11
Zwei LAN mittels VPN verbinden (Carrier Grade NAT!)
Hallo Zusammen,
ich bin auf der Suche nach dem richtigen "Schubser", d.h. in welcher Richtung ich bezüglich meines Problems weitersuchen soll.
Ich habe als Privatmann zwei LAN-Netzwerke an unterschiedlichen Standorten. LAN1 besitzt einen Open-VPN Server, welcher mittels Port Forwarding von "aussen" erreichbar ist. LAN2 befindet sich zwangsweise hinter einem Carrier Grade NAT (Ausland, leider keine Wahlmöglichkeit) - port forwarding geht somit nicht.
Ich möchte aus beiden LAN's heraus die Resourcen des jeweiligen anderen LAN nutzen. Eine öffentliche Erreichbarkeit ist nicht erwünscht.
Das Ganze soll transparent sein, z.B. 192.168.1.1/26 für LAN1 und 192.168.1.64/26 für LAN2, d.h alle Resourcen (LAN1 o. LAN2) sollten sich im gleichen Subnetz, d.h. gleiche Subnetz-Maske 255.255.255.0, befinden.
Im LAN2 läuft ein Raspberry, welcher autom. einen VPN-Verbindung zu LAN1 aufbauen könnte.
IPv6 mit exposed hosts würde ich gerne vermeiden wollen, zumal ich nicht genau weiss, ob der ISP für LAN2 IPv6 vollumfänglich unterstützt.
Nach welchen "Keywords" müsste ich google um mich in die richtige Richtung einzuarbeiten?
Viele Grüße aus Rosenheim
Uwe
ich bin auf der Suche nach dem richtigen "Schubser", d.h. in welcher Richtung ich bezüglich meines Problems weitersuchen soll.
Ich habe als Privatmann zwei LAN-Netzwerke an unterschiedlichen Standorten. LAN1 besitzt einen Open-VPN Server, welcher mittels Port Forwarding von "aussen" erreichbar ist. LAN2 befindet sich zwangsweise hinter einem Carrier Grade NAT (Ausland, leider keine Wahlmöglichkeit) - port forwarding geht somit nicht.
Ich möchte aus beiden LAN's heraus die Resourcen des jeweiligen anderen LAN nutzen. Eine öffentliche Erreichbarkeit ist nicht erwünscht.
Das Ganze soll transparent sein, z.B. 192.168.1.1/26 für LAN1 und 192.168.1.64/26 für LAN2, d.h alle Resourcen (LAN1 o. LAN2) sollten sich im gleichen Subnetz, d.h. gleiche Subnetz-Maske 255.255.255.0, befinden.
Im LAN2 läuft ein Raspberry, welcher autom. einen VPN-Verbindung zu LAN1 aufbauen könnte.
IPv6 mit exposed hosts würde ich gerne vermeiden wollen, zumal ich nicht genau weiss, ob der ISP für LAN2 IPv6 vollumfänglich unterstützt.
Nach welchen "Keywords" müsste ich google um mich in die richtige Richtung einzuarbeiten?
Viele Grüße aus Rosenheim
Uwe
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 631610
Url: https://administrator.de/contentid/631610
Printed on: April 27, 2024 at 16:04 o'clock
11 Comments
Latest comment
Hallo,
Carrier Grade NAT
Gruß,
Peter
Carrier Grade NAT
Nach welchen "Keywords" müsste ich google um mich in die richtige Richtung einzuarbeiten?
Site-to-Site VPN (Standort-zu-Standort). Wobei nur dein VPN won LAN 2/Standort die Einwahl vornehmen kann (oder du verpasst diesem eine Öffentliche zugreifbare IP). Natürlich muss auch IPv4 oder IPv6 passen damit die Verbindung zustande kommt. Auch sollten deine LANs getrennt sein damit ein Routing überhaupt funktionieren kann. In dein fall gibt es jede IP Doppelt und wenn ein Postbote Briefe an 2mal Rathaus, München liefern soll, diese aber in verschiedene Länder existieren, ists halt Blöd.Gruß,
Peter
Hi
da du deine Netze ja schon in 2 /26er aufgeteilt hast ist das eigentlich ein leichtes. Grundlagen vom Subnetting scheinst du ja zu kennen.
Also brauchst du nur noch eine VPN Verbindung zwischen den 2 Netzen die du von Netz2 aus über ipv4 aufbauen musst.
Wo genau ist jetzt also dein Problem? Du weisst was IPv4\6, subnetting CGNAT und VPN ist. Du hast sogar die Hardware dazu.
da du deine Netze ja schon in 2 /26er aufgeteilt hast ist das eigentlich ein leichtes. Grundlagen vom Subnetting scheinst du ja zu kennen.
Also brauchst du nur noch eine VPN Verbindung zwischen den 2 Netzen die du von Netz2 aus über ipv4 aufbauen musst.
Wo genau ist jetzt also dein Problem? Du weisst was IPv4\6, subnetting CGNAT und VPN ist. Du hast sogar die Hardware dazu.
Guten Abend Peter,
vielen Dank für den "Schubser" - ich habe diesbezüglich einen interessanten Artikel bezüglich site-to-site mit OpenVPN gefunden.
Das mit den getrennten IP-Adressbereichen leuchtet mir ein.
Bezüglich des Routings muss ich mich erst einlesen, da mir noch nicht klar ist, wie weitere Clients im LAN2 auf die Resourcen im LAN1 zugreifen können, wenn der VPN-Tunnel von einem Client im LAN2 aufgebaut wird - sowie in die andere Richtung, d.h. Clients im LAN1 über den VPN-Server auf Resourcen im LAN2 zugreifen können.
Viele Grüße aus Rosenheim
Uwe
vielen Dank für den "Schubser" - ich habe diesbezüglich einen interessanten Artikel bezüglich site-to-site mit OpenVPN gefunden.
Das mit den getrennten IP-Adressbereichen leuchtet mir ein.
Bezüglich des Routings muss ich mich erst einlesen, da mir noch nicht klar ist, wie weitere Clients im LAN2 auf die Resourcen im LAN1 zugreifen können, wenn der VPN-Tunnel von einem Client im LAN2 aufgebaut wird - sowie in die andere Richtung, d.h. Clients im LAN1 über den VPN-Server auf Resourcen im LAN2 zugreifen können.
Viele Grüße aus Rosenheim
Uwe
Guten Abend 'SeaStorm',
mein Problem ist das fehlende Wissen hinsichtlich des Routings. Auch ist mir noch nicht klar, was ich auf meinem Rapberry Open-VPN Server an Einstellungen ändern muss, dass ich sowohl die site-to-site Verbindung hinbekomme aber zugleich auch die bereits funktionierende herkömmliche client-to-server VPN-Verbindung beibehalten kann.
Da ich diesbezüglich keine Eile habe, werde ich mich über die Tage einlesen und mich ggf. nochmals mit weiteren komischen Fragen melden.
Viele Grüße aus Rosenheim
Uwe
mein Problem ist das fehlende Wissen hinsichtlich des Routings. Auch ist mir noch nicht klar, was ich auf meinem Rapberry Open-VPN Server an Einstellungen ändern muss, dass ich sowohl die site-to-site Verbindung hinbekomme aber zugleich auch die bereits funktionierende herkömmliche client-to-server VPN-Verbindung beibehalten kann.
Da ich diesbezüglich keine Eile habe, werde ich mich über die Tage einlesen und mich ggf. nochmals mit weiteren komischen Fragen melden.
Viele Grüße aus Rosenheim
Uwe
Bezüglich des Routings muss ich mich erst einlesen, da mir noch nicht klar ist, wie weitere Clients im LAN2 auf die Resourcen im LAN1 zugreifen können, wenn der VPN-Tunnel von einem Client im LAN2 aufgebaut wird - sowie in die andere Richtung, d.h. Clients im LAN1 über den VPN-Server auf Resourcen im LAN2 zugreifen können.
Wenn es vom Client aufgebaut wird dann nicht. Aber du kannst entweder deine Router dafür nehmen ein Verbindung untereinander aufzubauen, wenn diese das können, oder du baust mit dem Raspi eine Verbindung zum OpenVPN-Server im LAN1 auf.Dann musst du entweder
deinem Router sagen das er den Traffic für das jeweilig andere /26er an den Raspi bzw den OpenVPN-Server schicken soll, der das dann wiederum in den Tunnel gibt, oder
jedem Client eine Statische Route für das andere /26er verpassen so das diese den Traffic dafür entsprechend an den Raspi\oVPN-Server geben.
Zu favorisieren ist natürlich die Variante über den Router\Default-Gateway
Viele Grüße aus Rosenheim
Uwe
mein Problem ist das fehlende Wissen hinsichtlich des Routings
OK dann erzähl mal welche Router du jeweils einsetzt. Vielleicht können die das ja schon von sich aus.
Ansonsten ist ja der übliche Aufbau das du deinen Clients den Router als default Gateway mitgibst. Die schicken also all ihren Traffic an den Router, der dann wiederum einen Routingeintrag richtung Internet hat.
Wenn du eine Verbindung zwischen den 2 Routern hast, dann sollten die das Routing von sich aus korrekt erledigen.
Wenn du die Verbindung über den RasPi und deinem OpenVPNServer machst, dann musst du am lokalen router eine statische route für das Remote-Netz auf den Lokalen Raspi bzw lokalen OpenVPN-Server eintragen mit der Netzmaske des Remotenetzes.
Damit schickt der router dann den Traffic zu dem Gerät mit dem VPN Tunnel und das Gerät schmeisst die Daten einfach in den Tunnel, wo sie hinten wieder rausfallen und dem Ziel zugestellt werden.
Das ist dann eine Site-To-Site VPN. Eine Clientseitige VPN brauchst du dann nicht mehr.
Das grösste Problem dabei ist eigentlich erst mal das du eine S2S-VPN aufbauen musst. Das Routing sollte kein Thema sein.
Hier steht alles was du zu dem Thema wissen musst:
Merkzettel: VPN Installation mit OpenVPN
Auf der LAN-2 Seite reicht ein simpler 35 Euro Raspberry Pi 4 im Netz mit dem eine einfache LAN zu LAN Kopplung mit dem Server im LAN-1 gemacht wird:
OpenVPN - Erreiche Netzwerk hinter Client nicht
Einfacher gehts nicht, denn 60% dieses einfachen Setups hast du ja schon im Betrieb !
Merkzettel: VPN Installation mit OpenVPN
Auf der LAN-2 Seite reicht ein simpler 35 Euro Raspberry Pi 4 im Netz mit dem eine einfache LAN zu LAN Kopplung mit dem Server im LAN-1 gemacht wird:
OpenVPN - Erreiche Netzwerk hinter Client nicht
Einfacher gehts nicht, denn 60% dieses einfachen Setups hast du ja schon im Betrieb !
Hallo Zusammen,
ein kleines Update hierzu:
Auf dem Router hinter dem CGNAT kann kein static routing eingestellt werden. Dieser vom ISP bereitgestellter Minimal-Router (ZTE MF283U) ist leider nicht ohne weiteres austauschbar.
Aus diesem Grunde habe ich mir einen L3-Switch besorgt (HPE 1920-16G).
Werde wieder berichten.
Gruß
Uwe
ein kleines Update hierzu:
Auf dem Router hinter dem CGNAT kann kein static routing eingestellt werden. Dieser vom ISP bereitgestellter Minimal-Router (ZTE MF283U) ist leider nicht ohne weiteres austauschbar.
Aus diesem Grunde habe ich mir einen L3-Switch besorgt (HPE 1920-16G).
Werde wieder berichten.
Gruß
Uwe
ist leider nicht ohne weiteres austauschbar.
Wieso ? In der EU besteht eine gesetzlich verbriefte freie Routerwahl !!
Serbien <> EU
OK, dann hast du keine Chance und musst mit einer Router Kaskade arbeiten. Geht ja aber auch !
Das Prinzip ist ja hier hinreichend erklärt:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Das Prinzip ist ja hier hinreichend erklärt:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten