Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 10 replies
  • Subscribers 38 subscribers
  • Views 4064 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Site-to-site-VPN mit Raspi und UTM-9

Roland M.
Hallo!

Kann mir jemand eine Anleitung, Tutorial oder HowTo empfehlen, wie man mit einer UTM-9 auf der einen und einem Raspi auf der anderen Seite eine site-to-site-Verbindung (SSL/OpenVPN) herstellen kann?


Hintergrund:
Zuhause hab ich eine UTM-9 stehen (Home Licence, fixe WAN-IP), über die ich mit meinen mobilen Geräten per OpenVPN-Client problemlos auf das LAN zugreifen kann. Nun soll im Wochenendhaus (ADSL-Zugang, Dyndns) diverse Geräte installiert werden, die keine eigene VPN-Möglichkeit haben (Webcam, Hausautomation,..). Also site-to-site-VPN, im Idealfall mit einem (sparsamen) Raspi.
Auch möchte ich hier nicht eine zweite UTM-9 installieren, da das mit Modem+Firewall+Switch+AP in eine Hardwareschlacht ausufert.
Den Router gegen eine Fritzbox austauschen möchte ich (auch aus Kostengründen) vorerst auch noch nicht, noch ist der Sportsgeist nicht erloschen! [:)]

Leider scheitere ich an meinen nicht vorhandenen Linux-Kenntnissen. 
Als Client kann sich der Raspi schon per VPN verbinden, ein im 2. Netz befindlicher Laptop erreicht den Raspi, aber dann scheitert es offensichtlich am Routing... [:(]


Also, kann mir jemand eine gute Anleitung empfehlen, oder sonstige Tipps geben?



Danke im voraus!


Roland


This thread was automatically locked due to age.
Parents
  • 0
    Hallo!

    Danke für die Geduld und Nachhilfe!


    tcpdump am Raspi nachinstalliert, da schaut das Ergebnis so aus:

    login as: pi
    pi@10.0.1.103's password:
    Linux raspi 3.12.35+ #730 PREEMPT Fri Dec 19 18:31:24 GMT 2014 armv6l

    The programs included with the Debian GNU/Linux system are free software;
    the exact distribution terms for each program are described in the
    individual files in /usr/share/doc/*/copyright.

    Debian GNU/Linux comes with ABSOLUTELY NO WARRANTY, to the extent
    permitted by applicable law.
    Last login: Tue Feb 10 11:24:10 2015 from 10.0.1.101
    pi@raspi ~ $ sudo su
    root@raspi:/home/pi# route -n
    Kernel-IP-Routentabelle
    Ziel            Router          Genmask         Flags Metric Ref    Use Iface
    0.0.0.0         10.0.1.1        0.0.0.0         UG    0      0        0 eth0
    10.0.0.0        10.242.2.5      255.255.255.0   UG    0      0        0 tun0
    10.0.1.0        0.0.0.0         255.255.255.0   U     0      0        0 eth0
    10.242.2.1      10.242.2.5      255.255.255.255 UGH   0      0        0 tun0
    10.242.2.5      0.0.0.0         255.255.255.255 UH    0      0        0 tun0
    62.99.233.115   10.0.1.1        255.255.255.255 UGH   0      0        0 eth0
    root@raspi:/home/pi#
    root@raspi:/home/pi#
    root@raspi:/home/pi# ifconfig tun0
    tun0      Link encap:UNSPEC  Hardware Adresse 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
              inet Adresse:10.242.2.6  P-z-P:10.242.2.5  Maske:255.255.255.255
              UP PUNKTZUPUNKT RUNNING NOARP MULTICAST  MTU:1500  Metrik:1
              RX packets:44 errors:0 dropped:0 overruns:0 frame:0
              TX packets:10206 errors:0 dropped:0 overruns:0 carrier:0
              Kollisionen:0 Sendewarteschlangenlänge:100
              RX bytes:3504 (3.4 KiB)  TX bytes:545713 (532.9 KiB)

    root@raspi:/home/pi#
    root@raspi:/home/pi#
    root@raspi:/home/pi# tcpdump -n -i tun0 icmp
    tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
    listening on tun0, link-type RAW (Raw IP), capture size 65535 bytes
    21:08:31.765563 IP 10.0.0.1 > 10.242.2.6: ICMP echo request, id 1, seq 641, length 40
    21:08:31.765854 IP 10.242.2.6 > 10.0.0.1: ICMP echo reply, id 1, seq 641, length 40
    21:08:32.765403 IP 10.0.0.1 > 10.242.2.6: ICMP echo request, id 1, seq 642, length 40
    21:08:32.765680 IP 10.242.2.6 > 10.0.0.1: ICMP echo reply, id 1, seq 642, length 40
    21:08:33.761485 IP 10.0.0.1 > 10.242.2.6: ICMP echo request, id 1, seq 643, length 40
    21:08:33.761768 IP 10.242.2.6 > 10.0.0.1: ICMP echo reply, id 1, seq 643, length 40
    21:08:34.761982 IP 10.0.0.1 > 10.242.2.6: ICMP echo request, id 1, seq 644, length 40
    21:08:34.762278 IP 10.242.2.6 > 10.0.0.1: ICMP echo reply, id 1, seq 644, length 40
    ^C
    8 packets captured
    8 packets received by filter
    0 packets dropped by kernel
    root@raspi:/home/pi#

    (Den Ping konnte ich hier nur auf die Tunnel-IP machen.)

    Und auf der UTM so:

    login as: loginuser
    loginuser@10.0.0.250's password:


    Sophos UTM
    (C) Copyright 2000-2014 Sophos Limited and others. All rights reserved.
    Sophos is a registered trademark of Sophos Limited and Sophos Group.
    All other product and company names mentioned are trademarks or registered
    trademarks of their respective owners.

    For more copyright information look at /doc/astaro-license.txt
    or www.astaro.com/.../astaro-license.txt

    NOTE: If not explicitly approved by Sophos support, any modifications
          done by root will void your support.

    loginuser@echo:/home/login > su -
    Password:
    echo:/root # route -n
    Kernel IP routing table
    Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
    10.0.0.0        0.0.0.0         255.255.255.0   U     0      0        0 eth2
    10.242.2.0      10.242.2.2      255.255.255.0   UG    0      0        0 tun0
    10.242.2.2      0.0.0.0         255.255.255.255 UH    0      0        0 tun0
    62.99.233.112   0.0.0.0         255.255.255.248 U     0      0        0 eth1
    127.0.0.0       0.0.0.0         255.0.0.0       U     0      0        0 lo
    192.168.1.0     0.0.0.0         255.255.255.0   U     0      0        0 eth0
    echo:/root #
    echo:/root #
    echo:/root # ifconfig tun0
    tun0      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
              inet addr:10.242.2.1  P-t-P:10.242.2.2  Mask:255.255.255.255
              UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1500  Metric:1
              RX packets:2104382 errors:0 dropped:0 overruns:0 frame:0
              TX packets:2989777 errors:0 dropped:0 overruns:0 carrier:0
              collisions:0 txqueuelen:100
              RX bytes:269402348 (256.9 Mb)  TX bytes:3177531678 (3030.3 Mb)

    echo:/root #
    echo:/root #
    echo:/root # tcpdump -n -i tun0 icmp
    tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
    listening on tun0, link-type RAW (Raw IP), capture size 65535 bytes
    21:11:37.263947 IP 10.242.2.6 > 10.0.0.200: ICMP echo request, id 6925, seq 1, length 64
    21:11:37.264544 IP 10.0.0.200 > 10.242.2.6: ICMP echo reply, id 6925, seq 1, length 64
    21:11:38.265645 IP 10.242.2.6 > 10.0.0.200: ICMP echo request, id 6925, seq 2, length 64
    21:11:38.266015 IP 10.0.0.200 > 10.242.2.6: ICMP echo reply, id 6925, seq 2, length 64
    21:11:39.267215 IP 10.242.2.6 > 10.0.0.200: ICMP echo request, id 6925, seq 3, length 64
    21:11:39.267583 IP 10.0.0.200 > 10.242.2.6: ICMP echo reply, id 6925, seq 3, length 64
    21:11:40.268787 IP 10.242.2.6 > 10.0.0.200: ICMP echo request, id 6925, seq 4, length 64
    21:11:40.269149 IP 10.0.0.200 > 10.242.2.6: ICMP echo reply, id 6925, seq 4, length 64
    ^C
    8 packets captured
    8 packets received by filter
    0 packets dropped by kernel
    echo:/root #



    Roland
Reply
  • 0
    Hallo!

    Danke für die Geduld und Nachhilfe!


    tcpdump am Raspi nachinstalliert, da schaut das Ergebnis so aus:

    login as: pi
    pi@10.0.1.103's password:
    Linux raspi 3.12.35+ #730 PREEMPT Fri Dec 19 18:31:24 GMT 2014 armv6l

    The programs included with the Debian GNU/Linux system are free software;
    the exact distribution terms for each program are described in the
    individual files in /usr/share/doc/*/copyright.

    Debian GNU/Linux comes with ABSOLUTELY NO WARRANTY, to the extent
    permitted by applicable law.
    Last login: Tue Feb 10 11:24:10 2015 from 10.0.1.101
    pi@raspi ~ $ sudo su
    root@raspi:/home/pi# route -n
    Kernel-IP-Routentabelle
    Ziel            Router          Genmask         Flags Metric Ref    Use Iface
    0.0.0.0         10.0.1.1        0.0.0.0         UG    0      0        0 eth0
    10.0.0.0        10.242.2.5      255.255.255.0   UG    0      0        0 tun0
    10.0.1.0        0.0.0.0         255.255.255.0   U     0      0        0 eth0
    10.242.2.1      10.242.2.5      255.255.255.255 UGH   0      0        0 tun0
    10.242.2.5      0.0.0.0         255.255.255.255 UH    0      0        0 tun0
    62.99.233.115   10.0.1.1        255.255.255.255 UGH   0      0        0 eth0
    root@raspi:/home/pi#
    root@raspi:/home/pi#
    root@raspi:/home/pi# ifconfig tun0
    tun0      Link encap:UNSPEC  Hardware Adresse 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
              inet Adresse:10.242.2.6  P-z-P:10.242.2.5  Maske:255.255.255.255
              UP PUNKTZUPUNKT RUNNING NOARP MULTICAST  MTU:1500  Metrik:1
              RX packets:44 errors:0 dropped:0 overruns:0 frame:0
              TX packets:10206 errors:0 dropped:0 overruns:0 carrier:0
              Kollisionen:0 Sendewarteschlangenlänge:100
              RX bytes:3504 (3.4 KiB)  TX bytes:545713 (532.9 KiB)

    root@raspi:/home/pi#
    root@raspi:/home/pi#
    root@raspi:/home/pi# tcpdump -n -i tun0 icmp
    tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
    listening on tun0, link-type RAW (Raw IP), capture size 65535 bytes
    21:08:31.765563 IP 10.0.0.1 > 10.242.2.6: ICMP echo request, id 1, seq 641, length 40
    21:08:31.765854 IP 10.242.2.6 > 10.0.0.1: ICMP echo reply, id 1, seq 641, length 40
    21:08:32.765403 IP 10.0.0.1 > 10.242.2.6: ICMP echo request, id 1, seq 642, length 40
    21:08:32.765680 IP 10.242.2.6 > 10.0.0.1: ICMP echo reply, id 1, seq 642, length 40
    21:08:33.761485 IP 10.0.0.1 > 10.242.2.6: ICMP echo request, id 1, seq 643, length 40
    21:08:33.761768 IP 10.242.2.6 > 10.0.0.1: ICMP echo reply, id 1, seq 643, length 40
    21:08:34.761982 IP 10.0.0.1 > 10.242.2.6: ICMP echo request, id 1, seq 644, length 40
    21:08:34.762278 IP 10.242.2.6 > 10.0.0.1: ICMP echo reply, id 1, seq 644, length 40
    ^C
    8 packets captured
    8 packets received by filter
    0 packets dropped by kernel
    root@raspi:/home/pi#

    (Den Ping konnte ich hier nur auf die Tunnel-IP machen.)

    Und auf der UTM so:

    login as: loginuser
    loginuser@10.0.0.250's password:


    Sophos UTM
    (C) Copyright 2000-2014 Sophos Limited and others. All rights reserved.
    Sophos is a registered trademark of Sophos Limited and Sophos Group.
    All other product and company names mentioned are trademarks or registered
    trademarks of their respective owners.

    For more copyright information look at /doc/astaro-license.txt
    or www.astaro.com/.../astaro-license.txt

    NOTE: If not explicitly approved by Sophos support, any modifications
          done by root will void your support.

    loginuser@echo:/home/login > su -
    Password:
    echo:/root # route -n
    Kernel IP routing table
    Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
    10.0.0.0        0.0.0.0         255.255.255.0   U     0      0        0 eth2
    10.242.2.0      10.242.2.2      255.255.255.0   UG    0      0        0 tun0
    10.242.2.2      0.0.0.0         255.255.255.255 UH    0      0        0 tun0
    62.99.233.112   0.0.0.0         255.255.255.248 U     0      0        0 eth1
    127.0.0.0       0.0.0.0         255.0.0.0       U     0      0        0 lo
    192.168.1.0     0.0.0.0         255.255.255.0   U     0      0        0 eth0
    echo:/root #
    echo:/root #
    echo:/root # ifconfig tun0
    tun0      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
              inet addr:10.242.2.1  P-t-P:10.242.2.2  Mask:255.255.255.255
              UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1500  Metric:1
              RX packets:2104382 errors:0 dropped:0 overruns:0 frame:0
              TX packets:2989777 errors:0 dropped:0 overruns:0 carrier:0
              collisions:0 txqueuelen:100
              RX bytes:269402348 (256.9 Mb)  TX bytes:3177531678 (3030.3 Mb)

    echo:/root #
    echo:/root #
    echo:/root # tcpdump -n -i tun0 icmp
    tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
    listening on tun0, link-type RAW (Raw IP), capture size 65535 bytes
    21:11:37.263947 IP 10.242.2.6 > 10.0.0.200: ICMP echo request, id 6925, seq 1, length 64
    21:11:37.264544 IP 10.0.0.200 > 10.242.2.6: ICMP echo reply, id 6925, seq 1, length 64
    21:11:38.265645 IP 10.242.2.6 > 10.0.0.200: ICMP echo request, id 6925, seq 2, length 64
    21:11:38.266015 IP 10.0.0.200 > 10.242.2.6: ICMP echo reply, id 6925, seq 2, length 64
    21:11:39.267215 IP 10.242.2.6 > 10.0.0.200: ICMP echo request, id 6925, seq 3, length 64
    21:11:39.267583 IP 10.0.0.200 > 10.242.2.6: ICMP echo reply, id 6925, seq 3, length 64
    21:11:40.268787 IP 10.242.2.6 > 10.0.0.200: ICMP echo request, id 6925, seq 4, length 64
    21:11:40.269149 IP 10.0.0.200 > 10.242.2.6: ICMP echo reply, id 6925, seq 4, length 64
    ^C
    8 packets captured
    8 packets received by filter
    0 packets dropped by kernel
    echo:/root #



    Roland
Children
No Data
Unfiltered HTML