2 Netzwerke miteinander verbinden über OpenVPN
Hallo zusammen,
ich wollte gerne unser Zuhause mit dem Büro per VPN verbinden.
Hierzu hätte ich ein Paar Fragen.
1. Unser Büro nutzt das Gemeinschaftsinternet. Wir hängen mit einem einfachen TP Link Router 841N (DD-WRT) an einer Fritzbox welche mit dem Internet verbunden ist. Unser Router läuft im AP Modus.
2. In der Wohnung ein Vodafone Kabelmodem. Daran hängt ein TP Link WDR 4300 (zur Zeit noch kein DD-WRT). Zur Zeit ist dieser Aufbau nötig um eine IPV4 zu bekommen.
Ich benötige ja nun einen OpenVPN Sever. Weiß hier jemand ob ich mit dem TP Link WDR 4300 einen OpenVPN Server betreiben kann. Auf dem TP Link 841N kann man soweit ich weiß nur einen OpenVPN Client einrichten. Zum 4300 habe ich leider keine verlässliche Info gefunden.
Müsste ich an der Fritzbox etwas einstellen z.B. Porterweiterung etc. Meine Einstellungsmöglichkeiten hier sind leider sehr begrenzt, da ja nicht mein Router.
Danke und bleibt Gesund.
ich wollte gerne unser Zuhause mit dem Büro per VPN verbinden.
Hierzu hätte ich ein Paar Fragen.
1. Unser Büro nutzt das Gemeinschaftsinternet. Wir hängen mit einem einfachen TP Link Router 841N (DD-WRT) an einer Fritzbox welche mit dem Internet verbunden ist. Unser Router läuft im AP Modus.
2. In der Wohnung ein Vodafone Kabelmodem. Daran hängt ein TP Link WDR 4300 (zur Zeit noch kein DD-WRT). Zur Zeit ist dieser Aufbau nötig um eine IPV4 zu bekommen.
Ich benötige ja nun einen OpenVPN Sever. Weiß hier jemand ob ich mit dem TP Link WDR 4300 einen OpenVPN Server betreiben kann. Auf dem TP Link 841N kann man soweit ich weiß nur einen OpenVPN Client einrichten. Zum 4300 habe ich leider keine verlässliche Info gefunden.
Müsste ich an der Fritzbox etwas einstellen z.B. Porterweiterung etc. Meine Einstellungsmöglichkeiten hier sind leider sehr begrenzt, da ja nicht mein Router.
Danke und bleibt Gesund.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 563391
Url: https://administrator.de/contentid/563391
Ausgedruckt am: 19.12.2024 um 13:12 Uhr
12 Kommentare
Neuester Kommentar
Einfach mal die Suchfunktion benutzen !! Auch wenn Sonntag ist...
Hier ist alles im Detail erklärt was du zu dem Thema OpenVPN wissen musst:
Merkzettel: VPN Installation mit OpenVPN
Hier ist alles im Detail erklärt was du zu dem Thema OpenVPN wissen musst:
Merkzettel: VPN Installation mit OpenVPN
welcher der OpenVPN Client wäre) dann können die anderen auch darauf zugreifen?
Ja, das geht natürlich. Damit ist eine LAN zu LAN Kopplung problemlos möglich. Siehe Weiterführende Links des o.a. Tutorials. Dort steht die komplette Lösung wie das in 10 Minuten zum Fliegen zu bringen ist !Der Router im Büro läuft im Gateway Modus und nicht im AP Modus.
Das spielt für das VPN mit OpenVPN keinerlei Rolle !Ich gehe davon aus, dass jegliche Geräte welche nicht an dem TP Link angeschlossen sind nicht auf unser Netzwerk zugreifen können
WO sind denn diese Geräte ?Im Koppelnetz als im FritzBox LAN auch 192.168.179.0 /24 ??
Wenn dem so ist dann ja.
Die NAT Firewall verhindert das dann ja. Der kaskadierte TP-Link arbeitet ja dann quasi als Internet Router. Alles was bei ihm am WAN Port ist im Gateway Mode ist ja dann aus seiner Sicht das "pöhse Internet" ! Folglich ist hier die Firewall aktiv und blockt sämtliche Verbindungen die aus diesen Netzen am WAN Port kommen.
Genau das ist ja auch gewollt an einem Internet Router !
Für einzelne TCP und UDP Ports kannst du das mit Port Forwarding umgehen. Klappt, aber ist eine Krücke da nicht wirklich transparent geroutet wird.
Das Sinnvollste ist den TP-Link in den Router Mode zu schalten so das der ohne NAT routet dann klappt das sofort.
Sollte das mit der original Firmware nicht gehen dann kannst du alternativ versuchen ein OpenWRT oder DD-WRT darauf zu flashen wenn die Hardware das supportet. Bei dieser Firmware kann man frei zw. Gateway Mode (NAT) oder Router Mode (kein NAT) wählen. Laut Website kann er das:
https://openwrt.org/toh/tp-link/tl-wdr4300
https://dd-wrt.com/support/router-database/?model=WDR4300_1.x
Mit beiden Firmwares kannst du einen OpenVPN Server auf dem Router betreiben und dann natürlich auch mit beiden IP Netzen, also 192.168.179.0 /24 und .1.0 /24 das VPN betreiben.
Alternativ beschaffst du einen neuen Router z.B Mikrotik RB750r2 der das dann mit links macht.
Details zur NAT Kaskaden Problematik mit OpenVPN auch hier:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Das hiesige Routing Tutorial beschreibt die Routing Grundlagen dazu:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
Übrigens könnte man das auch mit der FritzBox machen, die auch 2 IP Netze über ihr eingebautes VPN bedienen kann:
https://avm.de/service/vpn/praxis-tipps/mit-fritzfernzugang-auf-mehrere- ...
Es gibt also mehrere sinnvolle VPN Lösungen für dich ! Such dir die für dich Schönste aus !
Das VPN steht erstmal.
👍Der TP Link 831N im Büro hat zwar auch DD WRT installiert jedoch ist der scheinbar zu schwach um darauf den Openvpn Client zu betreiben
Woraus schliesst du das genau ?? Hast du einen Durchsatztest mit z.B. NetIO gemacht um das zu verifizieren ??Hier werkelt ein uralter DD-WRT Client auf einem uralten WRT54 https://de.wikipedia.org/wiki/Linksys_WRT54G und darauf ein OpenVPN Client !
Typische ADSL Durchsatzraten bis 10Mbit verrichtet der klaglos.
Vermutlich hast du dich aber falsch ausgedrückt und du meinst die technischen Limitierungen des 831. Denn genau wie der TP-Link 841n besitzt dieser zu wenig Flash Speicher um das OpenVPN Package in OpenWRT oder DD-WRT nachzuladen. Es scheitert also NICHT an der Performance sondern schlicht und einfach an den reinen Hardware Kapazitäten dieser Plattform.
Aber wenn du den eh gegen etwas Besseres austauschst ist das ja auch nicht mehr relevant !
Auf dem Router zu Hause habe ich als Netzwerk 10.173.14.1 eingerichtet.
Mit welchem Prefix (Maske) ?Das VPN Netzwerk läuft unter 10.21.173.0.
Mit welchem Prefix (Maske) ?Ich möchte nun noch vom Büro auf das 10.173.14.x Netzwerk zugreifen.
Das ist kein Problem und mit OpenVPN im Handumdrehen erledigt.Dafür habe ich auf dem Router zu Hause unter OpenVPN folgende Push Route eingetragen: push "route 10.
Das ist FALSCH ! Kann so nicht gehen weil das ein Server Konfig Kommando ist !! Sollte im Log auch eine entsprechende Fehlermeldung generieren !Zudem fehlen auf der Serverseite die Routing Einträge in der Konfig ! Ist also klar das das scheitert.
Es zeigt leider auch das du dir die obigen Tutorials nicht oder nicht richtig durchgelesen hast und danach deine Konfig angepasst hast.
Hier findest du eine Beispiel Konfig inklusive Bild wie das bei dir für deinen Server und auch für den Client einzurichten ist um beide Netze zu koppeln:
OpenVPN - Erreiche Netzwerk hinter Client nicht
Bitte halte dich genau daran und passe das entsprechend auf deine OVPN und lokale IP Adressierung an, dann klappt das auch auf Anhieb !
Und weil das der Server ist gehört doch auch die push route da rein.
Denk mal bitte selber etwas nach ! Der Server kann doch nur IP Netze an die Clients bzw. deren Routing Tabelle pushen von IP Netzen die auf ihrer Seite sind. Wäre ja auch sinnfrei ein IP Netz an den Client zu pushen wenn dieses IP Netz direkt am Client ist und der das somit selber kennt. Der Client kann von sich aus nichts an den Server pushen.Zitat OpenVPN Doku:
The –iroute directive also has an important interaction with –push “route …”. –iroute essentially defines a subnet which is owned by a particular client (we will call this client A). If you would like other clients to be able to reach A’s subnet, you can use –push “route …” together with –client-to-client to effect this. In order for all clients to see A’s subnet, OpenVPN must push this route to all clients EXCEPT for A, since the subnet is already owned by A. OpenVPN accomplishes this by not not pushing a route to a client if it matches one of the client’s iroutes.
Der Server muss also nur wissen das er Traffic für das Client LAN auch in den Tunnel schicken muss was das route und das iroute Kommando erledigen.
So sollte mal als grobes Beispiel (geht von klassischen 24 Bit Masken aus und das das "Büronetz" die 192.168.188.0 /24 hat) deine Server Konfig aussehen:
dev tun
proto udp4
port 1194
ca /etc/openvpn/server/ca.crt
cert /etc/openvpn/server/server.crt
key /etc/openvpn/server/server.key
dh /etc/openvpn/server/dh.pem
user nobody
group nogroup
server 10.21.173.0 255.255.255.0
topology subnet
push "topology subnet"
persist-key
persist-tun
push "route 192.168.188.0 255.255.255.0"
route 10.173.14.0 255.255.255.0
keepalive 10 120
explicit-exit-notify 1
client-config-dir /etc/openvpn/clientconf
In das Verzeichnis /etc/openvpn/csconf/ auf dem Server kommt eine zusätzlich Konfig Datei z.B. mit dem Namen: "client01" Dieder dateiname muss identisch sein zum Common Name im Zertifikat des Clients als du das generiert hast.
Somit ist die PC Client der das lokale LAN routet dann vom Server eindeutig identifizierbar.
Der Inhalt ist folgender:
ifconfig-push 10.21.173.2 255.255.255.0
iroute 10.173.14.0 255.255.255.0
Achtung:
Ist dieser PC dein einziger Client und gibt es keinerlei andere Clients kann dieser Schritt auch entfallen.
Dann kann das Kommando client-config-dir /etc/openvpn/clientconf entfallen und in der Server Konfig steht dann nur:
route 10.173.14.0 255.255.255.0
iroute 10.173.14.0 255.255.255.0
(Man achte auf das "i" !)
Die Client Konfig sieht dann entsprechend aus:
dev tun
proto udp4
client
remote x.y.z.h
ca /etc/openvpn/client/ca.crt
cert /etc/openvpn/client/client01.crt
key /etc/openvpn/client/client01.key
auth-nocache
tls-client
remote-cert-tls server
user nobody
group nogroup
persist-tun
persist-key
mute-replay-warnings
pull
Da dein PC ja zwischen den IP Netzen routen muss musst du dort explizit noch IP Forwarding aktivieren.
Bei Windows passiert das in der Registry:
Merkzettel: VPN Installation mit OpenVPN
Danach musst du den Client rebooten.
Vergiss dann auch die statische Route im Internet Router des VPN Clients nicht !
Folgend dem obigen Beispiel müssen dort 2 Routen stehen:
Zielnetz: 192.168..188.0, Maske: 255.255.255.0, Gateway: <LAN IP OVPN-Client>
Zielnetz: 10.21.173.0, Maske: 255.255.255.0, Gateway: <LAN IP OVPN-Client>
So funktioniert dann das Netz zu Netz Routing fehlerlos !
Ist wie bereits gesagt alles hier mit Bild beschrieben.
Siehe dazu auch die offizielle OpenVPN Doku unter:
https://openvpn.net/community-resources/expanding-the-scope-of-the-vpn-t ...