IP Adressen definieren (2 Standorte, OpenVPN, lokaler Internetbreakout)
Liebe Community,
Da ich schon seit vielen Jahren etwas weiter von IP Adressen Konfigurationen weg bin, würde ich euch um euren Rat fragen wie ich am besten mein Netzwerk aufsetzen sollte.
Folgendes Problemstellung :
- Zwei Standorte, jeweils über Kabelinternet angebunden. Die WAN Modems laufen beide im Bridge Modus und haben eine öffentliche dynamische IP Adresse. (Ich nutze noip.com für den linken Standort seit längerem um mit meinem mobilen Geräten auf das Heimnetzwerk zuzugreifen).
- Der Netgear Router kann nur "OpenVPN Server" sein, der Asus kann auch "OpenVPN Client" sein. Daher war meine Überlegung den Asus Router als client über OpenVPN permanent an den Netgear zu verbinden.
- Für normalen Internetzugang soll der jeweilige lokale Internetzugang genutzt werden. Also öffentlicher traffic sollte nicht über das VPN geroutet werden.
- Alles was dann lokal ist (192.168.x.x) sollte dann egal wo man sich befindet in einem Netz und überall zugänglich sein. Als Beispiel habe ich hier mein NAS eingezeichnet. Der sollte dann auch vom rechten Standort sichtbar sein. Aber auch vice versa, wenn was im rechten Netzwerk wäre, sollte es auch im linken sichtbar sein.
- DHCP sollte auch auf beiden Seiten aktiv sein. Wobei das wär jetzt kein "muss", aber ich denke wenn mal die OpenVPN Verbindung nicht funktioniert sollten trotzdem die Endgeräte zumindest vom loakeln Router IP Adressen beziehen können.
Nun meine Fragen dazu :
- Sollten die beiden Netzwerke im selben Netz sein - 192.168.1.x oder wäre es hier besser linkes Netz 192.168.1.x und rechtes Netz 192.168.2.x ?
- Wenn nur ein Netz, könnte ich am ersten Router definieren dass DHCP nur von 192.168.1.2 - 192.168.1.99 geht und rechts 192.168.1.100 - 192.168.1.199 als Beispiel
- Wird es einen DHCP Konflikt geben ? Ich denke jeder Host sieht ja dann beide Router ?
- Kann ich sicherstellen dass der jeweilige öffentliche Traffic auch lokal abgeführt wird ?
- Statische Routen - helfen diese eventuell ?
- RIP1, RIP2 usw. - ehrlich ich habe keine Ahnung was da mehr Sinn macht
- Wenn ich mich momentan über z. Bsp das Mobiltelefon und OpenVPN mit dem linken Heimnetz verbinde, bekomme ich dann eine 10.x.x.x Adresse zugewiesen (Glaub auch nicht dass ich das am Netgear ändern kann). Wenn sich nun der Asus Router verbindent, gehe ich davon aus dass er ebenfalls eine 10er Adresse bekommt. Wie sehe ich dann die 192.168.2.x Host ? Oder sehe ich die dann gar nicht.
Das sind mal die Fragen die mir so eingefallen sind. Bin für jeden Tipp und Ratschläge sehr dankbar.
Vielen Dank
Raisch
Da ich schon seit vielen Jahren etwas weiter von IP Adressen Konfigurationen weg bin, würde ich euch um euren Rat fragen wie ich am besten mein Netzwerk aufsetzen sollte.
Folgendes Problemstellung :
- Zwei Standorte, jeweils über Kabelinternet angebunden. Die WAN Modems laufen beide im Bridge Modus und haben eine öffentliche dynamische IP Adresse. (Ich nutze noip.com für den linken Standort seit längerem um mit meinem mobilen Geräten auf das Heimnetzwerk zuzugreifen).
- Der Netgear Router kann nur "OpenVPN Server" sein, der Asus kann auch "OpenVPN Client" sein. Daher war meine Überlegung den Asus Router als client über OpenVPN permanent an den Netgear zu verbinden.
- Für normalen Internetzugang soll der jeweilige lokale Internetzugang genutzt werden. Also öffentlicher traffic sollte nicht über das VPN geroutet werden.
- Alles was dann lokal ist (192.168.x.x) sollte dann egal wo man sich befindet in einem Netz und überall zugänglich sein. Als Beispiel habe ich hier mein NAS eingezeichnet. Der sollte dann auch vom rechten Standort sichtbar sein. Aber auch vice versa, wenn was im rechten Netzwerk wäre, sollte es auch im linken sichtbar sein.
- DHCP sollte auch auf beiden Seiten aktiv sein. Wobei das wär jetzt kein "muss", aber ich denke wenn mal die OpenVPN Verbindung nicht funktioniert sollten trotzdem die Endgeräte zumindest vom loakeln Router IP Adressen beziehen können.
Nun meine Fragen dazu :
- Sollten die beiden Netzwerke im selben Netz sein - 192.168.1.x oder wäre es hier besser linkes Netz 192.168.1.x und rechtes Netz 192.168.2.x ?
- Wenn nur ein Netz, könnte ich am ersten Router definieren dass DHCP nur von 192.168.1.2 - 192.168.1.99 geht und rechts 192.168.1.100 - 192.168.1.199 als Beispiel
- Wird es einen DHCP Konflikt geben ? Ich denke jeder Host sieht ja dann beide Router ?
- Kann ich sicherstellen dass der jeweilige öffentliche Traffic auch lokal abgeführt wird ?
- Statische Routen - helfen diese eventuell ?
- RIP1, RIP2 usw. - ehrlich ich habe keine Ahnung was da mehr Sinn macht
- Wenn ich mich momentan über z. Bsp das Mobiltelefon und OpenVPN mit dem linken Heimnetz verbinde, bekomme ich dann eine 10.x.x.x Adresse zugewiesen (Glaub auch nicht dass ich das am Netgear ändern kann). Wenn sich nun der Asus Router verbindent, gehe ich davon aus dass er ebenfalls eine 10er Adresse bekommt. Wie sehe ich dann die 192.168.2.x Host ? Oder sehe ich die dann gar nicht.
Das sind mal die Fragen die mir so eingefallen sind. Bin für jeden Tipp und Ratschläge sehr dankbar.
Vielen Dank
Raisch
Kommentieren
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 480387
Url: https://administrator.de/forum/ip-adressen-definieren-2-standorte-openvpn-lokaler-internetbreakout-480387.html
Ausgedruckt am: 14.05.2025 um 06:05 Uhr
6 Kommentare
Neuester Kommentar
Du machst zwei Netze
192.168.1.x/24
192.168.2.x/24
Das VPN Netzwerk hat dann einen ganz anderen IP Bereich, das muss Dich aber nicht stören.
Das VPN unterbindet DHCP Anfragen, somit brauchst Du Links und rechts einen DHCP server, das die zwei Router ja von selbst erledigen können.
Beim VPN Server kann man einstellen, dass der Internet Traffic nicht über VPN geht.
Die Routen müsste der VPN Server und VPN Client von selbst einrichten. Wenn nicht, müsste es so aussehen:
Linker Router:
IP: 192.168.1.1
Route/Gateway: 192.168.2.0/24 zu 192.168.2.1 über Schnittstelle 10.0.0.1 (seine VPN IP)
Sein Standardgateway: IP Nummer, die er von seinem Internet Provider erhalten hat.
Clients erhalten Standardgateway 192.168.1.1
Rechter Router:
IP: 192.168.2.1
Route/Gateway: 192.168.1.0/24 zu 192.168.1.1 über Schnittstelle 10.0.0.2 (seine VPN IP)
Sein Standardgateway: IP Nummer, die er von seinem Internet Provider erhalten hat.
Clients erhalten Standardgateway 192.168.2.1
Würdest Du das ganze über ein Netz machen wollen, würden die Router nicht mehr wissen ob sie die Anfragen ins eigene Netz senden müssen oder ins entfernte Netz. Deswegen wird mit der Netzwerkmaske bestimmt wie groß das eigene Netz ist.
Beim Netzwerk 192.168.1.x und einer Maske von /24 oder 255.255.255.0 bedeutet das eigene Netz ist vorne immer 192.168.1 und die letzte Zahl darf sich ändern, damit es im eigenen Netz bleibt. Sobald sich eine der vorderen Zahlen ändert z.B. Die 1 wird zu 2, dann passt die Anfrage ins andere Netz und der Router schickt es dort hin. Sobald sich jedoch z.B. die erste Zahl ändert, passt die IP in keines der zwei bekannten Netze und er schickt die Anfrage über sein Standardgateway ins Internet. Deswegen hat die Standardgateway immer die Netzwerkmaske 0.0.0.0 oder /0, damit alle IP Nummern da rein passen.
Nachtrag: Du sprichst vom „sehen“, z.B. sehen die Clients zwei DHCP Server. Richtig wäre: Sie „erreichen“ zwei DHCP Server. „Sehen“ würden sie nur das, das zurück kommt, wenn sie eine Anfrage an alle schicken. Das nennt sich Broadcast. Ein Broadcast bleibt im eigenen Netzwerk. Z.B. ein Broadcast im linken Netzwerk hätte die Adresse 192.168.1.255 und würde alle Geräte zwischen 192.168.1.1 - 192.168.1.254 erreichen. Es würde dabei nur ein DHCP Server antworten, also „sieht“ der Client ihn quasi. Der Rechte DHCP Server bekommt davon nichts mit, da die Anfrage im 192.168.1.x Netzwerk stattfand und kann deswegen nicht antworten. Der Client „sieht“ ihn also nicht. Trotzdem könnte der Client den rechten DHCP Server mit einem Ping erreichen, wenn er seine Adresse kennen würde, dafür sorgt die normale Routing Liste. Aber der Router lässt absichtlich keine Broadcast Anfragen und damit auch keine DHCP Anfragen durch.
192.168.1.x/24
192.168.2.x/24
Das VPN Netzwerk hat dann einen ganz anderen IP Bereich, das muss Dich aber nicht stören.
Das VPN unterbindet DHCP Anfragen, somit brauchst Du Links und rechts einen DHCP server, das die zwei Router ja von selbst erledigen können.
Beim VPN Server kann man einstellen, dass der Internet Traffic nicht über VPN geht.
Die Routen müsste der VPN Server und VPN Client von selbst einrichten. Wenn nicht, müsste es so aussehen:
Linker Router:
IP: 192.168.1.1
Route/Gateway: 192.168.2.0/24 zu 192.168.2.1 über Schnittstelle 10.0.0.1 (seine VPN IP)
Sein Standardgateway: IP Nummer, die er von seinem Internet Provider erhalten hat.
Clients erhalten Standardgateway 192.168.1.1
Rechter Router:
IP: 192.168.2.1
Route/Gateway: 192.168.1.0/24 zu 192.168.1.1 über Schnittstelle 10.0.0.2 (seine VPN IP)
Sein Standardgateway: IP Nummer, die er von seinem Internet Provider erhalten hat.
Clients erhalten Standardgateway 192.168.2.1
Würdest Du das ganze über ein Netz machen wollen, würden die Router nicht mehr wissen ob sie die Anfragen ins eigene Netz senden müssen oder ins entfernte Netz. Deswegen wird mit der Netzwerkmaske bestimmt wie groß das eigene Netz ist.
Beim Netzwerk 192.168.1.x und einer Maske von /24 oder 255.255.255.0 bedeutet das eigene Netz ist vorne immer 192.168.1 und die letzte Zahl darf sich ändern, damit es im eigenen Netz bleibt. Sobald sich eine der vorderen Zahlen ändert z.B. Die 1 wird zu 2, dann passt die Anfrage ins andere Netz und der Router schickt es dort hin. Sobald sich jedoch z.B. die erste Zahl ändert, passt die IP in keines der zwei bekannten Netze und er schickt die Anfrage über sein Standardgateway ins Internet. Deswegen hat die Standardgateway immer die Netzwerkmaske 0.0.0.0 oder /0, damit alle IP Nummern da rein passen.
Nachtrag: Du sprichst vom „sehen“, z.B. sehen die Clients zwei DHCP Server. Richtig wäre: Sie „erreichen“ zwei DHCP Server. „Sehen“ würden sie nur das, das zurück kommt, wenn sie eine Anfrage an alle schicken. Das nennt sich Broadcast. Ein Broadcast bleibt im eigenen Netzwerk. Z.B. ein Broadcast im linken Netzwerk hätte die Adresse 192.168.1.255 und würde alle Geräte zwischen 192.168.1.1 - 192.168.1.254 erreichen. Es würde dabei nur ein DHCP Server antworten, also „sieht“ der Client ihn quasi. Der Rechte DHCP Server bekommt davon nichts mit, da die Anfrage im 192.168.1.x Netzwerk stattfand und kann deswegen nicht antworten. Der Client „sieht“ ihn also nicht. Trotzdem könnte der Client den rechten DHCP Server mit einem Ping erreichen, wenn er seine Adresse kennen würde, dafür sorgt die normale Routing Liste. Aber der Router lässt absichtlich keine Broadcast Anfragen und damit auch keine DHCP Anfragen durch.
Ich würde dir empfehlen nicht grad 192.168.1.x zu verwenden... Das ist einer der Bereiche die von den meisten Heim-Geräten auch mitgenutzt werde. Blöd wenn da irgendwer nen 08/15-Baumarkt-Router anklemmt (ob erlaubt oder nicht...) und der nen Konflikt mit deinem realen Router erzeugt.
Wenn du zwei Netze machst gibt es auch keinen Konflikt - da es nicht dieselbe Broadcast-Domain ist und somit der DHCP-Request nirgends ankommt. Dafür brauchst du dann schon nen Helper, solang du den nicht einstellst ist alles gut.
Nen Routing-protokoll ist hier m.E. völliger Unsinn, du hast genau 2 Netze... Das sollte sogar dein VPN-Gateway automatisch erledigen. Dasselbe mit dem Openvpn - dein Router weiss ja bereits welche Netze er hat und erledigt das. NUR wenn du von Site1 auf Netz2 zugreifen willst musst du eben die Route erstellen bzw. dem Ding sagen das es von VPN zu VPN hüpfen darf. Ob das Netgear/Asus-Heimknaller können kann ich auch nicht sagen...
Wenn du zwei Netze machst gibt es auch keinen Konflikt - da es nicht dieselbe Broadcast-Domain ist und somit der DHCP-Request nirgends ankommt. Dafür brauchst du dann schon nen Helper, solang du den nicht einstellst ist alles gut.
Nen Routing-protokoll ist hier m.E. völliger Unsinn, du hast genau 2 Netze... Das sollte sogar dein VPN-Gateway automatisch erledigen. Dasselbe mit dem Openvpn - dein Router weiss ja bereits welche Netze er hat und erledigt das. NUR wenn du von Site1 auf Netz2 zugreifen willst musst du eben die Route erstellen bzw. dem Ding sagen das es von VPN zu VPN hüpfen darf. Ob das Netgear/Asus-Heimknaller können kann ich auch nicht sagen...
maretz hat Recht. 192.168.1.x ist ungünstig. Nicht nur wegen der Gefahr eines Baumarkt Routers, sondern weil viele Heimnetze diesen Bereich verwenden. Willst Du Dich irgendwann Mal über WLAN von einem beliebigen Ort (z.B. Flughafen oder Freund) per VPN zu Deinem Netzwerk verbinden, muss dieser Ort einen anderen Adressbereich haben. Würde der Ort auch das 192.168.1.x oder 192.168.2.x verwenden, könnte der Router Deines Freundes nicht mehr unterscheiden, ob die Anfrage für sein Netz oder für Dein Netz bestimmt ist.
Verwende für Deine Netze also eine IP Nummer, die sonst so gut wie niemand hat z.B.
192.168.203.x für links und
192.168.204.x für rechts.
Verwende für Deine Netze also eine IP Nummer, die sonst so gut wie niemand hat z.B.
192.168.203.x für links und
192.168.204.x für rechts.
Vielen Dank Euch allen für die Ratschläge und Tipps. Werde es mal mit zwei Netzen und den festen IP Routen machen. Beide Netze werden von mir verwaltetet und auch alles was sich noch dazuhängt muss sowieso über meinen Tisch gehen. EIn bisschen Bauchschmerzen habe ich mit dem Netgear Router da dieser nur wenige Einstellungen erlaubt. Aber ich werde das mal so probieren.
DANKE !!!
DANKE !!!
Folgendes Problemstellung :
Einfach mal das "+" klicken bei der embeddeten Grafik, dann wird sie auch an die logisch richtige Position im Text gebracht so das man sie auch zum Text versteht... 
(Kann man übrigens auch noch nachträglich mit dem "Bearbeiten" Button machen !)
Fragen sind oben ja schon größtenteils beantwortet. Hier nochmal ein paar Addons:
Sollten die beiden Netzwerke im selben Netz sein - 192.168.1.x oder wäre es hier besser linkes Netz 192.168.1.x und rechtes Netz 192.168.2.x ?
Niemals im selben Netz ! Logisch, denn dann müsstest du ein Layer 2 Bridging machen, was dir den VPN Tunnel dann massiv mit überflüssigem Broad- und Multicast Traffic beider Netze belasten würde und die Performance in den Keller zieht. OpenVPN selber rät immer dringenst davon ab ein Bridging Design zu machen. Hier gilt wie immer die uralte Netzwerker Regel: "Route where you can, bridge where you must !" Sollte man eigentlich kennen als Netzwerker.Fazit: Unbedingt 2 unterschiedliche Netze und routen !!
Wenn nur ein Netz, könnte ich....
Wie oben bereits gesagt: Das ist KEINE Option !Wird es einen DHCP Konflikt geben ?
Nein, nicht wenn man routet !!Kann ich sicherstellen dass der jeweilige öffentliche Traffic auch lokal abgeführt wird ?
Ja, natüprlich. OpenVPN routet nur rein Traffic in den Tunnel der Zieladressen aus dem jeweiligen anderen lokalen LAN Netzwerk hat. Alles andere geht über die Default Route Richtung Provider bzw. Internet. Sollte man eigentlich auch wissen...Statische Routen
Unnötig ! OpenVPN propagiert in einem Routing Design (2 Netze) die Routen beim Tunnelaufbau immer dynmaisch !RIP1, RIP2 usw. - ehrlich ich habe keine Ahnung was da mehr Sinn macht
Kann man machen, muss man aber nicht. RIPv1 so oder so niemals, denn das ist tot, da es nicht mit CIDR Subnetzmasken umgehen kann. Weiss man aber auch als Netzwerker !Wenn also nur RIPv2. Bei deinem popeligen Design mit 2 Netzen macht das aber wenig Sinn. Sowas macht nur Sinn wenn man mehrere VPN Netze hat und ggf. automatisches Failover. Ein Beispiel kannstt du z.B. HIER zu dem Thema sehen.
Wenn ich mich momentan über z. Bsp das Mobiltelefon und OpenVPN mit dem linken Heimnetz verbinde, bekomme ich dann eine 10.x.x.x Adresse zugewiesen.
Dann machst du eine LAN zu LAN Kopplung plus ein VPN Client Dialin, ist das richtig ?Die 10er IP Adresse ist die IP Adresse des internen Tunnel Netzwerkes von OpenVPN. Das IP Netz was man in der Konfig Datei mit dem Kommando "server 10.1.2.0 255.255.255.0" z.B. definiert.
Natürlich ist das in jedem OVPN Router anpass- und konfigurierbar auf jede belibige IP Adresse !
Wichtige Infos zum generellen IP Adress Design bei VPNs findest du hier:
VPNs einrichten mit PPTP
Wenn sich nun der Asus Router verbindent, gehe ich davon aus dass er ebenfalls eine 10er Adresse bekommt.
Je nachdem was DU auf dem Router konfiguriert hast !! Die Frage können wir dir ja nicht beantworten ohne zu raten, da du es ja versäumt hast hier mal deine Konfig zu posten !Generelle Design und Konfig Fragen zu OpenVPN beantwortet das OpenVPN Tutorial hier im Forum:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Zitat von @raisch:
Liebe Community,
Nun meine Fragen dazu :
- Sollten die beiden Netzwerke im selben Netz sein - 192.168.1.x oder wäre es hier besser linkes Netz 192.168.1.x und rechtes Netz 192.168.2.x ?
Liebe Community,
Nun meine Fragen dazu :
- Sollten die beiden Netzwerke im selben Netz sein - 192.168.1.x oder wäre es hier besser linkes Netz 192.168.1.x und rechtes Netz 192.168.2.x ?
Nein, nicht das gleiche Netz. Routen wenn man kann, bridgen, wenn man muß. pflegt Kollege @aqui zu sagen.
Du solltest auf jeden fall zwei verschiedene IP-Netze nehmen, am besten zwei /24 aus 172.16.0.0/12 "herausschneiden" und nehmen, z.B. 172.17.2.0/24 und 172.17.3.0/24.
- Wenn nur ein Netz, könnte ich am ersten Router definieren dass DHCP nur von 192.168.1.2 - 192.168.1.99 geht und rechts 192.168.1.100 - 192.168.1.199 als Beispiel
Nur mit viel Tricks. Aber Du soltlest das sowiso lassen.
- Wird es einen DHCP Konflikt geben ? Ich denke jeder Host sieht ja dann beide Router ?
Ja.
- Kann ich sicherstellen dass der jeweilige öffentliche Traffic auch lokal abgeführt wird ?
Ja. einfach openVPN passend einstellen.
- Statische Routen - helfen diese eventuell ?
Da brauchst Du keine statischen Routen, weil die Internet-Router, die auch gleichzeitg das VPN machen, alle beteiligten Netze kennen.
- RIP1, RIP2 usw. - ehrlich ich habe keine Ahnung was da mehr Sinn macht
RIP brauchst Du überhaupt nicht. V1 sowieso nicht und auch bei V2 wäre ich da sehr zurückhaltend. bei diesem kleinen Netz brauchst Du überhaupt keine Routing-Protokolle.
- Wenn ich mich momentan über z. Bsp das Mobiltelefon und OpenVPN mit dem linken Heimnetz verbinde, bekomme ich dann eine 10.x.x.x Adresse zugewiesen (Glaub auch nicht dass ich das am Netgear ändern kann). Wenn sich nun der Asus Router verbindent, gehe ich davon aus dass er ebenfalls eine 10er Adresse bekommt. Wie sehe ich dann die 192.168.2.x Host ? Oder sehe ich die dann gar nicht.
Das ist alles eine einstellungsfrage von OpenVPN.
Das sind mal die Fragen die mir so eingefallen sind. Bin für jeden Tipp und Ratschläge sehr dankbar.
OpenVPN - Teil 1 - Installation, Konfiguration und erstellung der Zertifikate
OpenVPN - Teil 2 - OpenVPN Konfiguration
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Netzwerk Management Server mit Raspberry Pi
Allgemein sind die Anleitung des Kollegen aqui, zu finden unter seinen Wissensbeiträgen sehr hilfreich.
lks
