allgemeine vpn frage

Einrichten des lokalen Netzes, Verbindung zu anderen Computern und Diensten.
Antworten
Benutzeravatar
The Hit-Man
Beiträge: 2170
Registriert: 21.11.2004 17:01:56
Wohnort: Menden ( Sauerland )
Kontaktdaten:

allgemeine vpn frage

Beitrag von The Hit-Man » 03.12.2018 21:33:32

ich tüfftel jetzt schon ne ganze zeit an meinem eigenen vpn rum... auf meiner fritzbox habe ich mir mal das openvpn installiert ( für nen server ). ich habe das auch so weit alles eingerichtet mit den zertifikaten usw. das rennt auch so weit. eigentlich kann man ja auch den eingebauten ( cisco vpn ) vpn server nutzen.
ich möchte ganz gerne, das sich vpn clients sich auf meine fritzbox verbinden können, die allerdings NICHT über meine fritzbox (mein gateway), surfen dürfen also ihr eigenes gateway dafür nutzen sollen. und genau da stehe ich ein bischen dumm rum. ich habe zum beispiel über openvpn ( auf meiner fritz ), einen server gebastellt und habe da eine dhcp-range frei gegeben von 192.168.11.20-192.168.11.30. die clients, die sich anmelden, bekommen auch dem entsprechend eine ip von meiner box zugewiesen, sagen wir mal 192.168.11.25/24. mein internes netz befindet sich 192.168.10.1/24.
wie kann ich beide netze verbinden? iptables sind ja vorhanden aber kenne mich da mal so gar nicht aus. ich benutze auf server und client, das tap interface. es gibt ja nun auch noch ein tun interface und weiß nicht mal welches jetzt geeignet ist.

kann da jemand helfen? die große frage ist ja die... wenn sich clients in mein netz verbinden, das ich denen per server aber untersage über mein fateway ins netz zu gelangen, sondern, sie sollen ihres benutzen. unter openvpn kann ich ja ein push erstellen... unter dem cisco server ( von fritz eingebaut ), geht das wohl nicht ...
Wer HTML postet oder gepostetes HTML quotet oder sich gepostetes oder
gequotetes HTML beschafft, um es in Verkehr zu bringen, wird geplonkt.

damals windows, früher ubuntu, danach debian, heute arch-linux ;)

mat6937
Beiträge: 2927
Registriert: 09.12.2014 10:44:00

Re: allgemeine vpn frage

Beitrag von mat6937 » 04.12.2018 09:54:11

The Hit-Man hat geschrieben: ↑ zum Beitrag ↑
03.12.2018 21:33:32
ich möchte ganz gerne, das sich vpn clients sich auf meine fritzbox verbinden können, die allerdings NICHT über meine fritzbox (mein gateway), surfen dürfen also ihr eigenes gateway dafür nutzen sollen. und genau da stehe ich ein bischen dumm rum. ich habe zum beispiel über openvpn ( auf meiner fritz ), einen server gebastellt ...
Welches Betriebssystem haben diese "vpn clients"? Wenn es Linux ist, dann poste die Ausgaben von:

Code: Alles auswählen

ip a
route -n

Benutzeravatar
MSfree
Beiträge: 10686
Registriert: 25.09.2007 19:59:30

Re: allgemeine vpn frage

Beitrag von MSfree » 04.12.2018 11:39:44

The Hit-Man hat geschrieben: ↑ zum Beitrag ↑
03.12.2018 21:33:32
ich möchte ganz gerne, das sich vpn clients sich auf meine fritzbox verbinden können, die allerdings NICHT über meine fritzbox (mein gateway), surfen dürfen also ihr eigenes gateway dafür nutzen sollen.
Tja, das läßt sich leider nicht allgemeingültig einrichten.

Du könntest verhindern (frag mich nicht, wie das bei der Fritte geht) den Clients eine Default-Route mitzugeben. Dann hätten die Clients nach wie vor die Default Route ihres Platikrouters und würden darüber ins Internet kommen. Eine "kleine" Route, die nur dem IP-Adressbereich des VPN entspricht, wird sowieso ohne Zutun eingerichtet.

Ein böswilliger Nutzer könnte dennoch eine Route über dein Getaway manuell setzen, die IP-Adresse deiner Fritte ist dem böswilligen Nutzer schließlich nach dem VPN-Connect bekannt. Hier kann man aber immerhin mit iptables abhelfen, indem man dem VPN-Client alles untersagt ausser Zugriff auf den lokalen IP-Adressbereich.

Die Clients müssen aber irgendwie eine Namensauflösung bekommen. Die können zwar den DNS ihres eigenen Plastikrouters nutzen, können dann aber die Namen der Rechner hinter dem VPN nicht auslösen. Pushst du deinen DNS über VPN, können die Clients zwar den DNS deiner Fritte nutzen, die Namensauflösung im LAN des Clients funktioniert dann aber nicht mehr. Das DNS-Problem läßt sich aber leider weder mit der Fritte noch mit Clientkonfiguration lösen, dazu braucht man schon eine ausgewachsenen DNS wie bind9.

Wenn deine Clients damit leben können, während der aktiven VPN-Verbindung nur auf dein LAN Zugriff zu haben und für normales Surfen die VPN-Verbindung kappen müssen, würde es reichen, deinen DNS zu puschen und mit iptables den Zugriff auf das LAN hinter dem VPN zu beschränken. Bequem ist das für die Clients aber nicht.

Für alles andere muß man deutlich weiter ausholen, was letztlich auch zu Lösungen führt, die nicht mit Fritten oder anderen Plastikroutern realisierbar sind.

eggy
Beiträge: 3331
Registriert: 10.05.2008 11:23:50

Re: allgemeine vpn frage

Beitrag von eggy » 04.12.2018 12:49:07

The Hit-Man hat geschrieben: ↑ zum Beitrag ↑
03.12.2018 21:33:32
auf meiner fritzbox habe ich mir mal das openvpn installiert ( für nen server ).
Original AVM FritzOs? Das hat doch gar kein OpenVPN, oder doch? Oder hast da was eigenes? Wenn ja, welches denn? Oder meinst Du ne Weiterleitung in der FB an nen OpenVPN-Server im Lan?

Benutzeravatar
The Hit-Man
Beiträge: 2170
Registriert: 21.11.2004 17:01:56
Wohnort: Menden ( Sauerland )
Kontaktdaten:

Re: allgemeine vpn frage

Beitrag von The Hit-Man » 04.12.2018 13:48:28

es ist freetz mit drauf. aber ich habe es doch hin bekommen... ich hätte nicht das tap nehmen müssen, sondern tun.
Wer HTML postet oder gepostetes HTML quotet oder sich gepostetes oder
gequotetes HTML beschafft, um es in Verkehr zu bringen, wird geplonkt.

damals windows, früher ubuntu, danach debian, heute arch-linux ;)

Benutzeravatar
The Hit-Man
Beiträge: 2170
Registriert: 21.11.2004 17:01:56
Wohnort: Menden ( Sauerland )
Kontaktdaten:

Re: allgemeine vpn frage

Beitrag von The Hit-Man » 05.12.2018 06:56:26

so wie ich das jetzt verstanden habe, nimmt man das tun device für einen einzelnen rechner zum verbinden, ein tap device nimmt man dann wenn man zum beispiel 2 boxen ( 2 verschiedene netze ) verbinden möchte. bei openvpn, gibts ja die tolle sache, das man dem client ja noch sachen zuschicken kann, wie zum bespiel eine feste ip oder auch eben das gateway von meiner hauptbox über der gesurft werden KANN. so lange ich kein gateway zum client mit schicke, nutzt er wirklich nur die internen dienste aber es wird nicht über meine box gesurft.
ich hatte mich mal mit meinem wlan vom handy verbunden und dann eine openvpn-verbindung ins mein netz aufgebaut. vorher aber nen radio livestream angeschmissen. normalerweise sollte der livestream ja unterbrechen wenn eine vpn-verbindung aufgebaut ist, weil ja das gateway wechselt. der stream lief aber durch, egal ob ich den tunnel aufbaute oder abbaute. man sah es auch an den downloadraten, das ich nicht über meine heimische box surfte denn die gibt ja nicht so viel ab.
dem nächst wollte ich dann mal testen, das ich von meinem openvpn-server ( meiner fritzbox ), dem client mein gateway mit schicke. mal sehen was dann passiert.
Wer HTML postet oder gepostetes HTML quotet oder sich gepostetes oder
gequotetes HTML beschafft, um es in Verkehr zu bringen, wird geplonkt.

damals windows, früher ubuntu, danach debian, heute arch-linux ;)

Benutzeravatar
The Hit-Man
Beiträge: 2170
Registriert: 21.11.2004 17:01:56
Wohnort: Menden ( Sauerland )
Kontaktdaten:

Re: allgemeine vpn frage

Beitrag von The Hit-Man » 05.12.2018 07:36:49

allerdings habe ich jetzt gesehen, das ich in der client conf auch einen redirect-gateway einstellen kann. das heißt wenn jemand die client conf ändert, wäre es doch wieder möglich über meine box zu surfen. weiß jemand ob man diese option auf dem server verbieten kann, also irgnorieren kann? des weiteren, kann der client trotzdem über meine box surfen wenn er die route ändert ( selbst per hand )?
im moment habe ich mich so weit beholfen,das ich auf der box, per iptables:

Code: Alles auswählen

-A FORWARD -m iprange --src-range 192.168.11.0-192.168.11.255 -j DROP
das komplett die openvpn-clients nach draußen hin sperrt. das läuft auch ... sollte ein client, jetzt doch die option 'redirect-gateway' in seiner .conf eingefügt haben, kann er sich zwar verbinden und interne dienste nutzen aber kommt nicht ins internet über meine box.
meine frage wäre jetzt noch, kann ich genau das auf dem openvpn-server schon einstellen? ABER wie gesagt, ist es so, das der client per route trotzdem über meine box surfen kann wenn ich die iptable regel nicht benutze?
bin jetzt nicht so der netzwerkkenner ...
Wer HTML postet oder gepostetes HTML quotet oder sich gepostetes oder
gequotetes HTML beschafft, um es in Verkehr zu bringen, wird geplonkt.

damals windows, früher ubuntu, danach debian, heute arch-linux ;)

Benutzeravatar
MSfree
Beiträge: 10686
Registriert: 25.09.2007 19:59:30

Re: allgemeine vpn frage

Beitrag von MSfree » 05.12.2018 09:23:21

The Hit-Man hat geschrieben: ↑ zum Beitrag ↑
05.12.2018 06:56:26
ich hatte mich mal mit meinem wlan vom handy verbunden und dann eine openvpn-verbindung ins mein netz aufgebaut. vorher aber nen radio livestream angeschmissen. normalerweise sollte der livestream ja unterbrechen wenn eine vpn-verbindung aufgebaut ist, weil ja das gateway wechselt.
Nein, existierende Verbindungen bleiben bestehen. Wenn du den Stream beendet hättest und dann neu aufgebaut hättest, dann wäre das über das neue Gateway passiert.

Benutzeravatar
bluestar
Beiträge: 2334
Registriert: 26.10.2004 11:16:34
Wohnort: Rhein-Main-Gebiet

Re: allgemeine vpn frage

Beitrag von bluestar » 05.12.2018 09:54:45

Ich möchte mal dein VPN Wissen ein wenig erweitern:

1) Das was du dir wünschst, also ein VPN zwischen zwei Standorten, welches nur die privaten Netze verbindet ohne den Default-Gateway auf das jeweilige andere Netz zu verbiegen. Dazu brauchst du lediglich die jeweiligen Routen der anderen VPN-Seite zu routen... Im OpenVPN-Jargon entfällt die Option "redirect-gateway", im IPSEC Jargon setzt du denPhase 2 Tunnel nicht auf 0.0.0.0/0 sondern auf das Subnetz das du über den Tunnel erreichen möchtest.

2) Für einen Tunnel ist es absolut egal, ob du TAP oder TUN Devices verwendest, letzteres würde ich dir jedoch empfehlen, da hier der Protokoll-Overhead geringer ist.

Antworten