DG und OpenVPN über IPv4

  • Guten Abend !


    Ich darf seit heute einen Glasfaser Anschluss in meinem Häusle nutzen. Und grundsätzlich ist (bis jetzt) auch alles fein und schnell.

    Allerdings müsste ich aus dem internet per IPv4 & OpenVPN auf meine Heimgeräte kommen. IPv6 ist leider derzeit keine Option.


    Jetzt habe ich im Netz folgenden Beitrag gefunden:

    Einen Server daheim ohne öffentliche IPv4 Adresse


    Das schaut auch soweit auch alles ok aus. Nur frage ich mich jetzt ob ich über so ein Konstrukt dann OpenVPN (mittels TCP) betreiben kann.

    Klappt das dann auch noch mit dem Routing sodas ich von extern auch auf die internen IPv4 Adressen meine Geräte zugreifen kann?


    Gibt es zu diesem ganzen Thema evtl. schon irgendwo eine halbwegs brauchbare Anleitung die auch auf das openVPN Thema mit eingeht?


    Wäre schön wenn mir da jemand ein paar Tips geben könnte.


    Grüße Dominik

  • Das geht so auch mit OpenVPN statt HTTP als "Nutzlast". SSH mit Reverse Tunnel ist eine der einfacheren Möglichkeiten, eine Portweiterleitung von einem entfernten Computer zurück aufzubauen, trotz CGNAT und ohne dafür IPv6 zu benötigen. Wie andere Tunnellösungen per TCP hat es allerdings den Nachteil, dass es "TCP over TCP" produziert. Diesen Nachteil hat OpenVPN aber auch selbst, wenn man es im TCP-Modus verwendet.


    Eine technisch bessere Lösung wäre ein UDP-basiertes Protokoll. Wegen der guten Verfügbarkeit und einfachen Konfiguration bietet sich Wireguard an. Das kann den Tunnel wie SSH auch von innen nach außen über IPv4 aufbauen und das CGNAT Portmapping aktiv halten. Auf der Serverseite öffnet es aber nicht automatisch einen Port, der zurück weitergeleitet wird, und man muss sich explizit darum kümmern, auf der lokalen Seite des Tunnels unerwünschte Verbindungen zu blockieren. Deshalb ist die Konfiguration insgesamt etwas komplizierter.


    Wenn es nicht auf das letzte Quentchen Performance und die Zuverlässigkeit unter widrigen Netzbedingungen ankommt, kannst du mit der SSH-Lösung loslegen und dich später an der Wireguard Option versuchen. Die OpenVPN-Konfiguration sollte kaum Anpassungen benötigen. Der Port, zu dem sich deine Clients verbinden, ist der, den du im Reverse-Tunnel für das ferne Ende der Verbindung angibst, und die IP-Adresse ist die des Servers. Die so aufgebaute Verbindung geht dann aber durch bis zum lokalen OpenVPN Server. Der sieht eine Verbindung, die von 127.0.0.1 / localhost kommt. Einschränkungen auf der Basis der Client-Adresse müsstest du also auf dem remote Server umsetzen.

  • Das meiner Erfahrung nach aller einfachste ist es, OpenVPN im TCP-Modus zu betreiben und über einen Portmapper den IPv4-Traffic an die IPv6-Adresse des OpenVPN-Servers durchzureichen. Das setzt natürlich voraus, dass der OpenVPN-Server über IPv6 angebunden und erreichbar ist. OpenVPN kommt mit IPv6 klar. Für den Portmapper habe ich mir die günstigste Linux-VPS mit Dual Stack gemietet die ich finden konnte und darauf das Paket "6tunnel" installiert. Funktioniert seit 1,5 Jahren absolut einwandfrei.


    Wenn IPv6 wirklich keine Option ist, bleibt halt nur ein Tunnel. Das von der genannte Video kenne ich auch und habe es damit dann auch geschafft einen SSH Tunnel für meinen OpenVPN-Server einzurichten. Da ich die Portmapper-Lösung aber stabiler finde und IPv6 für mich kein Problem ist (bin übrigens auch bei der DG), bin ich dann auf die Portmapper-Lösung umgestiegen.

  • Hallo,

    danke für das Feedback. Ich habe jetzt folgendes gemacht:

    • Bei IONOS einen Miniserver VPS S bestellt für 1€ im Monat. Der hat eine IPv4 die mir eben bei DG fehlt
    • meinen OpenVPN Server auf TCP umgestellt
    • Reverse Tunnel von einem internen Raspberry Pi bei mir daheim zum IONOS Server wie im oben verlinkten Video
    • Anpassen der OpenVPN Configs auf TCP und IONOS DNS Name
    • done

    Bis jetzt läuft das alles wie gewohnt zuvor mit DSL und IPv4.


    Grüße Dominik

  • Hallo,

    danke für das Feedback. Ich habe jetzt folgendes gemacht:

    • Bei IONOS einen Miniserver VPS S bestellt für 1€ im Monat. Der hat eine IPv4 die mir eben bei DG fehlt
    • meinen OpenVPN Server auf TCP umgestellt
    • Reverse Tunnel von einem internen Raspberry Pi bei mir daheim zum IONOS Server wie im oben verlinkten Video
    • Anpassen der OpenVPN Configs auf TCP und IONOS DNS Name
    • done

    Bis jetzt läuft das alles wie gewohnt zuvor mit DSL und IPv4.


    Grüße Dominik

    Hi,


    ich habe das immer "recht" stabil hinbekommen. Leider ist alle paar Stunden bei mir die Verbindung verloren gegangen (habe allerdings wireguard benutzt).

    Ich habe auf den Linux zu Hause einen Ping auf den "Miniserver" am laufen gehabt. Der ist bei mir ab und an nicht erreichbar gewesen.

    Ist das bei dir auch so?


    Aktuell nutze ich tailscale. Was geht da nicht: von Remote komplett über das Heimnetz surfen. Allerdings erreiche ich alle benötigten Server.


    Mit freundlichen Grüßen

  • Hallo,

    danke für das Feedback. Ich habe jetzt folgendes gemacht:

    • Bei IONOS einen Miniserver VPS S bestellt für 1€ im Monat. Der hat eine IPv4 die mir eben bei DG fehlt
    • meinen OpenVPN Server auf TCP umgestellt
    • Reverse Tunnel von einem internen Raspberry Pi bei mir daheim zum IONOS Server wie im oben verlinkten Video
    • Anpassen der OpenVPN Configs auf TCP und IONOS DNS Name
    • done

    Bis jetzt läuft das alles wie gewohnt zuvor mit DSL und IPv4.


    Grüße Dominik

    Hallo Dominik (moelski),


    ich würde mich freuen, wenn Du Deine Lösung (Anleitung) etwas genauer darstellen könntest.

    Zum Beispiel so, dass auch ich als Laie sie "nachbauen" könnte.

    Danke dafür!

  • Ich möchte dazu sagen, dass die Lösung nicht uneingeschränkt zu empfehlen ist. Der Weg, OpenVPN über einen SSH TCP Tunnel aufzubauen, birgt schon einige Nachteile (verschachtelte TCP Verbindungen, deren Regelalgorithmen sich gegenseitig in die Quere kommen). Je nach Anwendungsfall kann das funktionieren, aber es gibt zahlreiche Beispiele, da wird es nicht gut funktionieren.


    Wenn man sich schon den Luxus eines VPS und eines dedizierten VPN Knotens (Raspi) gönnt, dann kann man auch den VPN Tunnel direkt aufbauen und so einige der Nachteile umgehen.

  • Du findest dieses Forum hier toll und möchtest es unterstützen? Großartig! Hier zeigen wir dir eine Möglichkeit, wie du uns supporten kannst. Es kostet dich keinen Cent mehr und das Forum bleibt hiermit weiter werbefrei.

    Amazon Link

    Nutze diesen Button um bei Amazon einzukaufen. Das kostet dich keinen Cent mehr, jedoch bekommen wir eine kleine Provision.
    Bei Amazon einkaufen und das GF unterstützen
    Mehr Infos gibt es in diesem Thread

Erstelle ein Benutzerkonto oder melde dich an um zu kommentieren

Du musst ein Benutzerkonto haben um einen Kommentar hinterlassen zu können

Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Geht einfach!
Neues Benutzerkonto erstellen
Anmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden