ComputerBase Menü
Aktuelles

Frage, VPN über VPN Verbindung, Ansätze, Ideen etc.

D

Domi83

Rear Admiral
Registriert
Feb. 2010
Beiträge
5.202
Hallo Leute, ich habe mal eine kleine Frage und wusste nicht so ganz wie ich dem Thema den richtigen Titel verpassen soll. Es geht um folgendes, ein Kunde von mir hat bei sich im Büro einen VPN Gateway von einem externen Dienstleister stehen über den das Warenwirtschafts- und Logistik System funktioniert.

Dieser Gateway ist von diesem Dienstleister und kann von uns (meinem Kunden und mir) nicht angepasst werden. Über diesen Gateway läuft eine IPsec VPN Verbindung zu dieser Firma, so das mein Kunde mit Citrix das Logistik Programm nutzen kann.

Nun kann mein Kunde selbst auf seinem Notebook via OpenVPN von überall in das Firmennetzwerk. Das funktioniert ohne Probleme, aber mich würde nun interessieren ob man dem OpenVPN irgendwie beibringen kann auch dieses VPN Netz des Dienstleisters verfügbar zu machen. Aufgebaut inkl. den IP Adressen ist es wie folgt,

- 10.41.1.100 (Win 2011 Server, OpenVPN Server)
- 10.41.1.254 (VPN Gateway des Dienstleisters)
-- 192.168.111.0 / 24 (zu erreichendes Netz des Dienstleisters)

Wenn ich mich jetzt nicht irre, muss ich versuchen dem Win 2011 Server beizubringen, das er Anfragen an die Adresse 192.168.111.xx auch an den VPN Gateway leitet. Kann mir dabei vielleicht jemand weiterhelfen? Kann das überhaupt so einfach gehen oder sind da noch andere Hürden die ich vielleicht noch nicht bedacht habe..?

Ich habe auch schon überlegt, ob ich nicht einen kleinen Raspberry als VPN Gateway dort in das Netz hänge und den Dienstleister frage ob wir über den PI die VPN Verbindung aufbauen können. So wäre nur ein Gerät im Netz welches die Tunnel aufbaut und dieses muss dann nur noch das Routing übernehmen :)

Gruß, Domi
 
VPN ist im Prinzip nichts anderes als ein LAN-Kabel in einem zweiten LAN-Anschluss. nur eben virtuell. Möchte man nun das LAN mit dem VPN verbinden, bzw. ein zweites VPN über das LAN mit dem ersten VPN, dann braucht man dazu einen Router, der diese Verbindungen handhabt.

Der Win 2011 Server muss so konfiguriert werden, dass die Firewall Traffic vom OpenVPN ins LAN zulässt. Darüberhinaus muss er ein SNAT machen, wenn Traffic vom OpenVPN zum VPN-Gateway des Dienstleisters geht, da das VPN des Dienstleisters mit ziemlicher SIcherheit nur Anfragen aus dem lokalen Netzwerk zulässt.
Die OpenVPN-Clients wiederum benötigen eine Route ins Dienstleister-VPN, am besten via push Kommando vom OpenVPN-Server (push route 192.168.111......)


Ungefähr sähe dann der Verbindungsaufbau aus:

1)
Laptop zu Hause baut eine OpenVPN-Verbindung ins Büro auf (VPN-IP als Beispiel 10.8.0.123

2)
Ping 192.168.111.234 (zB die Server-IP im Dienstleister-VPN)
--> Gateway OpenVPN-Server

3)
OpenVPN-Server bekommt Ping auf 192.168.111.123 von Quelle 10.8.0.123
--> SNAT/MASQUERADE
--> weiter zu 10.41.1.254

4) VPN Gateway bekommt ping auf 192.168.111.123 von Quelle 10.41.1.100 (durch SNAT in #3)
--> weiter ins Dienstleister-VPN
 
Zuletzt bearbeitet:
Moin moin oder guten Abend Raijin,

vielen Dank für die ausführliche Erklärung und Aufschlüsselung. Ich werde mal meinen PI dort aufbauen und als OpenVPN Server einrichten und dann via iptables die Routen festlegen. Ich hatte mir auch schon fast gedacht, das ich irgend was maskieren muss, denn wenn deren VPN Netz Anfragen von einem anderen Netz als dem 10.41.1.0 Netz bekommt, gehe ich auch mal davon aus das diese nicht angenommen werden.

Auf dem Windows 2011 Server ist ja schon ein OpenVPN von mir persönlich eingerichtet was auch schon funktioniert. Dieses verwende ich für den RDP und mein Kunde könnte auch schon von seinem Notebook aus (von unterwegs) auf alle Daten zugreifen. Selbst das Routing sowie Push funktioniert schon :) Das heißt von meinem lokalen Netz Zuhause kann ich Geräte im Kundennetz 10.41.1.0 Netz ansprechen. Ich muss also nur noch ein Routing in das andere Netz vom Dienstleister 192.168.111.0 vornehmen.

Das probiere ich morgen oder am Wochenende mal aus. Wenn ich es zeitlich geschafft habe und es klappt, gebe ich Feedback.

Gruß, Domi
 
Wenn auf dem Winsows Server schon OpenVPN läuft, wozu dann den PI?
 
Kann ich zwar nachempfinden, aber mit Windows Server geht das auch mit wenigen Handgriffen. Naja, musst du wissen ;)
 
Moin moin, ich hatte mich mal bezüglich den Einstellungen bei Windows etwas belesen und bin auf folgendes gestoßen...
-> Routing Anleitung

Wenn ich es richtig verstehe, muss ich in dem Windows Server ja folgendes setzten...
-> add route 192.168.111.0 mask 255.255.255.0 10.41.1.100

Damit wird dann (laut der Webseite) dem Windows Server bekannt, wie er an das 192.168.111.0 Netz dran kommt. Nun soll aber zusätzlich auf dem VPN Gateway des Dienstleisters mit der IP 10.41.1.254 noch die Rückrouter eingerichtet werden. Da ist dann wieder das Problem.
a. An den VPN Gateway komme ich nicht ran, der Dienstleister gibt die Daten nicht raus
b. Solche Einstellungen wollen Sie nicht vornehmen (hat vermutlich finanzielle Gründe)

Habe ich noch etwas vergessen?
Gruß, Domi
 
Deswegen muss dein Server NAT machen. Damit maskiert er alle IP Adressen von fremden Subnetzen - zB aus deinem OpenVPN-Subnetz - mit seiner eigenen LAN-IP. Der Dienstleister sieht an seinem VPN-Server überhaupt nicht, dass die Daten aus dem OpenVPN kommen, sondern sieht nur die IP deines Servers. Das ist Schritt #3 in meiner kurzen Anleitung in Beitrag #2.

Grundsätzlich ist es dasselbe Prinzip wie mit deinem Internetrouter zu Hause. Dein PC hat zB die LAN-IP 192.168.2.123, computerbase.de sieht aber nur die öffentliche IP-Adresse deines Internetrouters, weil dieser eben auch NAT macht und die Quell-IP 192.168.2.123 mit seiner eigenen öffentlichen IP ersetzt bzw. maskiert.
 
Moin moin, da mich die Konfiguration des Windows Server geärgert hat und ich laute Anleitungen eine GUI verwenden muss, hab ich einen kleinen Linux PC dort hingestellt um das ganze einmal zu testen. Mit iptables geht es dann doch einfacher :) Allerdings muss ich gestehen, dass ich vergessen hatte in der server.conf eine weitere "push route" zu hinterlegen.

Nachdem ich nun die beiden Routen hinterlegt habe,
Code: 
push "route 10.41.1.0 255.255.255.0"
push "route 192.168.111.0 255.255.255.0"

musste ich nur noch im Linux die IP Adresse maskieren,
Code: 
iptables -t nat -A POSTROUTING -s 10.8.0.6 -o eth0 -j MASQUERADE

und schon kann ich vom Notebook über den VPN Tunnel die Endstation (Netz des Dienstleisters) erreichen :)

Gruß, Domi
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

H
Drucken an lokalem Netzwerkdrucker über VPN-Verbindung
Antworten
16
Aufrufe
703
Highlander.
H
S
VPN Gateway im vorhandenen Netzwerk einbinden
2
Antworten
27
Aufrufe
1.510
shoa66
S
F
Gäste-WLAN über VPN
Antworten
9
Aufrufe
799
chrigu
chrigu
Roman1210
UDM Pro Wireguard VPN mit 2 ISP´s
Antworten
10
Aufrufe
591
Roman1210
Roman1210
A
Wireguard-VPN-Netzwerk eines 2. Rechners nach extern nutzen
Antworten
4
Aufrufe
542
Andy81
A
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz