Zwei Private Netzwerke über OpenVPN verbinden

[Kimundi]

Erstmal Sorry, falls das hier gefragt schon irgendwo im Forum beantwortet ist, aber da ich mit der suche nichts gefunden hab, was direkt auf mein Problem eingeht, und ich von VPN/Routing/Bridging nicht wirklich ne Ahnung hab frag ich einfach mal:

Ich habe ein kleines Netzwerk (2/3 Pcs gehen über ne Fritzbox ins internet) und wollte das über VPN mit den Netzwerk von nem Freund verbinden, so dass wir gegenseitig Netzwerkfreigaben benutzen können bzw Lan-Spiele Spielen können. Meine Fritzbox kann als OpenVPN Server dienen, den Router von meinen Kumpel darf ich aber nicht verändern, weshalb der OpenVPN Client auf seinen Rechner laufen würde.

Wie müsste allgemein die Konfiguration sein, damit beide Netzwerke miteinander verbunden sind, dh was müsste womit überbrückt werden, was wie geroutet; sollten beide Netze das selbe Subnetz haben/sollten dann auch die VPN Netzwerkkarten im selben Subnetz liegen, etc.

Ich hab ne FritzBox Fon Wlan 7050, auf der ich OpenVPN installiert habe (Über The-Construct), den Router von meinen Kumpel kenn ich nicht genau, ist glaub ich irgendeiner von T-Online oder so.

 

[waldoo]

Wenn du Deinem Freund auf Dein komplettes Netzwerk zugriff geben willst, dann ist das kein Thema.
Nur wenn du auf das Netzwerk Deines kumpels willst wird das nicht ohne grossen konfigurationsaufwand gehen, wenn der VPN-client auf einem PC und nicht auf dem router des netzwerkers läuft. Die Rechner hinter dem VPN-clienten wissen nämlich erst mal nicht wohin sie die packete schicken sollen (da die default route über den normalen router ins internet verweist).
Aber wenn dir das so langt, dann ist das die wohl erst mal die schnellste möglichkeit (1 pc an dein netzwerk).

Wenn ihr auf euer gegenseitiges netzwerk wollt dann sollten beide VPN-server auf den routern liegen. Wie gesagt, das vereinfacht das ganze wesentlich.

Ob allerdings die ping zeiten & der upload eurer DSL leitungen für spiele wie cs & co langt...
Kannst uns ja davon berichten

vg
waldoo

 

[MaxMuster]

Ich glaube nicht, dass wir dir im Moment ernsthaft helfen können. Hier wirst du sicher Unterstützung bekommen, wenn du wissen willst, wie du dein VPN zum Laufen bekommst. Die Frage was du eigentlich willst, kann dir keiner abnehmen, da nur du das weißt (oder wissen solltest ;-)).
Mein Rat daher: Versuche, die ja erkannten Lücken soweit zu schließen, dass du entscheiden kannst, was du benötigst. Dazu werden dir die WIKI Einträge hier einschließlich der darin genannten weiterführenden Links sicher eine gute Hilfe sein. Ansonsten sollte es "lt. Herrn Google" nicht so schwer sein, an Informationen zu gelangen ;-):

Ergebnisse 1 - 10 von ungefähr 204.000 Seiten auf Deutsch für openvpn howto . (0,09 Sekunden)

Jörg

 

[Kimundi]

Ok, dass ich nicht auf sein ganzes Netzwerk Zugreifen kann verstehe ich irgendwie. Wäre es ein unterschied wenn ich nur auf das Lokale Netzwerk seines Pc zugreifen will?

 

[MaxMuster]

... wenn du mit "sein lokales Netzwerk" den PC deines Freundes und dessen "Freigaben" usw. meinst: Dann ja.

Du solltest erstmal klären, welche Voraussetzungen du für deinen geplanten Anwendungsfall hast, speziell ob du ein "gebrücktes" Netz benötigst oder einen "Tunnel".
Grob gesagt: Der Tunnel benötigt weniger Ressourcen und kann dafür keine Broadcasts usw. übertragen (d.h. z.B. läuft die normale "automatische" Windows-Namensauflösung nicht). Der Brückenmodus schickt alles durch das VPN, egal ob es nötig ist oder nicht, dafür sind dann einige Dinge "einfacher" zu realisieren (ich habe mich hier mal dazu ausführlich ausgelassen ;-) )

Jörg

 

[Kimundi]

Danke, dass hat mir gleich weitergeholfen. Ich denke ne Brücke wäre dann dass was ich brauche.
Achja: Die IP Netze sollten unterschiedlich sein, richtig? Und ne Portweiterleitung für OVPN brauch ich nur auf meiner Fritzbox (also server)?

Und Sorry falls hier noch mehr fragen kommen, aber ich kann das ganze halt schlecht testen, weil hin und her fahren für einmal Tastaturgetippe verständlicherweise viel zu viel aufwand wäre.
Es sei denn jemand könnte mir erkären wie man ne Viruelle Maschine aufsetzt die sich nur mit den Internet verbindet. (Und nicht auch noch mit den restlichen lan, was den Test einer VPN verbindung ziemlich nutzlos macht)

 

[MaxMuster]

Achja: Die IP Netze sollten unterschiedlich sein, richtig?

Ja, sollten Sie. Der OpenVPN Server würde dann zwei Dinge tun:
- Dem Client (also dem PC des Freundes) eine IP aus deinem Netz vergeben (die dort natürlich frei sein muss)
- Die Anfragen auf dem VPN-Interface in das LAN weiterleiten (dafür wird das TAP-Interface mit deinem LAN "gebrückt")

Dann wäre der Client in zwei Netzen: In seinem LAN über die normale Netzwerkkarte und mit dem "virtuellen VPN-Adapter" (solange das VPN steht) gleichzeitig in deinem LAN.

Für die Verbindung des VPN-Interfaces mit dem LAN benötigst du entweder noch das Tool "brctl" oder du fügst das Interface "tap0" in der ar7-cfg zu den "brinterfaces" hinzu
z.B. so:

brinterfaces {
                name = "lan";
                dhcp = no;
                ipaddr = a.b.c.d;
                netmask = 255.255.255.0;
                dstipaddr = 0.0.0.0;
                interfaces = "eth0", "usbrndis", "eth1", "tiwlan0", "wdsup0", 
                             "tap0", "wdsdw0", "wdsdw1", "wdsdw2", 
                             "wdsdw3";
                dhcpenabled = yes;
                dhcpstart = 0.0.0.0;
                dhcpend = 0.0.0.0;
        }

Die Portweiterleitung braucht nur deine Box (die Server-Box).

Zum Testen kannst du dich ja ansonsten entweder per "VNC" oder so auf den PC des Kumpels verbinden. Ansonsten ist ein "kleiner Test" (ohne Test der Portfreigabe) auch intern möglich:

• Entweder "verschiedene Netze" bei LAN und WLAN einrichten und über WLAN auf die Box verbinden um zu testen, ob du dann ein Interface mit einer "LAN-IP" bekommst
• Oder du machst das über das LAN, richtest ein zweites Netz in der Box ein (z.B.: "ifconfig lan:2 192.168.234.1"), gibst einem PC im LAN die 192.168.234.5 und machst den gleichen Test (VPN-Verbindung auf 192.168.234.1 und du solltest dann die IP aus dem "normalen" LAN kriegen).

Jörg

 

[Joe_57]

Hallo Kimundi,

warum verwendest du nicht einfach das AVM-Tool zum
* Einrichten von VPN zwischen zwei FRITZ!Boxen mit festen IP-Adressen? :noidea:
Das Tool liegt doch auf dem AVM-FTP-Server.

Joe

 

[MaxMuster]

warum verwendest du nicht einfach...

Vielleicht, weil er eine 7050 mit OpenVPN hat und keine 7170 mit VPN-Firmware?!?

Jörg

 

[Joe_57]

Hallo Jörg,

...weil das gar nicht notwendig ist!
Eine FB7050 lässt sich ganz einfach mit VPN nachrüsten (ohne DS-Mod), wie hier beschrieben ist.
Und damit läuft auch das AVM-Tool.
Ich hatte das Ganze auf einer 7050 mit FW 14.04.33 problemlos am laufen.

Joe

 

[MaxMuster]

wie hier beschrieben ist.

Da steht wie ich OpenVPN auf die Box bekomme: "Für die Kopplung der beiden Netzwerke über die Fritz!Box haben wir uns für die Open-Source-Software OpenVPN entschieden.", dass das auch ohne ds-mod geht, ist schon klar.

Und damit läuft auch das AVM-Tool.

Wäre ja nicht schlecht, bei mir sieht die Konfig, die das Tool ausspuckt für "Verbindung zwischen zwei FRITZ!Box-Netzwerken einrichten", so aus:

*
 * C:\Dokumente und Einstellungen\Joerg\Anwendungsdaten\AVM\FRITZ!Fernzugang\bla22_ddns_org\fritzbox.cfg
 * Tue Nov 06 21:43:34 2007
 */

vpncfg {
        connections {
                enabled = yes;
                conn_type = conntype_lan;
                name = "bla.ddns.org";
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 0.0.0.0;
                remotehostname = "bla.ddns.org";
                localid {
                        fqdn = "bla22.ddns.org";
                }
                remoteid {
                        fqdn = "bla.ddns.org";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "vfe93b0:Rdbf9ad90d2p07e0befef3b2f";
                cert_do_server_auth = no;
                use_nat_t = no;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 192.168.234.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist = "permit ip any 192.168.123.0 255.255.255.0";
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}


// EOF

Was mir extrem nach IPSec aussieht. Vielleicht kann das Tool ja noch was anderes, aber so ganz glaube ich da noch nicht dran ;-)

Das Archiv enthält						
Produkt         : FRITZ!Fernzugang einrichten						
Betriebssystem  : Windows Vista (32bit), XP, 2000
Build           : 07.10.05
Version         : 01.00.04
Sprache		: Deutsch

Unterstützte Hardware :						
                  - AVM VoIP Gateway 5188, FRITZ!Box mit VPN-Firmware

Jörg