OpenVPN mit mehr als zwei Fritz!Boxen ?

[PixelChris]

Hallo,

zu dem Thema Box2Box gibt es ja schon genügend Beiträge/Themen, habe jedoch nichts zum o.g. Thema gefunden. :noidea:

Daher meine Frage: Wäre es mit der Standard OpenVPN Konfiguration (mit kleinen Änderungen in den Configs versteht sich) möglich mehrere Netze über mehrere Fritz!Boxen zusammen zulegen?

Danke
GReets
PixelChris

 

[edward]

Die gleiche Frage habe ich mir auch gestellt.
Ich denke schon.
Für jede Verbindung musste dann eine Openvpn Sitzung gestartet werden und natürlich auf verschiedenen Ports.
Ich denke wenn es über eine zentrale Box realisiert wird, dann wird die Internet Verbindung der zentralen Box auch dann benutzt, wenn nur andere zwei Boxen Daten austauschen. Aus diesem Grund würde ich für jede Verbindung zwischen Netzwerken eine eigene VPN aufbauen, dann hat man es sauberes Routing zwischen den Netzen. Die Box kennt den ganauen Weg zum Ziel.
Bleibt noch die Frage, wieviele OpenVPN's Sitzungen schaffen die Fritz!Boxen.

 

[Thomas.Heller]

Hallo, das kann auch mit einer Sitzung laufen, eine Box als Server und die anderen als Client. Bei mir laufen zur Zeit 5 Fritz!Box'en als Client an einem P3 900 MHZ als Server (Zerina), die CPU langweilt sich nur. Die Config's der Client's sind identisch, Portfreigaben am Client sind unnötig. Es macht aber arbeit die Zertifikate ins Image zu bekommen. In der Server-Config arbeite ich mit server, route, iroute und push. Es hat einige Zeit gedauert bis es lief.

 

[PixelChris]

...Aus diesem Grund würde ich für jede Verbindung zwischen Netzwerken eine eigene VPN aufbauen, ...

Wie denn? ring- oder sternförmig? (Siehe angehängtes Bild)

Bei mir laufen zur Zeit 5 Fritz!Box'en als Client an einem P3 900 MHZ als Server

Aber wie schaut es aus wenn die Fritz!Box der Server sein soll?
funktioniert das dann auch?

Also, erstmal sollte wirklich geklärt werden, ob hier schon jemand erfolg hatte drei Boxen irgendwie per OpenVPN zu verbinden.

 

[maceis]

...
Aber wie schaut es aus wenn die Fritz!Box der Server sein soll?
funktioniert das dann auch?
...

Ja, natürlich.

...
Also, erstmal sollte wirklich geklärt werden, ob hier schon jemand erfolg hatte drei Boxen irgendwie per OpenVPN zu verbinden.

Ja, ich hab mehrere Boxen und zusätzlich einen Laptop per WLAN über OpenVPN miteinander verbunden.
Die Konfiguration ist sogar erstaunlich einfach, wenn man das Prinzip einmal verstanden hat.

 

[edward]

Wie denn? ring- oder sternförmig? (Siehe angehängtes Bild)

Ringförmig

Hallo, das kann auch mit einer Sitzung laufen, eine Box als Server und die anderen als Client.

Klar, dass dies funktioniert. Aber wenn 2 Boxen untereinander Daten austauschen, bauen diese 2 Boxen eine Verbindung untereinander auf? oder findet der Datenaustausch über den Server?
Wie bauen dann diese 2 Boxen eine Verbindung auf? wenn diese in Client Modus arbeiten. Diese haben keinen geöffneten Port, nur den der mit dem Server verbunden ist, und ein guter Firewall lässt keine weitere Zugriffe von andere IP's zu.(bitte um Korrektur, wenn das nicht so ist)
Daher die Vermutung: Datenaustausch über den Server.

 

[maceis]

Die Möglichkeiten von OpenVPN sind recht vielfältig.
Welche Konfiguration die "beste" ist, hängt da sehr von den individuellen Anforderungen ab.
Ich persönlich habe mich für eine Server-MultiClient Lösung entschieden und bin sehr zufrieden damit.

 

[PixelChris]

Ich persönlich habe mich für eine Server-MultiClient Lösung entschieden und bin sehr zufrieden damit.

Das hört sich ja schonmal gut an,
gibt es da eine Anleitung zu, die auf die standard OpenVPN Anleitung anknüpft?
oder etwas separates?

 

[maceis]

Ich weiß ja nicht, was Du mit "standard OpenVPN Anleitung" genau meinst, aber das Konzept ist (wie die übrigen Konfigurationen auch) detailiert im Howto auf OpenVPN.net beschrieben.

Außerdem gibt es ein gutes README im openvpn-Tarball, das nach dem Entpacken im Verzeichnis "easy-rsa" zu finden ist und eine Reihe von Beispielkonfigurationen, die im Verzeichnis "sample-config-files" liegen.

 

[PixelChris]

Ich weiß ja nicht, was Du mit "standard OpenVPN Anleitung" genau meinst, ...

als Anleitung z.B.:
http://www.ip-phone-forum.de/showthread.php?t=95638
oder
http://www.tecchannel.de/telko/daten/435560/


Bei diesen Anleitung ist jedoch immer die Rede von nur zwei Netzen
wie z.B. bei den Routen:

route 192.168.1.0 255.255.255.0
push "route 192.168.100.0 255.255.255.0"

und auf der OpenVPN Seite steht zwar etwas von:

OpenVPN 2.0 expands on the capabilities of OpenVPN 1.x by offering a scalable client/server mode, allowing multiple clients to connect to a single OpenVPN server process over a single TCP or UDP port.

aber habe bisher nirgens eine anleitung gefunden, wie man dann das dritte Netz mit einbaut in die config des Servers und die der Clients

 

[PixelChris]

Evtl. habe ich doch gerade etwas auf der OpenVPN Seite gefunden, wäre nett, wenn mir jemand bestätigt, dass das so klappt.
Vermute aber mal, dass es da nicht wirklich um drei verschiedene Standorte geht, sondern nur um zwei verschiedene Netze auf der Client oder Server Seite.

Link: http://openvpn.net/howto.html#scope

Dort geht es unteranderem um eine "iroute" (datei: client2 im ccd verzeichnis)

EDIT:
oder ist es etwa wirklich so einfach, dass ich einfach nur eine zweite route setzen muss?
wie z.B.:

push "route 192.168.10.0 255.255.255.0" (FritzBox2 = Client1)
push "route 192.168.20.0 255.255.255.0" (FritzBox3 = Client2)

 

[maceis]

Guggst Du im Howto unter Setting up your own Certificate Authority (CA) and generating certificates and keys for an OpenVPN server and multiple clients und unter dem von Dir geposteten Link.

Und, ja, es ist wirklich erstaunlich einfach .

 

[PixelChris]

Guggst Du im Howto unter Setting up your own Certificate Authority (CA) and generating certificates and keys for an OpenVPN server and multiple clients und unter dem von Dir geposteten Link.

Und, ja, es ist wirklich erstaunlich einfach .

da geht es aber um was anderes!

... generating certificates and keys for an OpenVPN server and multiple clients...

 

[maceis]

Nicht wirklich.

Du fragtest oben nach einer Konfiguration, die bereits erfolgreich getestet wurde. Auf die habe ich Dich nun verwiesen.

Dass die Möglichkeiten vielfältig sind, erwähnte ich bereits in Posting Nr. 7 dieses Threads. Vermutlich kann man ein ähnliches Konzept mit PSK umsetzen, das wurde aber von mir noch nicht getestet.

 

[PixelChris]

Du fragtest oben nach einer Konfiguration, die bereits erfolgreich getestet wurde. Auf die habe ich Dich nun verwiesen.

Korrekt!

Aber in dieser Konfiguration ist nirgends erklärt (kanns zumindetens nicht finden)
wie man nun mehrere Netze (sprich mehrere Fritz!Boxen) einbindet.

Wäre nett wenn du mir da mal auf die Sprünge helfen könntest.

Wie ich dem Server sage, dass mehrere Clients sich verbinden können
oder ist es wirklich so einfach das ich dann einfach nur mehrere
push routen einbinden muss anstatt nur eine? (see: Post 11: http://www.ip-phone-forum.de/showpost.php?p=611788&postcount=11)

 

[edward]

Wenn man PSK benutzt, dann kann sich nur ein Client mit dem Server verbinden.
Siehe Einschränkungen unter http://openvpn.net/static.html

 

[maceis]

Das ist unter dem von Dir in Posting 11 genannten Link detailiert erklärt.

Kurzfassung:
Die "push route" Einträge teilen sich verbindenden Clients mit, in welche Netze der OpenVPN-Server routet.
Zusätzlich benötigt man sowohl einen "route" Eintrag als auch einen "iroute" Eintrag für die clientseitigen Netze.

Wenn man PSK benutzt, dann kann sich nur ein Client mit dem Server verbinden.
Siehe Einschränkungen unter http://openvpn.net/static.html

Ja richtig. Wobei Server hier den Prozess meint und nicht das Gerät. Mit anderen Worten, auf einer Box kann man mehrere Serverinstanzen starten.
Jetzt weiß ich auch wieder, warum ich mich für Zertifiakte entschieden hatte .

 

[edward]

...
Ja richtig. Wobei Server hier den Prozess meint und nicht das Gerät. Mit anderen Worten, auf einer Box kann man mehrere Serverinstanzen starten.....

Ich denke das war schon klar, sonst hätte ich nicht weiter oben von mehreren OpenVPN-Instanzen geschrieben, aber wenn du das genau haben möchtest ...:doktor:

 

[maceis]

Oh sorry, hatte im Augenblick nicht realisiert, dass Du das warst :-? .

 

[PixelChris]

...
Jetzt weiß ich auch wieder, warum ich mich für Zertifikate entschieden hatte .

Zertifikate kann mal also auch ohne Probleme einsetzen,
dass ist ja schon mal gut.

In einem Tutorial hatte ich gelesen, dass die openVPN Version/Variante/Kompilierung, die auf den Fritz!Boxen läuft diese noch nicht unterstützt.

Und noch mal eine Frage zum Verständnis:

Zum Verbinden der drei Netze (der drei Fritz!Boxen) muss ich diese bridgen, sprich "tap" wäre hier die Lösung (und nicht "tun")
Wobei dann zubeachten ist, dass die drei Netze alle den gleichen IP-Range benutzen und die drei Fritz!Boxen dann logischerweise alle eine unterschiedliche IP haben müssen und auch unterschiedliche DHCP-IP-Bereiche nutzen/verteilen.

desweiteren müssen dann also "iroutes" benutzt werden!?
um die drei Netze der drei Fritzboxen zu einem zusammen zulegen

da liegt dann nämlich mein Problem, hatte das HowTo auf der openvpn.net Seite so verstanden, dass man diese "iroutes" nur nutzen muss, wenn man an einer Fritz!Box sprich an einem Client mehrere Netze hat!?


und wenn ich das ganze dann wirklich ringförmig aufbauen möchte, dann muss ich auch mehrere instanzen nutzen? da sonst die Kommunikation der beiden Client-Netze über die Server-Fritz!Box laufen würde?

Korrekt?

Danke
GReeets
PixelChris