11
Verbindung vom Server zum Client via VPN nicht möglich
Hallo zusammen,
Ich habe bei Strato einen Server gemietet. Ich kann mich per OpenVPN von beliebigen Clients in das Netz des Servers einwählen und diesen problemlos erreichen. Ping, Dateifreigabe, RDP. Alles funktioniert.
Nun kommt aber die Anforderung hinzu, vom Server auf einen bestimmten Client zuzugreifen.
Das gelingt mir leider nicht und ich habe keine Ahnung, woran es liegt.
Die gesamte Zielsetzung ist noch etwas komplexer. Es soll ein gewisses Gerät (ohne Userinterface) von einer auf dem Server laufenden Software angesprochen werden. Hierfür kann ich nur die IP-Adresse des Geräts angeben.
Da das Gerät selbst den OpenVPN-Client nicht ausführen kann, habe ich eine VPN-Box dazwischen gehängt, welche die Einwahl per VPN übernimmt. Das funktioniert auch. Stecke ich einen PC in die Box und starte eine RDP-Session zum Server geht das einwandfrei. Möchte ich aber vom Server z.B. eine RDP-Session zum Client mittels dessen lokaler IP-Adresse aufbauen, so findet er keine Gegenstelle. An der Box liegt es vermutlich nicht, da ich beim Testaufbau mit dem OpenVPN-Client das gleiche Fehlerbild habe.
An den VPN-Einstellungen selbst kann ich nichts ändern, da diese von Strato vorkonfiguriert sind.
Mein Einflussbereich beschränkt sich also auf die Windows Konfiguration des bei Strato gehosteten Servers.
Ich vermute ich muss irgendwas mit statischen Routen machen, kenne mich in diesem Bereich allerdings null aus und kam bislang mit Googeln auch nicht weiter.
Ich hätte mir nicht träumen lassen, dass das so kompliziert sein soll. Schließlich habe ich ja einen funktionierenden VPN-Tunnel zwischen Client und Server und kann den Server vollumfänglich erreichen.
Kann mich jemand auf die richtige Fährte locken?
Gruß
Ich habe bei Strato einen Server gemietet. Ich kann mich per OpenVPN von beliebigen Clients in das Netz des Servers einwählen und diesen problemlos erreichen. Ping, Dateifreigabe, RDP. Alles funktioniert.
Nun kommt aber die Anforderung hinzu, vom Server auf einen bestimmten Client zuzugreifen.
Das gelingt mir leider nicht und ich habe keine Ahnung, woran es liegt.
Die gesamte Zielsetzung ist noch etwas komplexer. Es soll ein gewisses Gerät (ohne Userinterface) von einer auf dem Server laufenden Software angesprochen werden. Hierfür kann ich nur die IP-Adresse des Geräts angeben.
Da das Gerät selbst den OpenVPN-Client nicht ausführen kann, habe ich eine VPN-Box dazwischen gehängt, welche die Einwahl per VPN übernimmt. Das funktioniert auch. Stecke ich einen PC in die Box und starte eine RDP-Session zum Server geht das einwandfrei. Möchte ich aber vom Server z.B. eine RDP-Session zum Client mittels dessen lokaler IP-Adresse aufbauen, so findet er keine Gegenstelle. An der Box liegt es vermutlich nicht, da ich beim Testaufbau mit dem OpenVPN-Client das gleiche Fehlerbild habe.
An den VPN-Einstellungen selbst kann ich nichts ändern, da diese von Strato vorkonfiguriert sind.
Mein Einflussbereich beschränkt sich also auf die Windows Konfiguration des bei Strato gehosteten Servers.
Ich vermute ich muss irgendwas mit statischen Routen machen, kenne mich in diesem Bereich allerdings null aus und kam bislang mit Googeln auch nicht weiter.
Ich hätte mir nicht träumen lassen, dass das so kompliziert sein soll. Schließlich habe ich ja einen funktionierenden VPN-Tunnel zwischen Client und Server und kann den Server vollumfänglich erreichen.
Kann mich jemand auf die richtige Fährte locken?
Gruß
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 84078529560
Url: https://administrator.de/contentid/84078529560
Printed on: May 4, 2024 at 02:05 o'clock
11 Comments
Latest comment
Hallo,
Was ist das denn für eine VPN-Box? Vermutlich macht die für das LAN bei Dir NAT und damit ist dann der Zugriff von der WAN-Seite schon am Ende.
Du bräuchtest ein Site2Site-VPN.
Stefan
Was ist das denn für eine VPN-Box? Vermutlich macht die für das LAN bei Dir NAT und damit ist dann der Zugriff von der WAN-Seite schon am Ende.
Du bräuchtest ein Site2Site-VPN.
Stefan
Hi,
Zumindest spricht der TO ja von OpenVPN-Tunnel.
Letztlich kann es viel sein, das da Probleme bereitet. Von der fehlenden Route bis zur Firewall ist alles denkbar.
Es wurde zwar viel geschrieben, aber es fehlen wichtige Details.
Eine kleine Zeichnung mit IP-Adressen wäre da hilfreich und die Hardware/Firmware der "VPN-Box".
Gruß orcape
Zumindest spricht der TO ja von OpenVPN-Tunnel.
Letztlich kann es viel sein, das da Probleme bereitet. Von der fehlenden Route bis zur Firewall ist alles denkbar.
Es wurde zwar viel geschrieben, aber es fehlen wichtige Details.
Eine kleine Zeichnung mit IP-Adressen wäre da hilfreich und die Hardware/Firmware der "VPN-Box".
Gruß orcape
Zitat von @StefanKittel:
Hallo,
Was ist das denn für eine VPN-Box? Vermutlich macht die für das LAN bei Dir NAT und damit ist dann der Zugriff von der WAN-Seite schon am Ende.
Du bräuchtest ein Site2Site-VPN.
Stefan
Hallo,
Was ist das denn für eine VPN-Box? Vermutlich macht die für das LAN bei Dir NAT und damit ist dann der Zugriff von der WAN-Seite schon am Ende.
Du bräuchtest ein Site2Site-VPN.
Stefan
Das ist ein Router. TP-Link Omada ER605. Er dient lediglich als VPN client. Klar macht er NAT, aber eben genau das spielt doch bei einem VPN eigentlich gar keine Rolle?! Deshalb nutze ich ja VPN.
Bzw: Kann man dieses Setup doch als Site2Site bezeichne. Technisch stellt Strato leider nur Einwahlverbindungen zur Verfügung. Diese kann man nicht konfigurieren. Das geschieht automatisch und am Ende kommt eine OPVN-Datei heraus, die sowohl in der Client-Software als auch am ER605 eingelesen werden kann und dann so direkt ohne weitere Eingaben funktioniert.
Moin,
So ist es. Fehlt weiterhin.
Vermutlich liegt es doch an den IP-Kreisen von VPN und internem LAN Deines TP-Link Routers. Also bitte mal alle beteiligten IP-Adresskreise mitteilen (Strato LAN, Strato VPN, TP-Link VPN, TP-Link LAN), v.a. auch die IP des "gewissens Geräts". Bitte auch mitteilen, was das ist.
Skizze ist wichtig, damit man den Aufbau versteht. Gibt es zwischen ER605 und dem lokalen Internetanschluss noch weitere Geräte, weitere Router?
Gruß
DivideByZero
So ist es. Fehlt weiterhin.
Vermutlich liegt es doch an den IP-Kreisen von VPN und internem LAN Deines TP-Link Routers. Also bitte mal alle beteiligten IP-Adresskreise mitteilen (Strato LAN, Strato VPN, TP-Link VPN, TP-Link LAN), v.a. auch die IP des "gewissens Geräts". Bitte auch mitteilen, was das ist.
Skizze ist wichtig, damit man den Aufbau versteht. Gibt es zwischen ER605 und dem lokalen Internetanschluss noch weitere Geräte, weitere Router?
Gruß
DivideByZero
Möchte ich aber vom Server z.B. eine RDP-Session zum Client mittels dessen lokaler IP-Adresse aufbauen, so findet er keine Gegenstelle
Ist denn die Firewall am Client (Windows, vermutlich!?) auch so angepasst, dass es RDP eingehend aus dem IP-Netz des Strato-Servers/ dem VPN-Netz zulässt.Vermutlich blockt einfach nur die Firewall des Clients (richtigerweise)…
Zitat von @Manicou537:
Klar macht er NAT, aber eben genau das spielt doch bei einem VPN eigentlich gar keine Rolle?!
Doch. Der Router holt sich nur 1 (eine) IP-Adresse und versteckt sein LAN dahinter. Damit kann jeder aus dem LAN über das VPN auf den Server zugreifen. Aber der Server kommt nur bis zum Router und das NAT weiß nicht wohin mit der Anfrage.Klar macht er NAT, aber eben genau das spielt doch bei einem VPN eigentlich gar keine Rolle?!
Man könnte jetzt mit so etwas wie Port-Weiterleitungen fummeln.
Besser wäre ein S2S-VPN.
Stefan
1Zitat von @StefanKittel:
Man könnte jetzt mit so etwas wie Port-Weiterleitungen fummeln.
Besser wäre ein S2S-VPN.
Stefan
Zitat von @Manicou537:
Klar macht er NAT, aber eben genau das spielt doch bei einem VPN eigentlich gar keine Rolle?!
Doch. Der Router holt sich nur 1 (eine) IP-Adresse und versteckt sein LAN dahinter. Damit kann jeder aus dem LAN über das VPN auf den Server zugreifen. Aber der Server kommt nur bis zum Router und das NAT weiß nicht wohin mit der Anfrage.Klar macht er NAT, aber eben genau das spielt doch bei einem VPN eigentlich gar keine Rolle?!
Man könnte jetzt mit so etwas wie Port-Weiterleitungen fummeln.
Besser wäre ein S2S-VPN.
Stefan
Ich vermute mal, das dies die richtige Fährte sein könnte.
Aber: Wieso geht es dann nicht von einem Client, der sich selbst direkt einwählt, also ohne den TP-Link dazwischen?
Am VPN kann ich nicht viel basteln. Strato lässt hier keine Einstellungen zu.
Eine Zeichnung kann ich morgen nachliefern.
Hallo zusammen,
Ich habe beschlossen, dass es nur begrenzt sinnvoll ist, euch die IP-Struktur mitzuteilen. Die Seite von Strato ist eine Blackbox. Die IP-Adressen alle im öffentlichen Bereich. Ich kann also xxx.xxx.xxx.xxx angeben. Hilft aber nicht weiter.
Ich habe allerdings eine Lösung gefunden: Ich mache den Server zum Client.
Sprich: Ich wähle mich nicht ins das Netz bei Strato ein, sondern umgekehrt. Der Server wählt sich per WireGuard auf der lokalen Fritzbox ein und ist damit vollwertiges Mitglied des Netzwerks. Verbindungen funktionieren in beide Richtungen. Die Verbindung ist zwar etwas langsamer als über OpenVPN bei Strato - allerdings macht das in der Praxis keinen Unterschied, da keine Dateien übertragen werden, sondern lediglich RDP funktionieren muss.
Das ominöse "Gerät" von dem ich gesprochen habe ist eine Waage. Die Software auf dem Server soll nur das Gewicht abfragen. Datenmenge ist hier ebenfalls überschaubar.
Das Setup ist zwar in Summe etwas fragiler als das bisherige, da ich die Strato-Infrastruktur durch eine Fritzbox ersetze. Aber in diesem Szenario wird das funktionieren.
Allerdings frage ich mich tatsächlich, wie das mit gehosteten Servern bei komplexeren Anforderungen und Netzwerken funktionieren soll. Die von mir jetzt angestrebte Lösung fühlt sich nicht wirklich professionell an.
Eine andere Idee wäre, den Server zum VPN-Host zu machen und entsprechend ports in der Strato Firewall zu öffnen. Aber damit fühle ich mich nicht wohl. - Oder ist die Sorge unbegründet?
Ich habe beschlossen, dass es nur begrenzt sinnvoll ist, euch die IP-Struktur mitzuteilen. Die Seite von Strato ist eine Blackbox. Die IP-Adressen alle im öffentlichen Bereich. Ich kann also xxx.xxx.xxx.xxx angeben. Hilft aber nicht weiter.
Ich habe allerdings eine Lösung gefunden: Ich mache den Server zum Client.
Sprich: Ich wähle mich nicht ins das Netz bei Strato ein, sondern umgekehrt. Der Server wählt sich per WireGuard auf der lokalen Fritzbox ein und ist damit vollwertiges Mitglied des Netzwerks. Verbindungen funktionieren in beide Richtungen. Die Verbindung ist zwar etwas langsamer als über OpenVPN bei Strato - allerdings macht das in der Praxis keinen Unterschied, da keine Dateien übertragen werden, sondern lediglich RDP funktionieren muss.
Das ominöse "Gerät" von dem ich gesprochen habe ist eine Waage. Die Software auf dem Server soll nur das Gewicht abfragen. Datenmenge ist hier ebenfalls überschaubar.
Das Setup ist zwar in Summe etwas fragiler als das bisherige, da ich die Strato-Infrastruktur durch eine Fritzbox ersetze. Aber in diesem Szenario wird das funktionieren.
Allerdings frage ich mich tatsächlich, wie das mit gehosteten Servern bei komplexeren Anforderungen und Netzwerken funktionieren soll. Die von mir jetzt angestrebte Lösung fühlt sich nicht wirklich professionell an.
Eine andere Idee wäre, den Server zum VPN-Host zu machen und entsprechend ports in der Strato Firewall zu öffnen. Aber damit fühle ich mich nicht wohl. - Oder ist die Sorge unbegründet?
Die Verbindung ist zwar etwas langsamer als über OpenVPN bei Strato
Das dürfte wohl getrost eher ins Reich der VPN Märchen gehören wenn man es zum in die Jahre gekommenen und wenig skalierenden OpenVPN vergleicht:
Alternativ kannst du ja immer das klassische und bewährte IPsec VPN der Fritzbox verwenden mit Strongswan auf deinen Strato Server. Auch das ist kinderleicht im Handumdrehen aufgesetzt und funktioniert auch ebenso problemlos als FB Client! Guckst du, wie immer, dazu hier:
IKEv2 VPN Server für Windows und Apple Clients mit Raspberry Pi
1Zitat von @aqui:
Details zur nicht Standard konformen AVM Wireguard Implementation, wie immer, auch HIER.
Alternativ kannst du ja immer das klassische und bewährte IPsec VPN der Fritzbox verwenden mit Strongswan auf deinen Strato Server. Auch das ist kinderleicht im Handumdrehen aufgesetzt und funktioniert auch ebenso problemlos als FB Client! Guckst du, wie immer, dazu hier:
IKEv2 VPN Server für Windows und Apple Clients mit Raspberry Pi
Die Verbindung ist zwar etwas langsamer als über OpenVPN bei Strato
Das dürfte wohl getrost eher ins Reich der VPN Märchen gehören wenn man es zum in die Jahre gekommenen und wenig skalierenden OpenVPN vergleicht:Alternativ kannst du ja immer das klassische und bewährte IPsec VPN der Fritzbox verwenden mit Strongswan auf deinen Strato Server. Auch das ist kinderleicht im Handumdrehen aufgesetzt und funktioniert auch ebenso problemlos als FB Client! Guckst du, wie immer, dazu hier:
IKEv2 VPN Server für Windows und Apple Clients mit Raspberry Pi
Danke! Ich werde das mal durchdenken.
Die Messwerte in der Statistik passen aber bei weitem nicht zur Fritzbox. Ich bekomme mit klassischem IPSec maximal 8 Megabit durch die Fritte und und mit WireGuard sind es immerhin 50Mbit. Das genügt dann für den Anwendungszweck, aber mehr geht wohl nicht. Flaschenhals ist m.W. die Hardware der Fritzbox.
Bei klassischem IPsec ist bei der Fritzbox der Durchsatz in hohem Maße abhängig davon was du als Krypto Algorithmen konfigurierst! Siehe zu der Thematik auch hier:
Fritzbox IPsec Krypto Algorithmen
Du hast aber Recht, letztendlich ist es der schwachbrüstige SoC der Fritzbox. Fairerweise muss man aber auch sagen das die Fritzbox primär ein billiger Plaste Consumer Router ist der VPN als Dreingabe hat niemals aber dafür geschaffen ist!
Wenn man performante VPNs betreiben will ist bekanntlich eine Fritzbox definitv die falsche Hardwarewahl!
Fritzbox IPsec Krypto Algorithmen
Du hast aber Recht, letztendlich ist es der schwachbrüstige SoC der Fritzbox. Fairerweise muss man aber auch sagen das die Fritzbox primär ein billiger Plaste Consumer Router ist der VPN als Dreingabe hat niemals aber dafür geschaffen ist!
Wenn man performante VPNs betreiben will ist bekanntlich eine Fritzbox definitv die falsche Hardwarewahl!
