geopower
Goto Top

OpenVPN - Frage zur Umsetzung

Guten Morgen miteinander.

Kenne und verfolge das Forum das ich sehr gut finde schon länger aber nun habe ich selber ein Problem und hoffe ihr könnt ein wenig helfen.
Habe mit VPN noch nicht wirklich zu tun gehabt außer FritzVPN.

Ich brauche von außen Zugriff auf einen Win10 Rechner. Dabei sollen 2 Notebooks gleichzeitig mit einem Programm kommunizieren können. Router ist der Speedport w724v. Habe mich in OpenVPN eingelesen verstehe es aber nicht so ganz.
Auf der Homepage findet man lediglich eine self hosted Variante die ab 3 Zugängen kostenpflichtig wird und die as-a-service Variante die ab 4 Zugängen kostet. Dabei lese ich überall OpenVPN wäre komplett kostenlos. Es gibt hier im Forum eine Anleitung wie man einen Server aufsetzt(ist die noch so aktuell?):

OpenVPN - Teil 1 - Installation, Konfiguration und erstellung der Zertifikate von dadasearch.

Woher bekommt man die Server Installationsdatei??? Muss ich OpenVPN auf dem Win10 Rechner installieren und den Client auf den Notebooks oder brauche ich extra Hardware? Wie macht ihr das? Oder wie würdet ihr es in meinem Fall machen? Über etwas Aufklärung wäre ich sehr dankbar.


Vielen Dank

Content-ID: 666459

Url: https://administrator.de/forum/openvpn-frage-zur-umsetzung-666459.html

Ausgedruckt am: 22.12.2024 um 08:12 Uhr

NordicMike
NordicMike 06.05.2021 aktualisiert um 09:38:52 Uhr
Goto Top
Die einfachste Methode, wenn es nur um diesen einen Win10 Rechner geht: Du kannst den Win10 Rechner zum Server machen und im Router die Anfragen zum Win10 Rechner durchreichen -> Port UDP 1194
https://www.telekom.de/hilfe/festnetz-internet-tv/sicherheit/missbrauch- ...
und gibst dort die IP Nummer des Win10 Rechners ein.

Dann installierst du das OpenVPN Programm auf alle 3 Rechner.
https://openvpn.net/community-downloads/
Die Version "Windows 64-bit MSI installer"

Für den Server und für die Clients benötigst du dann unterschiedliche Konfigurationsdateien, da gibt es auch genügend Anleitungen dazu im Netz, das hier den Rahmen sprengen würde...
aqui
aqui 06.05.2021 aktualisiert um 13:30:52 Uhr
Goto Top
Habe mit VPN noch nicht wirklich zu tun gehabt außer FritzVPN.
Also hast du doch was mit VPNs zu tun gehabt ! 😉
Habe mich in OpenVPN eingelesen verstehe es aber nicht so ganz.
Auch das hiesige OpenVPN Tutorial:
Merkzettel: VPN Installation mit OpenVPN
Dort ist doch eigentlich alles, auch für Laien und Anfänger, haarklein erklärt ?!
Dabei lese ich überall OpenVPN wäre komplett kostenlos.
Ist es doch auch !
Woher bekommt man die Server Installationsdatei???
Die machst du natürlich selber, denn du betreibst ja einen eigenen OpenVPN Server in deinem Netz. Siehe OpenVPN Tutorial oben !!
Muss ich OpenVPN auf dem Win10 Rechner installieren und den Client auf den Notebooks
Ja, genau. Das ist absolut richtig !
Wie macht ihr das?
Wir kaufen für 35 Euronen einen Raspberry Pi 4 oder einen einfachen 20 Euro Router wie z.B. einen Mikrotik hAP
https://www.varia-store.com/de/produkt/97209-mikrotik-routerboard-rb941- ...
oder einen kleinen GL.inet Router die beide, im Gegesatz zu deinem SP Gruselrouter, OpenVPN von sich aus schon gleich an Bord haben:
https://www.amazon.de/GL-iNet-GL-MT300N-V2-Repeater-Performance-Compatib ...
und installieren dort den OpenVPN Server und lassen den laut o.a., Tutorial im eigenen Netz als VPN Server laufen.
Mikrotik Setup hier: Clientverbindung OpenVPN Mikrotik

Richtig gute Netzwerker und technisch Kundige schmeissen natürlich solche Schrottrouter wie den Speedport sofort weg und beschaffen sich einen VPN Router der den Namen Router auch verdient.
Es ist recht unverständlich warum du dir so einen Müll vom Provider andrehen lässt und den Schrott auch noch kostenpflichtig bezahlst. Schlauer wäre gewesen du hättest dir gleich eine FritzBox besorgt und dann hättest du ohne jegliche weitere Hardware ein VPN gehabt mit dem du dich auch noch perfekt auskennst.
Warum also den Unsinn mit dem Speedport. Es herrscht eine gesetzliche freie Router Wahl in der EU !!!

Heisser Tip für dich als Anfänger:
Wenn du dich für den RasPi oder den o.a. GL.inet_Router als Lösung entscheidest (oder du kannst natürlich auch einen stromfressenden Winblows PC im Heimnetz glühen lassen...) dann nimm statt OpenVPN lieber das für Laien einfacher zu installiernde WireGuard:
Merkzettel: VPN Installation mit Wireguard
Ghent74
Ghent74 06.05.2021 aktualisiert um 09:44:21 Uhr
Goto Top
Also VPN alleine stellt nur den Tunnel zu dem anderen Gerät her.
Um aqui vorzugreifen: VPN gehört auf den Router/Firewall, nicht ins Netz dahinter, aber das ist ein anderes (Sicherheitsthema).

OpenVPN: Du hast sicherlich irgendwelche WebVPNs gefunden. Die sind kostenpflichtig.

Zum eigentlichen Problem:
Du willst ein Programm, welches auf einem PC installiert ist, gleichzeitig mit noch einer Person nutzen.
Das wird so nicht gehen.
Du brauchst dazu Remote Desktop Zugriff auf den PC.
Wenn du diesen hast, dann wird der physische User abgemeldet werden.
Wenn du es gleichzeigt willst, brauchst du einen Terminaserver.

Auch Lösungen wie Teamviewer werden nicht helfen, da du damit ja den anderen fernsteuerst.
Gleichzeitig geht also nicht.

EDIT: Verdammt aqui war doch schneller...^^ ;)
aqui
aqui 06.05.2021 aktualisiert um 09:49:32 Uhr
Goto Top
Um aqui vorzugreifen: VPN gehört auf den Router/Firewall, nicht ins Netz dahinter
Absolut ! 👍
Aber der TO hat es ja im Ansatz schon falsch gemacht indem er sich so einen üblen Speedport ans Bein gebunden hat der all das nicht kann. Bleibt ihm ja dann also nur der interne VPN Server.
Das Beste wäre in den Tat den gegen eine FB zu tauschen.
Du hast sicherlich irgendwelche WebVPNs gefunden. Die sind kostenpflichtig.
Und auch gruselig und sehr gefährlich. Siehe hier.
Ghent74
Ghent74 06.05.2021 um 09:51:05 Uhr
Goto Top
Ja, und wie gesagt: Damit löst er meines Erachtens dein Grundproblem nicht, denn er will ja gleichzeitig auf ein Programm zugreifen können, nicht auf eine Datei oder Datenbank.
Doskias
Doskias 06.05.2021 um 10:01:27 Uhr
Goto Top
Zitat von @aqui:
Richtig gute Netzwerker und technisch Kundige schmeissen natürlich solche Schrottrouter wie den Speedport sofort weg und beschaffen sich einen VPN Router der den Namen Router auch verdient.
Es ist recht unverständlich warum du dir so einen Müll vom Provider andrehen lässt und den Schrott auch noch kostenpflichtig bezahlst. Schlauer wäre gewesen du hättest dir gleich eine FritzBox besorgt und dann hättest du ohne jegliche weitere Hardware ein VPN gehabt mit dem du dich auch noch perfekt auskennst.
Warum also den Unsinn mit dem Speedport. Es herrscht eine gesetzliche freie Router Wahl in der EU !!!

Das ist alles richtig, zumindest in der Theorie. In der Praxis sieht das ganze leider etwas anders aus. Ich bin zuhause selbst auf einen Speedport angewiesen und kann diesen nicht wechseln. Der Grund ist recht einfach. ich leb in einem kleinen Dorf und bekomme via Kabel nur 1,5 Mbit (egal bei welchem Anbieter). Mit dem Speedport Hybrid bekomme ich dann nochmal zwischen 5 und 25 Mbit (je nach Tageszeit dazu). Der Speedport Hybrid hat nur eine LTE-Karte drin (keine Zugangsdaten). Die Kabelbindung hat Zugangsdaten. Das Ganze Konzept basiert darauf, dass die Ersteinrichtung über Kabel stattfindet und dabei die LTE-karte aktiviert wird und die entsprechenden Daten in den Speedport geladen werden. Anschließend funktioniert die LTE Verbindung dann auch ohne Kabel, aber nur in dem Speedport. Natürlich stellt es die Telekom mir frei eine Fritzbox zu nutzen, allerdings das ganze dann halt nur mit 1,5 Mbit. Selbst wenn ich einen anderen Hybridrouter nehmen würde, wo die LTE Karte der Telekom passen würde, könnte das nicht konfiguriert werden, da die Konfiguration der LTE-karte nur über die Software des Speedportes funktioniert. In dem Fall eines anderen Hybrid-Routers würde also auf Grund der fehlenden Software die LTE-Karte nicht aktiviert werden können. Eine bereits im Speedport aktivierte LTE-Karte in ein anderes Gerät einzubauen funktioniert auch nicht, da die Änderung der MAC-Adresse erkannt und der Zugang der LTE-karte deaktiviert wird. Also Fazit: Ja ich kann mir den Router frei aussuchen, aber ohne den mitgelieferten Router bleibe ich auf meinen 1,5 Mbit sitzen. Anbieterwechsel ist derzeit unsinnig, da alle anderen Anbieter ebenfalls nur 1,5 Mbit via Kabel anbieten und außer Telekom kein LTE-Netz zur Verfügung steht. Einziger Lichtblick ist der bis Ende 2023 geplante Anschluss an das Glasfasernetz (wo auch schon ein Vorvertrag unterschrieben ist)
niklasschaefer
niklasschaefer 06.05.2021 aktualisiert um 11:42:05 Uhr
Goto Top
Moin,

Wenn du aber Telekom Hybrid nutzt ist leider auch dein gewünschtes VpN Konstrukt raus. Denn die Telekom supportet VPN mit öffentlicher IP nur auf dem DSL-Anschluss nicht auf dem LTE- Anschluss, siehe CGN-Nat. Den du bekommst da leider kejne eigene öffentliche IP.

Das heißt du brauchst für dein Vorhaben eh einen Server im Netz mit Openvpn, Wireguard oder Ipsec. Dann muss ein Gerät aus deinem Netzwerk dorthin einen Tunnel aufbauen. Das Netzwerk musst du dann deinem Router auch per statischer Route mitteilen wo er dies findet. Soweit ich aber von früher noch weiß unterstützen die speedport dinger das nicht. Dann müsstest du auf jedem Client eine statische Route setzen.
NordicMike
NordicMike 06.05.2021 um 12:13:42 Uhr
Goto Top
Wenn du aber Telekom Hybrid nutzt
Ist das neu? Weil, ich habe einige OpenVPN Clients mit Hybrid Leitungen. Das einzige, was ich machen musste, ist die MTU niedriger setzen, da die Brücke ein paar Bytes für sich beansprucht hat. Das ist allerdings auch schon 1 Jahr her.
niklasschaefer
niklasschaefer 06.05.2021 um 12:17:24 Uhr
Goto Top
Also mein Kenntnisstand aus mehreren teuflischen Konstrukten ist kann gehen muss aber nicht. Beim VPN wird meist nur die DSL-Leitung verwendet, da gibt es meines Wissens auch ne Einstellung da kann man das forcieren, aber dann hätte er ja nur die steinlangsame Verbindung.
NordicMike
NordicMike 06.05.2021 um 12:21:31 Uhr
Goto Top
Kein Kenntnisstand war, dass LTE mit benutzt wurde, die User konnten richtig flüssig arbeiten, jedoch mit einer katastrophalen Ping Zeit. Aber das kann sich ja in der heutigen Zeit schneller ändern als die Sommerzeit-Winterzeit Umstellung.
aqui
aqui 06.05.2021 aktualisiert um 13:38:19 Uhr
Goto Top
ist kann gehen muss aber nicht.
Auf Client Seite geht das immer ! Auch mit CGN-NAT. Der Client ist ja der initiator also der der den Tunnel aufbaut. Das OpenVPN ein SSL VPN ist benötigt das auch nur einen Port der als Initiator natürlich fehlerfrei auch über Carirer NAT geht.
Ganz anders sieht es bei einem Server aus der diese SSL Sessions annehmen muss. Liegt der in einem DS-Lite / CGN Netz ist ein VPN ohne einen Relay Server technisch ausgeschlossen, da eben das zentrale NAT Gateway des Providers niemals überwunden werden kann. Der VPN Server benötigt also immer eine öffentliche IP ohne NAT. Der Client hingegen nicht !
@Doskias
Das ist nicht ganz richtig was du sagst zum Hybridrouter. Jeder beliebige Dual WAN Port Router kann das auch mit einer beliebigen LTE SIM Datenkarte und entsprechendem Tarif. Millionen Business Kunden nutzen das so in Cisco und anderen Routern mit LTE Interface.
Der Knackpunkt ist mit dem Consumer Privatkunden Speedport das die Telekom speziell dafür einen Zwangstarif hat der nur an diese HW gebunden ist. Daher ist diese Sim dafür gelockt. Das ist der rein Tarif basierte Grund. Du könntest, wie gesagt, auch mit jeder beliebigen anderen Router HW arbeiten. Vermutlich dann aber nicht zu dem Tarif.
Geopower
Geopower 06.05.2021 um 17:30:41 Uhr
Goto Top
Danke für die Tipps.
Ich spiel mal ein bisschen rum.
Das Szenario ist nicht bei mir, ist beim Bekannten im Büro.
Auf lange Sicht macht ein VPN fähiger neuer Router auf jeden Fall Sinn, habt ihr eine Empfehlung für ich sag mal bis zu 5 VPN Verbindungen? Außer Fritzbox und nicht all zu teuer.

WireGuard schaue ich mir auch mal an.
aqui
aqui 07.05.2021 aktualisiert um 10:29:16 Uhr
Goto Top
Cisco RV, TP-Link, Lancom, GL.inet, Mikrotik.... da gibt es eine reichhaltige Auswahl. Mit einem Mikrotik hEX-S z.B. oder GL.inet machst du nix falsch.

Wenns das denn war bitte
Wie kann ich einen Beitrag als gelöst markieren?
nicht vergessen.
Geopower
Geopower 10.05.2021 um 08:57:05 Uhr
Goto Top
Vielen Dank an alle.