Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWünsch Dir wasWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

2 Netzwerke miteinander verbinden über OpenVPN

Mitglied: Heinz189

Heinz189 (Level 1) - Jetzt verbinden

05.04.2020 um 12:55 Uhr, 584 Aufrufe, 12 Kommentare

Hallo zusammen,

ich wollte gerne unser Zuhause mit dem Büro per VPN verbinden.

Hierzu hätte ich ein Paar Fragen.

1. Unser Büro nutzt das Gemeinschaftsinternet. Wir hängen mit einem einfachen TP Link Router 841N (DD-WRT) an einer Fritzbox welche mit dem Internet verbunden ist. Unser Router läuft im AP Modus.

2. In der Wohnung ein Vodafone Kabelmodem. Daran hängt ein TP Link WDR 4300 (zur Zeit noch kein DD-WRT). Zur Zeit ist dieser Aufbau nötig um eine IPV4 zu bekommen.

Ich benötige ja nun einen OpenVPN Sever. Weiß hier jemand ob ich mit dem TP Link WDR 4300 einen OpenVPN Server betreiben kann. Auf dem TP Link 841N kann man soweit ich weiß nur einen OpenVPN Client einrichten. Zum 4300 habe ich leider keine verlässliche Info gefunden.

Müsste ich an der Fritzbox etwas einstellen z.B. Porterweiterung etc. Meine Einstellungsmöglichkeiten hier sind leider sehr begrenzt, da ja nicht mein Router.

Danke und bleibt Gesund.
Mitglied: certifiedit.net
05.04.2020 um 13:10 Uhr
Hallo Heinz,

je nach Konstellation des Gemeinschaftsinternet (mit wem) im Büro solltest du dir Gedanken machen, worauf dies abzielen soll. Ferner ist die HW Ausstattung nun nicht wirklich prickelnd.

Im Gegenteil darf man sicher fragen, was du mit der VPN bezwecken möchtest.

Grüße
Bitte warten ..
Mitglied: Heinz189
05.04.2020, aktualisiert um 13:22 Uhr
Im Gegenteil darf man sicher fragen, was du mit der VPN bezwecken möchtest.

Ich habe zu Hause ein NAS welches ich auch vom Büro aus erreichen möchte. Außerdem möchte ich auch die Möglichkeit haben vom Büro zu Hause zu drucken und umgekehrt.

je nach Konstellation des Gemeinschaftsinternet (mit wem) im Büro solltest du dir Gedanken machen, worauf dies abzielen soll.

Das verstehe ich leider nicht richtig.

Danke
Bitte warten ..
Mitglied: certifiedit.net
05.04.2020, aktualisiert um 13:25 Uhr
möchtest du, dass die jeder aus dem Gemeinschaftsbüro erreichen kann? Denke eher nicht
Bitte warten ..
Mitglied: Heinz189
05.04.2020 um 13:30 Uhr
Nein natürlich nicht. Aber wenn nur unsere PC's und Geräte an dem TP Link angeschlossen sind (welcher der OpenVPN Client wäre) dann können die anderen auch darauf zugreifen? Ich dachte immer die müssten auch an dem Router angeschlossen sein.
Bitte warten ..
Mitglied: certifiedit.net
05.04.2020 um 13:58 Uhr
Das kommt auf das Setup an, zu dem wirst du Probleme damit bekommen, wenn andere auch eine VPN haben wollen. Besprech das am besten mit dem Admin im Haus, der Ahnung vom Setup hat
Bitte warten ..
Mitglied: aqui
05.04.2020, aktualisiert 06.04.2020
Einfach mal die Suchfunktion benutzen !! Auch wenn Sonntag ist...
Hier ist alles im Detail erklärt was du zu dem Thema OpenVPN wissen musst:
https://administrator.de/wissen/merkzettel-vpn-installation-openvpn-5610 ...

welcher der OpenVPN Client wäre) dann können die anderen auch darauf zugreifen?
Ja, das geht natürlich. Damit ist eine LAN zu LAN Kopplung problemlos möglich. Siehe Weiterführende Links des o.a. Tutorials. Dort steht die komplette Lösung wie das in 10 Minuten zum Fliegen zu bringen ist !
Bitte warten ..
Mitglied: Heinz189
06.04.2020 um 11:27 Uhr
Danke für all die Antworten.

Ich muss mich leider ein wenig revidieren. Der Router im Büro läuft im Gateway Modus und nicht im AP Modus.

Er bekommt von der Fritzbox die IP 192.168.179.44. Unser Router ist unter 192.168.1.1 erreichbar und unsere Geräte laufen alle unter der IP 192.168.1.x

Ich gehe davon aus, dass jegliche Geräte welche nicht an dem TP Link angeschlossen sind nicht auf unser Netzwerk zugreifen können und somit auch nicht auf das VPN zugreifen könnten. Der Router hat auch eine aktivierte Firewall. Ist das soweit richtig?
Bitte warten ..
Mitglied: aqui
06.04.2020, aktualisiert um 18:35 Uhr
Der Router im Büro läuft im Gateway Modus und nicht im AP Modus.
Das spielt für das VPN mit OpenVPN keinerlei Rolle !
Ich gehe davon aus, dass jegliche Geräte welche nicht an dem TP Link angeschlossen sind nicht auf unser Netzwerk zugreifen können
WO sind denn diese Geräte ?
Im Koppelnetz als im FritzBox LAN auch 192.168.179.0 /24 ??
Wenn dem so ist dann ja.
Die NAT Firewall verhindert das dann ja. Der kaskadierte TP-Link arbeitet ja dann quasi als Internet Router. Alles was bei ihm am WAN Port ist im Gateway Mode ist ja dann aus seiner Sicht das "pöhse Internet" ! Folglich ist hier die Firewall aktiv und blockt sämtliche Verbindungen die aus diesen Netzen am WAN Port kommen.
Genau das ist ja auch gewollt an einem Internet Router !
Für einzelne TCP und UDP Ports kannst du das mit Port Forwarding umgehen. Klappt, aber ist eine Krücke da nicht wirklich transparent geroutet wird.

Das Sinnvollste ist den TP-Link in den Router Mode zu schalten so das der ohne NAT routet dann klappt das sofort.
Sollte das mit der original Firmware nicht gehen dann kannst du alternativ versuchen ein OpenWRT oder DD-WRT darauf zu flashen wenn die Hardware das supportet. Bei dieser Firmware kann man frei zw. Gateway Mode (NAT) oder Router Mode (kein NAT) wählen. Laut Website kann er das:
https://openwrt.org/toh/tp-link/tl-wdr4300
https://dd-wrt.com/support/router-database/?model=WDR4300_1.x
Mit beiden Firmwares kannst du einen OpenVPN Server auf dem Router betreiben und dann natürlich auch mit beiden IP Netzen, also 192.168.179.0 /24 und .1.0 /24 das VPN betreiben.

Alternativ beschaffst du einen neuen Router z.B Mikrotik RB750r2 der das dann mit links macht.
Details zur NAT Kaskaden Problematik mit OpenVPN auch hier:
https://administrator.de/wissen/openvpn-server-installieren-pfsense-fire ...
Das hiesige Routing Tutorial beschreibt die Routing Grundlagen dazu:
https://administrator.de/wissen/routing-2-ip-netzen-windows-linux-router ...

Übrigens könnte man das auch mit der FritzBox machen, die auch 2 IP Netze über ihr eingebautes VPN bedienen kann:
https://avm.de/service/vpn/praxis-tipps/mit-fritzfernzugang-auf-mehrere- ...

Es gibt also mehrere sinnvolle VPN Lösungen für dich ! Such dir die für dich Schönste aus !
Bitte warten ..
Mitglied: Heinz189
15.04.2020 um 12:58 Uhr
Danke für all die Hilfe.

Das VPN steht erstmal.

Zu Hause werkelt der TP Link 4300 nun mit DD-WRT und als OpenVPN Server. Der TP Link 831N im Büro hat zwar auch DD WRT installiert jedoch ist der scheinbar zu schwach um darauf den Openvpn Client zu betreiben. Der wird mit der Zeit ausgetauscht.

Ich nutze vorerst den PC im Büro als OpenVPN Client um mich mit dem TP Link 4300 zu Hause zu verbinden. Das funktioniert auch problemlos.

Auf dem Router zu Hause habe ich als Netzwerk 10.173.14.1 eingerichtet.
Das VPN Netzwerk läuft unter 10.21.173.0.

Ich möchte nun noch vom Büro auf das 10.173.14.x Netzwerk zugreifen. Dafür habe ich auf dem Router zu Hause unter OpenVPN folgende Push Route eingetragen: push "route 10.173.14.0 255.255.255.0"

Rufe ich auf meinem PC im Büro "netstat -rn" auf erhalte ich folgende Ausgabe:
10.173.14.0 10.21.173.1 255.255.255.0 UG 0 0 0 tun0

Bedeutet für mich, dass eigentlich der Zugriff schonmal steht. Dennoch kann ich den Drucker unter 10.173.14.153 vom Client PC nicht anpingen. Ich vermute mir fehlt noch auf dem Router zu Hause eine Route ins Heimnetzwerk?

Wie sieht diese nun genau aus? Ich hätte folgendes gedacht aber es klappt nicht.

Destination LAN NET : 10.21.173.0
Subnet Mask: 255.255.255.0
Gateway: 10.173.14.1
Bitte warten ..
Mitglied: aqui
15.04.2020, aktualisiert um 13:15 Uhr
Das VPN steht erstmal.
👍
Der TP Link 831N im Büro hat zwar auch DD WRT installiert jedoch ist der scheinbar zu schwach um darauf den Openvpn Client zu betreiben
Woraus schliesst du das genau ?? Hast du einen Durchsatztest mit z.B. NetIO gemacht um das zu verifizieren ??
Hier werkelt ein uralter DD-WRT Client auf einem uralten WRT54 https://de.wikipedia.org/wiki/Linksys_WRT54G und darauf ein OpenVPN Client !
Typische ADSL Durchsatzraten bis 10Mbit verrichtet der klaglos.
Vermutlich hast du dich aber falsch ausgedrückt und du meinst die technischen Limitierungen des 831. Denn genau wie der TP-Link 841n besitzt dieser zu wenig Flash Speicher um das OpenVPN Package in OpenWRT oder DD-WRT nachzuladen. Es scheitert also NICHT an der Performance sondern schlicht und einfach an den reinen Hardware Kapazitäten dieser Plattform.
Aber wenn du den eh gegen etwas Besseres austauschst ist das ja auch nicht mehr relevant !
Auf dem Router zu Hause habe ich als Netzwerk 10.173.14.1 eingerichtet.
Mit welchem Prefix (Maske) ?
Das VPN Netzwerk läuft unter 10.21.173.0.
Mit welchem Prefix (Maske) ?
Ich möchte nun noch vom Büro auf das 10.173.14.x Netzwerk zugreifen.
Das ist kein Problem und mit OpenVPN im Handumdrehen erledigt.
Dafür habe ich auf dem Router zu Hause unter OpenVPN folgende Push Route eingetragen: push "route 10.
Das ist FALSCH ! Kann so nicht gehen weil das ein Server Konfig Kommando ist !! Sollte im Log auch eine entsprechende Fehlermeldung generieren !
Zudem fehlen auf der Serverseite die Routing Einträge in der Konfig ! Ist also klar das das scheitert.
Es zeigt leider auch das du dir die obigen Tutorials nicht oder nicht richtig durchgelesen hast und danach deine Konfig angepasst hast.

Hier findest du eine Beispiel Konfig inklusive Bild wie das bei dir für deinen Server und auch für den Client einzurichten ist um beide Netze zu koppeln:
https://administrator.de/content/detail.php?id=530283&token=984#comm ...

Bitte halte dich genau daran und passe das entsprechend auf deine OVPN und lokale IP Adressierung an, dann klappt das auch auf Anhieb !
Bitte warten ..
Mitglied: Heinz189
15.04.2020 um 13:31 Uhr
Vermutlich hast du dich aber falsch ausgedrückt und du meinst die technischen Limitierungen des 831.
Ja genauso meinte ich das. Er ist im Hinblick auf die Hardware zu schwach und deswegen bietet DD WRT die Funktion nicht an. Egal wie rum du hast verstanden was ich meine

Auf dem Router zu Hause habe ich als Netzwerk 10.173.14.1 eingerichtet.
Mit welchem Prefix (Maske) ?

Das VPN Netzwerk läuft unter 10.21.173.0.
Mit welchem Prefix (Maske) ?

Bei beiden 255.255.255.0

Dafür habe ich auf dem Router zu Hause unter OpenVPN folgende Push Route eingetragen: push "route 10.
Das ist FALSCH ! Kann so nicht gehen weil das ein Server Konfig Kommando ist !! Sollte im Log auch eine entsprechende Fehlermeldung generieren !

Warum ist das falsch. Auf dem Router zu Hause läuft doch der OpenVPN Server. Und weil das der Server ist gehört doch auch die push route da rein. Im Büro habe ich ja nur den Client am laufen.
Bitte warten ..
Mitglied: aqui
15.04.2020, aktualisiert um 14:47 Uhr
Und weil das der Server ist gehört doch auch die push route da rein.
Denk mal bitte selber etwas nach ! Der Server kann doch nur IP Netze an die Clients bzw. deren Routing Tabelle pushen von IP Netzen die auf ihrer Seite sind. Wäre ja auch sinnfrei ein IP Netz an den Client zu pushen wenn dieses IP Netz direkt am Client ist und der das somit selber kennt. Der Client kann von sich aus nichts an den Server pushen.
Zitat OpenVPN Doku:
The –iroute directive also has an important interaction with –push “route …”. –iroute essentially defines a subnet which is owned by a particular client (we will call this client A). If you would like other clients to be able to reach A’s subnet, you can use –push “route …” together with –client-to-client to effect this. In order for all clients to see A’s subnet, OpenVPN must push this route to all clients EXCEPT for A, since the subnet is already owned by A. OpenVPN accomplishes this by not not pushing a route to a client if it matches one of the client’s iroutes.


Der Server muss also nur wissen das er Traffic für das Client LAN auch in den Tunnel schicken muss was das route und das iroute Kommando erledigen.

So sollte mal als grobes Beispiel (geht von klassischen 24 Bit Masken aus und das das "Büronetz" die 192.168.188.0 /24 hat) deine Server Konfig aussehen:
dev tun
proto udp4
port 1194
ca /etc/openvpn/server/ca.crt
cert /etc/openvpn/server/server.crt
key /etc/openvpn/server/server.key
dh /etc/openvpn/server/dh.pem
user nobody
group nogroup
server 10.21.173.0 255.255.255.0
topology subnet
push "topology subnet"
persist-key
persist-tun
push "route 192.168.188.0 255.255.255.0"
route 10.173.14.0 255.255.255.0
keepalive 10 120
explicit-exit-notify 1
client-config-dir /etc/openvpn/clientconf


In das Verzeichnis /etc/openvpn/csconf/ auf dem Server kommt eine zusätzlich Konfig Datei z.B. mit dem Namen: "client01" Dieder dateiname muss identisch sein zum Common Name im Zertifikat des Clients als du das generiert hast.
Somit ist die PC Client der das lokale LAN routet dann vom Server eindeutig identifizierbar.
Der Inhalt ist folgender:
ifconfig-push 10.21.173.2 255.255.255.0
iroute 10.173.14.0 255.255.255.0

Achtung:
Ist dieser PC dein einziger Client und gibt es keinerlei andere Clients kann dieser Schritt auch entfallen.
Dann kann das Kommando client-config-dir /etc/openvpn/clientconf entfallen und in der Server Konfig steht dann nur:
route 10.173.14.0 255.255.255.0
iroute 10.173.14.0 255.255.255.0

(Man achte auf das "i" !)

Die Client Konfig sieht dann entsprechend aus:
dev tun
proto udp4
client
remote x.y.z.h
ca /etc/openvpn/client/ca.crt
cert /etc/openvpn/client/client01.crt
key /etc/openvpn/client/client01.key
auth-nocache
tls-client
remote-cert-tls server
user nobody
group nogroup
persist-tun
persist-key
mute-replay-warnings
pull


Da dein PC ja zwischen den IP Netzen routen muss musst du dort explizit noch IP Forwarding aktivieren.
Bei Windows passiert das in der Registry:
https://administrator.de/wissen/merkzettel-vpn-installation-openvpn-5610 ...
Danach musst du den Client rebooten.
Vergiss dann auch die statische Route im Internet Router des VPN Clients nicht !
Folgend dem obigen Beispiel müssen dort 2 Routen stehen:
Zielnetz: 192.168..188.0, Maske: 255.255.255.0, Gateway: <LAN IP OVPN-Client>
Zielnetz: 10.21.173.0, Maske: 255.255.255.0, Gateway: <LAN IP OVPN-Client>


So funktioniert dann das Netz zu Netz Routing fehlerlos !
Ist wie bereits gesagt alles hier mit Bild beschrieben.
Siehe dazu auch die offizielle OpenVPN Doku unter:
https://openvpn.net/community-resources/expanding-the-scope-of-the-vpn-t ...
Bitte warten ..
Ähnliche Inhalte
TK-Netze & Geräte

Verbind 2 Hauser mit Kupfer und einen Netzwerkisolator

Frage von Hampi7273TK-Netze & Geräte3 Kommentare

Ich hab gelesn das in der Medizin Technik oft mit Netzwerkisolator gebaut wird. Netzwerkisolatoren bilden innerhalb einer kupfergeführten Ethernet-Datenleitung ...

LAN, WAN, Wireless

2 OpenVPN netzwerke

Frage von McquadederwolfLAN, WAN, Wireless4 Kommentare

Hallo, ich habe ein Problem. Ich habe 2 VPN Netzwerke. Das erste openvpn läuft auf Linux und hat die ...

Netzwerke

Openvpn 2 Netzwerke verbinden

Frage von sd45asNetzwerke7 Kommentare

Ich habe 2 Raspberry und diese habe ich mit openvpn miteinander verbunden einer ist der Server und der andere ...

Batch & Shell

OpenVPN - Verbindungsscript fehlgeschlagen Exitcode 2

Frage von Dante2191Batch & Shell17 Kommentare

Hallo zusammen, ich habe ein Problem beim Ausführen eines up-Scripts bei OpenVPN, was mich langsam die Nerven kostet. Hab ...

Neue Wissensbeiträge
Windows Netzwerk

SCOM ( System Center Operations Manager ) um eine E-Mailschnittstelle erweitern

Anleitung von Juanito vor 3 StundenWindows Netzwerk

Einleitung System Center Operations Manager (SCOM) ist Microsoft's Lösung zum Überwachen von Servern. Dazu zählt die generelle Erreichbarkeit, Festplattenspeicher, ...

Humor (lol)
BioShield gegen 5G
Information von magicteddy vor 1 TagHumor (lol)3 Kommentare

Moin wer sich gegen die hochgefährlichen 5G schützen möchte wird hier fündig: 5GBioShield "gegen 5G-Strahlung" Ich glaube, ich sollte ...

Windows Server

ScheduledTasks mit einem Group-Managed-Service-Account (GMSA) ausführen

Anleitung von ToniHo vor 1 TagWindows Server

Hallo zusammen, wer schonmal versucht hat ein Group-Managed-Service-Account (GMSA) auf einem bestehenden ScheduledTask einzutragen, ist an der GUI vermutlich ...

Humor (lol)
Anti 5G USB Stick
Information von Ex0r2k16 vor 1 TagHumor (lol)14 Kommentare

Perfekt für den Freitag, findet sich hier ein Businesspartner der mit mir zusammen einen Anti 6G Esoterik Stick rausbringt? ...

Heiß diskutierte Inhalte
Windows 10
Win 10 Problem Intergeschwindigkeit aber LAN OK
Frage von helpmikeWindows 1021 Kommentare

Hallo, versuche mal das Problem zu beschreiben. Der PC (i5 9600 / 16 GB / H370M / Intel 1 ...

Festplatten, SSD, Raid
WD My Book Platine tauschen?
gelöst Frage von WandaStaabFestplatten, SSD, Raid19 Kommentare

Schönen guten Abend! Eine Bekannte bat mich, ihre externe Festplatte, eine WD My Book 4TB (wdbfjk0040hbk-04), anzuschauen, die sich ...

Router & Routing
Portfreigabe NAS Fritzbox
gelöst Frage von dbox3Router & Routing14 Kommentare

Hallo zusammen, ich habe ein Netzwerk eingerichtet (s.Bild) bei dem ich auf dem NAS der FB7490 mit der IP ...

Exchange Server
Windows Exchange Server 2010 ablösen durch neuen Exchange Server 2016 - Was beachten
Frage von server0815Exchange Server14 Kommentare

Hallo, ich habe die Aufgabe bekommen unseren nun schon etwas in die Jahre gekommenen Exchange Server 2010 (Version 14.03.0487.000) ...