OpenVPN: Routingproblem

maceis

Mitglied
Mitglied seit
9 Apr 2006
Beiträge
687
Punkte für Reaktionen
4
Punkte
18
Hallo zusammen,

ich habe auf mehreren Fritzboxen OpenVPN installiert mit einer Server/Client Konfiguration mit Zertifikaten.
Auf der Serverbox ist die erweiterte Clientkonfikuration aktiviert und mit den entsprechenden Routingeinträgen versehen, was auch sehr gut funktioniert.

Nun soll in einem der Client Netze die Fritzbox hinter einem anderen Router eingesetzt werden
Dieser hat leider kaum Konfiguartionsmöglichkeiten, das Routing kann nicht konfiguriert werden, Portweiterleitungen 1194 UDO und TCP zur Fritzbox sind aber eingestellt.

Die FB ist mit Internetzugang über LAN1 konfiguriert.
Auf LAN 2-4 ist ein anderes Netzwerk eingestellt.
Wie muss ich das Routing einstellen, damit die Verbindung mit den anderen OpenVPN Netzen wieder funktioniert.

Ich hab mal testweise auf einem der lokalen Rechner eine alias-IP aus dem LAN1-Netz wer Fritzbox eingerichtet und eine Route in ein entferntes VPN-Netz zur Fritzbox angelegt, aber das reicht offenbar nicht.
Falls noch Informationen benötigt werden, bitte Bescheid geben.

Viele Grüße
maceis
 
Auf LAN 2-4 ist ein anderes Netzwerk eingestellt.
Das ist vermutlich schlecht, je nach Betriebsmodus der Fritzbox. Die Clients müssen auf jeden Fall im VPN Netz unterwegs sein. Ggf. muss dies das Netz des vorgeschalteten Routers sein (oder werden).

In Kürze: Die Fritzbox muss das Gateway für die VPN Clients sein. Meines Erachtens kommen dafür drei Varianten infrage:
  1. Die Fritzbox arbeitet als Router. Sie ist der einzige Client am anderen Router, alle Clients hängen an der Fritzbox. Dann funktioniert wieder alles so, wie ohne den vorgeschalteten Router. Das interne Netz der Fritzbox ist das VPN Netz und muss sich vom Netz des vorgeschalteten Routers unterscheiden. Das ist der einzige Fall, wo die Fritzbox an ihrem LAN 2-4 ein anderes Netzwerk hat
  2. Der vorgeschaltete Router enthält eine Subnetzroute auf das VPN Netz der Gegenseite. Gateway ist die Fritzbox. Das lokale Netz des vorgeschalteten Routers muss das lokale VPN Netz sein. Die Fritzbox arbeitet als IP-Client.
  3. jeder VPN Client bekommt eine Route ins VPN Netz der Gegenseite. Gateway ist die Fritzbox. Das lokale Netz des vorgeschalteten Routers muss das lokale VPN Netz sein. Das ist mühselig zu verwalten und auf vielen Geräten auch nicht manuell konfigurierbar. Die Fritzbox arbeitet als IP-Client.
 
Zuletzt bearbeitet:
Hallo Frank,

Danke für Deinen Beitrag.

Das ist vermutlich schlecht, je nach Betriebsmodus der Fritzbox. Die Clients müssen auf jeden Fall im VPN Netz unterwegs sein. Ggf. muss dies das Netz des vorgeschalteten Routers sein (oder werden).
Ja, so wäre es vermutlich am einfachsten und das war auch mein erster Ansatz.
Es handelt sich um eine 6590 Cable.
Ich habe in der Benutzeroberfläche keine Möglichkeit gefunden, die Box als reinen IP Client ohne eigene Internetverbindung zu konfigurieren.
Ich habe erst jetzt beim Stöbern in den Anleitungen von AVM bemerkt, dass dies eigentlich gehen sollte.
Die entsprechenden Punkte im Webinterface unter "Heimnetz > Netzwerk > Netzwerkeinstellungen" scheint es aber nicht zu geben (bin erst am Montag wieder vor Ort um das noch einmal zu checken).

Allerdings:
Die Fritzbox ist ja selbst der eigentliche VPN Client.
Alles Hosts im lokalen Netz sollen aber über das VPN erreichbar sein und ihrerseits alle anderen VPN Netze (es sind insgesamt fünf) erreichen können.
Das Standardgateway, also die Verbindung zum Internet ist aber der andere Router (ich nenne ihn mal Internet-Router).

Zu Deinen Varianten:
Variante 1 ist aufgrund von anderweitigen Vorgaben nicht umsetzbar

Variante 2 ist schon allein deswegen nicht möglich, weil der Internet-Router die Einrichtung von Routen nicht erlaubt.
Ich würde den gerne raushauen, darf ich aber nicht.

Variante 3 ist das, was ich gerade - trotz der Nachteile - umsetzen wollte.
Im Augenblick scheitert es daran, dass sich die Box nicht als IP-Client einrichten lässt.
Von Nachteil ist auch, dass es etliche Hosts gibt, auf denen men gar kein Routing einrichten kann (z. B. Drucker, Telefone, ein Switch etc.)

vorläufiges Fazit:
Es gibt Vorgaben, die netzwerktechnisch hinderlich, von mir aber nicht zu ändern sind.
Die Einrichtung der Fritzbox als IP-Client scheint möglicherweise die einzig zielführende Lösung zu sein, ist aber nicht bisher nicht gelungen.

Viele Grüße
maceis
 
Die Einrichtung der Fritzbox als IP-Client scheint möglicherweise die einzig zielführende Lösung zu sein, ist aber nicht bisher nicht gelungen.
Die erweiterte Ansicht ist an?

Ich kenne leider keine Kabelboxen, da ich noch nie einen Kabelanschluss hatte. Aber aus verschiedenen Berichten weiß ich, dass Kabelboxen ja nach Anbieter oft mal besondere Einschränkungen haben und gewisse Menus nicht angezeigt werden. Möglicherweise ist dies das Problem. Aber du kannst ja offesichtlich OpenVPN auf die Box bringen, ggf. kann man über Freetz oder andere Modifikationen dafür sorgen, dass alle benötigten Optionen verfügbar sind - auch wenn ich im Moment keinen konkreten Ansatz dafür habe.

Alternativ: Ggf. kann man ja ein anderes Gerät die Rolle des DHCP Servers im Netz übernehmen. Das würde diverse Möglichkeiten offenbaren, z.B. ein anderes Defaultgateway zu verteilen.
 
Hallo Frank.

ja, die erweiterte Ansicht ist an.
Es ist übrigens eine frei gekaufte 6590, also kein Branding und keine Einschränkungen durch irgendwelche Provider.

DHCP und das Defaultgateway sind nicht das Problem.
Die Internetbox muss ja das Defaultgateway bleiben und das Routing in die (privaten) VPN Netze wird nicht über DHCP publiziert.
Wenn die Box als reiner Client arbeitet, muss es das auch nicht.
Der Datenverkehr in und aus dem VPN läuft ja dann über den Port 1194 und die Box routet nur zwischen dem Transportnetz des VPN und dem lokalen IP Netz.
Das lokale Netz interessiert die Internetbox nicht, sondern läuft über den Switch.

Viele Grüße
maceis
 
Die Internetbox muss ja das Defaultgateway bleiben und das Routing in die (privaten) VPN Netze wird nicht über DHCP publiziert.
Das muss nicht zwangsläufig so sein.

Man könnte einen DHCP Server im Netz aufsetzen, der die Fritzbox als Defaultgateway verteilt. Dann schicken alle Clients ihre Pakete zu der Fritzbox. Die Fritzbox hat zum einem die VPN Verbindungen mit ihren jeweiligen Subnetzen und routet die Pakete ggf. dahin. Außerdem hat sie (und nur sie!) die Internetbox als Defaultgateway und schickt alles dahin, was sie nicht selber verwerten kann. Im schlimmsten Fall führt das zu einem Hop mehr, den die Pakete bei dir im Netz machen. Im besten Fall etabliert sich nach und nach eine stabile Situation mit Hilfe von ICMP Redirect Nachrichten, die die Hosts dazu bringen, Pakete ins Internet direkt an die Internetbox zu schicken.
 
Dass man das so aufsetzen könnte, ist mir bewusst - hatte ich auch schon so.
Die Vorgabe lautet, die Hosts im Netzwerk müssen im selben logischen Netz sein, wie der an das Internet angeschlossene Router.
Ich kann's leider nicht ändern.
Ich weiß Deine Bemühungen zu schätzen, aber für den Unverstand der Entscheidungsträger gibt es leider keine technische Lösung.
 
Die Vorgabe lautet, die Hosts im Netzwerk müssen im selben logischen Netz sein, wie der an das Internet angeschlossene Router.
Sind sie ja. Es gibt nur ein Subnetz, das des Internetrouters. Auch die Fritzbox hat eine IP daraus. Ein Beispiel:

Internetrouter hat 192.168.1.1, das Netz ist 192.168.1.0/24. Die Fritzbox hat 192.168.1.2, statisch konfiguriert, und hat als Defaultgateway und DNS die 192.168.1.1 eingerichtet. Zusätzlich kennt sie die 5 VPN Netze aus der OpenVPN Verbindung.

Dann gibt es z.B. einen Raspi im Netz, der DHCP Server ist, IPs aus dem Netz 192.168.1.50 - 192.168.1.150 verteilt, mit dem Defaultgateway 192.168.1.2 und DNS 192.168.1.1. Fertig. Alle Geräte im Netz können das VPN Nutzen und gehen über die Internetbox ins Internet. Im zweifel schicken die Clients ihre Internet-Pakete erst zur Fritzbox, die sie dann ggf. weiterleitet. Die Box weiß allerdings, dass es für diese Pakete ein besseres Gateway im Netz gibt und schickt dem Client ein ICMP Redirect zu, so dass er seine Pakete auch direkt zum Internetrouter schicken kann. Ob und wie er das zukünftig tut, hängt allerdings vom Client ab.
 
Tut mir leid, aber ich kann Dir nicht folgen.
Zum einen brauche ich keinen DHCP Server, da die Clients ohnehin statische Adressen haben.
Zum andern kann es nach meinem Kenntnisstand nur ein Defaultgateway je Host geben.

Ich habe mir das eher so gedacht, dass die FB ein (fast) ganz "normaler" Host ist, auf dem eben der VPN Dienst läuft.
Die anderen Hosts im Netz bekommen statische Routen in die VPN Netze, für die die FB das Gateway ist und in das VPN Transportnetz routet.
Das Defaultgateway für alle Hosts ist und bleibt der Internetrouter.

Gruß
maceis
 
Zuletzt bearbeitet:
Du kansst aber nicht auf allen Hosts sratische Routen setzen. Das Defaultgateway aber schon.

Wenn bei dir eh alles statisch konfiguriert ist, dann änder einfach in den Clients das Defaultgateway auf die Fritzbox. Den Rest macht die Box. Sie muss natürlich als IP-Client laufen.
 
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.