Ankündigung

Einklappen
Keine Ankündigung bisher.

Android 4 - OpenVPN - WireGate: Unterstützung erforderlich!

Einklappen
Dieses Thema ist geschlossen.
X
X
 
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

    [wiregate] Android 4 - OpenVPN - WireGate: Unterstützung erforderlich!

    Hallo zusammen!

    Ich bin mal wieder dabei, einen Versuch zu starten, mit OpenVPN auf mein WG / CV zuzugreifen.

    Vorgehensweise wie in: https://knx-user-forum.de/forum/supp...wiregate/23343
    sehr gut beschrieben, ich stecke aber schon bei 1 bzw. 2, wobei ich mich immer Frage, ob das an der Internetverbindung des HAUSES über UMTS liegt (Telering in Österreich, nutzt das sonst wer hier mit OpenVPN oder PPTP??). Zugriff erfolgt (soll erfolgen) über UMTS von A1.

    Zitat von MicHau Beitrag anzeigen
    1) DynDNS-Account organisieren. Ich habe Webhosting und DynDNS von selfHOST - selfhost gewählt. Das Prozedere ist überall etwas anders, teilweise ist es kostenlos, teilweise nicht. Am Ende jedenfalls sollte man eine Domäne (z.B. xyz.selfhost.bz) zusammen mit einem Benutzernamen und Passwort haben (bei selfhost.de ist das unter dem Punkt "DynDNS Accounte" zu finden).

    2) DynDNS-Account im Router einrichten. Bei mir ist das eine FRITZ!Box 2170. Dort ist das zu finden unter "Einstellungen" => "Erweiterte Einstellungen" => "Internet" => "Freigaben" auf dem Reiter "Dynamic DNS". Hier mit den unter 1) genannten Zugangsdaten DynDNS konfigurieren. Router-Handbuch/Hilfe wird weiterhelfen.

    3) ...
    Also Schritt habe ich mit no-ip.com gemacht und nun einen Host mit Nachname.no-ip.org inkl. Passwort. Soweit so gut.
    Am Router TP-Link 3420 gibt's ein Manage DNS, dort ist auch No-ip wählbar, Nachname.no-ip.org + Passwort eingetragen + start => succeeded.

    Im Router Log findet sich aber schon mal was komisches, siehe Anhang router_log.png.

    Was hier hier auch nicht verstehe: Am Router sehe ich unter 3G
    [INFORMATION] IP: 10.9.88.230
    Subnet Mask: 255.255.255.255
    Default Gateway: 10.9.88.230
    DNS Server: 213.162.69.1[/INFORMATION]

    Wenn ich aber unter myIPaddress.com: What is my IP address? How do I find my IP address?
    nachsehe, zeigt sich: 213.162.68.190

    Auf wenn ich mich bei no-ip einlogge, sehe ich aber unter host schon, dass nachname.no-ip.org die 10.9.88.230 zugeordnet ist.

    Ist das normal? Ich hätt's halt gern verstanden.

    Zitat von MicHau Beitrag anzeigen
    3) Damit der VPN-Server des Wiregate von außen erreichbar ist, muss eine Portweiterleitung am Router eingerichtet werden. Der UDP-Port 1194 des Router muss weitergeleitet werden an den Port 1194 der Wiregate-IP-Adresse.

    4) Nun muss im Wiregate ein VPN-Client eingerichtet werden. Auf der Startseite "VPN Einstellungen" => "VPN Clients" gehen und "Neuer VPN-Client" anklicken. Im Feld "Name" einen sprechenden Namen für den Client eingeben, das optionale Passwort für das Client-Zertifikat setzen (wenn gewünscht), im Feld "VPN-Server IP-Adresse/DNS-Name (öffentlich)" die DynDNS-Domäne aus 1) eintragen, z.B. xyz.selfhost.bz. Den Rest nach Gusto ausfüllen und speichern.
    Beides eigentlich soweit klar.

    @Makki: Bei erstellen der Konfigurationsfiles gibt es eine Kleinigkeit:
    => Hatte versehentlich Ländercode AUT anstelle AT eingegeben. Das führt zu einer Endlosschleife mit sekündlicher Fehlermeldung. (PL32).

    Alles weitere, wenn bis hier alles klar ist.

    Lg
    Robert
    Angehängte Dateien

    #2
    [QUOTE=Robert_Mini;285702]
    Was hier hier auch nicht verstehe: Am Router sehe ich unter 3G
    [INFORMATION] IP: 10.9.88.230
    Subnet Mask: 255.255.255.255
    Default Gateway: 10.9.88.230
    DNS Server: 213.162.69.1[/INFORMATION]

    Und hier liegt auch das Problem: man bekommt vom GSM-Provider private IP's die dann ausgehend dort genattet werden.
    Eingehender Traffic = Mission impossible
    Das ist technisch auch sogar korrekt, denn es entspricht den IPv4 Vergaberichtlinien von RIPE AFAIK, einzig die Nachfolgeorganisation der deutschen Bundespost handhabt das "illegal"..

    Der einzige Weg, aus der Nummer raus zu kommen, wäre ein VPN-Server mit erreichbarer, öffentlicher IP, auf den sich das WG mit dem 3G "einwählt"

    Makki
    EIB/KNX & WireGate & HS3, Russound,mpd,vdr,DM8000, DALI, DMX
    -> Bitte KEINE PNs!

    Kommentar


      #3
      und auch dann

      musst leider noch ein wenig tricksen, wenn du blöderweise intern auch 10er-Adressen verwendest wie ich.

      Ich bau das VPN auf die Fritzbox auf und muss bei Verwendung von UMTS (egal ob 3 oder t-mobile) dann noch einen manuellen Route für meine IP auf die Fritzbox setzen, sonst geht nix.

      Aus dem Grund hab ich das am Handy bisher auch noch nicht umgesetzt.

      Kommentar


        #4
        Hmm, da kann ich als Tipp nur hinterlassen, das ich genau deswegen so gerne 172.[16-31].x.x intern verwende, weil das genauso wie 192.168/16 und 10/8 private (RFC1918) Adressen sind - diese jedoch so gut wie niemand verwendet und es daher kaum Konflikte gibt

        Makki
        EIB/KNX & WireGate & HS3, Russound,mpd,vdr,DM8000, DALI, DMX
        -> Bitte KEINE PNs!

        Kommentar


          #5
          Zitat von chris5020 Beitrag anzeigen
          musst leider noch ein wenig tricksen, wenn du blöderweise intern auch 10er-Adressen verwendest wie ich.

          Ich bau das VPN auf die Fritzbox auf und muss bei Verwendung von UMTS (egal ob 3 oder t-mobile) dann noch einen manuellen Route für meine IP auf die Fritzbox setzen, sonst geht nix.

          Aus dem Grund hab ich das am Handy bisher auch noch nicht umgesetzt.
          Hallo Chris5020!

          Verstehe ich das richtig:
          1) Dein Haus geht auch via 3G ins Internet?
          2) Du greifst per VPN auf die Fritzbox zu, d.h. VPN Server läuft auf der Fritzbox und nicht am WG?
          3) Zugriff erfolgt via VPN aus einem fremden Netz (zB Firmennetz) auf das Haus?

          Bitte um deine Unterstützung, die Hoffnung stirbt zuletzt.
          Makki: Dein Vorschlag mit VPN-Server mit öffentlicher IP, wie ginge sowas?

          Es muss ja für uns in Ö auch eine Lösung mit 3G und VPN geben?

          Danke und lg
          Robert

          Kommentar


            #6
            Das Problem ist weltweit dasselbe, durchaus nicht AT-spezifisch

            -> Eben ein OpenVPN-Server (z.B. ein WG ) mit einer erreichbaren, öffentlichen IP. Die kann durchaus auch dynamisch sein, muss nur eine öffentliche - oder weitergeleitet - sein.
            Im Kern genau das was das Wartungs-VPN tut, sich als Client auf einen Server verbinden. Die Server-config (ohne comments in kurz) poste ich gerne, den Client (/etc/openvpn/wiregate-central.conf) habt ihr ja eh:

            Code:
            port 1201
            proto udp
            dev tun
            ca keys/wg-maint/ca.crt
            cert keys/wg-maint/elabvpn1.crt
            key keys/wg-maint/elabvpn1.key  # This file should be kept secret
            dh keys/wg-maint/dh2048.pem
            server 172.30.56.0 255.255.255.0
            topology subnet
            ifconfig-pool-persist servers/wg-maint/logs/ipp.txt
            client-config-dir servers/wg-maint/ccd
            keepalive 10 120
            tls-auth keys/wg-maint/ta-wiregate.key 0 # This file is secret
            cipher AES-128-CBC   # AES
            comp-lzo
            user nobody
            group nogroup
            persist-key
            persist-tun
            Als Keys kann man z.B. einfach die vorhandenen des VPN-Servers aufm WG verwenden, das sich einwählende WG ist wirklich nichts anderes als ein ganz banaler Client, per Webif anlegen etc.
            War kurz, Fragen? Fragen..

            Makki
            EIB/KNX & WireGate & HS3, Russound,mpd,vdr,DM8000, DALI, DMX
            -> Bitte KEINE PNs!

            Kommentar


              #7
              Hallo Makki!

              Manchmal habe ich das Gefühl du bist von einem anderen Stern!
              Mal langsam:
              Zitat von makki Beitrag anzeigen
              Das Problem ist weltweit dasselbe, durchaus nicht AT-spezifisch
              Gibt doch noch Hoffnung.
              Zitat von makki Beitrag anzeigen
              -> Eben ein OpenVPN-Server (z.B. ein WG ) mit einer erreichbaren, öffentlichen IP. Die kann durchaus auch dynamisch sein, muss nur eine öffentliche - oder weitergeleitet - sein.
              Im Kern genau das was das Wartungs-VPN tut, sich als Client auf einen Server verbinden. ...
              War kurz, Fragen? Fragen..

              Makki
              Nach ein wenig google verstehe ich das mal bis hier so: Der ISP nutzt den privaten IP Adressraum für die 3G User. Über deren Router geht's dann ins Internet => NAT.

              Soweit ist mir das Prinzip ein wenig klarer, aber das zentrale Problem versteh ich noch nicht: Wie komme ich trotz 3G an eine öffentliche IP???

              Man stößt mit noch mehr Tante Google auf zB:
              - www.ipverbinden.de . Freiheit Erleben mit IP-Verbinden. Wir verbinden Sie mit Ihrem Heimnetz
              - spezielle Tarife (3 mit Open Internet Option = keine Firewall + öffentliche IP, Datentransfer von außen inkl. zB Hackerangriffen zählt zum Datenvolumen => nur flatrate "sicher"),

              aber gibt's hier nicht's einfaches (kostenloses)?

              Danke für deine Geduld
              Robert

              Kommentar


                #8
                Stell dir deinen 3G/UMTS einfach mal so vor, wie wenn du zuhause hinter deiner Fritzbox mit 192.168.178.0 sitzt.. Nur gehört die Fritzbox dem GSM-Provider und wechselt ständig.. Ist aber technisch nichts anderes..

                Also, hast du da keine öffentliche IP und bekommst auch keine. Punkt. Fertig.
                Und nachdem die IPv4-Adressen jetzt nach 10J Panikmache auch wirklich ganz, ganz ehrlich einfach aus sind, wird sich daran in den nächsten Jahren auch nichts wesentliches ändern..

                Die Lösung: einwählen WG->3G->privates-provider-netz->Internet->OpenVPN-Server
                Umsonst ist der Tod - und der kostet das Leben

                Die Zwischenfrage: was wäre man bereit dafür im Monat zu bezahlen? (technisch kein problem.. abrechnungstechnisch: ein desaster/Verlustspiel)
                Also ab 5-20€ könnten wir verhandeln

                Ansonsten würde ein WG mit halbwegs stabiler, öffentlicher IP reichen, s.o.

                Makki
                EIB/KNX & WireGate & HS3, Russound,mpd,vdr,DM8000, DALI, DMX
                -> Bitte KEINE PNs!

                Kommentar


                  #9
                  @robert

                  Nein, mein Haus hängt an einer DSL-Leitung, genaugenommen hab ich ein fixes VPN zwischen zwei Fritzboxen im Büro und zu Hause.

                  Ich greife unterwegs via VPN vom Macbook oder Notebook dann entweder auf mein Heim oder Firmennetz zu, je nachdem mit welcher Box ich das VPN aufbaue. Ich benutze dazu das in der Fritzbox integrierte VPN.

                  Wenn ich irgendwo im WLAN bin, dann geht das meist problemlos, ausser das WLAN benutzt auch ein 10er-Netz. Via UMTS bekomme ich immer eine lokale IP im 10er-Netz, da muss ich dann manuell noch eine Route setzen, damit der Zugriff auf das VPN funktioniert.

                  Das Problem liese sich umgehen, wenn ich lokal ein anderes Netz benutze als 10er, allerdings hätte ich das Problem dann eventuell wieder, wenn ich in einem WLAN mit der gleichen Range hänge.
                  Meine Lösung ist für mich praktikabel und nicht aufwendig, das war nur das finden der Lösung

                  Kommentar

                  Lädt...
                  X