Ubuntu 14.04 VPN Server kann nicht aus dem Internet erreicht werden ?

[letaylor1]

Hallo Liebe Com,

Ich habe mir auf meinem Ubuntu 14.04 Server einen VPN Server erstellt, nach dieser Anleitung hier.
Allerdings kann ich nur im Lokalen Netzwerk eine Verbindung aufbauen und nicht aus dem Internet heraus.
Ich habe habe Tage lang gegooglet aber egal was ich gemacht habe er kann einfach keine Verbindung aufbauen.
Ich nutze eine FritzBox 7490, muss ich irgendwelche Ports freigeben oder irgendetwas anderes Beachten ?

Ich bedanke mich schon einmal im Voraus für alle Antworten.

 

[Asghan]

Natürlich musst du Ports freigeben, sonst blockt deine Fritzbox.

 

[letaylor1]

Welche Ports muss ich da genau freigeben ?

 

[Asghan]

die Ports für VPN? Die die du in deinem Server eingestellt hast, den musstest du ja irgendwie konfigurieren.

 

[letaylor1]

Nunja das Problem an der ganze Sache ist das ich für den VPN Server alle Ports freigegeben habe (Exposed Host) und genau deshalb wundert es mich das ich nur im Lokalen Netzwerk eine Verbindung aufbauen kann?

 

[tiash]

Antwortet die IP von außen denn auf einen Ping? Was passiert, wenn du einen Portscan machst, wird der VPN-Port als offen angezeigt?
(Bonusfrage wegen exposed Host: Hast du den Server gescheitert abgesichert? SSH Zugriff beschränkt, IPTables, ...)

 

[Raijin]

Im Tutorial wird IPsec verwendet. Wenn ich das richtig im Kopf habe, läuft IPsec auf UDP 500 bzw. UDP 4500. Da ich aber keine Aktien in IPsec habe, bitte mit Vorsicht genießen. In keinem Falle solltest du "alles" an den Server weiterleiten. Damit machst du alle dort laufenden Dienste zum potentiellen Sicherheitsrisiko (zB schwaches SSH-Passwort), einen unverschlüsselten FTP-Dienst, der eigentlich nur im LAN laufen sollte oder oder oder.. Leite ausschließlich die Ports weiter, die auch wirklich benötigt werden, der Rest wird geblockt. Im Falle eines VPNs wären das zB nur die VPN-Ports, weil man etwaige andere Dienste (wie zB den FTP) anschließend über das VPN nutzen kann als säße man daheim auf der Couch.



Prinzipiell läuft VPN so ab:


VPN-Client verbindet mit VPN-Server

1) Ausgehende Verbindung am Client-PC muss erlaubt sein (also der VPN-Client muss in der Firewall raus dürfen, mindestens auf den beiden Ports)
2) Die Firewall im Internet-Router beim Client-PC muss ebenfalls ausgehende Verbindungen auf den Ports erlauben (bei Heimroutern ist ausgehend in der Regel alles erlaubt)
3) Die Firewall im Internet-Router beim Server muss eingehende Verbindungen auf den Ports erlauben und an den Server weiterleiten
4) Die Firewall im Server muss eingehende Verbindungen auf den Ports erlauben
5) Die Server-Software (der VPN-Dienst) muss Verbindungen von außerhalb des Netzwerks akzeptieren


4 bzw. 5 siehst du unter "iptables" bzw. in der server.conf (oder wie die bei dem VPN-Server auch heißt). Dort steht dann sowas wie allow=local only, allowed hosts=0.0.0.0 oder dergleichen.


Weitere potentielle Fehlerquellen:

1) Du versuchst aus dem eigenen LAN auf die WAN-IP des Routers zuzugreifen. Das unterstützen einige Router nicht. Lösung: Via Smartphone und mobilem Hotspot testen - oder vom Nachbarn/Kumpel.
2) Du sitzt hinter einem Kabel-Anschluss und hast keine eigene öffentliche IPv4, sondern nur eine geteilte IPv4 via DS-Lite.