AleXSR700
Anmeldungsdatum: 19. Juli 2020
Beiträge: 46
|
Hallo zusammen, ich möchte gerne einen VPN Server und einen VPN Client einrichten, die es mir erlauben auf Dienstreisen und im Urlaub stets von überall auf der Welt auf meinen NAS etc. zuzugreifen. Ich hatte vor meiner letzten Dienstreise schon herumgespielt mit einem SoftEther Linux Server und habe versucht mit meinem Android Handy per OpenVPN, Ipsec und L2TP auf diesen Server zuzugreifen. Leider scheiterten alle Versuche die Verbindung herzustellen, wenn ich nicht im gleichen LAN war (sprich, alle Versuche unter Reallife Bedingungen). Das Problem ist, dass mein Server aufgrund von DS-Lite an einem IPv6-only Anschluss hängt. Mein Handynetz sowie viele Hotspots dieser Welt sind IPv4-only.
SoftEther ist in der Lage eine Verbindung erfolgreich herzustellen. Sprich, ich konnte von einem Windows Notebook mit SoftEther Client auf meinen SoftEther Linux Server zugreifen. Leider nutze ich auf Reisen fast nie einen Windows Client, sondern nur Linux und Android. Für Linux scheint der SoftEther Client offiziell einige Einschränkungen zu haben und ich habe auch noch keine Anweisung gefunden, die ausführlich erklärt, wie man den Client zum Laufen bekommt (keine GUI unter Linux). In Windows ist der Client nach 2 min installiert und eingerichtet. Kennt jemand eine gute Alternative, die bei dieser Konstellation (IPv6-only Server mit IPv4-only Client) funktionieren würde? Ich möchte nicht auf zusätzliche, kostenpflichtige Dienste angewiesen sein, ausser vielleicht einem DynDNS Host (wobei SoftEther bspw. einen funktionierenden direkt eingebaut hat). SoftEther wäre eigentlich optimal, wenn unter Linux der Client so einfach zu installieren wäre wie unter Windows. Ich hoffe, ihr könnt mir weiterhelfen. Vielen Dank
Alex P.S.: Aktuell nutze ich als Hardware zwei Raspberry Pi 4 Model B mit jeweils 8 GB.
Moderiert von kB: Aus dem Forum „Netzwerk und Internetzugang einrichten“ in einen besser passenden Forenbereich verschoben. Bitte beachte die als wichtig markierten Themen („Welche Themen gehören hier her und welche nicht?“) im jeweiligen Forum! Danke.
|
lubux
Anmeldungsdatum: 21. November 2012
Beiträge: 14129
|
|
AleXSR700
(Themenstarter)
Anmeldungsdatum: 19. Juli 2020
Beiträge: 46
|
Hi,
ja genau, dort habe ich das Thema gestartet, weil meine ursprünglichen Versuche mit einem NAS und dann mit Freetz liefen. Nun versuche ich es mit den sehr viel leistungsstärkeren Raspberry Pi und langsam wird der Flaschenhals die mangelnde Verfügbarkeit eines geeigneten VPN Server-Client Systems für Linux oder eben meine Unkenntnis in Linux.
Deshalb komme ich nun zudem hierher, denn für die Umsetzung werde ich Linux Support benötigen ☺ Sofern es eben geeigente Lösungen gibt.
|
TomLu
Anmeldungsdatum: 23. August 2014
Beiträge: 603
|
AleXSR700 schrieb: Kennt jemand eine gute Alternative, die bei dieser Konstellation (IPv6-only Server mit IPv4-only Client) funktionieren würde?
Das ist Netzwerktechnisch nicht möglich, weil die Protokolle für IPv4 und IPv6 nicht kompatibel sind.... das heißt, die können nicht unmittelbar miteinander reden. Dein Problem ist, dass das Handy aus dem IPv4-Netz anruft, aber es gibt keinen IPv4-Empfänger. Öffne mal zuhause am PC die Seite https://ipv6-test.com/ und Du wirst feststellen, dass bei IPv4-Connectivity keine öffentliche IPv4-Adresse für Deinen Router angezeigt wird... also kann das Handy auch nicht dort 'anrufen'. Man kann das lösen, aber vermutlich nicht kostenlos. Du brauchst entweder einen 4to6-Tunnel, dafür gibt es spezielle Provider. Man kann sich aber auch 6tunnel innerhalb eines laufenden Basic-Debians auf einem vserver bei irgendeinem Hoster einrichten. Bei beiden ist es allerdings enorm wichtig, nicht durch Unwissen oder Fahrlässigkeit Fremden eine unbemerkte Hintertür ins Heimnetz zu öffen... das ist imho die größte Herausforderung. Ganz ehrlich... ?... ich würde aus Sicherheitserwägungen solche Lösungen eher nicht wählen und stattdessen beim DSL-Provider entweder den Vertrag auf DualStack upgraden, und wenn der das nicht zulässt, sofort kündigen und einen anderen Provider wählen.
|
AleXSR700
(Themenstarter)
Anmeldungsdatum: 19. Juli 2020
Beiträge: 46
|
Ja, das lese ich nun immer wieder, aber gleichzeitig sehe ich ja, dass es funktioniert. Ohne irgendein Zutun habe ich in 10 min einen SoftEther Server unter Linux installiert und per Windows Server Manager eingerichtet. Weitere 5 min später habe ich den Windows Client installiert und dort Benutzername und Kennwort hinterlegt und es läuft. Hotspot am Handy an, Windows Notebook mit dem Handy verbunden und komme mühelos auf meinen Server. Mühelos. Null Probleme. Ohne Zusatzdienste oder sonst etwas. Somit ist es offenbar "problemlos" möglich, nur eben bisher nur mit einem Windows Client. Und ich kann mich mit dem Gedanken nicht anfreunden, dass die Damen und Herren von SoftEther, einem kostenlosen OpenSource Project das einfach so hinkriegen und niemand sonst auf der Welt dazu in der Lage ist. Wenn das SoftEther Project mal die Linux Implementierung voll umsetzen würde, gäbe es vermutlich überhaupt kein Problem. Leider ist SoftEther Clientseitig weder für Android noch Linux wirklich verfügbar oder im Linuxfall konnte ich es bisher noch nicht richtig ans Laufen kriegen (keine GUI plus alle möglichen manuellen route Einstellungen etc.).
|
TomLu
Anmeldungsdatum: 23. August 2014
Beiträge: 603
|
AleXSR700 schrieb: Hotspot am Handy an, Windows Notebook mit dem Handy verbunden und komme mühelos auf meinen Server. Mühelos. Null Probleme. Ohne Zusatzdienste oder sonst etwas.
Somit ist es offenbar "problemlos" möglich, nur eben bisher nur mit einem Windows Client.
Ok,um das jetzt mal zu präzisieren... Du kannst also, so wie Du beschreibst, von dem VPN-Client auf dem Win-Laptop, der via Handy-Hotspot ein IPv4-Gateway verwendet, die öffentliche IPv6-Adresse Deines heimischen DSL-Routers adressieren und bist dann mit dem heimischen VPN-Server verbunden? Das wäre der Weg ohne Zusatzdienste.... und sorry, das glaub ich Dir nicht, denn genau das ist technisch nicht möglich. Die Kernfrage ist, mit welchen Verbindungsdaten wird der VPN-Server 'angerufen'... da gibts nur 3 Möglichkeiten:
erstens, über eine öffentliche IP-Adresse. Das funktioniert bei ds-lite aber nur von einem IPv6-Client zweitens, über DDNS, worüber aber für dslite auch nur eine IPv6 zurückgegeben wird, also wie erstens drittens, über einen symbolischen Namen, der von einem zentralen Server interpretiert und in die heimische IPv6 übersetzt wird und zusätzlich mit sowas wie einer account-id ein 4to6-NAT durchführt... also im übertragenen Sinne (und wenn man das boshaft beschreibt) sowas wie ein MITM.
Also, welcher im Internet gültiger Verbindungsname für den Server wird in der Client-Conf hinterlegt? Ist das ein symbolischer Name, quasi wie bei DDNS? Welcher Server übersetzt den symbolischen Verbindungsnamen in die öffentliche IPv6 Deines VPN-Servers...?... denn diese öffentliche IPv6 ist technisch die einzige Möglichkeit, TCP/UP/IP-Pakete zu empfangen.
|
AleXSR700
(Themenstarter)
Anmeldungsdatum: 19. Juli 2020
Beiträge: 46
|
Also, möglich ist es irgendwie, denn genau so ist es.
O2 bietet eine reine IPv4. Wenn ich also mobile Daten bei O2 verwende, bin ich an einem IPv4-only Anschluss. Über diesen kann ich von meinem Windows Notebook mit dem SoftEther Server, der mit DS-Lite bei Vodafone an einem IPv6-only Anschluss hängt, verbinden.
Und ich kann auf mein Intranet zugreifen, sprich NAS etc. Dazu wird der Client lediglich mittels Benutzername und Kennwort versehen und als Adresse verwende ich die DDNS, die SoftEther immer selbst bereitstellt. Sprich, jeder SoftEther Server erhält eine DDNS Adresse vom Typ meinname.softether.net.
Diese gebe ich zusammen mit Benutzername und Kennwort im Windows Client ein und zack bumm, funktioniert ohne Probleme.
Man kann manuell auch meinname.v4.softether.net oder meinname.v6.softether.net angeben, aber das scheint hier nicht nötig. Funktioniert auch so und wird wohl automatisch korrekt erkannt. Ob SoftEther hier quasi einen kostenlosen 4to6 Service anbietet, kann ich nicht sagen. Aber bei meinem alten Server konnte ich zumindest nicht mit OpenVPN von Android aus verbinden. Sprich, OpenVPN kam nicht mit meinname.softether.net auf meinen Server. Eventuell probiere ich es nochmal mit dem neuen Server. Vielleicht gab es da ein Problem durch die viele Probiererei. Aber wie auch immer SoftEther es macht, es funktioniert mit quasi keinerlei Aufwand wunderbar. Deshalb dachte ich, dass es ja irgendeine Lösung geben muss, um das auch unter Linux zu schaffen. Aber wenn SoftEther da wirklich die einzige Software wäre, die das kann, wäre das schon beeindruckend und seltsam zugleich. Denn SoftEther ist nicht gerade "weltbekannt" oder verbreitet im Vergleich uu OpenVPN etc.
|
lubux
Anmeldungsdatum: 21. November 2012
Beiträge: 14129
|
AleXSR700 schrieb: Aber wie auch immer SoftEther es macht, es funktioniert mit quasi keinerlei Aufwand wunderbar. Deshalb dachte ich, dass es ja irgendeine Lösung geben muss, um das auch unter Linux zu schaffen. Aber wenn SoftEther da wirklich die einzige Software wäre, die das kann, wäre das schon beeindruckend und seltsam zugleich. Denn SoftEther ist nicht gerade "weltbekannt" oder verbreitet im Vergleich uu OpenVPN etc.
BTW: SoftEther ist in diesem deinem Fall nicht nur eine Software, sondern auch ein Dienst/Provider. Evtl. kannst Du das auch mit Linux (oder mit FreeBSD) nutzen/konfigurieren, wenn Du dich davon verabschiedest, das nur via GUI zu konfigurieren. Mit Textdateien hast Du bzgl. Konfiguration ganz andere Möglichkeiten zu konfigurieren, als mit einer GUI.
|
TomLu
Anmeldungsdatum: 23. August 2014
Beiträge: 603
|
AleXSR700 schrieb: Sprich, jeder SoftEther Server erhält eine DDNS Adresse vom Typ meinname.softether.net.
:::
Aber wenn SoftEther da wirklich die einzige Software wäre, die das kann, wäre das schon beeindruckend und seltsam zugleich.
Nein, nicht seltsam... Teamviewer macht das auf ähnliche Weise, Anydesk auch. Speziell für VPNs zur Lösung des Problems Handy-Netz vs. DSLite gibts Portmapper-Dienstleister, die ebenfalls ein NAT durchführen und Pakete transformieren... ist also alles nix besonderes. Das die Protokolle sich unterscheiden, halte ich hierbei nur für einen marginalen Unterschied. Was allerdings immer gleich ist: der Client verbindet sich mit einem fremden Server, der fremde Server verbindet sich mit dem Server zuhause ... alle gesendeten Pakete (also auch die Sitzungschlüsselverhandlung für den encrypt, wo auf beiden eigenen Systemen gleichzeitig auch durch die Software direkter Zugang zum privaten Schlüsselanteil besteht) erfahren bei diesem fremden Server ein 6to4-NAT oder ein 4to6-NAT. So auf den ersten Blick hat das mit Datenschutz scheinbar also nicht mehr viel zu tun. Aber vielleicht kann das hier einer der Fachleute im Forum widerlegen und mich korrigieren.
|
AleXSR700
(Themenstarter)
Anmeldungsdatum: 19. Juli 2020
Beiträge: 46
|
lubux schrieb: Evtl. kannst Du das auch mit Linux (oder mit FreeBSD) nutzen/konfigurieren, wenn Du dich davon verabschiedest, das nur via GUI zu konfigurieren. Mit Textdateien hast Du bzgl. Konfiguration ganz andere Möglichkeiten zu konfigurieren, als mit einer GUI.
Ich wäre gerne bereit das von Hand zu machen. Es geht dabei nur darum, dass es in Linux nicht damit getan ist mal eben Kennwort, Nutzername und Adresse in eine Config zu schreiben.
Ich habe auch längst erfolgreich mit dem Linux Client mit meinem Server verbinden können. Aber man muss scheinbar dann noch irgendwelche Anpassungen in der default Route machen und keine Ahnung was noch. Und nach dem Starten des dhclient vpn_test kam ich plötzlich nicht mehr ins Internet.
Bei Linux hängt halt ein manueller Rattenschwanz dahinter, den ich bisher nicht ganz verstanden habe.
Bei Windows wird einfach alles durch die VPN Verbindung geschickt. Ich vermute, dass muss man in Linux manuell einstellen. Leider habe ich dazu keine brauchbare Anweisung gefunden, die das alles abdeckt. Deshalb bekam ich es noch nicht ans Laufen. Es darf ja auch nicht nur einmal laufen, sondern muss automatisch bei jedem Start des Client erfolgen. Am besten beim Boot, so wie der Server immer automatisch startet, sobald der Pi hochfährt. Vielleicht könnt ihr mir hiermit kurz helfen?
Anweisung z.B. hier https://medium.com/@anuradha.15/installation-guide-of-softether-vpn-client-on-linux-54a405a0ae2c Dort heißt es 4. Then issue sudo netstat -rn command to see the routing table. You need to add a static route here. sudo ip route add <gateway of the ip range of your virtual network adapter/<subnetmask via <ip you got for the virtual network adapter
Was wäre denn dann der korrekte Gateway? Bei einer anderen Anweisung wurde hier die IP des Servers genommen. Aber ich habe ja keine feste IP, sondern die DNS Adresse und die konnte ich hier nicht eintragen. Als ich es mit der IPv6 des Servers probierte kam der Fehler, dass eine IPv4 erwartet wird.
Wie muss ich das bei mir machen, wenn ich über den Server meinname.softether.net gehen möchte? EDIT:
Oder was mir gerade einfällt: müsste ich in meiner Serverconfig suchen, ob dort eine interne IP Range definiert ist? Oder müsste ich die interne IPv4 des Routers angeben? Sprich bspw. 192.168.178.1, weil das der Router ist, über den der RasPi Server das Internet erreicht? EDIT2:
Wenn ich der Anweisung folge und dhclient vpn_test eingebe, dann bekomme ich eine IPv4 zugewiesen.
| vpn_piserver: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
inet 192.168.78.125 netmask 255.255.255.0 broadcast 192.168.78.255
inet6 2a02:xxxx:xxxx:xxxx:5c78:2bff:feec:xxxx prefixlen 64 scopeid 0x0<global>
inet6 fe80::xxxx:2bff:xxxx:xxxx prefixlen 64 scopeid 0x20<link>
ether 5e:78:2b:ec:xx:xx txqueuelen 1000 (Ethernet)
RX packets 1018 bytes 103232 (100.8 KiB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 814 bytes 76340 (74.5 KiB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
|
Danach funktioniert meine Internetverbindung nicht mehr und der VPNClient verliert die Verbindung zum Server.
| root@Client:/usr/local/vpnclient# sysctl -p
net.ipv4.ip_forward = 1
root@Client:/usr/local/vpnclient#
|
| root@Client:/usr/local/vpnclient# netstat -rn
Kernel IP routing table
Destination Gateway Genmask Flags MSS Window irtt Iface
0.0.0.0 192.168.178.1 0.0.0.0 UG 0 0 0 wlan0
192.168.178.0 0.0.0.0 255.255.255.0 U 0 0 0 wlan0
|
Ich vermute, dass ich dort etwas anpassen muss? Aber wenn ja, was/wie und auf welche IP? Die reale IP des Routers? Und als subnetmask 32 oder 24? Hier mal ifconfig des Servers
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22 | pi@Server:~ $ ifconfig
eth0: flags=4419<UP,BROADCAST,RUNNING,PROMISC,MULTICAST> mtu 1500
inet 192.168.178.107 netmask 255.255.255.0 broadcast 192.168.178.255
inet6 fe80::3085:d6a2:xxxx:xxxx prefixlen 64 scopeid 0x20<link>
inet6 2a02:810d:9040:xxxx::xxxx prefixlen 128 scopeid 0x0<global>
inet6 2a02:810d:9040:3eb4:xxxx:xxxx:d364:xxxx prefixlen 64 scopeid 0x0<global>
ether dc:a6:32:b6:1a:e1 txqueuelen 1000 (Ethernet)
RX packets 2710056 bytes 322544505 (307.6 MiB)
RX errors 495 dropped 495 overruns 0 frame 0
TX packets 2054237 bytes 191149415 (182.2 MiB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
lo: flags=73<UP,LOOPBACK,RUNNING> mtu 65536
inet 127.0.0.1 netmask 255.0.0.0
inet6 ::1 prefixlen 128 scopeid 0x10<host>
loop txqueuelen 1000 (Local Loopback)
RX packets 46536 bytes 3624780 (3.4 MiB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 46536 bytes 3624780 (3.4 MiB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
pi@Server:~ $
|
|
lubux
Anmeldungsdatum: 21. November 2012
Beiträge: 14129
|
AleXSR700 schrieb: EDIT2:
Wenn ich der Anweisung folge und dhclient vpn_test eingebe, dann bekomme ich eine IPv4 zugewiesen.
vpn_piserver: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
inet 192.168.78.125 netmask 255.255.255.0 broadcast 192.168.78.255
inet6 2a02:xxxx:xxxx:xxxx:5c78:2bff:feec:xxxx prefixlen 64 scopeid 0x0<global>
Ist "vpn_piserver" das Interface auf dem Server und "vpn_test", das Interface auf dem Client? Das Subnetz .78 ist richtig (und kein Schreibfehler .178)?
Funktioniert der Ping vom Client:
ping -c 3 192.168.78.125
? Warum bekommt das vpn-Interface auch eine externe IPv6-Adresse (mit statischer Interface-ID)? Evtl. solltest Du als Test, den vpn-Interfaces (Server und Client) die IPv4-Adresse manuell zuweisen.
|
AleXSR700
(Themenstarter)
Anmeldungsdatum: 19. Juli 2020
Beiträge: 46
|
Ach Mist, jetzt kann ich nicht mehr editieren.
Sorry, ich muss wegen VNC ein paar Sachen abtippen. Das Subnetz ist .178.
Ich hatte zwischenzeitlich mit vpn_test und vpn_piserver experimentiert. Ab jetzt heisst er vpn_piserver.
Die v6 haben mich auch gewundert. Letztlich habe ich nichts einegstellt. Die v4 und v6 holt sich Raspberry scheinbar selbst. Ich habe jetzt mal im "Wireless & Wired Network Settings" die v6 deaktiviert und alles manuell eingestellt. Allerdings nur auf dem Client. Wenn ich 1:1 das gleiche auf dem Server mache, dann verbindet der Server nicht mehr mit dem Netzwerk. Keine Ahnung, was dort los ist -.- Aber der Server bekommt ohnehin immer die gleiche IPv4. Die wird wohl vom Router immer gleich zugewiesen. Die Zuweisung des vpn interface scheint aber davon unberührt zu bleiben. Vielleicht vergibt der VPN Server einfach immer auch eine IPv6 bei Verbindung. Ist das ein Problem? Ping auf die .125 funktioniert. Hier mal der Output von ifconfig vor und nach dhclient. Nach dem dhclient funktioniert wie gesagt die Verbindung zum Server nicht mehr. Es funktioniert auch jeglicher anderer Internetzugriff nicht mehr. Es scheint also was zu passieren, nur fehlt irgendwas? Routing? Forwarding? 1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69 | root@PiClient:/usr/local/vpnclient# ifconfig
eth0: flags=4099<UP,BROADCAST,MULTICAST> mtu 1500
ether dc:a6:32:b6:1a:87 txqueuelen 1000 (Ethernet)
RX packets 0 bytes 0 (0.0 B)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 0 bytes 0 (0.0 B)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
lo: flags=73<UP,LOOPBACK,RUNNING> mtu 65536
inet 127.0.0.1 netmask 255.0.0.0
inet6 ::1 prefixlen 128 scopeid 0x10<host>
loop txqueuelen 1000 (Local Loopback)
RX packets 10148 bytes 1478335 (1.4 MiB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 10148 bytes 1478335 (1.4 MiB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
vpn_piserver: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
inet6 2a02:810d:9040:3eb4:xxxx:xxxx:xxxx:xxxx prefixlen 64 scopeid 0x0<global>
inet6 fe80::xxxx:xxxx:xxxx:1931 prefixlen 64 scopeid 0x20<link>
ether 5e:78:2b:ec:19:31 txqueuelen 1000 (Ethernet)
RX packets 142 bytes 15350 (14.9 KiB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 43 bytes 6401 (6.2 KiB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
wlan0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
inet 192.168.178.214 netmask 255.255.255.0 broadcast 192.168.178.255
ether dc:a6:32:b6:1a:88 txqueuelen 1000 (Ethernet)
RX packets 55457 bytes 21479922 (20.4 MiB)
RX errors 0 dropped 1 overruns 0 frame 0
TX packets 43688 bytes 6507406 (6.2 MiB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
root@PiClient:/usr/local/vpnclient# dhclient vpn_piserver
root@PiClient:/usr/local/vpnclient# ifconfig
eth0: flags=4099<UP,BROADCAST,MULTICAST> mtu 1500
ether dc:a6:32:b6:1a:87 txqueuelen 1000 (Ethernet)
RX packets 0 bytes 0 (0.0 B)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 0 bytes 0 (0.0 B)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
lo: flags=73<UP,LOOPBACK,RUNNING> mtu 65536
inet 127.0.0.1 netmask 255.0.0.0
inet6 ::1 prefixlen 128 scopeid 0x10<host>
loop txqueuelen 1000 (Local Loopback)
RX packets 10392 bytes 1528075 (1.4 MiB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 10392 bytes 1528075 (1.4 MiB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
vpn_piserver: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
inet 192.168.178.125 netmask 255.255.255.0 broadcast 192.168.178.255
inet6 2a02:810d:9040:3eb4:xxxx:xxxx:xxxx:xxxx prefixlen 64 scopeid 0x0<global>
inet6 fe80::xxxx:xxxx:xxxx:1931 prefixlen 64 scopeid 0x20<link>
ether 5e:78:2b:ec:19:31 txqueuelen 1000 (Ethernet)
RX packets 778 bytes 83917 (81.9 KiB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 142 bytes 17933 (17.5 KiB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
wlan0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
inet 192.168.178.214 netmask 255.255.255.0 broadcast 192.168.178.255
ether dc:a6:32:b6:1a:88 txqueuelen 1000 (Ethernet)
RX packets 56819 bytes 21742988 (20.7 MiB)
RX errors 0 dropped 1 overruns 0 frame 0
TX packets 44206 bytes 6634234 (6.3 MiB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
|
| root@PiClient:/usr/local/vpnclient# netstat -rn
Kernel IP routing table
Destination Gateway Genmask Flags MSS Window irtt Iface
0.0.0.0 192.168.178.1 0.0.0.0 UG 0 0 0 vpn_piserver
0.0.0.0 192.168.178.1 0.0.0.0 UG 0 0 0 wlan0
192.168.178.0 0.0.0.0 255.255.255.0 U 0 0 0 vpn_piserver
192.168.178.0 0.0.0.0 255.255.255.0 U 0 0 0 wlan0
root@PiClient:/usr/local/vpnclient#
|
1
2
3
4
5
6
7
8
9
10
11
12 | root@PiClient:/usr/local/vpnclient# ip neigh
192.168.178.1 dev wlan0 lladdr 4c:12:65:bb:30:ad STALE
192.168.178.212 dev wlan0 lladdr 64:90:c1:17:fd:85 STALE
192.168.178.107 dev wlan0 lladdr dc:a6:32:b6:1a:e1 STALE
192.168.178.125 dev wlan0 FAILED
192.168.178.211 dev wlan0 lladdr f4:cf:a2:02:a7:0a STALE
192.168.178.108 dev wlan0 FAILED
192.168.178.107 dev vpn_piserver FAILED
192.168.178.1 dev vpn_piserver INCOMPLETE
fe80::2ae:80ff:fe00:ae80 dev vpn_piserver FAILED
fe80::4e12:65ff:febb:30ad dev vpn_piserver lladdr 4c:12:65:bb:30:ad router STALE
fe80::4e12:65ff:febb:30ad dev wlan0 lladdr 4c:12:65:bb:30:ad router STALE
|
|
lubux
Anmeldungsdatum: 21. November 2012
Beiträge: 14129
|
AleXSR700 schrieb: Die Zuweisung des vpn interface scheint aber davon unberührt zu bleiben. Vielleicht vergibt der VPN Server einfach immer auch eine IPv6 bei Verbindung. Ist das ein Problem? Ping auf die .125 funktioniert.
Du solltest unterscheiden zwischen (W)LAN-Subnetz und VPN-Subnetz. Ist das IPv6-Präfix, das d. M. n. der VPN-Server zuweist, identisch mit dem IPv6-Präfix das Du von deinem ISP bekommst?
|
AleXSR700
(Themenstarter)
Anmeldungsdatum: 19. Juli 2020
Beiträge: 46
|
Also IPv6 des WAN laut Router beginnt mit 2a02:810d:8000:... Global IPv6 laut SoftEther DNS Service beginnt mit 2a02:810d:9040:... und wird mir so auch von https://www.wieistmeineip.de/ipv6-test/ angezeigt. Müsste ich in Linux irgendwie definieren, dass das VPN Subnetz statt WLAN oder LAN verwendet werden muss? Normalerweise wird doch sämtlicher Datenverkehr durch das VPN geroutet. Erfolgt das hier ebenfalls automatisch oder müsste ich das aktivieren?
|
lubux
Anmeldungsdatum: 21. November 2012
Beiträge: 14129
|
AleXSR700 schrieb: Müsste ich in Linux irgendwie definieren, dass das VPN Subnetz statt WLAN oder LAN verwendet werden muss? Normalerweise wird doch sämtlicher Datenverkehr durch das VPN geroutet. Erfolgt das hier ebenfalls automatisch oder müsste ich das aktivieren?
Beides muss verwendet werden, VPN und (W)LAN. Du hast aber kein Subnetz für das VPN konfiguriert:
root@PiClient:/usr/local/vpnclient# netstat -rn
Kernel IP routing table
Destination Gateway Genmask Flags MSS Window irtt Iface
0.0.0.0 192.168.178.1 0.0.0.0 UG 0 0 0 vpn_piserver
0.0.0.0 192.168.178.1 0.0.0.0 UG 0 0 0 wlan0
192.168.178.0 0.0.0.0 255.255.255.0 U 0 0 0 vpn_piserver
192.168.178.0 0.0.0.0 255.255.255.0 U 0 0 0 wlan0
Die Art und Weise wie dem VPN-Interface die IP-Adresse zugewiesen wird, ist nicht richtig. Z. B. hier Routings mit VPN:
:~ $ route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
0.0.0.0 192.168.178.1 0.0.0.0 UG 0 0 0 eth0
192.168.22.0 0.0.0.0 255.255.255.0 U 0 0 0 wg0
192.168.178.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
:~$ route -n
Kernel-IP-Routentabelle
Ziel Router Genmask Flags Metric Ref Use Iface
0.0.0.0 192.168.178.1 0.0.0.0 UG 0 0 0 wlan1
10.64.0.0 10.88.0.1 255.192.0.0 UG 0 0 0 tap1
10.88.0.0 0.0.0.0 255.255.255.252 U 0 0 0 tap1
192.168.22.0 0.0.0.0 255.255.255.0 U 0 0 0 wg1
192.168.33.0 0.0.0.0 255.255.255.0 U 0 0 0 wg0
192.168.178.0 0.0.0.0 255.255.255.0 U 0 0 0 wlan1
|