ubuntuusers.de

Folgende Problematik: Ich habe ein Ferienhaus das nur über LTE mit Internet versorgt ist und will dort diverse Dienste bzw. Geräte (Videoüberwachung, Hausautomation) von außen erreichbar machen.

Bei mir zuhause habe ich einen VDSL50 Anschluss (Router = Fritzbox) mit (dynamischer) öffentlicher IPv4 Adresse und betreibe hier ja schon für diverse andere Dinge einen Ubuntu-Server, der mittels DynDNS-Namen öffentlich erreichbar ist.

Jetzt hatte ich Schlaubischlumpf die Superidee: Auf dem Ubuntu-Server richte ich OpenVPN als Server ein, im Ferienhaus platziere ich im Netz des LTE-Routers einen Raspberry Pi mit OpenVPN-Client. Bis hier her steht und funktioniert mein Versuchsaufbau schon. LAN einbezogen habe ich auch schon (ich kann also aus meinem Zuhause-LAN den Raspberry über das VPN erreichen und umgekehrt). Um das zu erreichen musste ich in der Zuhause-Fritzbox auch eine statische IPv4-Route anlegen, die auf das IP-Netz des VPN zeigt und als Gateway den Ubuntu-Server hat.

Und jetzt die große Frage: Damit der Raspberry durch das VPN auch öffentlich erreichbar wird, müsste ich jetzt eine Portfreigabe in der Fritzbox auf seine VPN-IP-Adresse erstellen. Genau das erlaubt die Fritzbox aber nicht oder verweigert es aus einem technischen Grund den ich nicht kenne. Hat jemand eine Idee?

Bewusst ist mir, dass die einfachste Lösung ein Router wäre auf dem direkt der OpenVPN-Server läuft. Sofern es einen Lösungsweg gibt fände ich es aber toll das mit der Fritzbox hin zu bekommen, weil die in Deutschland ja schon der Quasi-Standard für Router ist und ich damit am zukunftssichersten fahren würde.

Wenn ich die Frage stellen darf, warum willst Du das ganze überhaupt öffentlich erreichbar haben. Überwachungskameras und Haussteuerung gehören mEn abgeschirmt.

Berechtigte Frage.

Und in der Tat könnte ich mir vorstellen zusätzliche VPN-Verbindungen z. B. vom iPhone zu meinem Ubuntu-Server zu nutzen um eine sichere Verbindung auf diese Dienste zu haben. Aktuell ist alles ja nur ein Versuchsaufbau und noch nicht schlussendlich entschieden.

Dennoch würde es mich sehr interessieren ob ich auf diesem Weg Geräte die nur über einen NAT-Zugang verfügen öffentlich erreichbar machen kann.

Also mal grundsätzlich: Du hast ja bereits den Port für OpenVPN in Benutzung, da sich dein Raspoi bereits mit deinem Server verbunden hat. Der gleiche Port kann natürlich nicht nochmal an einen anderen Dienst (oder anderen Rechner per NAT) gebunden werden.

Also mal ein ganz einfaches Beispiel:

Auf dem Raspi wäre ein Webserver der Port 80 öffentlich erreichbar braucht. Hinter dem NAT des Mobilnetzes geht das nicht. An dem VDSL-Anschluss hinter der Fritzbox ginge das schon (mit DynDNS-Namen und Portweiterleitung aufs Gerät). Der Raspi wird als OpenVPN-Client jetzt in dieses Netz eingebunden. Er ist also innerhalb dieses FritzBox-Netzes über seine IP erreichbar. Das Fritzbox-Netz hat den Adressbereich 192.168.178.0. Der Raspi auf seinem VPN-Device 10.8.0.6. Die Lösung wäre also auf der Fritzbox eine Weiterleitung von Port 80 an 10.8.0.6. Da diese Adresse aber nicht aus dem Adressbereich des Fritzbox-Netzes ist, erlaubt die Fritzbox das nicht. Dem VPN-Client eine Adresse aus diesem Bereich zu geben ist keine Option weil damit die LAN-LAN-Kopplung nicht mehr möglich ist.

Ah, ich hatte falsch verstanden, was du vorhast.

Generell ist das möglich, Wenn die Fritzbox das nicht erlaubt, ist das vermutlich eine softwareseitige Beschränkung. Ab da bin ich raus, das kann ich leider nicht testweise hier nachstellen.

LittleNoMuc schrieb:

Die Lösung wäre also auf der Fritzbox eine Weiterleitung von Port 80 an 10.8.0.6. Da diese Adresse aber nicht aus dem Adressbereich des Fritzbox-Netzes ist, erlaubt die Fritzbox das nicht. Dem VPN-Client eine Adresse aus diesem Bereich zu geben ist keine Option weil damit die LAN-LAN-Kopplung nicht mehr möglich ist.

Die Fritzbox kann keine Portweiterleitung für eine Adresse aus einem Netz machen, das sie nicht kennt. Du könntest aber beispielsweise eine Portweiterleitung zum Ubuntu-Server einrichten, und dann den Raspi von dort aus zugänglich machen. Letzteres kannst du, abhängig davon, welchen Dienst du bereitstellen willst, per Paketweiterleitung oder mit einem Reverse-Proxy erreichen.

Moin.

LittleNoMuc schrieb:

Dennoch würde es mich sehr interessieren ob ich auf diesem Weg Geräte die nur über einen NAT-Zugang verfügen öffentlich erreichbar machen kann.

Hast du mal probiert, einen reverse SSH-Tunnel zu bauen? Siehe Link.

LittleNoMuc

Bewusst ist mir, dass die einfachste Lösung ein Router wäre auf dem direkt der OpenVPN-Server läuft. Sofern es einen Lösungsweg gibt fände ich es aber toll das mit der Fritzbox hin zu bekommen, weil die in Deutschland ja schon der Quasi-Standard für Router ist und ich damit am zukunftssichersten fahren würde.

Ja, und warum machst Du dann das nicht? Geht doch. Ich hab auf meiner steinalten Fritzbox auch dnmasq draufgemacht, weil das dumme Ding weder statisches DHCP noch Namensauflösung im lokalen Netzwerk konnte.