15
Eine Steuerung hinter dem OpenVPN Client erreichen
Hallo,
ich benötige eure Expertise
Ich besitze eine kleine Windkraftanlage, diese kann ich leider nur per LTE Netzwerk erreichen. Somit habe ich leider keine feste oder adressierbare öffentliche IP-Adresse , da es leider nur einen privaten Adressbereich der Mobilfunkbetreiber gibt, ist somit kein NAT möglich.
Meine Idee ist eine OpenVPN Rückwärtstunnel. Also ein OpenVPN (Client 1) baut einen Tunnel zu einem OpenVPN Server der sich adressieren lässt auf.
Ein zweiter Linux oder Windows OpenVPN (Client 2) baut an einem anderen Standort z.B. in der Fa. einen Tunnel auf. Der OpenVPN Server routet dann die Netze zwischen den 2x Clients, somit würde ich das LAN meiner WKA Steuerung erreichen. Ich wollte alles mit PFsense oder OpenWRT umsetzen.
Was meint Ihr, ist das machbar ?
Viele Grüße
Cannonball
ich benötige eure Expertise
Ich besitze eine kleine Windkraftanlage, diese kann ich leider nur per LTE Netzwerk erreichen. Somit habe ich leider keine feste oder adressierbare öffentliche IP-Adresse , da es leider nur einen privaten Adressbereich der Mobilfunkbetreiber gibt, ist somit kein NAT möglich.
Meine Idee ist eine OpenVPN Rückwärtstunnel. Also ein OpenVPN (Client 1) baut einen Tunnel zu einem OpenVPN Server der sich adressieren lässt auf.
Ein zweiter Linux oder Windows OpenVPN (Client 2) baut an einem anderen Standort z.B. in der Fa. einen Tunnel auf. Der OpenVPN Server routet dann die Netze zwischen den 2x Clients, somit würde ich das LAN meiner WKA Steuerung erreichen. Ich wollte alles mit PFsense oder OpenWRT umsetzen.
Was meint Ihr, ist das machbar ?
Viele Grüße
Cannonball
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 318888
Url: https://administrator.de/contentid/318888
Ausgedruckt am: 19.11.2024 um 23:11 Uhr
15 Kommentare
Neuester Kommentar
Hi!
Wie oft ändert sich denn die LTE IP? DynDNS sollte doch dort auch machbar sein, um einen kleinen OpenVPN Server direkt an der Anlage zu betreiben?
Ansonsten sollte, mit etwas Konfigurationsaufwand auch das andere Setup machbar sein!
Fertige Configfiles kann ich dir zwar leider keine geben, aber die OpenVPN Doku ist ziemlich gut.
Wenn du die Clients alle in das gleiche virtuelle VPN Netz setzt, bzw. mit dem gleichen Netz verbindest, dann musst du nichtmal groß routen.
Ich meine mich dunkel zu erinnern, dass es dann eine Einstellung gab, damit sich die Clients "sehen" können.
Also ob Client <--> Client auch möglich sein soll, oder nur Client <--> Netz.
Ansonsten, wie greifst du auf die Steuerung zu?
Denn was immer geht, ist von Client2 per Remote auf ein Gerät im HomeLan und dann weiter durch den anderen Tunnel zur Steuerung.
Aber wie gesagt sollte es auch direkt machbar sein, ist nur eine Frage der Einstellungen.
Grüße
Wie oft ändert sich denn die LTE IP? DynDNS sollte doch dort auch machbar sein, um einen kleinen OpenVPN Server direkt an der Anlage zu betreiben?
Ansonsten sollte, mit etwas Konfigurationsaufwand auch das andere Setup machbar sein!
Fertige Configfiles kann ich dir zwar leider keine geben, aber die OpenVPN Doku ist ziemlich gut.
Wenn du die Clients alle in das gleiche virtuelle VPN Netz setzt, bzw. mit dem gleichen Netz verbindest, dann musst du nichtmal groß routen.
Ich meine mich dunkel zu erinnern, dass es dann eine Einstellung gab, damit sich die Clients "sehen" können.
Also ob Client <--> Client auch möglich sein soll, oder nur Client <--> Netz.
Ansonsten, wie greifst du auf die Steuerung zu?
Denn was immer geht, ist von Client2 per Remote auf ein Gerät im HomeLan und dann weiter durch den anderen Tunnel zur Steuerung.
Aber wie gesagt sollte es auch direkt machbar sein, ist nur eine Frage der Einstellungen.
Grüße
Hi,
nein das mit der DynDNS ist leider überhaupt nicht mehr möglich. Du musst zwangsläufig ein VPN zurück zum Server aufbauen. Es gibt noch LTE Verträge da wird es wohl noch gehen, aber die sind mir einfach zu Teuer. Außerdem muss das auch so gehen, es ist eine Herausforderung Meinst Du mit virtuellen VPN Netz die definierten tun Adapter oder verstehe ich da was falsch ?
Die Steuerung wird mit einer SCADA Software von außen direkt über eine IP Adressen angesprochen. Entweder über eine lokale IP, Öffentliche oder eben eine VPN. Die Steuerung ist im Client 2 Netz eingebunden.
Grüße
nein das mit der DynDNS ist leider überhaupt nicht mehr möglich. Du musst zwangsläufig ein VPN zurück zum Server aufbauen. Es gibt noch LTE Verträge da wird es wohl noch gehen, aber die sind mir einfach zu Teuer. Außerdem muss das auch so gehen, es ist eine Herausforderung
Meinst Du mit virtuellen VPN Netz die definierten tun Adapter oder verstehe ich da was falsch ?Die Steuerung wird mit einer SCADA Software von außen direkt über eine IP Adressen angesprochen. Entweder über eine lokale IP, Öffentliche oder eben eine VPN. Die Steuerung ist im Client 2 Netz eingebunden.
Grüße
Ja, das ist problemlos machbar und ist der richtige Weg bei Providern die im Mobilnetz RFC 1018 IP Adressen mit Provider NAT verwenden.
https://jankarres.de/2013/05/raspberry-pi-openvpn-vpn-server-installiere ...
https://jankarres.de/2014/10/raspberry-pi-openvpn-vpn-client-installiere ...
Am Windkraft Standort kannst du einen OpenWRT oder auch ganz einfach einen Raspberry Pi nehmen der das realisiert.
Damit machst du eine Site to Site Kopplung und kannst auf das "Windnetz" zugreifen.
Die OpenVPN ToDos sind immer die gleichen.
Hier findest du eine entsprechende Anleitung:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
pfSense wäre eigentlich schon mit Kanonen auf Spatzen, es sei denn du verwendest sie als Server wo sich der Windnetz RasPi oder OpenWRT reinwählt.
Das würde Sinn machen um so auch das netzwerk durch die Firewall sicher zu schützen !
Meine Idee ist eine OpenVPN Rückwärtstunnel. Also ein OpenVPN (Client 1) baut einen Tunnel zu einem OpenVPN Server der sich adressieren lässt auf.
Wie gesagt...das ist auch der richtige Weg !! Das kann ein Raspberry Pi OpenVPN Server bei dir zuhause sein oder wo auch immer.https://jankarres.de/2013/05/raspberry-pi-openvpn-vpn-server-installiere ...
https://jankarres.de/2014/10/raspberry-pi-openvpn-vpn-client-installiere ...
Am Windkraft Standort kannst du einen OpenWRT oder auch ganz einfach einen Raspberry Pi nehmen der das realisiert.
Damit machst du eine Site to Site Kopplung und kannst auf das "Windnetz" zugreifen.
Die OpenVPN ToDos sind immer die gleichen.
Hier findest du eine entsprechende Anleitung:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
pfSense wäre eigentlich schon mit Kanonen auf Spatzen, es sei denn du verwendest sie als Server wo sich der Windnetz RasPi oder OpenWRT reinwählt.
Das würde Sinn machen um so auch das netzwerk durch die Firewall sicher zu schützen !
1
Wenn du hinter ner Provider NAT hockst, wird das natürlich schwierig mit DynDNS :-p
Genau, du weist jedem VPN ja ein Subnet zu (bei geroutetem Setup wenigstens).
Es ist wie gesagt eine Sache der Konfiguration, dass du von überall alle Netze erreichst, in die du musst.
In erster Linie hängt das bei dir am Setup der Routen.
Also in Kürze:
- Cients bekommen VPN IP aus dem gesetzten VPN Subnet. (Ich würde für dieses Setup feste IPs verwenden.)
- Einstellen, dass OpenVPN Client auf Windkraftseite ein Subnet hinter sich hat, auf das zugegriffen werden soll.
- Entsprechende Route Infos auf Client 2 pushen, damit die Pakete auch da ankommen, wo sie hin müssen.
- Natürlich überall die eventuellen Firewalls anpassen.
Die dafür nötigen Einstellungen findest du z.B. hier:
https://openvpn.net/index.php/open-source/documentation/howto.html#examp ...
oder auch im Link von aqui.
Genau, du weist jedem VPN ja ein Subnet zu (bei geroutetem Setup wenigstens).
Es ist wie gesagt eine Sache der Konfiguration, dass du von überall alle Netze erreichst, in die du musst.
In erster Linie hängt das bei dir am Setup der Routen.
Also in Kürze:
- Cients bekommen VPN IP aus dem gesetzten VPN Subnet. (Ich würde für dieses Setup feste IPs verwenden.)
- Einstellen, dass OpenVPN Client auf Windkraftseite ein Subnet hinter sich hat, auf das zugegriffen werden soll.
- Entsprechende Route Infos auf Client 2 pushen, damit die Pakete auch da ankommen, wo sie hin müssen.
- Natürlich überall die eventuellen Firewalls anpassen.
Die dafür nötigen Einstellungen findest du z.B. hier:
https://openvpn.net/index.php/open-source/documentation/howto.html#examp ...
oder auch im Link von aqui.
Guten Morgen,
ich werde mal ein Versuchsaufbau aufbauen. Hier wird wohl der Schüssel liegen:
;route 192.168.40.128 255.255.255.248
Vielen Dank bis dahin. Ich melde mich wieder wenn ich Probleme habe
ich werde mal ein Versuchsaufbau aufbauen. Hier wird wohl der Schüssel liegen:
- EXAMPLE: Suppose the client
- having the certificate common name "Thelonious"
- also has a small subnet behind his connecting
- machine, such as 192.168.40.128/255.255.255.248.
- First, uncomment out these lines:
;route 192.168.40.128 255.255.255.248
- Then create a file ccd/Thelonious with this line:
- iroute 192.168.40.128 255.255.255.248
- This will allow Thelonious' private subnet to
- access the VPN. This example will only work
- if you are routing, not bridging, i.e. you are
- using "dev tun" and "server" directives.
Vielen Dank bis dahin. Ich melde mich wieder wenn ich Probleme habe
Genau, das ist eine von den Einstellunge, die ich gemeint habe.
Viel Erfolg!
Viel Erfolg!
Das wird problemlos so klappen !
Egal ob RasPi, OpenWRT oder was auch immer.
Egal ob RasPi, OpenWRT oder was auch immer.
1
Hi,
es hängt leider schon
Ich habe gestern eine Site-to-Site Kopplung eingerichtet . Der Tunnel stand auch und funktionierte, leider kam ich auf beiden Seiten (Server und Client) nicht einmal auf die Weboberfläche der jeweiligen PFsense´n .
Jetzt dachte ich mir, ich versuche erstmal ein normalen OpenVPN Server aufzusetzen. Der funktioniert auch . 1194 reiche ich von der Fritzbox an den Pfsense Router 192.168.178.123 durch.
Der Client baut die Verbindung auch erfolgriech auf, aber ich komme nicht in das Servernetz, kein Webinterface, kein Ping und sonst auch nix. Es kann nur am routing oder an den Firewallregeln liegen oder ? Routing und Firewall ist (noch) nicht so mein Steckenpferd
Vielle Grüße
es hängt leider schon
Ich habe gestern eine Site-to-Site Kopplung eingerichtet . Der Tunnel stand auch und funktionierte, leider kam ich auf beiden Seiten (Server und Client) nicht einmal auf die Weboberfläche der jeweiligen PFsense´n .
Jetzt dachte ich mir, ich versuche erstmal ein normalen OpenVPN Server aufzusetzen. Der funktioniert auch . 1194 reiche ich von der Fritzbox an den Pfsense Router 192.168.178.123 durch.
Der Client baut die Verbindung auch erfolgriech auf, aber ich komme nicht in das Servernetz, kein Webinterface, kein Ping und sonst auch nix. Es kann nur am routing oder an den Firewallregeln liegen oder ? Routing und Firewall ist (noch) nicht so mein Steckenpferd
Vielle Grüße
Hier mal meine Einstellungen:
VG
VG
leider kam ich auf beiden Seiten (Server und Client) nicht einmal auf die Weboberfläche der jeweiligen PFsense´n .
Hast du die Firewall regeln auch entsprechend eingerichtet ??Bedenke immer das das eine Firewall ist !! Dort ist alles verboten was nicht explizit per regel erlaubt ist !
Du musst deine IP Netze entspr. im Regelset auf dem virtuellen VPN Adapter erlauben !
Nochwas:
8.8.8.8 also Google DNS solltest du besser niemals benutzen !!
Damit machst du dich mit deinem Surf und Datenverhalten vollkommen nackig bei Google denn die erstellen dann sofort damit ein Profil von dir.
Immer Finger weg von diesen Diensten und immer den DNS des lokalen Providers nutzen den du so oder so per PPPoE oder DHCP automatisch bekommst !
Das Posten der OVPN Setups ist sinnfrei, denn wenn dein Tunnel sauber aufgebaut wird (Log !) hast du da ja alles richtig gemacht !!
Du scheiterst vermutlich schlicht und einfach an fehlenden Firewall Regeln !
Du betreibst auch einen Routerkaskade mit der FB deshalb musst du am WAN Port der pfSense das generelle RFC 1918 Blocking aufheben. Hast du das gemacht ?
Zusätzlich sind die NAT Roules vollkommen fehlerhaft !!!
Was hat dort ISAKMP zu suchen ?? Das ist für IPsec VPNs niemals aber OpenVPN
Ferner musst du auch generell gar nichts forwarden da, denn deine pfSense terminiert ja das VPN. Das ist also generell fehlerhaft und solltest du dringenst wieder löschen !!
1
Hi,
ich habe die DNS Server von Google herausgenommen. Danke.
die ISAKMP Einträge kommen von Pfsense und seine Assistenten, wenn man auf NAT/Outbound und danach auf "Manual Outbound Rule generation" geht entstehen diese Regeln automatisch. Ich habe Sie entfernt.
Auf dem WAN Port ist RFC1918 Blocking aus.
Ich muss leider nochmal neu aufsetzen, ich habe zuviel an den Firewallregeln gedreht, dass Ergebnis ist jetzt:
Erst kein funktionierender Tunnel und jetzt kein Internet mehr, obwohl ich die Regeln wieder manuell eingetragen habe so wie sie mal waren. War wohl nicht richtig.
VG
ich habe die DNS Server von Google herausgenommen. Danke.
die ISAKMP Einträge kommen von Pfsense und seine Assistenten, wenn man auf NAT/Outbound und danach auf "Manual Outbound Rule generation" geht entstehen diese Regeln automatisch. Ich habe Sie entfernt.
Auf dem WAN Port ist RFC1918 Blocking aus.
Ich muss leider nochmal neu aufsetzen, ich habe zuviel an den Firewallregeln gedreht, dass Ergebnis ist jetzt:
Erst kein funktionierender Tunnel und jetzt kein Internet mehr, obwohl ich die Regeln wieder manuell eingetragen habe so wie sie mal waren. War wohl nicht richtig.
VG
Hier die aktuellen Einstellungen: Es ist wieder wie vorher
Dein Tunnel wird ja fehlerfrei aufgebaut zw. Client und pfSense. Das ist also schon mal OK.
Du hast vermutlich noch deine Schrotschuss Regel am VPN Interface drin das any to any erlaubt, richtig ?
Man kann nur vermuten das hier die interne Winblows Firewall zuschlägt. Viel andere Optionen gint es ja nicht mehr.
Das ist auch anzunehmen, denn dadurch das Windows auf dem virtuellen Tunnel Interface kein Gateway "sieht" schlägt die automatische Erkennung fehlt und die Firewall deklariert das Interface als Public und macht alle Schotten dicht.
An der Schraube musst du also vermutlich auch drehen...
Du hast vermutlich noch deine Schrotschuss Regel am VPN Interface drin das any to any erlaubt, richtig ?
- Was sagt ein route print auf dem Client ?? Routet er das 192.168.1.0er Netz in den Tunnel ?
- Kannst du am Client den internen OVPN Server 10.0.8.1 pingen ?
Man kann nur vermuten das hier die interne Winblows Firewall zuschlägt. Viel andere Optionen gint es ja nicht mehr.
Das ist auch anzunehmen, denn dadurch das Windows auf dem virtuellen Tunnel Interface kein Gateway "sieht" schlägt die automatische Erkennung fehlt und die Firewall deklariert das Interface als Public und macht alle Schotten dicht.
An der Schraube musst du also vermutlich auch drehen...
Hi,
also der Ping zu 10.0.8.1 funktioniert . Die Route ist auf 192.168.1.0 -> tun0 in Linux angelegt. Es kann eigentlich nur an der Firewall liegen.
VG
also der Ping zu 10.0.8.1 funktioniert . Die Route ist auf 192.168.1.0 -> tun0 in Linux angelegt. Es kann eigentlich nur an der Firewall liegen.
also der Ping zu 10.0.8.1 funktioniert .
Tadaaa !! Gut, damit ist dann erstmal klar das der VPN Tunnel sauber funktioniert und der OVPN Server erreichbar ist !Routing Table im Client stimmt auch.
In der Tat liegt der Rest dann jetzt nur noch einzig an der Firewall !!
Was die pfSense Ecke anbetrifft findest du Hinweise dazu immer im Firewall Log.
Klick dir das in den Log Settings so das du die aktuellsten Messages immer am Anfang oben siehst.
Dann löschst du das Log und machst mal ein paar Pings.
Sofern es Regeln in der pfSense selber sind loggt sie Blockings mit.
Hilfreich ist auch der Traceroute und Ping der pfSense und Diagnostics. Dort kannst du mit unterschedlichen Souce IPs arbeiten und auch ein Sniffertrace machen.
Der böse Buhmann ist aber vermutlich die Winblows Firewall Seite.
