[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: OT: VPN-Router bauen

On 04/05/2018 02:39 PM, Meinhard Schneider wrote:

> Zwangs-Proxies sind - zumindest in Unternehmen - ja gang und gäbe.

sollange die nicht https aufbrechen, empfielt es sich eventuell Dein
OpenVPN am server auf 443/tcp lauschen zu lassen.

> Daher hatte ich die Idee, mit einem APU-Board [1] einen kleinen Mini-Router

die AR/MT 150/300 serie von https://www.gl-inet.com/ sollte auch
ausreichend sein.

> Endgeräte a) völlig transparent ist und 

eigenes RFC1918 netz am mini-router (zb 10.47.11.0/24, mit DHCP und
allem pipapo), ein VPN subnet für OpenVPN brauchst sowieso.

der OpenVPN server (bzw andere clients) braucht dann fürs korrekte
routing folgende einträge
route 10.47.11.0 255.255.255.0
push "route 10.47.11.0 255.255.255.0"

und dann noch eine spezifische client config im ccd
iroute 10.47.11.0 255.255.255.0

siehe auch
https://openvpn.net/index.php/open-source/documentation/howto.html#scope

NAT am server
$IPTABLES -t nat -A POSTROUTING -s 10.47.11.0/24 -o $EXT_IF -j MASQUERADE
$IPTABLES -A FORWARD -s 10.47.11.0/24 -o $EXT_IF -m state --state NEW -j
ACCEPT

> b) keinerlei Traffic außerhalb des VPN läuft

am OpenVPN server mit
push "redirect-gateway def1 bypass-dhcp"

siehe auch
https://openvpn.net/index.php/open-source/documentation/howto.html#redirect

> Ich habe schon mehrmals im Internet nach solchen Projekten gesucht, kann aber
> nicht mal einen proof of concept dafür finden. Ist mein Vorhaben so abwegig?!?!

Du verbindest eigentlich nur zwei RFC1918 netze mit OpenVPN, wobei Du
auf OpenVPN server seite kein RFC1918 netz hast :-) und auf client seite
ein default GW ins VPN setzt.

gre3tings, Klaus
Reply to: