VPN Gateway im vorhandenen Netzwerk einbinden

[shoa66]

Hallo zusammen,

ich habe mir einen GL-MT300N-v2 gekauft und wollte damit ein VPN Gateway in Netz schaffen.
Das Netz ist ein 192.168.6.0/24
Das Gateway soll die 192.168.6.231 bekommen und dort ist eine Wireguard VPN Client eingerichtet.

Bei Bedarf soll dann an den Clients das Gateway manuell von der .1 auf die .231 umgestellt werden, sodass der komplette Traffic über die VPN läuft.

Leider hänge ich bei dieser entsprechenden Konfiguration.

Ich bekomme den GL-MT300N-v2 samt VPN zum laufen, allerdings nur wenn er selber noch ein weiteres Netz aufspannt. Standardmäßig macht er DHCP mit einem 192.168.8.0/24 Netz und alle Clients in seinem Netz können wunderbar auf die VPN zugreifen.

Ich will aber aus meinem Netz (192.168.6.0/24) auf diese VPN zugreifen.
Auf dem Teil läuft wohl OpenWrt 22.03.4 und ich habe schon etwas rumprobiert, indem ich das Interface von der 192.168.8.1 auf die 192.168.6.231 geändert habe und den DHCP deaktiviert habe und das DHCP Relay aktiviert. Leider lässt dich damit keine Wireguard VPN mehr aufbauen.

Leider kenne ich mich mit OpenWrt nicht so gut aus und wäre für jeden Rat dankbar. Vielen Dank für eure Bemühungen!

 

[Untertan]

Um es richtig zu verstehen. Du hast den WAN Port vom Glinet MT300 an das LAN Deines bereits vorhandenen Routers angeschlossen?

 

[shoa66]

Genau, aber ich habe auch probiert den WAN als LAN zu definieren

 

[Untertan]

Der Glinet bekommt dann vom Haupt-Router eine WAN IP aus Deinem 192.168.6.0/24 Netz und spannt ein 192.168.8.0/24 Netz in Kaskade auf was auch funktionieren sollte. Mit dem gleichen 192.168.6.0/24 Netz wird das so nicht funktionieren. Das einfachste wird sein Du benutzt einen einzigen Router mit VPN Unterstützung.

 

[shoa66]

Wieso sollte das nicht gehen? Mein Router kann VPN aber ich will es mit dem Glinet machen, da ich dort genau bestimmen kann wer die VPN nutzen soll.

 

[derchris]

Was ist denn dein Router?

Finde das angestrebte Netzwerkdesign etwas komisch.

 

[shoa66]

Eine Fritzbox 4060

 

[Untertan]

Wieso sollte das nicht gehen?

Soll nicht bedeuten das so etwas generell nicht möglich ist aber in einem normalen Heimnetz mit den üblichen Consumer Routern sollte es z.B. nur einen DHCP Server geben und ein zweites Gateway im gleichen Netzbereich macht die Sache dann auch nicht einfacher. Der Glinet soll als Client laufen da ist doch schon für die meisten User einfacher den Wireguard Client auf den jeweiligen PC zu installieren deshalb wird wohl so eine Konfiguration wie Du möchtest eher nicht vorkommen. Das Problem ist da der gleiche Netzbereich da gilt halt in Bezug auf Router "Es kann nur einen geben"

 

[Homoioteleuton]

Meines Verständnis von diesem Teil nach müsstest du beide Ethernet-Ports mit deinem bisherigen Netz verbinden und entsprechend zwei IPs verteilen
Einmal WAN, da hast du die 231. Über diesen Anschluss baut dein Dings die VPN Verbindung auf.
Dann LAN, da vergibst du dann 232 oder so, das kannste dann als Gateway IP nutzen. Funktioniert aber nur, wenn du den DHCP-Server dort abschalten kannst und dem Port manuell eine IP zuweisen kannst.

Über die 231 (den WAN Port) erwartet das Gerät nämlich keinen eingehenden Traffic

Kann mich irren und das ist Unsinn, was ich geschrieben habe

 

[Raijin]

Der WAN-Port ist in diesem Szenario überhaupt nicht von Belang. Im Prinzip muss man lediglich OpenWRT als normalen Client in das Netzwerk integrieren. Das heißt der LAN-Port bekommt ein Gateway (=Router) und der WAN-Port wird nicht benutzt. Nun sollte die VPN-Verbindung auch über das LAN und nicht über das WAN hergestellt werden und der GL-MT300N kann als alternatives lokales Gateway für andere Geräte im Netzwerk dienen, wenn diese via VPN ins Internet gehen sollen.

 

[shoa66]

Aktuell habe ich so Homoioteleuton geschrieben hat zum laufen bekommen. Allerdings meckert er weil LAN und WAN im gleichen Netz sind. Habe deswegen zum testen mal das Gastnetzwerk ans WAN gesteckt und es funktioniert wunderbar.

Was mich an der Lösung stört, sind die beiden Kabel.

Eigentlich möchte ich genau die Lösung die Raijin beschreibt aber wie stelle ich das ein? Ich habe die Vermutung, dass der Wireguard Client die Verbindung nicht via LAN herstellen kann. Wireguard ist auch nur über das Webinterface zu finden und nicht im OpenWRT.

 

[Homoioteleuton]

Das ließe sich mit genügend Linux/BSD Kenntnissen bestimmt machen und hatte ich mit nem Raspberry Pi auch schon mal so umgesetzt

 

[shoa66]

Über die GUI nicht möglich?

 

[riversource]

Was spricht gegen die verlinkte Anleitung?

 

[shoa66]

Die habe ich bereits gemacht, damit bekommt man ja nur den LAN Port richtig konfiguriert. Wireguard jetzt beibringen, dass er nicht WAN sondern LAN nutzen soll, kann ich nicht finden.

 

[riversource]

Wenn der LAN Port richtig konfiguriert ist und der WAN Port wirklich komplett aus, dann findet Wireguard den von allein.

Ansonsten zeige doch mal die resultierenden Adressen und Routen auf dem System.

 

[Homoioteleuton]

Vielleicht nach den Änderungen auch einfach mal neu booten?

 

[shoa66]

Reboot hat nichts gebracht, die VPN lässt sich bei abgestecktem WAN nicht mehr starten.
Ich habe gerade WAN mit eth0.2 mal auf Unmanaged gestellt, bringt auch nichts.

Ergänzung (22. Oktober 2023)

Wie gesagt die VPN finden den weg nicht übers LAN

 

[riversource]

Da herrscht natürlich ziemliches Chaos. Ein DHCP Server darf auf dem LAN keinesfalls aktiv sein. Und warum ist die Defaultroute deaktiviert? 192.168.6.31 ist wirklich dein Router? Dann sind noch irgendwelche Änderungen auf wan pending, die man natürlich nicht sieht. Die LAN Settings sieht man auch nicht. Wo ist der DNS Server gesetzt? Schau dir das am besten auf der Konsole an, da sieht man am besten, was die Weboberfläche am Ende wirklich eingerichtet hat.

 

[shoa66]

Der DHCP ist nicht aktiviert, das Interface vom Glinet ist einfach buggy .
DNS habe ich am Interface nun eingetragen und das hat es nun zum laufen gebracht!
Die 192.168.6.31 ist wirklich mein Router und DNS im Netz.

Vielen Dank! Der DNS hat sich ein wenig versteckt, sodass ich ihn einfach vergessen haben.....