OpenVPN - komplexes Szenario

T

traffic_22

New Member
Hallo zusammen,

ich baue gerade ein etwas komplexeres OpenVPN Szenario auf und habe noch ein kleines Problem, welches ich aktuell leider nicht gelöst bekomme.

Zunächst mal zur Infrastruktur:
Ich habe im Prinzip 3 Locations, die ich anbinden möchte,

Location 1: Heimnetzwerk - 192.168.0.0/24
Location 2: Dedi Server bei Hoster
Location 3: kleiner portabler OpenWrt Router

So sieht es momentan aus:

EDIT: Bitte im Anhang nachsehen.

Was will ich erreichen?
L3 bzw. seine angehängten WLAN clients sollen eine IP Adresse aus meinem Heimnetz erhalten (->funktioniert).
die L3 clients sollen ohne weiteres auf alle Heimnetz-Dienste zugreifen können als wäre ich zuhause (->funktioniert).
sonstiger Traffic, der nicht ins Heimnetz 192.168.0.0/24 geht, soll an der br0 in L2 ausgeleitet und über tun0 zu einem VPN Provider ausgeleitet werden (->dies funktioniert noch nicht!)

Problem: momentan bekomme ich auf den L3 clients noch bei z.B. wieistmeineip.com die public IP meines Heimnetzwerkes angezeigt.

Wie kann ich den Internet-Traffic an br0 am Dedi Hoster (L2) ausleiten und über tun0 schicken?
Ich habe schon versucht, eine entsprechende iptables direktive zu setzen, aber er schickt die requests trotzdem weiter an L1 und dann von dort ins Internet.
iptables -t nat -A POSTROUTING -o tun0 -s 192.168.0.0/24 -j MASQUERADE

Würde mich freuen wenn jemand weiter weiss - wenn nötig poste ich auch noch sämtliche Configs.

Beste Grüße.
 

Attachments

  • infra.PNG
    infra.PNG
    6.2 KB · Views: 166
Last edited by a moderator:
traffic_22 said:
iptables -t nat -A POSTROUTING -o tun0 -s 192.168.0.0/24 -j MASQUERADE
Click to expand...

Der Teil funktioniert nicht weil die Bedingung -o tun0 nicht erfüllt ist, d.h. die Routing-Entscheidung, die Vorher gefallen ist, entscheidet sich nicht für tun0.

Einfacher wäre es ggf. für die Clients in L3 als default route den L2 zu setzen, d.h. routing für 192.168.0.0/24 bleibt, daber alle anderen Pakete werden direkt per Routing-Tabelle über L2 geschickt.

beste Grüße,
Nils
 
Unabhängig von Deinem Problem. Ich bin heute auf der Suche nach einer VPN Lösung auf http://www.softether.org/ gestoßen. Dabei handelt es sich um eine sehr mächtige SSTP/L2TP/OpenVPN Lösung, die trotzdem recht einfach zu bedienen ist. Die Doku unterstützt bei LAN-to-LAN Verbindung u.v.m. Vielleicht hilfts Dir ja.

Ein Vorteil ist auf jeden Fall schon mal die zentrale Administrationsfähigkeit. Außerdem können auch mobile Endgeräte ins Netzwerk integriert werden.
 
remote_mind said:
Der Teil funktioniert nicht weil die Bedingung -o tun0 nicht erfüllt ist, d.h. die Routing-Entscheidung, die Vorher gefallen ist, entscheidet sich nicht für tun0.

Einfacher wäre es ggf. für die Clients in L3 als default route den L2 zu setzen, d.h. routing für 192.168.0.0/24 bleibt, daber alle anderen Pakete werden direkt per Routing-Tabelle über L2 geschickt.

beste Grüße,
Nils
Click to expand...

Ich habs tatsächlich hinbekommen. Ich habe 2 Einträge auf dem L3 router hinterlegt - 1 mal eine route zum VPN Provider Client tun0 von L2 und das gleiche nochmal als default route. Dann greife ich per o.g. iptables Befehl auf L2 die pakete ab, die an die tun0 adresse gehen sollen und schicke sie damit über tun0 an den VPN Provider.

Jetzt habe ich nur noch ein letztes Problem: auf meinen L3 clients ist jetzt auch die default route(->gateway) auf die IP des tun0 interfaces bei L2 gesetzt - jetzt kann ich aber nicht mehr auf die echte public ip (->interface eth0) des L2 servers verbinden.
Was kann ich da machen?

Thunderbyte said:
Unabhängig von Deinem Problem. Ich bin heute auf der Suche nach einer VPN Lösung auf http://www.softether.org/ gestoßen. Dabei handelt es sich um eine sehr mächtige SSTP/L2TP/OpenVPN Lösung, die trotzdem recht einfach zu bedienen ist. Die Doku unterstützt bei LAN-to-LAN Verbindung u.v.m. Vielleicht hilfts Dir ja.

Ein Vorteil ist auf jeden Fall schon mal die zentrale Administrationsfähigkeit. Außerdem können auch mobile Endgeräte ins Netzwerk integriert werden.
Click to expand...

wow das sieht sehr interessant aus! Ich bin aber erst mal froh dass soweit ziemlich alles mit dem läuft was ich habe - werds mir aber auf jeden Fall auch mal zum rumspielen runterladen. DANKE!
 
Thunderbyte said:
Unabhängig von Deinem Problem. Ich bin heute auf der Suche nach einer VPN Lösung auf http://www.softether.org/ gestoßen.
Click to expand...

hey, netter tip - ich hab es mir eben mal angeschaut und ein Testsetup gebaut... was ich NICHT hinbekommen habe ist, die Clients dazu zu bringen, dass sämtlicher InternetTraffic über den VPN rennt

wenn du da n Tip haben solltest, dann wäre das toll


grüße
 
AdrianW said:
die Clients dazu zu bringen, dass sämtlicher InternetTraffic über den VPN rennt
Click to expand...

Jep, das gleiche Problem hatte ich zuerst auch. Unter http://www.softether.org/4-docs/1-m...e_Access_into_Firewall_without_Any_Permission wird Dir weitergeholfen. Du muss auf dem "Manage Virtual Hub" Tab "Secure NAT" einschalten.

Hierdurch bekommst Du als VPN Nutzer eine private IP Adresse aus dem 192.168.30.X Bereich und der VPN Server macht dann NAT ins Internet (wie ein Router).

EDIT: Die Geschichte läuft übrigens als Windows Service (bei mir), daher kann man das auch ausgeloggt dauerhaft betreiben. Auch die entfernte Administrationsmöglichkeit ist sehr fein (nur Admininterface installieren).
 
ah super, vielen Dank Thunderbyte

einzig gibt es dann ein Problem, der DHCP bindet sich nicht nur an das VPN Interface, sondern auch an eth0 und bringt damit einiges durcheinander.

In der Managementsoftware hab ich dazu auch noch nix gefunden, aber mal sehen. Falls du dazu schon was gefunden hast, immer raus damit ;)

grüße
 
traffic_22 said:
Jetzt habe ich nur noch ein letztes Problem: auf meinen L3 clients ist jetzt auch die default route(->gateway) auf die IP des tun0 interfaces bei L2 gesetzt - jetzt kann ich aber nicht mehr auf die echte public ip (->interface eth0) des L2 servers verbinden.
Was kann ich da machen?
Click to expand...

Ich zitier mich ausnahmsweise mal selber - kann sein dass die Frage untergegangen ist - hat da jemand eine Lösung parat? Würd mich freuen.

Danke!

EDIT: Nevermind - ist nicht mehr nötig.
Ich habe jetzt ausgiebig mit dem Tool rumgespielt - SEHR SEHR nett!! Wirklich zu empfehlen. Ich habe auf L2 einen Bridging Hub eingerichtet, L1 ist jetzt eine Bridge, L3 ist ein normaler OpenVPN Client. Mit meinem o.g. iptables Befehl komm ich jetzt von überall über meinen VPN Provider ins Netz, sobald ich die IP des Bridging Hub als Gateway eintrage. Und das "1 Heimnetz von überall" funktioniert damit auch prima.

Also dickes Lob an Thunderbyte für das Auffinden des Tools - und auch danke an alle anderen die mir beim Thema Netzwerk ein paar Lücken geschlossen haben.

Beste Grüße
 
Last edited by a moderator:
You must log in or register to reply here.
Back
Top