cannonball
Goto Top

Eine Steuerung hinter dem OpenVPN Client erreichen

Hallo,
ich benötige eure Expertise face-smile

Ich besitze eine kleine Windkraftanlage, diese kann ich leider nur per LTE Netzwerk erreichen. Somit habe ich leider keine feste oder adressierbare öffentliche IP-Adresse , da es leider nur einen privaten Adressbereich der Mobilfunkbetreiber gibt, ist somit kein NAT möglich.
Meine Idee ist eine OpenVPN Rückwärtstunnel. Also ein OpenVPN (Client 1) baut einen Tunnel zu einem OpenVPN Server der sich adressieren lässt auf.
Ein zweiter Linux oder Windows OpenVPN (Client 2) baut an einem anderen Standort z.B. in der Fa. einen Tunnel auf. Der OpenVPN Server routet dann die Netze zwischen den 2x Clients, somit würde ich das LAN meiner WKA Steuerung erreichen. Ich wollte alles mit PFsense oder OpenWRT umsetzen.

Was meint Ihr, ist das machbar ?


Viele Grüße
Cannonball
aufbau

Content-Key: 318888

Url: https://administrator.de/contentid/318888

Ausgedruckt am: 19.03.2024 um 11:03 Uhr

Mitglied: shizz0
shizz0 23.10.2016 um 18:04:20 Uhr
Goto Top
Hi!

Wie oft ändert sich denn die LTE IP? DynDNS sollte doch dort auch machbar sein, um einen kleinen OpenVPN Server direkt an der Anlage zu betreiben?

Ansonsten sollte, mit etwas Konfigurationsaufwand auch das andere Setup machbar sein!
Fertige Configfiles kann ich dir zwar leider keine geben, aber die OpenVPN Doku ist ziemlich gut.

Wenn du die Clients alle in das gleiche virtuelle VPN Netz setzt, bzw. mit dem gleichen Netz verbindest, dann musst du nichtmal groß routen.
Ich meine mich dunkel zu erinnern, dass es dann eine Einstellung gab, damit sich die Clients "sehen" können.
Also ob Client <--> Client auch möglich sein soll, oder nur Client <--> Netz.

Ansonsten, wie greifst du auf die Steuerung zu?
Denn was immer geht, ist von Client2 per Remote auf ein Gerät im HomeLan und dann weiter durch den anderen Tunnel zur Steuerung.
Aber wie gesagt sollte es auch direkt machbar sein, ist nur eine Frage der Einstellungen.

Grüße
Mitglied: cannonball
cannonball 23.10.2016 um 19:57:35 Uhr
Goto Top
Hi,
nein das mit der DynDNS ist leider überhaupt nicht mehr möglich. Du musst zwangsläufig ein VPN zurück zum Server aufbauen. Es gibt noch LTE Verträge da wird es wohl noch gehen, aber die sind mir einfach zu Teuer. Außerdem muss das auch so gehen, es ist eine Herausforderung face-smile Meinst Du mit virtuellen VPN Netz die definierten tun Adapter oder verstehe ich da was falsch ?
Die Steuerung wird mit einer SCADA Software von außen direkt über eine IP Adressen angesprochen. Entweder über eine lokale IP, Öffentliche oder eben eine VPN. Die Steuerung ist im Client 2 Netz eingebunden.

Grüße
Mitglied: aqui
aqui 23.10.2016 aktualisiert um 21:02:38 Uhr
Goto Top
Ja, das ist problemlos machbar und ist der richtige Weg bei Providern die im Mobilnetz RFC 1018 IP Adressen mit Provider NAT verwenden.
Meine Idee ist eine OpenVPN Rückwärtstunnel. Also ein OpenVPN (Client 1) baut einen Tunnel zu einem OpenVPN Server der sich adressieren lässt auf.
Wie gesagt...das ist auch der richtige Weg !! Das kann ein Raspberry Pi OpenVPN Server bei dir zuhause sein oder wo auch immer.
https://jankarres.de/2013/05/raspberry-pi-openvpn-vpn-server-installiere ...
https://jankarres.de/2014/10/raspberry-pi-openvpn-vpn-client-installiere ...

Am Windkraft Standort kannst du einen OpenWRT oder auch ganz einfach einen Raspberry Pi nehmen der das realisiert.
Damit machst du eine Site to Site Kopplung und kannst auf das "Windnetz" zugreifen.
Die OpenVPN ToDos sind immer die gleichen.
Hier findest du eine entsprechende Anleitung:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
pfSense wäre eigentlich schon mit Kanonen auf Spatzen, es sei denn du verwendest sie als Server wo sich der Windnetz RasPi oder OpenWRT reinwählt.
Das würde Sinn machen um so auch das netzwerk durch die Firewall sicher zu schützen !
Mitglied: shizz0
shizz0 23.10.2016 um 21:55:09 Uhr
Goto Top
Wenn du hinter ner Provider NAT hockst, wird das natürlich schwierig mit DynDNS :-p

Genau, du weist jedem VPN ja ein Subnet zu (bei geroutetem Setup wenigstens).
Es ist wie gesagt eine Sache der Konfiguration, dass du von überall alle Netze erreichst, in die du musst.
In erster Linie hängt das bei dir am Setup der Routen.
Also in Kürze:
- Cients bekommen VPN IP aus dem gesetzten VPN Subnet. (Ich würde für dieses Setup feste IPs verwenden.)
- Einstellen, dass OpenVPN Client auf Windkraftseite ein Subnet hinter sich hat, auf das zugegriffen werden soll.
- Entsprechende Route Infos auf Client 2 pushen, damit die Pakete auch da ankommen, wo sie hin müssen.
- Natürlich überall die eventuellen Firewalls anpassen. face-wink

Die dafür nötigen Einstellungen findest du z.B. hier:
https://openvpn.net/index.php/open-source/documentation/howto.html#examp ...
oder auch im Link von aqui.
Mitglied: cannonball
cannonball 24.10.2016 um 06:44:54 Uhr
Goto Top
Guten Morgen,
ich werde mal ein Versuchsaufbau aufbauen. Hier wird wohl der Schüssel liegen:

  1. EXAMPLE: Suppose the client
  2. having the certificate common name "Thelonious"
  3. also has a small subnet behind his connecting
  4. machine, such as 192.168.40.128/255.255.255.248.
  5. First, uncomment out these lines:
;client-config-dir ccd
;route 192.168.40.128 255.255.255.248
  1. Then create a file ccd/Thelonious with this line:
  2. iroute 192.168.40.128 255.255.255.248
  3. This will allow Thelonious' private subnet to
  4. access the VPN. This example will only work
  5. if you are routing, not bridging, i.e. you are
  6. using "dev tun" and "server" directives.

Vielen Dank bis dahin. Ich melde mich wieder wenn ich Probleme habe face-smile
Mitglied: shizz0
shizz0 24.10.2016 um 07:57:42 Uhr
Goto Top
Genau, das ist eine von den Einstellunge, die ich gemeint habe.
Viel Erfolg!
Mitglied: aqui
aqui 24.10.2016 um 10:35:18 Uhr
Goto Top
Das wird problemlos so klappen !
Egal ob RasPi, OpenWRT oder was auch immer.
Mitglied: cannonball
cannonball 30.10.2016 um 09:25:33 Uhr
Goto Top
Hi,
es hängt leider schon face-smile
Ich habe gestern eine Site-to-Site Kopplung eingerichtet . Der Tunnel stand auch und funktionierte, leider kam ich auf beiden Seiten (Server und Client) nicht einmal auf die Weboberfläche der jeweiligen PFsense´n .
Jetzt dachte ich mir, ich versuche erstmal ein normalen OpenVPN Server aufzusetzen. Der funktioniert auch . 1194 reiche ich von der Fritzbox an den Pfsense Router 192.168.178.123 durch.
Der Client baut die Verbindung auch erfolgriech auf, aber ich komme nicht in das Servernetz, kein Webinterface, kein Ping und sonst auch nix. Es kann nur am routing oder an den Firewallregeln liegen oder ? Routing und Firewall ist (noch) nicht so mein Steckenpferd face-sad

Vielle Grüße
Mitglied: cannonball
cannonball 30.10.2016 um 09:30:21 Uhr
Goto Top
Hier mal meine Einstellungen:

pfsense_overview
openvpn_server1
openvpn_server2
openvpn_server3
openvpn_server4
openvpn_server5
firewall1
firewall2
firewall_nat_outbound

VG
Mitglied: aqui
aqui 30.10.2016 um 13:16:47 Uhr
Goto Top
leider kam ich auf beiden Seiten (Server und Client) nicht einmal auf die Weboberfläche der jeweiligen PFsense´n .
Hast du die Firewall regeln auch entsprechend eingerichtet ??
Bedenke immer das das eine Firewall ist !! Dort ist alles verboten was nicht explizit per regel erlaubt ist !
Du musst deine IP Netze entspr. im Regelset auf dem virtuellen VPN Adapter erlauben !
Nochwas:
8.8.8.8 also Google DNS solltest du besser niemals benutzen !!
Damit machst du dich mit deinem Surf und Datenverhalten vollkommen nackig bei Google denn die erstellen dann sofort damit ein Profil von dir.
Immer Finger weg von diesen Diensten und immer den DNS des lokalen Providers nutzen den du so oder so per PPPoE oder DHCP automatisch bekommst !
Das Posten der OVPN Setups ist sinnfrei, denn wenn dein Tunnel sauber aufgebaut wird (Log !) hast du da ja alles richtig gemacht !!
Du scheiterst vermutlich schlicht und einfach an fehlenden Firewall Regeln !
Du betreibst auch einen Routerkaskade mit der FB deshalb musst du am WAN Port der pfSense das generelle RFC 1918 Blocking aufheben. Hast du das gemacht ?
rfc

Zusätzlich sind die NAT Roules vollkommen fehlerhaft !!!
Was hat dort ISAKMP zu suchen ?? Das ist für IPsec VPNs niemals aber OpenVPN
Ferner musst du auch generell gar nichts forwarden da, denn deine pfSense terminiert ja das VPN. Das ist also generell fehlerhaft und solltest du dringenst wieder löschen !!
Mitglied: cannonball
cannonball 30.10.2016 um 16:57:50 Uhr
Goto Top
Hi,
ich habe die DNS Server von Google herausgenommen. Danke.
die ISAKMP Einträge kommen von Pfsense und seine Assistenten, wenn man auf NAT/Outbound und danach auf "Manual Outbound Rule generation" geht entstehen diese Regeln automatisch. Ich habe Sie entfernt.
Auf dem WAN Port ist RFC1918 Blocking aus.

Ich muss leider nochmal neu aufsetzen, ich habe zuviel an den Firewallregeln gedreht, dass Ergebnis ist jetzt:
Erst kein funktionierender Tunnel und jetzt kein Internet mehr, obwohl ich die Regeln wieder manuell eingetragen habe so wie sie mal waren. War wohl nicht richtig.

VG
Mitglied: cannonball
cannonball 30.10.2016 aktualisiert um 18:26:56 Uhr
Goto Top
Hier die aktuellen Einstellungen: Es ist wieder wie vorher face-sad

firewall_openvpn
openvpnlog
firewall_wan
outbound
Mitglied: aqui
aqui 31.10.2016 um 10:24:09 Uhr
Goto Top
Dein Tunnel wird ja fehlerfrei aufgebaut zw. Client und pfSense. Das ist also schon mal OK.
Du hast vermutlich noch deine Schrotschuss Regel am VPN Interface drin das any to any erlaubt, richtig ?
  • Was sagt ein route print auf dem Client ?? Routet er das 192.168.1.0er Netz in den Tunnel ?
  • Kannst du am Client den internen OVPN Server 10.0.8.1 pingen ?
Letzteres müsste immer gehen, denn dahin hat der OVPN Client eine direkt Verbindung. Das kannst du ja auch mit route print sehen, das ist das VPN Gateway.

Man kann nur vermuten das hier die interne Winblows Firewall zuschlägt. Viel andere Optionen gint es ja nicht mehr.
Das ist auch anzunehmen, denn dadurch das Windows auf dem virtuellen Tunnel Interface kein Gateway "sieht" schlägt die automatische Erkennung fehlt und die Firewall deklariert das Interface als Public und macht alle Schotten dicht.
An der Schraube musst du also vermutlich auch drehen...
Mitglied: cannonball
cannonball 31.10.2016 um 19:58:27 Uhr
Goto Top
Hi,
also der Ping zu 10.0.8.1 funktioniert . Die Route ist auf 192.168.1.0 -> tun0 in Linux angelegt. Es kann eigentlich nur an der Firewall liegen.


route
VG
Mitglied: aqui
aqui 31.10.2016 aktualisiert um 20:05:16 Uhr
Goto Top
also der Ping zu 10.0.8.1 funktioniert .
Tadaaa !! Gut, damit ist dann erstmal klar das der VPN Tunnel sauber funktioniert und der OVPN Server erreichbar ist !
Routing Table im Client stimmt auch.
In der Tat liegt der Rest dann jetzt nur noch einzig an der Firewall !!
Was die pfSense Ecke anbetrifft findest du Hinweise dazu immer im Firewall Log.
Klick dir das in den Log Settings so das du die aktuellsten Messages immer am Anfang oben siehst.
Dann löschst du das Log und machst mal ein paar Pings.
Sofern es Regeln in der pfSense selber sind loggt sie Blockings mit.
Hilfreich ist auch der Traceroute und Ping der pfSense und Diagnostics. Dort kannst du mit unterschedlichen Souce IPs arbeiten und auch ein Sniffertrace machen.
Der böse Buhmann ist aber vermutlich die Winblows Firewall Seite.