Moin!

Eigentlich ganz einfach?
Irgendwie wohl doch nicht, die gängigen Beschreibungen gehen alle davon aus, das man letzlich:

a)den VPN-Tunnelausgang in den NAT(Masquerading)-Router[2] verlegt oder

b)den Router[2] den openvpn-Port auf den Router[3] forwarden lässt, der den Tunnelausgang bereitstellt.

Das ist aber gemogelt! Mein Tunnelausgang muß hinter dem Masquerading-Rechner liegen, ohne auf dem irgendwas zu ändern.

Das funktioniert nicht. Alle VPN-Implementationen gehen davon aus, dass man von beiden Seiten aus jederzeit zur Gegenstelle Kontakt aufnehmen kann, und das erfordert im Falle von NAT zwingend ein Port-Forwarding. Andernfalls könnte die Gegenstelle niemals eine Verbindung zu dir initiiern.

Was ich bislang über VPN gelesen habe, entspricht dein Setup so im Groben der Variante "Road Warrior", weil deine eine Gegenstelle eine dynamische IP hat. Bedenke, dass DynDNS dir nur einen festen DNS-Namen verschafft, aber keine feste IP. VPN arbeitet aber mit IPs. Diese Road Warrior Konstruktion erfordert aber auch mindestens eine feste Gegenstelle, also feste IP und Erreichbarkeit aus dem Internet.

Das einzigste, was ich mir bei deiner Konstruktion denken könnte, wäre ein SSH-Tunnel, der von der nicht-forwardbaren Seite her aufgebaut wird zur DynDNS-Gegenstelle. Das ist dann auch verschlüsselt und nicht belauschbar, aber es ist eben auch nicht von beiden Seiten her on demand aufbaubar, sondern erfordert immer, dass die eine Seite den Kontakt herstellt. Aufgrund welcher Veranlassung das geschieht, ist damit ja nicht gesagt.

- Sven Rautenberg