fundave3
Goto Top

VPN Netzwerk aufbauen

Hallo zusammen.

Ich habe hier schon viel neues kennengelernt nun habe ich mal ein interesanntes Thema für euch
Ich habe derzeit 3 Raspberry PIs im haus die für die verschiedensten Projekte verwendet werden.

Ein PI hängt als VPN Gateway hinter dem Speedport.
Nun möchte ich das alle PIs von aussen erreichbar sind.
Allerdings über ssh.
Jetzt könnte ich sagen klar SSH auf pi 1 auf port 22, pi 2 ssh auf port 23 u.s.w.
Da ich aber noch andere Vserver habe möchte ich diese auch in einem VPN Netz haben.
JEder Server soll über vpn verbunden sein.
Das problem an der sache ist das ich nur für 2 Geräte möchte das diese die verbindung darüber tunneln .
Mein LAptop und mein handy.
Aber alle anderen server sollen nur darüber verbunden sein und nicht ihr Internet darüber laufen lassen.
Das wäre zu viel.
Muss ich dazu was spezielles in der Config eintragen ?

Viele Grüße
Christian

Content-Key: 327098

Url: https://administrator.de/contentid/327098

Ausgedruckt am: 29.03.2024 um 09:03 Uhr

Mitglied: aqui
aqui 21.01.2017 aktualisiert um 21:17:54 Uhr
Goto Top
Nun möchte ich das alle PIs von aussen erreichbar sind.
Kein Thema und im Handumdrehen erledigt !
Da du ja schon einen PI als VPN Server am Laufen hast ist diese Aussage etwas komisch denn dann sollte das ja eigentlich schon gehen...?!
Jetzt könnte ich sagen klar SSH auf pi 1 auf port 22, pi 2 ssh auf port 23 u.s.w.
Wär ja unsinniger Overhead wenn du schon auf einem Pi bist.
Was du machst ist ja ein VPN für Arme, oder ?
VPN für Arme - TCP in SSH tunneln mit Putty
Etwas Frickelei eben durch den TCP 22 Tunnel....
Wenn du dich hinreißen lassen könntest das mit OpenVPN zu lösen wäre vieles einfacher:
https://jankarres.de/2013/05/raspberry-pi-openvpn-vpn-server-installiere ...
Damit hättest du dann einen zentralen VPN Tunnel auf den einen PI in dein gesamtes Netz und kannst dann sämtliche Endgeräte inklusive deiner 2 anderen Pis usw. dort erreichen. Ganz genau so als ob du im lokalen Netz arbeitest.
OVPN Clients gibt es für alle Betriebssysteme und Endgeräte am Markt:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Mitglied: fundave3
fundave3 22.01.2017 um 14:39:53 Uhr
Goto Top
Servus aqui,

Ich sehe schon ich habe mich etwas kompliziert ausgedrückt.
Ich habe ja einen OVPN Server da hast du mir ja bei geholfen.
Nun habe ich in der Server config ja gesagt das der ganze datenverkehr der rein kommt durch den tunnel geht.
Somit habe ich für Handy /Laptop die Öffentliiche IP des VPN Servers.
jetzt kommen meine 3 PIs daher und sollen ebenso in den VPN.
ABER nicht den Datenverkehr tunneln. Heißt das diese die Telekom IP des routers nutzen. (Mist jetzt habe ich mich geoutet.Telekom)
Naja und die 2 anderen Server die ich noch habe sollen in den VPN aber ebenso NICHT den Verkehr tunneln.
Versteht Ihr ?

-Also Handy/Laptop -Verkehr duchr den VPN
-PI/Server1/Server2 - im VPN aber verkehr eigene IP.

Dazu muss sicher irgendwas in der config eingetragen werden
Mitglied: aqui
aqui 22.01.2017 aktualisiert um 15:26:31 Uhr
Goto Top
jetzt kommen meine 3 PIs daher und sollen ebenso in den VPN.
Ja aber das sind sie ja schon längst wenn du VPN Zugriff hast mit deinem Datenverkehr der rein kommt und durch den Tunnel geht.
Damit liegt dir doch dann ganzes lokales Netz dann zu Füßen ! Der tiefere Sinn eines VPN face-wink

Du hast nur mit deinem Schrott Speedport Router ein Problem und das ist dein Knackpunkt !
Deine VPN Clients bekommen ja dann vom OVPN Server eine interne IP. Die IP die in der server.conf Datei mit server 172.16.2.0 255.255.255.0 (Beispiel hier) definiert ist !
Deine 3 anderen Pis haben aber als Default Gateway (Router) ganz sicher den Speedport bzw. dessen IP angegeben, richtig ?
Damit nimmt nun das Unglück seinen Lauf.... face-sad
Dein VPN Client kommt mit einer Absender IP z.B. 172.16.2.10 an bei einem PI der in deinem lokalen Netz ist mit der IP 192.168.1.222 wenn du z.B. mit SSH auf diesen Pi zugreifst.
Die Antwortpakete will der Pi ja nun an den SSH Client im VPN Netz (172.16.2.10) zurückschicken. Dazu "sieht" er in seine Routing Tabelle, denn er "sieht" das die 172.16.2.10 IP natürlich nicht in seinem eigenen Netz liegt.
Da er als Default den Speedport hat schickt er das Paket an den.
Der sieht auch wieder in seine Routing Tabelle um das Ziel 172.16.2.10 zu finden. Hier hat er aber nur die Default Route auf den Provider Router der Telekom. Also schickt er es dahin.
172.16.2.10 ist aber ein privates RFC 1918 IP Netz was im Internet nicht geroutet wird, also schmeisst der Telekom Router das Packet gnadenlos weg !
Fazit für dich: Keine Connectivity auf alle anderen Geräte in deinem lokalen Netzwerk face-sad

Die Lösung wäre kinderleicht:
Eine simple statische Route auf dem Speedport ala Zielnetz: 172.16.2.0, Maske: 255.255.255.0, Gateway: <ip_adresse_vpn_pi> würde das Problem sofort lösen.
Dann sendet der Speedport das 172.16.2.10 Paket eben nicht zum Telekom Router sondern durch diese Route dann richtig an den VPN Pi und der dann zum VPN Client.
Soviel zur einfachen Theorie.
Mit den gruseligen Speedports gibts aber ein Grundproblem: Sie supporten KEINE statischen Routen... face-sad Wie bereits gesagt.. Schrottrouter !

Es gibt aber einen Workaround. Umständlich aber fixt das Problem auch !
Statt auf dem Speedport gibst du die statische VPN Route immer einzeln auf den PIs oder Endgeräten ein die du erreichen willst.
Bei Winblows z.B.:
route add 172.16.2.0 mask 255.255.255 <ip_adresse_vpn_pi> -p
Linux / RasPi
rroute add -net 172.16.2.0/24 gw <ip_adresse_vpn_pi>
Wenn du das dann in die /etc/rc.local vor dem exit0 Kommando packst überlebt sie auch einen Reboot face-wink
Kauf dir mal einen gescheiten Router. Z.B. FritzBox ist allemal besser....und kann statische Routen face-wink
Mitglied: fundave3
fundave3 23.01.2017 um 16:20:06 Uhr
Goto Top
Ahja.

Interesannt.
Die anderen PIs routen dann aber auch ihren gesamten traffic durch den VPN oder?
Bzw wie verhindere ich das?
Die einzigen die ihren datenverkehr durch den VPN routen ist mein Handy und mein Laptop.
Übrigens : Ich bin im 10.8er Netz unterwegs und nicht im 172.
Wird wenig unterschied machen oder?
Mitglied: aqui
aqui 23.01.2017 um 17:14:22 Uhr
Goto Top
Die anderen PIs routen dann aber auch ihren gesamten traffic durch den VPN oder?
Nein !
Wie kommst du darauf ?? Es wird von denen nur VPN Traffic zum Client in den Tunnel geschickt. Logisch, denn die Route sagt ja klar das ausschliesslich nur 172.16.2.0/24 Traffic zum VPN Gateway gesendet wird.
Der Rest geht über den normalen loaklen Speedport ins Internet.
Die Frage wäre obsolet wenn du dir die Routing Tabelle dort dann mal mit netstat -r oder ip route show ansiehst !!
Die einzigen die ihren datenverkehr durch den VPN routen ist mein Handy und mein Laptop.
Du solltest besser dazu sagen: "Aber nur wenn ich mit ihnen von Remote auf mein netz zugreife". Auch logisch denn wenn di im lokalen Netz sind brauchst du kein VPN face-wink
Übrigens : Ich bin im 10.8er Netz unterwegs und nicht im 172.
Ist vollkommen Latte und nur kosmetisch und spielt für die Funktion keine Rolle. War hier nur ein Beispiel, damit es zur o.a. OVPN Server Konfig passte face-wink
Wird wenig unterschied machen oder?
Gar keinen, muss nur zu deiner OVPN Konfig passen face-wink
Mitglied: fundave3
fundave3 23.01.2017 um 19:54:18 Uhr
Goto Top
Stimmt!
Bin ich zuhause habe ich den PI als Standartgateway eingetragen.
Jut
Jetzt habe ich noch Server1 mit Öffentlicher IP x.x.x.x und Vserver2 mit öffentlcher IP y.y.y.y
Binde ich die in den VPN ein so routet der den gesamten traffic.
Kann man das auch ändern ?


PI2&/3 scheinen wohl drinne zusein!

Nur die beiden fehlen noch
Mitglied: aqui
aqui 24.01.2017 um 09:50:28 Uhr
Goto Top
Bin ich zuhause habe ich den PI als Standartgateway eingetragen.
Das ist ja völliger Quatsch !
Dein Internet Router ist dann das "Standardgateway" !!
Kann man das auch ändern ?
Ja, natürlich !
Keinen default Gateway redirect da machen in der Konfig siondern mit push route arbeiten.
Mitglied: fundave3
fundave3 24.01.2017 um 13:53:12 Uhr
Goto Top
Ja natürlich ist der PI dann Router.
Das soll ja auch so sein!
somit muss ich selber keinen tunnel aufbauen , das macht dann der PI für mich!
Und somit habe ich mehr geräte am laufen!
Mitglied: aqui
aqui 26.01.2017 um 15:23:13 Uhr
Goto Top
So langsam hast du den tieferen Sinn eines VPN erfasst face-wink
Nur das du selber keinen Tunnel aufbauen musst ist natürlich falsch, denn DU triggerst ja den VPN Client den Tunnel aufzubauen...
Mitglied: fundave3
fundave3 28.01.2017 um 12:03:37 Uhr
Goto Top
Okay.
Mit den statischen routen mache ich das doch nicht anders?
Außer das die endgeräte doch diese VErbindung dann selber aufbauen oder?
Hab ich dich jetzt falsch verstanden?

Zitat

Statt auf dem Speedport gibst du die statische VPN Route immer einzeln auf den PIs oder Endgeräten ein die du erreichen willst.
Bei Winblows z.B.:
route add 172.16.2.0 mask 255.255.255 <ip_adresse_vpn_pi> -p
Linux / RasPi
route add -net 172.16.2.0/24 gw <ip_adresse_vpn_pi>

Damit habe ich einen PI der die verbindung aufbaut, und die geräte die ich erreichen will setze ich halt dahinter.
Ich muss halt den Gateway nicht ändern.
Mitglied: aqui
aqui 28.01.2017 um 16:34:38 Uhr
Goto Top
Außer das die endgeräte doch diese VErbindung dann selber aufbauen oder?
Nein sie bauen selber keine aktive VPN Verbindung auf. Sie nutzen ganz einfach den bestehenden VPN Tunnel !
Damit habe ich einen PI der die verbindung aufbaut, und die geräte die ich erreichen will setze ich halt dahinter.
Das würde voraussetzen das dein Pi 2 Netzwerk Interfaces hat. Kann man so machen aber "one armed" geht auch.
Letzteres hat dann halt den Nachteil das der Traffic doppelt über das netzwerk Interface geht.
Einmal rein und einmal als VPN Tunnel wieder raus....
Mitglied: fundave3
fundave3 29.01.2017 um 13:46:26 Uhr
Goto Top
Jut dann könnte ich ja eigentlich eine Netzwerkbrücke bauen und in den Tunnel gehen,
Dann würde doch jedes gerät eine IP vom tunnel bekommen oder?
Mitglied: aqui
aqui 29.01.2017 aktualisiert um 14:32:04 Uhr
Goto Top
Uaaarrgh...besser nicht.
OVPN rät selber dringenst davon ab ein Bridging über den VPN Tunnel zu machen.Und das auch aus gutem Grund. Ist auch klar, denn der gesamte Broad- und Multicast Traffic im LAN Netz belastet dann deinen schmalbandigen VPN Tunnel.
Besser gleich vergessen sowas... Denk immer an den goldenen Netzwerker Grundsatz:
"Route where you can, bridge where you must !"

Das sagt doch eigentlich alles, oder ?!
Der Standard ist Routing im OVPN und das sollte man so auch belassen wenn immer möglich. Du hast ja keinerlei Nachteil damit !
Mitglied: fundave3
fundave3 29.01.2017 um 18:45:17 Uhr
Goto Top
Alles klar.

Ich habe es mit deiner VPN Route probiert.
Funktioniert.
Nun beiden noch 2 Server .wie verhindere ich denn das der traffic durch den Tunnel geroutet wird ?
Bzw was muss an der config geändert werden ?
Mitglied: aqui
aqui 30.01.2017 um 12:15:38 Uhr
Goto Top
Nein, muss nix geändert werden.
Wieso willst du denn Traffic verhindern ??
Du willst doch gerade ja von außen per VPN auf dein Netzwerk zugreifen ! Folglich MUSST du denn doch auch Traffic durch den VPN Tunnel routen.
Die Frage ist jetzt irgendwie etwas verwirrend... ?!?
Mitglied: fundave3
fundave3 31.01.2017 aktualisiert um 20:55:34 Uhr
Goto Top
Pass auf

Ich habe doch in der Server config gesagt, das der gesamte Verkehr der von meinem client also Laptop/Handy geht über den VPN Server geleitet werden soll.
Dazu htten wir doch

push "redirect-gateway def1"

benutzt!

Also gehe ich auf google.de, so geht der über den Server.
Ich möchte aber das die 2 Server ihre eigene IP benutzen!
Und nur in der VPN IP erreichbar sind.
Geht das?


Ich habe allerdings ein kleines Problem.
Die Geschwindigkeit ist ziemlich gering.
max 1 MB/s

Hmm ich habe es von einer server-server verbindung versucht.
Dennoch genausolahm

Ich weiß nicht mehr weiter, Ich habe so viel ausprobiert.
sndbuf 0
rcvbuf 0
push "sndbuf 393216"  
push "rcvbuf 393216"  

Hier anbei meine Server config
Villeicht kannst du mir was verraten.
daran liegts nicht.
an den buffer size habe ich mal gespielt ging kurz mal bis 3 MB hoch.
Der Server hat 1 GBit anbintung.


dev tun
proto udp
port 1123
ca /usr/share/easy-rsa/keys/ca.crt
cert /usr/share/easy-rsa/keys/wp-de1.crt
key /usr/share/easy-rsa/keys/wp-de1.key
dh /usr/share/easy-rsa/keys/dh2048.pem
user nobody
group nogroup
server 10.211.10.0 255.255.255.0
persist-key
persist-tun
status /var/log/openvpn-status.log
verb 3
client-to-client
push "redirect-gateway def1 bypass-dhcp"  
#set the dns servers
push "dhcp-option DNS 8.8.8.8"  
push "dhcp-option DNS 8.8.4.4"  
log-append /var/log/openvpn
comp-lzo
duplicate-cn
keepalive 10 120
#tun-mtu 1464
sndbuf 0
rcvbuf 0
push "sndbuf 393216"  
push "rcvbuf 393216"  

Und client

dev tun
client
proto udp
remote ip-adresse 1123
resolv-retry infinite
nobind
persist-key
persist-tun
ca /home/denndsd/VPNs/keys/ca.crt
cert /home/denndsd/VPNs/keys/lenovo.crt
key /home/denndsd/VPNs/keys/lenovo.key
comp-lzo
verb 3
#tun-mtu 1464
sndbuf 0
rcvbuf 0
Mitglied: aqui
aqui 01.02.2017 um 10:24:07 Uhr
Goto Top
Und nur in der VPN IP erreichbar sind. Geht das?
Na klar geht das !!
Über das VPN bist du ja DIREKT mit deinem lokalen LAN verbunden in dem ALLE deine Endgeräte sind und natürlich auch die 2 RasPis.
Da du über dein VPN ja ausnahmslos ALLE Endgeräte erreichen kannst über ihre originale IP Adresse im LAN also ganz genau so als ob du mit dem Rechner direkt im lokalen LAN bist, funktioniert das problemlos.
Das ist übrigens ja wie du weisst genau der tiefere Sinn eines VPNs !!!
Von remote so arbeiten als ob man direkt im LAN wäre !!!
Wo hast du hier ein Problem ?

Übrigens Google DNS als DNS Server zu verwenden solltest du dir besser nochmal überlegen. Sowas machen nur noch völlige Dummies. Google erstellt dann von dir ein Profil mit deinem Kommunikationsgewohnheiten und macht dich so transparent. Wenn du das so willst lass es so.
Wenn dir deine Privatsphäre was wert ist lasse es lieber.
Was die Bandbreite anbetrifft ist die natürlich von deiner Uplink Bandbreite abhängig. xDSL ist nicht symetrisch ! Vergiss das nicht.
Da bei einem VPN ALLE Pakete die über den Tunnel gehen nochmal in einen VPN eingepackt werden ist das sehr rechenintensiv. Die Encryption kommt ja auch noch dazu.
Wenn du also am VPN Gateway eine schwache CPU hast der ggf. auch noch Encryption Hardware fehlt musst du dich nicht wundern was die Performance anbetrifft. Denn da du einen Gateway Redisrect machst fliest bei dir jedes Paket über den Tunnel.
Du solltest also mal auf die CPU Last achten wenn Traffic da ist. Die sagt dann viel aus.
Mitglied: fundave3
fundave3 01.02.2017 um 16:07:57 Uhr
Goto Top
Die CPU langweilt sich. Das ist das problem.
Ich weiß nicht mehr wo ich weiter machen soll.
ICh habe es mit einem Vserver getestet der auf meinen anderen server einen tunnel aufbaut.
Da ist es genauso lahm.
mssfix und mtu habe ich schon optimal eingestellt.