Raspberry PI als VPN Client - Zugriff auf VPN LAN

PeterH96
Hallo,

ich möchte einen Raspberry PI als OpenVPN Client in mein Netzwerk stellen.

Dieser soll es möglich machen, vom Client LAN (192.168.178.0/24) auf die VPN Subnetze 10.0.1.0/24 und 10.1.0.0/24 zugreifen zu können.

Ich würde dann bei meiner Fritzbox in der Routingtabelle die beiden Subnetze auf den Raspberry PI umleiten.

Was muss ich am Raspberry PI machen, damit diese Anfragen auch im VPN LAN ankommen?

Vielen Dank im Voraus.

Content-Key: 312483

Url: https://administrator.de/contentid/312483

Ausgedruckt am: 22.01.2022 um 19:01 Uhr

Mitglied: PeterH96
PeterH96 12.08.2016 um 19:24:02 Uhr
Goto Top
Lösung:
Mitglied: aqui
aqui 13.08.2016 aktualisiert um 13:51:18 Uhr
Goto Top
Der "Masquerading" Tip oben ist Unsinn wenn der RasPi als VPN Client laufen solll, vergiss das !
Den RasPi als OpenVPN Client zu installieren ist ein Kinderspiel... Guckst du hier:
https://jankarres.de/2014/10/raspberry-pi-openvpn-vpn-client-installiere ...
bzw. auch hier:
https://www.administrator.de/wissen/openvpn-server-installieren-dd-wrt-r ...

Die beiden 10er IP Netze werden dir automatisch vom OpenVPN Server auf den RasPi als Client in die Routing Tabelle injiziert. Das kannst du mit netstat -r -n sehen oder mit ip route show auf dem RasPi.

Wichtig ist nur das deine Endgeräte im Netz den RasPi als Gateway für die 10er Netze finden. Da sie die FritzBox als Default Gateway haben musst du zwingend der FritzBox eine statische Route auf die 10er Netze eintragen !!
Entweder einen globale Route:
Zielnetz: 10.0.0.0, Maske 255.252.0.0, Gateway: <LAN-IP_Adresse_RasPi>

Dann werden ALLE 10.0.0.0 bis 10.3.255.255 Netze zum RasPi geroutet. Oder du kannst das auch dediziert machen:
Zielnetz: 10.0.1.0, Maske 255.255.255.0, Gateway: <LAN-IP_Adresse_RasPi>

Zielnetz: 10.1.0.0, Maske 255.255.255.0, Gateway: <LAN-IP_Adresse_RasPi> //

Das wars.... Schon rennt dein VPN
P.S.: Warum hast du selber den Thread auf gelöst geklickt ?? War er denn jetzt schon gelöst ??
Mitglied: PeterH96
PeterH96 13.08.2016 um 15:31:34 Uhr
Goto Top
Ja klar, auf dem RasPi hatte ich Zugriff auf die beiden Netze, aber wenn ich diese Netze in der Routingtabelle der FritzBox angegeben habe, hatte ich von Clients die die Fritzbox als Gateway eingetragen haben dennoch keinen Zugriff auf diese Netze.

P.S.: Ja, mit den beiden Regeln ist das Thema gelöst!
Mitglied: aqui
aqui 13.08.2016 um 19:02:34 Uhr
Goto Top
Was denn nun ?? Du hast weiterhin keine Zugriff aber das Problem ist gelöst ?
Bahnhof ??
Wenn ip route show die Erreichbarkeit der Netze im Tunnel anzeig, dann ist IP technisch alles in Ordnung..
Wenn die Erreichbarkeit dann noch scheitert kann es nur nioch an der lokalen Firewall der Endgeräte liegen. (Windows)
Mitglied: PeterH96
PeterH96 13.08.2016 um 22:59:21 Uhr
Goto Top
Ja nur mit den beiden iptables Regeln funktioniert es.
Mitglied: aqui
aqui 14.08.2016 aktualisiert um 11:20:38 Uhr
Goto Top
Das bedeutet dann das der Client NAT (IP Adress Translation) macht im Tunnel. Er setz also alle IPs zentral auf die Tunnel IP als Absender Adresse um.
Genau das gleiche also was ein DSL Router zum Provider hin macht.
Wenn du nicht von außen auf das Netz zugreifen willst kannst du das so lassen. Wenn du zugreifen willst hast du das Problem das die NAT Firewall den Zugriff verhindert. Der klassiche Nachteil wenn man NAT (Masquerading) macht !

Der Grund warum es bei dir mit transparentem Routing nicht funktioniert sind die fehlenden statischen Routen im Router !
Das gilt natürlich für BEIDE Seiten ! In der jeweiligen Routing Tabelle müssen die jeweils lokalen Netze über den Tunnel Link erreichbar sein ! netstat -r -n oder ein ip route show zeigen dir das auf beiden Seten bei unixoiden OS. Bei Winblows ist es route print.
Hättest du die konfiguriert würde es auch ohne NAT / Masquerading gehen !
Traceroute ist hier immer dein Freund !
Mitglied: PeterH96
PeterH96 14.08.2016 um 12:19:10 Uhr
Goto Top
Auf der Fritzbox sind beide Netze auf den Raspberry geroutet.

Routing Tabelle des Raspberrys:

Traceroute von einem Windows Client:

Meine FritzBox: 192.168.178.150

Und dennoch kann ich von einem Client der meine FritzBox als Gateway eingetragen hat ohne diese beiden iptables Regeln nicht auf einen Client in einem der beiden Subnetzte zugreifen.
Mitglied: aqui
aqui 15.08.2016 aktualisiert um 10:54:01 Uhr
Goto Top
Ist die 10.0.2.0 dein internes OVPN Netzwerk ?? Hoffentlich dann auch mit einem 24 Bit Prefix, oder ??
Ansonsten überschneidet sich das mit den externen Netzen.
Die Routing Tabelle ist ja soweit richtig wie du sehen kannst. Beide Netze werden in den Tunnel geroutet und der RasPi hat die .178.150, richtig ?
Hoffentlich statisch und kein DHCP am RasPi.

So gesehen ist IP technisch alles richtig. Das der Ping und Traceroute fehlschlägt kann dann nur noch eine Folge der internen Windows Firewall sein die per se ICMP (Ping, Traceroute) blockt.
https://www.windowspro.de/tipp/ping-windows-7-server-2008-r2-zulassen
Heiß diskutierte Beiträge
general
Liste von URLs in wininet.dllFennek11Vor 1 TagAllgemeinInternet13 Kommentare

Hallo, die Frage ist zugleich enrsthaft und Satire: Windows enthält die Datei "c:\windows\system32\wininet.dll", die für viele Verbindungen ins Internet benötigt wird. Ein Blick in die ...

question
2 Faktor Authentifizierung generell abschaltenratzekahl1Vor 1 TagFrageGoogle Android9 Kommentare

Hallo zusammen, ich habe eine Frage: Kann ich in Google die 2 Faktor Authentifizierzung generell abschalten? Wenn ich ein Gerät als vertrauenswürdig hinzugefügt habe, ja, ...

question
Netzwerk Grafisch darstellen?FireWorldVor 1 TagFrageInternet8 Kommentare

Hallo, ich bin der Zeit auf der Suche nach einem Programm zur Grafischen Darstellung von inbound/outbound eines Servers in einem Rechenzentrum. Hat Jemand eine idee ...

info
Ruhe in Frieden, HackbratenVision2015Vor 1 TagInformationOff Topic5 Kommentare

Der US-Sänger Meat Loaf ist tot. Er starb laut seiner Facebook-Seite in der vergangenen Nacht im Alter von 74 Jahren. Meat Loaf, mit bürgerlichem Namen ...

question
Fritz Repeater 1750E "verloren"reksierpVor 1 TagFrageHardware9 Kommentare

Hallo, ich habe ein 150 Jahre altes Haus (ehemaliger Dorf-Bahnhof), sehr verwinkelt, viele Räume, mit Anbau, 2 Kriech-Dachböden. Vor mehreren Jahren hab ich einige Repeater ...

question
Tablet-Display defekt: wie Zugriff auf DatenMahstarDVor 1 TagFrageGoogle Android6 Kommentare

Guten Abend, ich habe ein Tablet überreicht bekommen mit der Bitte um den Versuch einer Datenrettung. Tablet: Samsung Galaxy Tab-A (2016, SM-T585) Das Display ist ...

info
SonicWall Bootloop seit letzter NachtSt-AndreasVor 1 TagInformationFirewall2 Kommentare

Sonicwall Gen 7 spielen Bootloop seit letzter Nacht. Hilfe dazu hier ...

question
Verständnisproblem SubnettingKarolaVor 18 StundenFrageNetzwerkgrundlagen6 Kommentare

Hallo, möchte mal nerven weil ich keine Antwort finde Ein Netzwerk 172.16.0.0 /16 besteht aus einem alten Router als 4 Port Switch und 4 Clients. ...