14
3 Netzwerke dauerhaft per OPENVPN verbinden Hilfe wäre super
Hallo,
ich bin auf diesem Gebiet nun nicht der Experte, leider
Also, ich möchte 3 Netzwerke dauerhaft verbinden, so das jeder PC auf jeden zugreifen kann
192.168.0.0
192.168.3.0
192.168.5.0
Früher hatte ich das über die Fritzboxen laufen, aber seit Unitymedia war es das da geht die VPN Geschichte nicht (falsches Subnetz etc.)
Idee jetzt, OPENVPN: Geht das überhaupt? Wenn ja, wäre es mega wenn sich jemand erbarmt und mal meine ovpn Dateien anschaut, es hat mich 3 Tage gekostet das so zum laufen zu bringen
Ich habe schon für 3 einzelne PCs eine OPENVPN Verbindung am laufen( alle 3 PC laufen 24h am Tag.):
zentrale.ovpn
local 192.168.0.1
port 1194
proto udp
dev tun
ca "C:\\Programme\\OPenVPN\\server-keys\\ca.crt"
cert "C:\\Programme\\OPenVPN\\server-keys\\zentrale.crt"
key "C:\\Programme\\OPenVPN\\server-keys\\zentrale.key"
dh "C:\\Programme\\OPenVPN\\server-keys\\dh2048.pem"
#mode sever
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist "C:\\Programme\\OPenVPN\\ipp.txt"
client-to-client
client-config-dir "C:\\Programme\\OpenVPN\\ccd"
push "route 192.168.0.0 255.255.255.0"
push "dhcp-option DNS 192.168.0.100"
client-to-client
keepalive 10 120
comp-lzo
filiale3.ovpn
client
dev tun
proto udp
remote FESTE_IP 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca "c:\\programme\\openvpn\\config\\keys\\ca.crt"
key "c:\\programme\\openvpn\\config\\keys\\trois.key"
cert "c:\\programme\\openvpn\\config\\keys\\trois.crt"
ns-cert-type server
comp-lzo
verb 3
filiale5.ovpn
client
dev tun
proto udp
remote FESTE_IP 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca "c:\\programme\\openvpn\\config\\keys\\ca.crt"
key "c:\\programme\\openvpn\\config\\keys\\koeln.key"
cert "c:\\programme\\openvpn\\config\\keys\\koeln.crt"
ns-cert-type server
comp-lzo
verb 3
Was müsste ich ändern?
Ganz herzlichen Dank für jede Hilfestellung,
Winfried
ich bin auf diesem Gebiet nun nicht der Experte, leider
Also, ich möchte 3 Netzwerke dauerhaft verbinden, so das jeder PC auf jeden zugreifen kann
192.168.0.0
192.168.3.0
192.168.5.0
Früher hatte ich das über die Fritzboxen laufen, aber seit Unitymedia war es das da geht die VPN Geschichte nicht (falsches Subnetz etc.)
Idee jetzt, OPENVPN: Geht das überhaupt? Wenn ja, wäre es mega wenn sich jemand erbarmt und mal meine ovpn Dateien anschaut, es hat mich 3 Tage gekostet das so zum laufen zu bringen
Ich habe schon für 3 einzelne PCs eine OPENVPN Verbindung am laufen( alle 3 PC laufen 24h am Tag.):
zentrale.ovpn
local 192.168.0.1
port 1194
proto udp
dev tun
ca "C:\\Programme\\OPenVPN\\server-keys\\ca.crt"
cert "C:\\Programme\\OPenVPN\\server-keys\\zentrale.crt"
key "C:\\Programme\\OPenVPN\\server-keys\\zentrale.key"
dh "C:\\Programme\\OPenVPN\\server-keys\\dh2048.pem"
#mode sever
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist "C:\\Programme\\OPenVPN\\ipp.txt"
client-to-client
client-config-dir "C:\\Programme\\OpenVPN\\ccd"
push "route 192.168.0.0 255.255.255.0"
push "dhcp-option DNS 192.168.0.100"
client-to-client
keepalive 10 120
comp-lzo
filiale3.ovpn
client
dev tun
proto udp
remote FESTE_IP 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca "c:\\programme\\openvpn\\config\\keys\\ca.crt"
key "c:\\programme\\openvpn\\config\\keys\\trois.key"
cert "c:\\programme\\openvpn\\config\\keys\\trois.crt"
ns-cert-type server
comp-lzo
verb 3
filiale5.ovpn
client
dev tun
proto udp
remote FESTE_IP 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca "c:\\programme\\openvpn\\config\\keys\\ca.crt"
key "c:\\programme\\openvpn\\config\\keys\\koeln.key"
cert "c:\\programme\\openvpn\\config\\keys\\koeln.crt"
ns-cert-type server
comp-lzo
verb 3
Was müsste ich ändern?
Ganz herzlichen Dank für jede Hilfestellung,
Winfried
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 419780
Url: https://administrator.de/contentid/419780
Printed on: April 16, 2024 at 09:04 o'clock
14 Comments
Latest comment
Hallo,
Gegenfrage: Was funktioniert den konkret nicht? Du schreibst doch, dass die Clients eine VPN Verbindung aufbauen können.
Die Konfiguration dürfte soweit in Ordnung sein.
Kannst du von der Zentrale die einzelnen Clients pingen?
Sind die Routen für die anderen Netzen bei den jeweiligen Clients bzw. Router vorhanden?
Firewall Regeln bei den Clients und beim Server sind vorhanden?
IP Forwarding beim Server und bei den Clients aktiviert?
Ja. Vorausgesetzt der Tunnel funktioniert und das Routing ist korrekt eingerichtet.
Viele Grüße,
Exception
Gegenfrage: Was funktioniert den konkret nicht? Du schreibst doch, dass die Clients eine VPN Verbindung aufbauen können.
Die Konfiguration dürfte soweit in Ordnung sein.
Kannst du von der Zentrale die einzelnen Clients pingen?
Sind die Routen für die anderen Netzen bei den jeweiligen Clients bzw. Router vorhanden?
Firewall Regeln bei den Clients und beim Server sind vorhanden?
IP Forwarding beim Server und bei den Clients aktiviert?
Idee jetzt, OPENVPN: Geht das überhaupt?
Ja. Vorausgesetzt der Tunnel funktioniert und das Routing ist korrekt eingerichtet.
Viele Grüße,
Exception
Hallo,
super schnell!
Es läuft ja alles, aber halt nur über die einzelnen IPs die kann ich anpingen und auch Dateien tauschen etc.
10.8.0.0
10.8.0.6
10.8.0.10
halt nur genau die und keine anderen IPs
Ich möchte aber die ganzen Netze erreichen, sprich alle PCs im Netz 192.168.3.x und direkt mit der jeweiligen IP absprechen können
zB Ping auf 192.168.3.63 von 192.168.0.172
Firewallregeln sollte passen
Tja und die Frage nach Routen für die anderen Netze bei Clients oder Router und IP-Forwarding, da bin ich ja eben mit meinem Latein am Ende
Viele Grüße Winfried
super schnell!
Es läuft ja alles, aber halt nur über die einzelnen IPs die kann ich anpingen und auch Dateien tauschen etc.
10.8.0.0
10.8.0.6
10.8.0.10
halt nur genau die und keine anderen IPs
Ich möchte aber die ganzen Netze erreichen, sprich alle PCs im Netz 192.168.3.x und direkt mit der jeweiligen IP absprechen können
zB Ping auf 192.168.3.63 von 192.168.0.172
Firewallregeln sollte passen
Tja und die Frage nach Routen für die anderen Netze bei Clients oder Router und IP-Forwarding, da bin ich ja eben mit meinem Latein am Ende
Viele Grüße Winfried
halt nur genau die und keine anderen IPs
Dann fehlt die Rückroute und ebenso vermutlich ist IP Forwarding bei den Windows Kisten nicht aktiviert.
Windows wird normalerweise auch nicht als Router eingesetzt. Ebenso sollten VPN nur auf den Router/Firewall bereitgestellt werden.
Was hast du denn aktuell für ein Router?
Hi,
einen funktionierenden Multiclienttunnel mit 3 Netzen aufzubauen, sollte nicht das Problem sein.
Zum testen funktioniert Dein Aufbau sicher erst einmal.
Du solltest Dir aber überlegen, den OpenVPN-Server und seine beiden Clients, auf jeweils einem Router zu "platzieren". Je nachdem, was Du damit vor hast, gibt es da recht preiswerte Lösungen.
3 Netze mit mehreren PC 's und OpenVPN auf Windows-Maschinen zu betreiben, die dann auch noch das Routing übernehmen sollen?
Na ja, es gibt bessere Lösungen.
Gruß orcape
einen funktionierenden Multiclienttunnel mit 3 Netzen aufzubauen, sollte nicht das Problem sein.
Zum testen funktioniert Dein Aufbau sicher erst einmal.
Du solltest Dir aber überlegen, den OpenVPN-Server und seine beiden Clients, auf jeweils einem Router zu "platzieren". Je nachdem, was Du damit vor hast, gibt es da recht preiswerte Lösungen.
3 Netze mit mehreren PC 's und OpenVPN auf Windows-Maschinen zu betreiben, die dann auch noch das Routing übernehmen sollen?
Na ja, es gibt bessere Lösungen.
Gruß orcape
war es das da geht die VPN Geschichte nicht (falsches Subnetz etc.)
Ist wie immer Quatsch denn mit Subnetzen hat das nicht zu tun !Vermutlich nutzt Unitymedia DS-Lite. Das ist dann der Todesstoß. Es sei denn du setzt auf IPv6 oder nutzt einen IPv4 Tunnelbroker.
Dann ist so oder so generell aus mit VPNs, denn die machen ein zentrales NAT (Carrier Grade NAT) darüber kommt dann kein VPN mehr, da es die zentrale NAT Firewall des Providers nicht überwinden kann.
https://www.heise.de/ct/ausgabe/2013-6-Internet-Dienste-trotz-DS-Lite-nu ...
Exception
Alles Fritzboxen 6490, und ja, hatte vor Unitymedia das VPN auf den Fritzboxen am Laufen, bei Unitymedia muss ich aber entweder im 30er netz arbeiten, dann geht VPN, aber die Fritzbox ist dann nur noch DSLModem sprich muss weitere 3 Boxen kaufen.
Im 32er Netz sind die Fritzen auch volle Boxen, dann aber kein VPN
Alles Fritzboxen 6490, und ja, hatte vor Unitymedia das VPN auf den Fritzboxen am Laufen, bei Unitymedia muss ich aber entweder im 30er netz arbeiten, dann geht VPN, aber die Fritzbox ist dann nur noch DSLModem sprich muss weitere 3 Boxen kaufen.
Im 32er Netz sind die Fritzen auch volle Boxen, dann aber kein VPN
#orcape
ich bitte sehr herzlich um Vorschläge, bin da offen für andere Vorgehensweise und auch Anschaffungen, wenn es dann klappt und nicht zu teuer wird.
Gruß Winfried
ich bitte sehr herzlich um Vorschläge, bin da offen für andere Vorgehensweise und auch Anschaffungen, wenn es dann klappt und nicht zu teuer wird.
Gruß Winfried
Ich habe schon für 3 einzelne PCs eine OPENVPN Verbindung am laufen( alle 3 PC laufen 24h am Tag.):
Wenn dem so ist und das funktioniert, dann sollte auch OpenVPN auf einem Router laufen, der in der Routerkaskade hinter dem Unitimedia Kasten läuft.Die preiswerteste Variante ist, 3 Router für je 20-25 €uronen in der "Bucht" ersteigern und mit DDWRT oder OpenWRT flashen.
DD-WRT Router
Etwas komfortabler dann je eine APU mit pfSense, da hast Du zumindest eine gescheite Firewall.
Das Tutorial dazu, von @aqui, findest Du hier über die Suchfunktion.
Na ja, und preislich sind natürlich nach oben keine Grenzen gesetzt, wenn Du über den Tunnel Daten schaufeln musst.
Gruß orcape
Kläre erst einmal generell mit deinem Provider Unitymedia ob du einen DS-Lite Ansachluss hast.
Wie dir oben schon mehrfach gesagt wurde ist bei einem DS-Lite Anschluss ein VPN Betrieb oder auch der generell remote Zugriff technisch unmöglich !
Damit kann man durch das damit einhergehende CGN (Carrier Grade NAT) keinerlei VPN Infrastruktur realisieren. Jedenfalls nicht mit IPv4.
Wenn du nämlich einen DS-Lite Anschluss hast, dann ist hier jede Liebesmüh' umsonst, denn damit ist wie bereits mehrfach gesagt generell kein VPN mehr möglich und es gibt keine oder nur technisch sehr aufwändige Lösungen dafür.
Falls du nicht weisst was DS-Lite ist kannst du das hier nachlesen:
https://de.wikipedia.org/wiki/IPv6#Dual-Stack_Lite_(DS-Lite)
CGN:
https://de.wikipedia.org/wiki/Carrier-grade_NAT
Kläre das und dann erst macht es Sinn hier weiterzumachern oder eben nicht.
Vorab: Deine Chancen stehen eher schlecht, denn Unitymedia setzt verstärkt DS-Lite ein. Aber wie gesagt...klär das mit einem Anruf beim Provider !
Wie dir oben schon mehrfach gesagt wurde ist bei einem DS-Lite Anschluss ein VPN Betrieb oder auch der generell remote Zugriff technisch unmöglich !
Damit kann man durch das damit einhergehende CGN (Carrier Grade NAT) keinerlei VPN Infrastruktur realisieren. Jedenfalls nicht mit IPv4.
Wenn du nämlich einen DS-Lite Anschluss hast, dann ist hier jede Liebesmüh' umsonst, denn damit ist wie bereits mehrfach gesagt generell kein VPN mehr möglich und es gibt keine oder nur technisch sehr aufwändige Lösungen dafür.
Falls du nicht weisst was DS-Lite ist kannst du das hier nachlesen:
https://de.wikipedia.org/wiki/IPv6#Dual-Stack_Lite_(DS-Lite)
CGN:
https://de.wikipedia.org/wiki/Carrier-grade_NAT
Kläre das und dann erst macht es Sinn hier weiterzumachern oder eben nicht.
Vorab: Deine Chancen stehen eher schlecht, denn Unitymedia setzt verstärkt DS-Lite ein. Aber wie gesagt...klär das mit einem Anruf beim Provider !
#aqui
nein kein DS-Lite, Business Anschluss mit fester IPV4, kenne das Problem mit DS-Lite, das hatte ich früher mal und mir damals mit einem 2. Router und einem Dienstleister geholfen der dann von außen einen Zugriff ermöglichte.
Trotzdem vielen Dank für die Hinweise!
Winfried
nein kein DS-Lite, Business Anschluss mit fester IPV4, kenne das Problem mit DS-Lite, das hatte ich früher mal und mir damals mit einem 2. Router und einem Dienstleister geholfen der dann von außen einen Zugriff ermöglichte.
Trotzdem vielen Dank für die Hinweise!
Winfried
#orcape
Ich denke das wird die Lösung werden, vielen Dank nochmals für die Hilfe an alle!
Alleine hätte ich wahrscheinlich noch tagelang rumprobiert, so weiss ich wenigstens inwelche Richtung ich gehen muss!
Viele Grüße Winfried
Ich denke das wird die Lösung werden, vielen Dank nochmals für die Hilfe an alle!
Alleine hätte ich wahrscheinlich noch tagelang rumprobiert, so weiss ich wenigstens inwelche Richtung ich gehen muss!
Viele Grüße Winfried
OK, perfekt !
Dann ist ein OpebVPN basiertes VPN doch kein Thema mehr.
Mit der richtigen Router oder Firewall Hardware ist das doch ne Sache von Minuten.
Guckst du hier:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Geht aber natürlich auch mit aller anderen OVPN fähigen Hardware inklusive Raspberry Pi !
Also sehr einfach und schnell umzusetzen.
Wo ist denn nun genau dein Problem ?
Deine OVPN Konfigs von oben sind soweit alle OK. Allerdings fehlt auf den Clients eine statische Route in die anderen Filialnetze wenn du eine Any zu Any Kommunikation realisieren willst.
So wie es oben steht können die Clients nur mit dem Server Standort aber nicht untereinander.
Kannst du ja auch sehen wenn du dir mal mit die Routing Tabelle der OVPN Komponenten ansiehst.
Dann ist ein OpebVPN basiertes VPN doch kein Thema mehr.
Mit der richtigen Router oder Firewall Hardware ist das doch ne Sache von Minuten.
Guckst du hier:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Geht aber natürlich auch mit aller anderen OVPN fähigen Hardware inklusive Raspberry Pi !
Also sehr einfach und schnell umzusetzen.
Wo ist denn nun genau dein Problem ?
Deine OVPN Konfigs von oben sind soweit alle OK. Allerdings fehlt auf den Clients eine statische Route in die anderen Filialnetze wenn du eine Any zu Any Kommunikation realisieren willst.
So wie es oben steht können die Clients nur mit dem Server Standort aber nicht untereinander.
Kannst du ja auch sehen wenn du dir mal mit die Routing Tabelle der OVPN Komponenten ansiehst.
#aqui
nun ja (schäm), genau die statische Route (für Any to Any) ist mir eben nicht klar,
Muss diese denn wirklich nur auf die Clienten?
Ich hätte jetzt versucht auf dem Server einzufügen:
route 192.168.3.0 255.255.255.0 ;Netz 3
route 192.168.5.0 255.255.255.0 ;Netz 5
push "route 192.168.0.0 255.255.255.0" ;Servernetz
Auf dem Client 3 dann
route 192.168.3.0 255.255.255.0 ;clientnetz und mask
dito Client 5
route 192.168.5.0 255.255.255.0 ;clientnetz und mask
würde das denn dann funktionieren und ausreichen?
Deine mega Anleitung habe ich mir schon ausgedruckt, vielen Dank!
Gruss Winfried
nun ja (schäm), genau die statische Route (für Any to Any) ist mir eben nicht klar,
Muss diese denn wirklich nur auf die Clienten?
Ich hätte jetzt versucht auf dem Server einzufügen:
route 192.168.3.0 255.255.255.0 ;Netz 3
route 192.168.5.0 255.255.255.0 ;Netz 5
push "route 192.168.0.0 255.255.255.0" ;Servernetz
Auf dem Client 3 dann
route 192.168.3.0 255.255.255.0 ;clientnetz und mask
dito Client 5
route 192.168.5.0 255.255.255.0 ;clientnetz und mask
würde das denn dann funktionieren und ausreichen?
Deine mega Anleitung habe ich mir schon ausgedruckt, vielen Dank!
Gruss Winfried
Muss diese denn wirklich nur auf die Clienten?
Ja !Denk mal selber etwas nach... ! Die Clients bekommen ja vom Server per Push Route einzig nur sein lokales LAN aber nicht die IP Netzadressen der anderen Lokationen die sie aber brauchen um die Pakete routen zu können.
Genau die konfigurierst du ihnen mit dem "route xyz" oder "iroute xyz" Kommando in der Client Konfig damit er weiss wohin damit.
https://openvpn.net/vpn-server-resources/site-to-site-routing-explained- ...
https://community.openvpn.net/openvpn/wiki/RoutedLans
https://forums.openvpn.net/viewtopic.php?t=9055