9
Lokales Netzwerk hinter OpenVPN (dd-wrt) nicht erreichbar
Hallo zusammen,
ich beschäftige mich privat ein klein wenig mit meinem Heimnetzwerk und habe meine Rechner + NAS entsprechend vernetzt. Um von unterwegs auf das Netzwerk zugreifen zu können, wollte ich gerne OpenVPN nutzen.
Nach der Anleitung hier im Forum habe ich es auch problemlos hinbekommen, openvpn zum Laufen zu bekommen. Allerdings schaffe ich es nicht, das lokale Netzwerk hinter dem Router zu erreichen. Vielleicht ist meine Konfiguration auch etwas chaotisch 
. Da ich verschiedene Geräte im ganzen Haus verteilt habe, werden manche Anbindungen auch über WLAN realisiert.
Folgendermassen sieht mein Netzwerk aus:
1. Vodafone EasyBox als DSL-Modem (direkt mit dem Internet verbunden).
WLAN deaktiviert
LAN-IP: 10.168.1.2
Subnetz: 255.255.255.0
DHCP deaktiviert
Firewall + SPI aktiviert
NAT aktiviert (Port Forwarding von Port 1194 an 10.168.1.1 (OpenVPN Router)).
2. WRT54G (mit dd-wrt v24)
Verbunden per LAN-Kabel mit der Easybox (Punkt 1). Das LAN-Kabel steckt im WAN-Eingang des Routers
WLAN mit WPA2 aktiviert
WAN: statische IP: 10.168.1.3
SUBNetz: 255.255.255.0
Gateway: 10.168.1.2 (Easybox)
Lokal DNS: 10.168.1.2 (Easybox)
LAN-IP des Routers: 10.168.1.1
Subnetz: 255.255.255.0
Gateway: 10.168.1.2
Lokal DNS: 10.168.1.2
Firewall+SPI deaktiviert
DHCP aktiviert
Auf diesem Router läuft OpenVPN und ist exakt wie hier im Forum beschrieben eingerichtet.
Ergänzend auch natürlich mit LAN-Kabel im LAN-Port und WAN ausgeschaltet ausprobiert - geht auch nicht.
Warum in dieser Konfiguration ? Laut eines Berichts auf Heise.de (http://www.heise.de/netze/artikel/DMZ-selbst-gebaut-221656.html) wollte ich so etwas mer Sicherheit erreichen. Falls dies Überflüssig ist oder sogar kontraproduktiv freue ich mich gerne auf Feedback (an der EasyBox hängen keine weiteren Server/Geräte).
Weiter gehts:
3. WRT54G (ebenfalls mit dd-wrt v24, steht im Wohnzimmer) ist per WLAN mit WRT54G (Punkt2) verbunden
LAN-IP: 10.168.1.10
Subnetz: 255.255.255.0
Gateway 10.168.1.1 (Router Punkt 2)
Lokaler DNS: 10.168.1.1
An diesem Router 3 hängen folgende Geräte über einen Switch:
4. Dreambox mit statischer IP (10.168.1.102, Subnetz 255.255.255.0, Gateway 10.168.1.1, DNS 10.168.1.1)
5. HDX1000 Media Player mit automatischer IP-Vergabe per DHCP
6. QNAP 219 NAS mit statischer IP ( (10.168.1.30, Subnetz 255.255.255.0, Gateway 10.168.1.1, DNS 10.168.1.1))
7. Desktop PC mit statischer IP (10.168.1.100, Subnetz 255.255.255.0, Gateway 10.168.1.1, DNS 10.168.1.1)
Darüber hinaus verbinden meine Frau + ich uns teilweise direkt mit unseren Notebooks per WLAN mit dem Router (Punkt 2).
Sobald ich mich nun mit einem dieser Notebooks einwähle (z.B. per UMTS-Verbindung), connected sich der OpenVPN-Client und vergibt die IP 172.16.2.x am Client (Notebook). Wenn ich im Browser 172.16.2.1 eingebe, komme ich auf das Konfigurationsinterface des Routers (Punkt 2). Ich schaffe es aber partout nicht, die anderen Geräte zu erreichen - beim Router ist schluss.
Was mache ich falsch ? Ist mein Netzwerk zu chaotisch oder komplett dilettantisch eingerichtet ? Ich bin gerne für Verbesserungsvorschläge offen. Muss ich noch etwas in der OPENVPN Konfiguration ändern (abweichend zu diesem Thread: OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router) ?
Ich bin sehr gespannt auf Eure Antworten.
Viele Grüße,
Thomas
. Da ich verschiedene Geräte im ganzen Haus verteilt habe, werden manche Anbindungen auch über WLAN realisiert.Folgendermassen sieht mein Netzwerk aus:
1. Vodafone EasyBox als DSL-Modem (direkt mit dem Internet verbunden).
WLAN deaktiviert
LAN-IP: 10.168.1.2
Subnetz: 255.255.255.0
DHCP deaktiviert
Firewall + SPI aktiviert
NAT aktiviert (Port Forwarding von Port 1194 an 10.168.1.1 (OpenVPN Router)).
2. WRT54G (mit dd-wrt v24)
Verbunden per LAN-Kabel mit der Easybox (Punkt 1). Das LAN-Kabel steckt im WAN-Eingang des Routers
WLAN mit WPA2 aktiviert
WAN: statische IP: 10.168.1.3
SUBNetz: 255.255.255.0
Gateway: 10.168.1.2 (Easybox)
Lokal DNS: 10.168.1.2 (Easybox)
LAN-IP des Routers: 10.168.1.1
Subnetz: 255.255.255.0
Gateway: 10.168.1.2
Lokal DNS: 10.168.1.2
Firewall+SPI deaktiviert
DHCP aktiviert
Auf diesem Router läuft OpenVPN und ist exakt wie hier im Forum beschrieben eingerichtet.
Ergänzend auch natürlich mit LAN-Kabel im LAN-Port und WAN ausgeschaltet ausprobiert - geht auch nicht.
Warum in dieser Konfiguration ? Laut eines Berichts auf Heise.de (http://www.heise.de/netze/artikel/DMZ-selbst-gebaut-221656.html) wollte ich so etwas mer Sicherheit erreichen. Falls dies Überflüssig ist oder sogar kontraproduktiv freue ich mich gerne auf Feedback (an der EasyBox hängen keine weiteren Server/Geräte).
Weiter gehts:
3. WRT54G (ebenfalls mit dd-wrt v24, steht im Wohnzimmer) ist per WLAN mit WRT54G (Punkt2) verbunden
LAN-IP: 10.168.1.10
Subnetz: 255.255.255.0
Gateway 10.168.1.1 (Router Punkt 2)
Lokaler DNS: 10.168.1.1
An diesem Router 3 hängen folgende Geräte über einen Switch:
4. Dreambox mit statischer IP (10.168.1.102, Subnetz 255.255.255.0, Gateway 10.168.1.1, DNS 10.168.1.1)
5. HDX1000 Media Player mit automatischer IP-Vergabe per DHCP
6. QNAP 219 NAS mit statischer IP ( (10.168.1.30, Subnetz 255.255.255.0, Gateway 10.168.1.1, DNS 10.168.1.1))
7. Desktop PC mit statischer IP (10.168.1.100, Subnetz 255.255.255.0, Gateway 10.168.1.1, DNS 10.168.1.1)
Darüber hinaus verbinden meine Frau + ich uns teilweise direkt mit unseren Notebooks per WLAN mit dem Router (Punkt 2).
Sobald ich mich nun mit einem dieser Notebooks einwähle (z.B. per UMTS-Verbindung), connected sich der OpenVPN-Client und vergibt die IP 172.16.2.x am Client (Notebook). Wenn ich im Browser 172.16.2.1 eingebe, komme ich auf das Konfigurationsinterface des Routers (Punkt 2). Ich schaffe es aber partout nicht, die anderen Geräte zu erreichen - beim Router ist schluss.
Was mache ich falsch ? Ist mein Netzwerk zu chaotisch oder komplett dilettantisch eingerichtet ? Ich bin gerne für Verbesserungsvorschläge offen. Muss ich noch etwas in der OPENVPN Konfiguration ändern (abweichend zu diesem Thread: OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router) ?
Ich bin sehr gespannt auf Eure Antworten.
Viele Grüße,
Thomas
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 147110
Url: https://administrator.de/contentid/147110
Printed on: April 25, 2024 at 01:04 o'clock
9 Comments
Latest comment
Guten Morgähn! =)
So, wie du deine weitere Konfiguration beschreibst (NAT, Port Forwarding, ...) ist das Gerät als *Router*, nicht als Modem eingerichtet.
Firewall [wirklich] deaktiviert? --> Das gilt es auch für die Clients im Netzwerk zu beachten, es könnte durchaus sein, dass die ansonsten Pakete aus anderen IP-Bereichen verwerfen.
So, wie du deine weitere Konfiguration beschreibst (NAT, Port Forwarding, ...) ist das Gerät als *Router*, nicht als Modem eingerichtet.
2. WRT54G (mit dd-wrt v24)
WAN: statische IP: 10.168.1.3
LAN-IP des Routers: 10.168.1.1
Auf WAN- und LAN-Seite eines *Routers* der gleiche IP-Adressbereich? Hört sich (für mich) nicht grad gesund an.WAN: statische IP: 10.168.1.3
LAN-IP des Routers: 10.168.1.1
Wenn ich im Browser 172.16.2.1 eingebe, komme ich auf das Konfigurationsinterface
des Routers (Punkt 2). Ich schaffe es aber partout nicht, die anderen Geräte zu erreichen - beim Router ist schluss.
IP-Forwarding aktiviert?des Routers (Punkt 2). Ich schaffe es aber partout nicht, die anderen Geräte zu erreichen - beim Router ist schluss.
Firewall [wirklich] deaktiviert? --> Das gilt es auch für die Clients im Netzwerk zu beachten, es könnte durchaus sein, dass die ansonsten Pakete aus anderen IP-Bereichen verwerfen.
Hallo,
vielen Dank für die schnelle Antwort. Die Herausforderung besteht glaube ich darin, dass die Easybox nur mittels eines Modeminstallationscodes von Vodafone automatisch im WAN-Interface eingerichtet wird und man hier keine Eingriffsmöglichkeiten hat. Dort ist auch bereits WAN 188.x.x.x und LAN 10.168.1.2 und Gateway 10.168.1.2 fest eingetragen.
Ich glaube das Problem ist einfach, dass die Geräte am WRT54G als Gateway angeschlossen sind, die Easybox aber auch als Gateway fungiert und das Routing scheinbar immer über die Easybox läuft. Kann ich das irgendwo ändern ?
vielen Dank für die schnelle Antwort. Die Herausforderung besteht glaube ich darin, dass die Easybox nur mittels eines Modeminstallationscodes von Vodafone automatisch im WAN-Interface eingerichtet wird und man hier keine Eingriffsmöglichkeiten hat. Dort ist auch bereits WAN 188.x.x.x und LAN 10.168.1.2 und Gateway 10.168.1.2 fest eingetragen.
Ich glaube das Problem ist einfach, dass die Geräte am WRT54G als Gateway angeschlossen sind, die Easybox aber auch als Gateway fungiert und das Routing scheinbar immer über die Easybox läuft. Kann ich das irgendwo ändern ?
Mit der EasyBox kenne ich mich überhaupt nicht aus.
Wenn der erste WRT als Router eingerichtet ist, dann wäre es IMHO sinnvoll, die LAN-Seite auf einen anderen IP-Adressbereich zu legen, z.B. auf 192.168.10.x
Das zieht natürlich Änderungen an allen statisch eingerichteten Clients nach sich.
Anschließend sollte es, wenn korrekt eingerichtet, auch mit dem VPN(-Routing) klappen.
Wenn der erste WRT als Router eingerichtet ist, dann wäre es IMHO sinnvoll, die LAN-Seite auf einen anderen IP-Adressbereich zu legen, z.B. auf 192.168.10.x
Das zieht natürlich Änderungen an allen statisch eingerichteten Clients nach sich.
Anschließend sollte es, wenn korrekt eingerichtet, auch mit dem VPN(-Routing) klappen.
Mal unabhängig von der o.g. Konfiguration muss ich es doch nur schaffen, dass ich vom OPENVPN-Server aus (WRT54G) die dahinterliegenden Geräte im lokalen LAN erreichen kann. Dies klappt aber irgendwie nicht. Was mache ich falsch oder muss ich noch irgendwelche Routings auf dem WRT54G einstellen ? Wenn ja, wie mache ich das ?
Ja, das klappt problemlos mit dem push Kommando in der hier im Turorial beschrieben server.conf Datei auf dem WRT.
Bedenke aber das du einen schweren Kardinalsfehler begangen hast im IP Design auf dem WRT oben !!
Der WRT 54 ist ein Router !!! Ein Router hat IMMER unterschiedliche IP netze auf seinen Interfaces. Logisch !, denn sonst wäre es ja eine Bridge oder ein Switch und kein Router !
Du hast ihm aber auf dem WAN und auf dem LAN ins gleiche IP Netz konfiguriert !! 10.168.1.0 /24
Das ist natürlich vollkommener Unsinn und damit kann der Router nicht mehr routen !
Wie auch wenn beide Interfaces im gleichen IP Netz sind ?? (Er ist ja dann ne Bridge, kann aber nicht bridgen).
Stelle also den WRT54 am LAN auf
LAN-IP des Routers: 10.168.10.1 (Dieses Netz darf niemals gleich dem WAN IP Netz sein !)
Subnetz: 255.255.255.0
Firewall+SPI deaktiviert
DHCP aktiviert
ein, dann wird es auch auf Anhieb klappen ! Steht ja auch so im Tutorial !
Deine server.conf sähe dann so aus:
port 1194
proto udp
dev tun0
ca /tmp/openvpn/ca.crt
cert /tmp/openvpn/cert.pem
key /tmp/openvpn/key.pem
dh /tmp/openvpn/dh.pem
server 172.16.2.0 255.255.255.0
push "route 10.168.10.0 255.255.255.0"
keepalive 10 120
comp-lzo
persist-key
persist-tun
verb 3
Dann wird das auch einwandfrei funkltionieren wenn du einen OpenVPN Client in das Verbindungsnetz 10.168.1.0 /24 plazierst und den DD-WRT mit der 10.168.1.3 connectest !
Das ist immer der finale Test ob der server rennt.
Ein problem wirst du haben. Du musst zwingend auf der EasyBox ein Port Forwarding vom UDP Port 1194 auf die lokale IP Adresse 10.168.1.3 einstellen, denn sonst kommen die OpenVPN Pakete aus dem Internet nicht am DD-WRT an weil sie die NAT Firewall der EasyBox nicht überwinden können. Siehe hier am Beispiel von PPTP:
VPNs einrichten mit PPTP
Ferner macht es noch Sinn einen DynDNS Account auf die EasyBox zu konfigurieren damit du den OpenVPN Server auch trotz wechselnder IP Adresse immer erreichen kannst !
Ggf. ist es einfacher die EasyBox durch ein simples preiswertes DSL Modem wie z.B. dieses hier zu ersetzen:
http://www.pollin.de/shop/dt/NTM4ODgyOTk-/Computer_und_Zubehoer/Netzwer ...
und den WRT direkt anzuschliessen. Damit ersparst du dir diese gesamte Frickelei mit der EasyBox.
Bedenke aber das du einen schweren Kardinalsfehler begangen hast im IP Design auf dem WRT oben !!
Der WRT 54 ist ein Router !!! Ein Router hat IMMER unterschiedliche IP netze auf seinen Interfaces. Logisch !, denn sonst wäre es ja eine Bridge oder ein Switch und kein Router !
Du hast ihm aber auf dem WAN und auf dem LAN ins gleiche IP Netz konfiguriert !! 10.168.1.0 /24
Das ist natürlich vollkommener Unsinn und damit kann der Router nicht mehr routen !
Wie auch wenn beide Interfaces im gleichen IP Netz sind ?? (Er ist ja dann ne Bridge, kann aber nicht bridgen).
Stelle also den WRT54 am LAN auf
LAN-IP des Routers: 10.168.10.1 (Dieses Netz darf niemals gleich dem WAN IP Netz sein !)
Subnetz: 255.255.255.0
Firewall+SPI deaktiviert
DHCP aktiviert
ein, dann wird es auch auf Anhieb klappen ! Steht ja auch so im Tutorial !
Deine server.conf sähe dann so aus:
port 1194
proto udp
dev tun0
ca /tmp/openvpn/ca.crt
cert /tmp/openvpn/cert.pem
key /tmp/openvpn/key.pem
dh /tmp/openvpn/dh.pem
server 172.16.2.0 255.255.255.0
push "route 10.168.10.0 255.255.255.0"
keepalive 10 120
comp-lzo
persist-key
persist-tun
verb 3
Dann wird das auch einwandfrei funkltionieren wenn du einen OpenVPN Client in das Verbindungsnetz 10.168.1.0 /24 plazierst und den DD-WRT mit der 10.168.1.3 connectest !
Das ist immer der finale Test ob der server rennt.
Ein problem wirst du haben. Du musst zwingend auf der EasyBox ein Port Forwarding vom UDP Port 1194 auf die lokale IP Adresse 10.168.1.3 einstellen, denn sonst kommen die OpenVPN Pakete aus dem Internet nicht am DD-WRT an weil sie die NAT Firewall der EasyBox nicht überwinden können. Siehe hier am Beispiel von PPTP:
VPNs einrichten mit PPTP
Ferner macht es noch Sinn einen DynDNS Account auf die EasyBox zu konfigurieren damit du den OpenVPN Server auch trotz wechselnder IP Adresse immer erreichen kannst !
Ggf. ist es einfacher die EasyBox durch ein simples preiswertes DSL Modem wie z.B. dieses hier zu ersetzen:
http://www.pollin.de/shop/dt/NTM4ODgyOTk-/Computer_und_Zubehoer/Netzwer ...
und den WRT direkt anzuschliessen. Damit ersparst du dir diese gesamte Frickelei mit der EasyBox.
Zitat von @aqui:
Ggf. ist es einfacher die EasyBox durch ein simples preiswertes DSL Modem wie z.B. dieses hier zu ersetzen:
AFAIK wird die Telefonie über die EasyBox realisiert - also keine gute Idee.Ggf. ist es einfacher die EasyBox durch ein simples preiswertes DSL Modem wie z.B. dieses hier zu ersetzen:
Wenn dem so ist, ist das zweifelsohne richtig ! Ist aber auch egal, auch mit der EasyBox dazwischen funktioniert es fehlerfrei erzwingt dann aber ein Port Forwarding von UDP 1194 auf die 10.168.1.3 !
Sowas banales wie Port Forwarding sollte die EasyBox ja wohl auch supporten.
Sowas banales wie Port Forwarding sollte die EasyBox ja wohl auch supporten.
Tut sie auch, und das fehlerfrei.
No, ok dann sollte ja nolimits2k keine Probleme haben das problemlos zum fliegen zu bringen.
Vermutlich hat er aber schon das Interesse verloren was man am fehlenden Feedback hier ja leider sehen kann
Hoffentlich vergisst er dann wenigstens nicht
How can I mark a post as solved?
um den Thread hier abzuschliessen !!
Vermutlich hat er aber schon das Interesse verloren was man am fehlenden Feedback hier ja leider sehen kann
Hoffentlich vergisst er dann wenigstens nicht
How can I mark a post as solved?
um den Thread hier abzuschliessen !!
