Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Lokales Netzwerk hinter OpenVPN (dd-wrt) nicht erreichbar

Frage Netzwerke

Mitglied: nolimits2k

nolimits2k (Level 1) - Jetzt verbinden

17.07.2010, aktualisiert 18.10.2012, 11555 Aufrufe, 9 Kommentare

Hallo zusammen,

ich beschäftige mich privat ein klein wenig mit meinem Heimnetzwerk und habe meine Rechner + NAS entsprechend vernetzt. Um von unterwegs auf das Netzwerk zugreifen zu können, wollte ich gerne OpenVPN nutzen.

Nach der Anleitung hier im Forum habe ich es auch problemlos hinbekommen, openvpn zum Laufen zu bekommen. Allerdings schaffe ich es nicht, das lokale Netzwerk hinter dem Router zu erreichen. Vielleicht ist meine Konfiguration auch etwas chaotisch . Da ich verschiedene Geräte im ganzen Haus verteilt habe, werden manche Anbindungen auch über WLAN realisiert.

Folgendermassen sieht mein Netzwerk aus:

1. Vodafone EasyBox als DSL-Modem (direkt mit dem Internet verbunden).
WLAN deaktiviert
LAN-IP: 10.168.1.2
Subnetz: 255.255.255.0
DHCP deaktiviert
Firewall + SPI aktiviert
NAT aktiviert (Port Forwarding von Port 1194 an 10.168.1.1 (OpenVPN Router)).

2. WRT54G (mit dd-wrt v24)
Verbunden per LAN-Kabel mit der Easybox (Punkt 1). Das LAN-Kabel steckt im WAN-Eingang des Routers
WLAN mit WPA2 aktiviert

WAN: statische IP: 10.168.1.3
SUBNetz: 255.255.255.0
Gateway: 10.168.1.2 (Easybox)
Lokal DNS: 10.168.1.2 (Easybox)

LAN-IP des Routers: 10.168.1.1
Subnetz: 255.255.255.0
Gateway: 10.168.1.2
Lokal DNS: 10.168.1.2
Firewall+SPI deaktiviert
DHCP aktiviert
Auf diesem Router läuft OpenVPN und ist exakt wie hier im Forum beschrieben eingerichtet.

Ergänzend auch natürlich mit LAN-Kabel im LAN-Port und WAN ausgeschaltet ausprobiert - geht auch nicht.

Warum in dieser Konfiguration ? Laut eines Berichts auf Heise.de (http://www.heise.de/netze/artikel/DMZ-selbst-gebaut-221656.html) wollte ich so etwas mer Sicherheit erreichen. Falls dies Überflüssig ist oder sogar kontraproduktiv freue ich mich gerne auf Feedback (an der EasyBox hängen keine weiteren Server/Geräte).

Weiter gehts:

3. WRT54G (ebenfalls mit dd-wrt v24, steht im Wohnzimmer) ist per WLAN mit WRT54G (Punkt2) verbunden
LAN-IP: 10.168.1.10
Subnetz: 255.255.255.0
Gateway 10.168.1.1 (Router Punkt 2)
Lokaler DNS: 10.168.1.1


An diesem Router 3 hängen folgende Geräte über einen Switch:

4. Dreambox mit statischer IP (10.168.1.102, Subnetz 255.255.255.0, Gateway 10.168.1.1, DNS 10.168.1.1)
5. HDX1000 Media Player mit automatischer IP-Vergabe per DHCP
6. QNAP 219 NAS mit statischer IP ( (10.168.1.30, Subnetz 255.255.255.0, Gateway 10.168.1.1, DNS 10.168.1.1))
7. Desktop PC mit statischer IP (10.168.1.100, Subnetz 255.255.255.0, Gateway 10.168.1.1, DNS 10.168.1.1)

Darüber hinaus verbinden meine Frau + ich uns teilweise direkt mit unseren Notebooks per WLAN mit dem Router (Punkt 2).


Sobald ich mich nun mit einem dieser Notebooks einwähle (z.B. per UMTS-Verbindung), connected sich der OpenVPN-Client und vergibt die IP 172.16.2.x am Client (Notebook). Wenn ich im Browser 172.16.2.1 eingebe, komme ich auf das Konfigurationsinterface des Routers (Punkt 2). Ich schaffe es aber partout nicht, die anderen Geräte zu erreichen - beim Router ist schluss.

Was mache ich falsch ? Ist mein Netzwerk zu chaotisch oder komplett dilettantisch eingerichtet ? Ich bin gerne für Verbesserungsvorschläge offen. Muss ich noch etwas in der OPENVPN Konfiguration ändern (abweichend zu diesem Thread: http://www.administrator.de/index.php?content=123285) ?

Ich bin sehr gespannt auf Eure Antworten.

Viele Grüße,
Thomas
Mitglied: masterofdisaster09
18.07.2010 um 01:50 Uhr
Guten Morgähn! =)

Zitat von nolimits2k:
1. Vodafone EasyBox als DSL-Modem (direkt mit dem Internet verbunden).
So, wie du deine weitere Konfiguration beschreibst (NAT, Port Forwarding, ...) ist das Gerät als *Router*, nicht als Modem eingerichtet.

2. WRT54G (mit dd-wrt v24)
WAN: statische IP: 10.168.1.3
LAN-IP des Routers: 10.168.1.1
Auf WAN- und LAN-Seite eines *Routers* der gleiche IP-Adressbereich? Hört sich (für mich) nicht grad gesund an.

Wenn ich im Browser 172.16.2.1 eingebe, komme ich auf das Konfigurationsinterface
des Routers (Punkt 2). Ich schaffe es aber partout nicht, die anderen Geräte zu erreichen - beim Router ist schluss.
IP-Forwarding aktiviert?
Firewall [wirklich] deaktiviert? --> Das gilt es auch für die Clients im Netzwerk zu beachten, es könnte durchaus sein, dass die ansonsten Pakete aus anderen IP-Bereichen verwerfen.
Bitte warten ..
Mitglied: nolimits2k
18.07.2010 um 01:58 Uhr
Hallo,

vielen Dank für die schnelle Antwort. Die Herausforderung besteht glaube ich darin, dass die Easybox nur mittels eines Modeminstallationscodes von Vodafone automatisch im WAN-Interface eingerichtet wird und man hier keine Eingriffsmöglichkeiten hat. Dort ist auch bereits WAN 188.x.x.x und LAN 10.168.1.2 und Gateway 10.168.1.2 fest eingetragen.

Ich glaube das Problem ist einfach, dass die Geräte am WRT54G als Gateway angeschlossen sind, die Easybox aber auch als Gateway fungiert und das Routing scheinbar immer über die Easybox läuft. Kann ich das irgendwo ändern ?
Bitte warten ..
Mitglied: masterofdisaster09
18.07.2010 um 02:19 Uhr
Mit der EasyBox kenne ich mich überhaupt nicht aus.
Wenn der erste WRT als Router eingerichtet ist, dann wäre es IMHO sinnvoll, die LAN-Seite auf einen anderen IP-Adressbereich zu legen, z.B. auf 192.168.10.x
Das zieht natürlich Änderungen an allen statisch eingerichteten Clients nach sich.
Anschließend sollte es, wenn korrekt eingerichtet, auch mit dem VPN(-Routing) klappen.
Bitte warten ..
Mitglied: nolimits2k
18.07.2010 um 15:15 Uhr
Mal unabhängig von der o.g. Konfiguration muss ich es doch nur schaffen, dass ich vom OPENVPN-Server aus (WRT54G) die dahinterliegenden Geräte im lokalen LAN erreichen kann. Dies klappt aber irgendwie nicht. Was mache ich falsch oder muss ich noch irgendwelche Routings auf dem WRT54G einstellen ? Wenn ja, wie mache ich das ?
Bitte warten ..
Mitglied: aqui
18.07.2010, aktualisiert 18.10.2012
Ja, das klappt problemlos mit dem push Kommando in der hier im Turorial beschrieben server.conf Datei auf dem WRT.

Bedenke aber das du einen schweren Kardinalsfehler begangen hast im IP Design auf dem WRT oben !!
Der WRT 54 ist ein Router !!! Ein Router hat IMMER unterschiedliche IP netze auf seinen Interfaces. Logisch !, denn sonst wäre es ja eine Bridge oder ein Switch und kein Router !
Du hast ihm aber auf dem WAN und auf dem LAN ins gleiche IP Netz konfiguriert !! 10.168.1.0 /24
Das ist natürlich vollkommener Unsinn und damit kann der Router nicht mehr routen !
Wie auch wenn beide Interfaces im gleichen IP Netz sind ?? (Er ist ja dann ne Bridge, kann aber nicht bridgen).
Stelle also den WRT54 am LAN auf
LAN-IP des Routers: 10.168.10.1
(Dieses Netz darf niemals gleich dem WAN IP Netz sein !)
Subnetz: 255.255.255.0
Firewall+SPI deaktiviert
DHCP aktiviert

ein, dann wird es auch auf Anhieb klappen ! Steht ja auch so im Tutorial !

Deine server.conf sähe dann so aus:
port 1194
proto udp
dev tun0
ca /tmp/openvpn/ca.crt
cert /tmp/openvpn/cert.pem
key /tmp/openvpn/key.pem
dh /tmp/openvpn/dh.pem
server 172.16.2.0 255.255.255.0
push "route 10.168.10.0 255.255.255.0"
keepalive 10 120
comp-lzo
persist-key
persist-tun
verb 3

Dann wird das auch einwandfrei funkltionieren wenn du einen OpenVPN Client in das Verbindungsnetz 10.168.1.0 /24 plazierst und den DD-WRT mit der 10.168.1.3 connectest !
Das ist immer der finale Test ob der server rennt.

Ein problem wirst du haben. Du musst zwingend auf der EasyBox ein Port Forwarding vom UDP Port 1194 auf die lokale IP Adresse 10.168.1.3 einstellen, denn sonst kommen die OpenVPN Pakete aus dem Internet nicht am DD-WRT an weil sie die NAT Firewall der EasyBox nicht überwinden können. Siehe hier am Beispiel von PPTP:
http://www.administrator.de/wissen/vpns-einrichten-mit-pptp-117700.html ...

Ferner macht es noch Sinn einen DynDNS Account auf die EasyBox zu konfigurieren damit du den OpenVPN Server auch trotz wechselnder IP Adresse immer erreichen kannst !

Ggf. ist es einfacher die EasyBox durch ein simples preiswertes DSL Modem wie z.B. dieses hier zu ersetzen:
http://www.pollin.de/shop/dt/NTM4ODgyOTk-/Computer_und_Zubehoer/Netzwer ...
und den WRT direkt anzuschliessen. Damit ersparst du dir diese gesamte Frickelei mit der EasyBox.
Bitte warten ..
Mitglied: masterofdisaster09
18.07.2010 um 16:38 Uhr
Zitat von aqui:
Ggf. ist es einfacher die EasyBox durch ein simples preiswertes DSL Modem wie z.B. dieses hier zu ersetzen:
AFAIK wird die Telefonie über die EasyBox realisiert - also keine gute Idee.
Bitte warten ..
Mitglied: aqui
19.07.2010 um 10:12 Uhr
Wenn dem so ist, ist das zweifelsohne richtig ! Ist aber auch egal, auch mit der EasyBox dazwischen funktioniert es fehlerfrei erzwingt dann aber ein Port Forwarding von UDP 1194 auf die 10.168.1.3 !
Sowas banales wie Port Forwarding sollte die EasyBox ja wohl auch supporten.
Bitte warten ..
Mitglied: Edelweis
19.07.2010 um 22:51 Uhr
Zitat von aqui:
Sowas banales wie Port Forwarding sollte die EasyBox ja wohl auch supporten.

Tut sie auch, und das fehlerfrei.
Bitte warten ..
Mitglied: aqui
20.07.2010 um 09:37 Uhr
No, ok dann sollte ja nolimits2k keine Probleme haben das problemlos zum fliegen zu bringen.
Vermutlich hat er aber schon das Interesse verloren was man am fehlenden Feedback hier ja leider sehen kann

Hoffentlich vergisst er dann wenigstens nicht
http://www.administrator.de/index.php?faq=32
um den Thread hier abzuschliessen !!
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Ähnliche Inhalte
LAN, WAN, Wireless
Dd-wrt Hotspot mit Radius Server und Traffic Volume Limit (19)

Frage von Kubus0815 zum Thema LAN, WAN, Wireless ...

LAN, WAN, Wireless
gelöst DD-WRT Zwei W-Lan Netzwerke (4)

Frage von schneerunzel zum Thema LAN, WAN, Wireless ...

Peripheriegeräte
WRT3200ACM: Linksys kündigt neuen OpenWRT- und DD-WRT-Router an

Link von runasservice zum Thema Peripheriegeräte ...

Netzwerkprotokolle
DD-WRT Router: Frage zum Routing (13)

Frage von D46505Pl zum Thema Netzwerkprotokolle ...

Heiß diskutierte Inhalte
Windows Server
DHCP Server switchen (25)

Frage von M.Marz zum Thema Windows Server ...

SAN, NAS, DAS
gelöst HP-Proliant Microserver Betriebssystem (14)

Frage von Yannosch zum Thema SAN, NAS, DAS ...

Grafikkarten & Monitore
Win 10 Grafikkarte Crash von Software? (13)

Frage von Marabunta zum Thema Grafikkarten & Monitore ...

Erkennung und -Abwehr
Spam mit eigener Domain (12)

Frage von NoobOne zum Thema Erkennung und -Abwehr ...