VPN: Ext. Zugriff via VPN + Box bei NordVPN..Parallelbetrieb? Wie?

teflon_don · 15. September 2018, 12:07

Hallo zusammen,

ich möchte gerne meine Box über meinen VPN Anbieter laufen lassen...gleichzeitig jedoch eine eigene VPN Verbindung (Server) einrichten, mit der ich per Handy oder Tabelt drauf Zugriff habe für Streaming und Timerkonfiguration.

Im Allgemeinen sollten die VPN Dienste ja immer nach Möglichkeit auf dem Endgerät laufen. Habe nun seit ner Woche einen Asus RT AC68U Router mit der entsprechenden Merlin Software. Hierüber kann ich 5 VPN Clients und zwei Server laufen lassen.

Die Frage die sich stellt ist: Wie kann ich mein Vorhaben so aufteilen, dass Router und Box die beste Performance abliefern bzw. ist es an sich so möglich wie angedacht.

Zu den Daten:

Router: Asus RT AC68U MerlinWRT
Box: VU+ Uno 4K
VPN: NordVPN

Besser den Client (Zugang zu NordVPN) über den Router einrichten und den Zugriff auf die Box über die VU konfigurieren? Oder umgekehrt? Was muss hierbei beachtet werden?

Vielen Dank schon mal für eure Hilfe und sorry, falls das Thema schon iwo aufgegriffen wurde. Habe es in dier Konstellation nicht nirgends abgehandelt finden können

anz · 15. September 2018, 17:01

Gerade für NordVPN gibt es seit neuestem ein Plugin für E2 Boxen
Gib mal in der Google Suche NordVPN-Connector v0.3-r3 ein ,da ist es gleich der 2. Treffer zum Support Thread.
Vielleicht hilft dir das weiter...

teflon_don · 15. September 2018, 18:55

@anz

Sieht Klasse aus, vielen Dank

Zum Strategischen Problem: Beide VPN Verbindungen also über die Box konfigurieren? Oder den externen Zugriff der PErformance wegen lieber über den Router?

Banana Joe · 15. September 2018, 22:01

Wenn du VPN-Anonymisierung und VPN Server auf verschiedenen Systemen hast, tauchen schnell komplexere Routings auf, welche nicht mit jedem Router (ich kenne den Asus nicht) realisiert werden können (Stichwort: Source Routing).

In der Theorie würde ich deswegen vorzugsweise beide VPN's auf dem Router betreiben. Weil: bei VPN wird geroutet und dafür sind Router hauptsächlich da.
Auf diese Weise lösen sich i.d.R. auch alle Routing-Probleme von alleine auf.
Voraussichtlich wird der openvpn Software auf dem Router auch aktueller sein. Die Version auf der Box zusammen mit dem zugrunde liegenden openssl ist relativ alt.
Allerdings: Bei VPN auf Home-Routern scheitert es manchmal daran, dass die Geräte meist eine zu schwache CPU für Kryptographie haben. Da hilf nur ausprobieren.

teflon_don · 15. September 2018, 22:21

Interessanter Gedanke @Banana Joe

Rein von der Rechenpower sollte ich dann ja eher auf die Box gehen mit den 2x1,7GHz gegenüber den 2x800mHz des Routers. Flash Speicher auch viel höher.

Allerdings weiß ich nicht inwieweit die CPU des Routers überhaupt belastet wird im Vergleich zu der Box. Auf der 4U laufen ja i.d.R. viel größere Prozesse ab als auf nem Router. Würde ich alles über die Box laufen lassen könnte das mit VPN + Transcoding etc. schnell eng werden, oder?

Habe VPN für meinen FIRE TV angelegt und habe beim Netflix schauen ca 20-25% Auslastung auf einem Core...der andere bei 10-15%.

Wäre das ganze nicht so aufwändig hinsichtlich Konfiguration würde ich die verschiedenen Varianten mal testen, aber das frisst viel Zeit. Zumal ich noch nie VPN auf ner Box eingerichtet habe

Aber die verschiedenen Denkansätze sind schon sehr interessant und hilfreich...eine optimale universal Lösung scheint es wohl nicht zu geben ?

Banana Joe · 15. September 2018, 22:39

Gibt es da eine SHH/Telnet Shell auf den Router?
Falls ja, kannst du dir in erster Näherung mal einen Eindruck von der openssl Geschwindigkeit des Routers machen:

How To: OpenVPN

teflon_don · 16. September 2018, 10:06

SSH hätte die Kiste, konnte es jedoch nicht testen. Hab dafür diese Übersicht gefunden, die mit dem gleichen Befehl Benchmarks auflistet:

OPENWRT BENCHMARKS

Leider keine Units angegeben, daher mal die Rohdaten:

Router Ac68U bei AES256: 11477620 (k???) bzw. 12341430 (k???)
Uno 4K:

type 16 bytes 64 bytes 256 bytes 1024 bytes 8192 bytes

aes-256 cbc 57012.63k 59572.33k 61173.41k 61279.83k 61805.02k

Wie kann ich das nun interpretieren? ☺️

Banana Joe · 16. September 2018, 12:19

Also... wenn ich den Shell Code von der Webseite richtig verstehe, dann wird da bei den Werten ein "k" einfach durch eine Null ersetzt ;wacko:

Im Umkehrschluss müssten die Werte also so zu lesen sein: 11477.62k bzw. 12341.43k
--> Das ist in etwa die Leistung wie bei einem RasPi 1 und dürfte für streaming zu schwach sein.

teflon_don · 16. September 2018, 12:54

Hmm okay,

heisst also alles auf die VU hauen? VPN Client hab ich durch das oben von dir genannte Plugin zum laufen bekommen. Server hab ich mal testweise auf dem Router konfiguriert, aber läuft noch nicht so richtig...

Werde mal versuchen den Server auf der Box zu konfigurieren...

teflon_don · 16. September 2018, 14:24

Bei der Gelegenheit...ich komme mit OpenVpn auf dem Router als Server auf mein Netz, kann aber nicht auf die Geräte zugreifen, also auch keine Dreamdroid Verbindung herstellen.

Subnet im Heimnetz: 192.168.111.0
Subnet vom VPN: 10.8.0.0

Handy wird auch als 10.8.0.X verbunden

Banana Joe · 16. September 2018, 15:42

Am Einfachsten ist es, wenn der VPN Server Network Address Translation (NAT) macht. Ich hatte das für die VU Box mal hier beschrieben:
vuplus-support.org/wbb4/index.…ostID=1539204#post1539204

Ob das alles auch auf dem Asus funktioniert, kann ich nicht sagen.

teflon_don · 16. September 2018, 20:18

Puhh bin n ziehmlicher Nap was VPN angeht, daher kann ich mit den ganzen SSH Geschichten noch nich viel anfangen.

Habe beim Erstellen des Servers mal noch folgenden Befehl angegeben:

push "route 192.168.111.0 255.255.255.0"

Brachte leider nichts. Mit Laptop und Handy komm ich problemlos auf die Routeroberfläche aber eben nicht weiter

Problem scheint auch weit verbreitet zu sein, nur enden viele Threads weltweit einfach ohne Lösung, daher bissl ratlos.

Deine Verlinkung bzw. der Befehl mit den "iptables..." hab ich iwo auch als Lösungsansatz gesehen, aber finde es grade nicht mehr. Wo muss ich den denn eingeben? Bei der Servererstellung bzw. der manuellen Konfiguration kommt ne Fehlermeldung beim Anwenden.

Habe es nun über WinSCP probiert, aber dort regt sich nix wenn ich das als SSH Befehl ausführe

Banana Joe · 16. September 2018, 20:39

teflon_don schrieb:

push "route 192.168.111.0 255.255.255.0"

Das sieht soweit richtig aus. Das Problem dabei ist jetzt aber, dass alle Geräte hinter dem Router den Rückweg zum VPN Client nicht kennen.
Mit einem NAT auf dem VPN Server erledigt sich das Problem.

Hier geht es zum SSH Wiki

teflon_don · 16. September 2018, 21:06

Wie kann ich diese Rückführung denn einrichten?

Mit:

"route add -net 192.168.1.0/24 gw 192.168.2.1 dev eth0"

oder:

"iptables -t nat -A POSTROUTING -s 10.0.0.0/24 -o eth0 -j MASQUERADE"

Denke das hier würde auch zum Thema passen, oder?

OpenVPN_Bridging-And-Routing

Mir ist das Problem nun bewusst...nur leider kp wo ich die Befehle unterbringen muss. Beim Erstellen des Servers via Router oder eben SSH.

Banana Joe · 17. September 2018, 13:47

Einfach mal folgende Zeile per SSH auf dem Router eingeben

Quellcode

iptables -t nat -A POSTROUTING -s 10.0.0.0/24 -o eth0 -j MASQUERADE

teflon_don · 17. September 2018, 20:03

Hmm,

Kam keine Bestätigung oder Anzeige, dass es irgendwas tut. Muss man nach erfolgreicher Verbindung noch vorher was machen? Auf ne Datei zugreifen?

Oder einfach connecten und den Befehl reinhauen.

PS: 10.0.0.0 is universell oder muss ich meine 10.8.0.0 nehmen die mein client bekommt?

Gesendet von meinem SM-G930F mit Tapatalk

Banana Joe · 17. September 2018, 20:56

Wenn kein Fehler kommt, ist das schonmal gut.

In deinem fall musst du dann 10.0.8.0/24 verwenden.

Das ist erstmal alles nur temporär; wenn du Router neu startest, sind die Veränderungen wieder weg.

teflon_don · 17. September 2018, 22:12

Habs nun per Putty probiert:

iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE

Keine Bestätigung aber auch keine Fehlermeldung.

Habe auf dem Asus auch einige weitere Einstellungen zu dem Thema gefunden:

Quellcode

PPTP Passthrough
L2TP Passthrough
IPSec Passthrough
RTSP Passthrough
H.323 Passthrough
SIP Passthrough
PPPoE-Relais aktivieren

Alles auf Aktiviert.

Nach der Putty Eingabe erfolgte Restart des Routers...neue VPN Config exportiert. Leider wieder das gleiche.

Komme auf das Netz, werde dort auch als Client angezeigt. Aber keinen Zugriff via Dreamdroid

Einen Port muss ich zur Box ja nicht freigeben oder?

Habe iwo nen Code gesehen, der deinen Code permanent einbettet, gibt´s da ne Lösung?

Banana Joe · 17. September 2018, 22:19

Wenn du den Router neu startest, musst du die iptables Regel wieder neu eingeben!

Außerdem nicht vergessen, auf der Box die Einstellungen überprüfen:
Openwebif -> Einstellungen -> Open Webinterface -> Haken machen bei "Auch Zugriff aus VPNs erlauben"

teflon_don schrieb:

Habe iwo nen Code gesehen, der deinen Code permanent einbettet, gibt´s da ne Lösung?

Das machen wir später, wenn alles funktioniert.

teflon_don · 17. September 2018, 22:19

Ergänzung: Mein Asus hängt an einem CBN Router von KD VF, der im Bridge Modus ist...hat das Einfluss? Port Forwarding nötig?

Quellcode

Quellcode

Tags