.titleBar { margin-bottom: 5px!important; }

VPN - Lösung gefragt!

Dieses Thema im Forum "Freetz" wurde erstellt von haz.man, 27 Jan. 2009.

  1. haz.man

    haz.man Neuer User

    Registriert seit:
    13 Nov. 2008
    Beiträge:
    14
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Hallo Leute!

    Da hier im Forum jedemege Spezialisten aktiv sind, hoffe ich hier gut beraten zu werden.

    Mein Ziel:
    Ich möchte drei Netzwerke (alle haben DSL) miteinander verknüpfen.
    Jedes Netzwerk hängt an einer Fritzbox 7270.
    Innerhalb diesem VPN soll dann auch Broadcast funktionieren.
    Da das Voraussetzung von meinem Windows Homeserver ist.
    Ohne Broadcast macht der keine Sicherung von den entfernten PCs.
    Es müssen also alle Rechner aus allen Netzwerken in einem Subnetz laufen.

    Des Weiteren möchte ich mit meinem iPhone auf dieses VPN zugreifen können.
    Dieses unterstützt aber nur L2TP / PPTP / IPSec.
    Falls ich das richtig deute fällt damit OpenVPN schon mal falch?

    Welche (möglichst sichere) Möglichkeiten bleiben mir noch?
    Es muss nicht unbedingt auf der Fritzbox lauf...

    Warum ich dann in der Fritzbox Mod Ecke poste?
    Weil ich mit OpenVPN angefangen habe zu experimentieren.
    Anfangs hatte ich es über die VPN Lösung von AVM versucht, doch da sind nicht alle Rechner in einem Subnetz.

    Ich bitte um eure Hilfe!
     
  2. Silent-Tears

    Silent-Tears IPPF-Promi

    Registriert seit:
    3 Aug. 2007
    Beiträge:
    7,456
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Ort:
    BI
    Am Rande stellt sich mir die Frage, ob du mit einer OpenVPN-Frage hier wirklich richtig bist. Klasr, es gibt ein oder 2 Besonderheiten auf den Boxn, die allerdings beziehen sich vor allem auf die Installation, weniger auf die Konfiguration.
    Teile uns doch wenigstens mit, was du bisher versucht hast an Einstellungen, die nicht funktioniert haben. Vielleicht finden wir den Fehler.
     
  3. haz.man

    haz.man Neuer User

    Registriert seit:
    13 Nov. 2008
    Beiträge:
    14
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Das ist der Punkt. Komme ich mit OpenVPN überhaupt ans Ziel?
    Ich kann mir die arbeite der Konfiguration sparen wenn ich damit nicht meine Ziel erreiche.
    Habe jetzt schon mehrere Stunden in Installation und Konfiguration gesteckt.

    Ist über OpenVPN denn Broadcast möglich?
    Die iPhone Sache kann ich mir glaube ich abschminken.

    Wie gut lässt sich IPSec auf der Fritzbox konfigurieren?
     
  4. Silent-Tears

    Silent-Tears IPPF-Promi

    Registriert seit:
    3 Aug. 2007
    Beiträge:
    7,456
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Ort:
    BI
    Hmm, noch ne dumme Frage, auch wen nes hier mit sicherheit Menschen gibt, die das wissen: Wieso postest du OpenVPN-Sachen im Freetz-Unterforum? Das könntest du gleichzeitig auch bei Microsoft fragen, des es gibt eine OpenVPN-Implementierung für Windows. Oder bei jedem beliebigen Linux/Unix/etc.
     
  5. haz.man

    haz.man Neuer User

    Registriert seit:
    13 Nov. 2008
    Beiträge:
    14
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Diese Frage wurde in meinem ersten Post schon beantwortet.
    OpenVPN waren meine ersten Versuche.
    Ich würde das ganze gerne auf der Fritzbox realiseren, da die nunmal immer an ist und dann jeder Rechner dahinter erreichbar wäre.
    Anders müsste ich jeden Rechner einzeln konfigurieren.
    Deshalb in dem Fritzbox Mod Forum.
     
  6. Silent-Tears

    Silent-Tears IPPF-Promi

    Registriert seit:
    3 Aug. 2007
    Beiträge:
    7,456
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Ort:
    BI
    Impliziert, dass das OpenVPN auf der Fritz! anders funktioniert als an jedem beliebigen anderen Gerät, was in der Lage ist zu routen, somit auch ein PC.
    Deswegen mein Hinweis, dass es hier nicht der komplett rihctige Platz ist. Denn: OpenVPN ist weitesgehend OpenVPN. Egal auf welcher Plattform man das einsetzt.

    Von daher wäre eine Frage in einem OpenVPN-Forum wohl beser aufgehoben. So eine wie: "kann OpenVPN mehrere entfernte Netze miteinander zu einem zusammenschalten?" Vollkommen frei von der Fritz! oder so.
    Eigentlich nämlich ist Freetz nur eine Zusammensetellung von Software. Deswegen mein Hinweis auf Microsoft oder jedes x-beliebige OS.
     
  7. haz.man

    haz.man Neuer User

    Registriert seit:
    13 Nov. 2008
    Beiträge:
    14
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    OK. Danke für deine Mühe.
    Ich werde es auch wo anderes probieren.

    Falls trotzdem jemand in diesem Forum über den Eintrag stolpert und eine Antwort auf meine Fragen kennt, bin ich sehr dankbar!
     
  8. cando

    cando Aktives Mitglied

    Registriert seit:
    28 Nov. 2008
    Beiträge:
    1,080
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Hi,

    zu deinen wünschen:

    mit vpn eigendlich nicht realisierbar, da alle vpn lösungen zur kopplung von netzen ein routing protokoll benötigen. das vpn gateway, dass die netze koppellt, muss ja wissen, wohin es die pakete schicken soll (z.B. in den tunnel)

    deshalb müssen alle beteiligten netze unterschiedliche netzadressen haben.
    einzige ausnahme: ein einzelner rechner meldet sich über einen vpn client an ein internes netz an, dann bekommt er vom dhcp server eine lokale ip verpasst.

    ausserdem braucht windows nicht unbedingt broadcast adressen und alle rechner im gleichen segment (net bios über tcp oder nbt wie der micro-softie sagt).

    deshalb kannst du netzwerk laufwerke locker übergreifend mounten und auch sichern. voraussetzung ist natürlich, dass du die netbios ip ports nicht per firewall regel sperrst.

    viele grüße

    cando
     
  9. haz.man

    haz.man Neuer User

    Registriert seit:
    13 Nov. 2008
    Beiträge:
    14
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    OK. Könnte ich mit IPSec meinen Traum verwirklichen?

    Das Betriebssystem "Windows Homeserver" sichert aber keine Rechner aus anderen Subnetzen. Wenn der Rechner nicht in der Netzwerkumgebung sichtbar ist, kann man ihn nicht hinzufügen.
     
  10. cando

    cando Aktives Mitglied

    Registriert seit:
    28 Nov. 2008
    Beiträge:
    1,080
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Sichtbar machen kann man ihn leicht. du trägst den rechner in die lmhosts ein, dann gehst du in den dateimanager und mappst ein netzwerklaufwerk an dem entfernten rechner. schon ist er systemweit sichtbar....:rolleyes:
     
  11. haz.man

    haz.man Neuer User

    Registriert seit:
    13 Nov. 2008
    Beiträge:
    14
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    lmhosts? Wo finde ich das?
    Das muss ich mal ausprobieren.
    Dann bekomme ich das ganze evtl. schon mit der orignal AVM-VPN hin.
    Ist dann auch möglich den lokalen Drucker am entfernten (remotegesteuerten) Rechner als Ausgabedrucker zu verwenden?
    Ich hoffe das ist verständlich...:D
     
  12. cando

    cando Aktives Mitglied

    Registriert seit:
    28 Nov. 2008
    Beiträge:
    1,080
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    in

    c:\windows\system32\drivers\etc

    ist eine textdatei ohne endung. wenn du die noch nie benutzt hast ist da ein sample im verzeichnis, lmhosts.sam

    beim speichern die endung weglassen oder die txt datei umbenennen!!!

    :cool:
     
  13. 6i6i

    6i6i Neuer User

    Registriert seit:
    22 Sep. 2008
    Beiträge:
    28
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Eventuell hilft dir meine Fachbereichsarbeit die ich zum Abitur geschrieben habe weiter.
     

    Anhänge:

  14. cando

    cando Aktives Mitglied

    Registriert seit:
    28 Nov. 2008
    Beiträge:
    1,080
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    schön gemacht. was aber in der arbeit leider fehlt ist eine netzwerk - zu - netzwerk kopplung als beispiel (was haz.man eigendlich haben will).

    aber sonst alles soweit gut erklärt.
     
  15. 6i6i

    6i6i Neuer User

    Registriert seit:
    22 Sep. 2008
    Beiträge:
    28
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    #15 6i6i, 27 Jan. 2009
    Zuletzt bearbeitet: 27 Jan. 2009
  16. han-solo

    han-solo Mitglied

    Registriert seit:
    28 Juli 2005
    Beiträge:
    451
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    #16 han-solo, 28 Jan. 2009
    Zuletzt bearbeitet: 28 Jan. 2009
    hallo,

    eigentlich sollte OpenVPN aber auch ohne verschiedene Netzte funktionieren.
    Genau dafür gibt es die Einstellung "Brücke (TAP)", was den Tunnel transparent gestaltet.
    Damit sollten die Teilnehmer dann im gleichen Netz sein und ein BC funktionieren.

    Weiterhin kann man noch virtuelle IP-Adressen vergeben damit die Netze nicht mit der lokalen IP der Fritzbox kollidieren.

    z.B.
    Code:
    ifconfig lan:1 10.10.10.1 netmask 255.255.255.224 up
    
    Ich hab das zwar noch nicht in der Praxis umgesetzt, aber es könnte klappen.

    Eine weitere Möglichkeit wäre, ein B-Class Netz zu gestalten und die einzelnen Teilnehmer in ein hineinpassendes C-Class Netz zu packen.
    Diese könnten dann das Routing untereinander vornehmen und der Homeserver würde über das B-Class Netz trotzdem alles sehen.


    Beispiel:
    Code:
    B-Class: 10.10.0.0/16
    C-Class1: 10.10.1.0/24
    C-Class2: 10.10.2.0/24
    C-Class3: 10.10.3.0/24
    

    Gruß
    HS
     
  17. cando

    cando Aktives Mitglied

    Registriert seit:
    28 Nov. 2008
    Beiträge:
    1,080
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    man muss ja nicht gleich ein class B netz nehmen. man kann ein class c netz ja auch kleiner machen über eine geeignete Netmask:

    z.B.: 192.168.0.1/255.255.255.128
    und 192.128.0.129/255.255.255.128

    damit ist das erste netz von 192.168.0.1...192.168.0.126
    und das zweite von 192.168.0.129...192.168.0.254 nutzbar.

    man sollte darauf achten, dass die jeweiligen router in den entsprechenden Segmenten liegen. Trotzdem gibt es ein problem beim host. wenn er die gefakete netzmaske vom größeren segment bekommt, versucht er umsonst den host hinter dem vpn direkt zu erreichen, denn eigendlich muss er das paket zum router schicken, der dann in den Tunnel forwardet. mit Layer3 ist das so nicht zu machen. Da hilft nur eine ordentliche Konfiguration oder eben eine Layer2 bridge mit allen ihren Nachteilen (der gesamte lokale Verkehr wird über die WAN Leitung übertragen, ist ja ne bridge).

    Ich empfehle da eher sich mal eine vernünftige layer3 kopplung zu überlegen und wirklich nur das durch die tunnel zu jagen, was für die gegenseite relevant ist.
     
  18. 6i6i

    6i6i Neuer User

    Registriert seit:
    22 Sep. 2008
    Beiträge:
    28
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Habe eine Skizze erstellt.
    Verstehe ich dein Vorhaben richtig?
     

    Anhänge:

  19. cando

    cando Aktives Mitglied

    Registriert seit:
    28 Nov. 2008
    Beiträge:
    1,080
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Tolle skizze, nur die ip-adressen würde ich sowohl für die Boxen als auch für die PC / Server anders wählen. Ich würde jedem Standort ein eigenes Sub-Netz spendieren, dann klappts auch mit dem Nachbarn.

    Ich halte nach wie vor nichts von einem Layer2 Tunnel, da man sich damit das ganze Netz auf DSL-Upstream Geschwindigkeit drosselt.

    Ich würde mir stattdessen eine andere Back-Up Lösung überlegen und nur die Differenzdaten übertragen. Für die Tunnel würde ich ordentlich geroutete Layer 3 Tunnel bauen und ich würde any - to any koppeln und nicht alles über den Hub beim Server laufen lassen (falls überhaupt Traffic zwischen den 2 PC - Netzen erwünscht ist)