Routing-Frage im Zusammenhang mit VPN

[piotrusch]

Hallo zusammen,

mein Kabelrouter hat keine VPN-Funktion wie z.B. die Fritzboxen. Deshalb habe ich eine Fritzbox mit Openwrt bespielt und versuche seit einer Weile, über Wireguard oder VPN einen Zugang einzurichten. Die Verbindung kommt zu stande und Zugriff auf die Fritzbox habe ich von außen. Allerdings kann ich nicht von außen auf Ressourcen im LAN zugreifen. Leider verlassen mich da auch meine Kenntnisse über Routing und Firewalling und längere Internetrecherchen werfen mehr Fragen als Antworten auf.
Wichtig sei noch zu erwähnen, dass die Fritzbox auch den DHCP-Server macht, welcher auf dem Kabelrouter deaktiviert ist.
Und, dass die Firewall auf der Fritzbox deaktiviert ist, da das ja der Kabelrouter macht und sie eine IP im LAN hat.

Welche Routen oder welches Forwarding muss ich wo setzen, um auf meine Debian-Box im LAN zugreifen zu können.

Danke im Voraus, Piotrusch

[debilian]

z.b.

Code: Alles auswählen

push "dhcp-option DNS 192.168.17.1"
push "block-outside-dns"

in /etc/openvpn/server.conf;
damit kannst du in der vpn server.conf den dhcp Server deines Netzes pushen und externes routing stoppen.....
um Rechner in 192.168.17.0 zu erreichen...

[debilian]

welche Netze möchtst du denn verbinden?
Also fern 192.168.0.1 mit lokal 192.168.2.0 z.B.?

[piotrusch]

z.b.

Code: Alles auswählen

push "dhcp-option DNS 192.168.17.1"
push "block-outside-dns"

in /etc/openvpn/server.conf;
damit kannst du in der vpn server.conf den dhcp Server deines Netzes pushen und externes routing stoppen.....
um Rechner in 192.168.17.0 zu erreichen...

Bist du sicher, dass allein die Namensauflösung dafür reicht? Über IP-Adresse ist der Debian-Rechner nicht zu erreichen.
Wenn das Routing an sich erstmal funktioniert, ist die Option aber wichtig, weil ich auch die Namensauflösung brauche.

welche Netze möchtst du denn verbinden?
Also fern 192.168.0.1 mit lokal 192.168.2.0 z.B.?

VPN-Netz: 10.8.0.0
LAN: 192.168.1.0
OpenWRT-Router (=OpenVPN-Server): 192.168.1.2
Kabelrouter: 192.168.1.1
Debian-Rechner (Hauptziel von außen): 192.168.1.3

[mat6937]

Deshalb habe ich eine Fritzbox mit Openwrt bespielt und versuche seit einer Weile, über Wireguard oder VPN einen Zugang einzurichten. Die Verbindung kommt zu stande und Zugriff auf die Fritzbox habe ich von außen. Allerdings kann ich nicht von außen auf Ressourcen im LAN zugreifen.

Der Zugriff auf die FritzBox, ist der via VPN (WireGuard)? Welche "allowed ips" hast die in der wg-conf, beim Server (FritzBox) und beim Client konfiguriert/eingetragen?

[piotrusch]

Deshalb habe ich eine Fritzbox mit Openwrt bespielt und versuche seit einer Weile, über Wireguard oder VPN einen Zugang einzurichten. Die Verbindung kommt zu stande und Zugriff auf die Fritzbox habe ich von außen. Allerdings kann ich nicht von außen auf Ressourcen im LAN zugreifen.

Der Zugriff auf die FritzBox, ist der via VPN (WireGuard)? Welche "allowed ips" hast die in der wg-conf, beim Server (FritzBox) und beim Client konfiguriert/eingetragen?

Ach so, das hätte ich deutlicher schreiben müssen: Zugriff auf die Fritzbox habe ich über das VPN von draußen. Mit anderen Worten: die VPN-Verbindung kommt schon mal zustande. Dann erreiche ich aber nur die Fritzbox und keine weiteren Rechner im LAN.
Ein Hinweis noch: aktuell habe ich OpenVPN konfiguriert.

[mat6937]

Zugriff auf die Fritzbox habe ich über das VPN von draußen. Mit anderen Worten: die VPN-Verbindung kommt schon mal zustande. Dann erreiche ich aber nur die Fritzbox und keine weiteren Rechner im LAN.
Ein Hinweis noch: aktuell habe ich OpenVPN konfiguriert.

OpenWRT ist ja eine Routersoftware und dort wird das forwarding, ja schon per default konfiguriert sein.

Hast Du auf deinem Client, mit dem Du via VPN ins Subnetz der FritzBox zugreifen willst, eine Route (mit der FritzBox als vpn-gateway) konfiguriert? Wie ist auf deinem Client, die Ausgabe von:

Code: Alles auswählen

route -n

?

[piotrusch]

Zugriff auf die Fritzbox habe ich über das VPN von draußen. Mit anderen Worten: die VPN-Verbindung kommt schon mal zustande. Dann erreiche ich aber nur die Fritzbox und keine weiteren Rechner im LAN.
Ein Hinweis noch: aktuell habe ich OpenVPN konfiguriert.

OpenWRT ist ja eine Routersoftware und dort wird das forwarding, ja schon per default konfiguriert sein.

Der Kernel-Parameter net.ipv4.ip_forward ist standardmäßig auf 1, stimmt. Aber das Routing zwischen mehreren Schnittstellen muss auch eingestellt werden. Und da verlässt mich mein Wissen und OpenWRT ist - zumindest für mich - nicht selbsterklärend.

Hast Du auf deinem Client, mit dem Du via VPN ins Subnetz der FritzBox zugreifen willst, eine Route (mit der FritzBox als vpn-gateway) konfiguriert? Wie ist auf deinem Client, die Ausgabe von:

Code: Alles auswählen

route -n

?

Bisher habe ich das nur mit meinem Android-Telefon versucht. Dort hatte ich explizit eine Route für 192.168.1.0 ergänzt. Das hat aber nicht geholfen.

Meine bisherigen Recherchen deuten daraufhin, dass man:
- entweder das Routing richtig konfiguriert
- oder eine Forwarding-Regel

Und da wäre meine Frage an die Experten, wie man - mal unabhängig von OpenWRT - konkret auf welchem Gerät welche Routen (bzw. alternativ die Forwarding-Regel) von wo nach wo setzt.

[piotrusch]

Noch eine Ergänzung:
wenn ich auf dem Openwrt-Router die Option "Route 192.168.1.0 255.255.255.0" setze, dann komme ich nicht mehr auf den Router. Diese Option bedeutet nach meinem Verständnis, dass dem Client gesagt wird, er soll für das Netzwerk die Tunnel-Schnittstelle benutzen. Offensichtlich wird für den Router dann aber auch jeder Verkehr über den Tunnel geleitet und er ist nicht mehr erreichbar.

Und wenn ich auf dem Android-Telefon die default route auf den Tunnel lege, dann ändert das auch nichts.