It is currently 19.11.2017 00:55


All times are UTC




Post new topic Reply to topic  [ 15 posts ] 
Author Message
 Post subject: Kniffliges Routing
PostPosted: 14.09.2014 13:15 
DES
DES

Joined: 14.09.2014 08:21
Posts: 6
Hallo Zusammen,

bin gerade dabei, mich in die große weite Welt des Netzwerkroutings einzulesen. Aber meine rudimentären Kenntnisse bringen mich an eine Wissensgrenze die das viele Gelesene nicht verarbeiten kann. Vielleicht erst einmal die Ausgangslage.

Auf einem Raspberry Pi laufen zwei Instanzen von OpenVPN. Er hängt mir der IP 192.168.96.17 hinter einer FritzBox, die Ihrerseites mit weiteren Fritz!Box VPN Lan-Lan Kopplungen hat. IP Bereiche der anderen Boxen sind z.B. 192.168.1.0/24, 192.168.2.0/24, 192.168.4.0/24, 10.0.0.0/24, etc.

Bei den Standrdclients funktioniert soweit alles, wie ich es will. Jeder kann auf die IP 192.168.96.17 und 192.168.96.153 zugreifen aber nicht auf die anderen Clients und nicht auf die LAN Netze, die an die Fritz!Box angebunden sind. Jetzt soll ein Admin Client jedoch Zugriff auf alles haben. Für die Bereiche 192.168.94.0/24, 192.168.95.0/24 und 192.168.96.0/24 funktioniert das.
Aber was muss ich tun, dass ein Admin Client auf alle Netzwerkbereiche Zugriff hat aber der Internetverkehr nicht durch den VPN Tunnel geleitet wird?

In der Fritz!Box sind IP Routen für 192.168.94.0/24 und 192.168.95.0/24 auf 192.168.96.17 angelegt.

Folgende iptables Einträge sind im Raspberry Pi gemacht:
Code:
iptables -t nat -A POSTROUTING -s 192.168.95.0/24 ! -d 192.168.95.0/24 -o eth0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.94.0/24 -o eth0 -j MASQUERADE


Server Konfig Standard-Clients:
Code:
dev tun
proto udp
port 123
ca /etc/openvpn/easy-rsa/keys/ca.crt
cert /etc/openvpn/easy-rsa/keys/myserver.crt
key /etc/openvpn/easy-rsa/keys/myserver.key
dh /etc/openvpn/easy-rsa/keys/dh1024.pem
user nobody
group nogroup
server 192.168.95.0 255.255.255.0
script-security 3 system
persist-key
persist-tun
status /var/log/openvpn-status.log
verb 3
push "route 192.168.96.17 255.255.255.255"
push "route 192.168.96.153 255.255.255.255"
push "route 192.168.94.0 255.255.255.0"
push "dhcp-option DNS 192.168.96.1"
log-append /var/log/openvpn.log
comp-lzo
duplicate-cn
keepalive 10 120
auth-user-pass-verify /etc/openvpn/auth_env-std.pl via-env
client-cert-not-required
ifconfig-pool-persist /var/log/openvpn-ipp.txt
reneg-sec 0
cipher AES-256-CBC
max-clients 15


Server Konfig Standard-Clients:
Code:
dev tun
proto tcp
port 123
ca /etc/openvpn/easy-rsa/keys/ca.crt
cert /etc/openvpn/easy-rsa/keys/myserver.crt
key /etc/openvpn/easy-rsa/keys/myserver.key
dh /etc/openvpn/easy-rsa/keys/dh1024.pem
user nobody
group nogroup
server 192.168.94.0 255.255.255.0
script-security 3 system
persist-key
persist-tun
status /var/log/openvpn-status-a.log
verb 3
client-to-client
push "route 192.168.0.0 255.255.0.0"
push "route 10.0.0.0 255.255.255.0"
push "dhcp-option DNS 192.168.96.1"
push "dhcp-option DNS 8.8.8.8"
log-append /var/log/openvpn-a.log
comp-lzo
duplicate-cn
keepalive 10 120
auth-user-pass-verify /etc/openvpn/auth_env-a.pl via-env
client-cert-not-required
ifconfig-pool-persist /var/log/openvpn-ipp-a.txt
reneg-sec 0
cipher AES-256-CBC
max-clients 15


Konfig des "Standard" Clients
Code:
client
dev tun
script-security 3
proto udp
remote dyndns.account  123
resolv-retry infinite
nobind
ca ca.crt
reneg-sec 0
cipher AES-256-CBC
comp-lzo


Konfig des "Admin" Clients
Code:
client
dev tun
script-security 3
proto tcp
remote  dyndns.account  123
resolv-retry infinite
nobind
ca ca.crt
auth-user-pass
reneg-sec 0
cipher AES-256-CBC
comp-lzo


Viele Grüße
steinche


Top
Offline Profile  
Reply with quote  
 Post subject: Re: Kniffliges Routing
PostPosted: 14.09.2014 18:13 
AES 256 bit
AES 256 bit

Joined: 27.11.2012 18:37
Posts: 272
Hi,
Du solltest das ganze mal an Hand einer kleinen Zeichnung posten.
Die Tunnel-IP im Bereich 192.168.x.x zu wählen, dient auch nicht gerade der Übersichtlichkeit.
Es gibt noch mehr private IP-Bereiche...;-)
Gruß orcape


Top
Offline Profile  
Reply with quote  
 Post subject: Re: Kniffliges Routing
PostPosted: 15.09.2014 16:35 
Profi
Profi

Joined: 23.10.2007 12:10
Posts: 2188
Hallo steinche,

ich vermute mal, du reitest da falsche Pferd :)

Du sprichst am Textanfang von Routing und gibst dann Informationen über openVPN Server + Clients ....
Was hat das eine mit dem anderen zu tun ?
Auch dein Push Krammist erst mal wenig hilfreich !

Am besten baust du das Netz erst einmal ohne Tunnel ( Tunnel durch Kabel ersetzen) widmenst dich dann dem Routing und fügst zu allerletzt die VPN-Tunnel ein.
Dabei wird das Routing dann von eth-x auf tun-x angepasst und es wird funktionieren.
Erfahrungsgemäss solltest du dein Problem "grafisch" lösen [aufmalen aller Wege und beteiligten Devices].

F.


Top
Offline Profile  
Reply with quote  
 Post subject: Re: Kniffliges Routing
PostPosted: 16.09.2014 19:03 
DES
DES

Joined: 14.09.2014 08:21
Posts: 6
Danke für Eure Antworten.

@orcape
Grafisch habe ich mir das so vorgestellt. Ich weiß jetzt nicht, ob es das ist, was Du meinst.
Netzwerkplan
Die gelbe Verbindung ist für die "Standard" Clients und die grüne für die "Admin" Clients.

@dl5ym
Quote:
Du sprichst am Textanfang von Routing und gibst dann Informationen über openVPN Server + Clients ....
Was hat das eine mit dem anderen zu tun ?
Auch dein Push Krammist erst mal wenig hilfreich !

Am Anfang schrieb ich auch, dass meine Kenntnisse noch löchrig sind, bitte entschuldige meine falsche Wortwahl! :? Wie im Threadtitel beschrieben, geht es mir um das Routing. Wenn Du mir noch erklären kannst, wie ich das Ganze mit Kabel aufbauen soll, wäre klasse.
Sorry, dass meine Wortwahl evtl. etwas zynisch rüber kommt. Aber Dein Beitrag war für mich wenig hilfreich ! Ich habe nach bestem Wissen notwendige Informationen zu meiner Fragestellung gepostet, wenn daran etwas zu ändern ist, erprobe ich das gerne.

Viele Grüße
steinche


Top
Offline Profile  
Reply with quote  
 Post subject: Re: Kniffliges Routing
PostPosted: 17.09.2014 20:20 
Profi
Profi

Joined: 23.10.2007 12:10
Posts: 2188
steinche wrote:
Danke für Eure Antworten.

@orcape
Grafisch habe ich mir das so vorgestellt. Ich weiß jetzt nicht, ob es das ist, was Du meinst.
Netzwerkplan
Die gelbe Verbindung ist für die "Standard" Clients und die grüne für die "Admin" Clients.

@dl5ym
Quote:
Du sprichst am Textanfang von Routing und gibst dann Informationen über openVPN Server + Clients ....
Was hat das eine mit dem anderen zu tun ?
Auch dein Push Krammist erst mal wenig hilfreich !


Wenn Du mir noch erklären kannst, wie ich das Ganze mit Kabel aufbauen soll, wäre klasse.

1 . Wortwahl... ach ja, ..nein -> du hast dich nicht falsch ausgedrückt. Eher im Gegenteil, wobei: eines der wenigen Dinge die ich nicht akzeptiere ist Nichtwissen als Dauerzustand -> lieber andere die Arbeit machen lassen :)
Aber da bin ich dann auch schnell weg ...
2. wie mit Kabel ? ->du brauchst doch zum Testen eh den ganzen Gerätekram - wenigstens 1 mal - also lass VPN weg, verwende Switche und Kabel [alles aufm Küchentisch] dann muss es gehen! Also die Netze direkt durch routen erreichen!
man kann es auch theoretisch aus Papier machen - ist etwas anspruchsvoller, man kann es nicht ausprobieren.

3. dein Netzwerkplan ist keiner !
jedes Netzwerk ist eine Wolke!
jedes Netzwerk hat nur eine IP ( x.x.x.x/y) -> CIDR - IP.

4. Verbindungen zwischen Netzen gehen immer über einen "Knoten" (device)
5. zur Topologie -> http://de.wikipedia.org/wiki/Rechnernetz zu,m Beispiel

..man muss am Anfang ja auch was haben...:)
unter Umständen hier mal die Suche bemühen dein Problem ist ein wenig FAQ :)

F.


Top
Offline Profile  
Reply with quote  
 Post subject: Re: Kniffliges Routing
PostPosted: 18.09.2014 03:39 
AES 256 bit
AES 256 bit

Joined: 27.11.2012 18:37
Posts: 272
Hi,
und sorry.
Laut "Netzwerkplan" kannst Du das "knicken".
Das ist mit einer Fritzbox nicht machbar und....
...hier muss ich @dl5ym Recht geben, Du solltest Dich erst mal mit dem Thema Routing etwas intensiver beschäftigen, bevor Du mit solchen "Projekten" auf die Menschheit losgehst.
Nicht böse gemeint, aber Dein Projekt lässt sich vielleicht mit VLAN´s lösen, nicht aber mit einer SoHo-Büchse a´la Fritte.
Gruß orcape


Top
Offline Profile  
Reply with quote  
 Post subject: Re: Kniffliges Routing
PostPosted: 24.09.2014 20:10 
DES
DES

Joined: 14.09.2014 08:21
Posts: 6
orcape wrote:
Hi,
und sorry.
Laut "Netzwerkplan" kannst Du das "knicken".
Das ist mit einer Fritzbox nicht machbar und....


Das funktioniert definitiv mit einer Fritz!Box. Habe den openVPN Server auf meinem QNAP eine Zeit lang in Betrieb gehabt und da funktioniert genau dieses Routing. Allerdings wird auch der ganze Internetverkehr des Admin Clients über den Tunnel geroutet. Beim RasPi ist alles etwas flexibler.
Habt ihr ein paar passende Links um Thema Routing? Es gibt gefühlte 37264565839263547300563525 Seiten dazu.

Viele Grüße
steinche


Top
Offline Profile  
Reply with quote  
 Post subject: Re: Kniffliges Routing
PostPosted: 25.09.2014 17:04 
AES 256 bit
AES 256 bit

Joined: 27.11.2012 18:37
Posts: 272
Hi,
Quote:
Das funktioniert definitiv mit einer Fritz!Box.

..wenn Du Dir da soo sicher bist, dann frage ich mich echt, wieso Du das hier überhaupt postest.
Laut Deinem Netzplan müsste die Fritte dann VLAN´s machen, oder Du hast uns nicht alles verraten.
Versuchs doch mal bei http://www.administrator.de/, dürftest Du in Sachen Routing keinen Fehler machen und wenn´s nicht funktioniert, freuen die sich über jeden Freitags-Thread...;-)
Gruß orcape


Top
Offline Profile  
Reply with quote  
 Post subject: Re: Kniffliges Routing
PostPosted: 25.09.2014 18:24 
DES
DES

Joined: 14.09.2014 08:21
Posts: 6
orcape wrote:
Hi,
Quote:
Das funktioniert definitiv mit einer Fritz!Box.

..wenn Du Dir da soo sicher bist, dann frage ich mich echt, wieso Du das hier überhaupt postest.

Weil ich die Routingeinstellungen des QNAP nicht auslesen kann, vermutlich zu blöd.

Die Fritz!Boxen sind per VPN verbunden, die über ein AVM Tool konfiguriert wurden. Dieses Tools spuckt für jeden Fritz!Box eine Konfig-Datei aus.
Bei meinem Rechner ist die Fritz!Box das Gateway. Die regelt auch die Verbindungen zu den anderen Fritz!Boxen. Wenn ich als Client über openVPN meines QNAPs komme, habe ich eine Adresse aus dem Bereich 192.168.95.0/24. Bei den Clients ist der QNAP das Gateway, bei dem wiederum die Fritz!Box das Gateway ist.
In der Fritz!Box gibt es eine Einstellung IPv4 Routen. Dort habe ich als Gateway für 192.168.95.0/24 die IP des QNAP eingetragen. So routet die Fritte alle Anfragen an 192.168.95.0/24 an die IP des QNAP. Nun dachte ich mir, wie gesagt - da fehlt einfach das Hintergrundwissen - das müsste doch auch gehen, wenn ich auf einem RasPi openVPN laufen habe. Beim RasPi ist die Fritte als Gateway eingetragen und in der IPv4 Route der Fritte die IP des Raspi für den Adressbereich der Raspi VPNs

Quote:
Laut Deinem Netzplan müsste die Fritte dann VLAN´s machen, oder Du hast uns nicht alles verraten.

VLANs machen doch nur in einem Netzwerk sinn, um Geräte in Gruppen zu packen um z.B. Zugriffe zu koordinieren. Aber auch hier nur Halbwissen ;)
Quote:
Versuchs doch mal bei http://www.administrator.de/, dürftest Du in Sachen Routing keinen Fehler machen und wenn´s nicht funktioniert, freuen die sich über jeden Freitags-Thread...;-)
Gruß orcape

Ja ja, lass mich nur auflaufen :D

Viele Grüße
steinche


Last edited by steinche on 26.09.2014 19:09, edited 1 time in total.

Top
Offline Profile  
Reply with quote  
 Post subject: Re: Kniffliges Routing
PostPosted: 25.09.2014 19:11 
Profi
Profi

Joined: 23.10.2007 12:10
Posts: 2188
steinche wrote:
Das funktioniert definitiv mit einer Fritz!Box.

Viele Grüße
steinche


wo ist denn dann dein Probelm... dann ist doch alles gut,
AEG !
(ausschalten, einschalten, geht)

F.


Top
Offline Profile  
Reply with quote  
 Post subject: Re: Kniffliges Routing
PostPosted: 26.09.2014 19:09 
DES
DES

Joined: 14.09.2014 08:21
Posts: 6
dl5ym wrote:
wo ist denn dann dein Probelm... dann ist doch alles gut,
AEG !
(ausschalten, einschalten, geht)
F.

Eben nicht, da ich den OpenVPN Teil über den RasPi machen will und da klappt es eben nicht. Zudem will ich auch kapieren, warum es jetzt nicht geht - will ja nicht dumm sterben ;)

Viele Grüße
steinche


Top
Offline Profile  
Reply with quote  
 Post subject: Re: Kniffliges Routing
PostPosted: 27.09.2014 08:46 
AES 256 bit
AES 256 bit

Joined: 27.11.2012 18:37
Posts: 272
Hi,
wenn Dir hier einer sinnvoll helfen soll, dann gehört da auch etwas mehr Information dazu.
- Auf den 4 Fritten läuft OpenVPN als Client ???
http://www.xobztirf.de/selfsite.php?aktion=OpenVPN
- Zumindest ein VPN-Server läuft im Multiclientmodus ?
- Der Raspi hat 2 OpenVPN-Server laufen mit welchem IP Bereich ?
- Auf der Hauptfritte läuft das Routing für 2 VPN-Instanzen ab ?
- dort Portforwarding gemacht ?
- Port 123 als Tunnelport ??? "Network Time Protocol"
Dann hast Du fast alle Netze im 192.168..x.x Bereich, Du solltest wenigstens die Tunnel-Ip Bereiche in 10.x.x.x/172.16.x.x legen. Du blickst doch schon selbst nicht mehr durch, was LAN und was VPN ist und da sollen andere durchblicken ? ...eher schwierig.
@dl5ym hat geschrieben...
Quote:
3. dein Netzwerkplan ist keiner !

Das kann ich nur bestätigen, mehr Verwirrungs-Plan...;-)
Für so was gibt es funktionierende Software, die unter Umständen sogar noch kostenlos ist, dank GPL...;-)
Gruß orcape


Top
Offline Profile  
Reply with quote  
 Post subject: Re: Kniffliges Routing
PostPosted: 28.09.2014 17:51 
DES
DES

Joined: 14.09.2014 08:21
Posts: 6
orcape wrote:
Hi,
wenn Dir hier einer sinnvoll helfen soll, dann gehört da auch etwas mehr Information dazu.
- Auf den 4 Fritten läuft OpenVPN als Client ???

Nein, das AVM "interne" VPN siehe mein Post hier
Quote:
- Zumindest ein VPN-Server läuft im Multiclientmodus ?
- Der Raspi hat 2 OpenVPN-Server laufen mit welchem IP Bereich ?

Wenn ich den OpenVPN Server des QNAPs nutze, läuft fast alles. Aber da komme ich nicht an die Konfig, bzw. Routinginfos ran.
Quote:
- Auf der Hauptfritte läuft das Routing für 2 VPN-Instanzen ab ?
- dort Portforwarding gemacht ?
- Port 123 als Tunnelport ??? "Network Time Protocol"

Dir Fritten manchen eine LAN-LAN Kopplung untereinander, somit komme ich auf alle Geräte und alle Ports in den anderen Fritten-LANs und umgekehrt. So kann z.B meine Mutter auf meinem Netzwerkdrucker drucken und ich bei meinem Vater nach dem SAT Reciever sehen.
Quote:
Dann hast Du fast alle Netze im 192.168..x.x Bereich, Du solltest wenigstens die Tunnel-Ip Bereiche in 10.x.x.x/172.16.x.x legen. Du blickst doch schon selbst nicht mehr durch, was LAN und was VPN ist und da sollen andere durchblicken ? ...eher schwierig.

Hmm, für mich eigentlich ganz einfach. Alle Netzwerke der verschiedenen Fritz!Boxen liegen im Bereich 192.168.x.x Dabei gibt es zwei Ausnahmen, das sind die Bereiche 192.168.95.0/24 und 192.168.94.0/24. Das sind die OpenVPN Clientbereiche der beiden Instanzen auf dem RasPi. Für diese Adressbereiche ist in meiner Fritte jeweils eine IPv4 Route zur IP des RasPis eingetragen.
Quote:
@dl5ym hat geschrieben...
Quote:
3. dein Netzwerkplan ist keiner !

Das kann ich nur bestätigen, mehr Verwirrungs-Plan...;-)
Für so was gibt es funktionierende Software, die unter Umständen sogar noch kostenlos ist, dank GPL...;-)
Gruß orcape

Hast Du zufällig einen Link zu einem Programm, mit dem ich es Euch verständlicher darstellen kann?!

Viele Grüße
steinche


Top
Offline Profile  
Reply with quote  
 Post subject: Re: Kniffliges Routing
PostPosted: 29.09.2014 19:36 
Profi
Profi

Joined: 23.10.2007 12:10
Posts: 2188
steinche wrote:
Quote:
@dl5ym hat geschrieben...
Quote:
3. dein Netzwerkplan ist keiner !

Das kann ich nur bestätigen, mehr Verwirrungs-Plan...;-)
Für so was gibt es funktionierende Software, die unter Umständen sogar noch kostenlos ist, dank GPL...;-)
Gruß orcape

Hast Du zufällig einen Link zu einem Programm, mit dem ich es Euch verständlicher darstellen kann?!

Viele Grüße
steinche

das ist kein Softwareproblem sondern ein reines "Kopfproblem" des Zeichners!
man kann ein NETZ (hier gemeint: ein logisches Netz -> CDIR) als Wolke malöen, aber eben bloss ein Netz! Bei Routing machst du klugerweise für jedes Netz, in das du Routen musst eben eine eigene Wolke(ndarstellung).
Man stellt Netze dar, man stellt ggfs. auch (netz)Devices dar, aber Bezeichner für Plastikbüchsen und ähnliches sind da völlig falsch, es sei denn du machst einen (Steck)Aufbauplan für Dummies .

ansonsten:ich kann mir nicht vorstellen, dass das QNAP keinen Shellzugang haben kann (evtl. mit extra Software)
und per shell (und einem editor .- vi ??) kannst du alles handeln.
Alternativ eben QNAp wegwerfen und zyxel(NSA) kaufen . Da geht das , wenn auch mit externer Software... soll es auch openVPN geben, aber ich mag kein Storage, dass direkt via VPN erreichbar ist (Firewall dazwischen sollte schon sein).

Ich kenne die Fritzbox nixcht so genau, aber auch da müsstes du mindestens per Shell
die Startscripte ändern können, sonst täte ich die füe VPN-Lösungen nicht nehmen (es sei denn sie passen perfekt in meinen Netzplan)

F.
ps: vielleicht habe ich das Handicap, dass ich mit sowas auch Geld verdienen will/soll/muss/egal..
also -> Produktiver Betrieb, da sollte man sorgfältig planen, evtl. auch auf "Zuwachs", sonst drehst du dich schneller als ein Brummkreisel :)


Top
Offline Profile  
Reply with quote  
 Post subject: Re: Kniffliges Routing
PostPosted: 17.10.2014 19:49 
AES 256 bit
AES 256 bit

Joined: 27.11.2012 18:37
Posts: 272
Quote:
Hast Du zufällig einen Link zu einem Programm, mit dem ich es Euch verständlicher darstellen kann?!

Viele Grüße
steinche

http://www.networknotepad.com/index.shtml
http://dia-installer.de/index.html.de
.....z.B.........


Top
Offline Profile  
Reply with quote  
Display posts from previous:  Sort by  
Post new topic Reply to topic  [ 15 posts ]  Moderator: Moderators

All times are UTC


Who is online

Users browsing this forum: Bing [Bot], Google [Bot] and 12 guests


You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot post attachments in this forum

Search for:
Jump to:  
cron
Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group
Theme created StylerBB.net