gelöst Wireguard VPN (oder andere alternative) - Kompletter Traffic routen

Mitglied: KodaCH

KodaCH (Level 2) - Jetzt verbinden

18.10.2020, aktualisiert 10:12 Uhr, 712 Aufrufe, 15 Kommentare

Guten Morgen

Ich habe bisher mit OpenVPN und mit Wireguard VPN einige Tests gemacht.

OpenVPN (Kostenlose Version): Hier habe ich es hinbekommen einen VPN einzurichten mit wem der Traffic über mein Heimnetzwerk geht. Die IP ist die meines Heimnetzwerkes, und ich kann meine Clients und server mit servername.domäne.tld anpingen. Was hier z.B: leider nicht funktioniert hat ist, dass der VPN auch für Netzwerkspiele verwendet werden kann. Ich kann im Spiel zwar die IP der mit durch den VPN vergeben wurde auswählen, die beiden Clients sehen sich trotzdem nicht.

OpenVPN AS: Hier habe ich noch keine genauen tests gemacht ob das Verhalten anders wäre.

Wireguard: Einerseits wollte ich mal schauen wie dieser ist da er immer mehr empfohlen wird, und ich dachte da ich durch das Spielethema so oder so weiter schauen musste teste ich diesen. Da ich beim Wireguard noch einige Anlaufschwierigkeiten habe, habe ich das mit den Spielen entsprechend auch noch nicht getestet. Ich hoffe natürlich das ihr mir hier weiterhelfen könnt

Meine Serverkonfiguration
Mein Client:
Mit dieser Variante habe ich auf meinem Client danach die public IP meines Providers Zuhause. Ein Ping auf meinen internen DNS Server 10.10.1.250 klappt nicht, und auch mit dc1.domain.tld klappt es nicht.

Auf dem Server habe ich dann nach einem anderen Tutorial die AllowerIPs die folgt angepasst:
AllowedIPs = 10.10.81.0/24 10.10.1.0/24: Ergebnis: Ping geht nicht, der rest ist unverändert
AllowedIPs = 0.0.0.0/0: Ergebnis: Der Client hat keine Internetverbindung mehr, und ich komme im Heimnetzwerk nicht mehr per SSH auf meinen VPN Server


Was ist mein Ziel:
  • Von Unterwegs den kompletten Traffic über mein Heimnetzwerk leiten (Ich möchte in einem Hotelzimmer auf meine Infrastruktur Zuhause zugreifen können, möchte auf Internetseiten wie Internetbanking kommen ohne das dies über das HotelWLAN gesehen wird)
  • Idealerweise möchte ich Netzwerkspiele verwenden können
  • Idealerweise möchte ich aus dem VPN zuhause Drucken können (Ich glaube dies ist aber ein anderes Thema da es mit Drucken über VLAN allgemein Probleme gibt)
  • Optional: Ich habe für mein WLAN einen Windows NPS Server. Bisher konnte ich diesen nicht schlau für den VPN verwenden. Wenn das klappt wäre es Nice to have aber keine Pflicht
  • Optional: Die VPN Verbindung über GPOs oder ähnliches auszurollen. Auch dies ist nur nice to have und eher eine spielerei.
  • Edit: Optional: MFA z.b. mit Yubikey

Welche VPN Software soll eingesetzt werden:
Dies spielt mir eigentlich nicht so eine Rolle. Früher wurde immer OpenVPN empfohlen, nun kommt langsam Wireguard. Ich habe eine UniFi USG, wobei hier die VPN Möglichkeiten extrem bescheiden sind. Dann habe ich einen ESXi wo ich etwas Virtualisieren kann. So läuft aktuell auch OpenVPN und Wireguard.
Es darf aber natürlich auch zusätzliche Hardware sein die etwas kosten darf. Schön wäre es wenn es nicht grad hohe Jährliche Kosten generieren würde.

Ich bedanke mich schon jetzt für jede Hilfestellung.

Gruss

Koda
Mitglied: altmetaller
18.10.2020 um 12:39 Uhr
Hallo,

Zitat von KodaCH:

Ich kann im Spiel zwar die IP der mit durch den VPN vergeben wurde auswählen, die beiden Clients sehen sich trotzdem nicht.

Dann setz' doch mal die client-to-client Option.

Zusätzlich kann Dir natürlich auch noch die Windows-Firewall einen Strich durch die Rechnung machen. Das OpenVPN-Netz sollte von Windows als "Privates Netz" erkannt werden.

Beim Start des Spiels wirst Du normalerweise gefragt, für welche Netzwerkklassen das Spiel Serverdienste anbieten darf. Das muss ebenfalls mit den Firewalleinstellungen übereinstimmen.

Von Unterwegs den kompletten Traffic über mein Heimnetzwerk leiten

Da für gibt es z.B. Optionen wie:
  • push-route
  • push-dns

Gruß,
Jörg
Bitte warten ..
Mitglied: aqui
18.10.2020, aktualisiert um 13:14 Uhr
OpenVPN (Kostenlose Version):
OpenVPN ist immer kostenlos !!
Was hier z.B: leider nicht funktioniert hat ist, dass der VPN auch für Netzwerkspiele verwendet werden kann.
Deine OpenVPN Serverkonfig oben ist unvollständig und fehlerhaft, deshalb ist sie leider wenig hilfreich für eine zielführende und helfende Antwort !
Vermutlich arbeitest du wie Kollege @altmetaller oben schon vermutet hat mit Split Tunneling, also einem push route... Kommando.
Wenn du aber den gesamten Client Traffic übers das VPN via Heimnetz ins Internet schicken willst benötigst du statt des push route... Kommandos einen Gateway Redirect (push "redirect-gateway... Kommando) !!
Ein OpenVPN Konfig Fehler der häufig gemacht wird aber leider nur geraten weil deine aktuelle OVPN Server Konfig fehlt hier.

Das hiesige OpenVPN Tutorial:
https://administrator.de/tutorial/merkzettel-vpn-installation-openvpn-56 ...
erklärt dir das im Kapitel "Konfiguration VPN Server" haarklein im Detail und auf welche Konfig Kommandos du da besonders achten musst !
Passe das entsprechend an, dann klappt das mit dem Gaming auch sofort !
Bitte warten ..
Mitglied: altmetaller
18.10.2020 um 13:29 Uhr
Hallo,

Zitat von aqui:

Wenn du aber den gesamten Client Traffic übers das VPN via Heimnetz ins Internet schicken willst benötigst du statt des push route... Kommandos einen Gateway Redirect (push "redirect-gateway... Kommando) !!

Stimmt - ich habe die Optionen verwechselt.

Gruß,
Jörg
Bitte warten ..
Mitglied: KodaCH
18.10.2020, aktualisiert um 13:40 Uhr
Vielen Dank für eure antworten.

OpenVPN ist immer kostenlos !!
Ansichtssache. Ich weiss nicht wo du den Access Server von OpenVPN als kostenlos bezeichnest. Aber egal.
Ich habe Testweise sowohl die Open VPN in der Community Version als auch den kostenpflichtigen (ab der dritten Verbindung) Access Server im Einsatz.

Die Konfiguration oben ist die Wireguard Konfiguration. Diese ist 1:1 und soweit wie oben beschrieben Funktionsfähig. Ich weiss nicht was daran fehlen soll?

Beim Access Server funktioniert ein Ping untereinander. Die Firewall ist testweise auf beiden Clients deaktiviert. So viel ich Herausgefunden habe muss wohl für Spiele teilweise der Bridge Modus eingesetzt werden. Da schaue ich gerade noch wie das geht.

Meine openVPN server Konfiguration ist die folgende. damit geht aber aktuell wie gesagt kein Spielen untereinander. z.B. bei Read Alert 3 sehen sich die Spieler nicht.

Ich habe in einer Hilfe zu OpenVPN und Spiele den Eintrag
push "redirect-gateway def1 bypass-dhcp"
gefunden. Damit haben die Clients dann aber kein Internet mehr.

Meine Interface auf dem OpenVPN Server:
Gruss

Koda
Bitte warten ..
Mitglied: Gauss23
18.10.2020 um 14:19 Uhr
Puh, da weiß man ja wirklich gar nicht wo man anfangen soll.

Du hast offenbar keinen Ansatz von Netzwerkkenntnissen, oder? Du versuchst hier irgendwas zusammenzubasteln und gibst den Hilfestellern einfach nur Bruchstücke an Infos. So wird das nix.

Hinweise der Hilfesteller ignorierst Du komplett (client-to-client).

Auch verstehst Du nicht warum beim Redirect-GW die Clients plötzlich kein Internet mehr haben, kleiner Hinweis, Du musst diese Clients (Source) NATten damit sie über den Remote-Server ins Internet kommen.

Ich würde erstmal bei den Basics anfangen bevor Du versuchst möglicherweise schlecht konfigurierte VPN Netze an den Start zu bringen.
Bitte warten ..
Mitglied: altmetaller
18.10.2020 um 14:22 Uhr
Hallo,

ich bin ehrlich: Du hast Dir nicht einmal die Mühe gemacht, meinen und Aquis Beitrag durchzulesen.

Sorry, ich bin raus. Probier' mal weiterhin willkürlich herum - vielleicht bekommst Du es irgendwann durch Zufall zum Laufen.

Gruß,
Jörg
Bitte warten ..
Mitglied: KodaCH
18.10.2020, aktualisiert um 15:11 Uhr
@altmetaller
Nein ich bin die Beiträge am durchgehen und die Konfiguration am Anpassen. Auch da ich den ganzen Netzwerkverkehr durch bekommen möchte.

Die Konfiguration oben bezieht sich auf aquis Beitrag das die Konfiguration unvollständig ist. Die Konfiguration hat nichts mit einer Anpassung oder dem ignorieren der Beiträge zu tun.
Die Konfiguration ist 1:1 so wie sie vor dem Beitrag war.

Ich schau mir das die Tage nochmals genauer an und poste dann nochmals wo es klemmt
Bitte warten ..
Mitglied: aqui
LÖSUNG 18.10.2020, aktualisiert um 17:56 Uhr
damit geht aber aktuell wie gesagt kein Spielen untereinander. z.B. bei Read Alert 3 sehen sich die Spieler nicht.
Du meinst damit das sich die VPN Clients untereinander "sehen" sollen also eine Client zu Client Kommunikation möglich sein soll, richtig ?
Das ist auch vollkommen logisch das das bei dir nicht geht, denn wie der Kollege @Gauss23 oben schon richtig sagt fehlt das Kommando client-to-client dafür in deiner Server Konfig. Ohne das lässt OpenVPN keine Client zu Client Kommunikation zu !
Sollte man aber als OpenVPN Profi wie du eigentlich wissen.
client-to-client
Because the OpenVPN server mode handles multiple clients through a single tun or tap interface, it is effectively a router. The –client-to-client flag tells OpenVPN to internally route client-to-client traffic rather than pushing all client-originating traffic to the TUN/TAP interface.When this option is used, each client will “see” the other clients which are currently connected. Otherwise, each client will only see the server. Don’t use this option if you want to firewall tunnel traffic using custom, per-client rules.

https://openvpn.net/community-resources/reference-manual-for-openvpn-2-4 ...

Wenn du zudem noch allen Client Trafic in den Tunnel routen willst um ihn über deinen Heimanschluss zu schleusen, dann musst du alle push route 10.10.... Kommandos durch ein push "redirect-gateway def1 bypass-dhcp" ersetzen.

Nebenbei:
Es ist unsinnig alle diese Einzelnetze immer mit einzelnen push route... Kommandos einzugeben. Du hast diese ja schon sehr vorausschauend und intelligent gesubnettet das das so umständlich nicht nötig ist.
Ein einfaches push "route 10.10.0.0 255.255.248.0" mit einem 21 Bit Prefix hätte das auch erledigt für alle Netze bis .7.0. Mit einem 20 Bit Prefix (255.255.240.0) bis .15.0 oder mit 16 Bit (255.255.0.0)dann eben das gesamte 10.10.0.0er Subnetz.
Bitte warten ..
Mitglied: satosan
19.10.2020, aktualisiert um 10:03 Uhr
Ich bin mal gegen alle und jeden ... Spass.

Link >> Zerotier

Anmelden, Clients auf den Rechnern einrichten, im privaten Netzwerk (Zerotier Dashboard) zulassen die Clients zulassen und fertig.

Haettest schon lange gluecklich spielen koennen. Fuer solche Anwendungen ist das ideal.

VG Sato
Bitte warten ..
Mitglied: aqui
19.10.2020, aktualisiert um 10:16 Uhr
Ist aber einer der gruseligen öffentlichen VPN Anbieter. Die schnüffeln User bekanntlich massiv aus und erstellen detailierte Profile zur Vermarktung. Sicher und vertraulich ist dort nix. Der Anbieter ist zudem kein EU Unternehmen und ist deshalb nicht an die DSGVO gebunden.
Bei solchen Unternehmen erweist man sich mit der Nutzung einen Bärendienst und kommt vom Regen in die Traufe. Ein absolutes NoGo wem die eigene Datensicherheit etwas wert ist ! Solche Binsenweisheiten kennt aber auch jeder kundige Netzwerker und der TO oben tut wahrlich gut daran das in Eigenregie zu machen !
Seine Konfig Fehler sind zudem minimal Flüchtigkeitsfehler die schnell behoben sind. Als "Workaround" auf sowas dann zu verweisen ist im Hinblick auf die o.a. Fakten dann natürlich fataler Unsinn.
Bitte warten ..
Mitglied: satosan
19.10.2020, aktualisiert um 11:02 Uhr
Ok, ich nehme Deine Aeusserung mal so hin.

Ich lese mir gerade nochmal den Eingangspost durch und lese da spielen und WLAN von unterwegs und Unify ... und dann lese ich mir Deinen Post nochmal durch, denke an WLAN, spielen auf Windows von Microsoft, Internet und Google oder FF, vllt Mobile (iOS o. Android) und ganz besonders Unify und ... und ... und ... dann hoer ich auf ueber Deinen Post nachzudenken.

Schoenen Tag noch.

VG Sato
Bitte warten ..
Mitglied: altmetaller
19.10.2020 um 11:15 Uhr
Hallo,

der Denkfehler dabei: Es gibt einfach keine Notwendigkeit dafür. Ein eigenes VPN ist in kurzer Zeit aufgesetzt.

Und dass es schlichtweg verboten ist, bestimmte Daten über nichteuropäische Server zu blasen, sollte sich inzwischen auch herumgesprochen haben.

Gruß,
Jörg
Bitte warten ..
Mitglied: satosan
19.10.2020, aktualisiert um 11:38 Uhr
Zitat von altmetaller:
Und dass es schlichtweg verboten ist, bestimmte Daten über nichteuropäische Server zu blasen, sollte sich inzwischen auch herumgesprochen haben.

Hallo Joerg, den merke ich mir ... ;) Kann man auch den Eindruck gewinnen das man sich damit gar nicht richtig beschaeftigt hat, was bei Zerotier oder Tailscale dann so 'im Internet rumgeblasen' wird. Entspricht irgendwie nicht ganz ... Naja, ich ueberlasse das mal den Profis hier.
Bitte warten ..
Mitglied: KodaCH
19.10.2020 um 16:39 Uhr
Guten Abend

Vielen Dank für eure Hilfe. Da ich den VPN eh vom ESX lösen wollte und ich noch einen NUC hier hatte habe ich ihn dort neu Installiert. Es klappte alles auf anhieb.
Mein Problem war wie oben genannt natürlich das client-to-client.
Fürs Spielen wird Bridge Modus empfohlen damit alle Spiele sauber laufen. Dies klappt auch auf Anhieb.
Mit dem ESXi gab es allerdings Probleme wegen dem "Promiscuous-Modus" den ich aber nicht aktivieren wollte.

Gruss

Koda
Bitte warten ..
Mitglied: aqui
19.10.2020 um 17:02 Uhr
Kleine Ursache, große Wirkung... Klasse wenns nun klappt wie es soll. 👏
Bitte warten ..
Heiß diskutierte Inhalte
Windows Server
Hyper-V Server vs Datacenter?
holliknolliFrageWindows Server26 Kommentare

Hallo, hat jemand Erfahrung mit dem - kostenlosen - Hyper-V-Server? Ich meine, warum teure Lizenzen für Datacenter zahlen, wenn ...

LAN, WAN, Wireless
Spanning Tree Probleme
gelöst predator66FrageLAN, WAN, Wireless12 Kommentare

Hallo, wir haben hier eigenartige Spanningtree Probleme, die wir zur Zeit nicht gelöst bekommen: New Root Port MAC ist ...

Notebook & Zubehör
Business Support HP, Dell, Lenovo etc
fuzzyLogicFrageNotebook & Zubehör10 Kommentare

Moin, ich arbeite derzeit fast ausschließlich mit HP und frage mich wie es auf Support Baustelle bei anderen Herstellern ...

Exchange Server
Zustellbestätigung deaktivieren
defiant01FrageExchange Server10 Kommentare

Hallo, ich stehe vor der Aufgabe bei einem Postfach die Zustellbestätigung für eingehende Mails zu deaktivieren. Der User geht ...

E-Mail
Ticketsystem mit mailflow
CraftdorFrageE-Mail8 Kommentare

Hallo, Ich bin auf der Suche nach einem Ticketsystem das am besten Freeware ist und einfach nur eine Ankommende ...

Netzwerkgrundlagen
PfSense Virtuele IP mit NAT auf eine IP im VLAN90 zum VLAN30
OIOOIOOIOIIOOOIIOIIOIOOOFrageNetzwerkgrundlagen8 Kommentare

Guten Tag, ich stehe hier mit einer neuen Herausforderung. Hab ein Internetradio, welches jedoch nur mit eine App gesteuert ...

Ähnliche Inhalte
Router & Routing
VPN, Wireguard, Userabmeldung?
gelöst VisuciusFrageRouter & Routing7 Kommentare

Hallo liebes Tagebuch ähhh liebe Forenteilnehmer. So im groben - ohne Wireguard - aber mit Win2016-RAS und L2TP habe ...

Router & Routing
VPN Wireguard bidirektional betreiben
gelöst AvengaFrageRouter & Routing7 Kommentare

Hallo erstmal, folgendes Szenario würde ich euch gern beschreiben: Netz A: FritzBox, Raspberry Wireguard Server, IP Bereich 192.168.168.x - ...

Sicherheit
WireGuard VPN einrichten Windows
darklivingFrageSicherheit11 Kommentare

Hallo zusammen, ich hoffe das mir hier jemand helfen kann bei einem Problem mit WireGuard VPN Einstellung im Server ...

Router & Routing
Wireguard Konfiguration OpenSuse
gelöst Florian15FrageRouter & Routing17 Kommentare

Hallo zusammen, ich versuche gerade meine alte VPN Verbindung mittels Shrewsoft und der Fritzbox abzulösen. Dabei bin ich auf ...

Router & Routing
VPN - kompletter Traffic! - nur Intern?
ububehFrageRouter & Routing4 Kommentare

Hallo Gemeinde nach paar Tagen Google-Recherche, weiß ich nicht mehr, nach was ich suchen soll. Ich hoffe, hier bin ...

Windows Server

Desktopverknüpfung erzeugt Traffic auf VPN?

gelöst KnorkatorFrageWindows Server4 Kommentare

Hallo zusammen, Ich kann mir den Traffic zwischen einem PC und einem Server nicht erklären. Wir haben eine VPN ...

Berechtigungs- und IdentitätsmanagementBerechtigungs- und IdentitätsmanagementWebdienste und -serverWebdienste und -serverDatenbankenDatenbankenMonitoring & SupportMonitoring & SupportHybrid CloudHybrid CloudSmall Business ITSmall Business IT