VPN durch 4 Router?
Hi
Gleich mal zu Anfang - ich frage dies weil ich es wissen will. Ich spiele gerne mit Hardware (Arduino und all so dinge).
Also folendes:
Hier mal meine Hardware in der folgenden Reienfolge:
Fritzbox-TPLINKER605-PFSENSE-OPNSENSE
Kann ich damit ein VPN von vorne bis hinten durchleiten?
Also ich kann im Internet surfen und all das Zeugs wie Netflix und was ich noch brauche - geht alles.
Ich musste die Regeln alle (na logisch) auf den beiden Firewalls erstellen (GOOGLE hilft).
Nur kann ich kein VPN nutzen.
Also ich will auf der letzten Firewall ONSSENSE ankommen. Ich habe da YTVids geschaut und mir einen OPNVPN Server eingrichtet. Mit Zertifikaten und all dem. Dann habe ich das alles wie im VIdeo exportiert und auf dem Handy (Android) installiert.
Auf der FRITZBOx habe ich ein Weiterleitung port 1194 auf den ER605 gemacht. Dort habe ich virtuell Server (scheint wohl das weiterleiten von TPLINK zu sein) für port 80 und 443 gemacht. Dann auf der PFSENSE auch wieder - also Weiterleitung aber da denke ich bin ich falsch. Da hab ich gegoogelt aber das ist ezwas komplizert.
Ich verstehe das so. Diese Ports kommen vom ER605 aus dem WAN der PFSENSE und müssen weitergeleitet werden an die IPAdresse der OPNSENSE - was die WAN Adresse der OPNSENSE ist. Ist das richtig? Ich bekomme keine Verbindung.
Nochmal - ich brauch das nicht zum arbeiten oder so - ich will das nur verstehen. Warum bekomme ich keine Verbindung? Da steht auf dem Handy immer reconnect. Und ich habe klar Dyndns damit das geht von außen.
Vielen lieben Dank !!!!!!
Gleich mal zu Anfang - ich frage dies weil ich es wissen will. Ich spiele gerne mit Hardware (Arduino und all so dinge).
Also folendes:
Hier mal meine Hardware in der folgenden Reienfolge:
Fritzbox-TPLINKER605-PFSENSE-OPNSENSE
Kann ich damit ein VPN von vorne bis hinten durchleiten?
Also ich kann im Internet surfen und all das Zeugs wie Netflix und was ich noch brauche - geht alles.
Ich musste die Regeln alle (na logisch) auf den beiden Firewalls erstellen (GOOGLE hilft).
Nur kann ich kein VPN nutzen.
Also ich will auf der letzten Firewall ONSSENSE ankommen. Ich habe da YTVids geschaut und mir einen OPNVPN Server eingrichtet. Mit Zertifikaten und all dem. Dann habe ich das alles wie im VIdeo exportiert und auf dem Handy (Android) installiert.
Auf der FRITZBOx habe ich ein Weiterleitung port 1194 auf den ER605 gemacht. Dort habe ich virtuell Server (scheint wohl das weiterleiten von TPLINK zu sein) für port 80 und 443 gemacht. Dann auf der PFSENSE auch wieder - also Weiterleitung aber da denke ich bin ich falsch. Da hab ich gegoogelt aber das ist ezwas komplizert.
Ich verstehe das so. Diese Ports kommen vom ER605 aus dem WAN der PFSENSE und müssen weitergeleitet werden an die IPAdresse der OPNSENSE - was die WAN Adresse der OPNSENSE ist. Ist das richtig? Ich bekomme keine Verbindung.
Nochmal - ich brauch das nicht zum arbeiten oder so - ich will das nur verstehen. Warum bekomme ich keine Verbindung? Da steht auf dem Handy immer reconnect. Und ich habe klar Dyndns damit das geht von außen.
Vielen lieben Dank !!!!!!
Please also mark the comments that contributed to the solution of the article
Content-ID: 4377094254
Url: https://administrator.de/contentid/4377094254
Printed on: October 10, 2024 at 00:10 o'clock
12 Comments
Latest comment
Hi,
Es reicht, wenn du in deiner Fritzbox eine Weiterleitung TCP 443 (und/oder 1194 UDP) auf die OPNSense machst.
Voraussetzung dafür ist aber, dass die OPNsense von der Fritzbox aus erreicht werden kann, dort muss also eine statische Route drin sein, damit die Fritze weiß, wohin der Traffic gehen muss und natürlich müssen die Firewalls der Router entsprechend den Traffic erlauben (aber KEIN Portforwarding!)
Kannst du leicht testen: Steck einen Computer direkt an die Fritzbox und versuche die OPNSense zu pingen. Wenn das geht, prüfe ob 443 erreicht werden kann (z.B. mit Powershell)
Zur Erklärung:
Der einzige Grund warum du überhaupt eine Weiterleitung brauchst heißt NAT. Im Internet gibt es keine Routen auf deine LAN-IP bei IPv4, daher geht jeglicher Traffic an die WAN Adresse, die deine Fritze hat.
Wenn also etwas von außen kommt (und zwar ohne, dass es von Innen angefordert wurde), dann bleibt es an der Fritze stehen und fragt dort an "Guten Tag Herr Fritz, ich komme hier mit Port 443, bin ich da richtig"?
Ist die Fritze selbst der VPN-Server, dann sagt er "Jawoll, lass uns VPN machen".
Ist die Fritze das nicht, dann kommt deine Weiterleitung an deinen VPN-Server, in deinem Fall die OPNSense. Die Antwort ist dann "Nein, 443 gehen sie mal zum Kollegen, IP 192.168.80.1".
VPN sollte eigentlich nie kreuz und quer durchs LAN geroutet werden sondern direkt am WAN-Anschluss hängen.
Aber es soll ja nur Spielerei sein. Trotzdem kein gutes Design, sollte man sich nicht angewöhnen.
Edit: Achso und du brauchst eine echte IPv4 Adresse im Internet. Mit CGN klappt das nicht.
Ich hoffe das war verständlich.
Gruß
Drohnald
Ich verstehe das so. Diese Ports kommen vom ER605 aus dem WAN der PFSENSE und müssen weitergeleitet werden an die IPAdresse der OPNSENSE - was die WAN Adresse der OPNSENSE ist. Ist das richtig?
Nein, du musst nicht 3x weiterleiten.Es reicht, wenn du in deiner Fritzbox eine Weiterleitung TCP 443 (und/oder 1194 UDP) auf die OPNSense machst.
Voraussetzung dafür ist aber, dass die OPNsense von der Fritzbox aus erreicht werden kann, dort muss also eine statische Route drin sein, damit die Fritze weiß, wohin der Traffic gehen muss und natürlich müssen die Firewalls der Router entsprechend den Traffic erlauben (aber KEIN Portforwarding!)
Kannst du leicht testen: Steck einen Computer direkt an die Fritzbox und versuche die OPNSense zu pingen. Wenn das geht, prüfe ob 443 erreicht werden kann (z.B. mit Powershell
Test-NetConnection hierDieIPDerOPNSense -port 443
Zur Erklärung:
Der einzige Grund warum du überhaupt eine Weiterleitung brauchst heißt NAT. Im Internet gibt es keine Routen auf deine LAN-IP bei IPv4, daher geht jeglicher Traffic an die WAN Adresse, die deine Fritze hat.
Wenn also etwas von außen kommt (und zwar ohne, dass es von Innen angefordert wurde), dann bleibt es an der Fritze stehen und fragt dort an "Guten Tag Herr Fritz, ich komme hier mit Port 443, bin ich da richtig"?
Ist die Fritze selbst der VPN-Server, dann sagt er "Jawoll, lass uns VPN machen".
Ist die Fritze das nicht, dann kommt deine Weiterleitung an deinen VPN-Server, in deinem Fall die OPNSense. Die Antwort ist dann "Nein, 443 gehen sie mal zum Kollegen, IP 192.168.80.1".
VPN sollte eigentlich nie kreuz und quer durchs LAN geroutet werden sondern direkt am WAN-Anschluss hängen.
Aber es soll ja nur Spielerei sein. Trotzdem kein gutes Design, sollte man sich nicht angewöhnen.
Edit: Achso und du brauchst eine echte IPv4 Adresse im Internet. Mit CGN klappt das nicht.
Ich hoffe das war verständlich.
Gruß
Drohnald
Hallo,
zum herumspielen ist das ganz nett, aber mehr eben auch nicht.
In Der Regel hast Du einen Router oder eine Firewall und dazu noch einen LAN und/oder DMZ Switch.
In einigen Fällen kann man sicherlich auch eine Dual Homed Lösung benutzen und hat dann zwei Router
oder Firewalls mit im "Spiel" (AVM FB und pfSense dahinter) an die AVM FB kommen dann in der Regel
alle "Petzen" an einen DMZ Switch dran und hinter die pfSense alle LAN Geräte an einen LAN Switch.
Per VPN kann man nun alle Geräte wie RAPI, NAS, oder andere as dem Internet erreichen und die
Geräte hinter der Firewall sind und bleiben alle sicher.
Bei 4 Routern / Firewall kann man auch ein LABOR (LAB) Netz aufsetzen und dann dort "spielen"
und die AVM alleine bzw. mit einer anderen Lösung zusammen als Netzwerk betreiben. Hier bei
mir sind das AVM FB, pfSense und MikroTik und OpenWRT. Aber VPN durch alle 4 Geräte durch
ist irgendwie an der "Sache" voll vorbei.
Dobby
zum herumspielen ist das ganz nett, aber mehr eben auch nicht.
In Der Regel hast Du einen Router oder eine Firewall und dazu noch einen LAN und/oder DMZ Switch.
In einigen Fällen kann man sicherlich auch eine Dual Homed Lösung benutzen und hat dann zwei Router
oder Firewalls mit im "Spiel" (AVM FB und pfSense dahinter) an die AVM FB kommen dann in der Regel
alle "Petzen" an einen DMZ Switch dran und hinter die pfSense alle LAN Geräte an einen LAN Switch.
Per VPN kann man nun alle Geräte wie RAPI, NAS, oder andere as dem Internet erreichen und die
Geräte hinter der Firewall sind und bleiben alle sicher.
Bei 4 Routern / Firewall kann man auch ein LABOR (LAB) Netz aufsetzen und dann dort "spielen"
und die AVM alleine bzw. mit einer anderen Lösung zusammen als Netzwerk betreiben. Hier bei
mir sind das AVM FB, pfSense und MikroTik und OpenWRT. Aber VPN durch alle 4 Geräte durch
ist irgendwie an der "Sache" voll vorbei.
Dobby
Kann ich damit ein VPN von vorne bis hinten durchleiten?
Ja!Würdest du diese Frage auch stellen wenn es um simplen WebBrowser Traffic (HTTP) oder Email Traffic geht?
VPN Traffic ist auch nichts anderes als simpler IP Traffic den du, wenn es sein muss, auch durch 100 Router oder Firewalls bekommst. Es zählt doch einzig und allein nur die Ziel IP Adresse, denn bekanntlich bestimmt nur diese WIE ein IP Paket durch ein oder mehrere Netzzwerke geforwardet wird!
Also ich will auf der letzten Firewall ONSSENSE ankommen.
Was ist ONSSENSE??Lösung: Port Forwarding auf FritzBox, Port Forwarding auf TP-Link, Port Forwarding auf pfSense mit entsprechender WAN Regel. Fertisch und eine einfache Sache.
Mit einem Wireshark Sniffer kannst du selber in den ganzen Koppelnetzen der Kaskade genau sehen ob deine OVPN Pakete da von Hop zu Hop geforwardet werden. Also Profi Hardware Bastler kommt man doch auf sowas als Allererstes um zu checken das so ein Setup funktioniert wie es soll? Hast du das geprüft so??
und mir einen OPNVPN Server eingrichtet.
Nebenbei: Keine gute Idee bei der miesen Performance von OpenVPN. Besser wären zudem auch die VPN Protokolle der onboard Clients, die das deutlich besser können und dir die überflüssige Frickelei mit zusätzlichen Apps und Software auf den Endgeräten ersparen.PfSense VPN mit L2TP (IPsec) Protokoll für mobile Nutzer
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Da hab ich gegoogelt aber das ist ezwas komplizert.
Googeln ist kompliziert?? OK, wenn's daran schon scheitert wird's nicht einfach für dich...Warum bekomme ich keine Verbindung?
Da gibt es unzählige Gründe für. In der Regel sind das fast immer fehlende Routen und fehlende Port Forwardings wenn man mit 3 oder 4fachen NAT Kaskaden arbeitet wie du oben.Viele Laien haben nicht auf dem Radar das immer NAT im Spiel ist was ohne PFW Regeln nicht per einfachem IP Routing überwindbar ist.
Ein weitere Fehlerschwerpunkt sind falsche oder fehlende Firewall Regel. Eine FW blockt bekanntlich per se alles was nicht explizit erlaubt ist.
In diesem Fehlerdreieck wirst du dich ganz sicher bewegen. Leider sind deine o.a. technischen Angaben viel zu laienhaft und oberflächlich um hier zielführend helfen zu können ohne das es in Kristallkugelei abdriftet.
Wenn, benötigt man detailiertere weitere Infos wie das Port Forwarding und Routing, die IP Adressierung usw. eingerichtet ist. Kollege @Drohnald hat ja schon einige Ansätze genannt.
Weitere Infos zu NAT Kaskaden findest du u.a. auch HIER.
Malformed klingt erstmal nicht gut, denn das ist ein kaputtes IP Paket. Mit dem Rest deiner sehr spärlichen Angaben kann man leider nicht viel anfangen.
Idealerweise filterst du die Pakete mal nach UDP 1194 (sofern du mit dem OpenVPN Standardport arbeitest!) denn das selektiert erstmal rein nur den OpenVPN Traffic und postest mal einen anonymisierten Screenshot von diesem Traffic. Idealerweise indem du mal eins dieser malformed Pakets aufklappst um dessen Daten zu sehen.
Idealerweise filterst du die Pakete mal nach UDP 1194 (sofern du mit dem OpenVPN Standardport arbeitest!) denn das selektiert erstmal rein nur den OpenVPN Traffic und postest mal einen anonymisierten Screenshot von diesem Traffic. Idealerweise indem du mal eins dieser malformed Pakets aufklappst um dessen Daten zu sehen.
Hast du das direkt mit der FritzBox gemessen??
Das wäre nicht ganz so hilfreich weil das direkt der PPPoE Frame ist.
Besser ist es wenn du den Kabelhai in die Verbindung Fritzbox--x--TPLINK_ER605 packst.
In der FritzBox ist ja Port Forwarding für UDP 1194 aktiv.
Damit hast du dann gleich ein Indiz das dein FritzBox Port Forwarding von OpenVPN aus dem Internet sauber rennt und du hast den nackten Ethernet Frame ohne PPPoE Overhead!!
Siehe dazu auch hier.
Du hast 2 Optionen das zu messen:
Das wäre nicht ganz so hilfreich weil das direkt der PPPoE Frame ist.
Besser ist es wenn du den Kabelhai in die Verbindung Fritzbox--x--TPLINK_ER605 packst.
In der FritzBox ist ja Port Forwarding für UDP 1194 aktiv.
Damit hast du dann gleich ein Indiz das dein FritzBox Port Forwarding von OpenVPN aus dem Internet sauber rennt und du hast den nackten Ethernet Frame ohne PPPoE Overhead!!
Siehe dazu auch hier.
Du hast 2 Optionen das zu messen:
- Entweder die Port Forwarding IP in der FB auf die Wireshark IP umbiegen
- Oder Port Forwarding IP in der FB belassen und TPLINK ER605 abziehen und stattessen den Kabelhai mit gleicher IP aufstecken.
Teste doch dein VPN erst mal direkt mit OPNSense an der Fritzbox, bevor du dir noch zwei Fehlerquellen dazwischen einbaust, klingt sinnig, oder?
Für dieses Szenario gibt es in der Realität genau NULL Einsatzgebiete, das macht kein Mensch so.
Also bau doch erst mal ein funktionierendes VPN auf, und dann kannst du Spielereien dazu bauen.
Fritte an OPNSense, ESP, TCP500 und TCP4500 an die OPN Kiste weiterleiten, VPN einrichten, Einwahl testen.
Wenn es da schon scheitert, liegt der Fehler in deiner VPN Config.
Für dieses Szenario gibt es in der Realität genau NULL Einsatzgebiete, das macht kein Mensch so.
Also bau doch erst mal ein funktionierendes VPN auf, und dann kannst du Spielereien dazu bauen.
Fritte an OPNSense, ESP, TCP500 und TCP4500 an die OPN Kiste weiterleiten, VPN einrichten, Einwahl testen.
Wenn es da schon scheitert, liegt der Fehler in deiner VPN Config.
Ich werde nun auch mal den VPNSERVER auf der PFSENSE installieren.
Dann beachte unbedingt das Port Forwarding auf der FB. Dieses Tutorial erklärt dir alle Details dazu und wie man das umsetzt:IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Wie man den VPN Server auf der Firewall einrichtet wenn man bordeigene VPN Clients in Windows, Apple und Smartphones nutzt findest du...
für L2TP hier:
PfSense VPN mit L2TP (IPsec) Protokoll für mobile Nutzer
für IKEv2 hier:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Wenn du dann vom VPN Server den Client VPN Traffic weiterrouten willst achte auf die entsprechenden statischen Routen (und auch Rückrouten!) in den Routern die diese Netze dann transportieren!
Im Grunde ist dein Setup ein einfaches und stinknormales Routing was in max. 10 Minuten zum Fliegen zu bringen ist.
Nebenbei:
Bei Wireguard hättest du einfach deinen DynDNS Hostnamen statt der IP bei "Endpoint" eintragen müssen. Hier hast du wohl einfach nur "zu kurz" gedacht...
Siehe dazu auch HIER. Nachteil zu oben ist aber das du auf jedem Endgerät dann mit einem (überflüssigen) extra VPN Client rumfrickeln musst was das Management unnötig aufwändiger macht.