Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Lokales Netzwerk hinter OpenVPN (dd-wrt) nicht erreichbar

Mitglied: nolimits2k

nolimits2k (Level 1) - Jetzt verbinden

17.07.2010, aktualisiert 18.10.2012, 12106 Aufrufe, 9 Kommentare

Hallo zusammen,

ich beschäftige mich privat ein klein wenig mit meinem Heimnetzwerk und habe meine Rechner + NAS entsprechend vernetzt. Um von unterwegs auf das Netzwerk zugreifen zu können, wollte ich gerne OpenVPN nutzen.

Nach der Anleitung hier im Forum habe ich es auch problemlos hinbekommen, openvpn zum Laufen zu bekommen. Allerdings schaffe ich es nicht, das lokale Netzwerk hinter dem Router zu erreichen. Vielleicht ist meine Konfiguration auch etwas chaotisch . Da ich verschiedene Geräte im ganzen Haus verteilt habe, werden manche Anbindungen auch über WLAN realisiert.

Folgendermassen sieht mein Netzwerk aus:

1. Vodafone EasyBox als DSL-Modem (direkt mit dem Internet verbunden).
WLAN deaktiviert
LAN-IP: 10.168.1.2
Subnetz: 255.255.255.0
DHCP deaktiviert
Firewall + SPI aktiviert
NAT aktiviert (Port Forwarding von Port 1194 an 10.168.1.1 (OpenVPN Router)).

2. WRT54G (mit dd-wrt v24)
Verbunden per LAN-Kabel mit der Easybox (Punkt 1). Das LAN-Kabel steckt im WAN-Eingang des Routers
WLAN mit WPA2 aktiviert

WAN: statische IP: 10.168.1.3
SUBNetz: 255.255.255.0
Gateway: 10.168.1.2 (Easybox)
Lokal DNS: 10.168.1.2 (Easybox)

LAN-IP des Routers: 10.168.1.1
Subnetz: 255.255.255.0
Gateway: 10.168.1.2
Lokal DNS: 10.168.1.2
Firewall+SPI deaktiviert
DHCP aktiviert
Auf diesem Router läuft OpenVPN und ist exakt wie hier im Forum beschrieben eingerichtet.

Ergänzend auch natürlich mit LAN-Kabel im LAN-Port und WAN ausgeschaltet ausprobiert - geht auch nicht.

Warum in dieser Konfiguration ? Laut eines Berichts auf Heise.de (http://www.heise.de/netze/artikel/DMZ-selbst-gebaut-221656.html) wollte ich so etwas mer Sicherheit erreichen. Falls dies Überflüssig ist oder sogar kontraproduktiv freue ich mich gerne auf Feedback (an der EasyBox hängen keine weiteren Server/Geräte).

Weiter gehts:

3. WRT54G (ebenfalls mit dd-wrt v24, steht im Wohnzimmer) ist per WLAN mit WRT54G (Punkt2) verbunden
LAN-IP: 10.168.1.10
Subnetz: 255.255.255.0
Gateway 10.168.1.1 (Router Punkt 2)
Lokaler DNS: 10.168.1.1


An diesem Router 3 hängen folgende Geräte über einen Switch:

4. Dreambox mit statischer IP (10.168.1.102, Subnetz 255.255.255.0, Gateway 10.168.1.1, DNS 10.168.1.1)
5. HDX1000 Media Player mit automatischer IP-Vergabe per DHCP
6. QNAP 219 NAS mit statischer IP ( (10.168.1.30, Subnetz 255.255.255.0, Gateway 10.168.1.1, DNS 10.168.1.1))
7. Desktop PC mit statischer IP (10.168.1.100, Subnetz 255.255.255.0, Gateway 10.168.1.1, DNS 10.168.1.1)

Darüber hinaus verbinden meine Frau + ich uns teilweise direkt mit unseren Notebooks per WLAN mit dem Router (Punkt 2).


Sobald ich mich nun mit einem dieser Notebooks einwähle (z.B. per UMTS-Verbindung), connected sich der OpenVPN-Client und vergibt die IP 172.16.2.x am Client (Notebook). Wenn ich im Browser 172.16.2.1 eingebe, komme ich auf das Konfigurationsinterface des Routers (Punkt 2). Ich schaffe es aber partout nicht, die anderen Geräte zu erreichen - beim Router ist schluss.

Was mache ich falsch ? Ist mein Netzwerk zu chaotisch oder komplett dilettantisch eingerichtet ? Ich bin gerne für Verbesserungsvorschläge offen. Muss ich noch etwas in der OPENVPN Konfiguration ändern (abweichend zu diesem Thread: https://www.administrator.de/index.php?content=123285) ?

Ich bin sehr gespannt auf Eure Antworten.

Viele Grüße,
Thomas
Mitglied: masterofdisaster09
18.07.2010 um 01:50 Uhr
Guten Morgähn! =)

Zitat von nolimits2k:
1. Vodafone EasyBox als DSL-Modem (direkt mit dem Internet verbunden).
So, wie du deine weitere Konfiguration beschreibst (NAT, Port Forwarding, ...) ist das Gerät als *Router*, nicht als Modem eingerichtet.

2. WRT54G (mit dd-wrt v24)
WAN: statische IP: 10.168.1.3
LAN-IP des Routers: 10.168.1.1
Auf WAN- und LAN-Seite eines *Routers* der gleiche IP-Adressbereich? Hört sich (für mich) nicht grad gesund an.

Wenn ich im Browser 172.16.2.1 eingebe, komme ich auf das Konfigurationsinterface
des Routers (Punkt 2). Ich schaffe es aber partout nicht, die anderen Geräte zu erreichen - beim Router ist schluss.
IP-Forwarding aktiviert?
Firewall [wirklich] deaktiviert? --> Das gilt es auch für die Clients im Netzwerk zu beachten, es könnte durchaus sein, dass die ansonsten Pakete aus anderen IP-Bereichen verwerfen.
Bitte warten ..
Mitglied: nolimits2k
18.07.2010 um 01:58 Uhr
Hallo,

vielen Dank für die schnelle Antwort. Die Herausforderung besteht glaube ich darin, dass die Easybox nur mittels eines Modeminstallationscodes von Vodafone automatisch im WAN-Interface eingerichtet wird und man hier keine Eingriffsmöglichkeiten hat. Dort ist auch bereits WAN 188.x.x.x und LAN 10.168.1.2 und Gateway 10.168.1.2 fest eingetragen.

Ich glaube das Problem ist einfach, dass die Geräte am WRT54G als Gateway angeschlossen sind, die Easybox aber auch als Gateway fungiert und das Routing scheinbar immer über die Easybox läuft. Kann ich das irgendwo ändern ?
Bitte warten ..
Mitglied: masterofdisaster09
18.07.2010 um 02:19 Uhr
Mit der EasyBox kenne ich mich überhaupt nicht aus.
Wenn der erste WRT als Router eingerichtet ist, dann wäre es IMHO sinnvoll, die LAN-Seite auf einen anderen IP-Adressbereich zu legen, z.B. auf 192.168.10.x
Das zieht natürlich Änderungen an allen statisch eingerichteten Clients nach sich.
Anschließend sollte es, wenn korrekt eingerichtet, auch mit dem VPN(-Routing) klappen.
Bitte warten ..
Mitglied: nolimits2k
18.07.2010 um 15:15 Uhr
Mal unabhängig von der o.g. Konfiguration muss ich es doch nur schaffen, dass ich vom OPENVPN-Server aus (WRT54G) die dahinterliegenden Geräte im lokalen LAN erreichen kann. Dies klappt aber irgendwie nicht. Was mache ich falsch oder muss ich noch irgendwelche Routings auf dem WRT54G einstellen ? Wenn ja, wie mache ich das ?
Bitte warten ..
Mitglied: aqui
18.07.2010, aktualisiert 18.10.2012
Ja, das klappt problemlos mit dem push Kommando in der hier im Turorial beschrieben server.conf Datei auf dem WRT.

Bedenke aber das du einen schweren Kardinalsfehler begangen hast im IP Design auf dem WRT oben !!
Der WRT 54 ist ein Router !!! Ein Router hat IMMER unterschiedliche IP netze auf seinen Interfaces. Logisch !, denn sonst wäre es ja eine Bridge oder ein Switch und kein Router !
Du hast ihm aber auf dem WAN und auf dem LAN ins gleiche IP Netz konfiguriert !! 10.168.1.0 /24
Das ist natürlich vollkommener Unsinn und damit kann der Router nicht mehr routen !
Wie auch wenn beide Interfaces im gleichen IP Netz sind ?? (Er ist ja dann ne Bridge, kann aber nicht bridgen).
Stelle also den WRT54 am LAN auf
LAN-IP des Routers: 10.168.10.1
(Dieses Netz darf niemals gleich dem WAN IP Netz sein !)
Subnetz: 255.255.255.0
Firewall+SPI deaktiviert
DHCP aktiviert

ein, dann wird es auch auf Anhieb klappen ! Steht ja auch so im Tutorial !

Deine server.conf sähe dann so aus:
port 1194
proto udp
dev tun0
ca /tmp/openvpn/ca.crt
cert /tmp/openvpn/cert.pem
key /tmp/openvpn/key.pem
dh /tmp/openvpn/dh.pem
server 172.16.2.0 255.255.255.0
push "route 10.168.10.0 255.255.255.0"
keepalive 10 120
comp-lzo
persist-key
persist-tun
verb 3

Dann wird das auch einwandfrei funkltionieren wenn du einen OpenVPN Client in das Verbindungsnetz 10.168.1.0 /24 plazierst und den DD-WRT mit der 10.168.1.3 connectest !
Das ist immer der finale Test ob der server rennt.

Ein problem wirst du haben. Du musst zwingend auf der EasyBox ein Port Forwarding vom UDP Port 1194 auf die lokale IP Adresse 10.168.1.3 einstellen, denn sonst kommen die OpenVPN Pakete aus dem Internet nicht am DD-WRT an weil sie die NAT Firewall der EasyBox nicht überwinden können. Siehe hier am Beispiel von PPTP:
https://www.administrator.de/wissen/vpns-einrichten-mit-pptp-117700.html ...

Ferner macht es noch Sinn einen DynDNS Account auf die EasyBox zu konfigurieren damit du den OpenVPN Server auch trotz wechselnder IP Adresse immer erreichen kannst !

Ggf. ist es einfacher die EasyBox durch ein simples preiswertes DSL Modem wie z.B. dieses hier zu ersetzen:
http://www.pollin.de/shop/dt/NTM4ODgyOTk-/Computer_und_Zubehoer/Netzwer ...
und den WRT direkt anzuschliessen. Damit ersparst du dir diese gesamte Frickelei mit der EasyBox.
Bitte warten ..
Mitglied: masterofdisaster09
18.07.2010 um 16:38 Uhr
Zitat von aqui:
Ggf. ist es einfacher die EasyBox durch ein simples preiswertes DSL Modem wie z.B. dieses hier zu ersetzen:
AFAIK wird die Telefonie über die EasyBox realisiert - also keine gute Idee.
Bitte warten ..
Mitglied: aqui
19.07.2010 um 10:12 Uhr
Wenn dem so ist, ist das zweifelsohne richtig ! Ist aber auch egal, auch mit der EasyBox dazwischen funktioniert es fehlerfrei erzwingt dann aber ein Port Forwarding von UDP 1194 auf die 10.168.1.3 !
Sowas banales wie Port Forwarding sollte die EasyBox ja wohl auch supporten.
Bitte warten ..
Mitglied: Edelweis
19.07.2010 um 22:51 Uhr
Zitat von aqui:
Sowas banales wie Port Forwarding sollte die EasyBox ja wohl auch supporten.

Tut sie auch, und das fehlerfrei.
Bitte warten ..
Mitglied: aqui
20.07.2010 um 09:37 Uhr
No, ok dann sollte ja nolimits2k keine Probleme haben das problemlos zum fliegen zu bringen.
Vermutlich hat er aber schon das Interesse verloren was man am fehlenden Feedback hier ja leider sehen kann

Hoffentlich vergisst er dann wenigstens nicht
https://www.administrator.de/index.php?faq=32
um den Thread hier abzuschliessen !!
Bitte warten ..
Ähnliche Inhalte
Router & Routing
DD-WRT als OpenVPN Server
Frage von trallerRouter & Routing20 Kommentare

Hallo, ich habe einen DD-WRT Router (Netgear Router mit DD-WRT v24-sp2 (03/25/13) std) und wollte diesen als OpenVPN-Server laufen ...

Router & Routing
DD WRT OpenVPN keine Internetverbindung
gelöst Frage von marcel90Router & Routing28 Kommentare

Hallo zusammen, ich habe auf der DD WRT Firmware den OpenVPN Server einmal aktiviert. Der Server läuft soweit auch. ...

Router & Routing
OpenVPN mit DD Wrt
Frage von NeckCheckRouter & Routing21 Kommentare

Hallo zusammen, ich habe mal wieder mich nach einem Jahr dran versucht an meinem DD Wrt Router OpenVPN am ...

Router & Routing
Speedport Hybrid - DD-WRT - OpenVPN ?
Frage von Motte990Router & Routing9 Kommentare

Guten Abend Leute, Ich sitze jetzt seit Stunden an dem Thema OpenVPN am DD-Wrt Router hinter einem Speedport Hybrid. ...

Neue Wissensbeiträge
Windows 10

USB Maus und Tastatur versagen Dienst unter Windows 10

Erfahrungsbericht von hardykopff vor 11 StundenWindows 103 Kommentare

Da steht man ziemlich dumm da, wenn der PC sich wegen fehlender USB Tastatur und Maus nicht bedienen lässt. ...

Administrator.de Feedback
Update der Seite: Alles zentriert
Information von Frank vor 14 StundenAdministrator.de Feedback10 Kommentare

Hallo User, die größte Änderung von Release 5.8 ist das Zentrieren der Webseite (auf großen Bildschirmen) und ein "Welcome"-Teaser ...

Humor (lol)

WhatsApp-Nachrichten endlich auch per Bluetooth versendbar

Information von BassFishFox vor 1 TagHumor (lol)4 Kommentare

Genau darauf habe ich gewartet! ;-) Der beliebte Messaging-Dienst WhatsApp erhält eine praktische neue Funktion: Ab dem nächsten Update ...

Google Android

Googles "Android Enterprise Recommended" für Unternehmen

Information von kgborn vor 1 TagGoogle Android3 Kommentare

Hier eine Information, die für Administratoren und Verantwortliche in Unternehmen, die für die Beschaffung und das Rollout von Android-Geräten ...

Heiß diskutierte Inhalte
Server-Hardware
Welche Rolle spielt Design bei Enterprise IT Hardware?
Frage von ApolloXServer-Hardware17 Kommentare

Ich arbeite für einen internationalen Elektronikhersteller in der Forschung und meine Aufgabe ist es, Feedback von Nutzern in Hinsicht ...

Windows Netzwerk
WSUS4 und Windows 10 Updates automatisch installieren
Frage von sammy65Windows Netzwerk15 Kommentare

Hallo miteinander, ich habe mit einen neuen WSUS Server aufgesetzt Server 2016 darauf einen aktuellen WSUS. Grund, wir stellen ...

Speicherkarten
Vergessliche USB-Sticks?
Frage von hanheikSpeicherkarten14 Kommentare

Ich habe in den letzten Tagen 500 USB-Sticks mit Bilddateien bespielt. Obwohl ich die Dateien mit größter Sorgfalt kopiert ...

Switche und Hubs
Cisco SG350X-48 AdminIP in anderes VLAN
Frage von lcer00Switche und Hubs14 Kommentare

Hallo zusammen, ich habe ein Problem mir einem Cisco SG350X-48 bei der Erstinstallation wurde eine IP 192.168.0.254 (Default VLAN ...