Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Homeoffice via VPN anbinden

Frage Netzwerke Router & Routing

Mitglied: Androxin

Androxin (Level 1) - Jetzt verbinden

07.09.2014, aktualisiert 24.03.2015, 4153 Aufrufe, 45 Kommentare

Guten Tag,

ich möchte zwei Netze via VPN miteinander verbinden. Grundsätzlich stellt das kein Problem dar, ich bin mir nur noch nicht über die richtige Architektur im klaren.

Es soll ein noch nicht bestehendes Homeoffice (PC, VoIP Telefon, Drucker, Fax (ggf. über Software?)) an ein kleines Firmennetzwerk angekoppelt werden.

Auf der Homeoffice-Seite würde ich gerne einen Router mit direkt hinterlegten VPN Daten verwenden, damit PC, Telefon und Drucker durchgehend verbunden sind, eine DHCP IP aus dem Firmen-Netz erhalten können und nichts mit dem Heimnetzwerk (über welches das Internet zur Verfügung gestellt wird) zutun haben.
Was für ein VPN fähiger Router würde sich an dieser Stelle anbieten?



Im Firmennetz habe ich aktuell zwei potentiell mögliche VPN Gegenstellen: Entweder ein über Windows Server bereitgestelltes PPTP VPN (-> PPTP Passthrough) oder direkt den CISCO RV042 Router welcher das Internet bereitstellt (wird zur Zeit nicht für VPN verwendet).

Liege ich richtig, dass es an dieser Stelle am besten wäre eine "Gateway To Gateway" Verbindung zwischen den beiden Routern einzurichten?
Kann man diese Methode trotzdem noch nutzen, wenn einige Mitarbeiter im Firmennetz VPN Verbindungen über diverse Protokolle zu anderen Kunden aufbauen wollen? (Stichwort: Passthrough)


Sollte der Telekom Router im Heimnetzwerk kein VPN Passthrough unterstützen, wäre so ein Konstrukt dann trotzdem möglich?

Fragen über Fragen.

Kann mir jemand weiterhelfen?

Beste Grüße
45 Antworten
Mitglied: BirdyB
LÖSUNG 07.09.2014, aktualisiert 12.09.2014
Hallo,

grundsätzlich kannst du deine Erfordernisse gut mit den kleinen Mikrotiks aus der 700er bzw. 900er Serie umsetzen. Diese sind auch recht kostengünstig.
Bei den VoIP-Telefonen solltest du aber bedenken, dass du mit dem VPN ja erstmal nur in ein VLAN kommst und die VoIP-Telefone ja meistens in einem eigenen VLAN werkeln
Ggf. würde sich hier auch EoIP zur Vernetzung anbieten(wird auch von Mikrotik unterstützt), dann hättest du das VLAN-Problem umgangen.

Beste Grüße!

Berthold
Bitte warten ..
Mitglied: Androxin
07.09.2014 um 15:53 Uhr
Den Mikrotik nur auf der Homeoffice-Seite oder als Gegenpart noch einen zweiten im Firmen-LAN?

Grundsätzlich würde ich das Homeoffice eher ungern an den Windows PPTP Server anschließen. Ich bin mir aber nicht sicher, ob das mit dem CISCO Router und einer "Gateway To Gateway" so funktioniert, da der Router momentan alles VPN-Mäßige einfach durchschleift.

Mein Vorgänger kannte VLANs nicht. Ich gehe deswegen davon aus, dass die Telefonie durch den VPN Tunnel hindurch funktionieren wird.
Aber danke für den Hinweis.
Bitte warten ..
Mitglied: BirdyB
LÖSUNG 07.09.2014, aktualisiert 24.03.2015
Hallo Androxin,

PPTP ist mittlerweile gehackt worden und gilt nicht mehr als sicher. Daher solltest du PPTP besser nicht mehr für ein VPN einsetzen. Besser OpenVPN oder IPSec...
Wenn du die Verbindung direkt zu deinem Cisco-Router aufbauen willst (und nur eine IP hast), kannst du logischerweise das VPN nicht mehr an den Windows-Server durchschleifen (Ausser bei OpenVPN, wo du den Port einfach wechseln kannst). Du kannst natürlich auch einen (Open-)VPN-Server in deinem Netz einrichten. Möglichkeiten gibt es viele...

Beste Grüße


Berthold
Bitte warten ..
Mitglied: Androxin
07.09.2014 um 17:43 Uhr
Hey,

das mit PPTP sehen ich genau so, nur ist es momentan nicht vorgesehen die bestehende VPN Struktur derart umzustellen.

Der Cisco Router wird doch wahrscheinlich (hoffentlich) auf IPSec setzen. Ein paralleler Betrieb von PPTP und IPSec über eine IP müsste doch möglich sein, oder?
Bitte warten ..
Mitglied: BirdyB
07.09.2014 um 17:46 Uhr
Das dürfte kein Problem sein...
Bitte warten ..
Mitglied: Dobby
LÖSUNG 07.09.2014, aktualisiert 12.09.2014
Hallo,

ich möchte zwei Netze via VPN miteinander verbinden. Grundsätzlich stellt das kein Problem
dar, ich bin mir nur noch nicht über die richtige Architektur im klaren.
Architektur ist das Eine und die richtige Hardware dazu ist das andere!

Es soll ein noch nicht bestehendes Homeoffice (PC, VoIP Telefon, Drucker, Fax
(ggf. über Software?)) an ein kleines Firmennetzwerk angekoppelt werden.
Es gibt hier zwei Möglichkeiten:
- VPN via VPN Software auf dem PC
Wenn man unterwegs ist das Wahl der Mittel
- VPN von einem Router zum anderen Router
Wenn man von zu Hause aus arbeitet eher die Wahl der Mittel

Auf der Homeoffice-Seite würde ich gerne einen Router mit direkt hinterlegten VPN Daten
verwenden, damit PC, Telefon und Drucker durchgehend verbunden sind, eine DHCP IP
aus dem Firmen-Netz erhalten können und nichts mit dem Heimnetzwerk (über welches
das Internet zur Verfügung gestellt wird) zutun haben.

Was für ein VPN fähiger Router würde sich an dieser Stelle anbieten?
Das kommt ganz drauf an was Dir der Betrieb als VPN Methode anbietet!
- IPSec, L2TP, L2TP/IPSec, PPTP oder OpenVPN
Und dann erst würde ich entscheiden einen Router zu kaufen! Und nicht vorher.
Das kann Dir der Admin aber auch schnell mitteilen was er bzw. die Firma akzeptiert
sollte das nur eine VPN Software sein und dann auch noch eine ganz gewisser Klient
weil die Firma einen VPN Server betreibt ist das sicherlich schon gut so etwas vorher
in Erfahrung zu bringen!

Im Firmennetz habe ich aktuell zwei potentiell mögliche VPN Gegenstellen:
Entweder ein über Windows Server bereitgestelltes PPTP VPN (-> PPTP Passthrough)
oder direkt den CISCO RV042 Router welcher das Internet bereitstellt
(wird zur Zeit nicht für VPN verwendet).
Na dann würde ich aber lieber den RV nehmen wollen und das mit dem PPTP
Verfahren sollte man gar nicht mehr nutzen sondern nur noch das IPSec oder L2TP/IPSec.

Liege ich richtig, dass es an dieser Stelle am besten wäre eine "Gateway To Gateway"
Verbindung zwischen den beiden Routern einzurichten?
Ja das ist zumindest meine Meinung und zwar mittels IPSec, das kann dann
auch eine Fritz!Box sein.

Kann man diese Methode trotzdem noch nutzen, wenn einige Mitarbeiter im Firmennetz
VPN Verbindungen über diverse Protokolle zu anderen Kunden aufbauen wollen?
(Stichwort: Passthrough)
Das sollte Dir der Admin der Firma sagen können und nicht wir.

Sollte der Telekom Router im Heimnetzwerk kein VPN Passthrough unterstützen,
wäre so ein Konstrukt dann trotzdem möglich?
Also der Telekom Router im allgemeinen eine Variante des Speedports
würde ich in gar keinem Fall nehmen wollen, denn das ist etwas für die
Großeltern ohne Ansprüche einfach nur telefonieren und surfen.

Kann mir jemand weiterhelfen?
Bring doch erst mal die paar Punkte in Erfahrung und dann sollte man
darüber reden.

Gruß
Dobby
Bitte warten ..
Mitglied: aqui
LÖSUNG 08.09.2014, aktualisiert 12.09.2014
Mit deinem Vorhaben bist du technisch auf dem richtigen Weg das immer über einen Router oder eine Firewall zu realisieren und nicht auf einem Server ! Du solltest also den Cisco RV Router verwenden.
Wie eine problemlose LAN zu LAN Kopplung zu realisieren ist beschreiben dir zahllose Tutorials hier im Forum:
http://www.administrator.de/wissen/openvpn-server-installieren-auf-dd-w ...
und
http://www.administrator.de/wissen/ipsec-vpn-mit-cisco-mikrotik-pfsense ...
und auch
http://www.administrator.de/wissen/vpns-mit-dd-wrt-m0n0wall-oder-pfsens ...
Bei PPTP solltest du aber besser immer auch das lesen:
http://www.heise.de/security/artikel/Der-Todesstoss-fuer-PPTP-1701365.h ...
Sollte der Telekom Router im Heimnetzwerk kein VPN Passthrough unterstützen, wäre so ein Konstrukt dann trotzdem möglich?
Nein, dann ist das nicht zu machen. Man kann dich aber in der Beziehung beruhigen, denn so gut wie alle Router supporten sowas mittlerweile...auch der 20 Euro Baumarkt Router. Im Zweifel tauschst du ganz einfach den Telekom Router gegen was Richtiges aus ! Fritzbox z.B. die hat IPsec VPN schon intus.
Unter deinen technischen Voraussetzungen die du hast ist das ein Kinderspiel das einzurichten !
Bitte warten ..
Mitglied: Dobby
LÖSUNG 08.09.2014, aktualisiert 24.03.2015
Und wenn alle Stricke reißen sollten, kann man sicherlich auch versuchen die ganze Sache
mittels des MikroTik Routers abzuhandeln, so wie @BirdyB es bereits vorgeschlagen hat,
dann wird der ominöse und uns immer noch unbekannte Telekomrouter eben ein Modem
im so genannten "Bridge Mode".

grundsätzlich kannst du deine Erfordernisse gut mit den kleinen Mikrotiks aus der
700er bzw. 900er Serie umsetzen. Diese sind auch recht kostengünstig.

Gruß
Dobby
Bitte warten ..
Mitglied: Androxin
12.09.2014 um 16:10 Uhr
Der ominöse Telekomrouter bekommt jetzt ein Gesicht:

Speedport W 921V
Bitte warten ..
Mitglied: aqui
12.09.2014 um 17:45 Uhr
Guckst du hier:
http://bit.ly/1pX5BAj
Bitte warten ..
Mitglied: Androxin
12.09.2014 um 18:14 Uhr
Zitat von aqui:

Guckst du hier:
http://bit.ly/1pX5BAj

Vielen Dank für den Hinweis.
Aber PPPoE Passtrough möchte ich eigentlich nicht.
Eigentlich möchte ich überhaupt nichts an deren Privat-Installation verändern außer vielleicht einem IPSec Passtrough. Darum ja auch die Frage nach einem extra VPN-Router.
Bitte warten ..
Mitglied: aqui
LÖSUNG 12.09.2014, aktualisiert um 21:54 Uhr
OK, dann ist aber klar das du die Speedport Gurke nicht weiter verwenden kannst, denn die kann ja bekanntermaßen KEIN VPN !
Du musst diese dann gegen einen Fritzbox, Lancom, oder Cisco 886 usw. tauschen ! Router also die VPN supporten.
Oder als Notnagel musst du dann eine Router Kaskade mit dem Speedport betreiben ala :
(Internet)===xDSL===(Speedport921)---LAN---(VPN Router)----Lokales LAN---(Endgeräte)
Das ginge auch !
Bitte warten ..
Mitglied: Androxin
12.09.2014 um 19:46 Uhr
Dann wird es wohl auf die Router Kaskade hinauslaufen:
ffe04cb2381b603f82b9783687c761a4 - Klicke auf das Bild, um es zu vergrößern

Mein Problem ist, dass ich das nicht ausprobieren kann. Darum das planlose Gefrage hier um überhaupt erst einmal einen passenden Ansatz zu finden.
Bitte warten ..
Mitglied: aqui
LÖSUNG 12.09.2014, aktualisiert um 21:53 Uhr
So wird es auch problemlos klappen.
Beschaff dir einen 30 Euro Mikrotik 750, der deckt alle relevanten Protokolle wie L2TP, PPTP, OpenVPN und IPsec ab oder auch einen TP_Link 841N mit DD-WRT und Open VPN, dann kannst du alles damit umsetzen. (Mikrotik preferred, da der alle verfügbaren VPN protokolle supportet) VPN Breitband Router gibts aber auch noch von Linksys, Cisco RV Modelle, Edimax, TP-Link usw. Die üblichen Verdächtigen eben...
Die obigen Tutorials erklären dir genau wie man es macht:
http://www.administrator.de/wissen/openvpn-server-installieren-auf-dd-w ...
und
http://www.administrator.de/wissen/ipsec-vpn-mit-cisco-mikrotik-pfsense ...
und auch
http://www.administrator.de/wissen/vpns-mit-dd-wrt-m0n0wall-oder-pfsens ...
Bitte warten ..
Mitglied: Androxin
12.09.2014 um 21:54 Uhr
Jau. Vielen Dank. Die Mikrotik Router kannte ich noch gar nicht. Vielen Dank für die vielen Hinweise.
Ich werde es damit mal ausprobieren.
Bitte warten ..
Mitglied: aqui
13.09.2014 um 10:31 Uhr
Die Mikrotik Router kannte ich noch gar nicht.
Kann passieren wenn man beim begrenzten Speedport und Fritzbox Horizont aufhört über den Tellerrand zu sehen
Bitte warten ..
Mitglied: Androxin
23.10.2014, aktualisiert 24.10.2014
Hallo,

es ist jetzt tatsächlich eine Kombination aus pfSense und Mikrotik geworden.
Der Tunnel wir über openVPN hergestellt und funktioniert wunderbar.

Nun fehlt noch folgendes I-Tüpfelchen:
Ist es möglich die Geräte im Homeoffice aus dem Headoffice direkt über deren IPs anzusprechen, so dass für den Laien nicht feststellbar ist ob der PC im Büro oder Zuhause steht?

Momentan ist es so, dass durch den MikroTik alle Pakete maskiert werden und im Headoffice nur die öffentliche IP des Homeoffices ansprechbar ist.

Außerdem wäre es grandios, wenn die Geräte im Homeoffice auch direkt die IP Adressen vom DHCP aus dem Hauptnetz beziehen könnten etc.


Wäre das mit Bridging (TAP) umsetzbar?
Bitte warten ..
Mitglied: aqui
LÖSUNG 24.10.2014, aktualisiert 24.03.2015
Ist es möglich die Geräte im Homeoffice aus dem Headoffice direkt über deren IPs anzusprechen, so dass für den Laien nicht feststellbar ist ob der PC im Büro oder Zuhause steht?
Ja natürlich ! Wenn der MT auch ein Masquerading im Tunnel macht hast du einen Konfig Fehler dort. Im Tunnel bzw. auf dem Tunnelinterface muss logischerweise ja kein Masquerading stattfinden, denn der arbeitet ja im gleichen IP Netz wie das lokale LAN.
Schlimmer noch, ein Masquerading (PAT) kostet massiv Performance und macht alles noch strunzlangsam. Das solltest du also besser deaktivieren.
Außerdem wäre es grandios, wenn die Geräte im Homeoffice auch direkt die IP Adressen vom DHCP aus dem Hauptnetz beziehen könnten etc.
Das musst du auspobieren. Normalerweise spricht nix dagegen wenn der Tunnel bzw. das Tunnel Interface so konfiguriert ist das es UDP Broadcasts forwardet. Normal ist das nicht der Fall und muss in der Regel customized werden.
Wäre auch kontraproduktiv, denn die Clients würden dann immer nur eine gültige IP bekommen wenn auch der VPN Tunnel aktiv ist. Eigentlich ist so eine Konstellation unsinnig, denn ist der Tunnel nicht da gibts keinen IP und keinerlei Connectivity für die Clients.
Bitte warten ..
Mitglied: Androxin
30.10.2014, aktualisiert um 15:14 Uhr
Bevor ich das mit dem PAT wieder zurückstelle, gibt es leider noch ein Problem an einer anderen Baustelle.

Der Windows PC kann das Benutzerprofil nicht mit dem DC synchronisieren.

Ereignis-ID: 1521
Die Serverkopie des servergespeicherten Profils wurde nicht gefunden. Sie werden mit einem lokalen Benutzerprofil angemeldet. Änderungen an dem Profil werden nach der Abmeldung nicht auf den Server kopiert. Mögliche Fehlerursachen sind Netzwerkprobleme oder nicht ausreichende Sicherheitsrechte.  
 
Details - Der Netzwerkpfad wurde nicht gefunden.
Ereignis-ID: 6005
Der Anmeldebenachrichtigungsabonnent <Profiles> benötigt einige Zeit, um dieses Benachrichtigungsereignis (Logon) zu bearbeiten.
Ereignis-ID: 6006
Der Anmeldebenachrichtigungsabonnent <Profiles> hat 92 Sekunden benötigt, um dieses Benachrichtigungsereignis (Logon) zu bearbeiten.
Leider weiß ich nicht an welcher Stelle ich mit der Suche nach der Ursache anfangen soll.

Ist das Problem in der Netzwerkkonfiguration zu suchen oder könnte es evtl. auch an Einstellungen wie der GPO "...bei der Anmeldung immer auf das Netzwerk warten" liegen?

Wenn man mit einem temporären Profil angemeldet ist, kann man sich ganz normal in der Netz-Landschaft bewegen:
Ping, DNS, Freigaben, RDP, usw. funktionieren wunderbar.
Der OpenVPN Tunnel zwischen MT und PfSense steht stabil, das VoIP Telefon ist korrekt mit der Telefonanlage verbunden. Soweit alles gut.

Aus dem Firmennetz in Richtung Homeoffice ist der Zugriff dank der (noch vorhandenen) NAT-Problematik ein wenig eingeschränkt. Zu dem PC weitergeleitete Protokolle wie z.B. RDP sind aber auch problemlos nutzbar.

An welcher Stelle könnte es mit dem Windows Profil haken?

Müssen da vorerst noch weitere Ports weitergeleitet werden?




Zwischendurch schreibt die GroupPolicy noch Fehler in das Eventlog:

Ereignis-ID: 1055
Fehler bei der Verarbeitung der Gruppenrichtlinie. Der Computername konnte nicht aufgelöst werden. Dies kann mindestens eine der folgenden Ursachen haben:  
a) Fehler bei der Namensauflösung mit dem aktuellen Domänencontroller.  
b) Active Directory-Replikationswartezeit (ein auf einem anderen Domänencontroller erstelltes Konto hat nicht auf dem aktuellen Domänencontroller repliziert).
An einer anderen Stelle wiederum heißt es:
Die Gruppenrichtlinieneinstellungen für den Benutzer wurden erfolgreich verarbeitet. Es wurden neue 7-Gruppenrichtlinienobjekte erkannt und angewendet.
Das widerspricht sich doch?!
Bitte warten ..
Mitglied: aqui
31.10.2014 um 11:33 Uhr
Der Windows PC kann das Benutzerprofil nicht mit dem DC synchronisieren.
Möglich das auf dem Client das DNS nicht sauber funktioniert. Am besten ist du trägst Namen und IP des Servers in die hosts oder lmhosts Datei ein um das zu umgehen:
http://www.administrator.de/index.php?content=104978#396040
Bitte warten ..
Mitglied: Androxin
03.11.2014 um 11:53 Uhr
Moin,

ich habe die Einträge in beiden Dateien gesetzt. Es hat leider nichts gebracht und die Situation ist unverändert.

An welchen Stellen könnte man noch gucken?
Bitte warten ..
Mitglied: aqui
03.11.2014, aktualisiert um 13:47 Uhr
Hast du denn überhaupt einmal geprüft ob das dann auch funktioniert mit der loaklen DNS Auflösung indem du wenigstens mal ping <konfigurierter_name> eingegeben hast und geprüft hast ob die IP zum lokal eingetragenen Namen überhaupt sauber aufgelöst wird ??
Bitte warten ..
Mitglied: Androxin
03.11.2014 um 13:50 Uhr
Hi,

sicher, sicher.

Auch nslookup liefert korrekte Ergebnise auf dem richtigen Weg.
Bitte warten ..
Mitglied: aqui
03.11.2014 um 13:54 Uhr
OK, dann ist es nichts mehr Netzwerk spezifisches mehr sondern ein reines internes Winblows Problem....
Bitte warten ..
Mitglied: Androxin
05.11.2014 um 20:14 Uhr
Das Problem lag tatsächlich an einem komplett anderen Ende:

Alle Meldungen im Ereignislog deuteten auf DNS Probleme hin. Letztenendes war der Pfad zu dem gespeicherten Profil im AD falsch.
Pfad geändert und schon läuft es wieder.
Bitte warten ..
Mitglied: aqui
07.11.2014 um 09:40 Uhr
Bitte dann auch
http://www.administrator.de/faq/32
nicht vergessen !!
Bitte warten ..
Mitglied: Androxin
12.01.2015 um 13:40 Uhr
Moin, moin.

Ich würde das Thema nun gerne einmal abschließend bearbeiten. Dazu habe ich noch zwei offene Punkte:

1. Aktuell kann ich aus dem Office nicht direkt auf die Geräte im Homeoffice zugreifen (NAT). Das würde ich gerne ändern.
2. Die VLAN Struktur aus dem Office soll durch den VPN Tunnel geroutet werden, so dass bspw. Port 1 vom MirkoTik für VLAN X und Port 2 für VLAN Y bereitsteht.

Habt ihr ein paar Hinweise für mich, was ich an der bestehenden Struktur (pfSense <- OpenVPN -> MikroTik) anpassen muss, damit die beiden offenen Punkte auch noch funktionieren?

Aqui, du hast ja schon einmal auf das Thema Masquerading hingewiesen. Leider bin ich mir noch nicht im klaren darüber, an welchen Schrauben ich genau drehen muss.
Bitte warten ..
Mitglied: aqui
LÖSUNG 15.01.2015, aktualisiert 24.03.2015
Ad 1.) Ja das würde natürlich gehen mit simplem Port Forwarding was du dann in deinem Home Router einrichten musst.
Das machen aber eigentlich nur noch Dumme, denn dir ist vermutlich klar das alle daten dann vollkommen ungeschützt über das öffentliche Internet gehen. Das man sowas heute nicht mehr macht muss man eigentlich keinem mehr erklären...
Funktionieren tuts aber natürlich. Also nur zu wenn du das Risiko bewusst in Kauf nimmst !

Ad 2.) Also nun doch VPN oder wie ??
Die VLAN Struktur transparent zu übertragen wir dnicht einfach. Dazu brauchst du Virtualisierungsprotokolle wie MPLS/VPLS oder VxLAN von VmWare. Ein ikrotik kann zwar ersteres aber erfordert das etwas Aufwand in der Konfiguration, ist aber machbar mit entsprechender Hardware.
Einfacher ist es diese VLANs zu routen, allerdings zieht das dann eine unterschiedliche IP Adressierung nach sich.
Für eine der beiden Optionen musst du dich also entscheiden.

Habt ihr ein paar Hinweise für mich, was ich an der bestehenden Struktur (pfSense <- OpenVPN -> MikroTik) anpassen muss, damit die beiden offenen Punkte auch noch funktionieren?
Generell sind das überhaupt erstmal zwei vollkommen unterschiedliche Baustellen ! Du musst also aufpassen das du hier in deinem jugendlichen Leichtsinn (und Unkenntniss) nicht alles wild durcheienaderwürfelst. Also der Reihe nach...
  • Wie will ich lösen: Port Forwarding oder VPN ?
  • VLANs transparent übertragen oder eher einfacheres Routing
Erst dann kann man diese Frage sinnvoll beantworten !
du hast ja schon einmal auf das Thema Masquerading hingewiesen.
In welchem Zusammenhang und WAS bezweckst du mit dieser Frage in deinem Umfeld ?
Bitte warten ..
Mitglied: Androxin
15.01.2015 um 22:20 Uhr
Vielen Dank für deine Antwort. Ich fasse diesen Thread bzw. die bereits umgesetzten Punkte einmal zusammen. Das sollte dann deine offenen Fragen klären:


Im Office habe ich eine pfSense, die direkt am Internet hängt. Die Firewall dient gleichzeitig als OpenVPN Server.


Auf der anderen Seite werkelt ein MirkoTik Router. Dieser ist als OpenVPN Client eingerichtet. Der "WAN"-Port des MikroTiks wird mit dem Heimnetzwerk verbunden. Alle an den anderen Ports angeschlossenen Netzwerkgeräte können durch den VPN Tunnel direkt mit den Geräte im Office kommunizieren.
ffe04cb2381b603f82b9783687c761a4 - Klicke auf das Bild, um es zu vergrößern

Bei dieser Konstellation ist man unabhängig von den Komponenten des Heimnetzes und es ist für den Nutzer super simpel zu installieren.


Nun fehlen mir nur noch die besagten i-Tüpfelchen zur perfekten Konfiguration.
Aktuell ist der MikroTik Router aus dem Hauptbüro ausschließlich über die eine virtuelle IP des OpenVPN Adapters ansprechbar. Auf die anderen Netzwerkgeräte im Homeoffice kann man daher nur zugreifen, wenn man im MikroTik entsprechende Portweiterleitungen einrichtet.
Ich hätte es gerne so, dass man aus dem Hauptbüro durch den VPN Tunnel auch ohne diese NAT-Hürde direkt auf die anderen Geräte zugreifen kann.

Zum VLAN:
Wie es übertragen wird oder ob es später unterschiedliche IP Bereiche im Homeoffice gibt, ist erst einmal egal.
Vermutlich wird es darauf hinauslaufen, dass bspw. VLAN 1 die 172.17.1.0, VLAN 2 die 172.17.2.0 bekommen, korrekt?
Bitte warten ..
Mitglied: aqui
LÖSUNG 15.01.2015, aktualisiert 24.03.2015
Im Office habe ich eine pfSense, die direkt am Internet hängt.
Wirklich ?? Mit einem NUR Modem davor und keine NAT Router als Kaskade ?
Sprich also das PPPoE und die Provider Zugangsdaten sind auf der pFsense am WAN Port definiert ??
Die Firewall dient gleichzeitig als OpenVPN Server.
Ein sprichwörtlicher Klassiker also...
Bei dieser Konstellation ist man unabhängig von den Komponenten des Heimnetzes und es ist für den Nutzer super simpel zu installieren.
Absolut richtig !!
Ein immer und immer wieder gepredigtes VPN Szenario hier im Forum und schön mal ein positives Feedback zu hören !!
Aktuell ist der MikroTik Router aus dem Hauptbüro ausschließlich über die eine virtuelle IP des OpenVPN Adapters ansprechbar.
Das muss ja nicht für immer sein, denn er hat ja noch viele Ports die anderes erlauben...
Netzwerkgeräte im Homeoffice kann man daher nur zugreifen, wenn man im MikroTik entsprechende Portweiterleitungen einrichtet.
Zeigt das du einen gravierenden Konfig Fehler gemacht hast und irgendwo NAT aktiviert hast ?!
Riecht stark danach das du wie so viele schlicht und einfach vergessen hast VORHER die Default Konfig des Mikrotik zu löschen ?!
Die legt nämlich immer eine Default Konfg an mit einem WAN Port und x LAN Ports wo am WAN NAT (Masquerading) gemacht wird. Also quasi so einen Default Heim Router Konfig.
Die muss man natürlich immer vorher löschen wenn man anderes von der Büchse will, das sollte klar sein !!
Steht auch immer und immer wieder in allen Tutorials hier:
http://www.administrator.de/wissen/routing-mit-2-netzwerkkarten-unter-w ...
Wenn du das machst ist auch der NAT Unsinn und virtuelle Adresse und so wech...
Vermutlich wird es darauf hinauslaufen, dass bspw. VLAN 1 die 172.17.1.0, VLAN 2 die 172.17.2.0 bekommen, korrekt?
Wenn du es so einrichtest könnte es so aussehen
Details dazu erklärt dir dieses Tutorial genau:
http://www.administrator.de/wissen/vlan-installation-und-routing-mit-m0 ...
Bitte warten ..
Mitglied: Androxin
15.01.2015 um 23:01 Uhr
Zitat von aqui:

> Im Office habe ich eine pfSense, die direkt am Internet hängt.
Wirklich ?? Mit einem NUR Modem davor und keine NAT Router als Kaskade ?
Sprich also das PPPoE und die Provider Zugangsdaten sind auf der pFsense am WAN Port definiert ??
Genau so ist es.


> Aktuell ist der MikroTik Router aus dem Hauptbüro ausschließlich über die eine virtuelle IP des OpenVPN
Adapters ansprechbar.
Das muss ja nicht für immer sein, denn er hat ja noch viele Ports die anderes erlauben...
Ich habe mich falsch ausgedrückt. Der MikroTik ist natürlich ganz normal aus dem Homeoffice-Netzwerk ansprechbar. Sobald man aber aus dem Office auf die Geräte im Homeoffice (also auch den MikroTik) zugreifen möchte, geht das nur über die in der pfSense konfigurierten virtuellen IP....

> Netzwerkgeräte im Homeoffice kann man daher nur zugreifen, wenn man im MikroTik entsprechende Portweiterleitungen
einrichtet.
Zeigt das du einen gravierenden Konfig Fehler gemacht hast und irgendwo NAT aktiviert hast ?!
Riecht stark danach das du wie so viele schlicht und einfach vergessen hast VORHER die Default Konfig des Mikrotik zu löschen
?!
Die legt nämlich immer eine Default Konfg an mit einem WAN Port und x LAN Ports wo am WAN NAT (Masquerading) gemacht wird.
Also quasi so einen Default Heim Router Konfig.
Die muss man natürlich immer vorher löschen wenn man anderes von der Büchse will, das sollte klar sein !!

Ich bin der Meinung, dass ich die Kiste vorher über das CLI platt gemacht habe. Da ich mir aber nicht mehr zu 100% sicher bin und ich auch das Tutorial nicht mehr finde an dem ich mich orientiert habe, werde ich das ganze einfach noch einmal aufsetzen und mich dann an dieser Stelle wieder melden.

Steht auch immer und immer wieder in allen Tutorials hier:
http://www.administrator.de/wissen/routing-mit-2-netzwerkkarten-unter-w ...
Wenn du das machst ist auch der NAT Unsinn und virtuelle Adresse und so wech...
> Vermutlich wird es darauf hinauslaufen, dass bspw. VLAN 1 die 172.17.1.0, VLAN 2 die 172.17.2.0 bekommen, korrekt?
Wenn du es so einrichtest könnte es so aussehen
Details dazu erklärt dir dieses Tutorial genau:
http://www.administrator.de/wissen/vlan-installation-und-routing-mit-m0 ...
Bitte warten ..
Mitglied: aqui
LÖSUNG 16.01.2015, aktualisiert 24.03.2015
Ich bin der Meinung, dass ich die Kiste vorher über das CLI platt gemacht habe.
Das nützt nichts. Wenn er dann hochbootet fragt er ob er die Default Konfig laden soll. Drückst du einfach return oder sagst nicht explizit NEIN, dann hast du die Default Konfig mit NAT wieder drauf !
Meinung reicht nicht ganz ! Es gilt wie immer in der IT: "Vertrauen ist gut, Kontrolle ist besser !"
Besser also du checkst das nochmal genau...
Bitte warten ..
Mitglied: Androxin
22.03.2015 um 12:39 Uhr
Moin,

ich habe mir den MikroTik noch einmal vorgenommen und benötige ein wenig Unterstützung um die Side-To-Side VPN Verbindung inkl. des Routings einzurichten.

Ziel: OpenVPN Tap Verbindung zwischen pfSense (v2.2) und einem MikroTik Router (v5.25)


Der OpenVPN Tunnel kann grundsätzlich aufgebaut werden.

In der pfSense habe ich mich an diesem Tutorial orientiert:
- Das LAN Interface hängt im Netz 172.17.1.0/24


Der OpenVPN Server ist wie folgt konfiguriert:
General information
- ServerMode: Remote Access (SSL/TLS + UserAuth)
- Protocol TCP
- Device Mode: tap
- Interface: WAN1 (Keine NAT/Router Kaskade. An dem Interface ist ein echtes DSL Modem angeschlossen.)
- Local port: 1194

Cryptographic Settings
.. So einiges.. Erspare ich mir hier, da die Verbindung ja aufgebaut werden kann

Tunnel Settings
- IPv4 Tunnel Network: <leer>
- Bridge DHCP: check
- Bridge Interface: LAN (-> 172.17.1.0/24)
- Server Bridge DHCP Start: 172.17.1.60
- Server Bridge DHCP End: 172.17.1.69 (DHCP Range für LAN Interface: 172.17.1.100 - 172.17.1.200)
- Redirect Gateway: uncheck
- IPv4 Local Network/s: 172.17.1.0/24
- Concurrent connections: <leer>
- Compression: No Preference (Für den Anfang. Später soll komprimiert werden)
- Type-of-Service: uncheck
- Inter-client communication: check
- Duplicate Connections: uncheck

Client Settings
- Dynamic IP: check
- Address Pool: check
- DNS Default Domain: <ist hinterlegt>
- DNS Server: <ist hinterlegt>
- Force DNS cache update: uncheck
- NTP Servers: uncheck
- NetBIOS Options: uncheck
- Client Management Port: uncheck

Advanced configuration
- Advanced: route 172.17.71.0 255.255.255.0 (Soll später auch durch den Tunnel)



Dann habe ich, wie im Tutorial beschrieben, eine Bridge eingerichtet:
1. Neues Interface für den openVPN Server (OpenVPN_Interface) erstellt
2. Bridge erstellt und dort LAN und OpenVPN_Interface verbunden.
Mehr habe ich an dieser Stelle nicht konfiguriert. Passt das mit der Bridge so? Hier wird diesbezüglich noch deutlich wilder herumkonfiguriert. Das muss wohl hoffentlich nicht sein.



Firewall: Rules:
Das OpenVPN_Interface hat noch eine "Allow Any" Regel bekommen.



Das sollte doch auf Seiten der pfSense erst einmal reichen, oder?



Nun zum MikroTik:

Interface "eth 1" ist an das Heimnetzwerk angestöpselt und bekommt per DHCP eine IP von einer Fritzbox zugewiesen. Der MikroTik kann über dieses Interface in's Internet. Die Fritze ist ein stinknormaler "Heimrouter" mit NAT etc. es wurden keine Portweiterleitungen konfiguriert.


Ich habe ein neues openVPN Interface hinzugefügt:
- Connect To: <WAN IP der pfSense>
- Port: 1194
- Mode: ethernet
- User, Passwort, Profile, Certificate, Auth, Cipher erspare ich mir, da die Verbindung aufgebaut werden kann
- Add Default Route: check


Es sind keine Filter Rules, NAT oder Mangle Einstellungen vorhanden. Die Einstellungsmenüs sind komplett leer. Es wurden keine Default-Einstellungen geladen.

Nach dem Aufbau der openVPN Verbindung, bekommt das OpenVPN Interface die IP 172.17.1.60/24 von der pfSense zugewiesen. Super!


Und jetzt? Wie geht es jetzt weiter?

Wie hier in diesem Thread ersichtlich, hatte ich bereits eine "tun"-Konfiguration laufen. "tap" scheint sich allerdings ein wenig anders zu verhalten. Was ja auch gewollt ist.
Mit dieser Minimalkonfiguration im MikroTik kann man selbstverständlich noch nichts reißen. Aktuell funktioniert noch nicht einmal ein Ping richtung pfSense.
Welche Konfigurationen fehlen noch, damit man zumindest erst einmal vom MikroTik ins Office pingen kann?


Weitere geplante Schritte, wie in diesem Thread bereits angekündigt:
- Mehrere VLANs aus dem Office durch den Tunnel routen und den Interfaces des MikroTiks zuweisen.

Vielen Dank schon einmal.


Ach ja: Bitte keine fertige Konfiguration posten, die man nur 1:1 abtippen braucht. Vorgekautes ist zwar einfacher zu verdauen, selber kauen lernen macht aber mehr Spaß.
Bitte warten ..
Mitglied: aqui
LÖSUNG 22.03.2015, aktualisiert 24.03.2015
Halte dich im Groben an das OVPN Tutorial hier im Forum:
http://www.administrator.de/wissen/openvpn-server-installieren-dd-wrt-r ...

Die OpenVPN Installation ist auf allen HW Plattformen immer gleich und vollkommen identisch. OK abgesehen von unterschiedlichen GUIs aber das ist nur kosmetisch.

Checke auf der pfSense IMMER wenn möglich die Log Dateien. Sollten Fehler auftreten sind die dort explizit aufgeführt. Ggf. vor Connect Versuch löschen wegen der Übersichtlichkeit.
Desgleichen beim MT, auch der hat ein hilfreiches Log.
Wichtig bei der pfSense: Vergiss nicht das das einen Firewall ist ! Auch bei OpenVPN musst du auf dem virtuellen Interface entsprechende Regeln einrichten, denn auch auf dem Tunnel wir Firewall üblich geblockt !
Ggf. hilft hier erstmal eine "any zu any Scheunentorregel". Ping ist ICMP Protokoll.
selber kauen lernen macht aber mehr Spaß
Wahre und weise Worte
Bitte warten ..
Mitglied: Androxin
23.03.2015, aktualisiert um 00:37 Uhr
Bin einen Schritt weiter:

Ich habe "route xyz 255.255.255.0"; mit "push route xyz 255.255.255.0"; verwechselt.
Nachdem ich aus dem "route 172.17.71.0 255.255.255.0" ein "route 172.18.1.0 255.255.255.0" gemacht habe, lief es.

Allerdings läuft es noch nicht so ganz flüssig wie es eigentlich sollte:
In der pfSense ist anscheinend keine passende Route hinterlegt. Die Pakete für 172.18.1.0/24 werden nicht in den openVPN Tunnel geroutet.
Über die Logs, Paket Sniffer und Wireshark kann man ganz gut sehen, dass das Ziel im Office einen Ping request erhält und auch ein reply versendet. Wenn man den Traffic im Tunnel verfolgt, fehlen die reply-Pakete. Dort sieht man nur die Requests.

In der pfSense Firewall sind alle Scheunentore geöffnet:
LAN Interface und openVPN Interface haben jeweils als erstes eine Regel mit dem Inhalt
Action: Pass 
Interface: LAN / openVPN 
TCP/IP Version: IPv4 
Protocol: any 
Source: any 
Destination: any

Beim openVPN Server ist zusätzlich zu der oben genannten Konfiguration folgendes hinterlegt:
route 172.18.1.0 255.255.255.0; 
push "route 172.17.1.0 255.255.255.0"; 
push "route 172.17.71.0 255.255.255.0";
Was fehlt noch, damit die pfSense schnallt wo die Pakete hingehen sollen?

PS:
Das OpenVPN Interface vom Mikrotik (172.17.1.60) kann man übrigens von überall aus anpingen.




pfSense OpenVPN Server Log:
... 
Mar 23 00:26:59	openvpn[93155]: /usr/local/sbin/ovpn-linkup ovpns1 1500 1559 init 
Mar 23 00:26:59	openvpn[93155]: TUN/TAP device /dev/tap1 opened 
Mar 23 00:26:59	openvpn[93155]: TUN/TAP device ovpns1 exists previously, keep at program end 
Mar 23 00:26:59	openvpn[93155]: OpenVPN ROUTE: failed to parse/resolve route for host/network: 172.18.1.0 
Mar 23 00:26:59	openvpn[93155]: OpenVPN ROUTE: OpenVPN needs a gateway parameter for a --route option and no default was specified by either --route-gateway or --ifconfig options 
Mar 23 00:26:59	openvpn[93155]: ROUTE_GATEWAY 217.*.**.** 
Mar 23 00:26:59	openvpn[93155]: Socket Buffers: R=[65228->65536] S=[65228->65536] 
Mar 23 00:26:59	openvpn[93155]: TLS-Auth MTU parms [ L:1559 D:140 EF:40 EB:0 ET:0 EL:0 ] 
Mar 23 00:26:59	openvpn[93155]: ******* WARNING *******: null cipher specified, no encryption will be used 
Mar 23 00:26:59	openvpn[93155]: Diffie-Hellman initialized with 1024 bit key 
Mar 23 00:26:59	openvpn[93155]: Initializing OpenSSL support for engine 'cryptodev' 
Mar 23 00:26:59	openvpn[93155]: NOTE: the current --script-security setting may allow this configuration to call user-defined scripts 
Mar 23 00:26:59	openvpn[93155]: NOTE: when bridging your LAN adapter with the TAP adapter, note that the new bridge adapter will often take on its own IP address that is different from what the LAN adapter was previously set to 
Mar 23 00:26:59	openvpn[92832]: MANAGEMENT: unix domain socket listening on /var/etc/openvpn/server1.sock 
...
Bitte warten ..
Mitglied: aqui
LÖSUNG 23.03.2015, aktualisiert 24.03.2015
>I n der pfSense ist anscheinend keine passende Route hinterlegt. Die Pakete für 172.18.1.0/24 werden nicht in den openVPN Tunnel geroutet.
Anscheinend...?? Dann sieh doch mal nach in deren Routing Tabele, das wäre doch das eifachste, oder ?
Wenn sie fehlt trage sie nach und das Problem ist gelöst.
Wenn man den Traffic im Tunnel verfolgt, fehlen die reply-Pakete. Dort sieht man nur die Requests.
Sicheres Zeichen das da eine FW regel zuschlägt. Vermutlich hast du auf den virtuellen Tunnelinterfaces vergessen den ICMP Traffic freizugeben...klassischer Anfängerfehler bei Firewalls die auf Interfaces ja generell alles verbieten was nicht ausdrücklich erlaubt ist...Firewalls eben
Zu deinen beiden push Route Kommandos!
Befinden sich beide IP Netze 172.17.1.0 /24 UND 172.17.71.0 /24 lokal dort ???
Wenn das nicht der Fall ist musst du das was NICHT lokal ist da löschen. Das Push Kommando distribuiert dieseRouten auf die remote Seite in die Routing Tabelle. Falls eins der Netze da auch ist hast du natürlich Chaos...logisch ! Beachte das !
Traceroute und Pathping sind hier wie immer deine Freunde
Bitte warten ..
Mitglied: Androxin
23.03.2015 um 12:41 Uhr
Zitat von aqui:

Anscheinend...?? Dann sieh doch mal nach in deren Routing Tabele, das wäre doch das eifachste, oder ?
In der Routing Tabelle steht nichts. Da ich aber nicht wusste, ob es evtl. noch an anderen Stellen hinterlegt sein könnte, habe ich das Wort "Anscheinend" gewählt.

Wenn sie fehlt trage sie nach und das Problem ist gelöst.
Per Hand nachtragen ist doch plöd. Wenn, dann sollte das doch direkt über die VPN Konfiguration laufen, oder?

> Wenn man den Traffic im Tunnel verfolgt, fehlen die reply-Pakete. Dort sieht man nur die Requests.
Sicheres Zeichen das da eine FW regel zuschlägt. Vermutlich hast du auf den virtuellen Tunnelinterfaces vergessen den ICMP
Traffic freizugeben...klassischer Anfängerfehler bei Firewalls die auf Interfaces ja generell alles verbieten was nicht
ausdrücklich erlaubt ist...Firewalls eben

Ist ICMP etwa nicht in
Action: Pass  
Interface: LAN / openVPN  
TCP/IP Version: IPv4  
Protocol: any  
Source: any  
Destination: any
enthalten?


Befinden sich beide IP Netze 172.17.1.0 /24 UND 172.17.71.0 /24 lokal dort ???
Die beiden Netze (und noch ein paar mehr) hängen an der pfSense im Office.
Ich würde die VLANs der pfSense gerne auf diesem Weg durch den Tunnel routen, so dass z.B. ein VoIP Telefon (mit der IP 172.18.71.2/24) im Homeoffice auf die TK Anlage (mit der IP 172.17.71.3/24) im Office zugreifen kann.
Das funktioniert prinzipiell auch schon. Zumindest in eine Richtung. -> Wo wir wieder beim Thema "Route in der pfSense" sind.

Wenn das nicht der Fall ist musst du das was NICHT lokal ist da löschen. Das Push Kommando distribuiert dieseRouten auf die
remote Seite in die Routing Tabelle. Falls eins der Netze da auch ist hast du natürlich Chaos...logisch ! Beachte das !
Traceroute und Pathping sind hier wie immer deine Freunde
Bitte warten ..
Mitglied: BirdyB
23.03.2015 um 12:52 Uhr
Hi,

Hast du auch die iroute gesetzt: https://community.openvpn.net/openvpn/wiki/RoutedLans
BEste Grüße!

Berthold
Bitte warten ..
Mitglied: aqui
23.03.2015 um 12:56 Uhr
Die beiden Netze (und noch ein paar mehr) hängen an der pfSense im Office.
OK, dann ist das richtig so.
Dann gilt auch der Tip vom Kollegen Birdy.
Bitte warten ..
Mitglied: Androxin
23.03.2015 um 14:08 Uhr
Das Log spuckt folgenden Fehler aus:
 --iroute options rejected for vpnclient1/**.**.***.**:40297 -- iroute only works with tun-style tunnels
Soll ich das so verstehen wie es da steht?
Bedeutet das, dass iroute für meine "tap" Verbindung garnicht benötigt wird?
Bitte warten ..
Mitglied: aqui
LÖSUNG 23.03.2015, aktualisiert 24.03.2015
Yepp, richtig !
Wenn du tap Adapter nurtzt dann bridged man in der Regel. Nutzt also wider aller Empfehlungen ein schlechtes, weil schlecht Perfomantes bridged VPN.
Im Bridging ist alles Layer 2, da man wie der Name schon sagt über den Tunnel nicht routet sonsern nur anhand der Mac Adressen ein simples Brisdging macht. Kein Routting macht dann auch alle Router Kommandos überflüssig. Logisch...
Der große Nachteil hier ist das der gesamte Broad- und Multicast Traffic den VPN Tunnel belastet und massiv zu Ungunsten der Performance geht.
Deshalb lautet die Empfehlung auch bei OVPN immer Routing mit UDP Encapsulation im Tunnel.
Bitte warten ..
Mitglied: Androxin
23.03.2015, aktualisiert um 14:49 Uhr
Kann man über einen tun-Tunnel so transparent auf die Geräte der Gegenseite zugreifen wie bei tap? So, dass z.B. jedes Gerät über seine eigene IP ansprechbar ist etc.?


Bzgl. Bridge:
Wie am Sonntag geschrieben, habe ich das LAN Interface und das openVPN Interface in der pfSense über eine Bridge zusammengefasst. Reicht das so oder muss noch mehr konfiguriert werden?








Zitat von aqui:

Anscheinend...?? Dann sieh doch mal nach in deren Routing Tabele, das wäre doch das eifachste, oder ?
Wenn sie fehlt trage sie nach und das Problem ist gelöst.

Siehe pfSense Static Routes:
Never add static routes for networks reachable via OpenVPN. Such routes are managed by OpenVPN itself using Remote Network definitions, not static routes.
Bitte warten ..
Mitglied: Androxin
24.03.2015, aktualisiert um 17:24 Uhr
Der Tunnel steht und läuft exakt so wie ich mir das vorstelle!

Ich habe beim openVPN Server jetzt doch noch ein Tunnel Netz (192.168.168.0/28) konfiguriert. Das OpenVPN Interface vom MikroTik bekommt daher nun die 192.168.168.2/24 zugewiesen.

Der Knackpunkt beim Routing lag bei einer Zeile in den Advanced-Optionen:
route-gateway 192.168.168.2 255.255.255.0;
Hat alle Routingprobleme gelöst.

Vollständig steht unter Advanced nun:
route 172.18.1.0 255.255.255.0; 
route 172.18.31.0 255.255.255.0; 
route 172.18.71.0 255.255.255.0; 
route-gateway 192.168.168.2 255.255.255.0; 
push "route 172.17.1.0 255.255.255.0"; 
push "route 172.17.31.0 255.255.255.0"; 
push "route 172.17.71.0 255.255.255.0";
Die verschiedenen Netze sind zum Durchschleusen der VLANs. (1 -> Verwaltung, 31 -> VoIP, 71 -> PC Workstations).
Auf dem Mikrotik habe ich zwei Ports für PCs und zwei Ports für VoIP Telefone konfiguriert. Mit unterschiedlichen Netzen. Jeweils mit DHCP Server.

Alles funktioniert wunderbar. - Fast.

Jetzt fehlt nur noch der Zugriff in's Internet. Ich stelle mir vor, dass für Internet-Anfragen der Heimanschluss bemüht wird und dieser Krams nicht durch den Tunnel geht. Vom Routing passt das soweit auch schon. Allerdings werden dafür wohl noch ein paar NAT Einstellungen im MikroTik Router benötigt. Schließlich kennt die Fritzbox keines der tollen 172.18.x.0/24er Netze.
Was genau muss da jetzt eingestellt werden?


Chain: srcnat
... ?
Bitte warten ..
Mitglied: Androxin
24.03.2015, aktualisiert um 17:54 Uhr
Auch mein letztes "Problem" lies sich relativ leicht lösen.

Neue NAT Regel:
Chain: srcnat
Out Interface: "Uplink Port"
Action: Masquerade

Damit ist diese ganze Homeoffice Thematik endlich gelöst!
(Ja, es gibt noch eine Firewall.)


Vielen Dank für das Händchen halten und noch einmal 1000 Dank für den Verweis auf den MikroTik Router. Die Lösung ist jetzt echt zu 100% DAU Kompatibel.
Die einzelnen Ports am Routerchen bekommen nun noch ein paar Beschriftungen/Labels und ab dann kann sich der werte Kollege ja in jedem beliebigen Netz ein "Homeoffice" aufbauen. Ich bin begeistert!
Bitte warten ..
Mitglied: aqui
25.03.2015, aktualisiert um 11:48 Uhr
Jetzt fehlt nur noch der Zugriff in's Internet.
Auch ganz einfach:
Zuerst in den Regeln alles verbieten und erlauben was lokal ist, dann zum Schluss des Regelwerks "Allow any any".
Das gibt dann das Internet frei
Ooops...war ja schon gelöst, sorry. Wer lesen kann....
Bitte warten ..
Neuester Wissensbeitrag
CPU, RAM, Mainboards

Angetestet: PC Engines APU 3a2 im Rack-Gehäuse

(1)

Erfahrungsbericht von ashnod zum Thema CPU, RAM, Mainboards ...

Ähnliche Inhalte
Firewall
Zwei Netz über VPN an Fritzbox anbinden (1)

Frage von Otto1699 zum Thema Firewall ...

Windows Netzwerk
Direct Access mit VPN aufbau (6)

Frage von geocast zum Thema Windows Netzwerk ...

Heiß diskutierte Inhalte
Switche und Hubs
Trunk für 2xCisco Switch. Wo liegt der Fehler? (13)

Frage von JayyyH zum Thema Switche und Hubs ...

DSL, VDSL
DSL-Signal bewerten (13)

Frage von SarekHL zum Thema DSL, VDSL ...

Windows Server
Mailserver auf Windows Server 2012 (9)

Frage von StefanT81 zum Thema Windows Server ...