.2018

zu 1)

OpenVPN empfehlt natürlich ein eigenes Präfix, was idealerweise per Präfixdelegation zum VPN-Server kommt. Synology macht es genau so. Die Kunst besteht hier in der automatisierten Kopplung von dhcp-client-Funkttion und der OpenVPN-Server-Funktion.

Ich habe es anders gemacht. Ich nutze proxy_ndp und proxy_arp.

D.h. die VPN-Clients bewegen sich exakt im gleichen IPv4/IPv6-Netz wie der VPN-Server selbst.

Das verhindert bei IPv4 ein weiteres NAT und funktioniert bei IPv6 auch dann, wenn der Router keine Präfixdelegation unterstützt.

zu 2) Ein VPN-Client bekommt via IPv6 vom VPN-Server eine IPv4- und eine IPv6-Adresse, wie bereits schon erwähnt, aus den LAN des VPN-Servers. Bei der Synololgy-Lösung ist die IPv6-Adresse aus dem vom Router vergebenen Präfix und die IPv4-Adresse zusätzlich genatted, was im LAN neue Probleme schaffen kann.

zu 3)

Der Raspberry Pi (die Synology auch) arbeitet als VPN-Server, der ausschließlich über IPv6 erreichbar ist (geht ja auch bei DS-lite nicht anders). Die Clients bekommen wahlweise IPv4- und/oder IPv6-Adressen aus dem LAN. Ebenso kann man sich auch entscheiden, ob man Splittunneling betreibt oder ob man den gesamten Verkehr durch den VPN-Server leitet. Letzteres sollte man sich überlegen, da dann einerseits der RaspberryPi schnell an seine Performancegrenze kommen kann und andererseits bei vielen ISP der Upstream in einem schlechten Verhältnis zum Downstream steht.