3
OpenWRT Router mit OpenVPN hinter Fritzbox schalten?
Moin!
Ich beisse mir schon den ganzen Morgen die Zähne daran aus, einen OpenWRT Router mit VPN in mein bestehendes Netzwerk zu integrieren - ich würde mich also wirklich unglaublich freuen wenn mir hier der ein oder andere Netzwerk-Profi einen Tipp geben könnte
Wie der Titel bereits vermuten lässt habe ich von meinem Internet Provider die Fritzbox gestellt bekommen - mit dieser wähle ich mich auch ins DSL Netz von 1&1 ein. Nun möchte ich noch einen OpenWRT Router einbinden um meinen Netzwerk-Traffic über einen OpenVPN Server laufen zu lassen.
Das Zielbild stelle ich mir also wie folgt vor:
Meine Endgeräte (PC, etc) <--- LAN Kabel / WLAN ---> OpenWRT Router (mit aktivem OpenVPN Tunnel)
<--- LAN Kabel ---> FritzBox Router (baut DSL Verbindung auf) <--- Telefon Kabel / WAN ---> Internet/Telefon Buchse (Telekom/1&1)
Das Problem?
Das ganze scheint bisher bei mir einfach nicht zu klappen, ich bin leider auch etwas überfragt was die genauen Einstellung der Firewalls, Ports (?) und Routing Tables betrifft.
Besonderheiten:
- Die beiden Router sind via LAN verbunden, der WAN Port des OpenWRT Routers ist also leer: LAN Port 1 (Fritzbox) <---> LAN Port 1 (OpenWRT Router)
- Die Router sind in verschiedenen Subnetzen (Fritzbox Router: 192.168.178.1 / OpenWRT Router: 192.168.1.1) hier scheint die NAT aber zumindest halbwegs zu laufen, zumindest ist der Zugriff auf das Internet mit dem OpenWRT Router in obiger Konfiguration möglich - wenn auch ohne aktive VPN Verbindung.
- Bei 1&1 scheint IPv6 bereits in meinem Tarif zwingend erforderlich zu sein - zumindest bekomme ich keinen Internetzugang oder eine Public IP zugewiesen wenn ich im Router IPv6 Support deaktiviere. DHCPv4 habe ich in der Fritzbox deaktiviert - DHCPv6 habe ich bislang noch nicht deaktiviert, da ich vermute, dass dies dann ebenfalls erforderlich ist?? Ansonsten hätte ich wie im Forum empfohlen bereits alle Geräte in der Fritzbox mit statischen IPv4 Addressen konfiguriert um dann erst im OpenWRT Router mit DHCP und NAT die einzelnen Endgeräte anzusteuern.
- Die VPN Verbindung wird im OpenWRT Router mittels einer .ovpn Konfigurationsdatei aufgebaut, der Port ist hierbei 433 (HTTPS/SSL) und nicht etwa 1149 (OpenVPN). Bitte beachten sofern Port Forwarding auch wichtig sein sollte.
Vielen herzlichen Dank für jeden Tipp, schon Mal im Vorauss!!
Ich beisse mir schon den ganzen Morgen die Zähne daran aus, einen OpenWRT Router mit VPN in mein bestehendes Netzwerk zu integrieren - ich würde mich also wirklich unglaublich freuen wenn mir hier der ein oder andere Netzwerk-Profi einen Tipp geben könnte
Wie der Titel bereits vermuten lässt habe ich von meinem Internet Provider die Fritzbox gestellt bekommen - mit dieser wähle ich mich auch ins DSL Netz von 1&1 ein. Nun möchte ich noch einen OpenWRT Router einbinden um meinen Netzwerk-Traffic über einen OpenVPN Server laufen zu lassen.
Das Zielbild stelle ich mir also wie folgt vor:
Meine Endgeräte (PC, etc) <--- LAN Kabel / WLAN ---> OpenWRT Router (mit aktivem OpenVPN Tunnel)
<--- LAN Kabel ---> FritzBox Router (baut DSL Verbindung auf) <--- Telefon Kabel / WAN ---> Internet/Telefon Buchse (Telekom/1&1)
Das Problem?
Das ganze scheint bisher bei mir einfach nicht zu klappen, ich bin leider auch etwas überfragt was die genauen Einstellung der Firewalls, Ports (?) und Routing Tables betrifft.
Besonderheiten:
- Die beiden Router sind via LAN verbunden, der WAN Port des OpenWRT Routers ist also leer: LAN Port 1 (Fritzbox) <---> LAN Port 1 (OpenWRT Router)
- Die Router sind in verschiedenen Subnetzen (Fritzbox Router: 192.168.178.1 / OpenWRT Router: 192.168.1.1) hier scheint die NAT aber zumindest halbwegs zu laufen, zumindest ist der Zugriff auf das Internet mit dem OpenWRT Router in obiger Konfiguration möglich - wenn auch ohne aktive VPN Verbindung.
- Bei 1&1 scheint IPv6 bereits in meinem Tarif zwingend erforderlich zu sein - zumindest bekomme ich keinen Internetzugang oder eine Public IP zugewiesen wenn ich im Router IPv6 Support deaktiviere. DHCPv4 habe ich in der Fritzbox deaktiviert - DHCPv6 habe ich bislang noch nicht deaktiviert, da ich vermute, dass dies dann ebenfalls erforderlich ist?? Ansonsten hätte ich wie im Forum empfohlen bereits alle Geräte in der Fritzbox mit statischen IPv4 Addressen konfiguriert um dann erst im OpenWRT Router mit DHCP und NAT die einzelnen Endgeräte anzusteuern.
- Die VPN Verbindung wird im OpenWRT Router mittels einer .ovpn Konfigurationsdatei aufgebaut, der Port ist hierbei 433 (HTTPS/SSL) und nicht etwa 1149 (OpenVPN). Bitte beachten sofern Port Forwarding auch wichtig sein sollte.
Vielen herzlichen Dank für jeden Tipp, schon Mal im Vorauss
!!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 2024222148
Url: https://administrator.de/contentid/2024222148
Printed on: April 25, 2024 at 12:04 o'clock
3 Comments
Latest comment
So ein simples Kaskade Setup ist doch im hiesigen OpenVPN Tutorial genauestens beschrieben:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Merkzettel: VPN Installation mit OpenVPN
Wichtig ist das der VOR dem OpenVPN Router kaskadierte Internet Route ein Port Forwarding von UDP 1194 (Default) auf die WAN IP Adresse des OpenWRT Routers eingestellt hat.
TCP 443 ist keinen gute Idee und bietet diverse Nachteile !
Zweitwichtig ist das ein Test mit einem OpenVPN Client im Koppelnetz zwischen den beiden Routern wasserdicht mit dem OpenWRT/OpenVPN Router funktioniert. So kannst du sicherstellen das die OpenVPN Konfig an sich sauber funktioniert.
Also immer strategisch vorgehen im Setup !
Warum man überhaupt so einen überflüssigen Unsinn mit einer Router Kaskade macht wo die FritzBox selber schon von sich aus ein VPN Router ist der sowas Out of the Box zur Verfügung stellt erschliesst sich einem auch nicht wirklich.
Aber du hast vermutlich Recht: Warum einfach machen wenn es umständlich und technisch schlechter auch geht !?
Und um deine Hoffnungen aber final zu zerstören reichte oben der eine Schlüsselsatz:
https://www.heise.de/ct/ausgabe/2013-6-Internet-Dienste-trotz-DS-Lite-nu ...
Damit ist generell keinerlei externe IPv4 VPN Verbindung möglich, bzw. generell kein externer Zugang per IPv4. Nur IPv6 only.
Das wirst nicht nur du sondern auch das tollste Forum nicht schaffen weil es technisch nicht möglich ist. Zumindestens nicht so mit Bordmitteln und als Dialin VPN. Dialout klappt natürlich.
Grund ist das du das zentrale NAT CGN Gateway des Providers NICHT überwinden kannst.
Du kannst mit DS-Lite nur IPv6 VPNs realisieren oder musst mit einem externen Jumphost arbeiten:
Zwei Mobilfunkrouter (TP-Link MR200) per VPN verbinden, ev. per externen VPN-Gateway (VPS-Server)
IKEv2 VPN Server für Windows und Apple Clients mit Raspberry Pi
Diese Thematik wir hier im Forum gefühlt 5mal pro Woche gefragt...
Sorry, aber wenn man einen DS-Lite Vertrag unterschreibt, dann kennt man diese simplen Binsenweisheiten doch VORHER !
Was du versuchen kannst ist in einen Business Vertrag/Anschluss zu wechseln bei deinem Provider. Damit bekommt man dann in der Regel auch eine öffentliche IPv4 zugeteilt. Die Hotleine des Providers ist da dann deine richtige Anlaufstelle.
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Merkzettel: VPN Installation mit OpenVPN
Wichtig ist das der VOR dem OpenVPN Router kaskadierte Internet Route ein Port Forwarding von UDP 1194 (Default) auf die WAN IP Adresse des OpenWRT Routers eingestellt hat.
TCP 443 ist keinen gute Idee und bietet diverse Nachteile !
- Reagiert der davor kaskadierte Router auf TCP 443, "denkt" er das dieser Traffic für ihn ist (WebGUI) und leitet ihn trotz Port Forwarding nicht weiter ! Du musst also sicherstellen das der Web GUI Zugriff deaktiviert ist was so oder so immer der Fall sein sollte, da man das WebGUI eines Routers niemals im Internet exponiert. Ggf. testweise erstmal den Default UDP 1194 zum Testen nehmen um nicht in diese Falle zu laufen
- TCP ist sehr schlecht als VPN Encapsulierung. Die OpenVPN Doku rät in ihrer Knowledgebase ebenfalls dringenst davon ab. Es schafft einen erheblichen Overhead und schrämkt damit massiv die an sich schon nicht so gute VPN Performance von OpenVPN noch weiter ein. Zusätzlich rennst du jetzt auch noch in größere MTU Problematiken. Wenn unbedingt dann besser UDP 443.
Zweitwichtig ist das ein Test mit einem OpenVPN Client im Koppelnetz zwischen den beiden Routern wasserdicht mit dem OpenWRT/OpenVPN Router funktioniert. So kannst du sicherstellen das die OpenVPN Konfig an sich sauber funktioniert.
Also immer strategisch vorgehen im Setup !
Warum man überhaupt so einen überflüssigen Unsinn mit einer Router Kaskade macht wo die FritzBox selber schon von sich aus ein VPN Router ist der sowas Out of the Box zur Verfügung stellt erschliesst sich einem auch nicht wirklich.
Aber du hast vermutlich Recht: Warum einfach machen wenn es umständlich und technisch schlechter auch geht !?
Und um deine Hoffnungen aber final zu zerstören reichte oben der eine Schlüsselsatz:
zumindest bekomme ich keinen Internetzugang oder eine Public IP zugewiesen wenn ich im Router IPv6 Support deaktiviere.
Bedeutet das du ein DS-Lite Opfer bist !https://www.heise.de/ct/ausgabe/2013-6-Internet-Dienste-trotz-DS-Lite-nu ...
Damit ist generell keinerlei externe IPv4 VPN Verbindung möglich, bzw. generell kein externer Zugang per IPv4. Nur IPv6 only.
Das wirst nicht nur du sondern auch das tollste Forum nicht schaffen weil es technisch nicht möglich ist. Zumindestens nicht so mit Bordmitteln und als Dialin VPN. Dialout klappt natürlich.
Grund ist das du das zentrale NAT CGN Gateway des Providers NICHT überwinden kannst.
Du kannst mit DS-Lite nur IPv6 VPNs realisieren oder musst mit einem externen Jumphost arbeiten:
Zwei Mobilfunkrouter (TP-Link MR200) per VPN verbinden, ev. per externen VPN-Gateway (VPS-Server)
IKEv2 VPN Server für Windows und Apple Clients mit Raspberry Pi
Diese Thematik wir hier im Forum gefühlt 5mal pro Woche gefragt...
Sorry, aber wenn man einen DS-Lite Vertrag unterschreibt, dann kennt man diese simplen Binsenweisheiten doch VORHER !
Was du versuchen kannst ist in einen Business Vertrag/Anschluss zu wechseln bei deinem Provider. Damit bekommt man dann in der Regel auch eine öffentliche IPv4 zugeteilt. Die Hotleine des Providers ist da dann deine richtige Anlaufstelle.
Zitat von @aqui:
So ein simples Kaskade Setup ist doch im hiesigen OpenVPN Tutorial genauestens beschrieben:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Merkzettel: VPN Installation mit OpenVPN
Danke dafür!So ein simples Kaskade Setup ist doch im hiesigen OpenVPN Tutorial genauestens beschrieben:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Merkzettel: VPN Installation mit OpenVPN
Wichtig ist das der VOR dem OpenVPN Router kaskadierte Internet Route ein Port Forwarding von UDP 1194 (Default) auf die WAN IP Adresse des OpenWRT Routers eingestellt hat.
TCP 443 ist keinen gute Idee und bietet diverse Nachteile !
TCP 443 ist keinen gute Idee und bietet diverse Nachteile !
- Reagiert der davor kaskadierte Router auf TCP 443, "denkt" er das dieser Traffic für ihn ist (WebGUI) und leitet ihn trotz Port Forwarding nicht weiter ! Du musst also sicherstellen das der Web GUI Zugriff deaktiviert ist was so oder so immer der Fall sein sollte, da man das WebGUI eines Routers niemals im Internet exponiert. Ggf. testweise erstmal den Default UDP 1194 zum Testen nehmen um nicht in diese Falle zu laufen
- TCP ist sehr schlecht als VPN Encapsulierung. Die OpenVPN Doku rät in ihrer Knowledgebase ebenfalls dringenst davon ab. Es schafft einen erheblichen Overhead und schrämkt damit massiv die an sich schon nicht so gute VPN Performance von OpenVPN noch weiter ein. Zusätzlich rennst du jetzt auch noch in größere MTU Problematiken. Wenn unbedingt dann besser UDP 443.
Danke für den Hinweis. Vielleicht ist es nicht ganz klar geworden, aber im Endeffekt möchte ich gar keinen Zugriff von extern in mein Heimnetzwerk via VPN. Der OpenWRT Router soll lediglich als OpenVPN Client fungieren, der OpenVPN Server an sich wird im Rechenzentrum des VPN Anbieters (bspw. NordVPN, etc) sein. Zwei Router weil es sich um ein öffentliches Gast-Wifi-Netzwerk handelt und ich lieber alles über Proxy laufen lassen möchte um gar nicht erst in die Nähe von Störerhaftung / Abmahnungen zu kommen
Somit wäre der Port UDP 433 ja doch noch vertretbar, da der Traffic raus geht und nicht rein - oder gibt es da auch Probleme?
...
Und um deine Hoffnungen aber final zu zerstören reichte oben der eine Schlüsselsatz:
https://www.heise.de/ct/ausgabe/2013-6-Internet-Dienste-trotz-DS-Lite-nu ...
Damit ist generell keinerlei externe IPv4 VPN Verbindung möglich, bzw. generell kein externer Zugang per IPv4. Nur IPv6 only.
Das wirst nicht nur du sondern auch das tollste Forum nicht schaffen weil es technisch nicht möglich ist. Zumindestens nicht so mit Bordmitteln und als Dialin VPN. Dialout klappt natürlich.
Grund ist das du das zentrale NAT CGN Gateway des Providers NICHT überwinden kannst.
Du kannst mit DS-Lite nur IPv6 VPNs realisieren oder musst mit einem externen Jumphost arbeiten:
Zwei Mobilfunkrouter (TP-Link MR200) per VPN verbinden, ev. per externen VPN-Gateway (VPS-Server)
IKEv2 VPN Server für Windows und Apple Clients mit Raspberry Pi
Diese Thematik wir hier im Forum gefühlt 5mal pro Woche gefragt...
Sorry, aber wenn man einen DS-Lite Vertrag unterschreibt, dann kennt man diese simplen Binsenweisheiten doch VORHER !
Was du versuchen kannst ist in einen Business Vertrag/Anschluss zu wechseln bei deinem Provider. Damit bekommt man dann in der Regel auch eine öffentliche IPv4 zugeteilt. Die Hotleine des Providers ist da dann deine richtige Anlaufstelle.
Gut zu wissen, danke. Ist aber aus oben genanntem Grund zum Glück zweitrangig. Ansonsten gäbe es ja auch noch DynDNS Lösungen um an eine IPv4 zu kommen, denke ich mal.Und um deine Hoffnungen aber final zu zerstören reichte oben der eine Schlüsselsatz:
zumindest bekomme ich keinen Internetzugang oder eine Public IP zugewiesen wenn ich im Router IPv6 Support deaktiviere.
Bedeutet das du ein DS-Lite Opfer bist !https://www.heise.de/ct/ausgabe/2013-6-Internet-Dienste-trotz-DS-Lite-nu ...
Damit ist generell keinerlei externe IPv4 VPN Verbindung möglich, bzw. generell kein externer Zugang per IPv4. Nur IPv6 only.
Das wirst nicht nur du sondern auch das tollste Forum nicht schaffen weil es technisch nicht möglich ist. Zumindestens nicht so mit Bordmitteln und als Dialin VPN. Dialout klappt natürlich.
Grund ist das du das zentrale NAT CGN Gateway des Providers NICHT überwinden kannst.
Du kannst mit DS-Lite nur IPv6 VPNs realisieren oder musst mit einem externen Jumphost arbeiten:
Zwei Mobilfunkrouter (TP-Link MR200) per VPN verbinden, ev. per externen VPN-Gateway (VPS-Server)
IKEv2 VPN Server für Windows und Apple Clients mit Raspberry Pi
Diese Thematik wir hier im Forum gefühlt 5mal pro Woche gefragt...
Sorry, aber wenn man einen DS-Lite Vertrag unterschreibt, dann kennt man diese simplen Binsenweisheiten doch VORHER !
Was du versuchen kannst ist in einen Business Vertrag/Anschluss zu wechseln bei deinem Provider. Damit bekommt man dann in der Regel auch eine öffentliche IPv4 zugeteilt. Die Hotleine des Providers ist da dann deine richtige Anlaufstelle.
LG Dari
Der OpenWRT Router soll lediglich als OpenVPN Client fungieren
Achsoo... Leider hast du das hier nicht verständlich rübergebracht so das dieses Missverständnis entstand.Kann man nur hoffen das du das nicht mit einem dieser gruseligen öffentlichen VPN Provider wie NordVPN usw. nutzen willst. Sowas ist immer brandgefährlich...aber egal, anderes Thema !
Als Client kannst du das natürlich problemlos nutzen, denn outbound funktionieren SSL basierte VPNs wie OpenVPN natürlich auch an DS-Lite Anschlüssen problemlos.
Mit anderen anderen Worten: Wenn der Router nur rein als OpenVPN Client benutzt wird, also er die VPN Verbindung immer initiiert klappt das alles völlig problemlos.
Dann kannst du die ganzen Ausführungen oben natürlich vergessen.
Sorry für das Missverstandnis !
