Ubuntu-X86-Server mit OpenVPN-Client hinter Fritzbox

[proto]

Hallo,

folgende Konstellation versuche ich seit paar Tagen zu konfigurieren:

x86-Ubuntu-Server mit OpenVPN-Client (VPN-Provider)
hinter einer Fritzbox.



Auf dem Ubuntu Server ist folgendes schon installiert:

webmin
-->bisher keine Firewall (iptables) aktiviert sollte aber noch gemacht werden

ddclient

Du musst dich Anmelden oder Registrieren um den Inhalt der Codes zu sehen!

openvpn mit enable-password-save
Für OpenVPN habe ich auch einen eigenen User angelegt

Du musst dich Anmelden oder Registrieren um den Inhalt der Codes zu sehen!

Du musst dich Anmelden oder Registrieren um den Inhalt der Codes zu sehen!

Wenn ich openvpn starte ist soweit alles in Ordnung

Du musst dich Anmelden oder Registrieren um den Inhalt der Codes zu sehen!

Vom Server aus habe ich auf die IP von meinem XP Rechner einen
traceroute 152.555.111.222 und tracepath 152.555.111.222 gemacht da wird dann mein Anschluß beim Provider angezeigt.

Auch vom XP Rechner auf den Server mit tracert 222.333.44.55 habe ich mal nachgeschaut bis zum VPN-Provider wird alles angezeigt.

Auf dem Router habe ich die Ports was in der client-vpn.conf
unter remote steht auf den Server weitergeleitet

Du musst dich Anmelden oder Registrieren um den Inhalt der Codes zu sehen!

Fragen:

1.
Unter Protokoll gibt es verschiedene Auswahlmöglichkeiten
TCP / UDP / ESP / GRE welche davon ist der richtige?
Oder muß man den Protokoll angeben was in der client-vpn.conf drin steht?

2.
Wie muß nun die Firewall/NAT auf dem Server eingestellt werden?
Der port 1800 sollte erreichbar sein alles andere benötige ich nicht.
Außer es gibt Ports die für die Systemaktuallisierung notwendig sind?

3.
Wie gesagt ich habe so viel durchgelesen das ich nicht mehr weis
was was ist.

Es wir davon geredet das man die DNS-Server ändern kann/sollte
damit der Internetprovider nicht sieht auf welche Seiten man geht
und damit man auf Seiten Zugriff hat auf die man in DE normalerweise
keinen Zugriff hat.
Und auf die Anonymität hat das auch einen Einfluß?

4.
Dann wird noch der Gateway angesprochen das man den noch abändern kann. Wozu das nun gut ist weis ich schon gar nicht mehr.

5.
Muß ich noch am Router was einstellen damit der nicht irgendwo
auftaucht?

7.
Wie kann ich abschließend noch testen ob ich alles richtig gemacht habe?

Auf einem Windows Rechner kann ich ja die IP mit tracert analysieren
- tracert (zeigt an über wieviele Server eine IP verbunden wird HOPS)

Da ich eine Only-Server Installation gemacht habe fehlt mir ja die GUI
auf Ubuntu damit ich z.B. auf whoer.net gehen kann.
Dort wird ja wirklich alles angezeigt aber wie macht man das mit einem
Linux Server?

Genauso einen Port Check wo / wie am Besten machen?

Danke

 

[sscully]

AW: Ubuntu-X86-Server mit OpenVPN-Client hinter Fritzbox

1.
Unter Protokoll gibt es verschiedene Auswahlmöglichkeiten
TCP / UDP / ESP / GRE welche davon ist der richtige?
Oder muß man den Protokoll angeben was in der client-vpn.conf drin steht?

>> Da dein Server lediglich als Client fungieren soll benötigst du keine
Portweiterleitung bzw. und auch keine Protokollbestimmung.
Du musst nur sicherstellen das deine VPN-Verbindung durchgeleitet wird (VPN-Passthrough).Die Fritzbox kann das standardmäßig.


2.
Wie muß nun die Firewall/NAT auf dem Server eingestellt werden?
Der port 1800 sollte erreichbar sein alles andere benötige ich nicht.
Außer es gibt Ports die für die Systemaktuallisierung notwendig sind?

>> Für dein internes Netz alles erlauben.
Für dein VPN-Netz (tun0) alles verbieten und dann nach und nach
deine benötigten Ports freischalten.

3.
Wie gesagt ich habe so viel durchgelesen das ich nicht mehr weis
was was ist.

Es wir davon geredet das man die DNS-Server ändern kann/sollte
damit der Internetprovider nicht sieht auf welche Seiten man geht
und damit man auf Seiten Zugriff hat auf die man in DE normalerweise
keinen Zugriff hat.

Und auf die Anonymität hat das auch einen Einfluß?

>> Das lässt sich am leichtesten bewältigen mittels Up / Down-Scripte

Du musst dich Anmelden oder Registrieren um diesen link zusehen!

4.
Dann wird noch der Gateway angesprochen das man den noch abändern kann. Wozu das nun gut ist weis ich schon gar nicht mehr.

>> Den GW bekommst du von deinem VPN-Anbieter übertragen. Normalerweise ändert sich dieser dann bei Verbindungsaufbau / abbau automatisch.

5.
Muß ich noch am Router was einstellen damit der nicht irgendwo
auftaucht?

>> Kommt drauf an was du mit dem SV vorhast ;=) Wenn der als GW für dein Netz arbeiten soll dann ist noch so einiges zu tun. Und wenn er nur als CS-Server arbeiten soll dann war es das auch schon ;=) (( Wobei dann noch die Frage bezgl. RPF kommt. Bekommst du eine Shared IP oder eine Dedicated IP ?

7.
Wie kann ich abschließend noch testen ob ich alles richtig gemacht habe?

Auf einem Windows Rechner kann ich ja die IP mit tracert analysieren
- tracert (zeigt an über wieviele Server eine IP verbunden wird HOPS)

Da ich eine Only-Server Installation gemacht habe fehlt mir ja die GUI
auf Ubuntu damit ich z.B. auf whoer.net gehen kann.
Dort wird ja wirklich alles angezeigt aber wie macht man das mit einem
Linux Server?

Genauso einen Port Check wo / wie am Besten machen?

Danke

>>am besten über die entsprechenden Table (Routing/Netstat/etc).Kannst natürlich auch Routing auf dem Server aktivieren und diesen dann als GW nutzen. Dann kannst du alle bekannten Tests (Whoer....) mit deinem XP PC durchführen[/QUOTE]

 

[RoterBaron]

AW: Ubuntu-X86-Server mit OpenVPN-Client hinter Fritzbox

...solange deine Clients nicht auch alle VPN haben, bringt dir das für CS nicht wirklich was...

Du baust dir damit dann eine zusätzliche Fehlerquelle ein auf die du nicht wirklich einfluss hast - wenn der VPN-Anbieter mal Probeme hat oder das Routing dorthin spinnt, funktioniert bei dir nix mehr obwohl der server "online" wär...
Genauso wie deine Latenz schlechter wird weil solche VPN-Anbieter meistens im Ausland sitzen und all deine Datenpakete dann darüber umgeleitet werden etc

Sinniger wäre für CS ein eigenes, privates VPN ohne Drittanbieter

 

[sscully]

AW: Ubuntu-X86-Server mit OpenVPN-Client hinter Fritzbox

...solange deine Clients nicht auch alle VPN haben, bringt dir das für CS nicht wirklich was...

>>Das stimmt nicht. Der Server bekommt eine IP-Addy aus dem Addresskreis des VPNanbieters. Somit bleibt die zugewiesene Telekom oder weiß Gottnichtfüreine IP versteckt / unerkannt.

Du baust dir damit dann eine zusätzliche Fehlerquelle ein auf die du nicht wirklich einfluss hast - wenn der VPN-Anbieter mal Probeme hat oder das Routing dorthin spinnt, funktioniert bei dir nix mehr obwohl der server "online" wär...
Genauso wie deine Latenz schlechter wird weil solche VPN-Anbieter meistens im Ausland sitzen und all deine Datenpakete dann darüber umgeleitet werden etc

>>Latenzzeiten haben nichts mit im Ausland sitzende Anbieter zu tun.
Das liegt mehr an anderen verschiedenen Komponeneten. Routingtables etc....

Sinniger wäre für CS ein eigenes, privates VPN ohne Drittanbieter

>> für eigenes CS wäre das unötig ......

 

[RoterBaron]

AW: Ubuntu-X86-Server mit OpenVPN-Client hinter Fritzbox

lol - ich bin seit 15 jahren im IT und Internet Bereich tätig und glaube mittlerweile scho zu wissen wovon "Latenzen" abhängig sind oder ob VPN noch nen Sinn bei CS ergibt wenn nur der Server im VPN is etc....

kein bock jetzt mit dir hier nen streitgespräch zu führen wovon Latenzen abhängig sind und das im Ausland sitzenede VPN-Anbieter 100000% eine schlechtere Latenz haben wie deutsche Anbieter etc - nicht nur weil mehr hops drzischen sind sondern meistens auch wegen schlechterer+älterer hardware etc aber passt scho... sorry das ich keinen komplizierten fachsimpel-roman geschrieben hab - klugscheisser

 

[proto]

AW: Ubuntu-X86-Server mit OpenVPN-Client hinter Fritzbox

1.
>> Da dein Server lediglich als Client fungieren soll benötigst du keine
Portweiterleitung bzw. und auch keine Protokollbestimmung.
Du musst nur sicherstellen das deine VPN-Verbindung durchgeleitet wird (VPN-Passthrough).Die Fritzbox kann das standardmäßig.

==> Wie ist den das eigentlich wenn ich eine Anfrage über einen bestimmten Port bekomme wird das ja über den VPN-Provider durch den VPN-Tunnel (Port20000) durchgereicht kommen die Anfragen dann trotzdem mit der ursprunglichen Port anfrage am Server an?

2.
>> Für dein internes Netz alles erlauben.
Für dein VPN-Netz (tun0) alles verbieten und dann nach und nach
deine benötigten Ports freischalten.

==> Was mache ich mit et0, oder besser gefragt was passiert wenn die
VPN Verbindung ausfällt??


5.
Wenn der als GW für dein Netz arbeiten soll dann ist noch so einiges zu tun. Und wenn er nur als CS-Server arbeiten soll dann war es das auch schon ;=) (( Wobei dann noch die Frage bezgl. RPF kommt.
==>Als GW soll es nicht dienen ich möchte nur meine IP geändert haben

Bekommst du eine Shared IP oder eine Dedicated IP ?
==> Das sollte denke ich eine Shared IP sein also dynamische IP
Aber das ist ja mit ddclient gelöst oder nicht?


7.
Kannst natürlich auch Routing auf dem Server aktivieren und diesen dann als GW nutzen.
==> Benötige ich dann 2 LAN Ports am Server?


Ich habe ja noch eine FB7390 aber das einrichten von openvpn ist dort
für mich noch umständlicher. Ich habe zum Testen ein fertiges image mit
openvpn genommen aber man bekommt keine richtigen Infos wie man
die client.conf und ca.crt ablegt und dann müssen andere Sachen vorher gemacht werden. Dann weis ich nicht ob man in der conf dev tun oder dev tap nehmen muß.
Der Anbieter vpntunnel.se hat in den HowTo's für tomato und wrt dort
die dev tap genommen.
Aber das ist ja ein anderes Thema.

gruß

 

[sscully]

AW: Ubuntu-X86-Server mit OpenVPN-Client hinter Fritzbox

1.
==> Wie ist den das eigentlich wenn ich eine Anfrage über einen bestimmten Port bekomme wird das ja über den VPN-Provider durch den VPN-Tunnel (Port20000) durchgereicht kommen die Anfragen dann trotzdem mit der ursprunglichen Port anfrage am Server an?

>>> JEIN - es kommt darauf an ob du eine SharedIP oder eine Dedicated IP bekommst - also ob du dir eine IP mit x anderen teilst oder ob du eine IP bekommst die nur dir gehört ........


2.
>> Für dein internes Netz alles erlauben.
Für dein VPN-Netz (tun0) alles verbieten und dann nach und nach
deine benötigten Ports freischalten.

==> Was mache ich mit et0, oder besser gefragt was passiert wenn die
VPN Verbindung ausfällt??

>>> für eth0 (internes Netz) Alles erlauben. Falls VPN ausfällt wird der SV nicht erreichbar sein.


5.
Wenn der als GW für dein Netz arbeiten soll dann ist noch so einiges zu tun. Und wenn er nur als CS-Server arbeiten soll dann war es das auch schon ;=) (( Wobei dann noch die Frage bezgl. RPF kommt.
==>Als GW soll es nicht dienen ich möchte nur meine IP geändert haben

Bekommst du eine Shared IP oder eine Dedicated IP ?
==> Das sollte denke ich eine Shared IP sein also dynamische IP
Aber das ist ja mit ddclient gelöst oder nicht?

>>> Nicht wirklich ;=) Shared IP - du teilst dir die Ip mit X anderen und kannst somit nicht jeden Port weitergeleitet bekommen .........

7.
Kannst natürlich auch Routing auf dem Server aktivieren und diesen dann als GW nutzen.
==> Benötige ich dann 2 LAN Ports am Server?

>>> die hast du ja - eth0 und tun0 ;=)

Ich habe ja noch eine FB7390 aber das einrichten von openvpn ist dort
für mich noch umständlicher. Ich habe zum Testen ein fertiges image mit
openvpn genommen aber man bekommt keine richtigen Infos wie man
die client.conf und ca.crt ablegt und dann müssen andere Sachen vorher gemacht werden. Dann weis ich nicht ob man in der conf dev tun oder dev tap nehmen muß.
Der Anbieter vpntunnel.se hat in den HowTo's für tomato und wrt dort
die dev tap genommen.
Aber das ist ja ein anderes Thema.

gruß

>>> hier kommt es drauf an welchen Modus der Server unterstützt. TUN oder TAP ....