kodach
Goto Top

Wireguard VPN (oder andere alternative) - Kompletter Traffic routen

Guten Morgen

Ich habe bisher mit OpenVPN und mit Wireguard VPN einige Tests gemacht.

OpenVPN (Kostenlose Version): Hier habe ich es hinbekommen einen VPN einzurichten mit wem der Traffic über mein Heimnetzwerk geht. Die IP ist die meines Heimnetzwerkes, und ich kann meine Clients und server mit servername.domäne.tld anpingen. Was hier z.B: leider nicht funktioniert hat ist, dass der VPN auch für Netzwerkspiele verwendet werden kann. Ich kann im Spiel zwar die IP der mit durch den VPN vergeben wurde auswählen, die beiden Clients sehen sich trotzdem nicht.

OpenVPN AS: Hier habe ich noch keine genauen tests gemacht ob das Verhalten anders wäre.

Wireguard: Einerseits wollte ich mal schauen wie dieser ist da er immer mehr empfohlen wird, und ich dachte da ich durch das Spielethema so oder so weiter schauen musste teste ich diesen. Da ich beim Wireguard noch einige Anlaufschwierigkeiten habe, habe ich das mit den Spielen entsprechend auch noch nicht getestet. Ich hoffe natürlich das ihr mir hier weiterhelfen könnt face-smile

Meine Serverkonfiguration
[Interface]
Address = 10.10.81.1/24
Address = fddc:980e:a378:5c2::/64
SaveConfig = true
ListenPort = 51820
PrivateKey = .................

[Peer]
PublicKey = ..............
AllowedIPs = 10.10.81.0/24

Mein Client:
[Interface]
PrivateKey = ..............
Address = 10.10.81.2/32
DNS = 10.10.1.250, 8.8.8.8

[Peer]
PublicKey = .....
AllowedIPs = 0.0.0.0/1, 128.0.0.0/1
Endpoint = .......:51820
PersistentKeepalive = 5

Mit dieser Variante habe ich auf meinem Client danach die public IP meines Providers Zuhause. Ein Ping auf meinen internen DNS Server 10.10.1.250 klappt nicht, und auch mit dc1.domain.tld klappt es nicht.

Auf dem Server habe ich dann nach einem anderen Tutorial die AllowerIPs die folgt angepasst:
AllowedIPs = 10.10.81.0/24 10.10.1.0/24: Ergebnis: Ping geht nicht, der rest ist unverändert
AllowedIPs = 0.0.0.0/0: Ergebnis: Der Client hat keine Internetverbindung mehr, und ich komme im Heimnetzwerk nicht mehr per SSH auf meinen VPN Server


Was ist mein Ziel:
  • Von Unterwegs den kompletten Traffic über mein Heimnetzwerk leiten (Ich möchte in einem Hotelzimmer auf meine Infrastruktur Zuhause zugreifen können, möchte auf Internetseiten wie Internetbanking kommen ohne das dies über das HotelWLAN gesehen wird)
  • Idealerweise möchte ich Netzwerkspiele verwenden können
  • Idealerweise möchte ich aus dem VPN zuhause Drucken können (Ich glaube dies ist aber ein anderes Thema da es mit Drucken über VLAN allgemein Probleme gibt)
  • Optional: Ich habe für mein WLAN einen Windows NPS Server. Bisher konnte ich diesen nicht schlau für den VPN verwenden. Wenn das klappt wäre es Nice to have aber keine Pflicht
  • Optional: Die VPN Verbindung über GPOs oder ähnliches auszurollen. Auch dies ist nur nice to have und eher eine spielerei.
  • Edit: Optional: MFA z.b. mit Yubikey

Welche VPN Software soll eingesetzt werden:
Dies spielt mir eigentlich nicht so eine Rolle. Früher wurde immer OpenVPN empfohlen, nun kommt langsam Wireguard. Ich habe eine UniFi USG, wobei hier die VPN Möglichkeiten extrem bescheiden sind. Dann habe ich einen ESXi wo ich etwas Virtualisieren kann. So läuft aktuell auch OpenVPN und Wireguard.
Es darf aber natürlich auch zusätzliche Hardware sein die etwas kosten darf. Schön wäre es wenn es nicht grad hohe Jährliche Kosten generieren würde.

Ich bedanke mich schon jetzt für jede Hilfestellung.

Gruss

Koda

Content-ID: 614196

Url: https://administrator.de/forum/wireguard-vpn-oder-andere-alternative-kompletter-traffic-routen-614196.html

Ausgedruckt am: 22.12.2024 um 17:12 Uhr

117471
117471 18.10.2020 um 12:39:44 Uhr
Goto Top
Hallo,

Zitat von @KodaCH:

Ich kann im Spiel zwar die IP der mit durch den VPN vergeben wurde auswählen, die beiden Clients sehen sich trotzdem nicht.

Dann setz' doch mal die client-to-client Option.

Zusätzlich kann Dir natürlich auch noch die Windows-Firewall einen Strich durch die Rechnung machen. Das OpenVPN-Netz sollte von Windows als "Privates Netz" erkannt werden.

Beim Start des Spiels wirst Du normalerweise gefragt, für welche Netzwerkklassen das Spiel Serverdienste anbieten darf. Das muss ebenfalls mit den Firewalleinstellungen übereinstimmen.

Von Unterwegs den kompletten Traffic über mein Heimnetzwerk leiten

Da für gibt es z.B. Optionen wie:
  • push-route
  • push-dns

Gruß,
Jörg
aqui
aqui 18.10.2020 aktualisiert um 13:14:19 Uhr
Goto Top
OpenVPN (Kostenlose Version):
OpenVPN ist immer kostenlos !!
Was hier z.B: leider nicht funktioniert hat ist, dass der VPN auch für Netzwerkspiele verwendet werden kann.
Deine OpenVPN Serverkonfig oben ist unvollständig und fehlerhaft, deshalb ist sie leider wenig hilfreich für eine zielführende und helfende Antwort ! face-sad
Vermutlich arbeitest du wie Kollege @117471 oben schon vermutet hat mit Split Tunneling, also einem push route... Kommando.
Wenn du aber den gesamten Client Traffic übers das VPN via Heimnetz ins Internet schicken willst benötigst du statt des push route... Kommandos einen Gateway Redirect (push "redirect-gateway... Kommando) !!
Ein OpenVPN Konfig Fehler der häufig gemacht wird aber leider nur geraten weil deine aktuelle OVPN Server Konfig fehlt hier. face-sad

Das hiesige OpenVPN Tutorial:
Merkzettel: VPN Installation mit OpenVPN
erklärt dir das im Kapitel "Konfiguration VPN Server" haarklein im Detail und auf welche Konfig Kommandos du da besonders achten musst !
Passe das entsprechend an, dann klappt das mit dem Gaming auch sofort !
117471
117471 18.10.2020 um 13:29:09 Uhr
Goto Top
Hallo,

Zitat von @aqui:

Wenn du aber den gesamten Client Traffic übers das VPN via Heimnetz ins Internet schicken willst benötigst du statt des push route... Kommandos einen Gateway Redirect (push "redirect-gateway... Kommando) !!

Stimmt - ich habe die Optionen verwechselt.

Gruß,
Jörg
KodaCH
KodaCH 18.10.2020 aktualisiert um 13:40:03 Uhr
Goto Top
Vielen Dank für eure antworten.

OpenVPN ist immer kostenlos !!
Ansichtssache. Ich weiss nicht wo du den Access Server von OpenVPN als kostenlos bezeichnest. Aber egal.
Ich habe Testweise sowohl die Open VPN in der Community Version als auch den kostenpflichtigen (ab der dritten Verbindung) Access Server im Einsatz.

Die Konfiguration oben ist die Wireguard Konfiguration. Diese ist 1:1 und soweit wie oben beschrieben Funktionsfähig. Ich weiss nicht was daran fehlen soll?

Beim Access Server funktioniert ein Ping untereinander. Die Firewall ist testweise auf beiden Clients deaktiviert. So viel ich Herausgefunden habe muss wohl für Spiele teilweise der Bridge Modus eingesetzt werden. Da schaue ich gerade noch wie das geht.

Meine openVPN server Konfiguration ist die folgende. damit geht aber aktuell wie gesagt kein Spielen untereinander. z.B. bei Read Alert 3 sehen sich die Spieler nicht.

port 1194
proto udp
dev tun
ca /etc/openvpn/server/ca.crt
cert /etc/openvpn/server/server.crt
key /etc/openvpn/server/server.key
dh /etc/openvpn/server/dhparam.pem
crl-verify /etc/openvpn/server/crl.pem
tls-auth /etc/openvpn/server/ta.key 0
server 10.10.80.0 255.255.255.0
topology subnet
push "topology subnet"  
ifconfig-pool-persist ipp.txt
push "route 10.10.1.0 255.255.255.0"  
push "route 10.10.5.0 255.255.255.0"  
push "route 10.10.7.0 255.255.255.0"  
push "route 10.10.80.0 255.255.255.0" <-- War ein Test da die VPN IP in diesem Range liegt.  
push "dhcp-option DNS 10.10.1.250"  
push "dhcp-option DNS 10.10.1.251"  
push "dhcp-option DOMAIN domain.ch"  
keepalive 10 120
cipher AES-256-CBC
auth SHA512
user nobody
group nogroup
persist-key
persist-tun
status /etc/openvpn/openvpn-status.log
verb 4
status-version 3
explicit-exit-notify 1

Ich habe in einer Hilfe zu OpenVPN und Spiele den Eintrag
push "redirect-gateway def1 bypass-dhcp"
gefunden. Damit haben die Clients dann aber kein Internet mehr.

Meine Interface auf dem OpenVPN Server:
ifconfig
ens192: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 10.10.7.74  netmask 255.255.255.0  broadcast 10.10.7.255
        inet6 fe80::250:56ff:fe99:1530  prefixlen 64  scopeid 0x20<link>
        ether 00:50:56:99:15:30  txqueuelen 1000  (Ethernet)
        RX packets 48796022  bytes 51423133063 (47.8 GiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 48760422  bytes 50259149635 (46.8 GiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

lo: flags=73<UP,LOOPBACK,RUNNING>  mtu 65536
        inet 127.0.0.1  netmask 255.0.0.0
        inet6 ::1  prefixlen 128  scopeid 0x10<host>
        loop  txqueuelen 1000  (Lokale Schleife)
        RX packets 0  bytes 0 (0.0 B)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 0  bytes 0 (0.0 B)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

tap0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 10.10.80.1  netmask 255.255.255.0  broadcast 10.10.80.255
        inet6 fe80::301c:40ff:fe57:4ddb  prefixlen 64  scopeid 0x20<link>
        ether 32:1c:40:57:4d:db  txqueuelen 100  (Ethernet)
        RX packets 1725  bytes 125675 (122.7 KiB)
        RX errors 0  dropped 1725  overruns 0  frame 0
        TX packets 30  bytes 2112 (2.0 KiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

Gruss

Koda
Gauss23
Gauss23 18.10.2020 um 14:19:25 Uhr
Goto Top
Puh, da weiß man ja wirklich gar nicht wo man anfangen soll.

Du hast offenbar keinen Ansatz von Netzwerkkenntnissen, oder? Du versuchst hier irgendwas zusammenzubasteln und gibst den Hilfestellern einfach nur Bruchstücke an Infos. So wird das nix.

Hinweise der Hilfesteller ignorierst Du komplett (client-to-client).

Auch verstehst Du nicht warum beim Redirect-GW die Clients plötzlich kein Internet mehr haben, kleiner Hinweis, Du musst diese Clients (Source) NATten damit sie über den Remote-Server ins Internet kommen.

Ich würde erstmal bei den Basics anfangen bevor Du versuchst möglicherweise schlecht konfigurierte VPN Netze an den Start zu bringen.
117471
117471 18.10.2020 um 14:22:51 Uhr
Goto Top
Hallo,

ich bin ehrlich: Du hast Dir nicht einmal die Mühe gemacht, meinen und Aquis Beitrag durchzulesen.

Sorry, ich bin raus. Probier' mal weiterhin willkürlich herum - vielleicht bekommst Du es irgendwann durch Zufall zum Laufen.

Gruß,
Jörg
KodaCH
KodaCH 18.10.2020 aktualisiert um 15:11:05 Uhr
Goto Top
@117471
Nein ich bin die Beiträge am durchgehen und die Konfiguration am Anpassen. Auch da ich den ganzen Netzwerkverkehr durch bekommen möchte.

Die Konfiguration oben bezieht sich auf aquis Beitrag das die Konfiguration unvollständig ist. Die Konfiguration hat nichts mit einer Anpassung oder dem ignorieren der Beiträge zu tun.
Die Konfiguration ist 1:1 so wie sie vor dem Beitrag war.

Ich schau mir das die Tage nochmals genauer an und poste dann nochmals wo es klemmt
aqui
Lösung aqui 18.10.2020 aktualisiert um 17:56:48 Uhr
Goto Top
damit geht aber aktuell wie gesagt kein Spielen untereinander. z.B. bei Read Alert 3 sehen sich die Spieler nicht.
Du meinst damit das sich die VPN Clients untereinander "sehen" sollen also eine Client zu Client Kommunikation möglich sein soll, richtig ?
Das ist auch vollkommen logisch das das bei dir nicht geht, denn wie der Kollege @Gauss23 oben schon richtig sagt fehlt das Kommando client-to-client dafür in deiner Server Konfig. Ohne das lässt OpenVPN keine Client zu Client Kommunikation zu !
Sollte man aber als OpenVPN Profi wie du eigentlich wissen. face-wink
client-to-client
Because the OpenVPN server mode handles multiple clients through a single tun or tap interface, it is effectively a router. The –client-to-client flag tells OpenVPN to internally route client-to-client traffic rather than pushing all client-originating traffic to the TUN/TAP interface.When this option is used, each client will “see” the other clients which are currently connected. Otherwise, each client will only see the server. Don’t use this option if you want to firewall tunnel traffic using custom, per-client rules.

https://openvpn.net/community-resources/reference-manual-for-openvpn-2-4 ...

Wenn du zudem noch allen Client Trafic in den Tunnel routen willst um ihn über deinen Heimanschluss zu schleusen, dann musst du alle push route 10.10.... Kommandos durch ein push "redirect-gateway def1 bypass-dhcp" ersetzen.

Nebenbei:
Es ist unsinnig alle diese Einzelnetze immer mit einzelnen push route... Kommandos einzugeben. Du hast diese ja schon sehr vorausschauend und intelligent gesubnettet das das so umständlich nicht nötig ist.
Ein einfaches push "route 10.10.0.0 255.255.248.0" mit einem 21 Bit Prefix hätte das auch erledigt für alle Netze bis .7.0. Mit einem 20 Bit Prefix (255.255.240.0) bis .15.0 oder mit 16 Bit (255.255.0.0)dann eben das gesamte 10.10.0.0er Subnetz. face-wink
satosan
satosan 19.10.2020 aktualisiert um 10:03:40 Uhr
Goto Top
Ich bin mal gegen alle und jeden ... Spass.

Link >> Zerotier

Anmelden, Clients auf den Rechnern einrichten, im privaten Netzwerk (Zerotier Dashboard) zulassen die Clients zulassen und fertig.

Haettest schon lange gluecklich spielen koennen. Fuer solche Anwendungen ist das ideal.

VG Sato
aqui
aqui 19.10.2020 aktualisiert um 10:16:27 Uhr
Goto Top
Ist aber einer der gruseligen öffentlichen VPN Anbieter. Die schnüffeln User bekanntlich massiv aus und erstellen detailierte Profile zur Vermarktung. Sicher und vertraulich ist dort nix. Der Anbieter ist zudem kein EU Unternehmen und ist deshalb nicht an die DSGVO gebunden.
Bei solchen Unternehmen erweist man sich mit der Nutzung einen Bärendienst und kommt vom Regen in die Traufe. Ein absolutes NoGo wem die eigene Datensicherheit etwas wert ist ! Solche Binsenweisheiten kennt aber auch jeder kundige Netzwerker und der TO oben tut wahrlich gut daran das in Eigenregie zu machen !
Seine Konfig Fehler sind zudem minimal Flüchtigkeitsfehler die schnell behoben sind. Als "Workaround" auf sowas dann zu verweisen ist im Hinblick auf die o.a. Fakten dann natürlich fataler Unsinn.
satosan
satosan 19.10.2020 aktualisiert um 11:02:20 Uhr
Goto Top
Ok, ich nehme Deine Aeusserung mal so hin.

Ich lese mir gerade nochmal den Eingangspost durch und lese da spielen und WLAN von unterwegs und Unify ... und dann lese ich mir Deinen Post nochmal durch, denke an WLAN, spielen auf Windows von Microsoft, Internet und Google oder FF, vllt Mobile (iOS o. Android) und ganz besonders Unify und ... und ... und ... dann hoer ich auf ueber Deinen Post nachzudenken.

Schoenen Tag noch.

VG Sato
117471
117471 19.10.2020 um 11:15:16 Uhr
Goto Top
Hallo,

der Denkfehler dabei: Es gibt einfach keine Notwendigkeit dafür. Ein eigenes VPN ist in kurzer Zeit aufgesetzt.

Und dass es schlichtweg verboten ist, bestimmte Daten über nichteuropäische Server zu blasen, sollte sich inzwischen auch herumgesprochen haben.

Gruß,
Jörg
satosan
satosan 19.10.2020 aktualisiert um 11:38:22 Uhr
Goto Top
Zitat von @117471:

Und dass es schlichtweg verboten ist, bestimmte Daten über nichteuropäische Server zu blasen, sollte sich inzwischen auch herumgesprochen haben.

Hallo Joerg, den merke ich mir ... ;) Kann man auch den Eindruck gewinnen das man sich damit gar nicht richtig beschaeftigt hat, was bei Zerotier oder Tailscale dann so 'im Internet rumgeblasen' wird. Entspricht irgendwie nicht ganz ... Naja, ich ueberlasse das mal den Profis hier.
KodaCH
KodaCH 19.10.2020 um 16:39:30 Uhr
Goto Top
Guten Abend

Vielen Dank für eure Hilfe. Da ich den VPN eh vom ESX lösen wollte und ich noch einen NUC hier hatte habe ich ihn dort neu Installiert. Es klappte alles auf anhieb.
Mein Problem war wie oben genannt natürlich das client-to-client.
Fürs Spielen wird Bridge Modus empfohlen damit alle Spiele sauber laufen. Dies klappt auch auf Anhieb.
Mit dem ESXi gab es allerdings Probleme wegen dem "Promiscuous-Modus" den ich aber nicht aktivieren wollte.

Gruss

Koda
aqui
aqui 19.10.2020 um 17:02:04 Uhr
Goto Top
Kleine Ursache, große Wirkung... Klasse wenns nun klappt wie es soll. 👏