Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Site-to-site-VPN mit Raspi und UTM-9

Hallo!

Kann mir jemand eine Anleitung, Tutorial oder HowTo empfehlen, wie man mit einer UTM-9 auf der einen und einem Raspi auf der anderen Seite eine site-to-site-Verbindung (SSL/OpenVPN) herstellen kann?


Hintergrund:
Zuhause hab ich eine UTM-9 stehen (Home Licence, fixe WAN-IP), über die ich mit meinen mobilen Geräten per OpenVPN-Client problemlos auf das LAN zugreifen kann. Nun soll im Wochenendhaus (ADSL-Zugang, Dyndns) diverse Geräte installiert werden, die keine eigene VPN-Möglichkeit haben (Webcam, Hausautomation,..). Also site-to-site-VPN, im Idealfall mit einem (sparsamen) Raspi.
Auch möchte ich hier nicht eine zweite UTM-9 installieren, da das mit Modem+Firewall+Switch+AP in eine Hardwareschlacht ausufert.
Den Router gegen eine Fritzbox austauschen möchte ich (auch aus Kostengründen) vorerst auch noch nicht, noch ist der Sportsgeist nicht erloschen! [:)]

Leider scheitere ich an meinen nicht vorhandenen Linux-Kenntnissen. 
Als Client kann sich der Raspi schon per VPN verbinden, ein im 2. Netz befindlicher Laptop erreicht den Raspi, aber dann scheitert es offensichtlich am Routing... [:(]


Also, kann mir jemand eine gute Anleitung empfehlen, oder sonstige Tipps geben?



Danke im voraus!


Roland


This thread was automatically locked due to age.
  • S2S SSL VPN geht nur zwische  zwei UTMs.
  • S2S SSL VPN geht nur zwische  zwei UTMs.

    Kannst du das etwas erläutern? Meines Wissens verwendet die UTM ja OpenVPN, was durchaus einem Standard entspricht?

    Please send me Spam gueselkuebel@sg-utm.also-solutions.ch

  • Weil S2S mit SSLVPN nur zwischen UTMs von Sophos supported ist.

    Aber ich lese gerade, dass ich überlesen haben, dass er die OpenVPN Verbindung zur UTM schon hergestellt hat. Sorry.

    Was hast Du denn auf dem RP konfiguriert? Von alleine wird er die Routen weder kennen, noch setzen.
  • Hallo!

    Vorerst Entschuldigung für meine späte Antwort, ich habe es vorgezogen, mich mit Fieber ins Bett zu legen... [[;)]]


    Weil S2S mit SSLVPN nur zwischen UTMs von Sophos supported ist.

    Ok, der offizielle Support wäre mir im privaten Umfeld nicht so wichtig, aber ich hab mit einer IPSec-Verbindung auch kein Problem.
    Wichtig ist mir eben nur, von zuhause auf das Netzwerk im Wochenendhaus zugreifen zu können und daß die vorhandenen (Open)VPN-Zugriffe von Laptop & Co weiterhin möglich bleiben.


    Aber ich lese gerade, dass ich überlesen haben, dass er die OpenVPN Verbindung zur UTM schon hergestellt hat. Sorry.

    Was hast Du denn auf dem RP konfiguriert? Von alleine wird er die Routen weder kennen, noch setzen.


    Nun, nach Studium diverser Tutorials hab ich folgende Schritte durchgeführt:

    - Am Raspi den OpenVPN-Client eingerichtet
    - in der /sys/sysctrl.conf packet forwarding mit net.ipv4.ip_forward=1 aktiviert
    - im Router eine statische Route fürs Zielnetz auf den Raspi gesetzt
    Fehlt auf jeden Fall noch das Routing und die Konfiguration der UTM.

    Nun, jetzt steh ich eben an und hab die Frage hier gestellt... [[;)]]

    Aber eine SD-Card kann man ja schnell platt machen und neu anfangen... [:D]


    Roland
  • Kannst Du die Rountingtable von beiden Seiten posten?
    Kannst Du auf beiden Seiten mit tcpdump prüfen, ob zB icmp ankommen und weggehen?
  • Hallo!

    Danke für die Hilfe, werde es so gut es geht beantworten:

    Kannst Du die Rountingtable von beiden Seiten posten?

    Am Raspi ist das sehr "übersichtlich" [;)] :
    root@raspi:/home/pi# iptables -L
    Chain INPUT (policy ACCEPT)
    target     prot opt source               destination

    Chain FORWARD (policy ACCEPT)
    target     prot opt source               destination

    Chain OUTPUT (policy ACCEPT)
    target     prot opt source               destination
    root@raspi:/home/pi#


    Auf der UTM-Seite hab ich noch nichts angegriffen, wie kommt man da zu so einer Tabelle? (Mir fehlt einfach die Praxis, die UTM arbeitet zu stabil... [:)] ).


    Kannst Du auf beiden Seiten mit tcpdump prüfen, ob zB icmp ankommen und weggehen?

    tcpdump ist nicht installiert, aber ich kann es so auch beschreiben:

    Heimnetz: 10.0.0.0/24
    - UTM: 10.0.0.250
    - Server: 10.0.0.200
    Testnetz: 10.0.1.0/24
    - Router: 10.0.1.1
    - Raspi: 10.0.1.103
    - Laptop: 10.0.1.101

    Ping von Raspi auf Server funktioniert!
    Tracert von Laptop auf Server bleibt am Raspi hängen:
    C:\Users\Roland>tracert 10.0.0.200

    Routenverfolgung zu 10.0.0.200 über maximal 30 Abschnitte

      1     1 ms    

    Also funktioniert die statische Route im Router, der Raspi kann nur nichts mit den Paketen anfangen...

    Wie gesagt, vom Heimnetz ins Testnetz funktioniert (außer den Ping-Antworten) noch nichts, da noch nichts definiert ist.


    Roland
  • Nicht iptables, sondern Routing Table. Also Shell auf beide und dann als rot

    route -n
    ifconfig tun0
    tcpdump -n -i tun0 icmp

    tun0 sollte das sslvpn Interface sein, sofern Du nicht mehrere Tunnel hast.

    Shellzugriff auf die UTM per SSH mit loginuser und über su - zum root. Aktiviert wird das unter Management- System Settings - Shell Access
  • Hallo!

    Danke für die Geduld und Nachhilfe!


    tcpdump am Raspi nachinstalliert, da schaut das Ergebnis so aus:

    login as: pi
    pi@10.0.1.103's password:
    Linux raspi 3.12.35+ #730 PREEMPT Fri Dec 19 18:31:24 GMT 2014 armv6l

    The programs included with the Debian GNU/Linux system are free software;
    the exact distribution terms for each program are described in the
    individual files in /usr/share/doc/*/copyright.

    Debian GNU/Linux comes with ABSOLUTELY NO WARRANTY, to the extent
    permitted by applicable law.
    Last login: Tue Feb 10 11:24:10 2015 from 10.0.1.101
    pi@raspi ~ $ sudo su
    root@raspi:/home/pi# route -n
    Kernel-IP-Routentabelle
    Ziel            Router          Genmask         Flags Metric Ref    Use Iface
    0.0.0.0         10.0.1.1        0.0.0.0         UG    0      0        0 eth0
    10.0.0.0        10.242.2.5      255.255.255.0   UG    0      0        0 tun0
    10.0.1.0        0.0.0.0         255.255.255.0   U     0      0        0 eth0
    10.242.2.1      10.242.2.5      255.255.255.255 UGH   0      0        0 tun0
    10.242.2.5      0.0.0.0         255.255.255.255 UH    0      0        0 tun0
    62.99.233.115   10.0.1.1        255.255.255.255 UGH   0      0        0 eth0
    root@raspi:/home/pi#
    root@raspi:/home/pi#
    root@raspi:/home/pi# ifconfig tun0
    tun0      Link encap:UNSPEC  Hardware Adresse 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
              inet Adresse:10.242.2.6  P-z-P:10.242.2.5  Maske:255.255.255.255
              UP PUNKTZUPUNKT RUNNING NOARP MULTICAST  MTU:1500  Metrik:1
              RX packets:44 errors:0 dropped:0 overruns:0 frame:0
              TX packets:10206 errors:0 dropped:0 overruns:0 carrier:0
              Kollisionen:0 Sendewarteschlangenlänge:100
              RX bytes:3504 (3.4 KiB)  TX bytes:545713 (532.9 KiB)

    root@raspi:/home/pi#
    root@raspi:/home/pi#
    root@raspi:/home/pi# tcpdump -n -i tun0 icmp
    tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
    listening on tun0, link-type RAW (Raw IP), capture size 65535 bytes
    21:08:31.765563 IP 10.0.0.1 > 10.242.2.6: ICMP echo request, id 1, seq 641, length 40
    21:08:31.765854 IP 10.242.2.6 > 10.0.0.1: ICMP echo reply, id 1, seq 641, length 40
    21:08:32.765403 IP 10.0.0.1 > 10.242.2.6: ICMP echo request, id 1, seq 642, length 40
    21:08:32.765680 IP 10.242.2.6 > 10.0.0.1: ICMP echo reply, id 1, seq 642, length 40
    21:08:33.761485 IP 10.0.0.1 > 10.242.2.6: ICMP echo request, id 1, seq 643, length 40
    21:08:33.761768 IP 10.242.2.6 > 10.0.0.1: ICMP echo reply, id 1, seq 643, length 40
    21:08:34.761982 IP 10.0.0.1 > 10.242.2.6: ICMP echo request, id 1, seq 644, length 40
    21:08:34.762278 IP 10.242.2.6 > 10.0.0.1: ICMP echo reply, id 1, seq 644, length 40
    ^C
    8 packets captured
    8 packets received by filter
    0 packets dropped by kernel
    root@raspi:/home/pi#

    (Den Ping konnte ich hier nur auf die Tunnel-IP machen.)

    Und auf der UTM so:

    login as: loginuser
    loginuser@10.0.0.250's password:


    Sophos UTM
    (C) Copyright 2000-2014 Sophos Limited and others. All rights reserved.
    Sophos is a registered trademark of Sophos Limited and Sophos Group.
    All other product and company names mentioned are trademarks or registered
    trademarks of their respective owners.

    For more copyright information look at /doc/astaro-license.txt
    or www.astaro.com/.../astaro-license.txt

    NOTE: If not explicitly approved by Sophos support, any modifications
          done by root will void your support.

    loginuser@echo:/home/login > su -
    Password:
    echo:/root # route -n
    Kernel IP routing table
    Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
    10.0.0.0        0.0.0.0         255.255.255.0   U     0      0        0 eth2
    10.242.2.0      10.242.2.2      255.255.255.0   UG    0      0        0 tun0
    10.242.2.2      0.0.0.0         255.255.255.255 UH    0      0        0 tun0
    62.99.233.112   0.0.0.0         255.255.255.248 U     0      0        0 eth1
    127.0.0.0       0.0.0.0         255.0.0.0       U     0      0        0 lo
    192.168.1.0     0.0.0.0         255.255.255.0   U     0      0        0 eth0
    echo:/root #
    echo:/root #
    echo:/root # ifconfig tun0
    tun0      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
              inet addr:10.242.2.1  P-t-P:10.242.2.2  Mask:255.255.255.255
              UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1500  Metric:1
              RX packets:2104382 errors:0 dropped:0 overruns:0 frame:0
              TX packets:2989777 errors:0 dropped:0 overruns:0 carrier:0
              collisions:0 txqueuelen:100
              RX bytes:269402348 (256.9 Mb)  TX bytes:3177531678 (3030.3 Mb)

    echo:/root #
    echo:/root #
    echo:/root # tcpdump -n -i tun0 icmp
    tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
    listening on tun0, link-type RAW (Raw IP), capture size 65535 bytes
    21:11:37.263947 IP 10.242.2.6 > 10.0.0.200: ICMP echo request, id 6925, seq 1, length 64
    21:11:37.264544 IP 10.0.0.200 > 10.242.2.6: ICMP echo reply, id 6925, seq 1, length 64
    21:11:38.265645 IP 10.242.2.6 > 10.0.0.200: ICMP echo request, id 6925, seq 2, length 64
    21:11:38.266015 IP 10.0.0.200 > 10.242.2.6: ICMP echo reply, id 6925, seq 2, length 64
    21:11:39.267215 IP 10.242.2.6 > 10.0.0.200: ICMP echo request, id 6925, seq 3, length 64
    21:11:39.267583 IP 10.0.0.200 > 10.242.2.6: ICMP echo reply, id 6925, seq 3, length 64
    21:11:40.268787 IP 10.242.2.6 > 10.0.0.200: ICMP echo request, id 6925, seq 4, length 64
    21:11:40.269149 IP 10.0.0.200 > 10.242.2.6: ICMP echo reply, id 6925, seq 4, length 64
    ^C
    8 packets captured
    8 packets received by filter
    0 packets dropped by kernel
    echo:/root #



    Roland
  • Nachtrag:

    Wenn ich vom Laptop (10.0.1.101) via Raspi den Server (10.0.0.200) anpingen will, gibt tcpdump am Raspi nur Requests aus, keine Antworten:

    root@raspi:/home/pi# tcpdump -n -i tun0 icmp
    
    tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
    listening on tun0, link-type RAW (Raw IP), capture size 65535 bytes
    21:29:32.853459 IP 10.0.1.101 > 10.0.0.200: ICMP echo request, id 1, seq 2227, length 72
    21:29:36.471449 IP 10.0.1.101 > 10.0.0.200: ICMP echo request, id 1, seq 2228, length 72
    21:29:40.471720 IP 10.0.1.101 > 10.0.0.200: ICMP echo request, id 1, seq 2229, length 72
    21:29:44.473286 IP 10.0.1.101 > 10.0.0.200: ICMP echo request, id 1, seq 2230, length 72


    Während dieser Zeit ist tcpdump am UTM komplett still.


    Roland
  • ?

    Die UTM kennt übrigens das Netz 10.0.1.0/24 nicht.

    Im tcpdump auf der UTM kommt nichts an? Schickt Du parallel dazu bitte noch ein ping vom RB?