Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Site-to-site-VPN mit Raspi und UTM-9

Hallo!

Kann mir jemand eine Anleitung, Tutorial oder HowTo empfehlen, wie man mit einer UTM-9 auf der einen und einem Raspi auf der anderen Seite eine site-to-site-Verbindung (SSL/OpenVPN) herstellen kann?


Hintergrund:
Zuhause hab ich eine UTM-9 stehen (Home Licence, fixe WAN-IP), über die ich mit meinen mobilen Geräten per OpenVPN-Client problemlos auf das LAN zugreifen kann. Nun soll im Wochenendhaus (ADSL-Zugang, Dyndns) diverse Geräte installiert werden, die keine eigene VPN-Möglichkeit haben (Webcam, Hausautomation,..). Also site-to-site-VPN, im Idealfall mit einem (sparsamen) Raspi.
Auch möchte ich hier nicht eine zweite UTM-9 installieren, da das mit Modem+Firewall+Switch+AP in eine Hardwareschlacht ausufert.
Den Router gegen eine Fritzbox austauschen möchte ich (auch aus Kostengründen) vorerst auch noch nicht, noch ist der Sportsgeist nicht erloschen! [:)]

Leider scheitere ich an meinen nicht vorhandenen Linux-Kenntnissen. 
Als Client kann sich der Raspi schon per VPN verbinden, ein im 2. Netz befindlicher Laptop erreicht den Raspi, aber dann scheitert es offensichtlich am Routing... [:(]


Also, kann mir jemand eine gute Anleitung empfehlen, oder sonstige Tipps geben?



Danke im voraus!


Roland


This thread was automatically locked due to age.
Parents
  • Hallo!

    Danke für die Geduld und Nachhilfe!


    tcpdump am Raspi nachinstalliert, da schaut das Ergebnis so aus:

    login as: pi
    pi@10.0.1.103's password:
    Linux raspi 3.12.35+ #730 PREEMPT Fri Dec 19 18:31:24 GMT 2014 armv6l

    The programs included with the Debian GNU/Linux system are free software;
    the exact distribution terms for each program are described in the
    individual files in /usr/share/doc/*/copyright.

    Debian GNU/Linux comes with ABSOLUTELY NO WARRANTY, to the extent
    permitted by applicable law.
    Last login: Tue Feb 10 11:24:10 2015 from 10.0.1.101
    pi@raspi ~ $ sudo su
    root@raspi:/home/pi# route -n
    Kernel-IP-Routentabelle
    Ziel            Router          Genmask         Flags Metric Ref    Use Iface
    0.0.0.0         10.0.1.1        0.0.0.0         UG    0      0        0 eth0
    10.0.0.0        10.242.2.5      255.255.255.0   UG    0      0        0 tun0
    10.0.1.0        0.0.0.0         255.255.255.0   U     0      0        0 eth0
    10.242.2.1      10.242.2.5      255.255.255.255 UGH   0      0        0 tun0
    10.242.2.5      0.0.0.0         255.255.255.255 UH    0      0        0 tun0
    62.99.233.115   10.0.1.1        255.255.255.255 UGH   0      0        0 eth0
    root@raspi:/home/pi#
    root@raspi:/home/pi#
    root@raspi:/home/pi# ifconfig tun0
    tun0      Link encap:UNSPEC  Hardware Adresse 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
              inet Adresse:10.242.2.6  P-z-P:10.242.2.5  Maske:255.255.255.255
              UP PUNKTZUPUNKT RUNNING NOARP MULTICAST  MTU:1500  Metrik:1
              RX packets:44 errors:0 dropped:0 overruns:0 frame:0
              TX packets:10206 errors:0 dropped:0 overruns:0 carrier:0
              Kollisionen:0 Sendewarteschlangenlänge:100
              RX bytes:3504 (3.4 KiB)  TX bytes:545713 (532.9 KiB)

    root@raspi:/home/pi#
    root@raspi:/home/pi#
    root@raspi:/home/pi# tcpdump -n -i tun0 icmp
    tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
    listening on tun0, link-type RAW (Raw IP), capture size 65535 bytes
    21:08:31.765563 IP 10.0.0.1 > 10.242.2.6: ICMP echo request, id 1, seq 641, length 40
    21:08:31.765854 IP 10.242.2.6 > 10.0.0.1: ICMP echo reply, id 1, seq 641, length 40
    21:08:32.765403 IP 10.0.0.1 > 10.242.2.6: ICMP echo request, id 1, seq 642, length 40
    21:08:32.765680 IP 10.242.2.6 > 10.0.0.1: ICMP echo reply, id 1, seq 642, length 40
    21:08:33.761485 IP 10.0.0.1 > 10.242.2.6: ICMP echo request, id 1, seq 643, length 40
    21:08:33.761768 IP 10.242.2.6 > 10.0.0.1: ICMP echo reply, id 1, seq 643, length 40
    21:08:34.761982 IP 10.0.0.1 > 10.242.2.6: ICMP echo request, id 1, seq 644, length 40
    21:08:34.762278 IP 10.242.2.6 > 10.0.0.1: ICMP echo reply, id 1, seq 644, length 40
    ^C
    8 packets captured
    8 packets received by filter
    0 packets dropped by kernel
    root@raspi:/home/pi#

    (Den Ping konnte ich hier nur auf die Tunnel-IP machen.)

    Und auf der UTM so:

    login as: loginuser
    loginuser@10.0.0.250's password:


    Sophos UTM
    (C) Copyright 2000-2014 Sophos Limited and others. All rights reserved.
    Sophos is a registered trademark of Sophos Limited and Sophos Group.
    All other product and company names mentioned are trademarks or registered
    trademarks of their respective owners.

    For more copyright information look at /doc/astaro-license.txt
    or www.astaro.com/.../astaro-license.txt

    NOTE: If not explicitly approved by Sophos support, any modifications
          done by root will void your support.

    loginuser@echo:/home/login > su -
    Password:
    echo:/root # route -n
    Kernel IP routing table
    Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
    10.0.0.0        0.0.0.0         255.255.255.0   U     0      0        0 eth2
    10.242.2.0      10.242.2.2      255.255.255.0   UG    0      0        0 tun0
    10.242.2.2      0.0.0.0         255.255.255.255 UH    0      0        0 tun0
    62.99.233.112   0.0.0.0         255.255.255.248 U     0      0        0 eth1
    127.0.0.0       0.0.0.0         255.0.0.0       U     0      0        0 lo
    192.168.1.0     0.0.0.0         255.255.255.0   U     0      0        0 eth0
    echo:/root #
    echo:/root #
    echo:/root # ifconfig tun0
    tun0      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
              inet addr:10.242.2.1  P-t-P:10.242.2.2  Mask:255.255.255.255
              UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1500  Metric:1
              RX packets:2104382 errors:0 dropped:0 overruns:0 frame:0
              TX packets:2989777 errors:0 dropped:0 overruns:0 carrier:0
              collisions:0 txqueuelen:100
              RX bytes:269402348 (256.9 Mb)  TX bytes:3177531678 (3030.3 Mb)

    echo:/root #
    echo:/root #
    echo:/root # tcpdump -n -i tun0 icmp
    tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
    listening on tun0, link-type RAW (Raw IP), capture size 65535 bytes
    21:11:37.263947 IP 10.242.2.6 > 10.0.0.200: ICMP echo request, id 6925, seq 1, length 64
    21:11:37.264544 IP 10.0.0.200 > 10.242.2.6: ICMP echo reply, id 6925, seq 1, length 64
    21:11:38.265645 IP 10.242.2.6 > 10.0.0.200: ICMP echo request, id 6925, seq 2, length 64
    21:11:38.266015 IP 10.0.0.200 > 10.242.2.6: ICMP echo reply, id 6925, seq 2, length 64
    21:11:39.267215 IP 10.242.2.6 > 10.0.0.200: ICMP echo request, id 6925, seq 3, length 64
    21:11:39.267583 IP 10.0.0.200 > 10.242.2.6: ICMP echo reply, id 6925, seq 3, length 64
    21:11:40.268787 IP 10.242.2.6 > 10.0.0.200: ICMP echo request, id 6925, seq 4, length 64
    21:11:40.269149 IP 10.0.0.200 > 10.242.2.6: ICMP echo reply, id 6925, seq 4, length 64
    ^C
    8 packets captured
    8 packets received by filter
    0 packets dropped by kernel
    echo:/root #



    Roland
Reply
  • Hallo!

    Danke für die Geduld und Nachhilfe!


    tcpdump am Raspi nachinstalliert, da schaut das Ergebnis so aus:

    login as: pi
    pi@10.0.1.103's password:
    Linux raspi 3.12.35+ #730 PREEMPT Fri Dec 19 18:31:24 GMT 2014 armv6l

    The programs included with the Debian GNU/Linux system are free software;
    the exact distribution terms for each program are described in the
    individual files in /usr/share/doc/*/copyright.

    Debian GNU/Linux comes with ABSOLUTELY NO WARRANTY, to the extent
    permitted by applicable law.
    Last login: Tue Feb 10 11:24:10 2015 from 10.0.1.101
    pi@raspi ~ $ sudo su
    root@raspi:/home/pi# route -n
    Kernel-IP-Routentabelle
    Ziel            Router          Genmask         Flags Metric Ref    Use Iface
    0.0.0.0         10.0.1.1        0.0.0.0         UG    0      0        0 eth0
    10.0.0.0        10.242.2.5      255.255.255.0   UG    0      0        0 tun0
    10.0.1.0        0.0.0.0         255.255.255.0   U     0      0        0 eth0
    10.242.2.1      10.242.2.5      255.255.255.255 UGH   0      0        0 tun0
    10.242.2.5      0.0.0.0         255.255.255.255 UH    0      0        0 tun0
    62.99.233.115   10.0.1.1        255.255.255.255 UGH   0      0        0 eth0
    root@raspi:/home/pi#
    root@raspi:/home/pi#
    root@raspi:/home/pi# ifconfig tun0
    tun0      Link encap:UNSPEC  Hardware Adresse 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
              inet Adresse:10.242.2.6  P-z-P:10.242.2.5  Maske:255.255.255.255
              UP PUNKTZUPUNKT RUNNING NOARP MULTICAST  MTU:1500  Metrik:1
              RX packets:44 errors:0 dropped:0 overruns:0 frame:0
              TX packets:10206 errors:0 dropped:0 overruns:0 carrier:0
              Kollisionen:0 Sendewarteschlangenlänge:100
              RX bytes:3504 (3.4 KiB)  TX bytes:545713 (532.9 KiB)

    root@raspi:/home/pi#
    root@raspi:/home/pi#
    root@raspi:/home/pi# tcpdump -n -i tun0 icmp
    tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
    listening on tun0, link-type RAW (Raw IP), capture size 65535 bytes
    21:08:31.765563 IP 10.0.0.1 > 10.242.2.6: ICMP echo request, id 1, seq 641, length 40
    21:08:31.765854 IP 10.242.2.6 > 10.0.0.1: ICMP echo reply, id 1, seq 641, length 40
    21:08:32.765403 IP 10.0.0.1 > 10.242.2.6: ICMP echo request, id 1, seq 642, length 40
    21:08:32.765680 IP 10.242.2.6 > 10.0.0.1: ICMP echo reply, id 1, seq 642, length 40
    21:08:33.761485 IP 10.0.0.1 > 10.242.2.6: ICMP echo request, id 1, seq 643, length 40
    21:08:33.761768 IP 10.242.2.6 > 10.0.0.1: ICMP echo reply, id 1, seq 643, length 40
    21:08:34.761982 IP 10.0.0.1 > 10.242.2.6: ICMP echo request, id 1, seq 644, length 40
    21:08:34.762278 IP 10.242.2.6 > 10.0.0.1: ICMP echo reply, id 1, seq 644, length 40
    ^C
    8 packets captured
    8 packets received by filter
    0 packets dropped by kernel
    root@raspi:/home/pi#

    (Den Ping konnte ich hier nur auf die Tunnel-IP machen.)

    Und auf der UTM so:

    login as: loginuser
    loginuser@10.0.0.250's password:


    Sophos UTM
    (C) Copyright 2000-2014 Sophos Limited and others. All rights reserved.
    Sophos is a registered trademark of Sophos Limited and Sophos Group.
    All other product and company names mentioned are trademarks or registered
    trademarks of their respective owners.

    For more copyright information look at /doc/astaro-license.txt
    or www.astaro.com/.../astaro-license.txt

    NOTE: If not explicitly approved by Sophos support, any modifications
          done by root will void your support.

    loginuser@echo:/home/login > su -
    Password:
    echo:/root # route -n
    Kernel IP routing table
    Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
    10.0.0.0        0.0.0.0         255.255.255.0   U     0      0        0 eth2
    10.242.2.0      10.242.2.2      255.255.255.0   UG    0      0        0 tun0
    10.242.2.2      0.0.0.0         255.255.255.255 UH    0      0        0 tun0
    62.99.233.112   0.0.0.0         255.255.255.248 U     0      0        0 eth1
    127.0.0.0       0.0.0.0         255.0.0.0       U     0      0        0 lo
    192.168.1.0     0.0.0.0         255.255.255.0   U     0      0        0 eth0
    echo:/root #
    echo:/root #
    echo:/root # ifconfig tun0
    tun0      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
              inet addr:10.242.2.1  P-t-P:10.242.2.2  Mask:255.255.255.255
              UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1500  Metric:1
              RX packets:2104382 errors:0 dropped:0 overruns:0 frame:0
              TX packets:2989777 errors:0 dropped:0 overruns:0 carrier:0
              collisions:0 txqueuelen:100
              RX bytes:269402348 (256.9 Mb)  TX bytes:3177531678 (3030.3 Mb)

    echo:/root #
    echo:/root #
    echo:/root # tcpdump -n -i tun0 icmp
    tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
    listening on tun0, link-type RAW (Raw IP), capture size 65535 bytes
    21:11:37.263947 IP 10.242.2.6 > 10.0.0.200: ICMP echo request, id 6925, seq 1, length 64
    21:11:37.264544 IP 10.0.0.200 > 10.242.2.6: ICMP echo reply, id 6925, seq 1, length 64
    21:11:38.265645 IP 10.242.2.6 > 10.0.0.200: ICMP echo request, id 6925, seq 2, length 64
    21:11:38.266015 IP 10.0.0.200 > 10.242.2.6: ICMP echo reply, id 6925, seq 2, length 64
    21:11:39.267215 IP 10.242.2.6 > 10.0.0.200: ICMP echo request, id 6925, seq 3, length 64
    21:11:39.267583 IP 10.0.0.200 > 10.242.2.6: ICMP echo reply, id 6925, seq 3, length 64
    21:11:40.268787 IP 10.242.2.6 > 10.0.0.200: ICMP echo request, id 6925, seq 4, length 64
    21:11:40.269149 IP 10.0.0.200 > 10.242.2.6: ICMP echo reply, id 6925, seq 4, length 64
    ^C
    8 packets captured
    8 packets received by filter
    0 packets dropped by kernel
    echo:/root #



    Roland
Children
No Data