Ziel ist, über einen eigenen OpenVPN-Server, der auf einem dedizierten Root-Server betrieben wird, Zugriff auf das lokale Netzwerk Zuhause (Heimnetz) zu erlangen. Es soll möglich sein, sich von überall mit dem VPN zu verbinden (z.B. über ein Smartphone) und dann auf das Heimnetzwerk zuzugreifen.

Als Gateway zwischen dem VPN und dem Heimnetz verwenden wir einen Raspberry Pi.

Im Folgenden wird davon ausgegangen, dass bereits ein OpenVPN Server eingerichtet ist und sich mehrere Clients mit diesem verbinden können. Die Einrichtung ist in einem anderen Artikel ausführlich beschrieben.

IP-Bereiche und Adressen

  • 10.8.0.0/24 VPN
    • 10.8.0.50 Raspberry Pi VPN-Gateway
  • 192.168.1.0/24 Heimnetz
    • 192.168.1.1 Router mit DNS-Server
    • 192.168.1.50 Raspberry Pi VPN-Gateway

Das Client-Zertifikat ist bereits als pi-vpn-gw ausgestellt und die Client-Config liegt auf dem Raspberry Pi im Home-Verzeichnis als ~/pi-vpn-gw.ovpn vor.

Einrichtung auf dem Raspberry Pi

Zuerst installieren wir OpenVPN und kopieren die Client-Config, wobei wir die Dateiendung auf .conf ändern.

sudo apt-get install openvpn
sudo cp ~/pi-vpn-gw.ovpn /etc/openvpn/pi-vpn-gw.conf

Anschließend aktivieren wir das IP-Forwarding und die NAT-Regeln.

sudo sysctl -w net/ipv4/ip_forward=1
sudo iptables -t nat -F POSTROUTING
sudo iptables -t nat -A POSTROUTING -o eth0 -s 10.8.0.0/24 -j MASQUERADE

Damit dies in Zukunft automatisch bei einem Neustart des Raspberry Pi erledigt wird, fügen wir die folgenden Zeilen in der Datei /etc/rc.local vor der Zeile exit 0 hinzu:

# IP-Forward aktivieren
echo 1 > /proc/sys/net/ipv4/ip_forward

# Weiterleitung in das lokale Netz
iptables -t nat -F POSTROUTING
iptables -t nat -A POSTROUTING -o eth0 -s 10.8.0.0/24 -j MASQUERADE

Abschießend erstellen wir noch den Symlink für den SystemD-Service und starten diesen.

sudo ln -s /lib/systemd/system/openvpn@.service /etc/systemd/system/openvpn@pi-vpn-gw.service
sudo systemctl start openvpn@pi-vpn-gw.service

Damit läuft der OpenVPN-Client nun permanent im Hintergrund und stellt die VPN-Verbindung wieder her falls diese abbrechen sollte.

 

Anpassung auf dem OpenVPN Server

Bei dem OpenVPN-Server fügen wir der Server-Config die folgenden Einträge hinzu, sofern noch nicht vorhanden:

# Verzeichnis für die Client-Configs
client-config-dir ccd

# Route zum Heimnetz auf dem Host-System des OpenVPN-Servers anlegen (optional)
;route 192.168.1.0 255.255.255.0

# Route zum Heimnetz allen Clients mitteilen
push "route 192.168.1.0 255.255.255.0"

# DNS-Server den Clients mitteilen
push "dhcp-option DNS 192.168.1.1"
push "dhcp-option DNS 1.1.1.1"
push "dhcp-option DNS 1.0.0.1"

Die Route zum Heimnetz in Zeile 5 ist optional und sollte nur aktiviert werden, wenn man von dem Host-System des OpenVPN-Servers direkten Zugriff auf das Heimnetz benötigt, oder in der Config des OpenVPN-Servers die Anweisung client-to-client nicht enthalten ist.

Als 1. DNS-Server wird die IP des Routers im Heimnetz verwendet, wodurch es möglich wird über das VPN auch die Hostnamen der Geräte im Heimnetz zu verwenden. Als 2. und 3. DNS-Server nehmen wir die Cloudflare-DNS-Server, für den Fall dass der 1. DNS-Server mal nicht erreichbar ist.

Weiterhin legen wir eine clientspezifische Config für unseren Client unter /etc/openvpn/ccd/pi-vpn-gw auf dem Server an beziehungsweise ergänzen diese:

# Feste IP für den Client (Client-IP Subnet)
ifconfig-push 10.8.0.50 255.255.255.0

# Internes Routing zum Heimnetz über diesen Client
iroute 192.168.1.0 255.255.255.0

Abschließend noch ein Neustart des OpenVPN-Servers.

sudo systemctl restart openvpn

 

Fertig!

Nachdem sich unser Raspberry Pi VPN Gateway nun mit dem OpenVPN-Server verbunden hat, sollte es von jedem VPN-Client aus möglich sein jedes Gerät im Heimnetz zu erreichen.

Zum Testen kann man beispielsweise versuchen von einem Smartphone (mit ausgeschaltetem WLAN und aktivierten VPN) den Raspberry Pi (192.168.1.50) oder den Router im eigenen Heimnetz (192.168.1.1) zu erreichen.