Kein LAN nach VPN über OpenWrt?

[pattefix]

Hallo zusammen,

ich kämpfe hier seit ein paar Tagen/Wochen, mit meinem neuen Rechner und der Vorstellung, das ich darauf Proxmox laufen lasse, darauf wiederum eine Firewall/Router, welcher mit 2 Fritzboxen als Input und sowohl ein LAN, als auch ein VPN Netz zur Verfügung stellt. Nachdem ich bisher aus diversen Gründen an OPNSense und PFSense gescheitert bin(kein Multiwan, kein VPN),
habe ich jetzt OpenWrt zumindest halbwegs laufen.

Fritz1 Fritz2
| |
|P1 |P2
-------------------
| openwrt |
| (unter Proxmox) |
-------------------
| | | |
|P3 |P4 |P5 |P6
| | | |
|
|-------|
|Switch|
|-------|
| | | |
x1...x8

P3 und P4 sind "normale" LAN Ports aus 10.10.10.1/24
P5 und P6 gehen über NordVPN und stellt ein VPNNetz aus 10.10.11.1/24 zur Verfügung

Am Anfang hatte ich nur das LAN, sobald ich P1 oder P2 gezogen habe, hat die andere Fritzbox übernommen.
Nach dem einrichten von NordVPN, funktionieren die Verbindungen P5,P6 bzw. x1-x8 zwar fast wie gewünscht,
aber P3-P4 kommt nicht mehr ins Internet. (sobald ich VPN Stoppe geht es wieder)

Hier komme ich nicht mehr weiter, was kann ich überprüfen, um eine Lösung zu finden?

Zusätzlich hatte ich noch das Problem, das ich aus dem VPN-Netz für die HomeAutomation nicht mehr an die Fritzboxen gekommen bin, dafür habe ich eine Zone von VPN nach WAN mit Eingehend zulassen angelegt... ob das so richtig/vernünftig ist? zumindest funktionierts

Da das eigentlich nicht so meine Materie ist, bin ich für jede Hilfe/Anregung dankbar.
(wenn ich den Artikel verfasse/bearbeite scheint die Darstellung OK zu sein, bei Veröffentlichung aber nicht mehr)

 

[Stock86]

Hi und willkommen

Ich verstehe deine "Zeichnung" aktuell noch nicht ganz. Kannst du das vielleicht etwas genauer in Paint oder besser in Visio oder ähnlichem darstellen?

Und vielleicht noch ein paar mehr Infos zur Hardware. Hat dein neuer Rechner 6 Ethernetanschlüsse oder nur einen festen und den Rest simulierst du in Proxmox? Dann müsstest du ja mit VLANs arbeiten um die Netze zu trennen. Kann dein Switch mit VLANs umgehen?

 

[redjack1000]

aber P3-P4 kommt nicht mehr ins Internet. (sobald ich VPN Stoppe geht es wieder)

Für mich klingt das nach einem Firewall- und/oder Routingproblem.

Hier komme ich nicht mehr weiter, was kann ich überprüfen, um eine Lösung zu finden?

Die Firewall und/oder das Routing.

Alternativ uns weitere Details dazu nennen.

CU
redjack

 

[pattefix]

Hallo und vielen Dank schonmal für die schnelle Rückmeldung
und hoffe das ist so etwas besser

P3 und P4 sind "normale" LAN Ports aus 10.10.10.1/24
P5 und P6 gehen über NordVPN und stellt ein VPNNetz aus 10.10.11.1/24 zur Verfügung

ich könnte zumindest für einen Teil wohl VLAN nutzen, wüßte aber nicht, ob ich dadurch irgendwo ein vorteil hätte

Ergänzung (30. Mai 2023)

Für mich klingt das nach einem Firewall- und/oder Routingproblem.


Die Firewall und/oder das Routing.

Alternativ uns weitere Details dazu nennen.

CU
redjack

Die Frage für mich ist, welche Details währen interessant.

habe keine Reglen für Routing,Protweiterleitungen oder NAT
bei Trafic-Regeln, habe ich nur 2 Regeln für DHCP und DNS lt. NordVPN Anleitung erstellt
ansonsten habe ich noch folgende Zonen unter der Firewall:

und warum geht es, wenn ich VPN deaktiviere?

 

[riversource]

Um beurteilen zu können, was schief geht, brauchen wir die exakten IP- und Routenkonfigurationen vom OpenWRT und dem Host System mit aktiver und nicht aktiver VPN Verbindung. Was genau heißt "VLAN Switch"? Arbeitest du mit VLANs? Dann brauchen wir auch die exakte Konfiguration der VLANs und Bridges, sowohl vom Router als auch vom Switch. Darüber hinaus die üblich verdächtigen Log-Informationen.

 

[redjack1000]

und warum geht es, wenn ich VPN deaktiviere

Weil sich mit sehr hoher Wahrscheinlichkeit, das Routing, mit aktivierten/deaktivierten VPN ändert.

Die Frage für mich ist, welche Details währen interessant.

Details zur Firewall (Regeln) und Routing.

CU
redjack

 

[pattefix]

ich habe die IP-Adressen etwas geändert, aber daran scheint es "natürlich" nicht zu liegen
und bin erstmal nur auf 2 Ports runter (eth0 = br-tst oder VPN mit 10.11.12.1/24) und (eth1 = br-lan oder LAN mit 10.10.99.1/24)
und die Switche spielen keine Rolle, da jetzt jeweil direkt ein PC's dran hängt

route - Ohne VPN: Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
default 192.168.1.1 0.0.0.0 UG 1 0 0 eth3
default 192-168-178-1.f 0.0.0.0 UG 2 0 0 eth2
10.10.99.0 * 255.255.255.0 U 0 0 0 br-lan
10.11.12.0 * 255.255.255.0 U 0 0 0 br-tst
192.168.1.0 * 255.255.255.0 U 1 0 0 eth3
192.168.178.0 * 255.255.255.0 U 2 0 0 eth2

route - Mit VPN: Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
default 10.8.3.1 128.0.0.0 UG 0 0 0 tun0
default fritz-box.fritz 0.0.0.0 UG 1 0 0 eth3
default 192.168.178.1 0.0.0.0 UG 2 0 0 eth2
10.8.3.0 * 255.255.255.0 U 0 0 0 tun0
10.10.99.0 * 255.255.255.0 U 0 0 0 br-lan
10.11.12.0 * 255.255.255.0 U 0 0 0 br-tst
128.0.0.0 10.8.3.1 128.0.0.0 UG 0 0 0 tun0
185.196.22.7 fritz-box.fritz 255.255.255.255 UGH 0 0 0 eth3
192.168.1.0 * 255.255.255.0 U 1 0 0 eth3
192.168.178.0 * 255.255.255.0 U 2 0 0 eth2

 

[redjack1000]

Im VPN eventuell "redirect Gateway" aktiviert?

CU
redjack

 

[pattefix]

ich kann in der Richtung bzgl. redirect Gateway leider nichts finden.

die Route auf dem PC im LAN fehlte noch.
ist identisch, egal ob auf dem anderen Port VPN aktiv ist oder nicht, nur die abfrage dauert lange und ich komme nicht ins INET.
Kernel IP routing table
Ziel Router Genmask Flags Metric Ref Use Iface
default 10.10.99.1 0.0.0.0 UG 100 0 0 eth0
10.10.99.0 0.0.0.0 255.255.255.0 UG 100 0 0 eth0

 

[riversource]

Im VPN ist Redirect Gateway an. Die Default-Route wird aufs VPN umgebogen, nur eine Host-Route aufs VPN Gateway bleibt erhalten. Ist das so gewollt? Damit würde im Zweifel alles aus beiden VLANs über VPN geleitet.

Ich vermute, die NAT und Firewall-Regeln fehlen, um den Traffic über VPN zu leiten. Wenn nur ein VLAN die Daten übers VPN leiten soll, muss die Default Route natürlich weg und man muss das von Hand machen.

 

[pattefix]

Wie sagt man so schön, hier fahren soviele Züge vorbei, ich verstehe nur Bahnhof

ich bin nach der Anleitung "OpenWrt setup with NordVPN" vorgegangen,
dort finde ich nichts bzgl. Redirect und/oder Gateway
Wenn dem so sein solle das "Redirect Gateway" irgendwo eingeschaltet ist, nicht bewusst durch mich bzw. habe ich keine Ahnung wo ich das sehen oder ändern könnte.

VLAN habe ich nicht im Einsatz, will erstmal das es überhaupt läuft.

VPN geht ja, und auch nur dafür habe ich 2 Regeln angelegt
quelle:tst(vpn) input accept, output accept, forward reject dest:VPNfirewall
quelle:VPNfirewall input reject, output accept, forward reject fromSource:tst(vpn)

für das LAN gibts entsprechend
quelle:lan input accept, output accept, forward accept dest:wan
quelle:wan input drop, output accept, forward drop fromSource:lan

Ergänzung (31. Mai 2023)

ich könnte noch erwähnen, das es wohl reicht das interface tun0 zu beenden, dann funktioniert (fast wie erwartet) das lan auf eth1
was ich aber nicht erwartet habe, bzw. auch nicht wünsche, das eth0 (also eigentlich das vpn netzt) jetzt über meine normale IP raus/rein geht

Ergänzung (31. Mai 2023)

kann es evtl. auch etwas mit dem MultiWAN zu tun haben?
ist allerdings auch nach Anleitung angelegt, aber vieleicht vertragen sich die beiden nicht.

 

[riversource]

Wie sagt man so schön, hier fahren soviele Züge vorbei, ich verstehe nur Bahnhof

ich bin nach der Anleitung "OpenWrt setup with NordVPN" vorgegangen,

Ganz schlecht. Du hast kein Standard-Setup, durch die zwei getrennten LAN Bereiche, von denen einer VPN-Zugriff bekommt und der andere nicht. Das macht es komplex, und eine Standard-Anleitung hilft dir nicht weiter. Du musst vollständig verstehen, was da passiert, und dann die Anleitung an deine Bedürfnisse anpassen.

dort finde ich nichts bzgl. Redirect und/oder Gateway

Hast du denn VPN komplett über eine grafische Oberfläche eingerichtet? Oder gab es da irgendwo mal eine vorgefertigte Konfigurationsdatei? Die Einstellung ist am Ende in dieser OpenVPN Konfig-Datei, wie auch immer sie da reinkommt.

Das Setup ist gar nicht so trivial, da muss man sich vor allem bei den Firewall und NAT Regeln durchaus Gedanken machen, was wo rein muss. Dinge wie DNS werden auch tricky. Sollen beide Verbindungen den gleichen DNS verwenden? Oder unterschiedliche? Was ich in deiner Beschreibung auch überhaupt nicht sehe, wo du die NAT Regeln verwaltest. Und die Routen müssen natürlich zu den Firewall Regeln passen, sonst wird das nichts.

 

[pattefix]

erstmal danke für die Hilfe bisher,
ich glaube ich muss da nochmal von vorne anfangen und nicht so viel auf einmal wollen,
für mich nur blöd, das die meiste Doku in Englisch ist, was die Sache nicht einfacher macht.

Vor der VPN Einrichtung lief ja alles soweit und ich war der Meinung, das ich relativ einfach auf einen zusätlichen NIC lt der Anleitung ein VPN-Netz aufbauen kann. Das VPN läuft dann zwar, aber das das "alte" irgendwie beeinträchtigt hätte ich nicht erwartet.

Ja, ich habe das komplett über die GUI eingerichtet und es steht nichts von Redirect oder Gateway in der *.ovpn Datei

Wenn es keine einfachere Lösung gibt, wie ich in meinem Heimnetz einigen Geräten ein normales INET und andern ein VPN-INET bereit stellen kann, versuche ich es evtl. mal mit 2 Router auf dem Proxmox.
(zumindest in meinen naiven Vorstellungen könnte das gehen und ist evtl. einfacher)

 

[riversource]

Ja, ich habe das komplett über die GUI eingerichtet und es steht nichts von Redirect oder Gateway in der *.ovpn Datei

Das ist schlecht. Steht da sowas wie "pull" drin"? Dann bedeutet das, dass sich OpenVPN die Routen vom Server holt, was wieder heißt, dass du keinen Einfluss darauf hast. Ich bin mir nicht sicher, ob man die restliche Konfiguration so zum Laufen bekommt, wie du es dir vorstellst.

Wenn es keine einfachere Lösung gibt, wie ich in meinem Heimnetz einigen Geräten ein normales INET und andern ein VPN-INET bereit stellen kann, versuche ich es evtl. mal mit 2 Router auf dem Proxmox.
(zumindest in meinen naiven Vorstellungen könnte das gehen und ist evtl. einfacher)

Den zweiten Router kannst du vermutlich einfacher einrichten. Aber das Mapping auf die physikalischen Netzwerk-Schnittstellen und die Konfiguration des Proxmox Hostes wird dadurch deutlich komplexer.

 

[pattefix]

Ja, in der *.ovpn steht ein pull (ungünstig )

ich habe es jetzt mal mit folgender Konfig versucht:
innerhalb vom Proxmox gibt es 2 Openwrt's, einer stellt das normale LAN zur Verfügung und ein weiter das VPNLAN, wo jeweils verschiedene Geräte über jeweils ein Switch dran hängen.
Theoretisch klappt das soweit, praktisch würde ich jetzt gerne noch aus dem LAN auf Geräte aus dem VPNLAN zugreifen. also z.b. von 10.10.10.50 auf 10.11.12.6
Hat da evtl. noch jemand einen einfachen/guten/"richtigen" Vorschlag?

proxmox
nic0 = vmbr0
nic1 = vmbr1
nic2 = vmbr2
nic3 = vmbr3
nic4 = vmbr4 FritzB2
nic5 = vmbr5 FritzB1

Opnwrt1
vmbr3 10.10.10.1/24 (normales LAN)
vmbr4 FritzB2
vmbr5 FritzB1

Opnwrt2
vmbr2 10.11.12.1/24 (VPN-LAN)
vmbr4 FritzB2
vmbr5 FritzB1

 

[riversource]

praktisch würde ich jetzt gerne noch aus dem LAN auf Geräte aus dem VPNLAN zugreifen. also z.b. von 10.10.10.50 auf 10.11.12.6

Also die Trennung des Netzwerkes in 2 Segmente ist für den Anwendungsfall eigentlich vorbildlich, und jetzt würfelst du alles wieder zusammen? Da kannst du auch gleich alle Geräte in einem LAN lassen, wenn sie sich gegenseitig erreichen sollen.

Du könntest OpenWRT1 mit ins vmbr2 aufnehmen, sodass OpenWRT1 auch eine IP aus dem VPN-Netz hat. Default-Route auf NordVPN etc. brauchst du nicht, d.h., ich würde keinen DHCP Client auf dem Interface laufen lassen, sondern die IP statisch einstellen, sonst verteilt OpenWRT2 seine Routen an OpenWRT1, und das wollen wir nicht. In OpenWRT1 wird dann eine NAT-Routing Regel angelegt, mit der das LAN-Subnetz auf das VPN-Subnetz zugreifen kann. NAT sorgt dafür, dass es nur in eine Richtung geht, also nur LAN->VPN, aber nicht umgekehrt.

 

[pattefix]

Ich wüfel zusammen, weil die einen Geräte nur über VPN raus sollen und andere sollen die volle Geschwindigkeit nutzen können, untereinander sollen sie aber erreichbar sein.

Dein Vorschlag hört sich gut an, aber ich scheiter wieder an mein Unwissen. Was ist eine "NAT-Routing Regel"
NAT-Routing Regel könnte für mich jetzt irgendwas unter Routing sein, oder auch NAT-RULES unter Firewall, wo ich mal von ausgehe und da habe ich einiges versucht, aber anscheinend nicht das richtige.

Bin aber jetzt doch zu einem Zufalls Erfolg gekommen, nach dem zufügen der vmbr2 Schnittstelle, fehlte in der Schnittstelle noch die Zuweisung zur Firewallzone.

Ich glaube es ist jetzt soweit zumindest erstmal lauffähig und ich kann mir in Ruhe mal was Vernünftiges überlegen, habe ja noch ein paar Ports zum testen frei.

vielen Dank nochmal
pattefix

 

[riversource]

Ich wüfel zusammen, weil die einen Geräte nur über VPN raus sollen und andere sollen die volle Geschwindigkeit nutzen können, untereinander sollen sie aber erreichbar sein.

Wäre es da nicht einfacher, in den betroffenen Geräten einfach die Default-Route zu ändern?

Bin aber jetzt doch zu einem Zufalls Erfolg gekommen, nach dem zufügen der vmbr2 Schnittstelle, fehlte in der Schnittstelle noch die Zuweisung zur Firewallzone.

Und du bist dir sicher, dass da am Ende herausgekommen ist, was du willst - ohne negative Seiteneffekte?

 

[pattefix]

Wäre es da nicht einfacher, in den betroffenen Geräten einfach die Default-Route zu ändern?

Einfach wäre für mich optimal, aber da ich keine Ahnung habe wie oder was ich da machen müsste, habe ich es erstmal für den aus meiner Sicht einzig möglichen Weg entschieden. Was nicht heißen soll, das ich gerne auf einfach umsteigen möchte.

Und du bist dir sicher, dass da am Ende herausgekommen ist, was du willst - ohne negative Seiteneffekte?

Nein, absolut nicht, da ich auch hier keine Ahnung habe was da passiert.

Routing,Rules,Forwards, das alles in mehrern Versionen mit noch mehr Einstellmöglichkeiten und der eine nennt das so, der andere anders.
Ich frage mich wie das die anderen alle machen, Entweder gar nicht, oder sind alles halbe bis ganze Netzwerkprofis, oder stelle ich mich einfach viel zu blöd an. (hierrauf besser nicht Anworten )

 

[riversource]

Routing,Rules,Forwards, das alles in mehrern Versionen mit noch mehr Einstellmöglichkeiten und der eine nennt das so, der andere anders.

Dass sie anders benannt werden, liegt daran, dass es sich dabei um unterschiedliche Dinge handelt. Und man muss sich um alle kümmern.

Das ist einer der Gründe, warum ich sage, man darf mit solchen Dingen nicht direkt am operativen System arbeiten. Man baut sich 5 oder 6 VMs auf der Plattform seiner Wahl und spielt damit herum. Einige sind Router, andere Clients. Dann liest man sich in die einschlägige Dokumentation ein, denn zu Linux, Routing und Firewall gibt es viel sehr gute Dokumentation. Wichtig ist, dass man sich nicht einfach an irgendein Howto hängt, denn das passt in den seltensten Fällen auf den eigenen Anwendungsfall. Man muss die Grundlagen komplett verstanden haben, dann kann man in so ein Howto reinsehen und sich anschauen, wie es jemand gemacht hat und was man davon ggf. gebrauchen kann - und was nicht (letzteres ist wichtiger!). Man sollte nicht vergessen: Dadurch baut man sich ja auch Sicherheitslücken in sein System, wenn man Fehler macht. Und eine Situation wie "Das funktioniert eher zufällig und ich weiß nicht, warum" würde mich nervös machen. Du musst zumindest lückenlos herausfinden, was da jetzt passiert und warum es sich so verhält, sonst wirst du nie beurteilen können, wo du im Zweifel dran musst.