OpenVPN Gateway


Fidel84

Recommended Posts

Guten Morgen

es gibt ein Projekt das ich einfach nicht umsetzen kann in unRaid bzw einfach keine lösung finde.

Ich möchte unraid per OpenVpn mit einem vpn anbieter verbinden (airvpn) und es dann einfach als Gateway nutzen und Z.b FireTv stik sagen geh durch den server und sei hinter vpn. Bei Synology ist es ein einfacher haken denn man setzt und schwups macht der das aber unter unraid finde ich einfach keine app oder eine Vm lösung.

Momentan hab ich auf einem raspberry4 einfach das https://raspap.com/ laufen und leite es dann als gateway halt durch wobei der auch mal in die Knie geht.

Hier im Board hab ich bisher auch nichts gefunden was mich der lösung näher bringt.

 

 

Danke vorab für Hilfe Ideen

 

 

Gruß

Link to comment

...das Problem dabei wird sein, dass der fireTV via WLAN verbunden ist,

Der bekommst seine IP von Deinem Router und auch das Default-Gateway, welches er dann für die Verbindung ins I-Net benutzt.

Ein OVPN-Client auf unRaid ist erstmal nur ein Service, kein Gateway (schon garnicht das default-Gateway) für die Clients.

Mit dem Raspi löst Du das Problem dadurch, dass dieser der  WiFi-AP auf der einen und der OVPN-Client auf der anderen Seite ist und Du eben dort, im gleichen Gerätdas default-gateway für den Stick forcieren kannst da der Traffic des Stick immer durch den Raspi geht.

 

Was genau hast Du denn für einen ISP-Router und WLAN-AP am Start?

 

43 minutes ago, Fidel84 said:

Bei Synology ist es ein einfacher haken denn man setzt und schwups macht der das

Weiss jetzt nicht, wie die Syno das genau macht, aber die wird sich wohl mittels ARP-Spoofing als das Gateway ausgeben....

Edited by Ford Prefect
Link to comment

der Router ist eine Fritzbox 6660. 

Und nein die FireTv´s sind per LAN verbunden und als standard gateway ist Zz statt 0.1 quasi 0.79(von raspAP) hinterlegt er zeigt auch die VPN ip und es gibt auch keine DNS leaks. Nutze es auch manchmal auf dem handy so oder PC so ist quasi nur eine VPN verbindung beim Provider statt Z.b 5 für jedes gerät.

Link to comment
14 minutes ago, Fidel84 said:

Und nein die FireTv´s sind per LAN verbunden und als standard gateway ist Zz statt 0.1 quasi 0.79(von raspAP) hinterlegt

Ja, dann ist es doch eigentlich einfach, wenn Du das GW einfach auf dem Client forcierst/einstellst, oder?

Hast Du schon mal einen OVPN-Client Docker auf unRaid probiert? @ich777hat zB einen in der Liste der Community-Apps.

Wenn Du den Docker mittels custom-Bridge eine eigene IP gibst, hast Du Dein Gateway dort, statt auf dem RPi.

Edited by Ford Prefect
Link to comment
1 hour ago, Ford Prefect said:

Wenn Du den Docker mittels custom-Bridge eine eigene IP gibst, hast Du Dein Gateway dort, statt auf dem RPi.

hab ich eben ausprobiert das funktioniert leider nicht hab custom br0 ausgewählt und eine fest ip vergeben der container vervindet sich normal mit provider aber wenn auf die clints das gateway angebe passiert nichts bzw ich komme nicht ins internet.

 

1 hour ago, cz13 said:

hab ich auch getestet auf einer aktuellen debian 11-2 allerdings da kommt fehler bei den iptabels einrichten da die befehle nicht gehen oder andere sind.

 

 

Link to comment
54 minutes ago, Fidel84 said:

hab ich eben ausprobiert das funktioniert leider nicht hab custom br0 ausgewählt und eine fest ip vergeben der container vervindet sich normal mit provider aber wenn auf die clints das gateway angebe passiert nichts bzw ich komme nicht ins internet.

...das Gateway auf den LAN Clients ist dann die Container-IP, ja (zB 192.178.0.11)?...weiss der Container / ovpn-Client, das auf der internen Seite (d)ein ganzes Netz (zB 192.178.0.0/24) und nicht nur die Container-IP dahinter hängt?

 

Link to comment
2 hours ago, cz13 said:

Hast du das überprüft bzw. Iptables installiert?

https://arstech.net/install-iptables-in-debian-11-bullseye/

so tief steck ich leider nicht in der Materie deswegen hoffte das es evt eine einfache lösung gäbe :)  aber ja hab nun geschaut wie in der Anleitung die ip tabels waren instaliert trotzdem hatte es leider nicht funtioniert.

1 hour ago, Ford Prefect said:

das Gateway auf den LAN Clients ist dann die Container-IP, ja (zB 192.178.0.11)?...weiss der Container / ovpn-Client, das auf der internen Seite (d)ein ganzes Netz (zB 192.178.0.0/24) und nicht nur die Container-IP dahinter hängt?

lt der anzeige und konfiguration ist das ganze netz hinterlegt. Der container von ich777 klappt ansonsten wunderbar um die docker durchzuleiten, zum testen hatte natürlich einen frischen aufgesetzt.

Link to comment
3 hours ago, Fidel84 said:

lt der anzeige und konfiguration ist das ganze netz hinterlegt. Der container von ich777 klappt ansonsten wunderbar um die docker durchzuleiten, zum testen hatte natürlich einen frischen aufgesetzt.

...lt. Anleitung müsste man das mittels "-r <netz/netzmaske>", also zB "-r 192.168.178.0.0/24" als Parameter beim Start "einbauen"...ist das so bei Dir?

@ich777 kannst Du helfen, Deinen OVPN-Client für das Netz auf br0 verfügbar zu machen? Der TE möchte die IP des Dockers einem anderen Client im Netz als Default-Route vergeben, damit dessen Kommunikation ausschließlich über das VPN läuft.

 

Link to comment
2 minutes ago, ich777 said:

Ich muss mir das ehrlich gesagt ansehen, hab ich noch nie gemacht, kann das aber erst Morgen machen und melde mich dann wieder.

...vielleicht habe ich auch einen Denkfehler..nutze den Client ja nicht. Aber der UseCase des TE sollte passen. Wenn Du alternative Ideen hast, dann natürlich auch die, statt dass Du jetzt erst Arbeit reinsteckst.

Link to comment
1 hour ago, Ford Prefect said:

...vielleicht habe ich auch einen Denkfehler..

Ich meine ich kann mich täuschen aber wenn dann kann das bridge Netzwerk das nicht bzw. ist nicht dafür ausgelegt, wenn dann schon müsste man auf Custom: br0 umstellen und dann dem LAN Gerät die IP als Gateway vom container eingeben jedoch müssten dann auch die iptables im container geändert werden und dort ist dann auch schon schluss da die Einstellungen nicht persistant wären, wenn das denn so überhaupt funktionieren würde.

  • Thanks 1
Link to comment
21 minutes ago, ich777 said:

Ich meine ich kann mich täuschen aber wenn dann kann das bridge Netzwerk das nicht bzw. ist nicht dafür ausgelegt, wenn dann schon müsste man auf Custom: br0 umstellen und dann dem LAN Gerät die IP als Gateway vom container eingeben

Ja, br0 (custom bridge) für den Container, die IP des Containers dann beim Client als Gateway.

21 minutes ago, ich777 said:

 

jedoch müssten dann auch die iptables im container geändert werden und dort ist dann auch schon schluss da die Einstellungen nicht persistant wären, wenn das denn so überhaupt funktionieren würde.

Ok, jaa...dachte dafür wäre der -r <netzwerk> parameter da 🤔

Routing for local access to non HTTP proxy-able ports
The argument to the -r (route) command line argument must be your local network that you would connect to the server running the docker containers on

[...]

-r '<network>' CIDR network (IE 192.168.1.0/24)
                required arg: '<network>'
                <network> add a route to (allows replies once the VPN is up)

 

Link to comment

Soho @ich777 habs mal in verschiedenen varianten getestet es geht leider noch nicht.

Hab das VPN auf Bridge gelassen und eingetragen ging nicht komme zwar raus bin aber nicht hinter dem vpn.

Und im br0 das gleiche spiel auf die server ip komme raus aber kein vpn und wenn auf die vergebene Statische ip gehe komme nicht raus nur intern.

Link to comment
26 minutes ago, Fidel84 said:

Und im br0 das gleiche spiel auf die server ip komme raus aber kein vpn

Welche Server-IP...unRaid-IP? Das macht keinen Sinn, denn unRaid ist kein Gateway...

Was also bedeutet "komme raus"?

Dein Client hat I-net, wenn der die unraid-Server-IP als Gateway eingetragen hat?

 

Also für den VPN-Docker solltest Du custom:br0 nehmen (Dein unRaid hat doch eine Bridge br0, oder?).

Dann in Deinem Client die Docker-IP angeben, als default-Gateway. 

 

26 minutes ago, Fidel84 said:

und wenn auf die vergebene Statische ip gehe komme nicht raus nur intern.

...mich wundert eher, dass es mit der unraid-Server-IP geht.

Kannst Du mal - wenn der Docker auf der IP / custom:br0 gestartet ist - im unARid Terminal (im Web-UI, oben rechts auf ">_" klicken) ein "netstat -rnp" eingeben und hier posten, was da rauskommt?

Link to comment
18 minutes ago, Ford Prefect said:

Welche Server-IP...unRaid-IP? Das macht keinen Sinn, denn unRaid ist kein Gateway...

Was also bedeutet "komme raus"?

der test server hat die 177 wenn ich diese ip als gateway nehme komme ich raus ins Internet. Und wenn die ip aus br0 nehme dann komme ich nicht mehr ins internet zu test zwecken die 189.

und da wäre der gewünschte Test @Ford Prefect  und dem PC/Handy hatte ich dann statt der 1(router) die 189 vergeben handy kommt direkt "kein internet" meldung.

einstellung.jpg

rnp.jpg

Link to comment
11 minutes ago, Fidel84 said:

der test server hat die 177 wenn ich diese ip als gateway nehme komme ich raus ins Internet. Und wenn die ip aus br0 nehme dann komme ich nicht mehr ins internet zu test zwecken die 189.

und da wäre der gewünschte Test @Ford Prefect  und dem PC/Handy hatte ich dann statt der 1(router) die 189 vergeben handy kommt direkt "kein internet" meldung.

OK, sieht zumindest mal nicht faklsch aus...allerdings kann ichs nicht selbst verifizirene..nutze den Docker/ovpn nicht.

Aber die .189 kannst Du vom Client anpingen?

Diese IP ist auch bestimmt nicht  aus dem DHCP-Bereich Deiner Fritz (nicht dass diese IP 2mal vergeben ist)?

Link to comment
22 minutes ago, Fidel84 said:

Hätte nicht gedacht das es so aufwendig ist sondern das nur irgendwo evt nen hacken übersehen habe. 

Tja, wie gesagt, was der Docker im Inneren macht kenne ich nicht.

 

Bitte setze mal den Switch für die "Priviligierten Rechte" im Docker auf "AN"..der ist bei Dir oben im Screenshot noch "AUS".

Im github steht was dazu:

NOTE: More than the basic privileges are needed for OpenVPN.
With Docker 1.2 or newer you can use the --cap-add=NET_ADMIN and --device /dev/net/tun options.
Earlier versions, or with fig, and you'll have to run it in privileged mode.

...ansonsten bin ich leider auch raus.

Evtl kannst Du nochmal bei anderen VPN-Dockern (NordVPN, ..) suchen, wie die das machen.

Link to comment

mit den hier gängigen (auch meinen) vpn client dockers wird das nicht gehen, da braucht es einen ovpn router da der client den traffic nicht routen kann (mein Kenntnisstand). Ansatz wäre beispielsweise wenn du das mal testen willst.

 

Da braucht es jedoch 2 docker, einmal den client, einmal den router, einfach mal durchlesen ...

 

https://github.com/ekristen/openvpn-router

https://hub.docker.com/r/ekristen/openvpn-router/

 

hier noch der client

https://github.com/ekristen/docker-openvpn-client

Link to comment

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.