Ich habe gerade das folgende Setup auf einem Raspberry Pi v3 installiert, seine IP ist 192.168.1.2:
- Zuerst habe ich PiHole installiert
- Dann habe ich PiVPN installiert
- Eine Anpassung vorgenommen an
/etc/openvpn/server.conf: Ich habe das Vorhandene auskommentiertdhcp-optionsund hinzugefügtpush "dhcp-option DNS 192.168.1.2", wo192.168.1.2sich die PiHole_IP befindet - Ich habe ein Zertifikat für mein Telefon erstellt
Ich kann von meinem Telefon aus eine Verbindung zu meinem VPN herstellen, aber wenn ich versuche, eine Website zu öffnen, erhalte ich keine Antwort. Wenn ich versuche, einen Client im LAN zu finden, erhalte ich ebenfalls keine Antwort.
Das Folgende ist das Protokoll, das aus der Open-VPN-App meines Telefons stammt:
2018-02-10 14:02:41 1
2018-02-10 14:02:41 ----- OpenVPN Start -----
OpenVPN core 3.2 ios arm64 64-bit PT_PROXY built on Oct 3 2018 06:35:04
2018-02-10 14:02:41 Frame=512/2048/512 mssfix-ctrl=1250
2018-02-10 14:02:41 UNUSED OPTIONS
4 [resolv-retry] [infinite]
5 [nobind]
6 [persist-key]
7 [persist-tun]
10 [verify-x509-name] [server_HASH] [name]
14 [verb] [3]
2018-02-10 14:02:41 EVENT: RESOLVE
2018-02-10 14:02:41 Contacting [MY_EXTERNAL_IP]:1194/UDP via UDP
2018-02-10 14:02:41 EVENT: WAIT
2018-02-10 14:02:41 Connecting to [MY_DNS_NAME]:1194 (MY_EXTERNAL_IP) via UDPv4
2018-02-10 14:02:41 EVENT: CONNECTING
2018-02-10 14:02:41 Tunnel Options:V4,dev-type tun,link-mtu 1570,tun-mtu 1500,proto UDPv4,comp-lzo,cipher AES-256-CBC,auth SHA256,keysize 256,key-method 2,tls-client
2018-02-10 14:02:41 Creds: UsernameEmpty/PasswordEmpty
2018-02-10 14:02:41 Peer Info:
IV_GUI_VER=net.openvpn.connect.ios 3.0.2-894
IV_VER=3.2
IV_PLAT=ios
IV_NCP=2
IV_TCPNL=1
IV_PROTO=2
IV_LZO_STUB=1
IV_COMP_STUB=1
IV_COMP_STUBv2=1
IV_AUTO_SESS=1
2018-02-10 14:02:42 VERIFY OK : depth=1
cert. version : 3
serial number : A7:A9:F2:46:05:5B:BD:D8
issuer name : CN=ChangeMe
subject name : CN=ChangeMe
issued on : 2018-10-10 16:04:51
expires on : 2028-10-07 16:04:51
signed using : RSA with SHA-256
RSA key size : 4096 bits
basic constraints : CA=true
key usage : Key Cert Sign, CRL Sign
2018-02-10 14:02:42 VERIFY OK : depth=0
cert. version : 3
serial number : 01
issuer name : CN=ChangeMe
subject name : CN=server_HASH
issued on : 2018-10-10 16:05:10
expires on : 2028-10-07 16:05:10
signed using : RSA with SHA-256
RSA key size : 4096 bits
basic constraints : CA=false
key usage : Digital Signature, Key Encipherment
ext key usage : TLS Web Server Authentication
2018-02-10 14:02:42 SSL Handshake: TLSv1.2/TLS-ECDHE-RSA-WITH-AES-256-GCM-SHA384
2018-02-10 14:02:42 Session is ACTIVE
2018-02-10 14:02:42 EVENT: GET_CONFIG
2018-02-10 14:02:42 Sending PUSH_REQUEST to server...
2018-02-10 14:02:42 OPTIONS:
0 [dhcp-option] [DNS] [192.168.1.2]
1 [block-outside-dns]
2 [redirect-gateway] [def1]
3 [route-gateway] [10.8.0.1]
4 [topology] [subnet]
5 [ping] [1800]
6 [ping-restart] [3600]
7 [ifconfig] [10.8.0.2] [255.255.255.0]
8 [peer-id] [0]
9 [cipher] [AES-256-GCM]
2018-02-10 14:02:42 PROTOCOL OPTIONS:
cipher: AES-256-GCM
digest: SHA256
compress: COMP_STUB
peer ID: 0
2018-02-10 14:02:42 EVENT: ASSIGN_IP
2018-02-10 14:02:42 NIP: preparing TUN network settings
2018-02-10 14:02:42 NIP: init TUN network settings with endpoint: MY_EXTERNAL_IP
2018-02-10 14:02:42 NIP: adding IPv4 address to network settings 10.8.0.2/255.255.255.0
2018-02-10 14:02:42 NIP: adding (included) IPv4 route 10.8.0.0/24
2018-02-10 14:02:42 NIP: redirecting all IPv4 traffic to TUN interface
2018-02-10 14:02:42 NIP: adding DNS 192.168.1.2
2018-02-10 14:02:42 Connected via NetworkExtensionTUN
2018-02-10 14:02:42 LZO-ASYM init swap=0 asym=1
2018-02-10 14:02:42 Comp-stub init swap=1
2018-02-10 14:02:42 EVENT: CONNECTED MY_DNS_NAME.com:1194 (MY_EXTERNAL_IP) via /UDPv4 on NetworkExtensionTUN/10.8.0.2/ gw=[/]
Dies ist das server.conf, was ich leicht geändert habe, indem ich DHCP-Optionen wie oben angegeben hinzugefügt/entfernt habe:
dev tun
proto udp
port 1194
ca /etc/openvpn/easy-rsa/pki/ca.crt
cert /etc/openvpn/easy-rsa/pki/issued/server_HASH.crt
key /etc/openvpn/easy-rsa/pki/private/server_HASH.key
dh none
ecdh-curve secp384r1
topology subnet
server 10.8.0.0 255.255.255.0
# Set your primary domain name server address for clients
#push "dhcp-option DNS 1.1.1.1"
#push "dhcp-option DNS 1.0.0.1"
push "dhcp-option DNS 192.168.1.2"
# Prevent DNS leaks on Windows
push "block-outside-dns"
# Override the Client default gateway by using 0.0.0.0/1 and
# 128.0.0.0/1 rather than 0.0.0.0/0. This has the benefit of
# overriding but not wiping out the original default gateway.
push "redirect-gateway def1"
client-to-client
keepalive 1800 3600
remote-cert-tls client
tls-version-min 1.2
tls-crypt /etc/openvpn/easy-rsa/pki/ta.key
cipher AES-256-CBC
auth SHA256
compress lz4
user nobody
group nogroup
persist-key
persist-tun
crl-verify /etc/openvpn/crl.pem
status /var/log/openvpn-status.log 20
status-version 3
syslog
verb 3
#DuplicateCNs allow access control on a less-granular, per user basis.
#Remove # if you will manage access by user instead of device.
#duplicate-cn
# Generated for use by PiVPN.io
Außerdem kann ich sehen, dass PiHole Anfragen von IP 10.0.8.2 erhält, die nicht blockiert werden. Ich bin mir nicht sicher, wo ich mit der Fehlersuche beginnen soll und freue mich über Hinweise und Anleitungen :-)
Antwort1
Neben dem Entfernen der standardmäßigen Google DNS-Server und derpush "dhcp-option DNS 192.168.1.2"Inserver.conf, was Sie bereits getan haben, gehen Sie wie folgt vor:
Gehen Sie zu
/etc/dnsmasq.dund erstellen Sie eine neue Datei, zum Beispielbenutzerdefiniert.conf(sudo nano custom.conf) mit folgendem Inhalt:listen-address=127.0.0.1, 192.168.1.2, 10.8.0.1Wo192.168.1.2ist die Adresse Ihres Pi-hole DNS und10.8.0.1ist das PiVPN-Gateway.
Dadurch wird sichergestellt, dass beim Aktualisieren von Pi-hole die Änderungen an den anderen Konfigurationsdateien nicht überschrieben werden.
Starten Sie den OpenVPN-Dienst neu, indem Sie
sudo service openvpn restart
Wenn Sie jetzt von Ihren Clients aus eine Verbindung zum PiVPN herstellen, sollten Sie auf das Internet zugreifen können und Pi-Hole sollte alle Anzeigen filtern.