Router für OpenVPN (Client) und VLAN

Doch, das ist schon mein Ernst.

Ich habe extra ein Windows Notebook (nutze normal ubuntu) benutzt um den Router mit dem Tool zu konfigurieren. Eine sehr genaue Vorstellung der Konfiguration habe ich, allerdings bekomme ich den Router nicht exakt so konfiguriert. Gibt es da auch Router, die einfacher zu konfigurieren sind?

Es sind ja keine spezifischen spezial Einstellungen, das habe ich versucht:

- ein Port als WAN mit DHCP Client (funktioniert)
- zwei VLANS mit jeweils einem DHCP Server (funktioniert)
- diese beiden VLANs tagged auf einmal Port (funktioniert)
- NAT (funktioniert)
- auf einem Port VLAN 1 untagged (bin ich überfordert)
- auf einem Port VLAN 2 untagged (bin ich auch überfordert)
- OpenVPN Client (noch nicht ausprobiert)

Hallo,

ich habe nun heute noch einige Zeit damit verbracht, und nun funktionieren auch die VLANs. Was ich allerdings traurig und unverständlich finde ist der OpenVPN Support durch Mikrotik, siehe hier: http://forum.mikrotik.com/viewtopic.php?f=1&t=77898
Somit lässt der Router nicht mit meinem VPN Anbieter nutzen. Es wird auch keine Authentifizierung via Zertifikate unterstützt.

OpenWRT. Ich gehe davon aus, dass die gängigen WLAN TP-Link Kisten, die recht gut unterstützt werden, von der Performance nicht für VPN bei der zu erwartenden Bandbreite ausreichen. OpenWRT auf dem 750GL wird wohl eher nicht empfohlen, so wie ich gelesen habe. Eigenbau oder größere Hardware ist dann recht schnell recht teuer. Selbes gilt für pfsense.

Gibt es noch weitere Alternativen?

AirVPN. Ein Wechsel auf Private Internet Access ist zu überlegen.

Sicherheit spielt nicht die größte Rolle. Einsatzort sind ein paar Ferienwohnungen. Trotz Nutzervereinbarung, Passwort nur an Gäste und regelmäßige Änderung des Passworts kam eine Abmahnung. Auch mit Anwalt wurden wir diese nicht los und mussten am Ende bezahlen. Ich habe auch gar keine Lust mehr mich damit auseinanderzusetzen, mit einem VPN dieser Art ist man, wenn ich das alles richtig verstehe, vor Abmahnungen geschützt bzw umgeht diese.

Dann werde ich mir das mal anschauen!

Für den Router sind grob 100€ eingeplant.

Ja, das stimmt, dieser "man" war auch nicht ich. Ich habe zur schnellen Lösung des Problems einen Router von Sorglosinternet besorgt, welcher einwandfrei lief, das ist aber auf Dauer recht teuer.

Das kann ich auch noch zusätzlich machen. Muss jedes Gerät bei einer erneuten Verbindung erneut ein Zugangscode eingeben, oder merkt sich der Router das? Eine Whitelist oder das Sperren irgendwelcher Dienste werde ich aber aus Prinzip nicht machen.

Das von dir letztgenannte Problem würde dadurch auch gelöst werden.

EDIT: Mir fällt gerade ein, dass da auch noch ein kleines Restaurant abgedeckt wird, bei welchem auch WLAN genutzt wird. Da fange ich nicht an, Vouchers auszugeben. Auch ein Drucker wäre sehr sehr unpraktikabel.

Vielen Dank für deine Antwort.

Ich würde einfach gerne einen Router mit Captive Portal und einer VPN Unterstützung haben, der mehr als 50Mbits VPN Durchsatz hat. Welches Protokoll ist mir mittlerweile egal, denn es kommt nicht auf die Sicherheit der Verschlüsselungstechnik an. Die Hintergründe für diese Methode sind für mich schlüssig, danach frage ich ja gar nicht ;)

Mit dem RB750GL habe ich einen PPTP VPN Client erfolgreich zum Laufen gebracht. Werde mich dann demnächst an L2TP IPSec machen.

Ich bekomme nur eins einfach nicht hin: Es gibt aktuell 2 VLANS, beide tagged über einen Port. Ich würde gerne auf dem gleichen Port das VLAN 2 untagged übertragen. Da bin ich gerade ein bisschen am verzweifeln.

Von der Performance wird der 750GL nicht ausreichen, sonst gefällt der Mikrotik mir nach ein wenig Übung, Geduld und Zeit ganz gut! Ich werde mich mal nach einem Captive Portal für den Mikrotik umsehen. Wenn ich das schaffe, L2TP IPSec läuft und das VLAN-Problem gelöst wurde, dann werde ich mich nach einem Mikrotik Router umschauen, der ein bisschen mehr Power für VPN hat. Ein RB3011UiAS-RM sticht mir da - mit einer guten, laienhaft an GHz bemessenen CPU Leistung - positiv ins Auge. Da könnte ich mir sogar den kleinen Switch sparen.

Das ist sehr gut, ich wusste nicht dass sich das der Router merkt, das macht es deutlich praktikabler. Sorry für meine Unkenntnis an dieser Stelle.

Da hast du Recht, ich dachte konkret an eine Whitelist, die ich so nicht haben will. P2P werde ich versuchen, nach Möglichkeit, zu sperren. Das wird ja nun wirklich seltenst für legale Zwecke benutzt.

Deswegen schaue ich mich danach um, wie das User Tracking mit dem Mikrotik zu handhaben ist.

Dass sich jeder Nutzer es gründlicher überlegt, ob er seine Rufnummer dazu herausgibt, ist einleuchtend. In welcher Art und Weise gibt das mir aber eine rechtliche Kontrolle? Werden die Tickets mit den Rufnummern verknüpft und mir ins Log geschrieben? Klingt aber interessant und einfacher, denn man muss keine Voucher manuell ausgeben, da wäre natürlich die Frage was das kostet (auch das werde ich baldmöglichst versuchen selbst in Erfahrung zu bringen).

Danke nochmal für die umfangreiche Hilfe!

Ich wollte nur etwas direkt schon im gleichen Raum anschließen, aber so muss da wohl auch noch ein Switch hin denn ich habe nicht gesehen, wie das mit dem Mikrotik geht.

Der schafft wohl auch nur 20 Mbits VPN, der 3011 wäre super aber er basiert auf ARM wofür kein User-Manager verfügbar ist und deshalb kein super fancy captive portal verfügbar ist.. Der nächst-größere kostet dann gleich 300€ was ein wenig zu viel ist.

Welches board mit pfsense würde mehr als 30Mbits VPN schaffen? So wie es aussieht ist die Verschlüsselung der Flaschenhals.

Sorry, habe den Bezug vergessen. Das war auf die Sache mit dem VLAN bezogen, dass ich es nicht geschafft habe auf einem Port sowohl ein VLAN untagged und zwei VLANs tagged zu übertragen, wobei ich da auch nicht mehr viel nachgeschaut habe denn das ist nicht so wichtig, es ist einfacher dort noch einen VLAN fähigen Switch hinzustellen, denn die könne das auf jeden Fall.

Die CPU des 3011 ist wie gesagt ARM basierend und deshalb ist dort kein User-Manager verfügbar, der einfach begrenzt gültige Voucher herausgeben könnte.

Ich habe die Info bekommen, dass es doch nur die Ferienwohnungen sein sollten. Das bedeutet für mich folgendes: Die WLAN Abdeckung ist ziemlich genau so, dass nur Geräte die sich in den Ferienwohnungen befinden Empfang haben. Das WLAN ist verschlüsselt, Passwort gibt es auf Nachfrage. Der Mikrotik wird auf dem VLAN einfach die DHCP leases (1 minute) loggen, somit weiß ich minutengenau, welche MAC Adresse um welcher Uhrzeit im Internet ist. Mehr Informationen würde ich bei einem Captive Portal mit einmal gültigen Vouchers auch nicht bekommen, außer ich würde genau aufschreiben, welcher Voucher zu welcher Person gehört, was aber definitiv niemand machen möchte / machen wird.
Somit wird es wahrscheinlich das RouterBOARD RB3011UiAS-RM. Sollte noch diesen Monat lieferbar sein.

Das Board für PfSense werde ich mal als Alternative im Gedächtnis behalten.

Danke!

Ja:
http://forum.mikrotik.com/viewtopic.php?t=104464#p519455
http://forum.mikrotik.com/viewtopic.php?t=104472#p519377

Es ist mir trotzdem nicht vollständig klar. Ein Captive Portal mit personalisierten Vouchern hat doch nur den Vorteil, dass nur die ins Internet kommen, die einen Voucher bekommen. Es findet ja definitiv keine Verknüpfung zwischen Voucher und der Person inkl Adresse manuell statt, das ist hier nicht machbar und wird auch niemand machen. Somit hat man am Ende MAC, Voucher-Passwort und den Zeitraum. Damit hätte es nur den Effekt der Zugangskontrolle, die aber auch schon ohne Captive Portal schon durch die Reichweite der Access Points und zusätzlich durch ein Passwort geschützt ist. Damit habe ich am Ende ohne Captive Portal die MAC Adresse und den Zeitraum. Ganz abgesehen davon wird es ja sowieso nur sehr selten benötigt, da ja 99% der Dinge, vor die man sich durch so etwas schützen will, sowieso durch den VPN gar nicht bis zu mir kommen.
Verstehe mich nicht falsch, ich finde die Lösung mit dem Captive Portal und den Vouchern sehr gut, und sehe auch den Einsatzzweck dafür. Nur in meinem Fall sehe ich keine Notwendigkeit dafür, es würde nur mehr Aufwand bedeuten.

Danke für die Weiterführung des Gedankengangs!

Der Router soll das VLAN für die Gäste durch ein VPN leiten. Das hat folgenden Vorteil: Auch wenn ich einmalige Voucher ausgebe, die Benutzer mit Voucher Codes zusammenführe und die Zeit speichere, eine Abmahnung kommt erstmal zu mir. Das ist nervig, weil man dann zum Anwalt muss um da rauszukommen, selbst wenn die Chancen gut ist und es kein wahnsinns Act ist.
Mit einem VPN spare ich mir diesen Schritt: Niemand wird für eine "einfache" Abmahnung den Aufwand eingehen und den VPN aushebeln um das ganze zurückzuverfolgen - das ist ja schließlich auch nicht gerade einfach. Und wenn es doch mal dazu kommt, dann habe ich die Logs und brauche sowieso einen Anwalt. Es ist also einfach nur zur Vermeidung von Aufwand und mit nur geringen monatlichen Kosten verbunden.

Ich habe auch mal Bekannte die in Hotels/Ferienwohnungen arbeiten oder diese betreiben gefragt. Die eine Hälfte hat keine Ahnung wie das funktioniert, das macht jemand anders, die andere Hälfte meinte "dass das Internet umgeleitet wird", oder sie auch Boxen wie die Beschützerbox oder Sorglosbox (diese Namen.....) haben. Bei den APs selbst dagegen sind die Ufos sehr verbreitet, mit TP Links als APs hat wohl niemand auf Dauer gute Erfahrungen gemacht unter den Leuten, die ich gefragt habe.

Nein, also das wäre ja wirklich vollkommen sinnbefreit.

Es ist nicht ohne weiteres Möglich auszumachen, wer was genau im Internet über den VPN verursacht hat. Außerdem sind sie ein Provider, der dafür nicht haften muss. Der Provider führt keinerlei Logs und außerdem surfen da ein ganzer Satz Leute auf der selben IP. Dass es rein theoretisch möglich ist ist mir klar, allerdings nur mit einem wahnsinnig hohen Aufwand, und so schnell übersteigt der Aufwand den Nutzen nicht und selbst wenn dann habe ich noch meine Logs.
Das was ich mache ist das selbe, nur dass ich mich auf kein Gerät verlasse, welches praktisch eine Blackbox ist, da ich da keinen Zugriff drauf habe.
Klar, aber wenn es keine Daten oder Logs gibt kann man sie auch nicht rausrücken.

Nochmals, es geht hier auch nur um "einfache" Abmahnungen zu vermeiden, für Dinge die ich selbst nicht getan habe und dafür nicht verantwortlich bin. Das private Netz geht direkt über den Internetanschluss.

Du verstehst meine Absicht nicht ganz, ich habe nicht vor einen rechtsfreien Raum zu erstellen, sondern die Hürden für das Ausfindigmachens des Anschlusses ein wenig höher zu setzen.

Die Abmahnindustrie in der Form gibt es so praktisch nur in Deutschland, da kein anderes Land so sehr davon ausgeht, dass der Störer auch der ist, dem der Anschluss gehört. Dass das nach den neuen Gesetzen weiterhin so ist haben unzählige Anwalte bestätigt.

Zuerst sieht man also die IP eines Rechenzentrums in den Niederlanden, in Schweden oder wo auch immer der Server steht. Das hält schon mal einige ab, da es 1) nicht in Deutschland ist und somit um ein vielfaches aussichtsloser, und 2) es sich um ein Rechenzentrum handelt. Die IP zeigt auf einen Server, der dem VPN Provider gehört, was sich mit Mithilfe des Rechenzentrums relativ einfach ausfindig machen lässt. Das ganze muss dann nun mit einem gerichtlichen Vollstreckungsbefehl in dem Land des Providers (!) an diesen herangetragen werden. Nun gehen durch den Server zudem die IP gehört ein ganzer Haufen VPNs, das heißt der VPN Provider muss nun irgendwie alles zusammenführen. Er braucht nicht nur Metadaten der Verbindung selbst, was bestimmt von einigen geloggt wird, sondern muss auch noch alle besuchten Seiten und Dienste speichern. Meiner Meinung nach ist das nicht der Fall, aber selbst wenn, das ändert gar nichts an dem, wofür ich den VPN einsetzen will.

Der Provider führt keine Logs da es nicht notwendig ist und kein Gesetz es vorschreibt, da er nicht in der EU ist.
Siehe hier: https://www.bestvpn.com/blog/5539/data-retention-and-vpn-logging-in-the- ...
Nun, wenn er dann meine IP hat, muss noch bei dem Telekommunikationsanbieter, auch wieder rechtlich korrekt (aber in DE sehr einfach) die IP zugeordnet werden.

Wie oben gesagt, will ich mit einem VPN bezwecken, dass es einfach nur schwerer wird, Rechtsverletzungen mir aufzudrücken, die ich nicht begangen habe. Dass es möglich ist bezweifle ich doch gar nicht, aber im Vergleich zu "wir gehen zu Anbieter xy und fragen wem die IP gehört" ist das um ein vielfaches komplizierter.