Netzwerk Traffic über Pi ins VPN

Heute ist Stammtischzeit:
Jeden Donnerstag 20:30 Uhr hier im Chat.
Wer Lust hat, kann sich gerne beteiligen. ;)
  • Hallo Community,

    ich bin verzweifelt. Aktuell gibt es unter MacOS einen Bug bei IKEv2 VPN Verbindungen. Diese werden nach 8 Minuten geschlossen. Ich brauche allerdings eine solche VPN Verbindung sehr dringend, um von zu Hause aus arbeiten zu können. Nun stellt sich mir die Frage, ob es möglich ist einen PI zwischen Mac und Router zu klemmen, der den Traffic dann über das VPN Netzwerk leitet. Wenn ja, wie mache ich sowas am schlausten?

    Beste Grüße und vielen Dank für eure Antworten!

  • Ich brauche allerdings eine solche VPN Verbindung sehr dringend, um von zu Hause aus arbeiten zu können.

    Ist das dann eine VPN-Verbindung (Client-zo-Server) zum Server deines Arbeitgebers?

    Wenn ja, für die Konstellation mit dem PI dazwischen, wäre das dann evtl. eine Site-to-Site-Verbindung. Ist das überhaupt möglich oder zulässig? Hat dein Arbeitgeber keine IT-Abteilung?

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Meine PIs

    PI4B/8GB (border device) OpenBSD 7.4 (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server

    PI3B+ FreeBSD 14.0-R-p3 (arm64): SSH-Serv., WireGuard-Serv., ircd-hybrid-Serv., stunnel-Proxy, Mumble-Serv., ddclient

    PI4B/4GB Bullseye-lite (64bit; modifiziert): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server, botamusique, ample

  • Ja genau, wäre Client to Server. Zulässig wäre das nach Rücksprache. IT Abteilung in diesem Sinne haben wir keine. Ich werde mal schauen was ich unter diesem Begriff bei Google finde. Vielen Dank!

  • Ja genau, wäre Client to Server.

    Naja, Client-to-Server wäre es nicht. Wenn Du die Verbindung mit dem PI machst und mit dem Mac arbeiten willst, musst Du das Heimnetz (oder ein Gerät aus dem Heimnetz) freigeben.

    Evtl. ist strongswan geeignet. Siehe auf dem PI:

    Code
     apt-cache show strongswan

    und im Internet: https://medium.com/the-10x-dev/ho…an-32d4ed034ae2

    oder gleichwertig.

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Meine PIs

    PI4B/8GB (border device) OpenBSD 7.4 (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server

    PI3B+ FreeBSD 14.0-R-p3 (arm64): SSH-Serv., WireGuard-Serv., ircd-hybrid-Serv., stunnel-Proxy, Mumble-Serv., ddclient

    PI4B/4GB Bullseye-lite (64bit; modifiziert): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server, botamusique, ample

  • Du könntest, wenn es eine Zustimmung in der Firma dazu gibt, den PI (oder ein anderes Gerät) einen einen Tunnel in die Firma aufbauen lassen. Wenn du nun den PI als VPN-Router eingerichtet hast, könntest du entweder die IP des PI als Default-Gateway bei deinem Rechner eintragen, dann geht der gesamte Verkehr deines Rechners über diesen Tunnel, oder du könntest eine Route in das Netz deiner Firma auf deinem Rechner eintragen, die als Gateway den PI und nicht deinen Default-Router benennt.

    Damit hättest du einen sogenannten "Split-Tunnel"

    Die Gefahr dabei ist, dass du über deinen Client Schadsoftware in das Netz der Firma einschleppst, denn der Verkehr aus deinem Netz wird wohl nicht so gut über den Firmen-Proxy untersucht, wie der Verkehr von den Clients in der Firma.

    Außerdem können andere Clients in deinem Netz ebenfalls über diesen Tunnel in die Firma gelangen, was bei sehr vielen Firmen "ungern" gesehen wird.

    Eine feste Route in das Netz der Firma kann man entweder auf dem lokalen Gerät einrichten, oder (und dann gilt das wieder für alle Systeme im lokalen Netz bei dir zu Hause) auf dem Router. Das erste erfordert erweiterte Benutzerrechte, das zweite einen Eintrag im Router.

    Hier eine Zeile, wie sie zum Beispiel auf einem Windows-Gerät eingetragen werden müsse.

    Privates Netz: 192.168.178.0/24

    PI im privaten Netz (Gateway in die Firma)_ 192.168.178.2

    Firmennetz: 10.11.12.0/24

    CMD-Fenster öffnen und:

    Code
    route -p add 10.11.12.0 mask 255.255.255.0 192.168.178.2

    Diese Route wäre dann fest eingetragen und würde auch einen Neustart des Rechners überstehen. Ohne das "-p" ist sie nur so lange aktiv, bis der Rechner neu gestartet wird.

    Angezeigt werden bei einem Windows-System die Routen in einem CDM-Fenster mit "route print", gelöscht wird eine statische Route mit "route delete {Ziel}", bei den Beispiel also "route delete 10.11.12.0", die Netzmaske muss dabei dann nicht angegeben werden.

    Computer ..... grrrrrr

Jetzt mitmachen!

Du hast noch kein Benutzerkonto auf unserer Seite? Registriere dich kostenlos und nimm an unserer Community teil!