Zum Inhalt

Raspberry Pi 1 (rpp1) — VPN-Gateway Dokumentation

Hostname: rpp1 Stand: 19. Februar 2026

Hardware

Komponente Details
Modell Raspberry Pi 1 Model B (armv6l)
RAM 427 MB
Speicher 15 GB SD-Karte (mmcblk0)
Netzwerk Ethernet (eth0)

Speicherbelegung

Partition Größe Belegt Frei Verwendung
/dev/mmcblk0p2 (/) 15 GB 4,9 GB (37%) 8,6 GB System
/dev/mmcblk0p1 (/boot) 510 MB 106 MB 405 MB Boot-Partition

Betriebssystem

Eigenschaft Wert
OS Raspbian GNU/Linux 13 (trixie)
Kernel 6.12.47+rpt-rpi-v6 (armv6l)
Swap 426 MB (SD-Karte)

Zweck

Das System dient ausschließlich als VPN-Gateway für das CreativeKirche-Netzwerk. Es baut einen OpenVPN-Tunnel zur Sophos XGS Firewall auf und ermöglicht dem Monitoring-Pi (raspip5) den Zugriff auf die Standort-Netze (10.128.30.x und 10.128.40.x).

Netzwerk

Interface IP-Adresse Funktion
eth0 192.168.178.67/24 LAN (FritzBox-Netz)
tun0 10.244.2.130/24 OpenVPN-Tunnel

Routing

Ziel Gateway Interface Beschreibung
0.0.0.0/1 10.244.2.129 tun0 Gesamter Traffic über VPN
128.0.0.0/1 10.244.2.129 tun0 Gesamter Traffic über VPN
192.168.178.0/24 direkt eth0 Lokales LAN
213.168.82.179 192.168.178.10 eth0 VPN-Server (Ausnahme)

Hinweis: Das Routing leitet den gesamten Traffic über den VPN-Tunnel (Full-Tunnel-Modus). Nur der VPN-Server selbst (213.168.82.179) und das lokale LAN werden direkt geroutet.

DNS

  • Primär: 192.168.178.10 (FritzBox)
  • IPv6: fdea:beaa:bee:0:464e:6dff:fec0:3fd0, 2a0a:a545:c009:0:464e:6dff:fec0:3fd0

VPN-Konfiguration (OpenVPN)

Eigenschaft Wert
Service openvpn-client@sck.service
Config-Datei /etc/openvpn/client/sck.conf
Credentials /etc/openvpn/client/credentials
Remote vpn.creative-kirche.de:7443 (TCP)
Cipher AES-128-CBC
Auth SHA256
Zertifikat-CN Appliance_Certificate_qJG70H7bEK3hXSj
Client-CN ankn_B3CB1EF9C5D3
Status active (running), autostart enabled

Zertifikat-Gültigkeit

Zertifikat Gültig bis
CA 31.12.2036
Client 31.12.2036

IP-Forwarding & NAT

IP-Forwarding ist aktiviert (/etc/sysctl.d/99-ipforward.conf):

net.ipv4.ip_forward=1

iptables-Regeln (persistent via netfilter-persistent)

NAT (POSTROUTING):

-A POSTROUTING -o tun0 -j MASQUERADE

→ Traffic aus dem LAN wird beim Weiterleiten über den VPN-Tunnel geNATtet.

Filter (FORWARD):

-A FORWARD -i eth0 -o tun0 -j ACCEPT
-A FORWARD -i tun0 -o eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT

→ LAN-Geräte dürfen durch den Tunnel, Rückantworten werden durchgelassen.

Datenfluss

raspip5 (192.168.178.199)
  → rpp1 eth0 (192.168.178.67)
    → NAT/MASQUERADE
      → rpp1 tun0 (10.244.2.130)
        → VPN-Tunnel (vpn.creative-kirche.de:7443)
          → Sophos XGS Firewalls
            → 10.128.40.x / 10.128.30.x

Laufende Services

Dienst Funktion Port
openvpn-client@sck VPN-Tunnel zur CreativeKirche
node-exporter Prometheus Metriken 9100
ssh Remote-Zugang 22
NetworkManager Netzwerkverwaltung
cron Cronjobs

Deaktivierte Services (19.02.2026)

Folgende unnötige Services wurden deaktiviert um RAM zu sparen:

Dienst Grund
cups, cups-browsed Kein Drucker angeschlossen
lightdm Kein Monitor angeschlossen
ModemManager Kein Modem
avahi-daemon mDNS nicht benötigt
colord Farbprofilverwaltung nicht benötigt
nfs-blkmap, rpcbind Kein NFS

Zugriff

Methode Befehl
SSH von raspip5 ssh ak@192.168.178.67
SSH-Key ed25519 von raspip5 hinterlegt

Abhängigkeiten

Der rpp1 ist kritisch für das Monitoring: - Ohne VPN-Tunnel kann raspip5 die Standort-Netze (10.128.30.x/40.x) nicht erreichen - SNMP-Abfragen an Sophos XGS Firewalls und WLAN APs gehen durch diesen Tunnel - Blackbox-Probes aus dem 40er-Netz laufen über den Remote-Blackbox-Exporter auf dem Salto-Server, der ebenfalls über diesen Tunnel erreichbar ist

Bei Ausfall

  1. Prometheus-Alerts für alle Standort-Ziele feuern (ICMP, DNS, HTTP, SNMP)
  2. SSH auf rpp1 prüfen: ssh ak@192.168.178.67
  3. VPN-Status: sudo systemctl status openvpn-client@sck
  4. Tunnel prüfen: ip addr show tun0
  5. Neustart VPN: sudo systemctl restart openvpn-client@sck

Erstellt: 19.02.2026