VPN Gateway

[mz91a]

Hi,

ich möchte gerne bei mir daheim hinter meiner FRITZ!Box 7590 einen OpenVPN Gateway installieren.
Mein Ziel ist es einzelne Clients im Netzwerk (ohne eigene VPN Konfiguration)
Mit einem VPN Anbieter zu verbinden.
Einen VPN Router ins Netz zu hängen und die Clients mit diesem Router zu verbinden ist nicht das Problem und funktioniert.
Mein Ziel ist es nur das sich alle Clients im Netzwerk untereinander Unterhalten können.
Da ich ja mit den beiden Routern unterschiedliche subnetze habe funktioniert das leider nicht.
Gibt es eine Möglichkeit die beiden Netze zu verbinden?
Beim VPN Router habe ich mit einem Gli Ar750s und einem openwrt Router getestet.
Gibt es da eine einfache Lösung?
Oder einen fertigen Router ?

Lg
Dave

 

[Pilatesjünger]

Die Lösung liegt im Wort Router.
Routing.

 

[till69]

Da ich ja mit den beiden Routern unterschiedliche subnetze habe funktioniert das leider nicht.

Dann setzt man beide Router ins gleiche Subnetz

Gateway 1 = Fritzbox
Gateway 2 = VPN

 

[Tamron]

Oder sie routen einfach Pakete an Hand von definierten Routen....

 

[chrigu]

Ein Router ist ein Gateway der das interne Netzwerk miteinander verbindet und extern sich mit dem Internet verbindet. Die allermeisten Router haben ein integriertes vpn damit alle deine Geräte damit virtuell und gesichert ins andere Netzwerk verbindet.
Dass du bei beiden Netzwerke nicht dasselbe subnetz wählen kannst liegt schlicht an der Integrierten Logik des routers. Zum Beispiel Netz a hat 192.168.1.x … so sucht dein Router die Adresse 192.168.1.10 in deinem Netzwerk, das Gerät 192.168.5.10, weil es nicht im selben subnetz ist, durch die eingetragene Route im entfernten VPN Netzwerk. Das machen übrigens alle so.
Deshalb wechsle dein subnetz um ins andere vpn Netzwerk zu kommen. So einfach ist das

 

[mz91a]

Hi,

danke für eure Antworten.
Bei der FRITZ!Box hab ich das mit der Festen Route gefunden aber beim openwrt Router noch nicht.
Für mich zum Verständnis: Ich muss auf beiden Routern eine feste Route zum jeweils anderen setzen?

 

[chrigu]

Richtig, beidseitig, und verschiedene subnetze

 

[Raijin]

Es kommt auf die Details an. Einfach Routen erstellen bringt nix, wenn NAT im Spiel ist bzw. es ist dann sogar (einseitig) gar nicht nötig.

Ein zweites Gateway im Netzwerk richtet man idealerweise so ein:

www
|
(WAN)
Internetrouter
(LAN+WLAN @ x.y.z.1)
|
+------ Endgeräte
|
(LAN @ x.y.z.2)
VPN-Gateway
(VPN)
|
www


In diesem Szenario ist das VPN-Gateway im Netzwerk ein ganz normaler Client. D.h. der potentiell vorhandene WAN-Port bleibt leer und die Verbindung erfolgt über einen der LAN-Ports. Selbst eine Anbindung des VPN-Gateways via WLAN ist denkbar.

Entscheidend ist, dass am WAN-Port ohne explizit abweichende Konfiguration NAT stattfinden würde sowie die Firewall säße, vom separaten Subnetz am LAN ganz zu schweigen. Bleibt WAN leer, ist das VPN-Gateway einfach direkt im selben lokalen Subnetz wie der Internetrouter auch.

Routing wird in dieser Konstellation nicht benötigt. Einzig die Umstellung der VPN-spezifischen Endgeräte auf Standardgateway=x.y.z.2 bzw. .1 ist notwendig - je nachdem was man als Standardeinstellung über den DHCP rausgeben möchte.

Wird das VPN-Gateway jedoch mittels WAN-Port an das Netzwerk gehängt, trennt WAN inkl. NAT und Firewall das lokale Netzwerk am VPN-Gateway selbst vom Rest des Netzwerks. Nu könnte man meinen "Einfach eine Route erstellen", aber das wird eben nicht funktionieren, da das NAT am WAN-Port dem einen Strich durch die Rechnung macht. Man bräuchte für Zugriffe vom Haupt- zum quasi-VPN-Subnetz Portweiterleitungen........ Man könnte das natürlich umgehen, indem man das NAT am WAN deaktiviert, aber 1. muss man erstmal wissen was/wie/wo man das tut und 2. bleiben es zwei physisch getrennte Netzwerke.

Deswegen rate ich zum oben skizzierten Setup bei dem das VPN-Gateway einfach als normaler Client fungiert und man an den Endgeräten einfach nur das Standardgateway von .1 auf .2 umstellen muss oder umgekehrt, je nachdem ob das Gerät via ISP oder via VPN online gehen soll. Dabei ist es vollkommen Jacke wie Hose wo und wie das Endgerät mit dem Netzwerk verbunden ist, weil es nur ein einziges Netzwerk gibt.

 

[mz91a]

Danke Raijin,

das klingt super kannst du mir einen Router empfehlen mit dem das relativ einfach umsetzbar ist und einen guten VPN Durchsatz schafft.

Lg

 

[Raijin]

Dafür braucht man gar keinen Router an sich. Selbst ein Raspberry PI ist dafür geeignet, da bei diesem Setup nur eine Netzwerkschnittstelle benötigt wird. Ob ein PI ausreicht hängt einzig und allein davon ab wie schnell die Internetverbindung ist bzw wie schnell das VPN sein soll.

 

[mz91a]

Danke für die schnelle Antwort.
Ich habe einen Pi 4 B hier aber ich bin nicht so der Profi im einrichten von Netzwerken.
Gibt es da eine Anleitung oder einen leichteren Weg?
Ich würde auch etwas kaufen, war mit dem raspberry einrichten als VPN Client und dann als Gateway etwas überfordert

 

[Raijin]

Ich selbst hab es noch nicht ausprobiert, aber mit PIVPN müsste das eigentlich recht simpel einzurichten sein. Ansonsten einfach mal nach "pi vpn gateway" goggeln.

 

[mz91a]

Ok, danke hab es jetzt mit einem GLI Router und openwrt zum laufen bekommen. Danke euch!