Trotz OpenVPN kein Durchkommen: Warum ist der Zugriff auf eine lokale IP im Raspberry Pi-Netzwerk nicht möglich?

Die Einrichtung eines OpenVPN-Servers auf einem Raspberry Pi ist für viele technikbegeisterte Nutzer eine großartige Möglichkeit, sicher und flexibel auf ihr Heimnetzwerk zuzugreifen. Ob Sie von unterwegs auf Ihre NAS zugreifen, Smart-Home-Geräte steuern oder einfach nur eine sichere Verbindung herstellen möchten – OpenVPN auf dem Pi ist eine beliebte Lösung. Doch oft stößt man nach erfolgreicher VPN-Verbindung auf ein frustrierendes Problem: Der Zugriff auf andere lokale IPs oder Geräte im Heimnetzwerk ist plötzlich nicht möglich. Das VPN scheint zu funktionieren, aber das Netzwerk bleibt unerreichbar. Wo liegt das Problem?

In diesem umfassenden Artikel tauchen wir tief in die möglichen Ursachen dieses Phänomens ein. Wir beleuchten die häufigsten Fehlerquellen und geben Ihnen detaillierte Anleitungen, wie Sie Ihr Raspberry Pi-Netzwerk über OpenVPN erfolgreich zugänglich machen können. Von Firewall-Regeln über Routing-Probleme bis hin zur korrekten OpenVPN-Konfiguration – wir decken alles ab.

Die Verlockung des OpenVPN auf dem Raspberry Pi

Der Raspberry Pi ist aufgrund seiner geringen Kosten, seines geringen Stromverbrauchs und seiner hohen Flexibilität die perfekte Plattform für einen eigenen VPN-Server. Mit einer Distribution wie Raspberry Pi OS (früher Raspbian) lässt sich OpenVPN relativ einfach installieren und konfigurieren. Das Ziel ist klar: Eine sichere, verschlüsselte Verbindung von einem externen Standort (z.B. Café, Hotel, Freundeskreis) in Ihr Heimnetzwerk. So können Sie Ihre Daten schützen und gleichzeitig auf alle Ressourcen zugreifen, als wären Sie physisch zu Hause. Doch die Praxis zeigt oft, dass die Theorie ihre Tücken hat.

Das Problem verstehen: VPN-Tunnel steht, Netzwerk bleibt unerreichbar

Die typische Situation sieht so aus: Sie haben Ihren OpenVPN-Server auf dem Raspberry Pi eingerichtet, Port-Forwarding auf Ihrem Router konfiguriert und die Client-Konfigurationsdatei heruntergeladen. Wenn Sie sich nun von einem externen Gerät (z.B. Laptop, Smartphone) verbinden, zeigt der OpenVPN-Client an, dass der Tunnel erfolgreich aufgebaut wurde. Sie erhalten eine IP-Adresse aus dem VPN-Subnetz, und der Pi ist über diese IP erreichbar. Versuchen Sie jedoch, andere Geräte in Ihrem Heimnetzwerk – beispielsweise ein NAS unter 192.168.1.100 oder einen Drucker unter 192.168.1.150 – anzupingen oder darauf zuzugreifen, scheitern diese Versuche. Es fühlt sich an, als ob der Weg dorthin versperrt ist.

Dieses Problem ist extrem häufig und resultiert meist aus einer Kombination von Netzwerkkonfigurationen, die oft übersehen werden. Die Hauptverdächtigen sind Firewall-Einstellungen, Routing-Tabellen und manchmal auch fehlerhafte OpenVPN-Server-Konfigurationen selbst.

Die Hauptverdächtigen unter der Lupe

1. Firewall-Regeln (iptables): Der häufigste Übeltäter

Ihr Raspberry Pi, der als OpenVPN-Server fungiert, ist in der Regel mit zwei Netzwerken verbunden: Ihrem lokalen Heimnetzwerk (LAN, z.B. 192.168.1.0/24) und dem virtuellen VPN-Netzwerk (z.B. 10.8.0.0/24). Damit Pakete vom VPN-Netzwerk in Ihr LAN und umgekehrt geleitet werden können, müssen die entsprechenden Firewall-Regeln gesetzt sein. Unter Linux, und somit auch auf dem Raspberry Pi, ist iptables das Standardwerkzeug für die Paketfilterung und das NAT (Network Address Translation).

Die meisten VPN-Probleme dieser Art lassen sich auf fehlende oder falsche iptables-Regeln zurückführen. Es gibt zwei kritische Aspekte:

• IP-Forwarding aktivieren: Der Raspberry Pi muss wissen, dass er als Router agieren und Pakete zwischen verschiedenen Netzwerkschnittstellen weiterleiten soll. Dies ist standardmäßig oft deaktiviert. Sie aktivieren es dauerhaft, indem Sie in der Datei /etc/sysctl.conf die Zeile net.ipv4.ip_forward=1 einkommentieren oder hinzufügen und dann sudo sysctl -p ausführen.
• NAT/MASQUERADE-Regeln: Wenn ein Gerät im VPN-Netzwerk (Ihr Client) versucht, ein Gerät im LAN zu erreichen, muss das LAN-Gerät wissen, wohin es die Antwortpakete senden soll. Ohne NAT (Network Address Translation) sieht das LAN-Gerät die Quell-IP des VPN-Clients (z.B. 10.8.0.x). Da das LAN-Gerät das 10.8.0.0/24-Netzwerk nicht kennt, würde es die Antwortpakete an sein Standard-Gateway senden, welches wiederum nichts mit dem VPN-Netzwerk anfangen kann. Hier kommt MASQUERADE ins Spiel. Es sorgt dafür, dass alle Pakete, die vom VPN-Netzwerk kommen und ins LAN gehen, die Quell-IP des Raspberry Pi (seine LAN-IP) annehmen. Wenn das LAN-Gerät antwortet, schickt es die Pakete an die LAN-IP des Pi, welcher dann das NAT rückgängig macht und die Pakete an den VPN-Client weiterleitet.

Eine typische iptables-Regel für MASQUERADE sieht so aus:

sudo iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE

Hierbei ist 10.8.0.0/24 das VPN-Subnetz und eth0 die Netzwerkschnittstelle Ihres Raspberry Pi, die mit dem LAN verbunden ist (oft ist dies eth0 oder wlan0, je nachdem, wie Ihr Pi mit dem Router verbunden ist). Diese Regel muss nach jedem Neustart des Pi erneut gesetzt werden, es sei denn, Sie speichern Ihre iptables-Konfiguration dauerhaft (z.B. mit iptables-persistent).

2. Routing-Probleme: Der Weg ist das Ziel

Selbst wenn die Firewall korrekt konfiguriert ist, kann es an den Routing-Tabellen haken. Es gibt zwei Hauptbereiche:

• OpenVPN Server-Konfiguration (server.conf): Der OpenVPN-Server muss dem Client mitteilen, welche Routen er kennen soll. Damit der VPN-Client Ihr lokales Netzwerk erreichen kann, muss der Server die Route zum LAN an den Client „pushen”. Dies geschieht mit der Direktive:

  push "route 192.168.1.0 255.255.255.0"

  Ersetzen Sie 192.168.1.0 und 255.255.255.0 durch das korrekte Netzwerk und die Subnetzmaske Ihres Heimnetzwerks.

• Routing auf dem LAN-Router: In den meisten Fällen ist dies nicht notwendig, da die MASQUERADE-Regel auf dem Pi die Quell-IP so ändert, dass der LAN-Router und die LAN-Geräte den VPN-Client als Pi selbst wahrnehmen. Falls Sie jedoch keine NAT verwenden (z.B. in komplexeren Setups oder wenn Sie Client-to-Client-Kommunikation zwischen VPN-Clients und LAN-Geräten ohne NAT möchten), müsste Ihr Heimrouter eine statische Route für das VPN-Netzwerk (z.B. 10.8.0.0/24) über die LAN-IP Ihres Raspberry Pi haben. Für die meisten Heimnetzwerke mit einem einzelnen Raspberry Pi als VPN-Server ist dies jedoch zu kompliziert und die MASQUERADE-Lösung ist die empfohlene.

3. OpenVPN Server-Konfiguration überprüfen

Auch wenn Sie die grundlegenden Einstellungen für OpenVPN vorgenommen haben, gibt es einige Direktiven in der server.conf, die entscheidend sind:

• dev tun oder dev tap: Für die meisten Anwendungsfälle (IP-basiertes Routing) ist dev tun die richtige Wahl. dev tap erstellt eine Ethernet-Bridge und ist komplexer.
• server 10.8.0.0 255.255.255.0: Definiert das VPN-Subnetz. Stellen Sie sicher, dass es sich nicht mit Ihrem LAN-Subnetz überschneidet.
• client-to-client: Wenn Sie möchten, dass sich VPN-Clients gegenseitig erreichen können (nicht direkt für den LAN-Zugriff, aber oft nützlich), müssen Sie diese Option aktivieren.
• push "redirect-gateway def1 bypass-dhcp": Diese Direktive leitet den gesamten Internetverkehr des VPN-Clients durch den VPN-Tunnel. Dies ist für den Zugriff auf lokale IPs nicht zwingend notwendig, kann aber die Diagnose erschweren, wenn sie falsch konfiguriert ist oder mit anderen Routen kollidiert. Wenn Sie nur auf Ihr Heimnetz zugreifen möchten und der normale Internetzugriff über Ihre lokale Verbindung erfolgen soll, sollten Sie diese Zeile auskommentieren oder entfernen.

4. OpenVPN Client-Konfiguration

Der Client muss die vom Server „gepushten” Routen auch akzeptieren. Dies geschieht in der Regel automatisch, wenn die Option pull in der Client-Konfigurationsdatei (.ovpn) vorhanden ist, was standardmäßig der Fall sein sollte. Wenn Sie manuell Routen hinzugefügt haben oder eine ungewöhnliche Konfiguration verwenden, kann es hier zu Problemen kommen.

5. Port-Forwarding auf dem Router

Obwohl dieses Problem meist dazu führt, dass der VPN-Tunnel gar nicht erst aufgebaut werden kann, ist es wichtig, es noch einmal zu überprüfen. Stellen Sie sicher, dass der Port, auf dem Ihr OpenVPN-Server lauscht (Standard ist 1194 UDP), auf Ihrem Router an die lokale IP Ihres Raspberry Pi weitergeleitet wird. Oft wird hier nur UDP konfiguriert, vergessen Sie aber nicht auch TCP zu konfigurieren, falls Sie Ihren Server darauf eingerichtet haben (selten, aber möglich).

6. Subnetting und IP-Adressen

Ein häufiges Missverständnis entsteht durch überlappende Subnetze. Ihr VPN-Subnetz (z.B. 10.8.0.0/24) darf sich NICHT mit Ihrem Heimnetzwerk-Subnetz (z.B. 192.168.1.0/24) oder einem anderen Netzwerk, mit dem der Client verbunden ist, überschneiden. Wenn Sie zum Beispiel versuchen, sich von einem Netzwerk aus zu verbinden, das ebenfalls 192.168.1.0/24 verwendet, wird der Client versuchen, lokale IPs über seine direkte Verbindung zu erreichen und nicht über den VPN-Tunnel.

7. DNS-Probleme

Wenn Sie versuchen, Geräte im lokalen Netzwerk über ihren Hostnamen (z.B. nas.local) anstatt ihrer IP-Adresse zu erreichen, können DNS-Probleme die Ursache sein. Standardmäßig werden DNS-Anfragen des VPN-Clients nicht automatisch an Ihren lokalen DNS-Server (oft Ihr Router) weitergeleitet. Sie können dies beheben, indem Sie in der server.conf die DNS-Server Ihres Heimnetzwerks an den Client „pushen”:

push "dhcp-option DNS 192.168.1.1"

(Ersetzen Sie 192.168.1.1 durch die IP-Adresse Ihres Heimrouters oder eines anderen lokalen DNS-Servers).

8. Lokale Firewalls auf dem Raspberry Pi (UFW)

Neben iptables könnte auch eine höhere Abstraktionsschicht wie UFW (Uncomplicated Firewall) auf Ihrem Raspberry Pi aktiv sein und den Zugriff blockieren. Wenn UFW läuft, müssen Sie entsprechende Regeln hinzufügen, um den VPN-Verkehr zuzulassen und das Forwarding zu erlauben.

sudo ufw allow ssh # falls Sie SSH nutzen
sudo ufw allow 1194/udp # OpenVPN Port
sudo ufw enable
# Zusätzliche UFW-Regeln für Forwarding sind komplexer und erfordern oft Änderungen in /etc/default/ufw und /etc/ufw/before.rules

9. Logging und Debugging

Das wichtigste Werkzeug bei der Fehlersuche ist das Log. Überprüfen Sie die Logs Ihres OpenVPN-Servers (/var/log/openvpn/openvpn-status.log oder das Systemlog, z.B. mit sudo journalctl -u openvpn@server) und die Logs Ihres OpenVPN-Clients. Achten Sie auf Fehlermeldungen, Hinweise auf blockierte Pakete oder unerwartetes Routing-Verhalten. Ein erhöhtes Verbosity-Level (verb 4 oder verb 6) in Ihrer server.conf kann hier sehr hilfreich sein.

Schritt-für-Schritt-Fehlersuche

Um die Fehlersuche systematisch anzugehen, gehen Sie wie folgt vor:

1. Verbindungsstatus prüfen: Stellen Sie sicher, dass der OpenVPN-Tunnel tatsächlich aufgebaut ist und Sie eine IP-Adresse aus dem VPN-Subnetz erhalten haben.
2. IP-Forwarding aktivieren: Überprüfen Sie, ob net.ipv4.ip_forward=1 in /etc/sysctl.conf gesetzt und aktiv ist (cat /proc/sys/net/ipv4/ip_forward sollte 1 ausgeben).
3. Firewall-Regeln (iptables) überprüfen: Führen Sie sudo iptables -t nat -L -v -n und sudo iptables -L -v -n aus. Suchen Sie nach der MASQUERADE-Regel, die Ihr VPN-Subnetz (z.B. 10.8.0.0/24) mit Ihrer LAN-Schnittstelle (z.B. eth0) verbindet. Stellen Sie sicher, dass keine anderen Regeln den Verkehr blockieren (z.B. in der FORWARD-Kette).
4. OpenVPN Server-Konfiguration (server.conf): Stellen Sie sicher, dass die Route zu Ihrem lokalen Netzwerk gepusht wird: push "route 192.168.1.0 255.255.255.0".
5. Testen mit PING: Versuchen Sie vom VPN-Client aus, den Raspberry Pi selbst (seine LAN-IP) anzupingen. Funktioniert das? Dann versuchen Sie, ein anderes Gerät im LAN anzupingen.
6. Traceroute verwenden: Ein traceroute (oder tracert unter Windows) vom VPN-Client zu einer lokalen IP kann Aufschluss darüber geben, wo die Pakete hängen bleiben. Idealerweise sollte der erste Hop die VPN-IP des Raspberry Pi sein.
7. Subnetz-Konflikte ausschließen: Überprüfen Sie, ob das VPN-Subnetz und Ihr lokales LAN-Subnetz unterschiedliche Bereiche verwenden.
8. DNS-Einstellungen: Wenn Sie Hostnamen nicht auflösen können, fügen Sie die push "dhcp-option DNS..."-Regel hinzu.
9. UFW prüfen: Ist UFW aktiv? Deaktivieren Sie es testweise (sudo ufw disable) oder fügen Sie die notwendigen Regeln hinzu.
10. Logging-Level erhöhen: Setzen Sie verb 4 oder verb 6 in Ihrer server.conf und starten Sie den OpenVPN-Server neu, um detailliertere Informationen in den Logs zu erhalten.

Best Practices und Prävention

• Dokumentation: Führen Sie eine Liste aller vorgenommenen Änderungen und Konfigurationen. Das hilft bei der Fehlersuche ungemein.
• Regelmäßige Backups: Sichern Sie Ihre server.conf und alle wichtigen Skripte (z.B. zum Laden der iptables-Regeln).
• Testumgebung: Wenn möglich, testen Sie neue Konfigurationen in einer isolierten Umgebung, bevor Sie sie auf Ihrem Produktivsystem einsetzen.
• Einheitliche Konfiguration: Verwenden Sie für alle Clients und den Server dieselben Protokolle (UDP/TCP) und Ports.
• Sicherheit beachten: Während Sie experimentieren, achten Sie stets auf die Sicherheit. Öffnen Sie nur die Ports, die unbedingt benötigt werden.

Fazit

Das Problem, dass der OpenVPN-Tunnel auf dem Raspberry Pi steht, aber der Zugriff auf das lokale Netzwerk verweigert wird, ist ein klassischer Fall von fehlenden oder fehlerhaften Netzwerkkonfigurationen. In den meisten Fällen liegt die Ursache in unzureichenden Firewall-Regeln (iptables), die das IP-Forwarding und die NAT/MASQUERADE-Funktion nicht korrekt einrichten, oder in fehlenden Routing-Anweisungen in der OpenVPN-Server-Konfiguration. Mit einer systematischen Fehlersuche, dem Verständnis der beteiligten Komponenten und der Beachtung der Logs können Sie dieses frustrierende Problem jedoch erfolgreich lösen.

Der Raspberry Pi bietet eine leistungsstarke und kostengünstige Plattform für Ihr privates VPN. Lassen Sie sich nicht entmutigen, wenn es beim ersten Mal nicht auf Anhieb klappt. Geduld und eine methodische Herangehensweise sind der Schlüssel zum Erfolg. Bald werden Sie von überall her nahtlos auf Ihr Heimnetzwerk zugreifen können, als wären Sie direkt vor Ort.