Ein Router normal und ein Router mit VPN kombinieren

[chris71swiss]

Hallo zusammen,

Ich habe eine Frage um 2 Router zu betreiben.

Zur Zeit habe ich 3 Router:
192.168.1.1 als Hauptrouter für Fiber Internet (dieser ist im Keller)
192.168.1.2 LTE Router mit Simkarte im Wohnzimmer (DHCP aus)
192.168.1.3 WLan Router im Wohnzimmer (DHCP aus)

Meine 2 Smart TV haben als Standard Gateway 192.168.1.2 weil ich dort Zattoo laufen habe und LTE mit Schweizer Netz.

Alle anderen Geräte gehen via 192.168.1.1 und Fiber Internet ins Netz.

Nun möchte ich einen weiteren Router installieren, 192.168.1.4 mit einem VPN Dienst darauf installiert.
Und ich möchte dies so konfigurieren, dass nur die 2 Smart TVs via 192.168.1.4 dann per VPN über 192.168.1.1 ins Fiber Internet gehen.

Wie muss ich das machen?
Irgendwie bin ich mir nicht sicher ob das so wirklich klappt.

Vielen Dank für Eure Hilfe.

Grüsse
Chris

 

[Raijin]

Das klingt nach ziemlich vielen Routern...

Nun möchte ich einen weiteren Router installieren, 192.168.1.4 mit einem VPN Dienst darauf installiert.
Und ich möchte dies so konfigurieren, dass nur die 2 Smart TVs via 192.168.1.4 dann per VPN über 192.168.1.1 ins Fiber Internet gehen.

Dann mach das doch einfach? Der Router #4 wird dann zB mittels OpenVPN und passendem Profil für VPN-Dienstleister x ausgestattet und baut somit eine VPN-Verbindung dorthin auf. Diese Profile sind in der Regel schon so konfiguriert, dass sie sämtlichen Traffic, der ins Internet soll - außer dem VPN-Tunnel selbst - über die VPN-Verbindung schicken (nennt sich bei OpenVPN zB redirect-gateway). Die TVs bekommen als Standardgateway die 192.168.1.4 und das war's dann so ziemlich auch schon. Die TVs schicken ihre Internetverbindungen zu Router #4, dieser leitet sie zum VPN-Server beim Anbieter weiter und von dort aus geht es dann ins große weite WWW.

So ein Setup mit effektiv 3 Internetgateways, einmal via Hausanschluss, LTE und nu noch VPN ist natürlich nicht ganz trivial. Besser wäre an dieser Stelle gegebenenfalls ein Multi-WAN-Router, der zwischen die jeweiligen Gateways und das eigentliche Heimnetzwerk gebracht wird. Die Endgeräte sehen dann nur den Multi-WAN-Router als Gateway und dieser kann dann anhand definierter Regeln entscheiden welches Endgerät über welche WAN-Verbindung nach draußen geht.


Dein Setup:

WAN #1 (Fiber)
|
|
Endgeräte ---- WAN #2 (LTE)
|
|
WAN #3 (VPN)


Multi-WAN-Setup:

WAN #1 (Fiber) @ Port1 / WAN #2 (LTE) @ Port 2
||
MultiWAN-Router (mit VPN)
|
Endgeräte


Der Vorteil liegt darin, dass man zentral am MultiWAN-Router definieren kann welches Gerät was wie wo Internet bekommt. So kann man sich die Konfiguration der einzelnen Geräte komplett sparen und kann sie auf DHCP belassen - mit statischen Reservierungen für jene Geräte, die vom "Standard" @ WAN #1 abweichen.

 

[Harry Bo]

Nimm die FRITZ!Box 6890 LTE oder den Nachfolger, dann kann man die Anzahl der Router reduzieren.

 

[chris71swiss]

Hallo zusammen

@Raijin Vielen Dank, werde ich so mal probieren.

@ Harry Bo Wieso meinst Du ? Ich habe die FRITZ!Box 6890 als LTE Router. Wie hilft mir das weiter?

Gruss v.
Chris

 

[Raijin]

Ich vermute @Harry Bo spielt darauf an, dass die 6890 LTE ein Hybrid-Router ist und wohl DSL und LTE "kann". Allerdings kann ich dir nicht sagen welche Multi-WAN-Fähigkeiten die Fritzbox hat oder ob diese nur sehr rudimentär umgesetzt sind, beispielsweise nur als Fallback, wenn DSL mal ausfällt. Dazu müsste man mal einen Blick ins Handbuch werfen ob dort entsprechende Szenarien behandelt werden, bei denen man gezielt einzelne Clients über DSL oder eben LTE. In deinem Falle gäbe es aber gar keine DSL-Verbindung und dann ist es eh fraglich ob die Fritzbox da überhaupt irgendwas tut, wenn sie ihr "Internet via LAN1" bezieht oder wie das bei AVM auch immer heißt.

 

[chris71swiss]

Hallo Raijin

Vielen Dank für deine Infos.

Noch eine andere Frage:
Wäre es ev. Sinnvoller dem Router mit VPN eine andere IP zu geben?
An stelle von 192.168.1.4 z.B. 192.168.2.1 und dann die Smart TVs damit verbinden.
So kann 192.168.2.1 das DHCP eingeschaltet bleiben.
Oder sehe ich das falsch, bez. übersehe ich so etwas ?

Gruss Chris

 

[chris71swiss]

OK, ich glaub das geht so nicht....da ich noch ein NAS auf 192.168.1.15 habe. Und auch auf diese mit den Smart TV zugreifen möchte. Ich denke, dass wäre dann nicht mehr möglich....

 

[Raijin]

Nein, nein, nein.

DHCP ist es vollkommen egal auf welcher IP es läuft, weil DHCP unterhalb der IP funktioniert. Wenn du mehrere Router mit aktivem DHCP-Server in ein und dasselbe physische Netz stellst, dann ist es egal ob der eine 192.168.1.1 hat und der andere 172.27.1.1 oder auch 10.11.12.13 hat. In jedem Fall wird es reiner Zufall sein ob sich ein DHCP-Client nu eine IP vom ersten, zweiten oder x.ten aktiven DHCP-Server holt, weil der erste DHCP-Server, der auf die Anfrage antwortet, das Rennen gewinnt.

Darüber hinaus sind verschiedene Subnetze - oder auch "IP-Kreise" in Otto Normal-sprech - auf derselben Infrastruktur generell ein NoNo. Dadurch ist mitnichten irgendwas getrennt oder so. Belasse es bei einem Subnetz (192.168.1.x) und lass weiterhin nur einen DHCP-Server aktiv. Dies sollte der DHCP-Server sein, der die "Standardkonfiguration" an die Endgeräte ausliefert, die keine besonderen Anforderungen haben, im Regelfall also der Fiber-Router, weil LTE- und VPN-Verbindung ja tendenziell die Spezialfälle sind - dann bekommen nur die Geräte, die explizit LTE oder VPN nutzen sollen, eine manuelle IP-Konfiguration.

Ansonsten wie gesagt auch optional zentral über einen Multi-WAN-Router. Allerdings will der natürlich auch adäquat konfiguriert werden. Wenn du mit deinem aktuellen Setup soweit zufrieden bist, kannst du es mit einem simplen VPN-Gateway erweitern. Das muss aber nicht zwangsläufig erneut ein "Router" im physischen Sinne sein. Ein Raspberry PI, ein ausgedienter Laptop oder ggfs auch ein NAS können ebenfalls als VPN-Gateway oder eben "VPN-Router" benutzt werden. Entscheidend ist bei VPN, dass die CPU des Geräts einigermaßen potent sein muss. Wenn du zB einen 10€ Router kaufst, weil auf der Packung "VPN" steht, wirst du mit Glück vielleicht 10 Mbit/s via VPN rauskitzeln können, weil danach die CPU einfach am Limit ist. Im Vergleich dazu: Bei einem alten Laptop wären es tendenziell mehrere Hundert Mbit/s, wenn denn der VPN-Anbieter das überhaupt wuppt.

 

[chris71swiss]

Ja, es geht mir wirklich nur darum, dass ich ExpressVPN nutzen kann.
Aber nur meine 2 Samrt TV sollten via dem VPN dienst ins Internet.

Jetzt hatte ich einen neuen Router gekauft und auf dem die Firmware von ExpressVPN installiert. Nun aber lässt sich dort das DHCP nicht deaktivieren.
Nun werde ich versuchen DD-WRT zu installieren, dann sollte eigentlich alles klappen, mit DD-WRT kann ich dann auch ExpressVPN nutzen....
Hoffe ich ;-)

VIELEN DANK für deine Hilfe.

Gruss v. Chris

 

[Raijin]

Wie jetzt, eine Firmware von einem VPN-Anbieter?!? Das ist mir neu, hab mich aber auch nie wirklich intensiv mit VPN-Anbietern beschäftigt außer dass ich früher mal nen Cyberghost-Account hatte. Normalerweise kenne ich das nur so, dass der Anbieter Konfigurationsdateien für IPsec/OpenVPN und neuerdings ggfs auch wireguard zum Download bereitstellt (oder für PCs eben eine VPN-Software).

 

[chris71swiss]

Ja, ExpressVPN hat eine eigene Firmware für Router, aber nur für eine Handvoll.
In der Firmware lässt sich dann auch einstellen, welche Endgeräte per VPN oder welche die ohne VPN ins Internet gelangen. Die Firmaware ist relativ simpel aufgebaut, aber ich finde gut gemacht ;-)


Nun habe ich noch eine Frage an Dich betr. DHCP.

Ich habe zur Zeit ja 3 Router in Betrieb:

192.168.1.1 ist auch das Modem, ist im Keller mit Fiber Obptic
192.168.1.2 der LTE Router im Wohnzimmer
192.168.1.3 Netgear Router im Wohnzimmer (im Access Point Modus) als WLan Router

auf .1 ist DHCP an und auf den anderen aus.

Nun habe ich das Problem, dass Sich beim neuen Router mit der ExpressVPN Firmware das DHCP dort nicht ausschalten lässt.

Kann ich nun einfach diesen als 192.168.1.4 einrichten, Gateway auf 192.168.1.1 mit DHCP an und auf dem 192.168.1.1 DHCP ausschalten.

Wenn ich Dich richtig verstanden habe, sollte das geben, von wo das DHCP komme ist ja eigentlich egal oder?

Vielen Dank

Gruss v.
Chris

Ergänzung (27. August 2020)

Noch eine kleine Info:
Ich kann bei der ExpressVPN Firmware einfach nur auswählen:
DHCP oder PPPoE

Wenn ich PPPoE auswähle muss ich ein Benutzername und Passwort angeben.
Ich habe nicht versucht ob ich es speichern kann, ohne etwas dort einzutragen.....

Gruss v.
Chris

 

[Raijin]

Wenn ich Dich richtig verstanden habe, sollte das geben, von wo das DHCP komme ist ja eigentlich egal oder?

Ja. Entscheidend ist ob man dem DHCP-Server in der VPN-Firmware sagen kann, dass er die .1 als Gateway verteilt. Sonst gibt er implizit seine eigene IP (.4) als Gateway raus und dann gehen die Endgeräte immer so: Endgerät > .4 > .1 > www und nehmen somit einen Umweg.

In jedem Fall darf es nur einen aktiven DHCP-Server im Netzwerk haben, wenn man sich nicht auskennt.

Ich kann bei der ExpressVPN Firmware einfach nur auswählen:
DHCP oder PPPoE

PPPoE ist sozusagen der Login beim Internetprovider und wird nur benötigt, wenn dieser Router für den Internetanschluss verantwortlich sein soll

 

[chris71swiss]

War ja klar, bei meinem Glück ;-)

Ja. Entscheidend ist ob man dem DHCP-Server in der VPN-Firmware sagen kann, dass er die .1 als Gateway verteilt. Sonst gibt er implizit seine eigene IP (.4) als Gateway raus und dann gehen die Endgeräte immer so: Endgerät > .4 > .1 > www und nehmen somit einen Umweg.

Genau das geht nicht, es kann bei der ExpressVPN Firmware kein Gateway eingestellt werden.

Kann ich das ev. umgehen, das wenn ich bei den Geräten die ev. nicht via VPN ins Internet sollen, direckt das Gateway .1 eintrage?