VPN Tunnel & gesperrte Seiten

Hier kann über allgemeine Themen diskutiert werden, die sonst in kein Forum passen.
Insbesondere über Szene, Games, Kultur, Weltgeschehen, Persönliches, Recht, Hard- und Software.
Antworten
Benutzeravatar
Jonathan
Establishment
Beiträge: 1964
Registriert: 04.08.2004, 20:06
Kontaktdaten:

VPN Tunnel & gesperrte Seiten

Beitrag von Jonathan »

Hi,

ich habe einen Homeserver (Raspberry PI) mit DynDNS auf den ich aus einem recht restriktiv abgesichertes Netzwerk heraus zugreifen möchte/muss. Auf dem PI laufen diverse Services, unter anderem ein Webserver, ein Seafile und ein VPN. Auf meinen Desktop in meinem Heimnetz möchte ich per Remote Dekstop zugreifen.

Leider funktioniert nicht alles wie geplant und ich bin verwirrt, weil ich nicht verstehe, wieso manches ohne Probleme geht und anderes überhaupt nicht.
Ich kann von meinem Laptop aus (der sich in diesem recht restriktiv gemanegten Netzwerk befindet) meinen PI anpingen. Ich kann auch eine VPN Verbindung herstellen und dann per Remote Desktop auf meinen PC zugreifen. Aber sowohl der Webserver als auch Seafile (was im Prinzip aber auch nur nochmal ein Webserver-Intreface ist, aber über einen anderen Port), sind blockiert, egal ob ich mich im VPN befinde oder nicht. Aber auf das Fritz-Box Interface kann ich per Webbrowser problemlos zugreifen...

Meine Theorie war bisher, dass der DynDNS Anbieter als sketchy gilt und daher komplett auf einer Sperrliste gelandet ist. Na schön. Aber dann sollte es ja gehen nachdem ich einen VPN Tunnel aufgebaut habe. Tut es aber nicht. Danach dachte ich, dass es vielleicht ein DNS Problem ist, d.h. die Webseitenbesuche über den VPN Tunnel gehen, aber zuvor unabhängig vom VPN über den default-Netzwerk-DNS-Server die Domains aufgelöst werden. Also habe ich versucht die Seiten über die IP anstatt über die Domain aufzurufen. Allerdings ändert das am Fehlerbild auch nicht. Ich kann Seafile über VPN + Remote Desktop ansteuern (sowohl über die IP als auch über die Domain), aber wenn ich nur den VPN Tunnel nutze kriege ich einen "PR_CONNECT_RESET_ERROR" Fehler.
Ich habe auch versucht auf meinem Laptop einen Alternativen DNS Server einzurichten (Quad9). Das hat aber bisher auch nichts gebracht.

Ich verstehe das nicht. Ist mein VPN-Tunnel unvollständig? Wieso kann ich Remote Desktop benutzen und mich auch über FTP auf meinem PI anwählen, aber eine Webseite vom PI aufrufen geht nicht? Wie kann es sein, dass ich eine VPN Verbindung aufbauen kann, sich mein Netzwerk dann aber nicht so verhält, als wäre ich tatsächlich in meinem Heimnetz? Kann es sein, dass nur HTTPS nicht funktioniert (das Fritzbox-Interface benutzt nur http, und andere Dienste (Remote Desktop, FTP) sind ja auch nicht SSL)?

Bisher habe ich viel probiert und jetzt quasi eine lange Liste an "geht"/"geht nicht" Dingen, wie kann ich das Problem etwas strukturierter Untersuchen um die Ursache zu finden und dann zu beheben?
Lieber dumm fragen, als dumm bleiben!
Alexander Kornrumpf
Moderator
Beiträge: 1946
Registriert: 25.02.2009, 13:37

Re: VPN Tunnel & gesperrte Seiten

Beitrag von Alexander Kornrumpf »

Kann es sein dass du auf deinen Webserver über die Internet-IP ("WAN" in den meisten Heim-Routern) zugreifst aber auf die Dienste die funktionieren über die Lokale IP im LAN / VPN?

Der Lakmustest, und gleichzeitig die Lösung wäre den Webserver über die lokale IP im VPN anzusprechen.

If so, wäre die Theorie dass du "das Internet" nicht über das VPN routest, was auch Sinn macht, und das Routing ja nicht magisch wissen kann, dass die Internet-IP zu einer IP im VPN gehört, die es zufällig auch kennt ... weil dein Heim-Router ja entgegen des Namens nicht wirklich Routing macht, sondern NAT und die lokalen IPs nicht exposed.

Dein Webserver, wenn du ihn über das Internet kontaktierst, fällt einfach unter die Restriktionen des abgesicherten Netzwerks, auch wenn du zufällig eine VPN Verbindung zu demselben Host hast, sprichtst du halt über das Internet mit dem Host und nicht über das VPN.
Benutzeravatar
Jonathan
Establishment
Beiträge: 1964
Registriert: 04.08.2004, 20:06
Kontaktdaten:

Re: VPN Tunnel & gesperrte Seiten

Beitrag von Jonathan »

Hmm, da sagst du was. Tatsächlich komme ich über die 'lokale' IP Adresse auf den Server, d.h. ich brauche dann auch gar kein DynDNS mehr weil die lokale Adresse ja statisch ist. DynDNS ist dann nur wichtig um den VPN-Server zu finden.

Ich habe auch etwas weiter gelesen und unter anderem das hier gefunden:

https://openvpn.net/community-resources ... /#redirect

Wobei da ja im Wesentlichen steht, dass man halt ein "push "redirect-gateway def1" in der Serverconfig braucht, allerdings ist das bei mir schon drin. Warum es jetzt immer noch nicht funktioniert, weiß ich nicht. Aber zumindest bedeutet das ja, das es nicht selbstverständlich ist, dass der gesamte Traffic übers VPN geht (davon war ich jetzt einfach mal ausgegangen), was ja mein Fehlerbild irgendwie gut erklärt (d.h. der Zugriff klappt auch mit VPN Tunnel und alternativem DNS Server nicht).

Vielleicht belasse ich es jetzt erstmal bei den lokalen Adressen. Ich kann zwar aus der Ferne am Server rumfummeln, aber ich habe ein bisschen Angst dass wenn ich da jetzt was kaputt mache, ich es dann eben aus der Ferne nicht mehr reparieren kann und dann gar nichts mehr geht. Auch wenn das jetzt noch nicht super schön ist, habe ich ja zumindest mein Ziel auf meinen Server zuzugreifen fürs erste erreicht...

(Aber vielleicht findet sich ja hier trotzdem noch ein OpenVPN Profi, wäre ja schon alleine aus akademischer Sicht cool, das einmal so zu konfiguriert zu bekommen, wie man es eigentlich haben wollte.)
Lieber dumm fragen, als dumm bleiben!
Alexander Kornrumpf
Moderator
Beiträge: 1946
Registriert: 25.02.2009, 13:37

Re: VPN Tunnel & gesperrte Seiten

Beitrag von Alexander Kornrumpf »

Der Default ist schon sinnvoll so, u. a. aus den in deinem Link unter "Caveats" aufgeführten Gründen. Ich würde das an deiner Stelle eher so lassen.

Ich denke, das Missverständnis kommt daher dass es zwei praktisch disjunkte Anwendungsfälle von VPN gibt: a) ein virtuelles privates Netzwerk zu haben und b) Netflix vorzugaukeln man wäre in Neuseeland oder so. Für a) hat es eigentlich keinen Vorteil, Internet Traffic über das VPN zu routen, aber da es viele kommerzielle Anbieter für b) gibt, beeinflusst das wahrscheinlich was man zuerst denkt, wenn man "VPN" denkt.

Achso und die "richtige" Lösung für dein konkretes Problem ist auch nicht, den gesamten Internet Traffic über das VPN zu routen, sondern den Domainnamen lokal auf die richtige lokale IP zu biegen. Ich denke das ist dann /etc/hosts.
Antworten