VPN Netzwerk aufbauen

Mitglied: fundave3

fundave3 (Level 1) - Jetzt verbinden

21.01.2017 um 18:11 Uhr, 1627 Aufrufe, 18 Kommentare

Hallo zusammen.

Ich habe hier schon viel neues kennengelernt nun habe ich mal ein interesanntes Thema für euch
Ich habe derzeit 3 Raspberry PIs im haus die für die verschiedensten Projekte verwendet werden.

Ein PI hängt als VPN Gateway hinter dem Speedport.
Nun möchte ich das alle PIs von aussen erreichbar sind.
Allerdings über ssh.
Jetzt könnte ich sagen klar SSH auf pi 1 auf port 22, pi 2 ssh auf port 23 u.s.w.
Da ich aber noch andere Vserver habe möchte ich diese auch in einem VPN Netz haben.
JEder Server soll über vpn verbunden sein.
Das problem an der sache ist das ich nur für 2 Geräte möchte das diese die verbindung darüber tunneln .
Mein LAptop und mein handy.
Aber alle anderen server sollen nur darüber verbunden sein und nicht ihr Internet darüber laufen lassen.
Das wäre zu viel.
Muss ich dazu was spezielles in der Config eintragen ?

Viele Grüße
Christian
Mitglied: aqui
21.01.2017, aktualisiert um 21:17 Uhr
Nun möchte ich das alle PIs von aussen erreichbar sind.
Kein Thema und im Handumdrehen erledigt !
Da du ja schon einen PI als VPN Server am Laufen hast ist diese Aussage etwas komisch denn dann sollte das ja eigentlich schon gehen...?!
Jetzt könnte ich sagen klar SSH auf pi 1 auf port 22, pi 2 ssh auf port 23 u.s.w.
Wär ja unsinniger Overhead wenn du schon auf einem Pi bist.
Was du machst ist ja ein VPN für Arme, oder ?
https://www.administrator.de/wissen/vpn-arme-tcp-ssh-tunneln-putty-62666 ...
Etwas Frickelei eben durch den TCP 22 Tunnel....
Wenn du dich hinreißen lassen könntest das mit OpenVPN zu lösen wäre vieles einfacher:
https://jankarres.de/2013/05/raspberry-pi-openvpn-vpn-server-installiere ...
Damit hättest du dann einen zentralen VPN Tunnel auf den einen PI in dein gesamtes Netz und kannst dann sämtliche Endgeräte inklusive deiner 2 anderen Pis usw. dort erreichen. Ganz genau so als ob du im lokalen Netz arbeitest.
OVPN Clients gibt es für alle Betriebssysteme und Endgeräte am Markt:
https://www.administrator.de/wissen/openvpn-server-installieren-dd-wrt-r ...
Bitte warten ..
Mitglied: fundave3
22.01.2017 um 14:39 Uhr
Servus aqui,

Ich sehe schon ich habe mich etwas kompliziert ausgedrückt.
Ich habe ja einen OVPN Server da hast du mir ja bei geholfen.
Nun habe ich in der Server config ja gesagt das der ganze datenverkehr der rein kommt durch den tunnel geht.
Somit habe ich für Handy /Laptop die Öffentliiche IP des VPN Servers.
jetzt kommen meine 3 PIs daher und sollen ebenso in den VPN.
ABER nicht den Datenverkehr tunneln. Heißt das diese die Telekom IP des routers nutzen. (Mist jetzt habe ich mich geoutet.Telekom)
Naja und die 2 anderen Server die ich noch habe sollen in den VPN aber ebenso NICHT den Verkehr tunneln.
Versteht Ihr ?

-Also Handy/Laptop -Verkehr duchr den VPN
-PI/Server1/Server2 - im VPN aber verkehr eigene IP.

Dazu muss sicher irgendwas in der config eingetragen werden
Bitte warten ..
Mitglied: aqui
22.01.2017, aktualisiert um 15:26 Uhr
jetzt kommen meine 3 PIs daher und sollen ebenso in den VPN.
Ja aber das sind sie ja schon längst wenn du VPN Zugriff hast mit deinem Datenverkehr der rein kommt und durch den Tunnel geht.
Damit liegt dir doch dann ganzes lokales Netz dann zu Füßen ! Der tiefere Sinn eines VPN

Du hast nur mit deinem Schrott Speedport Router ein Problem und das ist dein Knackpunkt !
Deine VPN Clients bekommen ja dann vom OVPN Server eine interne IP. Die IP die in der server.conf Datei mit server 172.16.2.0 255.255.255.0 (Beispiel hier) definiert ist !
Deine 3 anderen Pis haben aber als Default Gateway (Router) ganz sicher den Speedport bzw. dessen IP angegeben, richtig ?
Damit nimmt nun das Unglück seinen Lauf....
Dein VPN Client kommt mit einer Absender IP z.B. 172.16.2.10 an bei einem PI der in deinem lokalen Netz ist mit der IP 192.168.1.222 wenn du z.B. mit SSH auf diesen Pi zugreifst.
Die Antwortpakete will der Pi ja nun an den SSH Client im VPN Netz (172.16.2.10) zurückschicken. Dazu "sieht" er in seine Routing Tabelle, denn er "sieht" das die 172.16.2.10 IP natürlich nicht in seinem eigenen Netz liegt.
Da er als Default den Speedport hat schickt er das Paket an den.
Der sieht auch wieder in seine Routing Tabelle um das Ziel 172.16.2.10 zu finden. Hier hat er aber nur die Default Route auf den Provider Router der Telekom. Also schickt er es dahin.
172.16.2.10 ist aber ein privates RFC 1918 IP Netz was im Internet nicht geroutet wird, also schmeisst der Telekom Router das Packet gnadenlos weg !
Fazit für dich: Keine Connectivity auf alle anderen Geräte in deinem lokalen Netzwerk

Die Lösung wäre kinderleicht:
Eine simple statische Route auf dem Speedport ala Zielnetz: 172.16.2.0, Maske: 255.255.255.0, Gateway: <ip_adresse_vpn_pi> würde das Problem sofort lösen.
Dann sendet der Speedport das 172.16.2.10 Paket eben nicht zum Telekom Router sondern durch diese Route dann richtig an den VPN Pi und der dann zum VPN Client.
Soviel zur einfachen Theorie.
Mit den gruseligen Speedports gibts aber ein Grundproblem: Sie supporten KEINE statischen Routen... Wie bereits gesagt.. Schrottrouter !

Es gibt aber einen Workaround. Umständlich aber fixt das Problem auch !
Statt auf dem Speedport gibst du die statische VPN Route immer einzeln auf den PIs oder Endgeräten ein die du erreichen willst.
Bei Winblows z.B.:
route add 172.16.2.0 mask 255.255.255 <ip_adresse_vpn_pi> -p
Linux / RasPi
rroute add -net 172.16.2.0/24 gw <ip_adresse_vpn_pi>
Wenn du das dann in die /etc/rc.local vor dem exit0 Kommando packst überlebt sie auch einen Reboot
Kauf dir mal einen gescheiten Router. Z.B. FritzBox ist allemal besser....und kann statische Routen
Bitte warten ..
Mitglied: fundave3
23.01.2017 um 16:20 Uhr
Ahja.

Interesannt.
Die anderen PIs routen dann aber auch ihren gesamten traffic durch den VPN oder?
Bzw wie verhindere ich das?
Die einzigen die ihren datenverkehr durch den VPN routen ist mein Handy und mein Laptop.
Übrigens : Ich bin im 10.8er Netz unterwegs und nicht im 172.
Wird wenig unterschied machen oder?
Bitte warten ..
Mitglied: aqui
23.01.2017 um 17:14 Uhr
Die anderen PIs routen dann aber auch ihren gesamten traffic durch den VPN oder?
Nein !
Wie kommst du darauf ?? Es wird von denen nur VPN Traffic zum Client in den Tunnel geschickt. Logisch, denn die Route sagt ja klar das ausschliesslich nur 172.16.2.0/24 Traffic zum VPN Gateway gesendet wird.
Der Rest geht über den normalen loaklen Speedport ins Internet.
Die Frage wäre obsolet wenn du dir die Routing Tabelle dort dann mal mit netstat -r oder ip route show ansiehst !!
Die einzigen die ihren datenverkehr durch den VPN routen ist mein Handy und mein Laptop.
Du solltest besser dazu sagen: "Aber nur wenn ich mit ihnen von Remote auf mein netz zugreife". Auch logisch denn wenn di im lokalen Netz sind brauchst du kein VPN
Übrigens : Ich bin im 10.8er Netz unterwegs und nicht im 172.
Ist vollkommen Latte und nur kosmetisch und spielt für die Funktion keine Rolle. War hier nur ein Beispiel, damit es zur o.a. OVPN Server Konfig passte
Wird wenig unterschied machen oder?
Gar keinen, muss nur zu deiner OVPN Konfig passen
Bitte warten ..
Mitglied: fundave3
23.01.2017 um 19:54 Uhr
Stimmt!
Bin ich zuhause habe ich den PI als Standartgateway eingetragen.
Jut
Jetzt habe ich noch Server1 mit Öffentlicher IP x.x.x.x und Vserver2 mit öffentlcher IP y.y.y.y
Binde ich die in den VPN ein so routet der den gesamten traffic.
Kann man das auch ändern ?


PI2&/3 scheinen wohl drinne zusein!

Nur die beiden fehlen noch
Bitte warten ..
Mitglied: aqui
24.01.2017 um 09:50 Uhr
Bin ich zuhause habe ich den PI als Standartgateway eingetragen.
Das ist ja völliger Quatsch !
Dein Internet Router ist dann das "Standardgateway" !!
Kann man das auch ändern ?
Ja, natürlich !
Keinen default Gateway redirect da machen in der Konfig siondern mit push route arbeiten.
Bitte warten ..
Mitglied: fundave3
24.01.2017 um 13:53 Uhr
Ja natürlich ist der PI dann Router.
Das soll ja auch so sein!
somit muss ich selber keinen tunnel aufbauen , das macht dann der PI für mich!
Und somit habe ich mehr geräte am laufen!
Bitte warten ..
Mitglied: aqui
26.01.2017 um 15:23 Uhr
So langsam hast du den tieferen Sinn eines VPN erfasst
Nur das du selber keinen Tunnel aufbauen musst ist natürlich falsch, denn DU triggerst ja den VPN Client den Tunnel aufzubauen...
Bitte warten ..
Mitglied: fundave3
28.01.2017 um 12:03 Uhr
Okay.
Mit den statischen routen mache ich das doch nicht anders?
Außer das die endgeräte doch diese VErbindung dann selber aufbauen oder?
Hab ich dich jetzt falsch verstanden?

Zitat

Statt auf dem Speedport gibst du die statische VPN Route immer einzeln auf den PIs oder Endgeräten ein die du erreichen willst.
Bei Winblows z.B.:
route add 172.16.2.0 mask 255.255.255 <ip_adresse_vpn_pi> -p
Linux / RasPi
route add -net 172.16.2.0/24 gw <ip_adresse_vpn_pi>

Damit habe ich einen PI der die verbindung aufbaut, und die geräte die ich erreichen will setze ich halt dahinter.
Ich muss halt den Gateway nicht ändern.
Bitte warten ..
Mitglied: aqui
28.01.2017 um 16:34 Uhr
Außer das die endgeräte doch diese VErbindung dann selber aufbauen oder?
Nein sie bauen selber keine aktive VPN Verbindung auf. Sie nutzen ganz einfach den bestehenden VPN Tunnel !
Damit habe ich einen PI der die verbindung aufbaut, und die geräte die ich erreichen will setze ich halt dahinter.
Das würde voraussetzen das dein Pi 2 Netzwerk Interfaces hat. Kann man so machen aber "one armed" geht auch.
Letzteres hat dann halt den Nachteil das der Traffic doppelt über das netzwerk Interface geht.
Einmal rein und einmal als VPN Tunnel wieder raus....
Bitte warten ..
Mitglied: fundave3
29.01.2017 um 13:46 Uhr
Jut dann könnte ich ja eigentlich eine Netzwerkbrücke bauen und in den Tunnel gehen,
Dann würde doch jedes gerät eine IP vom tunnel bekommen oder?
Bitte warten ..
Mitglied: aqui
29.01.2017, aktualisiert um 14:32 Uhr
Uaaarrgh...besser nicht.
OVPN rät selber dringenst davon ab ein Bridging über den VPN Tunnel zu machen.Und das auch aus gutem Grund. Ist auch klar, denn der gesamte Broad- und Multicast Traffic im LAN Netz belastet dann deinen schmalbandigen VPN Tunnel.
Besser gleich vergessen sowas... Denk immer an den goldenen Netzwerker Grundsatz:
"Route where you can, bridge where you must !"

Das sagt doch eigentlich alles, oder ?!
Der Standard ist Routing im OVPN und das sollte man so auch belassen wenn immer möglich. Du hast ja keinerlei Nachteil damit !
Bitte warten ..
Mitglied: fundave3
29.01.2017 um 18:45 Uhr
Alles klar.

Ich habe es mit deiner VPN Route probiert.
Funktioniert.
Nun beiden noch 2 Server .wie verhindere ich denn das der traffic durch den Tunnel geroutet wird ?
Bzw was muss an der config geändert werden ?
Bitte warten ..
Mitglied: aqui
30.01.2017 um 12:15 Uhr
Nein, muss nix geändert werden.
Wieso willst du denn Traffic verhindern ??
Du willst doch gerade ja von außen per VPN auf dein Netzwerk zugreifen ! Folglich MUSST du denn doch auch Traffic durch den VPN Tunnel routen.
Die Frage ist jetzt irgendwie etwas verwirrend... ?!?
Bitte warten ..
Mitglied: fundave3
31.01.2017, aktualisiert um 20:55 Uhr
Pass auf

Ich habe doch in der Server config gesagt, das der gesamte Verkehr der von meinem client also Laptop/Handy geht über den VPN Server geleitet werden soll.
Dazu htten wir doch

push "redirect-gateway def1"

benutzt!

Also gehe ich auf google.de, so geht der über den Server.
Ich möchte aber das die 2 Server ihre eigene IP benutzen!
Und nur in der VPN IP erreichbar sind.
Geht das?



Ich habe allerdings ein kleines Problem.
Die Geschwindigkeit ist ziemlich gering.
max 1 MB/s

Hmm ich habe es von einer server-server verbindung versucht.
Dennoch genausolahm

Ich weiß nicht mehr weiter, Ich habe so viel ausprobiert.
Hier anbei meine Server config
Villeicht kannst du mir was verraten.
daran liegts nicht.
an den buffer size habe ich mal gespielt ging kurz mal bis 3 MB hoch.
Der Server hat 1 GBit anbintung.


Und client

Bitte warten ..
Mitglied: aqui
01.02.2017 um 10:24 Uhr
Und nur in der VPN IP erreichbar sind. Geht das?
Na klar geht das !!
Über das VPN bist du ja DIREKT mit deinem lokalen LAN verbunden in dem ALLE deine Endgeräte sind und natürlich auch die 2 RasPis.
Da du über dein VPN ja ausnahmslos ALLE Endgeräte erreichen kannst über ihre originale IP Adresse im LAN also ganz genau so als ob du mit dem Rechner direkt im lokalen LAN bist, funktioniert das problemlos.
Das ist übrigens ja wie du weisst genau der tiefere Sinn eines VPNs !!!
Von remote so arbeiten als ob man direkt im LAN wäre !!!
Wo hast du hier ein Problem ?

Übrigens Google DNS als DNS Server zu verwenden solltest du dir besser nochmal überlegen. Sowas machen nur noch völlige Dummies. Google erstellt dann von dir ein Profil mit deinem Kommunikationsgewohnheiten und macht dich so transparent. Wenn du das so willst lass es so.
Wenn dir deine Privatsphäre was wert ist lasse es lieber.
Was die Bandbreite anbetrifft ist die natürlich von deiner Uplink Bandbreite abhängig. xDSL ist nicht symetrisch ! Vergiss das nicht.
Da bei einem VPN ALLE Pakete die über den Tunnel gehen nochmal in einen VPN eingepackt werden ist das sehr rechenintensiv. Die Encryption kommt ja auch noch dazu.
Wenn du also am VPN Gateway eine schwache CPU hast der ggf. auch noch Encryption Hardware fehlt musst du dich nicht wundern was die Performance anbetrifft. Denn da du einen Gateway Redisrect machst fliest bei dir jedes Paket über den Tunnel.
Du solltest also mal auf die CPU Last achten wenn Traffic da ist. Die sagt dann viel aus.
Bitte warten ..
Mitglied: fundave3
01.02.2017 um 16:07 Uhr
Die CPU langweilt sich. Das ist das problem.
Ich weiß nicht mehr wo ich weiter machen soll.
ICh habe es mit einem Vserver getestet der auf meinen anderen server einen tunnel aufbaut.
Da ist es genauso lahm.
mssfix und mtu habe ich schon optimal eingestellt.
Bitte warten ..
Heiß diskutierte Inhalte
Ubuntu
HAProxy-Wi: Installation des Pakets geht nicht - ich hätte keine enabled Repos
itnirvanaFrageUbuntu37 Kommentare

Hallo, von der Seite möchte ich gerne HAProxy-Wi installieren ich führe das hier aus Dann kommt -> There ar ...

LAN, WAN, Wireless
Wlan Messgerät
gelöst fizlibuzliFrageLAN, WAN, Wireless23 Kommentare

Hallo, gibt es erschwingliche Messgeräte um vorhanden W-Lan ausleuchtungen in ihrer Signalstärke und Bandbreite zu messen. Es sollen einfache ...

Microsoft
Failover Cluster Network
samreinFrageMicrosoft22 Kommentare

Hallo zusammen, toller Freitag heute vielleicht kann mir jemand unter die Arme greifen. Ich habe einen Failover Cluster gebaut. ...

Router & Routing
Kaufempfehlung WLAN Router mit VLAN Unterstützung
ccreccFrageRouter & Routing20 Kommentare

Hallo zusammen, ich wollte mal nach einer Kaufempfehlung für einen WLAN Access Point mit halbwegs vernünftiger VLAN Unterstützung fragen. ...

Windows Installation
Einmaliger Betriebssystem Rollout
StUffzFrageWindows Installation15 Kommentare

Hallo liebes Forum, Baramundi, SCCM, ZENworks & Co sind Softwareverteilungssysteme für eher "größere" Unternehmen ich bin auf der Suche ...

Switche und Hubs
LAN Kabel, Lasche bricht
NebellichtFrageSwitche und Hubs14 Kommentare

Hallo Freunde, leider kommt es doch schon mal vor, dass die Lasche am LAN-Kabel abbricht und der Stecker nicht ...

Ähnliche Inhalte
Netzwerkmanagement
Aufbau Netzwerk nach Umzug
gelöst fc2011FrageNetzwerkmanagement6 Kommentare

Guten Tag zusammen, kurze Einleitung: unsere kleine Firma (20 Mitarbeiter) zieht demnächst in ein neues dreistöckiges Gebäude. Das Gebäude ...

Windows Netzwerk
Direct Access mit VPN aufbau
geocastFrageWindows Netzwerk6 Kommentare

Hallo Zusammen Ich überlege mir gerade ein Konzept und wollte mal fragen, was ihr davon haltet. Es geht um ...

Router & Routing

Netzwerk VPN Strukturierung, Erreichbarkeit

thomasreinholdFrageRouter & Routing5 Kommentare

Hallo Liebe Community, ich stehe vor folgendem Problem: Ich habe eine direkte openVPN Verbindung zwischen Rechenzentrum und Standort 1 ...

LAN, WAN, Wireless

Netzwerk ausschließlich über VPN

Garibaldi69FrageLAN, WAN, Wireless18 Kommentare

Hallo zusammen. Ich suche eine Möglichkeit ein Firmenlaptop so abzusichern, dass Netzwerkverbindungen ausschließlich über ein VPN möglich sind. Der ...

Windows Netzwerk

Netzwerk Zugriff über VPN

Motte990FrageWindows Netzwerk5 Kommentare

Hallo Leute. Ich habe mit meinem Bruder über unsere 2 Fritzboxen ( Unterschiedliche Standorte ) eine VPN Verbindung aufgebaut. ...

Netzwerkmanagement

Router + Firewall aufbau

zxSpectrumFrageNetzwerkmanagement11 Kommentare

Hallo, ich bin gerade dabei mein LAN zu planen und habe ein paar grundlegende Fragen. Ich habe gehofft, dass ...

Berechtigungs- und IdentitätsmanagementBerechtigungs- und IdentitätsmanagementWebdienste und -serverWebdienste und -serverDatenbankenDatenbankenMonitoring & SupportMonitoring & SupportHybrid CloudHybrid CloudSmall Business ITSmall Business IT