OpenWRT openVPN Client in vorhandenem Netzwerk

Hallo Schwarm,
ich benötige mal euer Wissen.

Ich habe ein Vorhandenes Netzwerk mit div. Clients im VLan.
Jetzt möchte ich in dieses VLan einen openWRT Router als openVPN Client hängen sodass die Clients im Netzwerk darüber erreichbar sind (die Clients solle nicht an den openWRT Router). Ist das überhaupt möglich?

Router --- VLan --- Clients
| | VPN Zugriff
| --- openVPN

Danke für euer Wissen.

Please also mark the comments that contributed to the solution of the article

Content-Key: 648128

Url: https://administrator.de/contentid/648128

Printed on: April 27, 2024 at 02:04 o'clock

13 Comments

Latest comment

Moin,

grundsätzlich ist das möglich.
Du musst halt auf deinem anderen Router die entsprechenden statischen Routen setzen.

VG

Wie Kollege @BirdyB schon sagt ist das problemlos möglich. Diese Tutorials beschreiben dir genau wie:
Routing Grundlagen:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
Routing mit VLANs:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
OpenVPN:
Merkzettel: VPN Installation mit OpenVPN
Hilfreich für eine zielführende Lösung wäre hier, wie immer, eine kleine Topologie Skizze wie es aussieht und was du genau erreichen willst in deinem Netz.

Im Grunde soll der openWRT Router eine openVPN Verbindung herstellen als VPN Client und dann soll aus dem Netz des VPN Server auf die Geräte im VLAN 8 (192.168.8.31-33) zugegriffen werden.
Vlt könnt Ihr mir sagen was ich durchrouten muss.

Ja, das ist ein simples, millionfaches Standard Design.
Dieser Thread sollte dir alle deine Fragen dazu beantworten:
OpenVPN - Erreiche Netzwerk hinter Client nicht

OK, also schließe ich den oVPN Router über den WAN Port an das bestehende Netzwerk an und Route den Port 1194 UDP auf diesen durch. Dann sollte das VPN ja klappen.
Wie kann ich es aber dann lösen dass das Remote Netz auf mein Subnetz kommt? Ich habe keinerlei Daten (IP Adressen o.ä.) vom Remote Netz.
Kann ich es auch erreichen dass dann das Remote Netz nur auf einen Host (z.B. 192.168.8.32) kommt?

Kopplung von 2 Routern am DSL Port

Das Bild erklärt doch alles, oder ??

Ich habe keinerlei Daten (IP Adressen o.ä.) vom Remote Netz.

OK, dann kannst du das Vorhaben gleich vergessen. Ein VPN ist ohne diese Informationen nicht konfigurierbar. Sorry, aber das sagt einem doch auch der gesunde Menschenverstand.
Ich will nach Italien an den Strand habe aber keine Ahnung wo das Land liegt und auch keine Karten oder Navi... Was soll man dir auf sowas denn antworten als Hilfe bzw. welche EWrwartungshaltung hast du da ?!

Ich habe die VPN Client Konfigurationsdatei die mir das VPN verbindet. Jedoch keine Adressen des Remote Netz und auch keinen Zugriff um Routen einzustellen.

Dann wird es sehr schwierig... Du kannst das VPN mit NAT betreiben und dann per Port-Forwarding am OpenWRT die Anfragen auf deine Server verteilen.
Eine direkte IP-Verbindung kann nicht klappen, wenn du keine Routen setzen kannst und die IP-Range des anderen Netzes nicht kennst...

Hm, OK aber ich könnte den openWRT Router per WAN an das vorhandene Netz anschließen.
Dann hat der openWRT am WAN 192.168.8.30 und am LAN 192.168.9.0/24 und wenn ich auf dem vorhandenen Router eine statische Route 192.168.9.0/24 über Hop 192.168.8.30 anlege komme ich auch auf das Netz hinter dem openWRT Router oder?

Das ist so erstmal korrekt. Du musst dann auf dem OpenWRT NAT deaktivieren und natürlich den Traffic erlauben.

Ich habe die VPN Client Konfigurationsdatei die mir das VPN verbindet.

Das hört sich nach einem dieser unseligen, öffentlichen VPN Anbieter an. Siehe dazu auch hier:
Was haltet ihr von VPN?
Besonders der Kommentar vom Kollegen @LordGurke sollte einen zum Nachdenken stimmen. Damit erweist man sich immer einen Bärendienst...aber egal.

Alle solche Profile werden vom VPN Anbieter erzwungen und bieten keinerlei Konfig Spielraum. Warum auch, denn das ist nicht gewollt. Ein NAT im VPN Tunnel und damit auch immer Gateway Redirects sind also vorgegeben. Sprich alles wird in den Tunnel gesendet. Klar, denn an diesen öffentlichen Tunnelendpunkten wird besonders viel geschnüffelt und geschnorchelt, denn die Verschlüsselung ist nicht sicher. Wie auch wenn der Provider die Passwörter macht dafür ?
Ein transparentes und beidseitiges LAN zu LAN Routing über das VPN wie vom TO gewünscht ist damit unmöglich und vom Profilanbierter ja auch durch dessen Zwangsprofil keinesfalls gewünscht. Es wird sich deshalb auch mit Frickelei nicht realisieren lassen.
Solch ein Design klappt nur wenn man beide VPN Seiten kennt und dort auch die entsprechenden Konfigurationen als Administrator vornimmt. Das hiesige OpenVPN_Tutorial erklärt das ja auch in allen Details und beantwortet alle technischen Fragen dazu !

Es geht nicht um einen öffentlichen VPN Anbieter sondern um die Anbindung einer PV-Anlage an einen Stromnetzbetreiber der aber natürlich nicht auf das übrige Netzwerk kommen soll.

Es ändert aber nichts an der Tatsache. Das Problem ist das dir aufgezwungende OVPN Profil.
Das erzwingt (geraten weil hier nicht gepostet) sehr wahrscheinlich ein NAT im Tunnel und einzig nur ein Routing in die IP Netze die im Profil bzw. durch den VPN Server (OVPN "push" Kommando) fest vorgegeben sind.
Dadurch bist du festgenagelt auf das was im Profil ist und hast sehr wenig Spielraum. Es wird also Routing technisch immer nur in eine Richtung gehen und zwar nur von deinem OVPN Client in Richtung VPN aber nicht andersrum.
Schalte den Verbose Level auf dem OVPN Client hoch und logge mal mit was da durch Profil und Server erzwungen wird. Dann siehst du dir zusätzlich zum OVPN Log mit aktivem Client noch einmal die Routing Tabelle an mit netstat -r -n oder ip route show (route print bei Winblows) und dann weisst du doch genau was abgeht am Client.
Das wäre doch ersteinmal das Sinnigste rauszubekommen was bei der VPN Einwahl mit dem festen Profil überhaupt passiert um das netztechnisch alles zu erfassen und zu verstehen ?!

German solved Question Routers, Routing Networks