OpenVPN : Ipfire als Client mit red/green/blue/orange mit Portunity fester IP

Wie kann man das Konfigurieren?
User avatar
Elluminatus
Posts: 33
Joined: July 2nd, 2016, 6:36 am

OpenVPN : Ipfire als Client mit red/green/blue/orange mit Portunity fester IP

Post by Elluminatus » July 27th, 2017, 8:33 am

Hallo,

ich habe einen IPfire mit 4 Netzwerkkarten rot/grün/blau/orange
Ipfire ist hinter einer Fritzbox. In der ist die IPfire als exposed host eingetragen.

Was ich vorhabe: Jeweils eine feste IP zu einem Server in Orange lenken und eine zu einem Server in grün.

Ich möchte nun den Ipfire als VPN Client einrichten.

Dieses Dokument habe ich dazu schon gefunden:
http://docplayer.org/19455429-Howto-ope ... essen.html

Allerdings habe ich dort ein Verständnisproblem. Dort wird der oPenVPN auf das rote Netzwerk gelegt. Dies möchte ich nicht, da bei mir
ja rot ganz normal den Zugang ins Internet (über die Fritzbox) für grün/ornage/blau bereitstellt.

Meine Frage: Kann ich in dieser Anleitung einfach alles weglassen, was mit der roten Scnittstelle zu tun hat, oder funktioniert dies dann nicht?
Mein Ziel ist es im ersten Step mit einer festen IP über meinen IPfire auf einen Pydio Server in orange zugreifen zu können.

Könnt Ihr mich bei diesem Vorhaben unterstützen? Da wäre ich Euch sehr dankbar.

Beste Grüße
Elluminatus
Image

User avatar
Elluminatus
Posts: 33
Joined: July 2nd, 2016, 6:36 am

Re: OpenVPN : Ipfire als Client mit red/green/blue/orange mit Portunity fester IP

Post by Elluminatus » July 30th, 2017, 6:06 pm

Kann mir hier niemand helfen? Oder fehlen noch Angaben, die ich nicht gepostet habe?

Vielen Dank für die Hilfe!
Elluminatus
Image

ummeegge
Community Developer
Community Developer
Posts: 4216
Joined: October 9th, 2010, 10:00 am

Re: OpenVPN : Ipfire als Client mit red/green/blue/orange mit Portunity fester IP

Post by ummeegge » July 31st, 2017, 3:27 pm

Hallo Elluminatus,
ich muss dir ehrlich sagen eigentlich helf ich bei diesen Konfigs die den OpenVPN Server auf dem Fire zum Client umschalten nicht da ich 1) solche Konfigs nicht nutzte und somit aus reiner Logik Stellung nehmen müsste ohne dies gegenchecken zu können, 2) da sich mir aus Vertrauensgründen (was ist das für ein Anbieter, wer was mitloggt ist reine Vertrauenssache, kein Einfluss auf Konfigurationen, Firewall?) und 3) sollte es sich hierbei um Anonymisierung drehen halte ich Tor --> http://wiki.ipfire.org/en/addons/tor/start da für die eindeutig bessere/stressfreiere Wahl ...

Dennoch <--> sofern ich deine Frage nicht komplett falsch verstehe brauchst du einen Zugriff auf die orangene Zonen eines IPFires ? --> "mit einer festen IP über meinen IPfire auf einen Pydio Server in orange zugreifen zu können." <-- wie du schreibst... Das hört sich so an als ob du von einem IPFire auf einen anderen IPFire zugreifen möchtest ? Wenn dem so ist dann mach dir doch eine Netz-zu-Netz Verbindung auf --> http://wiki.ipfire.org/en/configuration ... pn/add_n2n da kannst du dir eine route nach orange setzen (musst du manuell machen), geht über das config file unter "n2nconf" der jeweiligen Gegenstelle.
Was ähnliches geht auch mit dem Server unter "IPFire has access to these networks on the client's site" hier --> http://wiki.ipfire.org/en/configuration ... lient_conf beschrieben, ist aber in meinen Augen mehr Stress als erstere Variante.
Elluminatus wrote:
July 27th, 2017, 8:33 am
Allerdings habe ich dort ein Verständnisproblem. Dort wird der oPenVPN auf das rote Netzwerk gelegt. Dies möchte ich nicht, da bei mir
ja rot ganz normal den Zugang ins Internet (über die Fritzbox) für grün/ornage/blau bereitstellt.
Es dreht sich erstmal um das tun Interface was ja im config File gesetzt wird. Wenn das dann nach /var/ipfire/red/iface geschrieben wird, wird der komplette IPFire Traffic über das VPN geleitet, ich schätz das auf diesem Weg das MASQUERADING (bzw. SNATTEN) umgangen wird, was dann aber mit der FW ist will ich erstmal gar nicht vermuten.
<-- Wie gesagt, bei solchen Konfigs geht mir die Lust flöten, gibt aber vielleicht jemand der da mehr Ahnung/Lust drauf hat.

Du findest jedenfalls über die Suchfunktion jede Menge Beiträge die sich mit solchen Konfiguration (OpenVPN auf dem Fire als Client) beschäftigen, soweit ich weiss sind da auch ein paar funktionale dabei.

Grüsse,

UE
Image
Image
Image

User avatar
Elluminatus
Posts: 33
Joined: July 2nd, 2016, 6:36 am

Re: OpenVPN : Ipfire als Client mit red/green/blue/orange mit Portunity fester IP

Post by Elluminatus » July 31st, 2017, 5:56 pm

Hallo un dvielen Dank für die Rückmeldung.

Kurze Erläuterung was ich dort vorhabe:

Die Firma Portunity ist ein Anbieter für feste IPs. Diese werden über eine VPN Verbindung (VPN Tunnel) aufgebaut. Es handelt sich also nicht um eine Tor-Geschichte, sondern um die Erreicharkeit einer meiner Server über eine feste IP. Diese wird mir wie gesagt über eine VPN Verbindung zur Verfügung gestellt. Hier ein Zitat von Portunity:
Ein zweiter Router übernimmt die Einwahl am Portunity-Tunnel-Einwahlserver und das Routing des von Portunity zugewiesenen öffentlichen IPv4-Netzes
Dazu ist es notwendig mit meinem IPfire als openVPN Client eine Verbindung zum Portunity Server aufzubauen und dort diese IP zu beziehen.

Ich möchte also nicht von einen IPfire zu einem Ipfire eine Verbindung aufbauen, sondern von meinem IPfire zum "Portunity-Tunnel-Einwahlserver".

Ist dies also auch mit der Net to net Funktion möglich? Ich habe hier noch jede Menge Anleitungen gefunden und mit openWRT ist mir so eine Einrichtung auch schon einmal geglückt, aber hier bei IPfire habe ich eben Probleme https://www.portunity.de/access/wiki/Ka ... nleitungen

Danke trotz aller Hindernisse für die Hilfe!

Beste Grüße Elluminatus
Image

ummeegge
Community Developer
Community Developer
Posts: 4216
Joined: October 9th, 2010, 10:00 am

Re: OpenVPN : Ipfire als Client mit red/green/blue/orange mit Portunity fester IP

Post by ummeegge » July 31st, 2017, 8:05 pm

Hi Elluminatus,
sprechen wir hier über ein DS-Lite Anschluss oder weswegen bekommst du keinen Zugriff von Extern ? Wenn ja dann wird das mit einem N2N auch nicht klappen.

Grüsse,

UE
Image
Image
Image

User avatar
Elluminatus
Posts: 33
Joined: July 2nd, 2016, 6:36 am

Re: OpenVPN : Ipfire als Client mit red/green/blue/orange mit Portunity fester IP

Post by Elluminatus » August 2nd, 2017, 8:43 pm

Nein soweit ich weiß handelt es sich dabei nicht um einen DS Lite Anschluss. Siehe hier alle Infos: https://www.portunity.de/access/produkt ... unnel.html

Wie gehe ich da am besten vor?

Beste Grüße Elluminatus
Image

ummeegge
Community Developer
Community Developer
Posts: 4216
Joined: October 9th, 2010, 10:00 am

Re: OpenVPN : Ipfire als Client mit red/green/blue/orange mit Portunity fester IP

Post by ummeegge » August 3rd, 2017, 6:22 am

Guten Morgen,
um mal kurz ein "Für und Wider" abzuwägen, nimm doch erstmal ein DDNS --> https://www.portunity.de/access/wiki/Dy ... _fester_IP --> http://wiki.ipfire.org/en/configuration/services/dyndns bevor du tiefgreifendere Veränderungen im System machst. Gut es gibt kein Reverse DNS aber du willst ja auch erstmal kein Mailserver betreiben, desweiteren brauchts bei DDNS keine weiteren Eingriffe im System (nur anlegen des Accounts und die Konfiguration im WUI), DDNS wird von einer ganzen Reihe von Anbietern kostenlos angeboten ( ich nutze ganz gerne https://www.spdyn.de/ ), die OpenVPN Konfiguration wird von dir betrieben und ist nahezu End-to-End bzw. End-to-Home (geht bis zum Fire und nicht direkt auf den Server), das Firewalling liegt durchweg in deiner Hand und ist vollfunktionsfähig über das WUI.
Wenn du komplette Netzwerke anbinden möchtest nimmst du anstatt Roadwarrior einfach eine oder mehrere Net-to-Net (transparente Filialanbindung) Anbindungen.

Mal um ein anderes Türchen auszuprobieren, führt ja vielleicht auf die gleiche Strasse mit weniger Umwegen ?

Grüsse,

UE
Image
Image
Image

User avatar
Elluminatus
Posts: 33
Joined: July 2nd, 2016, 6:36 am

Re: OpenVPN : Ipfire als Client mit red/green/blue/orange mit Portunity fester IP

Post by Elluminatus » August 3rd, 2017, 9:51 am

Hi UE,

dies werde ich am freitag mal durcharbeiten.
Vielen Dank für diesen Vergleich.

Eine Sache möchte ich aber noch Fragen um etwas zu lernen:

wenn ich einen tun0 anlege braucht dieser Tunnel eine freie Netzwerkkarte oder kann er sich diese auch "teilen". Bspw rote Nic ist Telekom DSL könnte ich diese rote auch noch mit einem Openvpn Tunnel belegen?

Das ist eine Frage die mir immer noch im kopf rumschwirrt...

Danke für die ganze Mühe!!
Dankbar,

Elluminatus
Image

ummeegge
Community Developer
Community Developer
Posts: 4216
Joined: October 9th, 2010, 10:00 am

Re: OpenVPN : Ipfire als Client mit red/green/blue/orange mit Portunity fester IP

Post by ummeegge » August 3rd, 2017, 10:58 am

Hi Elluminatus,
Elluminatus wrote:
August 3rd, 2017, 9:51 am
wenn ich einen tun0 anlege braucht dieser Tunnel eine freie Netzwerkkarte oder kann er sich diese auch "teilen". Bspw rote Nic ist Telekom DSL könnte ich diese rote auch noch mit einem Openvpn Tunnel belegen?

Das ist eine Frage die mir immer noch im kopf rumschwirrt...
das tun Interface ist ein virtueller Netzwerk Adapter (physich nicht vorhanden) welcher ein Netzwerkgerät (Netzwerkkarte) simuliert, hierbei lässt sich auch der Name VirtuellesPrivatesNetzwerk ein wenig herleiten. Also nein du brauchst hierfür keine extra Hardware und ja, um besser zu versinnbildlichen ist das tun Interface ja über das WAN zu erreichen und hat somit einen ähnliche Status wie red0 lässt sich dennoch separiert Firewallen.
Die Anzahl der tun Interfaces lässt sich eben auch erweitern (je nach Bandbreite/Auslastung mit mehr oder weniger Geschwindigkeitsperformance da die Leitung ja mit dem regulären Traffic jenseits des Tunnels geteilt wird), für diesen Fall wird tun angezählt, z.b. tun0, tun1, tun2, usw (bei N2N Verbindungen ist das usus). das wären dann alles seperate Anbindungen/Tunnel) . Du findest hier --> http://wiki.ipfire.org/en/configuration ... g/glob_set im ersten Screenshoot z.b. auch die Bezeichnung "OpenVPN on Red" was es eigentlich ganz gut verdeutlicht.
Für ein paar spezifischere Infos kannst du auch u.a. mal hier --> https://openvpn.net/tuntap reinschauen.

Grüsse,

UE
Image
Image
Image

User avatar
Elluminatus
Posts: 33
Joined: July 2nd, 2016, 6:36 am

Re: OpenVPN : Ipfire als Client mit red/green/blue/orange mit Portunity fester IP

Post by Elluminatus » August 11th, 2017, 4:19 pm

Hi,

ich habe es jetzt geschafft mit den Links aus dem Wiki einen Tunnel aufzubauen.

ifconfig zeigt mir auch den Tunnel. Ich kann den Tunnel mit der festen IP sowohl innerhalb des Netzwerks, als auch von ausserhalb anpingen.

Eine Frage habe ich jetzt hier noch:

1. Da ich ja kein openVPN Server gestartet habe, sondern nur einen Client hier betreibe. Ist es trotzdem möglich irgendwie
den tun0 in meiner Firewall Gui sichtbar zu machen? Dort kann ich ihn nämlich (verständlicherweise) nicht sehen und so auch
über die Gui keine Regeln einpflegen?

Danke für die ganze Hilfe, ohne die ich niemals soweit gekommen wäre.

Gruß Elluminatus
Image

ummeegge
Community Developer
Community Developer
Posts: 4216
Joined: October 9th, 2010, 10:00 am

Re: OpenVPN : Ipfire als Client mit red/green/blue/orange mit Portunity fester IP

Post by ummeegge » August 11th, 2017, 6:29 pm

Hi Elluminatus,
darf ich fragen warum du nicht den OpenVPN Server genommen hast ? Wenn du das Spielchen nur wegen der statischen IP machst, hat das mit dem DDNS nicht hingehauen ? Du hast dann halt den Stress das du das alles zu Fuss machen kannst, ich denke das Howto das du am Anfang gepostet hast hatte das so gelöst das sie das tun Interface auf red umgebogen hatten mit allen Nachteilen die das dann halt so mit sich bringt (FW WUI funktioniert nicht mehr wie es könnte). Da du auf diesem Weg nicht nur das FW Konzept aushebelst sondern auch die Authorität über dein VPN abgibst sind da im Vergleich zu einem DDNS der die statische IP ersetzt mehr Nachteile als Vorteile wie ich finde...

Grüsse,

UE
Image
Image
Image

User avatar
Elluminatus
Posts: 33
Joined: July 2nd, 2016, 6:36 am

Re: OpenVPN : Ipfire als Client mit red/green/blue/orange mit Portunity fester IP

Post by Elluminatus » August 12th, 2017, 3:50 pm

Hi,

ich habe es umgesetzt, da ich mich beruflich einem Verbund angeschlossen habe und darüber halt feste IPs über diese besagte Firma über nen openVPN Tunnel zur VErfügung gestellt bekomme.

Ich merke schon, dass das abseits der normalen Funktionen ist, die IPfire sonst anbietet und dies wohl nicht über die GUI angeboten werden kann.
Die Funktion openVPN als Client einzubinden gibt es hier ja nicht, so wie bei openWRT, wo dann auch ein tun0 interface erstellt werden kann.

Gut aber ich möchte gerne bei IPfire bleiben.
DIe Anleitung habe ich nur teilweise umgesetzt

rot ist weiterhn rot, genauso wie grün, blai und ornage.
Ich habe nir einen tun0 aufgebaut und mich dort mit dem Server verbunden.
Mittels Policy Based Routing habe ich es geschafft auch nicht allen Traffic über den tunnel laufen zu lassen.

Was mir jetzt noch unklar ist:

Wie müssen die iptable Einträge aussehen um von der festen IP (46.41.x.y - tun0)
bspw. die Port 80/443/9980/389 und 8090 für den Pydio Server auf orange zu forwarden (10.0.2.20) ?
Über die temporäre IP des DSL Providers komme ich bereits auf den Server in Orange.

Ich kann tun0 nicht über FIrewallgruppen Netzwerke einrichten nehme ich an?
Ich finde es natürlich auch gut, bei diesem Projekt so einiges über den IPfire und das Thema Netzwerke zu lernen, dies spornt zusätzlich an.

Beste Grüße und danke sehr.
Elluminatus
Image

ummeegge
Community Developer
Community Developer
Posts: 4216
Joined: October 9th, 2010, 10:00 am

Re: OpenVPN : Ipfire als Client mit red/green/blue/orange mit Portunity fester IP

Post by ummeegge » August 12th, 2017, 5:47 pm

Hallo Elluminatus,
Elluminatus wrote:
August 12th, 2017, 3:50 pm
Wie müssen die iptable Einträge aussehen um von der festen IP (46.41.x.y - tun0)
bspw. die Port 80/443/9980/389 und 8090 für den Pydio Server auf orange zu forwarden (10.0.2.20) ?
Über die temporäre IP des DSL Providers komme ich bereits auf den Server in Orange.
hast du mal probiert das mit einer "Statischen Route" --> http://wiki.ipfire.org/en/configuration/network/static zu lösen ? Wenn er den Weg kennt dann könntest du mit eigenen FW Regeln z.b. in der firewall.local --> http://wiki.ipfire.org/en/configuration ... wall.local reglementieren.
Ich denke in diesem Fall wäre src/dst nicht die von deinem Provider zugewiesene öffentlich IP sonder das Transportnetz (OpenVPN Subnetz) in Verbindung mit orange0 was zu regeln wäre.

Mal als Idee...

Grüssle,

UE
Image
Image
Image

User avatar
Elluminatus
Posts: 33
Joined: July 2nd, 2016, 6:36 am

Re: OpenVPN : Ipfire als Client mit red/green/blue/orange mit Portunity fester IP

Post by Elluminatus » August 12th, 2017, 8:25 pm

HI,

hm das ist einen Versuch wert. Mir ist allerdings nicht klar, was ich als Gateway eintragen sollte?

Als IP Adresse die 46.41.x.y/32
und als Gateway?


Eine Idee?

Gruß Elluminatus
Image

ummeegge
Community Developer
Community Developer
Posts: 4216
Joined: October 9th, 2010, 10:00 am

Re: OpenVPN : Ipfire als Client mit red/green/blue/orange mit Portunity fester IP

Post by ummeegge » August 12th, 2017, 8:49 pm

Was sagt den ifconfig zu tun(?) nachdem du den Tunnel aufgebaut hast ? Deine config bzw. die Logs wären auch ganz interessant...

Grüsse,

UE
Image
Image
Image

Post Reply

Who is online

Users browsing this forum: Google [Bot] and 3 guests