[Problem] OpenVPN Zugriff auf internes Netzwerk, das von FB7390 aufgebaut wird

[cmonty14]

Hallo,

meine Netzwerk-Architektur besteht aus 3 Netzwerk-Geräten: Kabel-Modem, FB7570 und FB7390.

WAN   ---- Kabel-Modem ---- FB7570 (mit Freetz) ----  FB7390 (mit Freetz)  ----- PC1, PC2, usw.   
Public IP                      192.168.178.1     192.168.178.2      10.0.0.1      10.0.0.0/24

Es handelt sich um ein Kabel-Modem ohne Gateway-Funktion, damit läuft die FB7570 im Gateway-Betriebsmodus und erhält ein Public IP (aus dem IPv4-Adressbereich) zugewiesen.
Die interne IP-Adresse der FB7570 ist 192.168.178.1
Auf der FB7570 läuft unter anderem das Paket "cpmaccfg" um an jedem der LAN-Ports 2-4 ein dediziertes Netzwerk aufzubauen.
Das heißt, an LAN-Port 2 wird die FB7390 angeschlossen und bekommt eine IP-Adresse aus dem Netzwerk 192.168.178.0/24 zugewiesen. Diese Box läuft entsprechend im Client-Mode.
An LAN-Port 3 wird ein Raspi angeschlossen, der einen Webservice anbietet und dem eine IP-Adresse aus dem Netzwerk 192.168.180.0/24 zugewiesen wird.

Ich kann aus dem Netzwerk 10.0.0.0/24 auf alle Geräte zugreifen, die an der FB7570 angeschlossen sind. Der Zugriff in umgekehrter Richtung ist allerdings nicht möglich, und das ist auch in Ordnung, denn damit wird mein "internes" Netzwerk geschützt.

Frage:
Wie komme ich per OpenVPN (aus dem WAN) auf die FB7390 und damit auf alle Geräte, die sich im Netzwerk 10.0.0.0/24 der FB7390 befinden?

THX

 

[fant]

Einfachste Möglichkeit:
Packe OpenVPN in der passenden Config auf die 7390 und richte auf der 7570 einen Port-Forward ein. Denn wenn Du auf der 7390 NAT laufen hast, kommst Du nur per dediziertem Portforward ins 7390-Intranet.

Komplizierter:
Packe OpenVPN auf beide Boxen und melde die 7390 zusätzlich mit passenden Routing-Einträgen an der 7570 an. Dann routet die 7570 ins andere VPN.

Ich würde die erste Version bevorzugen.

Hawedieehre.
Fant.

 

[cmonty14]

Ich habe die 1. Option gewählt.
Das heißt, auf der FB7390 ist der Service OpenVPN aktiv und eine Port-Weiterleitung von 1194 auf 0.0.0.0 eingerichtet

udp 0.0.0.0:1194 0.0.0.0:1194 0 # OpenVPN

Auf der FB7570 ist eine Port-Weiterleitung von 1194 auf 192.168.178.2 eingerichtet

udp 0.0.0.0:1194 192.168.178.2:1194 0 # OpenVPN

Allerdings kann ich keine Verbindung mit einem OpenVPN-Client ins Heimnetzwerk aufbauen. Im Log des Clients wird keine Fehlermeldung angezeigt, aber die Client hängt beim Ruf der Public IP:

Thu Oct 17 21:14:15 2013 us=774649 OpenVPN 2.0.9 Win32-MinGW [SSL] [LZO] built on Oct  1 2006
Thu Oct 17 21:14:15 2013 us=775989 LZO compression initialized
Thu Oct 17 21:14:15 2013 us=776046 Control Channel MTU parms [ L:1574 D:138 EF:38 EB:0 ET:0 EL:0 ]
Thu Oct 17 21:14:15 2013 us=856353 Data Channel MTU parms [ L:1574 D:1450 EF:42 EB:135 ET:32 EL:0 AF:3/1 ]
Thu Oct 17 21:14:15 2013 us=856456 Local Options String: 'V4,dev-type tap,link-mtu 1574,tun-mtu 1532,proto UDPv4,comp-lzo,cipher BF-CBC,auth SHA1,keysize 128,key-method 2,tls-client'
Thu Oct 17 21:14:15 2013 us=856482 Expected Remote Options String: 'V4,dev-type tap,link-mtu 1574,tun-mtu 1532,proto UDPv4,comp-lzo,cipher BF-CBC,auth SHA1,keysize 128,key-method 2,tls-server'
Thu Oct 17 21:14:15 2013 us=856539 Local Options hash (VER=V4): 'd79ca330'
Thu Oct 17 21:14:15 2013 us=856576 Expected Remote Options hash (VER=V4): 'f7df56b8'
Thu Oct 17 21:14:15 2013 us=856639 Socket Buffers: R=[8192->8192] S=[64512->64512]
Thu Oct 17 21:14:15 2013 us=856673 UDPv4 link local: [undef]
Thu Oct 17 21:14:15 2013 us=856726 UDPv4 link remote: 91.xx.xxx.xxx:1194

Wie kann ich prüfen, ob der Port 1194 offen ist?
Die "Open Port Checker" im Internet funktionieren ja nicht mit UDP.
Muss auf der FB7390 ein Port Forwarding auf 0.0.0.0 eingerichtet werden?
Falls ja, warum?
Muss auf der FB7390 der Port 1194 AVM-Firewall Settings geöffnet werden?


THX