22
Ist es möglich die VPN-Verbindung eines Subnetzes zu verwenden?
Hallo zusammen,
ich habe mir einen zweiten Router (ASUS) zugelegt auf dem ein OpenVPN Client läuft (img2).
Habe für die Gesamtübersicht den IST-Stand in einer Grafik abgebildet (img).
Auf der Fritzbox habe ich die IPv4-Route für das neue Netz 192.168.2.0 & dem internen VPN-Netz 10.80.0.0 bereits eingetragen (img1), somit können sich nun auch die beiden Endgeräte (PC 1 & PC 2) gegenseitig pingen.
Es hängen auch noch zwei weitere nicht WLAN-fähige Endgeräte (192.168.1.3 & 192.168.1.4) aufgrund der Gegebenheiten des Gebäudes per Powerline-Adapter auf der Fritzbox – meine Fragen dazu wären nun:
LG Thomas
ich habe mir einen zweiten Router (ASUS) zugelegt auf dem ein OpenVPN Client läuft (img2).
Habe für die Gesamtübersicht den IST-Stand in einer Grafik abgebildet (img).
Auf der Fritzbox habe ich die IPv4-Route für das neue Netz 192.168.2.0 & dem internen VPN-Netz 10.80.0.0 bereits eingetragen (img1), somit können sich nun auch die beiden Endgeräte (PC 1 & PC 2) gegenseitig pingen.
Es hängen auch noch zwei weitere nicht WLAN-fähige Endgeräte (192.168.1.3 & 192.168.1.4) aufgrund der Gegebenheiten des Gebäudes per Powerline-Adapter auf der Fritzbox – meine Fragen dazu wären nun:
- Gibt es eine Möglichkeit den Traffic der beiden ebenfalls über die VPN-Verbindung des zweiten Routers (analog zu PC 2, welcher direkt am ASUS-Router hängt) zu leiten, ohne physisch etwas verändern zu müssen?
- Falls ja, welche (IP-)Einstellungen müssen auf den beiden Endgeräten bzw. auf den beiden Routern getroffen werden?
LG Thomas
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 668905
Url: https://administrator.de/forum/ist-es-moeglich-die-vpn-verbindung-eines-subnetzes-zu-verwenden-668905.html
Ausgedruckt am: 21.12.2024 um 17:12 Uhr
22 Kommentare
Neuester Kommentar
Ich nehme an, du suchst eine Site-2-Site Verbindung zwischen Fritzbox und Asus Router. Das wäre zunächst mal der korrekte Suchbegriff.
Allerdings rätsel ich noch ein wenig über deinen Aufbau. Die Fritzbox hat eine Route 192.168.2.0 eingetragen, in welchem PC 2 steht, und damit kann PC1 PC2 pingen. Warum kann dann nicht ein anderer Teilnehmer, im selben Netz wie PC1, über die Fritzbox als Gateway mit PC2 kommunizieren? Haben die Teilnehmer in dem Netz die Fritzbox als Gateway eingetragen?
Auch etwas sonderbar: Hängt der ASUS Router nicht auch am Internet? Also geht der Traffic des VPNs durch ein eigenes LAN? Wieso wird da VPN gemacht und nicht einfach ein Transport-Netz draus?
Allerdings rätsel ich noch ein wenig über deinen Aufbau. Die Fritzbox hat eine Route 192.168.2.0 eingetragen, in welchem PC 2 steht, und damit kann PC1 PC2 pingen. Warum kann dann nicht ein anderer Teilnehmer, im selben Netz wie PC1, über die Fritzbox als Gateway mit PC2 kommunizieren? Haben die Teilnehmer in dem Netz die Fritzbox als Gateway eingetragen?
Auch etwas sonderbar: Hängt der ASUS Router nicht auch am Internet? Also geht der Traffic des VPNs durch ein eigenes LAN? Wieso wird da VPN gemacht und nicht einfach ein Transport-Netz draus?
2
Zitat von @ukulele-7:
Warum kann dann nicht ein anderer Teilnehmer, im selben Netz wie PC1, über die Fritzbox als Gateway mit PC2 kommunizieren? Haben die Teilnehmer in dem Netz die Fritzbox als Gateway eingetragen?
Auch etwas sonderbar: Hängt der ASUS Router nicht auch am Internet? Also geht der Traffic des VPNs durch ein eigenes LAN? Wieso wird da VPN gemacht und nicht einfach ein Transport-Netz draus?
Warum kann dann nicht ein anderer Teilnehmer, im selben Netz wie PC1, über die Fritzbox als Gateway mit PC2 kommunizieren? Haben die Teilnehmer in dem Netz die Fritzbox als Gateway eingetragen?
Auch etwas sonderbar: Hängt der ASUS Router nicht auch am Internet? Also geht der Traffic des VPNs durch ein eigenes LAN? Wieso wird da VPN gemacht und nicht einfach ein Transport-Netz draus?
Sorry, vielleicht habe ich mich nicht präzise genug ausgedrückt. Die anderen Teilnehmer haben sehr wohl auch die Fritzbox als Gateway eingetragen und können mit PC2 kommunizieren. Mein Ziel wäre es, dass der Traffic dieser Teilnehmer (aus dem LAN1) ebenfalls durch den VPN-Client des ASUS-Routers geleitet wird. Was bei PC2 (LAN2) bereits funktioniert, weil dieser direkt mit dem ASUS verbunden ist.
Der ASUS-Router hängt per WAN-Port auf der Fritzbox (LAN-Port 4) und somit auch im Internet. Im Prinzip wollte ich ausschließlich eine Möglichkeit schaffen, den Traffic von bestimmten Clients über den VPN-Client des ASUS-Routers laufen zu lassen. Im Optimalfall auch für einzelne Clients, welche physisch mit der Fritzbox verbunden sind. Wenn ich hier zu kompliziert gedacht habe, dann lass es mich gerne Wissen. Leider habe ich in diesem Bereich nicht viel Erfahrung.
Wie du ja schon richtig svhreibst;
PC2 ist mit dem VPN-Asus verbunden und es klappt ...
... weil der Adus sein Gateway ist und das VPN kennt ...
... folglich müssen die anderen informiert werden, das die Netwerk-Adressen zum VPN-Netz über den Asus erreichbar sind ...
... das entweder
- dur h einen Netzwerk-Routing Eintrag in den erweiterten Einstellungen der FritzBox
- oder mit "route add", etc bei den Clients
Mit "route print" werden dir - zum Verständnis - aktuelle Routen der Clients angezeigt ...
Die VPN-Verbindung an sich ist Sache zwischen den 2 VPN-Verbindungspunkten und für die Clients transparent...
PC2 ist mit dem VPN-Asus verbunden und es klappt ...
... weil der Adus sein Gateway ist und das VPN kennt ...
... folglich müssen die anderen informiert werden, das die Netwerk-Adressen zum VPN-Netz über den Asus erreichbar sind ...
... das entweder
- dur h einen Netzwerk-Routing Eintrag in den erweiterten Einstellungen der FritzBox
- oder mit "route add", etc bei den Clients
Mit "route print" werden dir - zum Verständnis - aktuelle Routen der Clients angezeigt ...
Die VPN-Verbindung an sich ist Sache zwischen den 2 VPN-Verbindungspunkten und für die Clients transparent...
1
Also ich verstehe das jetzt so:
Du hast eine Router-Kaskade. Die Fritzbox macht die Internet Einwahl. Sie stellt damit auch dem ASUS Router seinen Internet-Zugang her. Der ASUS Router macht darüber einen VPN Tunnel nach Außerderhalb auf, also der VPN Tunnel führt zu einem ganz anderen, externen Netz und soll genutzt werden können.
Einige PCs hängen am am ASUS und kommen über ihn an die Fritzbox und das Internet sowie in den VPN Tunnel. Einige weitere Teilnehmer hängen an der Fritzbox, die kommen darüber ins Internet aber nicht in den VPN Tunnel.
Habe ich das so richtig verstanden?
Aus meiner Sicht könnten die Geräte an der Fritzbox über eine statische Route für das VPN Netz mit dem ASUS als Gateway-Adresse auch ins VPN kommunizieren. Aber nicht durch das VPN in das gesamte Internet - dafür müsste die Fritzbox den ASUS als Gateway nutzen - sie müsste aber den Traffic des ASUS ins Internet selbst natürlich anders behandeln. Keine Ahnung, ob letzteres mit einer Fritzbox umsetzbar wäre. Eine Route für 10.80.0.0/30 mit Gateway ASUS wäre aber zumindest an jedem Client machbar. Eventuell auch in der Fritzbox selbst?
Du hast eine Router-Kaskade. Die Fritzbox macht die Internet Einwahl. Sie stellt damit auch dem ASUS Router seinen Internet-Zugang her. Der ASUS Router macht darüber einen VPN Tunnel nach Außerderhalb auf, also der VPN Tunnel führt zu einem ganz anderen, externen Netz und soll genutzt werden können.
Einige PCs hängen am am ASUS und kommen über ihn an die Fritzbox und das Internet sowie in den VPN Tunnel. Einige weitere Teilnehmer hängen an der Fritzbox, die kommen darüber ins Internet aber nicht in den VPN Tunnel.
Habe ich das so richtig verstanden?
Aus meiner Sicht könnten die Geräte an der Fritzbox über eine statische Route für das VPN Netz mit dem ASUS als Gateway-Adresse auch ins VPN kommunizieren. Aber nicht durch das VPN in das gesamte Internet - dafür müsste die Fritzbox den ASUS als Gateway nutzen - sie müsste aber den Traffic des ASUS ins Internet selbst natürlich anders behandeln. Keine Ahnung, ob letzteres mit einer Fritzbox umsetzbar wäre. Eine Route für 10.80.0.0/30 mit Gateway ASUS wäre aber zumindest an jedem Client machbar. Eventuell auch in der Fritzbox selbst?
Ist das Problem gelöst Thomas ?
Ja genau das wäre mein Vorhaben.
Auf der Fritzbox hätte ich die Route bereits hinterlegt. Bei den zwei IPTV-Receivern (enigma2 mit OpenATV) wird es aber denk ich eher schwierig einzustellen oder hast du hier vielleicht auch einen Tipp?
Nein, leider noch nicht.
Müssen die zwei Clients im Netz der Fritzbox nur in ein bestimmtes VPN Subnetz oder muss deren gesamter Internet-Traffic über das VPN laufen?
- Wenn ersteres, dann reicht eine statische Route auf der Fritzbox in das VPN-Netz die auf den Asus als Gateway zeigt, Des weiteren muss sichergestellt werden das entweder der Gesamte Traffic der jeweiligen Clients über den Tunnel geNETed werden oder wenn nicht, es also ein Site2Site ist, auf der Gegenseite eine Route angelegt sein die das 192.168.1.0/24 Subnetz wieder zurück leitet.
- Wenn letzeres, also der gesamte Traffic durch das VPN gehen soll, dann musst du bei deinem Setup auf den zwei Clients das Default-GW auf die IP des ASUS-Routers im Fritzbox Netz setzen (192.168.1.1) und auf dem Asus-Router auch sicherstellen das der Traffic dieser Clients per Policy-Routing-Rule auch über den Tunnel läuft ("Rules for routing client traffic through the tunnel").
Wenn, ersten Fall angenommen, du schon eine Route auf der Fritzbox gesetzt hast, müsste der Traffic bereits ins VPN laufen. Vermutlich klappt dann eher der Rückweg nicht, wo auch @150704 verwiesen hat. Du könntest das sehen wenn du vom Client an der Fritzbox einen tracert auf eine IP aus dem VPN machst. Bis zum ASUS müsste der tracert dann Daten liefern, darüber hinaus dann timeouts produzieren.
Der angesprochenen IP im VPN fehlt dann ein Weg zurück zu deinem Absender. Das kann auch mit einer Route gemacht werden, allerdings nur, wenn das 192.168.1.0-Netz nicht auch noch anderweitig existiert.
Der angesprochenen IP im VPN fehlt dann ein Weg zurück zu deinem Absender. Das kann auch mit einer Route gemacht werden, allerdings nur, wenn das 192.168.1.0-Netz nicht auch noch anderweitig existiert.
Moin,
Mal ganz doof gefragt: Warum hängst Du nicht einfach alles hinter den ASUS? Dann können alle das VPN Nutzen (oder auch nicht, einstellbar im ASUS). Und wenn die getrennt von PC2 sein muüssen, machst Du auf dem ASUS-Router einfach zwei verschiedene LAN-Interfaces. (ich gehe mal davon aus, daß Du den ASUS mit open- oder DD-WRT geflasht hast).
lks
Mal ganz doof gefragt: Warum hängst Du nicht einfach alles hinter den ASUS? Dann können alle das VPN Nutzen (oder auch nicht, einstellbar im ASUS). Und wenn die getrennt von PC2 sein muüssen, machst Du auf dem ASUS-Router einfach zwei verschiedene LAN-Interfaces. (ich gehe mal davon aus, daß Du den ASUS mit open- oder DD-WRT geflasht hast).
lks
Und ist das Problem jetzt gelöst Thomas ? Ich hätte sonst eine Idee...
Zitat von @150704:
Müssen die zwei Clients im Netz der Fritzbox nur in ein bestimmtes VPN Subnetz oder muss deren gesamter Internet-Traffic über das VPN laufen?
Müssen die zwei Clients im Netz der Fritzbox nur in ein bestimmtes VPN Subnetz oder muss deren gesamter Internet-Traffic über das VPN laufen?
Auf den beiden Clients müsste lediglich der Traffic meines IPTV-Anbieters über VPN laufen: provider.domain.net:8080
Aktuell sind folgende Routen auf der Fritzbox konfiguriert:
VPN-Netz
Netzwerk: 10.80.0.0
Subnetzmaske: 255.255.255.252
Gateway: 192.168.2.1
LAN2
Netzwerk: 192.168.2.0
Subnetzmaske: 255.255.255.0
Gateway: 192.168.1.24Wie würdest du es in diesem Fall am besten umsetzen?
In dem Fall den Client hinter den Asus klemmen. Die Fritte ist zu beschränkt was selektives Policy-Routing anbelangt, außer der Anbieter nutzt dauerhaft eine feste IP-Range zu der sich der Client verbindet,dann kannst du nur dieses Subnetz per Static Route umleiten.
Zitat von @ukulele-7:
Wenn, ersten Fall angenommen, du schon eine Route auf der Fritzbox gesetzt hast, müsste der Traffic bereits ins VPN laufen. Vermutlich klappt dann eher der Rückweg nicht, wo auch @150704 verwiesen hat. Du könntest das sehen wenn du vom Client an der Fritzbox einen tracert auf eine IP aus dem VPN machst. Bis zum ASUS müsste der tracert dann Daten liefern, darüber hinaus dann timeouts produzieren.
Der angesprochenen IP im VPN fehlt dann ein Weg zurück zu deinem Absender. Das kann auch mit einer Route gemacht werden, allerdings nur, wenn das 192.168.1.0-Netz nicht auch noch anderweitig existiert.
Wenn, ersten Fall angenommen, du schon eine Route auf der Fritzbox gesetzt hast, müsste der Traffic bereits ins VPN laufen. Vermutlich klappt dann eher der Rückweg nicht, wo auch @150704 verwiesen hat. Du könntest das sehen wenn du vom Client an der Fritzbox einen tracert auf eine IP aus dem VPN machst. Bis zum ASUS müsste der tracert dann Daten liefern, darüber hinaus dann timeouts produzieren.
Der angesprochenen IP im VPN fehlt dann ein Weg zurück zu deinem Absender. Das kann auch mit einer Route gemacht werden, allerdings nur, wenn das 192.168.1.0-Netz nicht auch noch anderweitig existiert.
Das kam beim Traceroute vom Client im Fritzbox-Netz auf die Local IP des ASUS-Routers heraus:
C:\Users\Thomas>tracert 10.80.0.26
Routenverfolgung zu 10.80.0.26 über maximal 30 Hops
1 2 ms 1 ms 1 ms fritz.box [192.168.1.1]
2 5 ms 4 ms 4 ms 10.194.0.2
3 7 ms 16 ms 6 ms 10.10.15.24
4 * * * Zeitüberschreitung der Anforderung.
5 ^C
Zitat von @Lochkartenstanzer:
Moin,
Mal ganz doof gefragt: Warum hängst Du nicht einfach alles hinter den ASUS? Dann können alle das VPN Nutzen (oder auch nicht, einstellbar im ASUS). Und wenn die getrennt von PC2 sein muüssen, machst Du auf dem ASUS-Router einfach zwei verschiedene LAN-Interfaces. (ich gehe mal davon aus, daß Du den ASUS mit open- oder DD-WRT geflasht hast).
lks
Moin,
Mal ganz doof gefragt: Warum hängst Du nicht einfach alles hinter den ASUS? Dann können alle das VPN Nutzen (oder auch nicht, einstellbar im ASUS). Und wenn die getrennt von PC2 sein muüssen, machst Du auf dem ASUS-Router einfach zwei verschiedene LAN-Interfaces. (ich gehe mal davon aus, daß Du den ASUS mit open- oder DD-WRT geflasht hast).
lks
Hi, ich habe auf der Fritzbox mittlerweile schon einiges konfiguriert, der ASUS-Router soll im Grunde nur zur Herstellung einer VPN-Verbindung für einzelne Clients dienen.
Aktuell noch nicht, ich habe jetzt noch einige Infos für euch sammeln können.
Ich kann noch nicht einschreiten. Ich muss warten.
Gemäß dem tracert scheint die Fritzbox den Traffic ins Internet zu schicken, nicht zum ASUS. Ich habe keine Fritzbox und hab da auch noch nie eine Route angelegt.
Alles hinter dem ASUS ist eine einfache Methode, das Problem zu lösen. Vielleicht kann auch der ASUS die Internet-Einwahl selbst machen?
Alles hinter dem ASUS ist eine einfache Methode, das Problem zu lösen. Vielleicht kann auch der ASUS die Internet-Einwahl selbst machen?
Das wäre der normale Weg.
Also bis jetzt bin ich davon ausgegangen, daß es so ist, weil es ein besonderer Grund dafür gibt?
Also bis jetzt bin ich davon ausgegangen, daß es so ist, weil es ein besonderer Grund dafür gibt?
Zitat von @ukulele-7:
Gemäß dem tracert scheint die Fritzbox den Traffic ins Internet zu schicken, nicht zum ASUS. Ich habe keine Fritzbox und hab da auch noch nie eine Route angelegt.
Alles hinter dem ASUS ist eine einfache Methode, das Problem zu lösen. Vielleicht kann auch der ASUS die Internet-Einwahl selbst machen?
Gemäß dem tracert scheint die Fritzbox den Traffic ins Internet zu schicken, nicht zum ASUS. Ich habe keine Fritzbox und hab da auch noch nie eine Route angelegt.
Alles hinter dem ASUS ist eine einfache Methode, das Problem zu lösen. Vielleicht kann auch der ASUS die Internet-Einwahl selbst machen?
Habe es jetzt anders gemacht:
Die beiden IPTV-Receiver an der Fritzbox laufen jetzt jeweils selbständig über einen lokal installierten VPN-Client (Wireguard). Beim ASUS habe ich zumindest künftig die Option Geräte per WLAN über VPN laufen zu lassen bzw. gemäß eurem Vorschlag physisch anzubinden. Danke für eure Tipps!
Zitat von @SPOK71:
Das wäre der normale Weg.
Also bis jetzt bin ich davon ausgegangen, daß es so ist, weil es ein besonderer Grund dafür gibt?
Das wäre der normale Weg.
Also bis jetzt bin ich davon ausgegangen, daß es so ist, weil es ein besonderer Grund dafür gibt?
Habe es jetzt anders gemacht:
Die beiden IPTV-Receiver an der Fritzbox laufen jetzt jeweils selbständig über einen lokal installierten VPN-Client (Wireguard). Beim ASUS habe ich zumindest künftig die Option Geräte per WLAN über VPN laufen zu lassen bzw. gemäß eurem Vorschlag physisch anzubinden. Danke für eure Tipps!
Bitte noch als gelöst markieren.
