VPN met raspberry doet het niet goed

dinsdag 6 februari 2018 08:32

Acties:

Topicstarter

ik hoop dat het topic hier goed staat.

situatie: ik heb een raspberry server thuis draaien voor mijn website, ding doet het al jaren goed.
ik heb er ook een VPN op gezet zodat ik ook websites kan bezoeken die anders geblokkeerd zijn,

voorbeeld:
ik reis elk jaar 1keer naar china, daar is een hoop geblokkeerd (google, facebook, ...). ik connecteer daar dan naar mijn raspberry thuis en die zet mij op het lokale netwerk. echter werkt daar ook niks.
als ik mijn windows VPN open zet (slechts 1 toegelaten inkomende connectie) werkt het wel.

er zit dus iets fout in de iptables routing.

nu bijkomend: mijn website draait op dynamic dns (homelinux.com) en dit domein werdt recent geblokkeerd op het werk (alle dynamische adressen worden geblokkeerd door de proxy) waardoor ik mijn eigen website niet meer kan bereiken. de ideale plaats dus om ook mijn VPN uit te testen dus, hoef ik er niet voor naar china nu.

het probleem dat zich dus voordoet:
1) ik maak een VPN connectie naar mijn raspberry: lukt
2) pc wordt geregistreerd in mijn lokale netwerk thuis: lukt (ik kan mijn webserver lokaal zien op 192.168.1.x alsook mijn printers en netwerkshares thuis
3) als ik surf naar mijn webserver lokaal adres krijg ik de website te zien
4) als ik surf naar mijn dynamic domein naam, krijg ik de foutmelding van de proxy te zien.

blijkbaar wordt er bij stap 4 iets fout gedaan waardoor mijn raspberry thuis de traffic weer ove rde tunnel terug stuurt naar het werk, om daar op het werknetwerk verder te surfen terwijl mijn raspberry die traffic naar mijn ADSL router moet sturen (192.168.1.1).

als ik de netwerksettings bekijk op mijn laptop op het werk:
lokaal IP:
192.168.10..116
255.255.255.0
gateway 192.168.10.1
dhcp 192.168.10.2
dns 192.168.10.2
8.8.8.8

VPN connectie
192.168.0.234
gateway 0.0.0.0
dns 192.168.1.1 (manueel toegevoegd)

mijn raspberry heeft thuis 192.168.1.111 en zijn VPN range is 192.168.0.234-238. speciaal een andere range gepakt zodat mijn raspberry de routering moet doen van 192.168.0.x naar 192.168.1.x

de ip tables regel die ik gebruik:
iptables -t NAT -A POSTROUTING -s 192.168.0.234/24 -o eth0 -j SNAT --to-source 192.168.1.111

op internet vind ik hopen instructies om met openVPN te draaien, maar dat wil ik niet. ik wil geen service draaien bij een 3rd party maar alles gewoon lokaal houden. mijn webserver draait al publiek, dus vind geen reden om nog via een andere firma te gaan

nog een extra probleem: eens ik met VPN ben verbonden, kan outlook niks meer verzenden of ontvangen totdat ik de VPN weer verbreek. ook die traffic loopt ergens mank

[ Voor 3% gewijzigd door fcapri op 06-02-2018 08:59 ]

dinsdag 6 februari 2018 10:33

Acties:

Mijzelf

Hoe ziet de route tabel op je laptop eruit, met de VPN verbonden en niet?

dinsdag 6 februari 2018 11:33

Acties:

iTeV

Wellicht ook de moeite waard om te kijken of je de gateway kunt pingen wanneer je verbonden bent met je VPN.

Are you a one or a zero

dinsdag 6 februari 2018 12:49

Acties:

fcapri

Topicstarter

miljaar, hele tekst getypt, maar doordat ik op VPN zat is alles verloren gegaan.
om het duidelijk te houden
192.168.10.116 is mijn wifiadres op het werk met als gateway 192.168.10.1
192.168.0.234 is mijn vpn adres naar huis
192.168.1.1 is mijn huis netwerk aan de ADSL modem
ik gebruik een gewone PPTP verbinding, simpelweg omdat ik vanuit china met standaard devices ook op de vpn moet geraken (android telefoon, iphone, mac pc en windows pc)

zonder VPN

C:\Users\fcapri>netstat -rn
===========================================================================
Interface List
20...00 15 00 39 16 ef ......Intel(R) PRO/Wireless 2200BG Network Connection
19...00 1a 4b 91 2e b6 ......Broadcom NetXtreme Gigabit Ethernet
12...00 10 c6 93 04 d3 ......Bluetooth Device (Personal Area Network)
1...........................Software Loopback Interface 1
24...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter
27...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter #2
26...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter #3
23...00 00 00 00 00 00 00 e0 Teredo Tunneling Pseudo-Interface
===========================================================================

IPv4 Route Table
===========================================================================
Active Routes:
Network Destination Netmask Gateway Interface Metric
0.0.0.0 0.0.0.0 192.168.10.1 192.168.10.116 25
127.0.0.0 255.0.0.0 On-link 127.0.0.1 306
127.0.0.1 255.255.255.255 On-link 127.0.0.1 306
127.255.255.255 255.255.255.255 On-link 127.0.0.1 306
192.168.10.0 255.255.255.0 On-link 192.168.10.116 281
192.168.10.116 255.255.255.255 On-link 192.168.10.116 281
192.168.10.255 255.255.255.255 On-link 192.168.10.116 281
224.0.0.0 240.0.0.0 On-link 127.0.0.1 306
224.0.0.0 240.0.0.0 On-link 192.168.10.116 281
255.255.255.255 255.255.255.255 On-link 127.0.0.1 306
255.255.255.255 255.255.255.255 On-link 192.168.10.116 281
===========================================================================
Persistent Routes:
Network Address Netmask Gateway Address Metric
0.0.0.0 0.0.0.0 192.168.1.1 Default
===========================================================================

IPv6 Route Table
===========================================================================
Active Routes:
If Metric Network Destination Gateway
1 306 ::1/128 On-link
20 281 fe80::/64 On-link
20 281 fe80::4926:8966:c578:d889/128
On-link
1 306 ff00::/8 On-link
20 281 ff00::/8 On-link
===========================================================================
Persistent Routes:
None

met VPN:

C:\Users\fcapri>netstat -rn
===========================================================================
Interface List
40...........................raspberry VPN
20...00 15 00 39 16 ef ......Intel(R) PRO/Wireless 2200BG Network Connection
19...00 1a 4b 91 2e b6 ......Broadcom NetXtreme Gigabit Ethernet
12...00 10 c6 93 04 d3 ......Bluetooth Device (Personal Area Network)
1...........................Software Loopback Interface 1
24...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter
27...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter #2
26...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter #3
30...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter #4
23...00 00 00 00 00 00 00 e0 Teredo Tunneling Pseudo-Interface
===========================================================================

IPv4 Route Table
===========================================================================
Active Routes:
Network Destination Netmask Gateway Interface Metric
0.0.0.0 0.0.0.0 192.168.10.1 192.168.10.116 4250
0.0.0.0 0.0.0.0 On-link 192.168.0.234 26
91.182.90.228 255.255.255.255 192.168.10.1 192.168.10.116 4251
127.0.0.0 255.0.0.0 On-link 127.0.0.1 4531
127.0.0.1 255.255.255.255 On-link 127.0.0.1 4531
127.255.255.255 255.255.255.255 On-link 127.0.0.1 4531
192.168.0.234 255.255.255.255 On-link 192.168.0.234 281
192.168.10.0 255.255.255.0 On-link 192.168.10.116 4506
192.168.10.116 255.255.255.255 On-link 192.168.10.116 4506
192.168.10.255 255.255.255.255 On-link 192.168.10.116 4506
224.0.0.0 240.0.0.0 On-link 127.0.0.1 4531
224.0.0.0 240.0.0.0 On-link 192.168.10.116 4507
224.0.0.0 240.0.0.0 On-link 192.168.0.234 26
255.255.255.255 255.255.255.255 On-link 127.0.0.1 4531
255.255.255.255 255.255.255.255 On-link 192.168.10.116 4506
255.255.255.255 255.255.255.255 On-link 192.168.0.234 281
===========================================================================
Persistent Routes:
Network Address Netmask Gateway Address Metric
0.0.0.0 0.0.0.0 192.168.1.1 Default
===========================================================================

IPv6 Route Table
===========================================================================
Active Routes:
If Metric Network Destination Gateway
1 306 ::1/128 On-link
20 281 fe80::/64 On-link
20 281 fe80::4926:8966:c578:d889/128
On-link
1 306 ff00::/8 On-link
20 281 ff00::/8 On-link
===========================================================================
Persistent Routes:
None

@ iTeV: ik kan aan mijn hele netwerk thuis, inclusief mijn adsl model. alleen gaat alle traffic naar het internet nog steeds door de gateway op het werk. en dat zou niet mogen. eens de VPN tunnel is opgezet, kan ik daar toch niet uit om het lokale net op het werk nog te zien.
de wifi gateway op het werk kan ik nog steeds pingen als de VPN open staat.

wat ook raar is, als ik via windows ga kijken op het netwerk, zie ik zowel de devices van huis als die van op het werk samen in het lijstje staan. ik kan aan mijn webserver thuis alsook aan mijn collega zijn laptop als ik met VPN sta verbonden.

alleen outlook geraakt niet aan de mailservers. die loopt ergens verloren

[ Voor 3% gewijzigd door fcapri op 06-02-2018 12:56 ]

dinsdag 6 februari 2018 16:10

Acties:

Mijzelf

Er is in ieder geval iets vreemds:

Persistent Routes:
Network Address Netmask Gateway Address Metric
0.0.0.0 0.0.0.0 192.168.1.1 Default

Dit heb je zowel met VPN als zonder. Als ik je goed begrijp is dit het adres van je router thuis. Maar dat hele subnet komt verder niet in je routing tabel voor, en is dus niet bereikbaar.
Je gateway naar de VPN is 192.168.0.234, en daarachter zoekt de VPN server het maar uit.

Verder zou je verkeer inderdaad via de VPN moeten.

0.0.0.0 0.0.0.0 192.168.10.1 192.168.10.116 4250
0.0.0.0 0.0.0.0 On-link 192.168.0.234 26

Je hebt twee toegangen tot het internet, LAN en VPN, maar je LAN heeft een veel hogere metric, en zou dus niet gebruikt moeten worden. (Behalve voor 1 adres, wat neem ik aan je publieke IP thuis is. Die kan natuurlijk niet door de VPN.)

woensdag 7 februari 2018 12:10

Acties:

Verwijderd

Misschien een stomme vraag, maar heb je dit probleem alleen als je in China bent?

China is namelijk bezig het VPN-gebruik aan banden te leggen. Enkel door de overheid goedgekeurde instanties mogen dan nog gebruik maken van het VPN protocol.

Bron: nu.nl

vrijdag 9 februari 2018 08:50

Acties:

fcapri

Topicstarter

Ik had het probleem enkel in china eerst, maar het probleem zit lokaal

vorige jaren had ik thuis een oude laptop die bleef op staan voor een maand. gewone windows XP erop en VPN built in geactiveerd. werkt perfect. alleen kan je op een windows bak slechts 1 ingaande connectie maken.

ik heb thuis ook een raspberry server staan, en wou die daarvoor gebruiken. alles werkt als ik het in belgie test.

het probleem:
als ik vanop het werk connecteer naar mijn VPN werkt alles, ik zie mijn hele thuis netwerk. ook tv overal van belgacom speelt dan perfect. outlook werkt echter niet, maar dat boeide mij niet.
toen ik echter in china was, werkte daar niks. google deed het niet, facebook ook niet,....
dus heb ik de raspberry VPN afgezet en mijn windows pc laten overnemen (stond het eerste jaar nog gelukkig samen aan). daarmee werkte dus alles.

sinds een paar maand blokkeren ze ook websites op dynamische IP adressen op mijn werk, en mijn website is er eentje van. ik kan mijn eigen website niet bezoeken van op het werk. dus ik starte mijn VPN. echter daarop heb ik hetzelfde probleem.

mijn VPN is dus ergens slecht geconfigueert, want alle internet traffic gaat nog steeds over de publieke wifi waar ik mij bevind en niet mijn thuisnetwerk.
net zoals ik dus in china voor had, ging alle traffic naar google en facebook over de chinese internet en werd het geblokkeerde. mijn VPN handelt enkel het lokale verkeer af naar mijn thuisnetwerk (server, printer, shared drives...).

nu is het dus DE moment om mijn probleem aan te pakken, want ik heb een geblokkeerde website op het werk die wel toegankelijk moet zijn over VPN.
ik hoef dus niks te configureren vanuit china om daar te kunnen testen, ik kan elke dag testen vanop het werk

Vraag

Alle reacties