Hallo,
ich habe derzeit ein (für mich) größeres Projekt vor und bräuchte bitte euere Hilfe.

Das Szenario:

Router Archer C7 von TP-Link
Raspberry Pi 2B per Kabel über TP-Link-Switch->Router
2 Android Clients
Der Router und das Pi werden von einem Linux Mint 17.3 Cinammon konfiguriert (das Pi via SSH, der Router vom Mint PC via Desktop/Webgui)

Was ich machen möchte:

- VPN-Server um von außerhalb "anonym" mit den Android-Clients zu surfen etc.
- Das Pi als Datenserver für Fotos und Videos von außen erreichbar machen (ext. HDD ist eine Evo 840 in einem externen USB-Gehäuse)

Nun meine Frage soll ich den DDNS-Dienst (noip.com) besser am Router einrichten (möglichkeit vorhanden und getestet -> würde funktionieren- allerdings nur am Router wird "verbunden angezeigt, clients via Android build-in client bisher keine Verbindung) oder aufs PI ?

Auf dem Pi habe ich mittels diesem Tutorial (https://www.datenreise.de/raspberry-pi-vpn-server-einrichten-anleitung/) den OpenVPN-Server zum laufen bekommen.

● openvpn.service - OpenVPN service
Loaded: loaded (/lib/systemd/system/openvpn.service; enabled)
Active: active (exited) since So 2016-07-03 17:30:04 CEST; 1h 43min ago
Process: 507 ExecStart=/bin/true (code=exited, status=0/SUCCESS)
Main PID: 507 (code=exited, status=0/SUCCESS)
CGroup: /system.slice/openvpn.service


Anpingen des Servers 10.8.0.0 im eingenen LAN geht ins Leere (100% Datenverlust), keine Ahnung wie ich nun weiter vorgehen soll...

Mir graut schon von der Android-Client Einrichtung da es jetzt ja schon hakt :(

Bitte um Hilfe
mfg
Stanger

Anpingen des Servers 10.8.0.0 geht ins Leere (100% Datenverlust), keine Ahnung wie ich nun weiter vorgehen soll...

10.8.0.0 ist keine öffentliche IP und auch wahrscheinlich nicht in deinem privaten Adressbereich (außer du benutzt zufällig 10.0.0.0/8 oder Ähnliches). Siehe auch: https://de.wikipedia.org/wiki/Private_IP-Adresse

EDIT: Du kannst auf dem Pi einfach den DHCP-Client laufen lassen und am C7 einen statischen DHCP-Lease einrichten. Dann bleibt die IP immer gleich und du musst am Pi nichts statisch konfigurieren.

Nun meine Frage soll ich den DDNS-Dienst (noip.com) besser am Router einrichten (möglichkeit vorhanden und getestet -> würde funktionieren- allerdings nur am Router wird "verbunden angezeigt, clients via Android build-in client bisher keine Verbindung) oder aufs PI ?

Ist bei IPv4 egal, weil das sowieso über deinen Router wegen des NATs geht.

10.8.0.0 ist keine öffentliche IP

Ups, da fehlte selbstverständlich im eigenen LAN.

mfg
Stanger

Die TP-Link Router sind meist gut für DD-WRT geeignet, wo man auch OpenVPN zum laufen bringen kann (ab 8MB-Flashspeicher des Routers). Die CA/Zertifikate muss man allerdings manuell auf einem anderen Rechner erstellen (was sowieso empfohlen wird).

Hab selber eine Netz-zu-Netz von meinem DD-WRT geflashten TP-Link TL-1043nd zu einer IPFire-Firewall und das funktioniert erstaunlich gut für son 45€ Plasterouter.

PS: Die OpenVPN-Server-IP ist 10.8.0.1 nach dem Tutorial. Die kannst du natürlich nur anpingen, wenn der OpenVPN-Tunnel steht.

Die TP-Link Router sind meist gut für DD-WRT geeignet, wo man auch OpenVPN zum laufen bringen kann (ab 8MB-Flashspeicher des Routers). Die CA/Zertifikate muss man allerdings manuell auf einem anderen Rechner erstellen (was sowieso empfohlen wird).

Hab selber eine Netz-zu-Netz von meinem DD-WRT geflashten TP-Link TL-1043nd zu einer IPFire-Firewall und das funktioniert erstaunlich gut für son 45€ Plasterouter.

Der 1043ND hat auch einen Chipsatz, der von ath9k angesteuert werden kann. Das ist mit der offenste und beste Treiber für WLAN-Hardware plattformübergreifend. Der C7 braucht aber ath10k und der ist eher nicht so toll. Von Third-Party-Firmwares würde ich mich deshalb erst einmal noch fernhalten. Ein Pi ist sowieso updatetechnisch etwas einfacher zu handhaben und hat bedeutend mehr Leistung.

Hallo,

ich würd einfach das hier (https://jankarres.de/2013/05/raspberry-pi-openvpn-vpn-server-installieren/) machen.

Läuft bei nem Kunden schon seit Monaten problemlos...

cya

BTW:

Routing: Vom VPN ins Netzwerk

Das Linux-System auf dem Raspberry Pi soll den Datenverkehr aus dem VPN ins lokale Netzwerk weiterleiten und zudem noch eine Internetverbindung für die Clients zur Verfügung stellen. Öffnen Sie wieder eine Root-Shell mit
sudo -s
da alle weiteren Befehle wieder Root-Rechte verlangen. Öffnen Sie die Datei „2/etc/sysctl. conf“ mittels
nano /etc/sysctl.conf
im Texteditor, entfernen das Kommentarzeichen „#“ vor der Zeile „#net.ipv4.ip_forward=1“ und aktivieren nach dem Speichern der Datei die Änderung mit diesem Befehl:
sysctl -p /etc/sysctl.conf
Nun muss noch mit dem Paketfilter iptables, der Teil des Linux-Kernels ist, eine Weiterleitung für die VPN-Pakete eingerichtet werden. Mit den beiden Befehlen
iptables -A INPUT -i tun+ -j ACCEPT iptables -A FORWARD -i tun+ -j ACCEPT
erstellen Sie die Regeln für das VPN-Netzwerk-Interface und mit den weiteren drei Befehlen
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -t nat -F POSTROUTING iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE
legen Sie fest, dass die VPN-Clients auch in das lokale Netzwerk und ins Internet kommen. Damit diese Regeln immer gleich automatisch nach dem Start des Raspberry Pi aktiv werden, geben Sie
iptables-save > /etc/iptables.up.rules
ein, um die aktuellen Einstellungen von iptables zu sichern. Erstellen Sie mit
nano /etc/network/if-pre-up.d/ iptables
eine neue Script-Datei, der Sie den Inhalt
#!/bin/bash /sbin/iptables-restore < /etc/ iptables.up.rules
geben und speichern. Jetzt müssen Sie die Datei nur noch mit
chmod +x /etc/network/ if-pre-up.d/iptables