ComputerBase Menü
Aktuelles

Verständnisfrage zu OpenVPN

X

X_Clamp

Lieutenant
Registriert
Sep. 2010
Beiträge
931
Hallo,

ich habe derzeit folgende Netzwerk Situation:
Deutsche Glasfaser -> (Genexis) Router -> CAT 7 -> Fritzbox 7560 -> 2* DD-WRT Router per Client Bridge Mode via 5 GHz WLAN angebunden

Ich habe auf den DD-WRT Geräten jeweils den OpenVPN Client aktiviert und erfolgreich eine VPN Verbindung hergestellt. Jedoch wird darüber keinerlei ein- oder ausgehender Netzwerk Verkehr per VPN verschlüsselt (man kann dies gut über den Speedgraph nachvollziehen; über TUN0 ist keinerlei Traffic). Meines Erachtens auch verständlich, da die Geräte als Client Bridge nur ein verlängerter Arm der Fritzbox darstellen und das Internet/ Netzwerk von der Fritzbox direkt an den jeweils abgeschlossenen Client 1:1 weiterreichen.

Nun zu meinen eigentlichen Fragen:
Das Einfallstor ins/ vom Internet ist ja bei mir die Fritzbox. Auf dieser läuft derzeit KEIN OPENVPN. Aktuell wird eine VPN Verbindung via OpenVPN direkt über den jeweiligen Client (SAT Receiver bzw. Rechner) aufgebaut.
Ich möchte die OpenVPN Geschichte nun gerne über einen der DD-WRT Router für mein GESAMTES Netzwerk zentralisieren. Jedoch habe ich hier noch meine Verständnisprobleme:
1. Muss der OpenVPN Client zwingend auf der Fritzbox 7560 als zentrales Internet Gateway laufen?

2. Falls es auch über einen der bislang als Client Bridge angebundenen DD-WRT Router funktioniert, wie muss ich den Router einbinden, damit er den ein- ausgehenden Netzwerk Verkehr per OpenVPN ver-/ entschlüsselt? Die Konstellation Genexis Glasfaser Router -> Fritzbox muss bestehen bleiben.

3. Wie kann ich nur einzelne Geräte (via MAC Adresse) per OpenVPN absichern? Geräte, die Full Speed benötigen, sollen nicht per OpenVPN abgesichert werden.

4. Gibt es für mein Vorhaben noch eine ganze andere Möglichkeit/ Lösung?
 
Richte auf einem der DD-WRT-Router den OpenVPN-Client ein. Setze anschließend das Default-Gateway aller Geräte, die via VPN ins Netz gehen sollen, auf die IP des DD-WRT-Routers. Alle anderen Geräte beziehen ihr Default Gateway weiterhin vom DHCP auf der Fritzbox und gehen somit über die Fritzbox ins Netz. Geräte mit statischer IP, die dennoch via Fritzbox online gehen sollen, bekommen eben die IP der Fritzbox als Gateway manuell eingetragen.
 
@Raijin
Danke für die schnelle Rückmeldung.

Nachdem die DD-WRT Geräte als Client Bridges eingerichtet sind, ist dort kein DHCP Server aktiv. Wenn ich nun auf mehreren Clients das Gateway von einem DD-WRT eintrage, bekommen diese ja keine IP mehr automatisch zugewiesen?
Außer scheint mir das recht viel manueller Aufwand mit dem Eintragen an den Endgeräten zu sein. Gibt es da keine elegantere, zentral managebare Lösung?
 
Ein DHCP-Server vergibt neben der IP-Adresse auch ein Standard-Gateway an die Clients. Das heißt aber nicht, dass man das Standard-Gateway nicht auch ändern kann. Man kann ein Netzwerk auch komplett ohne DHCP betreiben, indem man jedem Gerät manuell eine IP und ein Gateway (und einen DNS) zuweist. Genauso kann man eine Hälfte der Geräte mit DHCP und die andere Hälfte mit manuellen Einstellungen betreiben.

Wenn du an deinem PC, der über VPN und somit über einen DD-WRT-Router surfen soll, das Gateway auf den DD-WRT-Router umstellst, dann muss kein DHCP Server auf dem DD-WRT-Router laufen. So rum haben Gateway und DHCP nichts miteinander zu tun.
 
Das Problem ist doch folgendes:
Sobald man "Netzwerkeinstellungen automatisch beziehen" bei einem Client (egal ob Windows oder Linux) abwählt, kann ich zwar das Gateway frei eintragen, aber daneben MUSS ich doch auch eine IP Adresse, Netzwerkmaske etc manuell eingeben!?
 
Ja, und?
Du sagtest folgendes:

X_Clamp schrieb:
Nachdem die DD-WRT Geräte als Client Bridges eingerichtet sind, ist dort kein DHCP Server aktiv
Zum Vergrößern anklicken....
Und das eine hat mit dem anderen nichts zu tun. Es kann nur einen DHCP-Server im Netzwerk geben (von Redundanz abgesehen) und deswegen darf auf dem DD-WRT-Router gar kein DHCP-Server laufen.

Stell den DHCP-Server so ein, dass er IP+Gateway für den "Standardweg" vergibt, zB direktes Internet oder eben VPN-Internet. Die Geräte, die jeweils den anderen Weg gehen sollen, bekommen eine manuelle Konfiguration.
Ergänzung ()

Wenn du 2 DHCPs mit verschiedenen Einstellungen betreiben willst, dann benötigst du getrennte Netzwerke, sei es virtuell durch VLANs getrennt oder physisch durch separate Kabel+Switch oder vollständig hinter einem Router (mit VPN), der im WAN-LAN-Modus läuft.
 
Funktioniert so nicht.
DD-WRT 1: aktivierter und verbundener OpenVPN Client
DD-WRT 2: Als Gateway ist die IP Adresse des DD-WRT 1 eingetragen.

Auf einem Rechner, der am DD-WRT 2 angeschlossen ist, Testdownload gestartet. Auf DD-WRT:1 gehen 0,0 KB über tun1, somit keine Verwendung der OpenVPN Verbindung!

Mit dem Deutsche Glasfaser Anschluss gibt es wohl ohnehin noch einige Spezifika zu beachten, da lediglich CGN Anschluss! Die IPv4 Adresse wird hier von mehreren Anschlüssen gleichzeitig verwendet.
 
Dann routet der DD-WRT nicht ins VPN. Üblicherweise würde ein VPN-Client das Gateway des Clients selbst auf VPN umbiegen (Einstellung: redirect-gateway). Wenn das nicht in der OpenVPN-Konfiguration steht oder vom OpenVPN-Server gepusht wird, ist die VPN-Verbindung eine reine Punkt-zu-Punkt-Verbindung und Internet-Traffic wird weiterhin über das ursprüngliche Gateway geleitet.
Ergänzung ()

CGN hat bei ausgehenden VPNs keine Relevanz. Im heimischen Netzwerk betreibst du ja quasi selbst schon CGN, bzw. dann passenderweise eher HGN (HomeGradeNat ;) ). D.h. alle Endgeräte teilen sich dieselbe WAN-IP und trotzdem kannst du auf siebunddölfzig PCs, Laptops, Tablets und Smartphones gleichzeitig computerbase.de aufrufen ;)

CGN stellt eine Hürde dar, wenn du von außen nach innen verbinden willst. Beispielsweise, wenn du versuchst, von unterwegs auf dein heimisches NAS zuzugreifen. Dann landet man nämlich nur beim CGN-Router und der schmeißt den eingehenden Traffic einfach weg. Ausgehend ist aber prinzipiell alles möglich.
 
Wenn ich am PC lokal das Gateway vom DD-WRT1 setze, den DD-WRT 2 jedoch als Internet Zugangspunkt lasse, läuft der Internet Verkehr über den tun1 vom DD-WRT1.
Alles ein wenig komisch ...
 
X_Clamp schrieb:
am PC lokal das Gateway vom DD-WRT1 setze, den DD-WRT 2 jedoch als Internet Zugangspunkt lasse
Zum Vergrößern anklicken....
Den Teil kapiere ich nicht so recht. Ich fürchte du hast in Beitrag #7 versucht. das Gateway am DD-WRT2 auf den DD-WRT1 zu stellen, um dann am PC zu testen ob's geht?

Im Client-Bridge-Modus dient das Standard-Gateway in den DD-WRT lediglich ihrer eigenen Internetverbindung, zB für Updates. Ein Gerät an deren Switch wird durch den DD-WRT hindurch den Internet-Traffic RIchtung Standard-Gateway=Internet-Router schicken. Das Gateway im DD-WRT ist dabei für den PC vollkommen unerheblich. Nur dann, wenn der PC seinen Internet-Traffic direkt dem DD-WRT übergibt, also wenn das Gateway am PC auf der DD-WRT-IP steht, wird der DD-WRT den Traffic an sein eingestelltes Gateway weiterleiten, sei es der Internet-Router oder eben das VPN-Gateway.

Nochmal zur Verdeutlichung: Geräte, die am DD-WRT hängen (mit/ohne VPN) agieren im Netzwerk exakt so als wenn sie direkt am Internet-Router hängen würden.
 
OK, Danke für die Aufklärung.
Das VPN ist nach meinen ersten Tests alles andere als performant (lediglich ca 2 MB/s Durchsatz). Da müsste man erstmal einen performanten VPN Anbieter finden, was wohl nicht so leicht sein dürfte.
 
2 MByte/s oder 2 Mbit/s?

Das Problem ist meistens eher im VPN-Router zu suchen. Sofern der WLAN-Uplink schnell genug ist, gehe ich jede Wette ein, dass dein PC schneller im VPN wäre, wenn er selbst die VPN-Verbindung herstellt. Das liegt darin begründet, dass die CPU in den meisten Routern eher mäßig für VPNs geeignet ist. VPN ist in der Regel verschlüsselt und eben diese Verschlüsselung ist rechenintensiv und bedarf daher einer halbwegs potenten CPU oder eines Crypto-Chips. Es ist nicht unüblich, dass 08/15 Router mit VPN irgendwo im Bereich 10-20 Mbit/s rumkrebsen.
 
Wie ich geschrieben habe sind es 2 MByte/s
Teilweise ging es bis auf 4,5 MByte rauf.

Es handelt sich um einen TP Link Archer C9. Also wohl keine ganz lahme Krücke.

Generell bin ich aber mit meinem Abschluss noch nicht zufrieden. Wenn er mal läuft habe ich sehr gute 25 MByte/s Down und 12 MByte/s Upload bei gebuchten 200/ 100 MBit.
Die Sache mit CGN und den immer wieder unerklärlichen Internet Aussetzern (DHCPv4 No answer on Discovery!) vermiesen das Ganze. Bei DG scheint man in den meisten Fällen keine wirklichen Netzexperten zu haben ...
Ergänzung ()

@Raijin
Hast du eine Idee, wie ich einen DD-WRT Router für den Anschluss an DG Genexis Router konfigurieren muss?
Letztlich muss der DD-WRT lediglich per DHCP die IP vom Genexis beziehen und die Verbindung zum Internet aufbauen/ zur Verfügung stellen.
 
Zuletzt bearbeitet:
X_Clamp schrieb:
Wie ich geschrieben habe sind es 2 MByte/s
Zum Vergrößern anklicken....
Jein, du hast "MB/s" geschrieben. Auch wenn das in der Tat MByte/s sind, wird das hier im Forum oft genug verwechselt. Daher weiß man als Außenstehender eigentlich nie was das Gegenüber im Forum nu tatsächlich damit meint.

Wie auch immer, ein C9 ist zwar sicher potenter als so mancher 40€ Router, aber 2 MByte/s sind 16 Mbit/s was für einen Consumer-Router dennoch üblich ist. Leider konnte ich auf die schnelle keinen VPN-Test vom C9 finden. Aber wie gesagt, richte den VPN-Client mal auf einem PC ein und teste zum Vergleich mal damit - im Idealfall via Kabel am Internet-Router. In deinem Szenario kann das langsame VPN zwar durchaus vom C9 selbst verursacht werden, aber eben auch durch den WLAN-Uplink. Sicher kann auch der VPN-Anbieter schuld sein, aber mehr als 16 Mbit/s sollte da dennoch drin sein.


X_Clamp schrieb:
Hast du eine Idee, wie ich einen DD-WRT Router für den Anschluss an DG Genexis Router konfigurieren muss?
Zum Vergrößern anklicken....
Das ist er doch bereits? Oder was meinst du genau?

Wenn die Kiste ein Router ist, dann würde ich alle übrigen (WLAN-)Router ausschließlich als Access Point bzw. Switch betreiben. DHCP ausschalten, IP-Adresse aus dem Subnetz des Genexis vergeben, fertig. Geräten der Infrastruktur (Router, Switches, APs, etc.) würde ich immer feste IPs geben und nicht auf DHCP schalten. DHCP nutze ich ausschließlich für Geräte deren IP-Adressen mir schnuppe sind. DHCP-Reservierungen ersetzen keine feste IP, weil sie grundsätzlich dynamisch bleiben. Sobald es Probleme mit DHCP gibt, ist plötzlich nix mehr erreichbar..

Willst du den DD-WRT-Router hingegen als Hauptrouter verwenden, dann würde das Kabel vom Genexis in den WAN-Port des DD-WRT kommen und dieser natürlich als normaler WAN-LAN-Router konfiguriert werden. Da CGN im Spiel ist und Portweiterleitungen daher eh kein Thema sind, wäre Doppel-NAT zu verschmerzen. Wirklich sinnvoll ist so ein Setup aber nur in bestimmten Szenarien.
 
Ja genau, wollte mal versuchen, den C9 mit DD-WRT als Haupt Router zu verwenden. Wollte damit mal testen/ ausschließen, dass die doch relativ instabile Internet Verbindung nicht doch auch evtl an der Fritzbox liegt.
Was genau muss denn unter DD-WRT da konfiguriert werden (ist ja kein klassisches DSL).
 
Fritzbox? Ich blicke bei deinem Setup irgendwie nicht mehr so recht durch. Du hast effektiv 4 Router im Netzwerk. Die DD-WRTs sind als WLAN-Clients eingestellt, das habe ich soweit verstanden. Was macht denn die Fritzbox? Wie ist die angeschlossen und eingestellt?

Um die generelle Stabilität und Leistung des Internetanschlusses zu beurteilen, solltest du direkt am Genexis testen. Wenn dahinter noch ein Router kommt, der auch tatsächlich als Router arbeitet, kann die Verbindung nicht besser werden, da immer das schwächste Glied der Kette entscheidend ist. Wenn der Genexis kacke ist, dann bleibt er kacke.

Meine Empfehlung ist stets, den Hauptrouter auch als solchen zu verwenden, ohne wenn und aber. Die einzige Ausnahme wäre, wenn dieser bestimmte Funktionen, auf die man nicht verzichten will, nicht bietet. Je komplexer man das Setup aber gestaltet, also Router hinter Router, umso aufwändiger ist am Ende auch die Wartung bzw. umso fehleranfälliger wird es. KISS, Keep It Simple, Stupid.

Prinzipiell muss der DD-WRT aber nur als 08/15 Router konfiguriert werden, 1x WAN + 4x LAN + WLAN. In diesem Modus müsste er sogar direkt und und ohne Umschweife funktionieren, weil am WAN-Port in der Regel eine automatische IP (DHCP) voreingestellt ist.
 
Router ist evtl das falsche Wording für den Genexis. Er wird von Deutsche Glasfaser Network als Network Termination (NT) hinter dem HÜP bezeichnet:
https://www.deutsche-glasfaser.de/glasfaser/hausanschluss/

Der NT "übersetzt" letztlich das optische Glasfasersignal nach CAT. Soweit ich weiß, hat das Teil einen integrierten DHCP Server, aber das war's dann auch schon. Du brauchst dahinter definitiv noch einen Router ala Fritzbox (alleine schon, um über VOIP telefonieren zu können, etc.).
In der Fritzbox ist der Internetzugang ganz simpel konfiguriert:
Screenshot_20190113-035115.jpg
 
Also wenn ich bei Deutsche Glasfaser nach Genexis suche, finde ich das hier: Classic Router Genexis

In solchen Fällen bitte immer Links zu Geräteinfos, die exakte Modellbezeichnung oder zumindest Fotos posten. Ich und viele andere auch haben keinen Glasfaseranschluss und haben demnach auch keine Hardware von Deutsche Glasfaser.

Wie dem auch sei, da die Fritzbox ein voreingestelltes Profil für DG hat, kann ich nicht sagen was da nu konkret passiert bzw. was du bei DD-WRT einstellen müsstest.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

M
OpenVPN - Tp-Link - Probleme
Antworten
4
Aufrufe
744
musikverstärker
M
F
Tp-Link Omada ER605 Router Portfreigabe ipv6
2
Antworten
38
Aufrufe
2.024
flamy
F
Phil_81
Fritzbox hinter Fritzbox - Zugriff auf Gerät hinter zweiter Fritzbox
Antworten
4
Aufrufe
506
Phil_81
Phil_81
P
TP-Link ER7212PC OpenVPN Zertifikate exportieren
Antworten
2
Aufrufe
378
Phinix2000
P
J
Vereinfachen von einen Heimnetzwerk
2
Antworten
35
Aufrufe
1.582
Raijin
Raijin
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz