nichtsnutz
Goto Top

Open VPN für End-to-Site-Verbindung einrichten

Hallo ins Forum,

ich benötige Hilfe bei der Ersteinrichtung einer Open-VPN Verbindung. Es soll ein Teltonika LTE-Router so konfiguriert werden, dass ein Windows-Client eine sichere Verbindung zu dessen lokalen Netzwerk (192.168.13.0/24) aufbauen kann.
Also möglichst simpel (am liebsten wäre mir eine PSK-Verschlüsselung) den Router als Server konfigurieren (es kann auch eine vorgefertigte config-Datei hochgeladen werden) und anschließend eine Client.ovpn-Datei erstellen, die dann auf dem Client nur noch importiert werden muss.

Ich habe zwei Screenshots mit angefügt, die die vorzunehmenden Einstellungen auf dem Router aufzeigen: Ein Mal mit TLS-Authentifizierung, ein Mal als PSK-Authentifizierung.
Die von Open-VPN bereitgestellten .bat-Dateien zur CA-, Zertifikats- und Keygenerierung scheinen sich mit fast jeder Programmversion zu ändern. Selbst auf der OpenVPN-Seite gibt es nur Anleitungen für ältere Programmversionen, die so bei der aktuellsten nicht mehr funktionieren.

Explizite Fragen zu dem PSK Screenshot:
Was hat es mit den ZWEI Tunnelendpunkten auf sich? Müsste es nicht eigentlich nur einen, nämlich den Server bzw. Router geben, da der Client sich ja theoretisch von überall einloggen könnte, sodass dieser Endpunkt dynamisch wäre?
Wieso muss ich für eine End-to-Site Verbindung auf dem Router ein Remote-Netzwerk angeben?
Wo bzw. wie kann ich eine Pre-Shared-Key-Datei generieren lassen?

Explizite Fragen zum TLS-Screenshot:
Wo finde ich eine brauchbare Anleitung (gerne auch auf Englisch) für die Erstellung der CA, Zertifikate und Keys für die aktuelle Programmversion?
Was hat es hier mit dem virtuellen Netzwerk auf sich? Ist das eine "ausdenkbares" Netzwerk, in dem in meinem Fall nur die IP's der Tunnelendpunkte existieren?


Ganz schön viel auf einmal...
Schon mal vielen Dank im Vorraus für hilfreiche Antworten!


Gruß
Hans
openvpn_serverconfig_psk
openvpn_serverconfig

Content-ID: 2239176852

Url: https://administrator.de/forum/open-vpn-fuer-end-to-site-verbindung-einrichten-2239176852.html

Ausgedruckt am: 22.12.2024 um 17:12 Uhr

ipzipzap
ipzipzap 21.03.2022 um 14:34:23 Uhr
Goto Top
Hi,

erstmal ein Tip zu Teltonika: Stell die Sprache in der GUI auf Englisch. Die haben einige dumme Fehler in den Übersetzungen, auf Englisch wird einem dann vieles klarer face-smile

cu,
ipzipzap
aqui
aqui 21.03.2022 aktualisiert um 14:47:40 Uhr
Goto Top
Außerdem, als weiteren Tip, supportet der Teltonika L2TP over IPsec:
https://wiki.teltonika-networks.com/view/L2TP_over_IPsec
Damit kann man dann sehr bequem die Onboard VPN Clients in allen Betriebssystemen verwenden OHNE mit externen VPN Clients, usw. rumfrickeln zu müssen. Erleichtert das VPN Management ungemein, von der schlechten OpenVPN Performance an sich mal ganz abgesehen.

Weitere grundlegende Infos wie Client Einrichtung usw. bei L2TP auch hier:
PfSense VPN mit L2TP (IPsec) Protokoll für mobile Nutzer
und hier
Scheitern am IPsec VPN mit MikroTik
Nichtsnutz
Nichtsnutz 21.03.2022 um 15:24:23 Uhr
Goto Top
Hallo noch mal,

danke für die schnellen Antworten!
@ipzipzap
gute Idee, wird gemacht.

@aqui
Stimmt, das kann der Router auch.
Mit welchem VPN das am Ende funktioniert, ist mir ziemlich egal.
Ich werd' mich mal daran versuchen und melde mich dann zurück.
aqui
aqui 21.03.2022 aktualisiert um 15:51:03 Uhr
Goto Top
ist mir ziemlich egal.
Sollte es bei einem verantwortungsbewussten Netzwerk Admin aber nicht, denn der Management Aufwand ist bei Verwendung der onboard VPN Funktion logischerweise deutlich geringer bei erheblich besserer Performance ! face-wink
Viel Erfolg !
Nichtsnutz
Nichtsnutz 21.03.2022 um 17:13:13 Uhr
Goto Top
So, ich habe jetzt versucht, den IPsec und L2TP Server auf dem Router entsprechend deiner Anleitung hier zu konfigurieren:
PfSense VPN mit L2TP (IPsec) Protokoll für mobile Nutzer
Anbei die Screenshots meiner Konfiguration.

Das lokale Netzwerk, in dem mein Client sich befindet, ist 192.168.3.0/24
Das entfernte vom LTE-Router ist 192.168.13.0/24
Als L2TP Adressbereich der Clients habe ich für diesen Testzweck 192.168.0.20 - 192.168.0.30 genommen.
Der Benutzer testuser hat die IP 192.168.0.21 .

Beim abspeichern des PSK auf dem Router möchte er einen "secrets ID-Selector" von mir haben. Das sagt mir leider gar nichts face-sad
Wenn ich da nichts eintrage, kommt die Meldung, dass er ohne keine IPsec-Verbindung herstellen.

Ich bekomm' beim Versuch eines Verbindungsaufbaus vom Client die Fehlermeldung, dass keine Sicherheitsrichtlinie für die Verbindung gefunden wurde.

Was habe ich falsch gemacht?

Vielen Dank noch mal für die Unterstützung!
ipsec server_config
psk warning_li
ipsec phase2
l2tp server config
ipsec  phase1
aqui
aqui 21.03.2022 aktualisiert um 17:37:13 Uhr
Goto Top
Als L2TP Adressbereich der Clients habe ich für diesen Testzweck 192.168.0.20 - 192.168.0.30 genommen.
Da musst du aufpassen. Keine besonders intelligente Wahl wenn du mit dem Client einmal in einem .0.0er LAN Segment bist ! Warum ? Siehe hier:
VPNs einrichten mit PPTP
Beachte auch die DH Group 14 bei dir. Besser ist du belässt diese auf 2 (1024) da nicht alle L2TP Clients 14 supporten.

Du schreibst das du einen LTE Router verwendest. Dazu ein wichtiger Punkt:
Hast du sichergestellt das du dort im LTE Netz eine öffentliche IPv4 IP Adresse bekommst ? In vielen LTE Netzen ist das nicht der Fall und man bekommt eine RFC 1918, oder RFC 6598 IPv4 Adresse aus dem privaten Bereich der im Internet NICHT geroutet wird.
Damit bleibst du dann am zentralen CGN Gateway (IP Adress Translation) des LTE Providers hängen. In dem Fall ist ein Zugriff von außen per IPv4 auf den Router generell technisch unmöglich weil du das CGN nicht überwinden kannst.
Damit kannst du deine VPN Pläne dann generell begraben, zumindestens für IPv4. Sofern der LTE Provider Dual Stack macht geht das dann nur per IPv6.
Kläre das also erstmal vorab bevor du weitermachst ! Im Falle von CGNAT beim LTE Provider ist dann so oder so Endstation.
Du kannst das auf der Statuspage des Routers sehen ob du am WAN/LTE Port eine dieser privaten RFC IPs bekommen hat.
Wenn das der Fall ist, ist ein Zugriff von außen, wie gesagt, generell nicht möglich. Das geht dann nur wenn du in einen anderen LTE Tarif (APN) wechselst der dir eine öffentliche v4 IP zur Verfügung stellt oder du musst mit einem Jumphost arbeiten oder einem v4 Tunnel Broker.
Alle 3 Optionen natürlich nur mit Mehrkosten.
Nichtsnutz
Nichtsnutz 21.03.2022 um 18:07:44 Uhr
Goto Top
Hallo aqui,

da hast du natürlich Recht. Da das ein Test ist und weder mein noch das entfernte Netz das 0.0er LAN Segment hat, hatte ich es erst mal auf Standard gelassen. Für den tatsächlichen Betrieb später wird das auf jeden Fall abgeändert.

Dein Punkt mit der öffentlichen IP ist interessant. Aus Umständen, die hier nicht weiter von Belang sind, geh' ich aber eigentlich davon aus, dass es eine "richtige" öffentliche IP sein müsste. Ich kläre das aber auf jeden Fall morgen ab.

Die DH Group habe ich angepasst.
Die Fehlermeldung am Client ist noch dieselbe.

Vielen Dank erst mal und schönen Abend!
aqui
aqui 21.03.2022 um 19:06:36 Uhr
Goto Top
geh' ich aber eigentlich davon aus, dass es eine "richtige" öffentliche IP sein müsste.
Für einen kundigen ITler sind da zuviele Konjunktive drin !!
Die wenigstens LTE Netze verteilen noch öffentliche v4 IPs ! Wenn, dann machen das nur noch Provider mit entsprechenden v4 Kontingenten und auch nur noch in teureren Business Accounts.
Bei den üblichen Massenprovidern mit Consumer Accounts bekommst du zu 99,9% keine öffentliche IP mehr im LTE Netz.
Besser also du klärst das nochmal wasserdicht über die Router Statusseite bevor du dir später einen Wolf suchst. face-wink
the-buccaneer
the-buccaneer 21.03.2022 um 21:54:23 Uhr
Goto Top
Hi Nichtsnutz!

Das wird der bei der PfSense "Identifier" genannte Schlüssel sein. Klassischerweise ist das bei IPSec die eigene IP oder der FQDN oder ein freier Key. Bei dir wird doch any, IP oder FQDN vorgeschlagen. Normalerweise muss aber auch ein Identifier der Gegenseite definiert werden. Welcher hier gemeint ist? Probiers aus. (Wenn deine Public-IP Sache gelöst ist...)
VG
Buc
Nichtsnutz
Nichtsnutz 23.03.2022 um 14:58:49 Uhr
Goto Top
Hallo aqui und die anderen,
der "Nichtsnutz" ist diesmal mein Sohn. Nur zur Aufklärung.
Mein Wissensstand hat sich demnach nicht verbessert.
Viele Grüße von der Ostsee ins Forum!

Jens
aqui
aqui 23.03.2022 um 20:17:39 Uhr
Goto Top
Wenn's das denn war bitte nicht vergessen deinen Thread dann auch als erledigt zu markieren !
Wie kann ich einen Beitrag als gelöst markieren?
Nichtsnutz
Nichtsnutz 23.03.2022 um 20:27:29 Uhr
Goto Top
Nein aqui.
Ich wollte nur Verwechslungen vermeiden.
Mein Sohn wird die Geschichte als erledigt markieren wenn er es hingekriegt hat.
Du hast mir schon so oft geholfen und ich wollte nur Klarheit schaffen.
Demnächst meldet er sich mit eigenem Account an.
Viele Grüße und wieder einmal "Danke"!

Jens
JohnKlein94
JohnKlein94 30.08.2022 um 18:18:37 Uhr
Goto Top
Außerdem, als weiteren Tip, supportet der Teltonika L2TP over IPsec:
https://vpnwelt.com/best-adblocker/
Damit kann man dann sehr bequem die Onboard VPN Clients in allen Betriebssystemen verwenden OHNE mit externen VPN Clients, usw. rumfrickeln zu müssen. Erleichtert das VPN Management ungemein, von der schlechten OpenVPN Performance an sich mal ganz abgesehen.

Weitere grundlegende Infos wie Client Einrichtung usw. bei L2TP auch hier:
PfSense VPN mit L2TP (IPsec) Protokoll für mobile Nutzer
und hier
Scheitern am IPsec VPN mit MikroTik

Vielen Dank für die Informationen, ich hatte ein ähnliches Problem..