Eine extrem wichtige Funktion für mich stellt die Möglichkeit da mich per VPN in mein Heimnetzwerk einzuwählen.
Allein schon deshalb weil ich ungern sensible Informationen etc. in der Cloud irgendeines Unternehmens lager oder mich darüber zu meiner Smart Home Installation verbinde. Ausserdem ist es ganz nützlich wenn man zum Beispiel ein öffentliches Wlan nutzt welchem man nicht vertraut. Dank der weiteren Verbreitung von TLS ist dies heute nicht mehr mein Hauptanliegen auch wenn man nicht sicher sein kann wie gut Serverbetreiber Ihre Installationen gegen Man in the Middle angriffe geschützt haben. Schaden kann es aber auch nicht über das eigene VPN zu surfen, vorallem da Unitymedia seine Kunden doch mit viel Up- und Downstream ausstattet (obwohl es doch mehr Upstream sein könnte).
Früher war es recht einfach ein eigenes VPN einzurichten, wenn man zum Beispiel eine Fritzbox hatte. Da reichte das intergrierte IPSec VPN der Fritzbox und ein DynDNS Anbieter (oder ne eigene Domain bei OVH).
Das funktioniert an einem DS-Lite Anschluss nicht und zwar aus folgenden Gründen:
- Die Fritzbox unterstützt VPN nur via IPv4 (warum auch immer müsste Ihr AVM fragen)
- IPSec verlangt nach UDP als Übertragungsweg. Wäre kein Problem wenn der Client immer eine IPv6 Adresse hätte. Da wir davon aber nicht ausgehen können müssen wir einen Portmapper nutzen, und darüber kann man nunmal nur TCP übertragen.
Dies ist auch der Grund warum uns als VPN Software eigentlich nur OpenVPN bleibt. Dies funktioniert per UDP und TCP, kann auch auf schwacher Hardware wie einem Raspberry Pi laufen und ist Open Source.
Das ganze zum laufen zu bekommen ist jetzt nicht wirklich schwer. Was wir brauchen:
- Ein Gerät in eurem Netzwerk welche eine IPv6 Adresse hat und durch einen Portmapper erreichbar ist, am besten mit Linux Betriebssystem. Stellt bitte keine Fragen wie man OpenVPN Server unter Windows zum laufen kriegt, ich weiss es nicht.
- Einen Portmapper. Entweder nehmt Ihr einen Dienst wie feste-ip.net oder euren eigenen Portmapper auf einem VPS. Wie man den einrichtet könnt Ihr bei mir nachlesen Server hinter Unitymedia DS-Lite Anschluss betreiben
Wenn euer VPN Endpunkt im Netzwerk über einen offenen Port erreichbar ist (Standardmäßig Port 1194) könnt Ihr auf diesen OpenVPN einrichten, Zertifikate erstellen etc.
Dieses Thema werde ich hier jetzt nicht durchkauen weil es sehr umfangreich ist und für alle erdenklichen Geräte und Betriebssysteme schon beschrieben wurde, inkl. iptables Config zum forwarden des traffics etc.
Ich nutze Ubuntu auf meinem Server und habe deshalb folgende Anleitung verwendet: OpenVPN Installation Ubuntu
Sucht euch einfach die passende Anleitung für euer System, der Kniff kommt eh in der Server Config.
Und zwar müsst Ihr darin die Anweisung proto tcp6-server verwenden. Anders funktioniert es nicht
Alles andere Unterscheidet sich nicht von der herkömmlichen OpenVPN Config. Ihr müsste nur noch darauf achten das auch der Client als Protokoll tcp statt udp verwendet.
Noch ein kurzes Wort zum Abschluss, ab OpenVPN2.4 wird standardmäßig IPv6 sowie IPv4 genutzt. Dort muss im speziellen Angegeben werden wenn nur IPv4 genutzt werden soll. In Ubuntu 16.04 LTS wird aber noch OpenVPN 2.3 genutzt.
Hoffe irgendjemanden hilft das hier weiter.
Hallo. Schöne Anleitung aber bei mir will der Server irgendwie trotzdem noch nicht so. Könntest du vielleicht mal deine server.conf posten.
Poste mal deine Config auf Pastebin. Die 6Tunnel Syntax hat sich nicht geändert.