7
Server in Subnetz über VPN Router erreichen
Hallo 
ich habe dank der tollen Anleitung unter: OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router erfolgreich einen VPN Zugang zu meinem Heimnetzwerk aufgebaut.
Nun hänge ich etwas in der Luft, da ich gerne als VPN Nutzer Zugriff auf meinen Server in Subnetz 1 haben möchte. Welche Möglichkeiten existieren da generell?
Ein statisches Routing zwischen den Netzwerken existiert bereits:
FB
IPv4-Netzwerk 192.168.1.0
Subnetzmaske 255.255.255.0
Gateway 192.168.1.1 (soll das auf 192.168.111.254 zeigen?)
ASUS
IPv4-Netzwerk 192.168.111.0
Subnetzmaske 255.255.255.0
Gateway 192.168.111.1
Mein Aufbau:
Vielen Dank!
ich habe dank der tollen Anleitung unter: OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router erfolgreich einen VPN Zugang zu meinem Heimnetzwerk aufgebaut.
Nun hänge ich etwas in der Luft, da ich gerne als VPN Nutzer Zugriff auf meinen Server in Subnetz 1 haben möchte. Welche Möglichkeiten existieren da generell?
Ein statisches Routing zwischen den Netzwerken existiert bereits:
FB
IPv4-Netzwerk 192.168.1.0
Subnetzmaske 255.255.255.0
Gateway 192.168.1.1 (soll das auf 192.168.111.254 zeigen?)
ASUS
IPv4-Netzwerk 192.168.111.0
Subnetzmaske 255.255.255.0
Gateway 192.168.111.1
Mein Aufbau:
Vielen Dank!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 324086
Url: https://administrator.de/contentid/324086
Printed on: May 6, 2024 at 00:05 o'clock
7 Comments
Latest comment
Dieses Forums Tutorial beantwortet dir alle Fragen zu dem Thema:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
So ist es richtig:
FritzBüx:
IPv4-Netzwerk 192.168.111.0 /24
IPv4 Adresse LAN Port: 192.168.111.1
Subnetzmaske 255.255.255.0
Statische Route: Ziel: 192.168.1.0, Maske 255.255.255.0, Gateway: 192.168.111.25
Asus:
IPv4-Netzwerk WAN Port 192.168.111.0 /24
IPv4 Adresse WAN Port: 192.168.111.25
Subnetzmaske 255.255.255.0
Pv4-Netzwerk LAN Port: 192.168.1.0 /24
IPv4 Adresse LAN Port: 192.168.1.1
Subnetzmaske 255.255.255.0
Default Gateway 192.168.111.1
OpenVPN Netz intern
10.8.0.0 /24
Soviel zum Thema deiner Router Adressierung und statische Routen dort.
Das Erreichen die Clients in Netzwerk 1 aus dem VPN ist kinderleicht !
Essentiell wichtig ist hier die Route ins interne VPN Netz, denn deine VPN Clients kommen ALLE am VPN Server mit einer Absender IP von 10.8.0.x an !!
Da der ASUS ja der OVPN Server selber ist kennt der dieses Netzwerk da es an ihm selber dran ist.
Die FritzBüx kennt es aber mit der o.a. Route eben NICHT.
Wenn du nun vom Server einen Client in Subnetz 1 ansprichst, "sieht" der ja eine Absender IP 10.8.0.x.
Will er auf diese IP antworten sendet er das Paket an sein Default Gateway was ja die FritzBüx ist.
Die wiederum sieht in ihre Routing Tabelle und checkt ihre Routen da sie für das 10.8.0.0er netz nix hat sendet sie es an den Provider der ja ihre Default Route ist.
Dort verschwindet das Paket dann im Nirwana....
Preisfrage am Freitag also: Wie bringen wir der FritzBüx bei das sie das Paket an den ASUS OVPN Server schicken soll statt ins Nirwana zum Provider ???
Und....tadaaa die Antwort lautet ??? Ja ! Richtig ! Indem wir ihr sagen mit einer weiteren statischen Route das sie das bitte zum ASUS senden soll !!
Also auf ins WebGUI der FB und folgendes konfiguriert:
FritzBüx, Finale Konfig mit VPN:
IPv4-Netzwerk 192.168.111.0 /24
IPv4 Adresse LAN Port: 192.168.111.1
Subnetzmaske 255.255.255.0
Statische Route:
Ziel: 192.168.1.0, Maske 255.255.255.0, Gateway: 192.168.111.25
Ziel: 10.8.0.0, Maske 255.255.255.0, Gateway: 192.168.111.25
Fertisch !
...und schon können die Subnetz 1 Rechner mit deinem VPN reden !
Traceroute (tracert) und Pathping deine besten Freunde beim Router Troubleshooten werden dir dann die Hops zeigen wenn du vom Client pingst oder traceroutest
Lokale Firewall dort natürlich angepasst..
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
So ist es richtig:
FritzBüx:
IPv4-Netzwerk 192.168.111.0 /24
IPv4 Adresse LAN Port: 192.168.111.1
Subnetzmaske 255.255.255.0
Statische Route: Ziel: 192.168.1.0, Maske 255.255.255.0, Gateway: 192.168.111.25
Asus:
IPv4-Netzwerk WAN Port 192.168.111.0 /24
IPv4 Adresse WAN Port: 192.168.111.25
Subnetzmaske 255.255.255.0
Pv4-Netzwerk LAN Port: 192.168.1.0 /24
IPv4 Adresse LAN Port: 192.168.1.1
Subnetzmaske 255.255.255.0
Default Gateway 192.168.111.1
OpenVPN Netz intern
10.8.0.0 /24
Soviel zum Thema deiner Router Adressierung und statische Routen dort.
Das Erreichen die Clients in Netzwerk 1 aus dem VPN ist kinderleicht !
Essentiell wichtig ist hier die Route ins interne VPN Netz, denn deine VPN Clients kommen ALLE am VPN Server mit einer Absender IP von 10.8.0.x an !!
Da der ASUS ja der OVPN Server selber ist kennt der dieses Netzwerk da es an ihm selber dran ist.
Die FritzBüx kennt es aber mit der o.a. Route eben NICHT.
Wenn du nun vom Server einen Client in Subnetz 1 ansprichst, "sieht" der ja eine Absender IP 10.8.0.x.
Will er auf diese IP antworten sendet er das Paket an sein Default Gateway was ja die FritzBüx ist.
Die wiederum sieht in ihre Routing Tabelle und checkt ihre Routen da sie für das 10.8.0.0er netz nix hat sendet sie es an den Provider der ja ihre Default Route ist.
Dort verschwindet das Paket dann im Nirwana....
Preisfrage am Freitag also: Wie bringen wir der FritzBüx bei das sie das Paket an den ASUS OVPN Server schicken soll statt ins Nirwana zum Provider ???
Und....tadaaa die Antwort lautet ??? Ja ! Richtig ! Indem wir ihr sagen mit einer weiteren statischen Route das sie das bitte zum ASUS senden soll !!
Also auf ins WebGUI der FB und folgendes konfiguriert:
FritzBüx, Finale Konfig mit VPN:
IPv4-Netzwerk 192.168.111.0 /24
IPv4 Adresse LAN Port: 192.168.111.1
Subnetzmaske 255.255.255.0
Statische Route:
Ziel: 192.168.1.0, Maske 255.255.255.0, Gateway: 192.168.111.25
Ziel: 10.8.0.0, Maske 255.255.255.0, Gateway: 192.168.111.25
Fertisch !
...und schon können die Subnetz 1 Rechner mit deinem VPN reden !
Traceroute (tracert) und Pathping deine besten Freunde beim Router Troubleshooten werden dir dann die Hops zeigen wenn du vom Client pingst oder traceroutest
Lokale Firewall dort natürlich angepasst..
1
Danke schonmal Jetzt habe ich das Prinzip endlich verstanden.
Eine Frage noch zu den Adressbereichen:
Der DHCP Adressbereich meiner Fritte geht von 192.168.111.20 bis 192.168.111.200.
Ich würde für den Asus gerne IPv4 Adresse WAN Port: 192.168.111.201 oder ähnliches festlegen (muss ja außerhalb des DHCP Bereichs der FB liegen oder?)
- oder anders gefragt: Warum 192.168.111.25 in deiner Lösung?
Jetzt habe ich das Prinzip endlich verstanden.Eine Frage noch zu den Adressbereichen:
Der DHCP Adressbereich meiner Fritte geht von 192.168.111.20 bis 192.168.111.200.
Ich würde für den Asus gerne IPv4 Adresse WAN Port: 192.168.111.201 oder ähnliches festlegen (muss ja außerhalb des DHCP Bereichs der FB liegen oder?)
- oder anders gefragt: Warum 192.168.111.25 in deiner Lösung?
Der DHCP Adressbereich meiner Fritte geht von 192.168.111.20 bis 192.168.111.200.
Nicht dein Ernst, oder ??Wie kannst du denn dem Asus dann einen .25er Hostadresse geben ?? Die liegt ja dann mitten im DHCP Adresspool was tödlich ist !
Damit sind dann Adressproblematiken ganz klar vorprogrammiert.
Hier ein dringender Tip dazu:
Router IPs setzt man in der Regel immer nach "ganz oben" oder nach "ganz unten" um genau das obige zu vermeiden !
Hier wäre also die .1 für die FrutzBüx und die .254 für den Asus sinnvoll !
Das mit der .25 und der DHCP Pool Überschneidung musst du zwingend bereinigen !!
muss ja außerhalb des DHCP Bereichs der FB liegen oder?
Oh oh oh.... da liegt aber noch seeehr viel IP Adress Wissen bei dir im Argen. Wie kommst du auf so einen völligen Blödsinn ??!Der DHCP Pool dient ausschliesslich zur dynamsichen, automatischen IP Adressevergabe an Clients.
Ein DHCP Server weiss nix von statisch vergebenen IP Adressen anderer Geräte wie deinem ASUS.
Es gibt also ein Chaos sobald das erste Endgerät bei dir mal die .25 aus dem Pool bekommt. Warum kannst du dir ja nun sicher denken !!!
Bei einem IPv4 Netzwerk von 192.168.111.0 mit einem 24 Bit Prefix (Maske) hast du gültige Host (Endgeräte) IP Adressen von .1 bis .254 !!
Die .0 (alle Hostbits auf binär 0) ist das Netzwerk selber und die .255 (alle Hostbits auf binär 1) ist der Broadcast und dürfen nicht verwendet werden.
Wie du diesen Bereich zwischen IP Pool und statischen IPs aufteilst ist deine Sache aber überschneiden dürfen die sich logischerweise niemals.
Hier hast du also aus Unwissenheit genau das falsch gemacht was deinem IP Adress Irrglauben entspricht.
Bitte lese dir dringenst die Grundlagen einer IP Adressierung an !!!
https://de.wikipedia.org/wiki/Netzmaske
und die von DHCP
https://de.wikipedia.org/wiki/Dynamic_Host_Configuration_Protocol
Andererseits Respekt das du mit diesem gruseligen Halbwissen überhaupt soweit gekommen bist.
Warum 192.168.111.25 in deiner Lösung?
Weil DU sie oben in der Beschreibung verwendet hast.Also nimm bitte die .254 und achte darauf das die wie die .1 NICHT im DHCP Pool ist und dann wir alles gut !
1
Jop Netzwerktechnik liegt einige Semester zurück bei mir :D
Wir haben etwas aneinander vorbeigeredet da Google Zeichnungen meine Grafik "falsch" exportiert hat.
Dort steht statt
192.168.111.254
->
192.168.111.25
4
beim Asus Router. Die 4 ist in eine neue Zeile gerutscht :/. Deswegen meine Verwunderung...ich habe die .254 ja bewusst außerhalb des Bereichs gewählt.
Wenn ich die Schrifftgröße etwas anpasse exportiert er mir auch die JPEG richtig...
Wir haben da also ein wenig aneinander vorbeigeredet ;)
Mein Problem: Ich kann in der Fritzbox kein Routing außerhalb des DHCP Bereichs einstellen:
10.8.0.0
255.255.255.0
192.168.111.200
funktioniert (aber ist natürlich quatsch)
10.8.0.0
255.255.255.0
192.168.111.201
"Es ist ein Fehler aufgetreten.
Fehlerbeschreibung: Die Route ist nicht zulässig.
Bitte geben Sie Ihre Daten noch einmal ein. Sollte der Fehler erneut auftreten, wenden Sie sich bitte an den AVM-Support."
Ich schätze ja das irgendwas auf dem Rückweg falsch läuft....
Wir haben etwas aneinander vorbeigeredet da Google Zeichnungen meine Grafik "falsch" exportiert hat.
Dort steht statt
192.168.111.254
->
192.168.111.25
4
beim Asus Router. Die 4 ist in eine neue Zeile gerutscht :/. Deswegen meine Verwunderung...ich habe die .254 ja bewusst außerhalb des Bereichs gewählt.
Wenn ich die Schrifftgröße etwas anpasse exportiert er mir auch die JPEG richtig...
Wir haben da also ein wenig aneinander vorbeigeredet ;)
Mein Problem: Ich kann in der Fritzbox kein Routing außerhalb des DHCP Bereichs einstellen:
10.8.0.0
255.255.255.0
192.168.111.200
funktioniert (aber ist natürlich quatsch)
10.8.0.0
255.255.255.0
192.168.111.201
"Es ist ein Fehler aufgetreten.
Fehlerbeschreibung: Die Route ist nicht zulässig.
Bitte geben Sie Ihre Daten noch einmal ein. Sollte der Fehler erneut auftreten, wenden Sie sich bitte an den AVM-Support."
Ich schätze ja das irgendwas auf dem Rückweg falsch läuft....
Jop Netzwerktechnik liegt einige Semester zurück bei mir :D
Das merkt man !!! da Google Zeichnungen meine Grafik "falsch" exportiert hat.
Ich nehme dann alles zurück und behaupte das Gegenteil ! Sorry, auf den Typo bin ich reingefallen. Dann ist natürlich absolut alles richtig.Mein Problem: Ich kann in der Fritzbox kein Routing außerhalb des DHCP Bereichs einstellen:
Das ist wie immer Blödsinn !https://avm.de/service/fritzbox/fritzbox-7390/wissensdatenbank/publicati ...
Möglich das die FB eine Ereichbarkeitsprüfung macht, was aber bei der Gurke eher zu bezweifeln ist.
Vermutlich hast du die Route nicht aktiviert ?!
1
Danke nochmal.
Nach einem Neustart der FB hat es dann mit dem Routing hingehauen. Leider kann ich immer noch keine Geräte im Subnetz 1 erreichen. Und ja, die Routen sind aktiv...
Da ich gerade nicht mehr weiter weiß einige Fragen welche ich eigentlich für mich schon beantwortet hatte:
Müssen auf dem Asus Router irgendwelche Routen angelegt werden?
DHCP auf dem Asus Router an oder aus?
NAT auf dem Asus Router an oder aus?
Firewall ist aus auf dem Asus, müssen irgendwelche Ports geöffnet sein?
Ich brauche ja nicht wirklich 2 Subnetze - könnte der Asus nicht ins gleiche IP Netz 192.168.111.0 mit anderer Range gepackt werden?
Allgemein: Wie geh ich jetzt beim Troubleshooting vor?
Nach einem Neustart der FB hat es dann mit dem Routing hingehauen. Leider kann ich immer noch keine Geräte im Subnetz 1 erreichen. Und ja, die Routen sind aktiv...
Da ich gerade nicht mehr weiter weiß einige Fragen welche ich eigentlich für mich schon beantwortet hatte:
Müssen auf dem Asus Router irgendwelche Routen angelegt werden?
DHCP auf dem Asus Router an oder aus?
NAT auf dem Asus Router an oder aus?
Firewall ist aus auf dem Asus, müssen irgendwelche Ports geöffnet sein?
Ich brauche ja nicht wirklich 2 Subnetze - könnte der Asus nicht ins gleiche IP Netz 192.168.111.0 mit anderer Range gepackt werden?
Allgemein: Wie geh ich jetzt beim Troubleshooting vor?
Leider kann ich immer noch keine Geräte im Subnetz 1 erreichen. Und ja, die Routen sind aktiv...
Da schlägt dann die lokale Windows Firewall zu ! Im Default blockt die alles was mit fremden Absender IPs kommt.Bei dir ja der Fall.
Ebenfalls blockt die ICMP (Ping und Traceroute) per Default !
https://www.windowspro.de/tipp/ping-windows-7-server-2008-r2-zulassen
Passe die an, dann rennt das auch sofort !
Müssen auf dem Asus Router irgendwelche Routen angelegt werden?
Nein !Lediglich nur eine Default Route oder Default Gateway auf die FB LAN IP Adresse, mehr nicht !
NAT auf dem Asus Router an oder aus?
Unbedingt AUS !Firewall ist aus auf dem Asus, müssen irgendwelche Ports geöffnet sein?
Nein !Warum auch wenn sie so oder so aus ist. Die Frage ist ja dann sinnfrei !
könnte der Asus nicht ins gleiche IP Netz 192.168.111.0 mit anderer Range gepackt werden?
Die Frage ist noch viel sinnfreier 
Wenn du keine 2 Subnetze brauchst, dann ist auch der Asus natürlich völlig obsolet !
Dann kaufst du dir im Blödmarkt einen kleinen 5 Port Switch wie z.B. diesen hier:
http://www.reichelt.de/Netzwerk-Switches/EDI-ES3305P/3/index.html?ACTIO ...
und klemmst den ganz einfach an deine FB LAN Port
Fertig ist der Lack !
Dafür einen Asus zu missbrauchen ist ja Perlen vor die Säue.
