VPN Netzwerk aufbauen
Hallo zusammen.
Ich habe hier schon viel neues kennengelernt nun habe ich mal ein interesanntes Thema für euch
Ich habe derzeit 3 Raspberry PIs im haus die für die verschiedensten Projekte verwendet werden.
Ein PI hängt als VPN Gateway hinter dem Speedport.
Nun möchte ich das alle PIs von aussen erreichbar sind.
Allerdings über ssh.
Jetzt könnte ich sagen klar SSH auf pi 1 auf port 22, pi 2 ssh auf port 23 u.s.w.
Da ich aber noch andere Vserver habe möchte ich diese auch in einem VPN Netz haben.
JEder Server soll über vpn verbunden sein.
Das problem an der sache ist das ich nur für 2 Geräte möchte das diese die verbindung darüber tunneln .
Mein LAptop und mein handy.
Aber alle anderen server sollen nur darüber verbunden sein und nicht ihr Internet darüber laufen lassen.
Das wäre zu viel.
Muss ich dazu was spezielles in der Config eintragen ?
Viele Grüße
Christian
Ich habe hier schon viel neues kennengelernt nun habe ich mal ein interesanntes Thema für euch
Ich habe derzeit 3 Raspberry PIs im haus die für die verschiedensten Projekte verwendet werden.
Ein PI hängt als VPN Gateway hinter dem Speedport.
Nun möchte ich das alle PIs von aussen erreichbar sind.
Allerdings über ssh.
Jetzt könnte ich sagen klar SSH auf pi 1 auf port 22, pi 2 ssh auf port 23 u.s.w.
Da ich aber noch andere Vserver habe möchte ich diese auch in einem VPN Netz haben.
JEder Server soll über vpn verbunden sein.
Das problem an der sache ist das ich nur für 2 Geräte möchte das diese die verbindung darüber tunneln .
Mein LAptop und mein handy.
Aber alle anderen server sollen nur darüber verbunden sein und nicht ihr Internet darüber laufen lassen.
Das wäre zu viel.
Muss ich dazu was spezielles in der Config eintragen ?
Viele Grüße
Christian
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 327098
Url: https://administrator.de/forum/vpn-netzwerk-aufbauen-327098.html
Ausgedruckt am: 02.04.2025 um 04:04 Uhr
18 Kommentare
Neuester Kommentar
Nun möchte ich das alle PIs von aussen erreichbar sind.
Kein Thema und im Handumdrehen erledigt !Da du ja schon einen PI als VPN Server am Laufen hast ist diese Aussage etwas komisch denn dann sollte das ja eigentlich schon gehen...?!
Jetzt könnte ich sagen klar SSH auf pi 1 auf port 22, pi 2 ssh auf port 23 u.s.w.
Wär ja unsinniger Overhead wenn du schon auf einem Pi bist.Was du machst ist ja ein VPN für Arme, oder ?
VPN für Arme - TCP in SSH tunneln mit Putty
Etwas Frickelei eben durch den TCP 22 Tunnel....
Wenn du dich hinreißen lassen könntest das mit OpenVPN zu lösen wäre vieles einfacher:
https://jankarres.de/2013/05/raspberry-pi-openvpn-vpn-server-installiere ...
Damit hättest du dann einen zentralen VPN Tunnel auf den einen PI in dein gesamtes Netz und kannst dann sämtliche Endgeräte inklusive deiner 2 anderen Pis usw. dort erreichen. Ganz genau so als ob du im lokalen Netz arbeitest.
OVPN Clients gibt es für alle Betriebssysteme und Endgeräte am Markt:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
jetzt kommen meine 3 PIs daher und sollen ebenso in den VPN.
Ja aber das sind sie ja schon längst wenn du VPN Zugriff hast mit deinem Datenverkehr der rein kommt und durch den Tunnel geht.Damit liegt dir doch dann ganzes lokales Netz dann zu Füßen ! Der tiefere Sinn eines VPN
Du hast nur mit deinem Schrott Speedport Router ein Problem und das ist dein Knackpunkt !
Deine VPN Clients bekommen ja dann vom OVPN Server eine interne IP. Die IP die in der server.conf Datei mit server 172.16.2.0 255.255.255.0 (Beispiel hier) definiert ist !
Deine 3 anderen Pis haben aber als Default Gateway (Router) ganz sicher den Speedport bzw. dessen IP angegeben, richtig ?
Damit nimmt nun das Unglück seinen Lauf....
Dein VPN Client kommt mit einer Absender IP z.B. 172.16.2.10 an bei einem PI der in deinem lokalen Netz ist mit der IP 192.168.1.222 wenn du z.B. mit SSH auf diesen Pi zugreifst.
Die Antwortpakete will der Pi ja nun an den SSH Client im VPN Netz (172.16.2.10) zurückschicken. Dazu "sieht" er in seine Routing Tabelle, denn er "sieht" das die 172.16.2.10 IP natürlich nicht in seinem eigenen Netz liegt.
Da er als Default den Speedport hat schickt er das Paket an den.
Der sieht auch wieder in seine Routing Tabelle um das Ziel 172.16.2.10 zu finden. Hier hat er aber nur die Default Route auf den Provider Router der Telekom. Also schickt er es dahin.
172.16.2.10 ist aber ein privates RFC 1918 IP Netz was im Internet nicht geroutet wird, also schmeisst der Telekom Router das Packet gnadenlos weg !
Fazit für dich: Keine Connectivity auf alle anderen Geräte in deinem lokalen Netzwerk
Die Lösung wäre kinderleicht:
Eine simple statische Route auf dem Speedport ala Zielnetz: 172.16.2.0, Maske: 255.255.255.0, Gateway: <ip_adresse_vpn_pi> würde das Problem sofort lösen.
Dann sendet der Speedport das 172.16.2.10 Paket eben nicht zum Telekom Router sondern durch diese Route dann richtig an den VPN Pi und der dann zum VPN Client.
Soviel zur einfachen Theorie.
Mit den gruseligen Speedports gibts aber ein Grundproblem: Sie supporten KEINE statischen Routen...
Es gibt aber einen Workaround. Umständlich aber fixt das Problem auch !
Statt auf dem Speedport gibst du die statische VPN Route immer einzeln auf den PIs oder Endgeräten ein die du erreichen willst.
Bei Winblows z.B.:
route add 172.16.2.0 mask 255.255.255 <ip_adresse_vpn_pi> -p
Linux / RasPi
rroute add -net 172.16.2.0/24 gw <ip_adresse_vpn_pi>
Wenn du das dann in die /etc/rc.local vor dem exit0 Kommando packst überlebt sie auch einen Reboot
Kauf dir mal einen gescheiten Router. Z.B. FritzBox ist allemal besser....und kann statische Routen
Die anderen PIs routen dann aber auch ihren gesamten traffic durch den VPN oder?
Nein !Wie kommst du darauf ?? Es wird von denen nur VPN Traffic zum Client in den Tunnel geschickt. Logisch, denn die Route sagt ja klar das ausschliesslich nur 172.16.2.0/24 Traffic zum VPN Gateway gesendet wird.
Der Rest geht über den normalen loaklen Speedport ins Internet.
Die Frage wäre obsolet wenn du dir die Routing Tabelle dort dann mal mit netstat -r oder ip route show ansiehst !!
Die einzigen die ihren datenverkehr durch den VPN routen ist mein Handy und mein Laptop.
Du solltest besser dazu sagen: "Aber nur wenn ich mit ihnen von Remote auf mein netz zugreife". Auch logisch denn wenn di im lokalen Netz sind brauchst du kein VPN Übrigens : Ich bin im 10.8er Netz unterwegs und nicht im 172.
Ist vollkommen Latte und nur kosmetisch und spielt für die Funktion keine Rolle. War hier nur ein Beispiel, damit es zur o.a. OVPN Server Konfig passte Wird wenig unterschied machen oder?
Gar keinen, muss nur zu deiner OVPN Konfig passen Außer das die endgeräte doch diese VErbindung dann selber aufbauen oder?
Nein sie bauen selber keine aktive VPN Verbindung auf. Sie nutzen ganz einfach den bestehenden VPN Tunnel !Damit habe ich einen PI der die verbindung aufbaut, und die geräte die ich erreichen will setze ich halt dahinter.
Das würde voraussetzen das dein Pi 2 Netzwerk Interfaces hat. Kann man so machen aber "one armed" geht auch.Letzteres hat dann halt den Nachteil das der Traffic doppelt über das netzwerk Interface geht.
Einmal rein und einmal als VPN Tunnel wieder raus....
Uaaarrgh...besser nicht.
OVPN rät selber dringenst davon ab ein Bridging über den VPN Tunnel zu machen.Und das auch aus gutem Grund. Ist auch klar, denn der gesamte Broad- und Multicast Traffic im LAN Netz belastet dann deinen schmalbandigen VPN Tunnel.
Besser gleich vergessen sowas... Denk immer an den goldenen Netzwerker Grundsatz:
"Route where you can, bridge where you must !"
Das sagt doch eigentlich alles, oder ?!
Der Standard ist Routing im OVPN und das sollte man so auch belassen wenn immer möglich. Du hast ja keinerlei Nachteil damit !
OVPN rät selber dringenst davon ab ein Bridging über den VPN Tunnel zu machen.Und das auch aus gutem Grund. Ist auch klar, denn der gesamte Broad- und Multicast Traffic im LAN Netz belastet dann deinen schmalbandigen VPN Tunnel.
Besser gleich vergessen sowas... Denk immer an den goldenen Netzwerker Grundsatz:
"Route where you can, bridge where you must !"
Das sagt doch eigentlich alles, oder ?!
Der Standard ist Routing im OVPN und das sollte man so auch belassen wenn immer möglich. Du hast ja keinerlei Nachteil damit !
Und nur in der VPN IP erreichbar sind. Geht das?
Na klar geht das !!Über das VPN bist du ja DIREKT mit deinem lokalen LAN verbunden in dem ALLE deine Endgeräte sind und natürlich auch die 2 RasPis.
Da du über dein VPN ja ausnahmslos ALLE Endgeräte erreichen kannst über ihre originale IP Adresse im LAN also ganz genau so als ob du mit dem Rechner direkt im lokalen LAN bist, funktioniert das problemlos.
Das ist übrigens ja wie du weisst genau der tiefere Sinn eines VPNs !!!
Von remote so arbeiten als ob man direkt im LAN wäre !!!
Wo hast du hier ein Problem ?
Übrigens Google DNS als DNS Server zu verwenden solltest du dir besser nochmal überlegen. Sowas machen nur noch völlige Dummies. Google erstellt dann von dir ein Profil mit deinem Kommunikationsgewohnheiten und macht dich so transparent. Wenn du das so willst lass es so.
Wenn dir deine Privatsphäre was wert ist lasse es lieber.
Was die Bandbreite anbetrifft ist die natürlich von deiner Uplink Bandbreite abhängig. xDSL ist nicht symetrisch ! Vergiss das nicht.
Da bei einem VPN ALLE Pakete die über den Tunnel gehen nochmal in einen VPN eingepackt werden ist das sehr rechenintensiv. Die Encryption kommt ja auch noch dazu.
Wenn du also am VPN Gateway eine schwache CPU hast der ggf. auch noch Encryption Hardware fehlt musst du dich nicht wundern was die Performance anbetrifft. Denn da du einen Gateway Redisrect machst fliest bei dir jedes Paket über den Tunnel.
Du solltest also mal auf die CPU Last achten wenn Traffic da ist. Die sagt dann viel aus.