OpenVPN palvelin ja 4G langaton laajakaista?

  • 17 toukokuu 2020
  • 16 kommenttia
  • 1165 katselukerrat

Onko jotakin teknisiä rajoitteita miksi ei ole mahdollista kodin ulkopuolelta muodostaa yhteys kotona olevaan OpenVPN palvelimeen kun käytössä on Elisan langaton 4G mobiililaajakaista?

Kaiken täytyy tapahtua käyttäen IPv6-protokollaa sillä en ole Elisalta tilannut heidän “julkinen IP”-palveluaan eikä minulla siten ole julkista IPv4-osoitetta käytössä.


16 kommenttia

Käyttäjätaso 7

Elisan.


Jos olet kahlannut kaikki valikot läpi ja tuota Enable IPv6 WAN to LAN toimintoa ei löydy , niin sitten kai on uskottava , että Elisan softassa sitä ei ole.

Tämmöistä se tuppaa olemaan , kun operaattorit tilaavat laitevalmistajilta itselleen brändättyjä softia ja poistattavat mielestään tarpeettomia ominaisuuksia.

Elisan.

Käyttäjätaso 7

Eipä löydy.

 

 


Ohhoh.

Minulla kyllä tuon MAC-suodatuksen kohdalla on juurikin se Enable IPv6 WAN to LAN . Laitteessani on DNA:n softa. Kenen softa sinulla on??

Eipä löydy.

 

 

Käyttäjätaso 7

Juuh-mies kirjoitti:

Ja tosiaan tuo Enable IPv6 WAN to LAN -toiminta on päällä.

Mistä tuo kohta löytyy?

Lisäsetukset » Suojaus » Palomuuri

Juuh-mies kirjoitti:

Ja tosiaan tuo Enable IPv6 WAN to LAN -toiminta on päällä.

Mistä tuo kohta löytyy?

Yritin saada näkymään omaa kotipalvelinta nettiin päin (sama B715 4G-modeemi), mutta luovutin kun en keksinyt enää mitä pitäisi säätää.

Käyttäjätaso 7
Kunniamerkki +3

Totta, kuluttajaliittymiin ei saa kiinteää IPv6-osoitetta. Ja sellaisiakin operaattoreita löytyy, jotka eivät vielä tue IPv6:sta lainkaan!

Kyllä, ddns-palvelu ratkaisee vaihtuvien ip-osoitteiden ongelman.

Kun IPv6:ssa toimitaan julkisilla ip-osoitteilla, huomioithan, että tässä tilanteessa ddns-päivitykset pitää tehdä samalla Rasberry Pi:lla, jossa vpn-palvelukin pyörii.

Modeemin oma ddns-tuki olisi merkityksellinen ainoastaan IPv4 ja osoitemuunnoksen kanssa.

Olen jo testannut IPv6:n toimivuuden ja saankin jo yhteyden kotini laitteeseen SSH:lla sen ulkopuolelta.

Mainiota. Kun ssh toimii, niin openvpn:kin pitäisi toimia heittämällä, etenkin kun sinulla on julkinen IPv6-osoite.

Näin uskonkin. Ainoa mitä epäile on se, kun nuo julkiset IPv6-osoitteet ovat vaihtuvia eikä kiinteää julkista osoitetta käsittääkseni voi saada. Tämänhän ongelman saa kuitenkin helposti hoidettua käyttämällä jonkun palveluntarjoajan DDNS:ää, eikö vain?

Käyttäjätaso 7
Kunniamerkki +3

Olen jo testannut IPv6:n toimivuuden ja saankin jo yhteyden kotini laitteeseen SSH:lla sen ulkopuolelta.

Mainiota. Kun ssh toimii, niin openvpn:kin pitäisi toimia heittämällä, etenkin kun sinulla on julkinen IPv6-osoite.

IPv4 ja osoitemuunnosten kanssa joutui aina vahtimaan, ettei molemmissa päissä ole sama sisäverkon osoiteavaruus käytössä. Kahden saman osoitteisen verkon välillä kun ei voi reitittää.

PPTP alkaa todellakin olla antiikkia. Sen käyttämää RC4 salausta on pidetty turvattomana jo vuodesta 2015. PPTP:n kirjautumisjärjestelyt olivat susi jo syntyessään 1999.

L2TP on pelkkä tunnelointiprotokolla, eikä se sisällä itsessään tiedon salausta.

Käytössäni on Huawei B715. Se tukee IPv6:sta mutta siinä ei ole sisäänrakennettua OpenVPN-palvelinta. Ajatukseni oli toteuttaa tämä palvelin Raspberry Piillä ja PiVPN-ohjelmistolla.

Elisan mobiililaajakaistassa pitäisi olla IPv6 käytössä. Voit sen liittymälläsi testata esim. täällä:

https://test-ipv6.com/

Mitä muuta sitten tarvitaan , että putki toimii , riippuu monesta asiasta kuten @irritus jo edellä kertoi.

En ole perehtynyt B715:n palomuuriin kovin syvällisesti , mutta luultavasti siihen pitää tehdä “reikä” porttiohjauksella tai DMZ:lla tai peräti siltaamalla , mikäli mahdollista , että siltä osin toimii. Operaattorin verkon osuus ei sitten ole omassa hanskassa.


Olen jo testannut IPv6:n toimivuuden ja saankin jo yhteyden kotini laitteeseen SSH:lla sen ulkopuolelta. Ja tosiaan tuo Enable IPv6 WAN to LAN -toiminta on päällä.

Tässä reitittimessä näyttäisi muuten olevan sisäänrakennettu DDNS-tuki, jota voin varmaankin käyttää hyväksi kun luon yhteyden. Kiitokset @irritus ja @Sokrates näistä viesteistä, palaan asiaan kunhan tietyt laitehankinnat löytävät perille ja voin alkaa rakentamaan VPN-yhteyttä.

PS. Tässä B715:ssa on muuten joku sisäänrakennettu VPN-palvelin mutta tässä on valittavina vain LSTP VPN ja PPP VPN -moodit, jotka eivät taida olla yhtä luotettavia protokollia kuin OpenVPN.

Käyttäjätaso 7

luultavasti siihen pitää tehdä “reikä” porttiohjauksella tai DMZ:lla

Juuri mikään laite ei tue IPv6 NAT:ia, joten ei, IPv6 yhteyksille ei tehdä portinohjauksia eikä dmz:taa.

IPv6 yhteksissä ei yleensä käytetä osoitteenmuunnosta. Ne rakennetaan suoraan julkisilla IPv6-osoitteilla. Palomuurista voi kyllä joutua avaamaan portin.

 

Kun tarkemmin ajattelin , niin oikeassa olet.

Se palomuuri kuitenkin saattaa olla kiusana. No Huawei B715:n palomuurissa kyllä näkyy olevan täppä “Enable IPv6 WAN to LAN” ja bridge modekin löytyy. Siis teoriassa sen pitäisi toimia , mutta käytäntö jää nähtäväksi.

Käyttäjätaso 7
Kunniamerkki +3

Elisan mobiililaajakaistassa pitäisi olla IPv6 käytössä. Voit sen liittymälläsi testata esim. täällä:

https://test-ipv6.com/

Näin todellakin kannattaa tehdä. Jos B715 osaa jakaa IPv6-osoitteen Rasberry Pi:lle, testin tulisi mennä kirkkaasti läpi.

Jos testi ei mene läpi, tarkasta, että IPv6 on kytketty päälle B715:ssä ja Rasbianissa, tai mitä käyttöjärjestelmää sitten käytätkään.

luultavasti siihen pitää tehdä “reikä” porttiohjauksella tai DMZ:lla

Juuri mikään laite ei tue IPv6 NAT:ia, joten ei, IPv6 yhteyksille ei tehdä portinohjauksia eikä dmz:taa.

IPv6 yhteksissä ei yleensä käytetä osoitteenmuunnosta. Ne rakennetaan suoraan julkisilla IPv6-osoitteilla. Palomuurista voi kyllä joutua avaamaan portin.

tai peräti siltaamalla

Jos käsiin sattuu modeemi, joka ei osaa yhdistää lähiverkkoa IPv6:lla reitittävässä tilassa, siltaus onkin sitten ainoa toivo saada IPv6 ulos laitteesta.

Onneksi B715 on aika uusi laite. Vanhat modeemit, kuten Teltonika RUT550, eivät saa IPv6:sta tulemaan läpi edes sillattuna.

Käyttäjätaso 7

Käytössäni on Huawei B715. Se tukee IPv6:sta mutta siinä ei ole sisäänrakennettua OpenVPN-palvelinta. Ajatukseni oli toteuttaa tämä palvelin Raspberry Piillä ja PiVPN-ohjelmistolla.

Elisan mobiililaajakaistassa pitäisi olla IPv6 käytössä. Voit sen liittymälläsi testata esim. täällä:

https://test-ipv6.com/

Mitä muuta sitten tarvitaan , että putki toimii , riippuu monesta asiasta kuten @irritus jo edellä kertoi.

En ole perehtynyt B715:n palomuuriin kovin syvällisesti , mutta luultavasti siihen pitää tehdä “reikä” porttiohjauksella tai DMZ:lla tai peräti siltaamalla , mikäli mahdollista , että siltä osin toimii. Operaattorin verkon osuus ei sitten ole omassa hanskassa.

Kyllä, IPv6:lla saat homman toimimaan ilman julkisen IPv4-osoitteen tilaamista, mutta sitten koko ketjun VPN-palvelimesta VPN-asiakkaaseen tulee tukea IPv6:sta.

Jos menet vaikka nettikahvilaan, jolla on IPv4-yhteys, niin heidän langattoman lähiverkkonsa kautta et saa yhteyttä kotiisi.

Itse tunnelin sisällä toki kulkee myös IPv4-liikenne. Kun kytket läppärisi IPv6-verkkoon ja avaat vpn-yhteyden kotiisi, pääset seuraamaan myös IPv4-valvontakameroita.

Huomioithan, että useissa 4G-reitittimissä on puutteita IPv6-toimivuuden suhteen. IPv6 tuki voi tyssätä ulkoverkon puolelle, jolloin lähiverkkosi toimii pelkästään IPv4:llä. Kannattaa siis valita 4G-reititin, jossa on sisäänrakennettu OpenVPN-palvelin.

Käytössäni on Huawei B715. Se tukee IPv6:sta mutta siinä ei ole sisäänrakennettua OpenVPN-palvelinta. Ajatukseni oli toteuttaa tämä palvelin Raspberry Piillä ja PiVPN-ohjelmistolla.

Käyttäjätaso 7
Kunniamerkki +3

Kyllä, IPv6:lla saat homman toimimaan ilman julkisen IPv4-osoitteen tilaamista, mutta sitten koko ketjun VPN-palvelimesta VPN-asiakkaaseen tulee tukea IPv6:sta.

Jos menet vaikka nettikahvilaan, jolla on IPv4-yhteys, niin heidän langattoman lähiverkkonsa kautta et saa yhteyttä kotiisi.

Itse tunnelin sisällä toki kulkee myös IPv4-liikenne. Kun kytket läppärisi IPv6-verkkoon ja avaat vpn-yhteyden kotiisi, pääset seuraamaan myös IPv4-valvontakameroita.

Huomioithan, että useissa 4G-reitittimissä on puutteita IPv6-toimivuuden suhteen. IPv6 tuki voi tyssätä ulkoverkon puolelle, jolloin lähiverkkosi toimii pelkästään IPv4:llä. Kannattaa siis valita 4G-reititin, jossa on sisäänrakennettu OpenVPN-palvelin.

Käyttäjätaso 5
Kunniamerkki +1

Onko jotakin teknisiä rajoitteita miksi ei ole mahdollista kodin ulkopuolelta muodostaa yhteys kotona olevaan OpenVPN palvelimeen kun käytössä on Elisan langaton 4G mobiililaajakaista?

Kaiken täytyy tapahtua käyttäen IPv6-protokollaa sillä en ole Elisalta tilannut heidän “julkinen IP”-palveluaan eikä minulla siten ole julkista IPv4-osoitetta käytössä.


pitäisikö vastata että kysymyksesi silältää vastauksen itsessään.

on oikeastaan jotain lisättävää. viime kädessä kysymys on ipv4 numeroiden vähemmyydestä joita on noin 4 miljardia, tosin julkiseen ip-käyttöön ei voi käyttää kaikkia 4:ää miljardia. tätä on lähdetty paikkaamaan nat:lla (network address translation), joka useimmiten estää sisään tulevat yhteydet. useimmissa tilanteissa nat:ssa on useita lähi-ip:itä yhtä julkista ip:tä kohden.

Osallistu keskusteluun