Raspberry Pi: VPN

[driesve]

Het zou mij binnenkort goed uitkomen dat ik steeds via een Belgisch ip-adres kan surfen om live-streaming te kunnen bekijken. Ik heb een internetverbinding van Scarlet via de Sagem (snelheid 50/4) ter beschikking. Deze verbinding wordt amper intensief gebruikt. Ik had gedacht aan een Raspberry PI omdat deze ook nog andere mogelijkheden heeft. Bv USB-stick of USB-printer. Ondanks collocatie voor een Raspberry PI bijna gratis is, had ik toch graag alles thuis draaiend gehad.

• Is een raspberry PI (model B) voldoende krachtig om te streaming via VPN? (Ong. 1 à 2 Mbps stream)
• Ik heb een dynamisch ip-adres, maar met dynDNS ed is dat toch geen probleem? Kan dit via de raspberry PI of moet dat via de router (sagem) of andere computer? Ik heb daar geen ervaring mee.

Ik heb nog geen raspberry PI gekocht, maar koop ik best een kaartje waarop het operating system staat geinstalleerd of een leeg kaartje? Ik ken een beetje thuis-tuin-linux (desktop installaties/acties in terminal), maar geen ervaring met installatie van dit soort systemen.

Bedankt!

PS: Ik zou alles bij RS Online kopen, tenzij die levertijd te lang is. Ik zou hem binnen 4 weken moeten hebben.
PS2: Hulp ivm met configuratie zijn ook welkom, maar dat zal eerder iets zijn wanneer ik het bordje in mijn hand heb.

[honda4life]

Ik heb dezelfde configuratie draaien, en ik kan gerust m'n upstream verzadigen met standaard instellingen, ik wil je steeds helpen met "Windows VPN (pptp)" of OpenVPN te configureren.

Krachtig genoeg: jazeker zou ik zeggen
Dynamisch IP levert geen problemen op bij mij, laat dit door de BBOX2 doen, maar dit kan net zo goed door je PI gebeuren.

Kaartje: Gewoon een leeg kaartje kopen, image laden is écht niet moeilijk.
Enkele kaarten geven/gaven problemen, maar je kan vrij gerust zijn. Wil je een snellere / kwalitatieve kaart,... aan u de keuze dan.
RS Online is inderdaad de goedkoopste in België, eventueel bekijk je tweedehands eens, en er zijn ook niet officiële verkopers.

[testertje]

Ook interessant voor mij.
Misschien een handleiding en sticky maken?

[honda4life]

Ik denk dat het aanbod aan how-to's al heel ruim is. Aleen bevatten ze zelden 100% de waarheid en moet je ze een beetje op gevoel samen puzzelen
Wil gerust helpen als je vast zit

[2lan]

Mijn pi is onderweg.
Ik ga deze guide volgen voor de VPN te proberen.
http://unvexed.blogspot.be/2012/08/how- ... d-vpn.html

[honda4life]

pptp is heel gemakkelijk, maar houd er rekening mee dat de kans kleiner is dat dit werkt over bijvoorbeeld hotelwifi.

Ik ben voorstander van OpenVPN achter poort 443 (HTTPS) te draaien, dit kunnen ze nooit/amper fileren, of er kan niet meer naar beveiligde sites gesurft worden

[driesve]

Enkele kaarten geven/gaven problemen, maar je kan vrij gerust zijn. Wil je een snellere / kwalitatieve kaart,... aan u de keuze dan.

Welk kaartje raad je aan? Ik zou minstens 4Gb nemen, maar maar is altijd handig al prijs interessant is.

Ik ga alles via amazon.co.uk bestellen. Ik ben daar trouwe klant en de prijs, inclusief verzending, is niet veel hoger en het wordt ten minste redelijk snel geleverd. De meeste geheugenkaartjes staan ook wel op amazon.co.uk, dus ik ga er waarschijnlijk ineens eentje daar bestellen.

Ik heb al
Raspberry PI
Transparant case
Micro-USB heb ik liggen, enkel nog op zoek naar een usb-poort/lader die krachtig genoeg is (1A ipv 0.5A).

[UBremoved9108]

Hou er rekening mee dat sommige voedingen toch ook problemen blijven geven (ook al zijn ze 1A!).
Ik gebruikte altijd een 1A voeding van HTC (eentje die ik over had voor een telefoonlader).
Gaf steeds reboots...

Heb hem nu aangesloten op de front usb van BGC decoder (V4) en dat werkt perfect. Sluit ik hem echter aan op de 1A voeding van HTC, terug reboots.
Ook reeds meegemaakt met een 750 ma lader van Samsung (750 zou toch ook genoeg moeten zijn me dunkt).
Het is maar een tip, ik heb er lang achter gezocht wat het probleem was en stond op punt om RPI RMA te sturen.

[honda4life]

Een beknopt overzicht werkende/niet werkende en snelheden kaartjes: http://elinux.org/RPi_SD_cards
Maar je kan net zo goed een Aldi kaartje insteken.
Sommige mensen geloven dan een topmerk zoals SanDisk bijvoorbeeld beter omgaat met wear leveling,...
Geheugenkaartjes zijn nu ook de grote kost niet meer hé.

[2lan]

De PI is aangekomen en VPN werkt al.
Het kaartje dat er in nu steekt is een Integral (by Toshiba) 8GB SD (class 10) van de Colruyt van 10euro.
De 8GB Traveler (class 6) van de Aldi boot doch geeft daarna problemen.
Met alles geïnstalleerd is er nog altijd +5GB over.
De voeding is de 2A van RS.

De andere guide's
xmbc
easy: http://michael.gorven.za.net/raspberrypi/xbmc
from source: http://www.raspbian.org/RaspbianXBMC

sealife: http://stevenhickson.blogspot.be/2013/0 ... ry-pi.html
vpn: http://unvexed.blogspot.be/2012/08/how- ... d-vpn.html
lamp: http://www.penguintutor.com/linux/raspberrypi-webserver
mailserver: http://ducky-pond.com/posts/9

[honda4life]

Wat is het nut van een mailserver achter een home router met een geblokkeerde SMTP poort?

[ubremoved_539]

Je zou oa. externe mailboxen kunnen pollen en eventueel consolideren, je eigen webmail server erop draaien, sneller door je mail zoeken, ...

[Sinna]

sealife: http://stevenhickson.blogspot.be/2013/0 ... ry-pi.html

Dat moet seafile zijn ipv. dat attractiepark in Blankenberge

[driesve]

Ondertussen heb ik mijn Raspberry PI reeds ontvangen en geïnstalleerd. Hij heeft een vast ip-adres 192.168.1.200 (Sagem - Scarlet).

Ik zou graag openVPN gebruiken, maar daarvoor moet ik toch eerst iets van dyndns hebben? Welke gratis dienst raden jullie aan? En hoe configureer ik dit?

[gunmaster]

Ik gebruik no-ip wel eens.

Sommige routers ondersteunen dit zelfs en volgensmij kan je het ook op linux gooien

[honda4life]

ik doe dit via de bbox zelf

[driesve]

Ik heb no-ip gebruikt en geinstalleerd op de Raspberry PI. Dit lijkt te werken want wanneer ik naar xxxx.no-ip.biz ga, kom ik op de pagina van de Sagem. (Enkel via intern netwerk)

Ik heb OpenVPN geïnstalleerd met behulp van deze tutorial. Ik zit nog vast met de configuratie. Momenteel heb ik de volgende (vereenvoudige) configuratie

Code: Selecteer alles

# Which local IP address should OpenVPN
# listen on? (optional)
;local a.b.c.d

# Which TCP/UDP port should OpenVPN listen on?
port 443

# TCP or UDP server?
;proto tcp
proto udp

# "dev tun" will create a routed IP tunnel,
# "dev tap" will create an ethernet tunnel.
;dev tap
dev tun

# Windows needs the TAP-Win32 adapter name
# from the Network Connections panel if you
# have more than one.  On XP SP2 or higher,
# you may need to selectively disable the
# Windows firewall for the TAP adapter.
# Non-Windows systems usually don't need this.
;dev-node MyTap

# SSL/TLS root certificate (ca), certificate
# (cert), and private key (key).
ca ca.crt
cert server.crt
key server.key

# Diffie hellman parameters.
dh dh1024.pem

# Configure server mode and supply a VPN subnet
# for OpenVPN to draw client addresses from.
# The server will take 10.8.0.1 for itself,
# the rest will be made available to clients.
# Each client will be able to reach the server
# on 10.8.0.1. Comment this line out if you are
# ethernet bridging. See the man page for more info.
server 10.8.0.0 255.255.255.0

# Maintain a record of client <-> virtual IP address
# associations in this file.  If OpenVPN goes down or
# is restarted, reconnecting clients can be assigned
# the same virtual IP address from the pool that was
# previously assigned.
ifconfig-pool-persist ipp.txt

# Configure server mode for ethernet bridging.
# You must first use your OS's bridging capability
# to bridge the TAP interface with the ethernet
# NIC interface.  Then you must manually set the
# IP/netmask on the bridge interface, here we
# assume 10.8.0.4/255.255.255.0.  Finally we
# must set aside an IP range in this subnet
# (start=10.8.0.50 end=10.8.0.100) to allocate
# to connecting clients.  Leave this line commented
# out unless you are ethernet bridging.
;server-bridge 10.8.0.4 255.255.255.0 10.8.0.50 10.8.0.100

# Configure server mode for ethernet bridging
# using a DHCP-proxy, where clients talk
# to the OpenVPN server-side DHCP server
# to receive their IP address allocation
# and DNS server addresses.  You must first use
# your OS's bridging capability to bridge the TAP
# interface with the ethernet NIC interface.
# Note: this mode only works on clients (such as
# Windows), where the client-side TAP adapter is
# bound to a DHCP client.
;server-bridge

# Push routes to the client to allow it
# to reach other private subnets behind
# the server.
;push "route 192.168.10.0 255.255.255.0"
;push "route 192.168.20.0 255.255.255.0"

Buiten de poort heb ik niet veranderd aan de standaardconfiguratie. ifconfig geeft het volgende

Code: Selecteer alles

tun0      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00  
          inet addr:10.8.0.1  P-t-P:10.8.0.2  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100 
          RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)

In de Sagem staat het volgende ingesteld bij LAN-servers

Aan de firewall en andere instellingen heb ik niet gewijzigd.

Ik geraak momenteel niet verbonden met de VPN-server ("waiting for server response"). Wanneer ik 192.168.1.200 gebruik, kan ik wel een VPN-connectie starten.

Kan er iemand mij verder helpen? Ik ben een halve leek (toch in vergelijking met andere bezoekers).

[honda4life]

inderdaad, wanneer je lokaal naar die naam surft kom je op de router uit, dit is heel normaal hoor (bij prutsrouters dan toch )
Ik zie dat je zowel TCP als UDP hebt staan, in principe zou UDP voldoende moeten zijn, al heb ik daar wel wat problemen met gehad en ben ik overgeschakeld op TCP

[honda4life]

Ik heb no-ip gebruikt en geinstalleerd op de Raspberry PI. Dit lijkt te werken want wanneer ik naar xxxx.no-ip.biz ga, kom ik op de pagina van de Sagem. (Enkel via intern netwerk)

Ik heb OpenVPN geïnstalleerd met behulp van deze tutorial. Ik zit nog vast met de configuratie. Momenteel heb ik de volgende (vereenvoudige) configuratie

Code: Selecteer alles

# Which local IP address should OpenVPN
# listen on? (optional)
;local a.b.c.d

# Which TCP/UDP port should OpenVPN listen on?
port 443

# TCP or UDP server?
;proto tcp
proto udp

# "dev tun" will create a routed IP tunnel,
# "dev tap" will create an ethernet tunnel.
;dev tap
dev tun

# Windows needs the TAP-Win32 adapter name
# from the Network Connections panel if you
# have more than one.  On XP SP2 or higher,
# you may need to selectively disable the
# Windows firewall for the TAP adapter.
# Non-Windows systems usually don't need this.
;dev-node MyTap

# SSL/TLS root certificate (ca), certificate
# (cert), and private key (key).
ca ca.crt
cert server.crt
key server.key

# Diffie hellman parameters.
dh dh1024.pem

# Configure server mode and supply a VPN subnet
# for OpenVPN to draw client addresses from.
# The server will take 10.8.0.1 for itself,
# the rest will be made available to clients.
# Each client will be able to reach the server
# on 10.8.0.1. Comment this line out if you are
# ethernet bridging. See the man page for more info.
server 10.8.0.0 255.255.255.0

# Maintain a record of client <-> virtual IP address
# associations in this file.  If OpenVPN goes down or
# is restarted, reconnecting clients can be assigned
# the same virtual IP address from the pool that was
# previously assigned.
ifconfig-pool-persist ipp.txt

# Configure server mode for ethernet bridging.
# You must first use your OS's bridging capability
# to bridge the TAP interface with the ethernet
# NIC interface.  Then you must manually set the
# IP/netmask on the bridge interface, here we
# assume 10.8.0.4/255.255.255.0.  Finally we
# must set aside an IP range in this subnet
# (start=10.8.0.50 end=10.8.0.100) to allocate
# to connecting clients.  Leave this line commented
# out unless you are ethernet bridging.
;server-bridge 10.8.0.4 255.255.255.0 10.8.0.50 10.8.0.100

# Configure server mode for ethernet bridging
# using a DHCP-proxy, where clients talk
# to the OpenVPN server-side DHCP server
# to receive their IP address allocation
# and DNS server addresses.  You must first use
# your OS's bridging capability to bridge the TAP
# interface with the ethernet NIC interface.
# Note: this mode only works on clients (such as
# Windows), where the client-side TAP adapter is
# bound to a DHCP client.
;server-bridge

# Push routes to the client to allow it
# to reach other private subnets behind
# the server.
;push "route 192.168.10.0 255.255.255.0"
;push "route 192.168.20.0 255.255.255.0"

Buiten de poort heb ik niet veranderd aan de standaardconfiguratie. ifconfig geeft het volgende

Code: Selecteer alles

tun0      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00  
          inet addr:10.8.0.1  P-t-P:10.8.0.2  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100 
          RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)

In de Sagem staat het volgende ingesteld bij LAN-servers

Aan de firewall en andere instellingen heb ik niet gewijzigd.

Ik geraak momenteel niet verbonden met de VPN-server ("waiting for server response"). Wanneer ik 192.168.1.200 gebruik, kan ik wel een VPN-connectie starten.

Kan er iemand mij verder helpen? Ik ben een halve leek (toch in vergelijking met andere bezoekers).

Wil je je scherm delen op skype ofzo, dat zal jouw wat uren zoekwerk besparen.
Zelf heb ik een werkende setup, en bovendien weet je dan waarom mijn configuratie is zoals ze is

[driesve]

Ik zie dat je zowel TCP als UDP hebt staan, in principe zou UDP voldoende moeten zijn, al heb ik daar wel wat problemen met gehad en ben ik overgeschakeld op TCP

Betekent een ";" in de configuratie geen commentaar? Dat zijn gewoon de standaard-instellingen. Daar heb ik niets aan gewijzigd. Qua port-forwarding heb ik gewoon beide toegevoegd, voor de zekerheid.

Wil je je scherm delen op skype ofzo, dat zal jouw wat uren zoekwerk besparen.
Zelf heb ik een werkende setup, en bovendien weet je dan waarom mijn configuratie is zoals ze is

Bedankt voor het aanbod. Op zich wil ik mijn scherm wel delen, maar momenteel komt slecht uit en ik zou vooral ook willen bijleren, en als iemand alles instelt is het bijleren beperkt. Als ik er binnen enkele dagen toch niet uitgeraakt, dan zal ik skype eens installeren . Wat is er zo speciaal aan jouw opstelling?

Als ik mijn poort 443 scan (via http://www.yougetsignal.com/tools/open-ports/) dan geeft hij aan dat poort 443 gesloten is. (Iedere poort trouwens) Ligt dit aan de firewall-instellingen van de Sagem? Hoe kan je die poort open zetten?

[honda4life]

bij het instellen van de ta.key moet je dus een bepaalde "sleutel" meezenden alvorens de poort laat weten dat ze luistert, vandaar dat met behulp van deze sleutel de poort niet gescand kan worden.

Een eerste opmerking die ik maak is, je tutorial is alles behalve compleet
De wiki's van Arch zijn wel goed, maar zijn niet 1/1 toe te passen voor Debian:
https://wiki.archlinux.org/index.php/OpenVPN

[honda4life]

port 1194
Laat ik standaard staan, Router 443 > 1194

proto udp
Gaf wat problemen, niet echt op verder gezocht waarom, probeer evt TCP bij problemen

dh2048.pem
Paranoia modus on, geeft geen storende vertragingen

push "route 192.168.1.0 255.255.255.0"
Range thuisnetwek
push "redirect-gateway def1"
Internet over VPN (is nog geen DNS over VPN!)
push "dhcp-option DOMAIN dyndnsnaam"
push "dhcp-option DNS 10.8.0.1"
Lokaal dns forwarder draaien om DNS over VPN te routeren: DNSMASQ

client-to-client
Clients zichtbaar voor elkaar

tls-auth ta.key 0 # This file is secret
Zie vorige post, niet vergeten bij client

;comp-lzo
Compressie uit, CPU is bottleneck en niet upload? en who cares het datavolume, niet vergeten bij client

user nobody
group nobody
Weet ik het fijne niet van = veiliger?

# and rewritten every minute.
#status openvpn-status.log
SD kaart sparen? > log uit

plugin /usr/lib/openvpn/openvpn-auth-pam.so common-auth
Gebruik users van je OS om in te loggen met wachtwoord, niet vergeten bij client
reneg-sec 0
Niet meer authoriseren, anders kan je elk uur je wachtwoord typen, niet vergeten bij client. er bestaat trouwens een two-form factor, maar dan heb je smartphone en app nodig indien je dit gratis wil.

Voila dat is het belangrijkste,
iptables en routing buiten beschouwen gelaten

[Tomsworld]

Sta je in de Belgacom e-services op het security profiel dat poort 80 443 etc open zet ?

[driesve]

Sta je in de Belgacom e-services op het security profiel dat poort 80 443 etc open zet ?

Ik heb Scarlet en volgens enkele berichten op dit forum blokkeert Scarlet enkel poort 25.

push "route 192.168.1.0 255.255.255.0"
Range thuisnetwek
push "redirect-gateway def1"
Internet over VPN (is nog geen DNS over VPN!)
push "dhcp-option DOMAIN dyndnsnaam"
push "dhcp-option DNS 10.8.0.1"
Lokaal dns forwarder draaien om DNS over VPN te routeren: DNSMASQ

Bedankt! Ik ga dat eens meer in detail bekijken wat dat allemaal doet. DynDNS lijkt mij niet nodig om dat ik no-ip gebruik, of doet dat iets anders?

(Ik heb de komende dagen amper tijd om er verder aan te prutsen, ik kom hier binnen enkele dagen sowieso op terug)

[honda4life]

Echt niet noodzakelijk hoor trouwens.
Maar best wel "netjes" dat je je netwerk kan beschouwen als nickname.no-ip.net ofzo

DNSMASQ bekijken raad ik je ten zeerste aan, wat heb je aan een veilige tunnel als ze bijvoorbeeld je DNS query's kunnen opvangen en weten waar je allemaal geweest bent?

[testertje]

Als n00b in VPN (en andere zaken ) ben ik geïnteresseerd om een vpn op het werk naar mij thuis op te zetten om TV Overal in het weekend te kunnen bekijken.
Is het mogelijk (en indien ja, hoe) om een VPN op te zetten naar thuis en toch de netwerkfunctionaliteiten van het werk te behouden met een Raspberry Pi?

[honda4life]

in theorie is dit mogelijk, maar of je uploadsnelheid dit toelaat is natuurlijk een andere vraag

[driesve]

Is het mogelijk (en indien ja, hoe) om een VPN op te zetten naar thuis en toch de netwerkfunctionaliteiten van het werk te behouden met een Raspberry Pi?

Als het bij mij werkt, wil ik wel een eenvoudige uitleg posten van de stappen die ik ondernomen heb met aanvullingen van andere gebruikers weliswaar.

Echt niet noodzakelijk hoor trouwens.
Maar best wel "netjes" dat je je netwerk kan beschouwen als nickname.no-ip.net ofzo

Ik heb daar voorlopig home getypt want dat is ook de domain van mijn intern netwerk, maar ik zal dat later nog wel proper maken als het werkt.

DNSMASQ bekijken raad ik je ten zeerste aan, wat heb je aan een veilige tunnel als ze bijvoorbeeld je DNS query's kunnen opvangen en weten waar je allemaal geweest bent?

Dat is een goed punt, maar momenteel slaag ik er niet in om mij gewoon in te loggen, tenzij via het rechtstreekse ip-adres 192.168.1.200.

Om dat eens te testen heb ik geprobeerd om mijn ssh-toegang open te zetten. Ik heb de volgende instellingen toegevoegd

Maar ik kan toch niet mijn raspberry pi via ssh bereiken

Code: Selecteer alles

ssh [email protected]
ssh: connect to host xxxxx.no-ip.biz port 22: Connection refused

Heeft dit iets te maken de reden waarom ik niet kan inloggen op m'n VPN? De poort 22 is volgens deze tool ook gesloten.

[testertje]

Thx voor het aanbod om te helpen.
Ik zal er eentje kopen - komt toch altijd van pas

in theorie is dit mogelijk, maar of je uploadsnelheid dit toelaat is natuurlijk een andere vraag

Misschien dat ik het niet snap, of slecht heb uitgelegd, maar ik heb geen behoefte om het netwerk van het werk van thuis uit te bereiken .

Ik ben op het werk en wil TV Overal bekijken en blijven werken.
De reden waarom ik dit vraag, thuis heb ik een VPN abonnement en dan is de verbinding rechtstreeks met de VPN provider.
Het is misschien gemakkelijker dat ik via m'n iPad (wifi) een vpn verbinding leg met thuis ipv de werkpc?

[honda4life]

ssh [email protected] zal nooit werken vanop je interne netwerk.

Zelf heb ik getest met poort 22 TCP en zonder enig probleem, getest met (Scarlet lijn is misschien minder conservatief, probeer eens poort 2222 bijvoorbeeld):
http://www.canyouseeme.org/

in theorie is dit mogelijk, maar of je uploadsnelheid dit toelaat is natuurlijk een andere vraag

Misschien dat ik het niet snap, of slecht heb uitgelegd, maar ik heb geen behoefte om het netwerk van het werk van thuis uit te bereiken .

Ik ben op het werk en wil TV Overal bekijken en blijven werken.
De reden waarom ik dit vraag, thuis heb ik een VPN abonnement en dan is de verbinding rechtstreeks met de VPN provider.
Het is misschien gemakkelijker dat ik via m'n iPad (wifi) een vpn verbinding leg met thuis ipv de werkpc?

Werkt tv overal enkel vanop een Belgacom connectie?
Is je VPN abonnement nog nuttig als je thuis zelf een VPN wil draaien is de eerste vraag die je je moet stellen.
Een tweede vraag is, wat jij download op je ipad/werkpc, moet je dus thuis kunnen uploaden (én downloaden uiteraard).
Geen idee welke bandbreedte je nodig hebt voor tv overal

[driesve]

ssh [email protected] zal nooit werken vanop je interne netwerk.

Dit is dan ook misschien de reden waarom ik nog niet mijn VPN kan bereiken. Ik heb helaas momenteel geen andere verbinding ter beschikking. MoVi is momenteel €0.5/MB en een andere PPPoE-sessie werkt niet. Vanavond ben ik op verplaatsing en kan ik eens proberen in te loggen vanop afstand.

Zelf heb ik getest met poort 22 TCP en zonder enig probleem, getest met:
http://www.canyouseeme.org/

Aja, nu lijkt het wel te werken, gezien de foutmeldingen die ik krijg. De raspberry PI staat momenteel uitgeschakeld omdat ik een netwerkpoort te weinig heb.
Poort 22
"I could not see your service on 81.11.xxx.xxx on port (22). Reason: No route to host."
Poort 80
"I could not see your service on 81.11.xxx.xxx on port (80). Reason: Connection timed out."
Poort 443
"I could not see your service on 81.11.xxx.xxx on port (443). Reason: No route to host."

Ik ben benieuwd of ik vanavond kan inloggen op m'n VPN-ding.

[honda4life]

Heb je geen oud routertje liggen met een WAN-poort? Ideaal voor een nieuwe PPPoE sessie te starten en zulke zaken te testen.
Lastig hé zo iets op punt zetten, inderdaad externe locatie is daarom het "handigste", als je kan configureren met ssh.

Edit:
Voor als het werkt dit eens bekijken: https://www.duosecurity.com/

[driesve]

Heb je geen oud routertje liggen met een WAN-poort? Ideaal voor een nieuwe PPPoE sessie te starten en zulke zaken te testen.

Helaas niet, de voeding is kapot gegaan en ik heb die nooit vervangen. Een PPPoE-sessie starten met de computer zou ook nog werken, maar de laatste keer dat ik dit probeerde lag het volledige netwerk plat. Wellicht heb ik ergens een foutje gemaakt, of de Sagem kon dat niet verwerken. Vandaag is het hier een redelijk kritieke dag voor het internet (ouders in het onderwijs met deadlines voor de punten te uploaden), dus ik ga dat risico vandaag niet nemen.

Lastig hé zo iets op punt zetten, inderdaad externe locatie is daarom het "handigste", als je kan configureren met ssh.

Configureren via ssh is geen enkel probleem, dat heb ik al met veel dingen gedaan. Ik zal eens het wachtwoord van de raspberry pi wijzigen en poort 22 open zetten, en dan een andere locatie opzoeken.

[testertje]

Werkt tv overal enkel vanop een Belgacom connectie?
Is je VPN abonnement nog nuttig als je thuis zelf een VPN wil draaien is de eerste vraag die je je moet stellen.
Een tweede vraag is, wat jij download op je ipad/werkpc, moet je dus thuis kunnen uploaden (én downloaden uiteraard).
Geen idee welke bandbreedte je nodig hebt voor tv overal

Ik ben momenteel op 't werk (Telenet netwerk ) en kan zelfs niet aanmelden bij TV Overal (verkeerde pw/username) alhoewel de login gegevens wel werken via de e-services website. Ik vermoed dus dat dit geblokkeerd wordt.
Ik heb hier gelezen dat er nog personen zijn die een VPN leggen naar hun thuis om TV Overal te bekijken en ik heb nog geen klachten gelezen over bandbreedte (upload) problemen.
De VPN service thuis is om af en toe het downloaden via torrents iets 'veiliger' te laten verlopen (was op jaarbasis een goedkoopje).

Momenteel staat YeloTV (login geleend van m'n ouders ) hier op en dat werkt wel goed. Tot een paar jaar geleden was alles hier van Belgacom en Proximus. De laatste jaren is alles overgezet naar Telenet en Mobistar.

[driesve]

Ik ben nu op een andere locatie, dus kon ik mijn configuratie eens testen vanaf een andere internetverbinding.

• Verbinding met VPN-server maken lukte meteen.
• Pingen naar willekeurige server via ip-adres gaat nu ook (na wijzigen iptables)
• Traceroute via ip-adres werkt nu ook (na toevoegen van extra route)

Huidige situatie
http://74.125.224.72 werkt
http://www.google.com werkt niet
Er is dus duidelijk een DNS probleem volgens mij.

Dit is mijn huidig configuratiebestand

Code: Selecteer alles

port 443
proto udp
dev tun

ca ca.crt
cert server.crt
key server.key
dh dh1024.pem

server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "route 192.168.1.0 255.255.255.0"
push "route 10.8.0.0 192.168.1.200 255.255.255.0"

#push "dhcp-option DOMAIN home"
#push "dhcp-option DNS 192.168.1.1"
push "dhcp-option DNS 208.67.222.222"
push "dhcp-option DNS 208.67.220.220"

client-to-client
keepalive 10 120
;comp-lzo

;user nobody
;group nogroup

persist-key
persist-tun

verb 0

In de eerste fase ga ik gewoon proberen de DNS werkende te krijgen, en daarna mij eens verdiepen in de DNSMASQ, tenzij dat niet moeilijk is.

Weet iemand wat het DNS probleem is? Of ligt dit aan mijn cliënt (Tunnelbrick), want die had vroeger ook DNS problemen?

[honda4life]

je pusht de DNS naar de client, bekijk de DNS op de clientzijde en niet aan serverzijde
(waar deze dns-server buiten je range valt > via gateway?).
Als je zaken zoals google dns pusht werkt het perfect, maar gaat de dns aanvraag niet over VPN, probeer bijvoorbeeld eens 8.8.8.8 te pushen en het zal wel werken.

Om deze reden gebruik je dnsmasq die dns kan forwarden.
Wireshark is natuurlijk handig om eens te kijken wat er net gebeurt

PS: wil je jouw iptables posten?
Ik heb het gevoel dat die bij mij wel nog wat beter/veiliger kunnen

[driesve]

Ik heb het gevoel dat die bij mij wel nog wat beter/veiliger kunnen

Oei, dan moet je niet op mij rekenen. Ik heb voornamelijk veel opgezocht en geprobeerd iets te begrijpen. Ik geef eerlijk toe dat ik nog niet zoveel van iptables snap. Uiteindelijk heb ik enkel deze regel gebruikt (uitvoeren als root)

Code: Selecteer alles

iptables -t nat -A POSTROUTING -s 10.8.0.0/24 ! -d 10.8.0.0/24 -o eth0 -j MASQUERADE

Als je zaken zoals google dns pusht werkt het perfect, maar gaat de dns aanvraag niet over VPN, probeer bijvoorbeeld eens 8.8.8.8 te pushen en het zal wel werken.

Dat had ik al eens getest. Momenteel gebruik ik de ip-adressen van OpenDNS, dat mag toch geen verschil maken met Google?
Misschien ligt het toch aan mijn cliënt-programma. Morgen ga ik verder op onderzoek.

Om deze reden gebruik je dnsmasq die dns kan forwarden.

Daar ga ik mij daarna in verdiepen. In de eerste plaats wou ik gewoon een VPN-server om in het buitenland de livestreaming van Sporza.be te gebruiken. Dus privacy was eerst niet zo belangrijk, maar nu ik toch bezig ben, kan ik het beter ineens goed doen.

[driesve]

Misschien ligt het toch aan mijn cliënt-programma. Morgen ga ik verder op onderzoek.

Ondertussen bevestigt dat het inderdaad aan mijn cliënt-programma lag. Met een ander programma werkt het perfect. Ondertussen ook DNSMASQ geïnstalleerd. Ik zal binnenkort een overzicht maken van de stappen die ik heb doorlopen, misschien heeft nog iemand er iets aan.

Alleen de upload-snelheid slaagt wat tegen. Ik zit momenteel op een 15Mbps/512Kbps verbinding en de VPN-server draait op een 50Mbps/4Mbps verbinding.

Code: Selecteer alles

Download Speed: 3471 kbps (433.9 KB/sec transfer rate)
Upload Speed: 212 kbps (26.5 KB/sec transfer rate)
Latency: 55 ms

Nuja, vermits ik die verbinding voornamelijk ga gebruiken om te kunnen streamen in het buitenland is dat geen probleem. Als er een oplossing bestaat, dan zou dat ook leuk zijn. Of ligt dit aan de beperkingen van de internetverbinding of raspberry pi?

Honda4life en andere gebruikers: bedankt voor de hulp!!

[testertje]

Is die upload niet te traag voor streaming?

[driesve]

Is die upload niet te traag voor streaming?

De streaming van Sporza.be werkte zonder problemen. Qua surfervaring merkte ik geen verschil. Ik heb de VPN-verbinding een uur laten aanstaan zonder dat ik dat doorhad.
Ik vermoed dat er eerder een ander probleem aan de orde was, want als ik een speedtest startte zonder VPN kreeg ik een foutmelding.

@testertje, ik heb al een eerste deel van mijn stappenplan geschreven. Het is momenteel een beetje druk, dus het kan wel nog eventjes duren.