Re: OT: VPN-Router bauen

To: debian-user-german@lists.debian.org
Subject: Re: OT: VPN-Router bauen
From: Boris <boris@cation.de>
Date: Thu, 5 Apr 2018 16:43:14 +0200
Message-id: <[🔎] 45c4942b-acba-f858-6f6b-174e852fbecf@cation.de>
In-reply-to: <[🔎] 20180405123952.42ck6syvhwcdrace@home.meini.org>
References: <[🔎] 20180405123952.42ck6syvhwcdrace@home.meini.org>

Moin Meinhard,

Am 05.04.2018 um 14:39 schrieb Meinhard Schneider:

> Ich sitze immer wieder mit meinen Geräten (Notebook, Smartphone usw.) in
> fremden Netzen: beim Kunden, im Hotel usw. Ich bin dann immer darauf
> angewiesen, dass alle Ports in Richtung Internet offen sind, die ich so brauche
> (gerade bei speziellen Anwendungen immer wieder ein Problem). Und ich weiß
> natürlich nie, was bis zum Internet mit dem Traffic passiert. Transparente
> Zwangs-Proxies sind - zumindest in Unternehmen - ja gang und gäbe.

Proxies lassen typischerweise nur http-, https-, und ftp-Verbindungen raus.


> Daher hatte ich die Idee, mit einem APU-Board [1] einen kleinen Mini-Router
> unter Debian aufzusetzen. 

Schau' Dir mal http://leaf.zetam.org/bering-uclibc/ an. Das ist eine
kleine, spezialisierte Distri, die es direkt für die PCEngines-Kisten
gibt. Davon habe ich eine Menge laufen und bin sehr glücklich damit.

Der soll sich mit dem vorhanden Netzwerk verbinden
> und einen VPN-Tunnel zu einem meiner Server "draußen" im Internet verbinden.

Wie gesagt: Durch ein Proxy nicht über die für VPNs üblichen Ports....

> Auf der anderen Seite des Routers soll dann ein normales Netzwerk zur Verfügung
> stehen, mit dem ich dann meine ganzen Gerätschaften verbinde. Auf Layer 1 ist
> die Sache relativ einfach umzusetzen (WLAN, LAN usw.). Allerdings frage ich
> mich, wie ich den Übergang zum VPN gestalten kann, so dass das für meine
> Endgeräte a) völlig transparent ist und b) keinerlei Traffic außerhalb des VPN
> läuft, sprich ich sicher bin, dass auch das letzte IP-Paket durch den
> VPN-Tunnel läuft.
> 
> Meine erste Idee war, mittels OpenVPN eine Layer 2 Verbindung (tap) zu machen
> und in Mini-Router dieses tap-Device dann in einer Bridge mit den Interfaces
> zusammen zu fassen, die meine Endgeräte bedienen. Der Mini-Router würde per
> DHCP IP-Adressen vergeben, die IP der default-route würde die Adresse meines
> Servers am anderen Ende des VPN-Tunnels (irgendwo im RZ) sein, wo dann auch NAT
> gemacht wird...

Was Du möchtest, ist eine LAN-LAN-Verbindung: Das geht sowohl mit
OpenVPN als auch mit OpenSWAN
(https://bering-uclibc.zetam.org/wiki/Bering-uClibc_5.x_-_User_Guide_-_Advanced_Topics_-_Setting_Up_a_Virtual_Private_Network).

Andererseits: Wieviele mobile Geräte schleppst Du denn mit Dir rum? Ein
VPN-Server zuhause (oder 'irgendwo') und jeweils ein VPN-Client auf
jedem Device - dann brauchst Du keinen extra Router.

Bleibt die Problematik mit der Porteinschränkung durch den Proxy, die zu
umgehen mit eigenwilliger Portverbiegung wäre - und ggfs. andere lustige
Dinge, die für Dich in einem fremden Netz intransparent sind - Stichwort
packet inspection.

> 
> Ich habe schon mehrmals im Internet nach solchen Projekten gesucht, kann aber
> nicht mal einen proof of concept dafür finden. Ist mein Vorhaben so abwegig?!?!

Jein. Dein Mobiltelefon kann vermutlich Tethering. Damit bist Du frei
von der Notwendigkeit, ein fremdes Netz zu durchtunneln und den Admin zu
verärgern.

Grüße,

Boris

Reply to:

Follow-Ups:
- Re: OT: VPN-Router bauen
  - From: Boris <boris@cation.de>

References:
- OT: VPN-Router bauen
  - From: Meinhard Schneider <meini@meini.org>

Prev by Date: OT: VPN-Router bauen
Next by Date: Re: System-Freeze und Kernel-Meldung: "BUG: soft lockup - CPU#2 stuck for 23s!"
Previous by thread: OT: VPN-Router bauen
Next by thread: Re: OT: VPN-Router bauen
Index(es):
- Date
- Thread