Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Open VPN Konfiguration

Mitglied: blubaa

blubaa (Level 1) - Jetzt verbinden

11.12.2018 um 15:16 Uhr, 1076 Aufrufe, 14 Kommentare

Hallo zusammen,

im Büro habe ich einen Server aufgesetzt mit Debian 9 und darauf OMV installiert um das ganze über ein Webgui zu verwalten.
In den OMV extras gibt es dann das OpenVPN plugin.

Das habe installiert und alles einrichtet und habe nun Verbindung von außen ab unseren Server aber auch ins restliche Netzwerk. Das wollte ich eigentlich nicht.

Aus einer manuellen Test-Installation, von OpenVPN, auf einem BananaPi habe ich aber eigentlich in Erinnerung das ich, wenn ich das denn möchte , eine statische route auf der FritzBox vergeben muss.

Dem ist aber momentan nicht so. Nun gehe ich davon aus das in meiner server.conf eine Route eingetragen wurde. Leider bin ich in dem Thema noch nicht so drin um genau zu wissen was ich da genau entfernen muss und hoffe mir kann da jemand helfen.

01.
....
02.
topology subnet
03.
server 10.66.66.0 255.255.255.0
04.
ifconfig-pool-persist ipp.txt
05.
;push "route 10.66.3.0 255.255.255.0"
06.
push "redirect-gateway def1 bypass-dhcp"
07.
push "dhcp-option DNS 10.66.3.1"
08.
;client-to-client
09.
keepalive 10 120
10.
comp-lzo
11.
;plugin /usr/lib/openvpn/openvpn-plugin-auth-pam.so login
12.
.....
hier mal ein Auszug aus der conf datei . Wenn ihr noch anderes Infos braucht einfach sagen..

danke schonmal für eure Hilfe
Mitglied: 129580
11.12.2018, aktualisiert um 15:34 Uhr
Moin,

im Büro habe ich einen Server aufgesetzt mit Debian 9 und darauf OMV installiert

Was ist denn OMV? Meinst du Openmediavault?

Das habe installiert und alles einrichtet und habe nun Verbindung von außen ab unseren Server aber auch ins restliche Netzwerk. Das wollte ich eigentlich nicht.

Den Satz verstehe ich nicht ganz. Du hast nun alles eingerichtet, der Tunnel funktioniert auch aber du kannst nun auch auf andere Geräte im Remote Netz zugreifen, auf die der Zugriff über den VPN nicht gewünscht ist?

Dann solltest du uns mal mehr über dein Netz erzählen.
Sind die Geräte im selben VLAN? Wenn ja, dann musst du diese in ein separates VLAN verschieben oder Firewall Regeln erstellen.
Entweder bei den VPN Server oder einzeln bei den Geräten lokal. Normalerweise erstellt man einen VPN nur auf einer Firewall oder zumindest bei einem Router. Dann hat man solch ein Problem gar nicht und man bohrt sich auch kein Loch in das interne Netz.

Daher: warum möchtest du das so realisieren? Du hast dabei nur Nachteile, insbesondere wenn der VPN Server gleichzeitig ein NAS ist.

Viele Grüße
Exception
Bitte warten ..
Mitglied: blubaa
11.12.2018 um 15:45 Uhr
Hi

ja ist vllt ein wenig umständlich alles. Ja meinte openmediavault

Es ist so. Ich habe eine Fritzbox A an der das Internet hängt mit IP Bereich A. Daran ist wiederum die Fritzbox B angeschlossen mit eigenem IP Bereich B.

im Netz B sind alle Büro Teilnehmer inkl. Server. Auf dem Server läuft im Moment der OPEN VPN Server da ich noch keinen eigenständigen VPN Router/Switch mit VLAN habe um die Regeln zu verwalten. Damit muss ich jetzt erstmal leben. Das interne VPN der Fritzbox möchte ich jetzt einfach mal außen vor lassen.

gerne nehme ich auch Hardwarevorschläge für den VPN Router/Switch entgegen


Was ich halt nicht verstehe das VPN öffnet ein netz 10.66.66.0/24 und die anderen Teilnehmer sind im Netz 10.66.3.0/24 und Privat (eltern) 10.66.2.0/24

Als ich ein ähnliches setup bei mir Privat in der Wohnung mit einem BananaPi, jedoch manueller Konfiguration von openvpn getestet hatte musste ich eine statische route in der fritzbox eintragen. damals war es 10.66.1.0/24 und vpn der standard von 10.8.0.0/24. Damit ich zugriff bekam. Diesmal ist es einfach möglich.

gruß
Bitte warten ..
Mitglied: 129580
11.12.2018, aktualisiert um 16:07 Uhr
Es ist so. Ich habe eine Fritzbox A an der das Internet hängt mit IP Bereich A. Daran ist wiederum die Fritzbox B angeschlossen mit eigenem IP Bereich B.

Oha. Eine Router Kaskade aus zwei Fritzboxen. Ich würde dir raten dieses Konstrukt dringend durch einen anständigen Router oder Firewall mit VLAN Funktionalität zu ersetzen.

Was ich halt nicht verstehe das VPN öffnet ein netz 10.66.66.0/24 und die anderen Teilnehmer sind im Netz 10.66.3.0/24 und Privat (eltern) 10.66.2.0/24

Ganz einfach.
In deiner OpenVPN Konfiguration wird das Gateway des Clients auf den VPN Server umgebogen. Der OpenVPN Server schickt den Request an sein Gateway und die Fritzbox macht ja NAT. Somit brauchst du auch keine Route zu Netz A.

Du könntest einfach den Parameter (push "redirect-gateway def1 bypass-dhcp") auskommentieren/entfernen oder eben entsprechende Firewall Regeln bei dem OpenVPN Server erstellen. Würde aber dir eher raten, das gesamte Netzwerkkonzept zu überdenken.

Wie gesagt: schnellstmöglich ändern, insbesondere da es sich offensichtlich um ein geschäftliches Umfeld handelt.
Bitte warten ..
Mitglied: blubaa
11.12.2018 um 16:02 Uhr
Ok ja das habe ich mir schon gedacht. Ist auch mehr eine Notlösung. Die mir selbst nicht gefällt.

Welche Hardware kann man da im Einsteigersegment empfehlen? Es handelt sich um ein kleines Netzwerk mit im Moment max. 10 clients.

Denn wenn man danach googlet wird man, finde ich zumindest, von unzähligen Produkten regelrecht erschlagen ^^ ..

Aber danke schonmal für deine Hilfe. Wieder was dazu gelernt !

gruß
andy
Bitte warten ..
Mitglied: aqui
11.12.2018, aktualisiert um 18:19 Uhr
eine statische route auf der FritzBox vergeben muss.
Ja das ist richtig !
Das interne VPN IP Netz was du mit server 10.10.10.0 255.255.255.0 z.B. in der Openvpn server.conf konfigurierst MUSS die FritzBox dann logischerweise über das lokale LAN Interface deines Debian Servers routen um die Clients zu erreichen.
Also:
Zielnetz: 10.10.10.0, Maske: 255.255.255.0, Gateway: <LAN_IP_Debian>

Ein Bild sagt mehr als tausend (Foren) Worte...

ovpnintern - Klicke auf das Bild, um es zu vergrößern

Ohne diese Route würde der Internet Router das an seinen Provider (Default Route) schicken und damit dann ins Daten Nirwana (Private RFC 1918 IPs werden gelöscht im Internet)
Dem Debian musst du natürlich noch IPv4 Forwarding (Routing) aktivieren sonst ist auch das sinnfrei. Er routet ja auch selber zwischen dem lokalen LAN und dem internen OVPN IP Netz und ohne Routing kommt dann logischerweise nix an da.
Also #net.ipv4.ip_forward=1 in der Datei /etc/sysctl.conf entkommentieren (# entfernen) und den Debian rebooten.
Fertisch

Nachteil:
Du musst ein Loch in deine FritzBox Firewall bohren und Internet Traffic ungeschützt ins interne LAN auf den Server lassen. Keine gute Idee !
Deshalb terminiert man sinnvollerweise VPNs immer direkt auf der Peripherie wie Router oder Firewall.
https://administrator.de/wissen/openvpn-server-installieren-pfsense-fire ...
https://administrator.de/wissen/ipsec-vpn-mobile-benutzer-pfsense-firewa ...
Hilfreich auch: Ein VPN Protokoll nutzen was keine weitere Zusatzsoftware erfordert sondern man bordeigene Clients nutzen kann sofern man mobile User anbindet. Reduziert den Verwaltungs Overhead.
Bei LAN zu LAN ist OVPN wieder eine gute Wahl.

Warum man, wenn man eh schon einen solchen VPN fähigen Router wie die FritzBox hat der das könnte, sich überflüssigerweise noch einen weiteren VPN Server ins lokale Netz dazustellt und die Router Firewall unsicherer macht muss man auch erstmal verstehen...aber egal, du hast sicher gute Gründe. Ist ja auch nicht das eigentliche Thema hier im Thread.
Bitte warten ..
Mitglied: blubaa
12.12.2018 um 07:30 Uhr
Hallo, danke für deine Antwort.

ja ich merke schon mein Ansatz das über openvpn zu machen hat in diesem fall Schwachstellen. Deshalb habe ich mich auch hier angemeldet um Erfahrungen zu sammeln. Werde das ganze jetzt erstmal Rückgängig machen und mit der Fritzbox vorlieb nehmen.

würde euch trotzdem noch bitten mir bei der Auswahl geeigneter Hardware zu helfen.

Dazu noch ein paar Fragen.

- Fritzbox am internet anschluss behalten und dann eine pfsense firewall mit VPN inkl VLAN dahinter?
- oder direkt ein anderer Router mit VPN und Firewall und dann noch ein VLAN switch der die Netze trennt?

ich sagmal 200-300€ würde ich jetzt erstmal ausgeben um das Grundsetup aufzubauen. Oder sollte man gleich mehr investieren? Oder reicht vllt auch schon eine geringere Investition?

- mir ist es schon wichtig die möglichste Sicherheit zu gewährleisten da der Server später durchgehend erreichbar sein soll. Da wir größtenteils auf Montage sind und von dort dann die Daten Zentral sammeln wollen.

@aqui die 2 links werde ich mir später mal anschauen , danke.
Bitte warten ..
Mitglied: aqui
12.12.2018 um 08:28 Uhr
PfSense Firewall wäre eine geeignete HW.
Tutorial dazu findest du hier im Forum.
Bitte warten ..
Mitglied: 138064
12.12.2018 um 11:52 Uhr
Hallo,

Kuck dir das mal an. OpenVPN Installation

Damit habe ich auch mein Debian OpenVPN Server eingerichtet und komme auch ins lokale Netzwerk.

Gruß
Bitte warten ..
Mitglied: blubaa
12.12.2018, aktualisiert um 14:38 Uhr
@138064 Hi, das aufsetzen und verbinden ist kein Problem. Hatte nur eine Verständnisfrage zu den static routes. Erreichbar war alles.
Habe nun aber auf anraten der forenkollegen wieder auf den VPN dienst der fritzbox zurück gegriffen und werde das erst einmal verwenden bis ich in andere Hardware investiert habe.

Ist nun mittels de shrew soft clients verbunden und funktioniert auch super bis jetzt. openvpn und portforwarding sind erstmal wieder komplett deaktiviert.

@rest danke ich schaue mir mal die ganzen Anleitungen an und versuche das passende für mich zu finden.

gruß
Bitte warten ..
Mitglied: aqui
12.12.2018 um 14:40 Uhr
st nun mittels de shrew soft clients verbunden und funktioniert auch super
Bei Winblows 10 gehts auch mit Bordmitteln:
https://avm.de/service/vpn/uebersicht/

Das sollte dich jetzt nich völlig verschrecken. Du kannst natürlich auch den OVPN Server im internen Netz betreiben. Du solltest dir dann aber nur immer im klaren sein das die FW durch das dadurch erforderliche Port Forwarding dann löchrig wird.
Man kann es durchaus so machen wenn man dami leben kann, sollte dann aber den OVPN Server in ein vom Produktivnetz abgetrenntes eigenes IP Netz stellen um ihn etwas abzuschotten.
Bitte warten ..
Mitglied: blubaa
12.12.2018 um 15:17 Uhr
Hi ja das hatte ich gesehen. Betreiben aber Win 7 und Win 10 . Somit hab ich mich dann für den Client entschieden

Naja verschreckt bin ich nicht. Aber ich möchte ja sicher auf die Daten am Server von außen zugreifen. Wenn das nun so erstmal die sicherste Lösung ist, bis ich mich in die Thematik pfsense eingelesen habe, dann soll es erstmal direkt über die Fritzbox laufen.

Damit können wir jetzt erstmal arbeiten und haben einen sicheren Datenaustausch. Und ich kann mir in ruhe gedanken über die Netzstruktur machen wie diese für die zukunft aufgebaut werden soll.

grüße
Bitte warten ..
Mitglied: aqui
12.12.2018 um 15:31 Uhr
Somit hab ich mich dann für den Client entschieden
Jedenfalls bei den Win 10 Clients überflüssig
Und ich kann mir in ruhe gedanken
Das ist der richtige Weg

Wenns das denn war bitte
https://administrator.de/faq/32
nicht vergessen.
Bitte warten ..
Mitglied: blubaa
12.12.2018 um 15:35 Uhr
Ja danke das war es erst einmal. Aber ich komme mit Sicherheit auf euch zurück.

gruß
Bitte warten ..
Ähnliche Inhalte
Router & Routing
Open VPN Problem
gelöst Frage von killtecRouter & Routing8 Kommentare

Hallo, ich habe ein Problem mit openVPN, bzw. mit einem Tunnel. Auf der einen Seite steht eine endian Firwall, ...

Ubuntu
Open VPN Port Problem
Frage von jensgebkenUbuntu6 Kommentare

Hallo Gemeinschaft, Ich habe ein Problem mit meinem Port bei OpenVPN Ich habe bisher UDP 1194 eingestellt und möchte ...

Firewall
PFsens Open VPN Verbindung
Frage von OSelbeckFirewall4 Kommentare

Ich richte gerade eine Open VPN Peer to Peer ein. Der VPN tunnel wird aufgebaut, dann kann ich pingen, ...

Router & Routing
Open VPN auf Split konfiguriren
Frage von 131455Router & Routing9 Kommentare

Hallo, früher mit W7 ging Open VPN immer Tadellos. Nun mit Windows 10 schliesst das Open VPN immer unseren ...

Neue Wissensbeiträge
Windows Server

Active Directory ESE Version Store Changes in Server 2019

Information von Dani vor 3 TagenWindows Server

Moin, Last month at Microsoft Ignite, many exciting new features rolling out in Server 2019 were talked about. But ...

Exchange Server

Microsoft Extending End of Support for Exchange Server 2010

Information von Dani vor 3 TagenExchange Server4 Kommentare

Moin, After investigating and analyzing the deployment state of an extensive number of Exchange customers we have decided to ...

Schulung & Training

Humble Book Bundle: Network and Security Certification 2.0

Tipp von NetzwerkDude vor 3 TagenSchulung & Training

Abend, bei HumbleBundle gibts mal wider ein schönes Paket e-books: sind verschiedene Zertifizierungen wie MCSA, CCNA, CompTIA etc., für ...

Voice over IP

Telekom Umstellung von ISDN Anlagenanschluss auf IP-Telefonie

Erfahrungsbericht von NixVerstehen vor 6 TagenVoice over IP10 Kommentare

Hallo zusammen, nachdem nun vor ein paar Tagen die zwangsweise Umstellung von ISDN auf IP-Telefonie problemlos über die Bühne ...

Heiß diskutierte Inhalte
VB for Applications
Euro-Zeichen in jedem neu erstellten Brief mit Word automatisch entfernen
gelöst Frage von imebroVB for Applications23 Kommentare

Hallo, ich habe ein Problem mit Word, bzw. mit dem €-Zeichen, welches bei Erstellung eines Word-Briefes automatisch eingesetzt wird. ...

Batch & Shell
Regedit eintrad ändern als Admin
Frage von cyberworm83Batch & Shell19 Kommentare

Hallo zusammen, ich bin derzeit als Rollout Techniker unterwegs und muss täglich bei zig Rechnern einen Registry Einträg ändern ...

Router & Routing
Mikrotik Config PTP
Frage von Marcel94Router & Routing17 Kommentare

Hallo, kennt sich jemand mit Mikrotik aus? Möchte gerne eine PTP Verbindung mit zwei SYTsq 5ac Antennen erstellen. So ...

Visual Studio
Prüfen, ob Programm schon disposed wurde
Frage von MarcoBornVisual Studio17 Kommentare

Hallo Forum, ich habe in VB.NET ein Programm geschrieben, welches Word startet und dort Daten ausliest. Obwohl ich die ...