heinz189
Goto Top

2 Netzwerke miteinander verbinden über OpenVPN

Hallo zusammen,

ich wollte gerne unser Zuhause mit dem Büro per VPN verbinden.

Hierzu hätte ich ein Paar Fragen.

1. Unser Büro nutzt das Gemeinschaftsinternet. Wir hängen mit einem einfachen TP Link Router 841N (DD-WRT) an einer Fritzbox welche mit dem Internet verbunden ist. Unser Router läuft im AP Modus.

2. In der Wohnung ein Vodafone Kabelmodem. Daran hängt ein TP Link WDR 4300 (zur Zeit noch kein DD-WRT). Zur Zeit ist dieser Aufbau nötig um eine IPV4 zu bekommen.

Ich benötige ja nun einen OpenVPN Sever. Weiß hier jemand ob ich mit dem TP Link WDR 4300 einen OpenVPN Server betreiben kann. Auf dem TP Link 841N kann man soweit ich weiß nur einen OpenVPN Client einrichten. Zum 4300 habe ich leider keine verlässliche Info gefunden.

Müsste ich an der Fritzbox etwas einstellen z.B. Porterweiterung etc. Meine Einstellungsmöglichkeiten hier sind leider sehr begrenzt, da ja nicht mein Router.

Danke und bleibt Gesund.

Content-ID: 563391

Url: https://administrator.de/contentid/563391

Ausgedruckt am: 19.12.2024 um 13:12 Uhr

certifiedit.net
certifiedit.net 05.04.2020 um 13:10:54 Uhr
Goto Top
Hallo Heinz,

je nach Konstellation des Gemeinschaftsinternet (mit wem) im Büro solltest du dir Gedanken machen, worauf dies abzielen soll. Ferner ist die HW Ausstattung nun nicht wirklich prickelnd.

Im Gegenteil darf man sicher fragen, was du mit der VPN bezwecken möchtest.

Grüße
Heinz189
Heinz189 05.04.2020 aktualisiert um 13:22:15 Uhr
Goto Top
Im Gegenteil darf man sicher fragen, was du mit der VPN bezwecken möchtest.

Ich habe zu Hause ein NAS welches ich auch vom Büro aus erreichen möchte. Außerdem möchte ich auch die Möglichkeit haben vom Büro zu Hause zu drucken und umgekehrt.

je nach Konstellation des Gemeinschaftsinternet (mit wem) im Büro solltest du dir Gedanken machen, worauf dies abzielen soll.

Das verstehe ich leider nicht richtig.

Danke
certifiedit.net
certifiedit.net 05.04.2020 aktualisiert um 13:25:54 Uhr
Goto Top
möchtest du, dass die jeder aus dem Gemeinschaftsbüro erreichen kann? Denke eher nicht
Heinz189
Heinz189 05.04.2020 um 13:30:00 Uhr
Goto Top
Nein natürlich nicht. Aber wenn nur unsere PC's und Geräte an dem TP Link angeschlossen sind (welcher der OpenVPN Client wäre) dann können die anderen auch darauf zugreifen? Ich dachte immer die müssten auch an dem Router angeschlossen sein.
certifiedit.net
certifiedit.net 05.04.2020 um 13:58:22 Uhr
Goto Top
Das kommt auf das Setup an, zu dem wirst du Probleme damit bekommen, wenn andere auch eine VPN haben wollen. Besprech das am besten mit dem Admin im Haus, der Ahnung vom Setup hat
aqui
aqui 05.04.2020, aktualisiert am 06.04.2020 um 11:11:02 Uhr
Goto Top
Einfach mal die Suchfunktion benutzen !! Auch wenn Sonntag ist... face-wink
Hier ist alles im Detail erklärt was du zu dem Thema OpenVPN wissen musst:
Merkzettel: VPN Installation mit OpenVPN

welcher der OpenVPN Client wäre) dann können die anderen auch darauf zugreifen?
Ja, das geht natürlich. Damit ist eine LAN zu LAN Kopplung problemlos möglich. Siehe Weiterführende Links des o.a. Tutorials. Dort steht die komplette Lösung wie das in 10 Minuten zum Fliegen zu bringen ist !
Heinz189
Heinz189 06.04.2020 um 11:27:06 Uhr
Goto Top
Danke für all die Antworten.

Ich muss mich leider ein wenig revidieren. Der Router im Büro läuft im Gateway Modus und nicht im AP Modus.

Er bekommt von der Fritzbox die IP 192.168.179.44. Unser Router ist unter 192.168.1.1 erreichbar und unsere Geräte laufen alle unter der IP 192.168.1.x

Ich gehe davon aus, dass jegliche Geräte welche nicht an dem TP Link angeschlossen sind nicht auf unser Netzwerk zugreifen können und somit auch nicht auf das VPN zugreifen könnten. Der Router hat auch eine aktivierte Firewall. Ist das soweit richtig?
aqui
aqui 06.04.2020 aktualisiert um 18:35:07 Uhr
Goto Top
Der Router im Büro läuft im Gateway Modus und nicht im AP Modus.
Das spielt für das VPN mit OpenVPN keinerlei Rolle !
Ich gehe davon aus, dass jegliche Geräte welche nicht an dem TP Link angeschlossen sind nicht auf unser Netzwerk zugreifen können
WO sind denn diese Geräte ?
Im Koppelnetz als im FritzBox LAN auch 192.168.179.0 /24 ??
Wenn dem so ist dann ja.
Die NAT Firewall verhindert das dann ja. Der kaskadierte TP-Link arbeitet ja dann quasi als Internet Router. Alles was bei ihm am WAN Port ist im Gateway Mode ist ja dann aus seiner Sicht das "pöhse Internet" ! Folglich ist hier die Firewall aktiv und blockt sämtliche Verbindungen die aus diesen Netzen am WAN Port kommen.
Genau das ist ja auch gewollt an einem Internet Router !
Für einzelne TCP und UDP Ports kannst du das mit Port Forwarding umgehen. Klappt, aber ist eine Krücke da nicht wirklich transparent geroutet wird.

Das Sinnvollste ist den TP-Link in den Router Mode zu schalten so das der ohne NAT routet dann klappt das sofort.
Sollte das mit der original Firmware nicht gehen dann kannst du alternativ versuchen ein OpenWRT oder DD-WRT darauf zu flashen wenn die Hardware das supportet. Bei dieser Firmware kann man frei zw. Gateway Mode (NAT) oder Router Mode (kein NAT) wählen. Laut Website kann er das:
https://openwrt.org/toh/tp-link/tl-wdr4300
https://dd-wrt.com/support/router-database/?model=WDR4300_1.x
Mit beiden Firmwares kannst du einen OpenVPN Server auf dem Router betreiben und dann natürlich auch mit beiden IP Netzen, also 192.168.179.0 /24 und .1.0 /24 das VPN betreiben.

Alternativ beschaffst du einen neuen Router z.B Mikrotik RB750r2 der das dann mit links macht.
Details zur NAT Kaskaden Problematik mit OpenVPN auch hier:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Das hiesige Routing Tutorial beschreibt die Routing Grundlagen dazu:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router

Übrigens könnte man das auch mit der FritzBox machen, die auch 2 IP Netze über ihr eingebautes VPN bedienen kann:
https://avm.de/service/vpn/praxis-tipps/mit-fritzfernzugang-auf-mehrere- ...

Es gibt also mehrere sinnvolle VPN Lösungen für dich ! Such dir die für dich Schönste aus ! face-wink
Heinz189
Heinz189 15.04.2020 um 12:58:59 Uhr
Goto Top
Danke für all die Hilfe.

Das VPN steht erstmal.

Zu Hause werkelt der TP Link 4300 nun mit DD-WRT und als OpenVPN Server. Der TP Link 831N im Büro hat zwar auch DD WRT installiert jedoch ist der scheinbar zu schwach um darauf den Openvpn Client zu betreiben. Der wird mit der Zeit ausgetauscht.

Ich nutze vorerst den PC im Büro als OpenVPN Client um mich mit dem TP Link 4300 zu Hause zu verbinden. Das funktioniert auch problemlos.

Auf dem Router zu Hause habe ich als Netzwerk 10.173.14.1 eingerichtet.
Das VPN Netzwerk läuft unter 10.21.173.0.

Ich möchte nun noch vom Büro auf das 10.173.14.x Netzwerk zugreifen. Dafür habe ich auf dem Router zu Hause unter OpenVPN folgende Push Route eingetragen: push "route 10.173.14.0 255.255.255.0"

Rufe ich auf meinem PC im Büro "netstat -rn" auf erhalte ich folgende Ausgabe:
10.173.14.0 10.21.173.1 255.255.255.0 UG 0 0 0 tun0

Bedeutet für mich, dass eigentlich der Zugriff schonmal steht. Dennoch kann ich den Drucker unter 10.173.14.153 vom Client PC nicht anpingen. Ich vermute mir fehlt noch auf dem Router zu Hause eine Route ins Heimnetzwerk?

Wie sieht diese nun genau aus? Ich hätte folgendes gedacht aber es klappt nicht.

Destination LAN NET : 10.21.173.0
Subnet Mask: 255.255.255.0
Gateway: 10.173.14.1
aqui
aqui 15.04.2020 aktualisiert um 13:15:50 Uhr
Goto Top
Das VPN steht erstmal.
👍
Der TP Link 831N im Büro hat zwar auch DD WRT installiert jedoch ist der scheinbar zu schwach um darauf den Openvpn Client zu betreiben
Woraus schliesst du das genau ?? Hast du einen Durchsatztest mit z.B. NetIO gemacht um das zu verifizieren ??
Hier werkelt ein uralter DD-WRT Client auf einem uralten WRT54 https://de.wikipedia.org/wiki/Linksys_WRT54G und darauf ein OpenVPN Client !
Typische ADSL Durchsatzraten bis 10Mbit verrichtet der klaglos.
Vermutlich hast du dich aber falsch ausgedrückt und du meinst die technischen Limitierungen des 831. Denn genau wie der TP-Link 841n besitzt dieser zu wenig Flash Speicher um das OpenVPN Package in OpenWRT oder DD-WRT nachzuladen. Es scheitert also NICHT an der Performance sondern schlicht und einfach an den reinen Hardware Kapazitäten dieser Plattform.
Aber wenn du den eh gegen etwas Besseres austauschst ist das ja auch nicht mehr relevant ! face-wink
Auf dem Router zu Hause habe ich als Netzwerk 10.173.14.1 eingerichtet.
Mit welchem Prefix (Maske) ?
Das VPN Netzwerk läuft unter 10.21.173.0.
Mit welchem Prefix (Maske) ?
Ich möchte nun noch vom Büro auf das 10.173.14.x Netzwerk zugreifen.
Das ist kein Problem und mit OpenVPN im Handumdrehen erledigt.
Dafür habe ich auf dem Router zu Hause unter OpenVPN folgende Push Route eingetragen: push "route 10.
Das ist FALSCH ! Kann so nicht gehen weil das ein Server Konfig Kommando ist !! Sollte im Log auch eine entsprechende Fehlermeldung generieren !
Zudem fehlen auf der Serverseite die Routing Einträge in der Konfig ! Ist also klar das das scheitert.
Es zeigt leider auch das du dir die obigen Tutorials nicht oder nicht richtig durchgelesen hast und danach deine Konfig angepasst hast. face-sad

Hier findest du eine Beispiel Konfig inklusive Bild wie das bei dir für deinen Server und auch für den Client einzurichten ist um beide Netze zu koppeln:
OpenVPN - Erreiche Netzwerk hinter Client nicht

Bitte halte dich genau daran und passe das entsprechend auf deine OVPN und lokale IP Adressierung an, dann klappt das auch auf Anhieb !
Heinz189
Heinz189 15.04.2020 um 13:31:34 Uhr
Goto Top
Vermutlich hast du dich aber falsch ausgedrückt und du meinst die technischen Limitierungen des 831.
Ja genauso meinte ich das. Er ist im Hinblick auf die Hardware zu schwach und deswegen bietet DD WRT die Funktion nicht an. Egal wie rum du hast verstanden was ich meine face-smile

Auf dem Router zu Hause habe ich als Netzwerk 10.173.14.1 eingerichtet.
Mit welchem Prefix (Maske) ?

Das VPN Netzwerk läuft unter 10.21.173.0.
Mit welchem Prefix (Maske) ?

Bei beiden 255.255.255.0

Dafür habe ich auf dem Router zu Hause unter OpenVPN folgende Push Route eingetragen: push "route 10.
Das ist FALSCH ! Kann so nicht gehen weil das ein Server Konfig Kommando ist !! Sollte im Log auch eine entsprechende Fehlermeldung generieren !

Warum ist das falsch. Auf dem Router zu Hause läuft doch der OpenVPN Server. Und weil das der Server ist gehört doch auch die push route da rein. Im Büro habe ich ja nur den Client am laufen.
aqui
aqui 15.04.2020 aktualisiert um 14:47:49 Uhr
Goto Top
Und weil das der Server ist gehört doch auch die push route da rein.
Denk mal bitte selber etwas nach ! Der Server kann doch nur IP Netze an die Clients bzw. deren Routing Tabelle pushen von IP Netzen die auf ihrer Seite sind. Wäre ja auch sinnfrei ein IP Netz an den Client zu pushen wenn dieses IP Netz direkt am Client ist und der das somit selber kennt. Der Client kann von sich aus nichts an den Server pushen.
Zitat OpenVPN Doku:
The –iroute directive also has an important interaction with –push “route …”. –iroute essentially defines a subnet which is owned by a particular client (we will call this client A). If you would like other clients to be able to reach A’s subnet, you can use –push “route …” together with –client-to-client to effect this. In order for all clients to see A’s subnet, OpenVPN must push this route to all clients EXCEPT for A, since the subnet is already owned by A. OpenVPN accomplishes this by not not pushing a route to a client if it matches one of the client’s iroutes.


Der Server muss also nur wissen das er Traffic für das Client LAN auch in den Tunnel schicken muss was das route und das iroute Kommando erledigen.

So sollte mal als grobes Beispiel (geht von klassischen 24 Bit Masken aus und das das "Büronetz" die 192.168.188.0 /24 hat) deine Server Konfig aussehen:
dev tun
proto udp4
port 1194
ca /etc/openvpn/server/ca.crt
cert /etc/openvpn/server/server.crt
key /etc/openvpn/server/server.key
dh /etc/openvpn/server/dh.pem
user nobody
group nogroup
server 10.21.173.0 255.255.255.0
topology subnet
push "topology subnet"
persist-key
persist-tun
push "route 192.168.188.0 255.255.255.0"
route 10.173.14.0 255.255.255.0
keepalive 10 120
explicit-exit-notify 1
client-config-dir /etc/openvpn/clientconf


In das Verzeichnis /etc/openvpn/csconf/ auf dem Server kommt eine zusätzlich Konfig Datei z.B. mit dem Namen: "client01" Dieder dateiname muss identisch sein zum Common Name im Zertifikat des Clients als du das generiert hast.
Somit ist die PC Client der das lokale LAN routet dann vom Server eindeutig identifizierbar.
Der Inhalt ist folgender:
ifconfig-push 10.21.173.2 255.255.255.0
iroute 10.173.14.0 255.255.255.0

Achtung:
Ist dieser PC dein einziger Client und gibt es keinerlei andere Clients kann dieser Schritt auch entfallen.
Dann kann das Kommando client-config-dir /etc/openvpn/clientconf entfallen und in der Server Konfig steht dann nur:
route 10.173.14.0 255.255.255.0
iroute 10.173.14.0 255.255.255.0

(Man achte auf das "i" !)

Die Client Konfig sieht dann entsprechend aus:
dev tun
proto udp4
client
remote x.y.z.h
ca /etc/openvpn/client/ca.crt
cert /etc/openvpn/client/client01.crt
key /etc/openvpn/client/client01.key
auth-nocache
tls-client
remote-cert-tls server
user nobody
group nogroup
persist-tun
persist-key
mute-replay-warnings
pull


Da dein PC ja zwischen den IP Netzen routen muss musst du dort explizit noch IP Forwarding aktivieren.
Bei Windows passiert das in der Registry:
Merkzettel: VPN Installation mit OpenVPN
Danach musst du den Client rebooten.
Vergiss dann auch die statische Route im Internet Router des VPN Clients nicht !
Folgend dem obigen Beispiel müssen dort 2 Routen stehen:
Zielnetz: 192.168..188.0, Maske: 255.255.255.0, Gateway: <LAN IP OVPN-Client>
Zielnetz: 10.21.173.0, Maske: 255.255.255.0, Gateway: <LAN IP OVPN-Client>


So funktioniert dann das Netz zu Netz Routing fehlerlos !
Ist wie bereits gesagt alles hier mit Bild beschrieben.
Siehe dazu auch die offizielle OpenVPN Doku unter:
https://openvpn.net/community-resources/expanding-the-scope-of-the-vpn-t ...