Zu diesem Thema noch mal vielen Dank, hat mit dem letzten Hinweis dann gut geklappt.
Damit ich den VPN-Server meiner TrutzBox unter TCP 443 erreichen kann, habe ich dafür nun
(1) die
"server.conf" des OpenVPN-Servers (in den erweiterten Einstellungen unter
"System" >
"File Manager" :
"/ etc / openvpn") wie folgt abgeändert:
(2) zur
"rules" der Shorewall Firewall (in den erweiterten Einstellungen unter
"TrutzBase" >
"Shoreline Firewall" >
"Firewall Regeln (rules)" : "Datei manuell editieren") einen Abschnitt nach dem Muster hinzugefügt:
Code: Alles auswählen
#CUSTOM OPENVPN SETTINGS
ACCEPT net:a.b.c.d/e $FW tcp 1194
ACCEPT net:f.g.h.i/j,k.l.m.n/o $FW tcp 1194
ACCEPT $FW net tcp 1194
Dabei entspricht
a.b.c.d/e dem Adressblock meines heimischen Internetanschlusses(*),
f.g.h.i/j und
k.l.m.n/o (etc.) den Adressblöcken meines Mobilfunk-/WLAN-Hotspot-Providers (für die jeweiligen Adressblöcke siehe
Provider IP Address List).
Natürlich ließen sich hier auch noch weitere Zeilen für weitere Adressblöcke ergänzen. Der Vorteil ist, dass man mit Angabe der Adressblöcke auch gleich ungeliebte Adressbereiche vom VPN-Server ausschließt. Wer öfters mal ins Log seiner Firewall bei angebotenen Server-Diensten geschaut hat, weiß sicher, was ich meine.
(3) die
"*.ovpn" (meines iPhones) nach dem Muster abgeändert:
Code: Alles auswählen
# Are we connecting to a TCP or
# UDP server? Use the same setting as
# on the server.
proto tcp
;proto udp
# The hostname/IP and port of the server.
# You can have multiple remote entries
# to load balance between the servers.
remote my-server.dyndns 443
;remote my-server-2 1194
(4) in den Einstellungen meiner FRITZ!Box eine Portweiterleitung von TCP 443 (WAN) auf TCP 1194 der TrutzBox eingerichtet.
Funktioniert auf diese Weise (anders als die Standardeinstellung mit UDP 1194) bei mir bestens - eben einschließlich der mit unter etwas restriktiv eingestellten WLAN-Hotspots (bspw. der Telekom bei McDonalds, diversen Hotels).
(*) Je nach Router bzw. NAT Reflection kann es auch nötig sein, hier anstelle des Provider-Adressblocks den Adressblock des LAN anzugeben. Bspw. verlangt eine FritzBox von AVM hier den Provider-Adressblock, das USG von Ubiquiti den Adressblock des LAN bzw, die Adresse des USG (idR. 192.168.1.1/32).
Anmerkung: Eine kleine Aktualisierung dieses Beitrags ist
hier zu finden.