Hi Thomas,
Me too. 
Gehe davon aus, du forwardes auf deiner Fritz!Box UDP Port 1194 auf die LAN IP Adresse des XU4.
Hmm, ich mutmaße einmal, du erreichst deinen VPN Server (XU4) durch den VPN Tunnel unter IP: 10.8.0.1 . Korrekt?
Standardmäßig ist in DietPi openVPN als End-to-End-VPN / Host-to-Host-VPN / Remote-Desktop-VPN konfiguriert.
Was möchtest du gerne erreichen? Ein End-to-Site-VPN / Remote-Access-VPN mit lokalen Internet-Zugriff nur mit Internet-Zugriff nur über den VPN Tunnel ?
Welchen Client Betriebssystem setzt du ein? Windows?
Hier einmal ein Beispiel. Zugriff auf den VPN Server, das LAN am VPN Server und das Internet erfolgt dabei nur über den VPN Tunnel.
Der VPN Client ist ein Windows System.
DietPi_OpenVPN_Client.ovpn (editiert):
client
proto udp
dev tun
#Ip/Domain name of DietPi system, running OpenVPN server.
remote dietpi.wan-ip.dyndns 1194
resolv-retry infinite
nobind
user nobody
group nogroup
persist-key
persist-tun
ns-cert-type server
comp-lzo
verb 3
## VPN Server ist das Gateway für alle Verbindungen
redirect-gateway def1
## Windows Client spezifisch
route-method exe
route-delay 2
## DNS Server im LAN des VPN Servers
dhcp-option DNS 192.168.0.1
<ca>
-----BEGIN CERTIFICATE-----
....
Auf den VPN Server folgend Befehle ausführen, wenn die LAN Schnittstelle eth0 ist:
# alle vorherigen iptables Eintraege entfernen
iptables -F
iptables -X
iptables -t nat -F
## Forwarding u. NAT fuer openVPN Cients
## - VPN Server LAN erreichbar machen
## - Internet ueber das LAN des openVPN Server erreichen
iptables -A INPUT -i tun+ -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -t nat -F POSTROUTING
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE
Die forwarding und NAT Reglen sind nicht persisten, also nach einem reboot des VPN Servers sind diese wieder weg,
Wir wollen aber zuerst nur testen, ob es funktioniert.
Die editierte “DietPi_OpenVPN_Client.ovpn” in die Client VPN Soft importieren und eine VPN Verbindung aufbauen.
Der VPN Server ist jetzt unter IP: 10.8.0.1 und seiner LAN IP z.B. 192.168.0.100 zu erreichen.
LAN IP des DNS Servers u. IP des Default Gateways am VPN Server, im Bsp die 192.168.0.1 , sollte vom Client aus auf einen ping Befehl antworten.
Ein Traceroute vom Client aus sollte jetzt in etwa so aussehen:
C:\Windows\system32>tracert heise.de
Routenverfolgung zu heise.de [193.99.144.80] über maximal 30 Abschnitte:
1 55 ms 56 ms 54 ms 10.8.0.1
2 55 ms 55 ms 55 ms 192.168.0.1
3 * * * Zeitüberschreitung der Anforderung.
....
7 69 ms 66 ms 67 ms te0-0-2-3.c350.f.de.plusline.net [80.81.193.132]
8 77 ms 85 ms 84 ms 82.98.102.5
9 68 ms 67 ms 68 ms 212.19.61.13
10 68 ms 74 ms 74 ms redirector.heise.de [193.99.144.80]
Ablaufverfolgung beendet.
Auf IP-Adresse erfahren sollten jetzt die angezeigten Daten so aussehen, als ob du vom Standort deines VPN Servers auf das Internet zugreifen würdest.
Und funktioniert es bei dir?
Will man die lokale Internetverbindung des Clients zum surfen nutzen, muss man es anders konfigurieren.
Falls es aber nicht gewünscht ist, müsste man nach die iptable Regeln bei jedem Start mit ausführen lassen.
cu
k-plan