OpenVPN - Router als Client und dessen LAN einbinden?

[shawly]

Hi zusammen,

habe mir einen OpenVPN Server auf meinem vServer installiert und möchte über diesen surfen, sprich den ganzen Traffic durchleiten und zusätzlich auf mein Heimnetzwerk zugreifen können. Jedoch soll mein Router seinen Traffic NICHT durch den VPN leiten, nur mein Laptop soll das.
Um auf das Heimnetz zugreifen zu können, nutze ich den OpenVPN Client meines Routers.

Was bisher funktioniert ist, dass ich mich verbinden kann mit dem Router (10.66.66.10) als auch mit meinem Laptop (10.66.66.5) und auch auf das Webinterface des Routers zugreifen kann. Ich kann auch alle Clients vom Server aus anpingen und umgekehrt und auch alle Clients können sich gegenseitig anpingen.
Kann mit dem Laptop auch über den VPN surfen, jedoch kann ich google.de mit dem Router nicht mehr anpingen.

Was ich nicht kann, ist beispielsweise über den internen Hostname des Routers, also über router.ho.me, auf den Router zuzugreifen, das liegt halt auch daran, dass ich keine Ahnung hab wie ich auf den DNS Server des Routers zugreifen soll..
Hatte die IP (10.66.66.10) des Routers als DNS in meinem Netzwerkadapter eingetragen, jedoch scheint er den DNS nicht zu erreichen...

Spoiler: server.conf

user nobody
group nogroup

dev tun

local xxx.xxx.xxx.xxx
port xxxxx
proto tcp

ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/server.crt
key /etc/openvpn/keys/server.key # This file should be kept secret
dh /etc/openvpn/keys/dh1024.pem

server 10.66.66.0 255.255.255.0
ifconfig-pool-persist ipp.txt

push "redirect-gateway"
push "dhcp-option DNS 8.8.8.8"

client-to-client
keepalive 10 120

comp-lzo

persist-tun
persist-key

verb 3
log-append /var/log/openvpn/openvpn.log
status /var/log/openvpn/status.log

# pam-auth
plugin /usr/lib/openvpn/openvpn-auth-pam.so common-auth
client-cert-not-required
username-as-common-name

redirect-gateway ist vermutlich der Übeltäter, dass der Router nicht mehr ins Internet kann, aber wenn ich den Parameter rauswerfe, dann wird ja der ganze Traffic den ich durchschleifen will wenn ich mit dem Laptop surfe, nicht mehr durch den VPN geleitet oder?

Spoiler: routerclient.conf

client
proto tcp-client
remote xxx.xxx.xxx.xxx xxxxx
resolv-retry infinite
nobind
dev tun0
ca /etc/storage/openvpn/client/ca.crt
auth SHA1
cipher BF-CBC
comp-lzo yes
auth-user-pass secret
persist-key
script-security 2
writepid /var/run/openvpn_cli.pid
up ovpnc.script
down ovpnc.script

### User params:
ns-cert-type server
nice 3
verb 3
mute 10

Kann mir jemand sagen, wie ich meine Konfiguration ergänzen muss, um auf mein ganzes Heimnetzwerk (über die Hostnames der Geräte) zugreifen zu können?
Und wie ich die Clients bzw. den Server konfigurieren muss, dass mein Laptop client den Traffic durch den Server routet aber der Router nicht?

 

[HominiLupus]

VPN Clients via Router sind eigentlich nur dazu da die Clients des Routers zum VPN Server zu verbinden. Ansonsten hast du in der Regel ein Routingproblem wegen NAT.
Was sind denn die jeweiligen IPs von VPN Server, Router und Client hinter dem Router? Bzw. die Routingeinträge für all diese?

 

[kallii]

Du solltest das ganze als nicht erfahrener User mit Softether VPN umsetzen. Diesen gibts für viele verschiedene Betriebssysteme und lässt sich spielend leicht einrichten und ist auch performancemäßig openvpn weit überlegen. Er erstellt dir auch für deinen Routerclient automatisch eine Config, welche du natürlich noch händisch anpassen kannst.

 

[shawly]

VPN Clients via Router sind eigentlich nur dazu da die Clients des Routers zum VPN Server zu verbinden. Ansonsten hast du in der Regel ein Routingproblem wegen NAT.
Was sind denn die jeweiligen IPs von VPN Server, Router und Client hinter dem Router? Bzw. die Routingeinträge für all diese?

Das Subnetz für mein Heimnetz ist 192.168.0.0/24
Und das Subnetz welches mein VPN an die Clients vergibt ist 10.66.66.0/24
In den iptables hab ich lediglich zwei Einträge hinzugefügt:
...
-A POSTROUTING --source 10.66.66.0/24 --out-interface eth0 -j MASQUERADE
...
-A INPUT --protocol tcp --match tcp --destination-port xxxxx -j ACCEPT # xxxxx ist in dem Fall der Port meines OVPN Servers
An meinem Router hab ich sonst nichts an den Routing Einträgen geändert..

@kallii:
Wäre vielleicht besser, ich schau es mir gleich mal an, danke!
Würde das mit OpenVPN jedoch gern auch hinbekommen, geht mir hier auch ein bisschen um den Lerneffekt.

 

[till69]

habe mir einen OpenVPN Server auf meinem vServer installiert und möchte über diesen surfen, sprich den ganzen Traffic durchleiten und zusätzlich auf mein Heimnetzwerk zugreifen können. Jedoch soll mein Router seinen Traffic NICHT durch den VPN leiten, nur mein Laptop soll das.

Ich habe das mit einen zweiten Gateway gelöst: Fritzbox (192.168.1.2) <-> OpenWrt Router (192.168.1.3)
Auf OpenWrt läuft OpenVPN zum V-Server.
Über den V-Server kommt man dann mit Gateway 192.168.1.3 ins Netz. Der Rest vom Heimnetz nutzt das Fritzbox-Gateway.
So ist auch problemlos Port-Forwarding von deiner V-Server-IP ins Heimnetz möglich (z.B. eigener Mail-Server)

 

[Thanok]

Auf Bitte des TEs geschlossen.