kleinerriese
Goto Top

Openvpn routing für Smart Tv auf raspberry realisieren

Guten Abend,
ich bin oft bei meiner Frau in Italien und möchte auch dort die Mediathek von ZDF gucken.
Leider gibt es Länderbeschränkungen.
Nun war mein Plan einen Openvpn client auf einen Rasberry aufzusetzen der mir den Smart-Tv mit Deutschen Internet versorgt.
Auf meinem Laptop funktioniert so ein Open Vpn -Client. Möchte aber den großen Monitor nutzen.
Außerdem möchte ich nicht das ganze Netzwerk Tunneln sondern nur den Traffic des Tvs geht das?

Wie realisiert man so ein Routing?
Danke lg

Content-Key: 374619

Url: https://administrator.de/contentid/374619

Ausgedruckt am: 19.03.2024 um 05:03 Uhr

Mitglied: aqui
aqui 21.05.2018 um 09:58:52 Uhr
Goto Top
Ja, das klappt natürlich problemlos.
OpenVPN macht sowas schon out of the box wenn du KEIN sog. Gateway Redirect machst, also eine Default Route in den VPN Tunnel.
Ohne Redirect, also mit der ganz normalen OpneVPN Standard Konfig, reichen die normalen Default Settin gs über die Push Kommandos.
Die entsprechenden rRasPi Settings für Server und Client findest du u.a. hier:
https://jankarres.de/2014/10/raspberry-pi-openvpn-vpn-client-installiere ...
bzw. Server:
https://jankarres.de/2013/05/raspberry-pi-openvpn-vpn-server-installiere ...
OpenVPN Grundlagen hier:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Die OpenVPN Settings sind immer gleich und völlig unabhängig von der Hardware und Betriebssystem auf dem sie laufen.
Mitglied: kleinerriese
kleinerriese 21.05.2018 um 13:24:24 Uhr
Goto Top
Zitat von @aqui:

Ja, das klappt natürlich problemlos.
OpenVPN macht sowas schon out of the box wenn du KEIN sog. Gateway Redirect machst, also eine Default Route in den VPN Tunnel.
Was genau heißt das?
Ohne Redirect, also mit der ganz normalen OpneVPN Standard Konfig, reichen die normalen Default Settin gs über die Push Kommandos.
Die entsprechenden rRasPi Settings für Server und Client findest du u.a. hier:
https://jankarres.de/2014/10/raspberry-pi-openvpn-vpn-client-installiere ...
bzw. Server:
https://jankarres.de/2013/05/raspberry-pi-openvpn-vpn-server-installiere ...
OpenVPN Grundlagen hier:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Die OpenVPN Settings sind immer gleich und völlig unabhängig von der Hardware und Betriebssystem auf dem sie laufen.
Wo ich mein Hauptproblem habe wie schaffe ich das nur der Tv das Internet aus dem Tunnel bekommt?
Ich haben den Raspberry mit der Openvpn client config am selben Router hängen wie der der Smart-Tv und meine anderen Netzwerkteilnemer.
Wie konfiguriere ich den Tv und den Rasberry das nur der Traffic vom Tv durch den Tunnel zum Openvpn Server geht?
Ich hoffe ich konnte meine Frage einigermaßen klar stellen.
Danke für die Hilfe
Mitglied: aqui
aqui 21.05.2018 um 16:51:26 Uhr
Goto Top
Was genau heißt das?
Guckst du hier:
https://openvpn.net/index.php/open-source/documentation/howto.html#redir ...
Das ist der Gateway Redirect den du NICHT machst sondern eine stinknormale Standardkonfig nur mit dem push Kommando !
Wo ich mein Hauptproblem habe wie schaffe ich das nur der Tv das Internet aus dem Tunnel bekommt?
Da gibt es 2 Möglichkeiten das zu lösen:
1.)
Über Policy Based Routing (PBR) am Internet Router. Das muss aber dein vorhandenere Internet Router supporten. Bei billigen Consumer Routern oder noch schlimmer den schrottigen Provider Zwangsroutern ist das aber eher selten der Fall.
2.)
Wenn du es über einen Raspberry Pi als Client löst dann nutzt du im Gegensatz zu oben DOCH das REDIRECT. Sprich also du mappst den Raspberry OVPN Client so das er allen Traffic in den Tunnel routet.
Dafür reicht sogar ein Pi Zero mit einem OTG Adapter und einem USB Ethernet Adapter daran für 10 Euro.
Dann nimmst du den TV und vergibst dem TV statt des Internet Router Gateways die IP Adresse des RasPis.
Das TV nimmt dann als Endgerät den RasPi als Default Router der dann den TV Traffic des TVs vollständig in den OVPN Tunnel routet und genau das machst was du willst.
Eigentlich ganz einfach wenn man mal etwas nachdenkt face-wink
Mitglied: kleinerriese
kleinerriese 21.05.2018 um 21:32:26 Uhr
Goto Top
Guten Abend,
ich habe versucht den client auf dem Pi aufzusetzen.
Habe aber leider ein Problem. ich habe zwar versucht meine Client Daten zu verlinken aber der Tunnel wird nicht aufgebaut.
ich habe den folgende Daten verlinkt"ca.crt" "dh2048.pem " "tv_panasonic.conf" "tv_panasonic.crt " "tv_panasonic.key" "tv_panasonic.ovpn".
Ist es Möglich den Tunnel manuel zu starten damit ich sehe was dem Pi nicht gefällt?

Danke für die Hilfe
Lg
Mitglied: 117471
117471 21.05.2018 um 23:25:29 Uhr
Goto Top
Hallo,

warum schließt Du nicht den TV via HDMI als Monitor an den Laptop an?

Gruß,
Jörg
Mitglied: UnbekannterNR1
UnbekannterNR1 22.05.2018 um 07:30:12 Uhr
Goto Top
Sorry für OT aber ich dachte seit Mai sind Länder Sperren für Streaming Anbieter verboten? Halten unsere guten ÖR etwa nicht daran? Ich mein wenn man schon ein Zwangsabo hat sollte es doch den EU Richtlinien entsprechen.


aber vielleicht noch zum Thema: Du könntest auch entgegen deinem ursprünglichen Wunsches einen Layer2 Tunnel aufbauen falls der TV z.b. Keine Konfiguration zulässt. Benötigt aber ebenfalls den USB Ethernet Adapter. Ginge aber auch mit nem kleinen DHCP auf dem Pi und diesen dann als kompletten Router nutzen, natürlich dann nur für den TV
Mitglied: aqui
aqui 22.05.2018 um 08:52:08 Uhr
Goto Top
aber der Tunnel wird nicht aufgebaut.
Dann hast du ja erstmal grundsätzlich ein OpenVPN Problem !!!
Es ist ja logisch das du dieses erstmal lösen musst bevor du weitermachen kannst. Ohne das der OpenVPN Client auf dem RasPi sich nicht an deinem OpenVPN Server anmelden kann, bzw. eine VPN Verbindung aufbauen kann wird auch der komplette Rest ja dann logischerweise scheitern.
Fixe das also ZUERST. Dann machen wir weiter.
HIER steht doch ganz genau was du machen musst um den RasPi als OVPN Client laufen zu lassen:
https://jankarres.de/2014/10/raspberry-pi-openvpn-vpn-client-installiere ...
Da kann man ja nun wahrlich nicht mehr viel falsch machen !!!
Hilfreich wäre hier gewesen wenn du mal das OpenVPN Log bzw. dessen Konfig hier gepostet hättest, dann hätten wir zielführend helfen können statt nur wild rumzuraten face-sad
Ist es Möglich den Tunnel manuel zu starten damit ich sehe was dem Pi nicht gefällt?
Ja natürlich !
Zeigt leider auch das du das oben zitierte Tutorial:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
NICHT gelesen hast face-sad
Das ist aber genau der richtige Weg, OVPN erstmal manuell zu starten um genau zu sehen WO der Fehler ist.
Was benutzt du denn als OVPN Server ??
Mitglied: kleinerriese
kleinerriese 22.05.2018 um 21:05:02 Uhr
Goto Top
Guten Abend,
habe den Tunnel jetzt laufen. Der Fehler lag in der client.conf die Pfad Angaben der crt& pem Files haben gefehlt.

Nun wenn ich in der Konsole meines Pi den Befehl
wget -qO- http://ipecho.net/plain 
ausführe
bekomme ich die Deutsche Ip zurückface-smile

Wenn ich jedoch die Ip meines Raspberry als Gateway meines Fernsehers angebe bekomme ich kein Internetface-sad

Fehlt jetzt noch irgend ein Forwarding?

Danke LG
Mitglied: 117471
117471 22.05.2018 um 21:16:19 Uhr
Goto Top
Hallo,

das NAT / Masquerading fehlt vermutlich noch?!?

Gruß,
Jörg
Mitglied: aqui
aqui 23.05.2018 aktualisiert um 10:14:51 Uhr
Goto Top
Oder vergessen das IPv4 Forwarding im Raspberry zu aktivieren !!!
Das Internet geht nicht ist ja auch mal wieder so eine laienhafte "Killeraussage" face-sad
WAS geht denn nicht ? Vermutlich ist es mal wieder DNS oder sowas...?!
Schliesse doch erstmal einen Test PC an und konfiguriere den mit der IP Adresse des Fernsehers, sprich also lasse den den Fernseher simulieren. Den TV stöpselst du solange raus.
Wenn alles mit dem PC klappt, dann klappts logischerweise auch mit dem TV nachher. Auf dem PC / Laptop hast du bessere Tools zum checken und troubleshooten !

NAT brauchst du NICHT zwingend in dem Netzwerk. Ohne NAT ist dann allerdings eine statische Route im Internet Router fällig due du vermutlich auch vergessen hast ?!
Wenn du so fahrlässig bist und einen öffentlichen VPN Anbieter genommen hast, dann musst du zwangsweise NAT machen auch allein schon aus Eigenschutz !!
Das geht dann so:
sudo iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE

Das o.a. Beispiel geht davon aus das 10.8.0.0 /24 dein internes OVPN Netzwerk ist. Auch dem RasPi kannst du das interne OVPN Netzwerk ganz einfach mit dem Konsolenbefehl ifconfig sehen ! Die IP des tun0 Interfaces ist das OVPN Netzwerk.

IPv4 Forwarding aktivierst du indem du die Zeile net.ipv4.ip_forward= in der Datei /etc/sysctl.conf entkommentierst (# entfernen davor) und dann den RasPi rebootest.

Eins oder beides sollte dann dein Problem lösen.
Vom Test PC machst du dann mal ein ping 8.8.8.8 und checkst ob du so direkte Internet Verbindung hast. Noch sinnvoller wäre ein tracert 8.8.8.8 das dir dann alle einzelnen Routerhops zeigt.
Ob DNS funktioniert sagt dir ein nslookup www.heise.de oder nslookup www.administrator.de oder wenn du auf dem RasPi die DNS Utils installiert hast mit apt-get install dnsutils dann dort ebenfalls nslookup oder dig.
Mitglied: kleinerriese
kleinerriese 24.05.2018 um 20:36:57 Uhr
Goto Top
Zitat von @aqui:

Oder vergessen das IPv4 Forwarding im Raspberry zu aktivieren !!!
Das Internet geht nicht ist ja auch mal wieder so eine laienhafte "Killeraussage" face-sad
Ja ich bin Leihe habe nie was anderes behauptet.
WAS geht denn nicht ? Vermutlich ist es mal wieder DNS oder sowas...?!
Schliesse doch erstmal einen Test PC an und konfiguriere den mit der IP Adresse des Fernsehers, sprich also lasse den den Fernseher simulieren. Den TV stöpselst du solange raus.
Wenn alles mit dem PC klappt, dann klappts logischerweise auch mit dem TV nachher. Auf dem PC / Laptop hast du bessere Tools zum checken und troubleshooten !

Den Tipp habe ich befolgt;)
NAT brauchst du NICHT zwingend in dem Netzwerk. Ohne NAT ist dann allerdings eine statische Route im Internet Router fällig due du vermutlich auch vergessen hast ?!
Kannst du mir das erklären?

Wenn du so fahrlässig bist und einen öffentlichen VPN Anbieter genommen hast, dann musst du zwangsweise NAT machen auch allein schon aus Eigenschutz !!
Ich habe wie im Eingangs Post erwähnt einen eigen Server wo der Openvpn Server drauf läuft.
Das geht dann so: sudo iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE
Das o.a. Beispiel geht davon aus das 10.8.0.0 /24 dein internes OVPN Netzwerk ist. Auch dem RasPi kannst du das interne OVPN Netzwerk ganz einfach mit dem Konsolenbefehl ifconfig sehen ! Die IP des tun0 Interfaces ist das OVPN Netzwerk.

IPv4 Forwarding aktivierst du indem du die Zeile net.ipv4.ip_forward= in der Datei /etc/sysctl.conf entkommentierst (# entfernen davor) und dann den RasPi rebootest.

Eins oder beides sollte dann dein Problem lösen.
Vom Test PC machst du dann mal ein ping 8.8.8.8 und checkst ob du so direkte Internet Verbindung hast. Noch sinnvoller wäre ein tracert 8.8.8.8 das dir dann alle einzelnen Routerhops zeigt.
Ob DNS funktioniert sagt dir ein nslookup www.heise.de oder nslookup www.administrator.de oder wenn du auf dem RasPi die DNS Utils installiert hast mit apt-get install dnsutils dann dort ebenfalls nslookup oder dig.

Habe dies verwendet.


iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables -t nat -A POSTROUTING -o tun0 -j MASQUERADE
*net.ipv4.ip_forward=

Wobei ich den iptable Eintrag in /etc/rc.local eintragen musste da sonst nach einem reboot nix mehr ging.
Ist dies mit /etc/rc.local gut?

Danke für die Hilfe
Mitglied: aqui
aqui 25.05.2018 um 10:38:10 Uhr
Goto Top
Ja ich bin Leihe
Mit "ausleihen" wie in der Bücherei hat das nix zu tun. Guckst du: https://www.duden.de/rechtschreibung/Laie
Kannst du mir das erklären?
Das hiesige Tutorial dazu kann das besser als ich: face-wink
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
Habe dies verwendet.
Das ist FALSCH !
2mal NAT zu machen sowohl auf eth0 als auch tun0 ist Unsinn. Nur tun0 reicht.