It is currently 22.11.2017 13:08


All times are UTC




Post new topic Reply to topic  [ 12 posts ] 
Author Message
 Post subject: 2 openVPN-client über Gatewayserver. LAN-Zugriff
PostPosted: 12.02.2015 17:24 
DES
DES

Joined: 12.02.2015 15:03
Posts: 5
Hallo.
Ich habe mich hier mal registriert, weil ich mit 30 Jahren DOS/WIN (Laien-) Erfahrung doch auch bisschen mit Linux hätte beschäftigen sollen...

Folgenden Situation:
Kleines Gartenbau-Unternehmen. letztes Jahr einen Filialbetrieb in 300 km Entfernung dazugepachtet.
Kommunikation mit Kommisionierungssystem war schwierig. Alles über Telefon, Fax, Email..
Deswegen dieses Jahr einen Clienten der Kommisionierungssoftware in den Filialbetrieb installieren. Anbindung via Terminalserver.
Ausserdem mehrere PC mit Zeiterfassungssoftware an beiden Standorten, Auswertungssoftware muss vor allen dingn am Hauptstandort, zur Eigenkontrolle der Saisonmitarbeiter aber auch am Filialstandort funktionieren (Austausch durch Im/Export von Db-Tabellen).

Es müss im Prinzip also fast alle Rechner auf fast alle anderen Rechner des jeweils anderen Netzwerks zugreifen können.

Verbindung per VPN geplant.
Fritzboxen lassen sich nicht koppeln, da am Hauptstandort "nur" LTE. Dank der unstabilen DynDNS-Auflösung war keine auch nur annähernd stabile Verbindung aufzubauen.

Also beim kommerziellen Anbieter einen VPN-Gatewayserver schalten lassen.
Hier wird auch eine stabile Verbindung aufgebaut.
Von den jeweiligen Client-Rechnern lässt sich das gesamte VPN-Netzwerk und natürlich das eigene private Netzwerk anpingen.

Jetzt müssen die Netzwerke eingebunden werden.
IP-Forwarding auf den OpenVPn-Clienten eingeschaltet.
In der Firewall die TAP-Devices aus der Überwachung genommen, die Ports freigeschaltet und sowohl die openVPN-GUI wie die .exe freigeschaltet.

Jetzt wollte ich die Routen einrichten und......blicke nicht mehr durch.
Zur Client-Client verbindung finde ich nichts im grossen weiten Internet. Zumindest nichts, das ich verstehe.
Ich habe soviel kapiert, daß in den Config-Dateien eine Route eingetragen und möglicherweise auch eine gepusht werden muss (zumindest auf Server-Konfigurationen),
Daß ich in den Fritzboxen eine statische Route einrichten muss aber welches Netz zu welchem Rechner (daß heisst nehme ich die Ips der privaten Netze, des VPN-Netzes oder was)?
Und dann lese ich noch was von CCD-Dateien.
Was steht da drin, nur Netz oder einzelne Hosts, wie wird die benamst, wo wird die gespeichert?

Fragen über Fragen, ich gebe zu daß das Routing für mich böhmische Dörfer sind.
Anliegend eine Prinzipskizze als .pdf (wird die angezeigt?)
als Excel-Sheet (vielleicht hat jemand gaaaanz viel Zeit und kann da was eintragen) und die anonymisierte Config-Datei des Gate-Providers. Bis auf die Loginnamen ist die für beide Clienten gleich.

Das Inet sollen beide Netze direkt, nicht durch das Gateway nutzen.
Es geht im Grunde darum das jeder Rechner auf jede Freigabe im eigenen wie im fremden Netz zugreifen kann.

Ich kann mich nur im Voraus für Eure Hilfe bedanken,

Bernd


Attachments:
File comment: Prinzipskizze in Excel und PDF
Clien2Client.rar [30.86 KiB]
Downloaded 75 times
File comment: Client-Config
vpn103xxx.ovpn [1.52 KiB]
Downloaded 57 times
Top
Offline Profile  
Reply with quote  
 Post subject: Re: 2 openVPN-client über Gatewayserver. LAN-Zugriff
PostPosted: 13.02.2015 08:31 
AES 256 bit
AES 256 bit

Joined: 27.11.2012 18:37
Posts: 272
Hi Bernd,
Quote:
Fragen über Fragen, ich gebe zu daß das Routing für mich böhmische Dörfer sind.

Das sind doch die besten Voraussetzungen um sich entweder ganz intensiv mit dem Thema zu befassen oder die Finger davon zu lassen und das jemanden machen zu lassen, der sich damit auskennt.. :wink:
Du hast bei Deinem Vorhaben gleich mehrere Unbekannte eingebaut.
Zum einen nutzt Du Fritz!Boxen, die im Urzustand kein OpenVPN können.
Dann erwähnst Du Portunity als Provider, das hat nichts mit einer Point-to-Point OpenVPN-Verbindung zu tun.
Dann ist bei Dir noch LTE im Spiel, was meines Wissens nach genau wie UMTS, Serverseitig Probleme bereiten könnte.
Dann fragst Du nach ccd, heißt Client-Config-Directory und wie der Name schon erahnen lässt, befindet sich darin ein File, welches zur Configuration des Clients dient.
Was erwartest Du von einem Forum ? ... Hilfe zur Selbsthilfe?
Gruß orcape


Top
Offline Profile  
Reply with quote  
 Post subject: Re: 2 openVPN-client über Gatewayserver. LAN-Zugriff
PostPosted: 13.02.2015 10:14 
DES
DES

Joined: 12.02.2015 15:03
Posts: 5
orcape wrote:
Hi Bernd,
Quote:
Fragen über Fragen, ich gebe zu daß das Routing für mich böhmische Dörfer sind.

Das sind doch die besten Voraussetzungen um sich entweder ganz intensiv mit dem Thema zu befassen oder die Finger davon zu lassen und das jemanden machen zu lassen, der sich damit auskennt.. :wink:


Sagen wir mal das Mittelding: Im Beispiel das Routing zu verstehen und einzurichten, ohne das ich Routing-Spezialist werde 8)

Quote:
Du hast bei Deinem Vorhaben gleich mehrere Unbekannte eingebaut.
Zum einen nutzt Du Fritz!Boxen, die im Urzustand kein OpenVPN können.
Dann erwähnst Du Portunity als Provider, das hat nichts mit einer Point-to-Point OpenVPN-Verbindung zu tun.
Dann ist bei Dir noch LTE im Spiel, was meines Wissens nach genau wie UMTS, Serverseitig Probleme bereiten könnte.


Ist das so? Die unbekannten 'Fritz!Box' und 'LTE bei Vodafone' wollte ich ja gerade damit rausbringen, das ich bei Portunity ein VPN-Gateway bestellt habe.
Und der Tunnel läuft tatsächlich stabil.

Quote:
Dann fragst Du nach ccd, heißt Client-Config-Directory und wie der Name schon erahnen lässt, befindet sich darin ein File, welches zur Configuration des Clients dient.


Im INet findet man jede Menge Hilfe ein Routing einzurichten. Leider nicht für meine Situation. Am Server bei Portunity kann ich ausser Passwort und Adressbereich nichts ändern. Dafür leitet der alles 1:1 durch.
Bei den Routing-Anleitungen im INet ist aber immer von iRoute und ifconfig die Rede die in eben jenem Verzeichniss auf dem Server abgelegt werden sollen.
Das kann ich aber nicht. s.o.
Andererseits hat Portunity einigermassen gute Kritiken, ich gehe also davon aus das die nicht nur einen unbrauchbaren festen Tunnel anbieten.

Ich habe schon soviel begriffen, daß vor jedem Gateway, sei es der NAT-Router (Fritz!Box), sei es das VPN-Gateway Routing-Regeln gesetzt werden müssen.
Aber wie mache ich daß, wenn ich nicht auf den VPN-Server selbst zugriff habe, sondern nur auf seine Clients?

Quote:
Was erwartest Du von einem Forum ? ... Hilfe zur Selbsthilfe?

Haargenau!
Und das mache ich auf Seiten der Hilfestellenden seit vielen Jahren, in Beruf wie in Hobby. In diesem Thema bin ich jetzt mal der Ahnungslose.

Quote:
Gruß orcape


Gruß zurück, Bernd


Top
Offline Profile  
Reply with quote  
 Post subject: Re: 2 openVPN-client über Gatewayserver. LAN-Zugriff
PostPosted: 13.02.2015 11:20 
Profi
Profi

Joined: 23.10.2007 12:10
Posts: 2189
bernie171 wrote:
Hallo.
Ich habe mich hier mal registriert, weil ich mit 30 Jahren DOS/WIN (Laien-) Erfahrung doch auch bisschen mit Linux hätte beschäftigen sollen...

Folgenden Situation:
Kleines Gartenbau-Unternehmen. letztes Jahr einen Filialbetrieb in 300 km Entfernung dazugepachtet.
Kommunikation mit Kommisionierungssystem war schwierig. Alles über Telefon, Fax, Email..
Deswegen dieses Jahr einen Clienten der Kommisionierungssoftware in den Filialbetrieb installieren. Anbindung via Terminalserver.
Ausserdem mehrere PC mit Zeiterfassungssoftware an beiden Standorten, Auswertungssoftware muss vor allen dingn am Hauptstandort, zur Eigenkontrolle der Saisonmitarbeiter aber auch am Filialstandort funktionieren (Austausch durch Im/Export von Db-Tabellen).

Es müss im Prinzip also fast alle Rechner auf fast alle anderen Rechner des jeweils anderen Netzwerks zugreifen können.
sehr schlecht
denke über einen Fileserver nach !
alles Server an einem Standort ( Clients auch im Terminalservermode zur Not)

Quote:
Verbindung per VPN geplant.
Fritzboxen lassen sich nicht koppeln, da am Hauptstandort "nur" LTE. Dank der unstabilen DynDNS-Auflösung war keine auch nur annähernd stabile Verbindung aufzubauen.
Also beim kommerziellen Anbieter einen VPN-Gatewayserver schalten lassen.
Hier wird auch eine stabile Verbindung aufgebaut.
Von den jeweiligen Client-Rechnern lässt sich das gesamte VPN-Netzwerk und natürlich das eigene private Netzwerk anpingen.
Gatewayserver woandershin :)
Ich hätte eher (beim Eigentümer oder so ..im privaten Keller) der Einwahlknoten gemacht, evtl. mit fester IP (aDSL).

Quote:


Jetzt müssen die Netzwerke eingebunden werden.
IP-Forwarding auf den OpenVPn-Clienten eingeschaltet.
Unsinn ..wieder raus
Quote:
In der Firewall die TAP-Devices aus der Überwachung genommen, die Ports freigeschaltet und sowohl die openVPN-GUI wie die .exe freigeschaltet.
nix Freischalten, ggfs. nur erlauben, dass sie rausdürfen (tun/tap)
openVPn muss ab Vista im Admin-Mode laufen
Quote:
Jetzt wollte ich die Routen einrichten und......blicke nicht mehr durch.
Zur Client-Client verbindung finde ich nichts im grossen weiten Internet. Zumindest nichts, das ich verstehe.
jetzt geht dein "Plan " in Richtung "Irrsinn" :)
Jeder mit jedem mag in kleinen Umgebungen gehen, ab zwiestellig wirds ungemütlich und schwierig zu warten

Quote:

Ich habe soviel kapiert, daß in den Config-Dateien eine Route eingetragen und möglicherweise auch eine gepusht werden muss (zumindest auf Server-Konfigurationen),
nicht wirklich
Quote:

Daß ich in den Fritzboxen eine statische Route einrichten muss aber welches Netz zu welchem Rechner (daß heisst nehme ich die Ips der privaten Netze, des VPN-Netzes oder was)?
die Fritzbox ist aussen vor, wenn überhaupt gibts Routensetting auf dem VPN-Server
Quote:

Und dann lese ich noch was von CCD-Dateien.
Was steht da drin, nur Netz oder einzelne Hosts, wie wird die benamst, wo wird die gespeichert?
damit bindest du Zertifikate an IPs
musst du aber zwingend auf dem Server einrichten
Quote:

Fragen über Fragen, ich gebe zu daß das Routing für mich böhmische Dörfer sind.
Anliegend eine Prinzipskizze als .pdf (wird die angezeigt?)
als Excel-Sheet (vielleicht hat jemand gaaaanz viel Zeit und kann da was eintragen) und die anonymisierte Config-Datei des Gate-Providers. Bis auf die Loginnamen ist die für beide Clienten gleich.

Das Inet sollen beide Netze direkt, nicht durch das Gateway nutzen.
Es geht im Grunde darum das jeder Rechner auf jede Freigabe im eigenen wie im fremden Netz zugreifen kann.
Ich kann mich nur im Voraus für Eure Hilfe bedanken,

Bernd

Wir (die Firma wo ich noch Geld beziehe als Angestellter) haben zwischenzeitlich 8 Standorte, Dienste die überall genutzt werden, liegen zentral - alternativ auf einem Lokalen Server, der bestimmte Verzeichnisse synct - geht auch,
Datenbanken werden zentral abgefragt (über Tunnel), desgleichen Mails.
Der Betrieb nach HGB muss eh alle Mails revisionssicher elektronisch archivieren.

Ich verwende dafür (noch) IPCop 1.4.x mit openVPN net-2-net Tunneln.
Sprich ... pro Standort ein lokales Netz , aDSL über "Plastikkiste ...-> das was der Provider liefert" -> dann IPCop als Firewall/http(s)-Proxy und VPN-Gate -> dann lokales Netz.
Wenn es einfach sein soll, sollte der Serverstandort der Haupteinwahlpunkt sein.
Mann kann auch durchrouten - es wird aber etwas langsam .
Ich habe/hatte alles von 2MBits aDSL über umts und LTE im Einsatz.
Alle Funkzugänge gehen nicht mit dynamischen IPs
Ansonsten wenig Ärger, wenn man gleichzeitig 2 unterschiedliche sysn-DNS-Lösungen verwendet :)
Und auch mobile Zugriffe sind machbar...

Für mich kommt hier noch die Frage der Ausfallsicherheit dazu (da ist dein Plan auch wieder eher na ja...)
Und manchmal geht es ein wenig auch noch um Netzwerksicherheit
Na ja... wir haben 2004 angefangen mit dem Kram...

Ansonsten auch PM geht und telefonisch babbeln über das Thema...
Sollte man erfahrungsgemäss sorgfältig planen - spart viel Ärger hinterher :)

F.


Top
Offline Profile  
Reply with quote  
 Post subject: Re: 2 openVPN-client über Gatewayserver. LAN-Zugriff
PostPosted: 13.02.2015 16:54 
AES 256 bit
AES 256 bit

Joined: 27.11.2012 18:37
Posts: 272
Hi Bernd,
wie das @dl5ym schon richtig durchgereicht hat, ist Dein Lösungsweg wohl nicht so optimal.
Die Lösung mit der gekauften OpenVPN-Verbindung ist sicher machbar, für eine produktive Nutzung aber nicht gerade als gute Lösung zu bezeichnen.
Wenn Du schon unbedingt die Fritten weiter nutzen willst...
Die laufen gefreetzt wohl auch mit OpenVPN.
Dir sollte aber klar sein, das hier eigentlich eine andere Lösung her müsste.
Wenn OpenVPN, dann gehört das zwingend auf die Router, denn die sind für´s routen gebaut. Eine Frickelei a´ la Windows-OpenVPN kann man mal zu Hause machen aber nicht unbedingt in einer Produktiv-Umgebung.
Ob nun IP-Cop oder eine pfSense auf einem ALIX, miniITX oder einem alten Rechner, bringt Dir stabile Verbindungen, Du hast für die Zukunft Erweiterungs-Möglichkeiten und der finanzielle Aufwand hält sich auch in Grenzen.
LTE auf OVPN-Clientseite dürfte auch kein Problem werden.
Gruß orcape


Top
Offline Profile  
Reply with quote  
 Post subject: Re: 2 openVPN-client über Gatewayserver. LAN-Zugriff
PostPosted: 13.02.2015 21:57 
DES
DES

Joined: 12.02.2015 15:03
Posts: 5
Ja, eine komplette Überarbeitung der IT-Struktur wäre sicherlich nicht verkehrt, ist aber wohl noch nicht durchsetzbar.
Mal zur Vorgeschichte des Systems:

Das meiste was passiert, passiert mit MS-Office Produkten.
Dazu kommt etwas Buchhaltungssoftware.
Das Netz hat sich also als Peer to Peer entwickelt.
Dazu kam dann irgendwann die Kommisionierungssoftware. Das ist wohl im Grunde eine falsche Bezeichnung.
Entwickelt wurde die von der Vermarktungsgenossenschaft und läuft in jeder zweiten deutschen Produktionsgärtnerei. Sie ist also so aufgebaut, daß sie auch für Kleinbetriebe mit insgesamt einem Rechner und nem Inet-Anschluss funktioniert. Und natürlich unter Win. Vom Prinzip eine MS-SQL Datenbank und Clientsoftware.

Im grossen und ganzen ist IT-Technologie also kein grosses Thema im Betrieb.
Ich selbst habe in den letzten Jahren noch auf Basis MS-Access, Front- und Backend und VBA eine Flächenbewirtschaftungs- und Planungssoftware geschrieben.

Im Hauptbetrieb läuft also alles im vorhanden Peer-to-Peer schnieke.

Jetzt ist vor anderthalb Jahren der Pachtbetrieb dabei gekommen. Das einzige was laufen MUSS ist ein Client der Kommisionierungssoftware. Das einzige, was wirklich zeitkritisch daran ist dass kein laufender Query zusammenbrechen sollte. Deswegen Anbindung über Terminalserver. Ob der Lieferschein oder die Packliste nun 2 Minuten später rauskommt ist zwar ärgerlich aber kein Beinbruch.

Diese Aufgabe ist eigentlich schon erfüllt. Über den Tunnel, das VPN Gate sind der Rechner mit der Datenbank und der Rechner mit dem einzurichtenden Client stabil verbunden, Netzwerkfreigaben sind sichtbar, Ping usw. stabil.

Die Hauptanforderung ist also schonmal erfüllt (Hoffe ich jedenfalls, installiert wird der Client nächste Woche)

Kommen wir jetzt zu den Goodies:
Wg. Mindestlohngesetz habe ich dann mal auch auf Access eine Stundenerfassung geschrieben. Der Bürokratische Aufwand für das Mindestlohngesetz ist gerade in so einer Branche wie unserer der wahre Irrsinn.

Die laufen auch als Insellösungen auf den jeweiligen LANs problemlos. Nur wäre es auch schön wenn die Daten auch auf den Arbeitsplatz 'Personalbürö' rübergefunkt werden können. Nicht ständig Online sondern einmal die Woche und bei Bearbeitung der Personalstammdaten.

Auch ein Client im Pachtbetrieb, der auf die Daten der Flächenbewirtschaftung, die im Hauptbetrieb liegen zugreifen kann wäre eine feine Sache. Auch nichts Zeitkritisches.

Und am Ende wäre es ganz nett, wenn man im einen Netzt einen Drucker im anderen Netz ansprechen könnte.

Am Ende wären im Hauptbetrieb also tatsächlich 3 bis 4, im Pachtbetrieb 2 Rechner in die ganze Geschichte involviert.

Die ganze Infrastruktur umzustellen ist sicherlich eine Zukunftsaufgabe, aber nichts was 3 Wochen vor Saisonstart Sinn macht.



So. Jetzt habe ich natürlich heute an dem ganzen System rumgefrickelt ein Paar Lösungen gefunden, aber imme noch viele Fragen.

Das die Netzadressen alle mit 192.168.X.X anfangen ist blöde, stelle ich vielleicht auch noch um, da aber keine mobilen Clients reinsteigen werden eher nur von der Optik verwirrend als technisch schwierig.

Auf den Fritzboxen habe ich statische Routen eingerichtet.

Ping-Anfragen von irgendwelchen Rechner im LAN1 in Richtung LAN2 bzw. VPN-LAN landen schonmal nicht mehr im Nirwana des Internets sondern via des openVPN-Clients im VPN - LAN. Vom anderen Ende natürlich ebenso.

Über eine Shell und dem route add Befehl auf dem Rechner mit dem openVPN-Clienten
konnte ich Routen einrichten die ping Anfragen aus dem NAT-LAN also eth0 auf den tun-Adapter rüberschubsten und so sind sie im VPN-LAN gelandet.
Pings mit der Adresse des VPN-LANs auf dem VPN-Gateway, hier 192.168.4.1
Pings mit der Adresse des anderen NAT-LANs auf dem entfernten Rechner des VPN-LANs. Also Ping auf Rechner 192.168.2.23 (LAN1) in Richtung 192.168.3.25 (LAN2)
hatte dann folgende Traceroute:
192.168.2.23 -> 192.168.2.1 (FritzBox) -> 192.168.2.60 (eth0 auf openVPN-Client-Rechner) -> 192.168.4.50 (tun0 auf openvpn-Client-Rechner in LAN1) -> 192.168.4.49 (tun0 auf openVPN-Client-Rechner in LAN2).
Hier blieb der Ping dann hängen, es wurde Freitag abend und ich komme zur Frage:
Der Route-Eintrag in der Client-Config der openVPN-Software, in welche Richtung wirkt der?
Heisst der nun "Wenn eine IP-Paket mit dieser Ziel-Adresse an meinem Rechner vorbeikommt, dann schnapp ich mir dieses Paket und stopfe es in den Tunnel" oder "Wenn ich im Tunnel ein IP-Paket mit dieser Zieladresse sehe, schnappe ich es mir und schubse es auf eth0 rüber"

Als ich die Client-Config bearbeitet habe, bin ich von der ersten Möglichkeit ausgegangen. Aber es funktioniert ja nicht.
Muss ich also den Route-Eintrag in der Client-Config ändern oder weiter am Routing im Windows dieses Rechners arbeiten.

(Und die Firewall ziehe ich, wenn dann alles läuft, soweit wie möglich wieder hoch. Versprochen :silence )

Dankbar für alle Tipps,

Bernd


Top
Offline Profile  
Reply with quote  
 Post subject: Re: 2 openVPN-client über Gatewayserver. LAN-Zugriff
PostPosted: 14.02.2015 08:10 
Profi
Profi

Joined: 23.10.2007 12:10
Posts: 2189
Hallo Bernd,
Ich fang mal hinten an :)

auf den Win-Kisten sollte keine Firewall arbeiten müssen . Zusätzlich gerne.

Kommisionierung... ja Fat Client + local ms-sql engine (die kostenlos Variante).
Ab 2 Maschinen besser einen SQL-Server.
Letztlich Fritzbox ... ich bin bei "fremdgewarteten System" (updates) immer vorsichtig.
Täte lieber ne Blechschachtel danebenstellen (IPCop, pfSense...), als Fileserver ..und hier kommts auf andere Dinge an... geht es los bei einem Banana-pi :).
Erfahrungsgemäss passiert da nicht viel im Filebereich (Grafiker seid ihr nicht).
Einzelmaschinen (meinetwegen Server) sind einfacher per Tunnel anzubinden, als ein ganzes Netz.
IPs sind (fast egal)..sollten nur unterschiedliche Netze sein, wenn du routen willst.
Du hast 3 private IP-Bereiche ( 10. 172.x ?, 192.168. )
Die Simpellösung (kann man ggfs. auch im laufenden Betrieb machen ) alle Rechner gehen als CVPN-Client auf einen Server und "reden" untereinander über die VPN-IPs, alle Maschinen, die kein VPN haben sind nicht vorhanden.
Du hast dafür tausend +1 Sicherheitsprobleme...
Die bessere Variante (warum sind nur alle so versessen auf Fitzboxen ??) - du benutzt die Plastikschachteln (Fitz..egal wie sonst noch) nur noch als "Modem" ...packst eine "Firewall" dahinter (die das Netz managt) und dir auch noch die Tunnel bereitstellen kann.
Win-Clients kann man (muss nicht) auch auf einen (kostenlosen) XEN-Server bringen und virtuell betreiben - ein Blech, ausreichend RAM, trägt mehrere Maschinen, auf die man via Terminalserver (oder VNC) zugreifen kann.
[bei uns sind es mobile Netbooks mit Linux, die auf einen WinXP, Win7 Rechner zugreifen übr RDP] Drucken ist da auch gelöst und ich kann überall drucken (entfernt und lokal)
Gedanke: ordentlich machen und ohne grosse Stillstandszeiten. Kann schon sein, dass du mal paar Strunden (am Wochenende) offline gehen musst.... wobei, wer LTE hat ist immer wieder mal für Stunden weg :) 2...3 Tage [und mehr] im Jahr offline ist meine Erfahrung. Da ist ein Umbautag mit drin :)
Solch Kram wie AZ-Erfassung -> alles was du an "zentralen" Daten erfasst gehört auf einen zentralen Server [lokale SMB-Linuxserver, die abends syncen]
Ich kenne gerade deine "Wachstums"problematik gut .
Deswegen peer-2-Peer nur, wenn du auf Dauer jegliche Veränderungen ausschliessen kannst :)
und dein Text hört sich nicht danach an....

F.


Top
Offline Profile  
Reply with quote  
 Post subject: Re: 2 openVPN-client über Gatewayserver. LAN-Zugriff
PostPosted: 14.02.2015 09:16 
DES
DES

Joined: 12.02.2015 15:03
Posts: 5
Ich bedanke mich nochmal ausdrücklich für deine Tips. Ich sehe, daß meine Vorstellung, wie die Infrastruktur in Zukunft aussehen muss nicht völlig daneben liegt.

ABER:

Ich muss über das nächste halbe Jahr kommen. Dann ist Saison. Jetzt ist nichts mehr an der Infrastruktur zu machen. Ich bin auch kein IT-Experte sondern Gärtner der zufällig am meisten Ahnung von IT in unserer Belegschaft hat.
Also nochmal die Bitte: Nicht wie ich jetzt die Infrastruktur zukunftsfähig mache (da können wir uns in einem halben Jahr gerne nochmal unterhalten) sondern wie ich das Routing ans laufen kriege!
Es sind auch keine ernsthaft Sicherheitsrelevanten Daten auf den System. Die FiBu ist aushäusig, der Bankrechner Stand-Alone, die Lohnbuchhaltung absolut transparent und sauber weil es das Mindestlohngesetz so will. Wenn einer die Daten/Betriebsgeheimnisse ausspähen will kann er das effektiver machen wenn er zu einem Besuch kommt und sich in den Gewächshäusern umguckt.

Aber über Hilfe und Tips zum Routing würde ich mich freuen.
Danke, Bernd


Top
Offline Profile  
Reply with quote  
 Post subject: Re: 2 openVPN-client über Gatewayserver. LAN-Zugriff
PostPosted: 14.02.2015 10:11 
AES 256 bit
AES 256 bit

Joined: 27.11.2012 18:37
Posts: 272
Hi Bernd,
also noch mal im Klartext, inzwischen ist wohl zu viel geredet worden.. :wink:
Quote:
Also beim kommerziellen Anbieter einen VPN-Gatewayserver schalten lassen.

- den Du von beiden Standorten erreichst.
- bist Du in der Lage, an der OpenVPN-Server Config von Portunity selbst etwas zu ändern ?
Wenn das zutrifft, wäre es mal an der Zeit, das Du die Config postest.
Gruß orcape


Top
Offline Profile  
Reply with quote  
 Post subject: Re: 2 openVPN-client über Gatewayserver. LAN-Zugriff
PostPosted: 14.02.2015 11:28 
Profi
Profi

Joined: 23.10.2007 12:10
Posts: 2189
Hallo Bernd,
*grins* (dick + breit).
Änderungen sind primär (erst mal finanziell) Technik anschaffen , Technik aufbauen, in Betrieb nehmen.
Der Rest ist dann Wege umschalten -> gut.
Ich weiss nicht, ob da vorher grosse Batelwackelexperimente lohnen (siehe erster Beitrag). Der spannende Teil ist 80% der Planung -> das sind Betriebsabläufe/betriebswirtschaftliche Planung, IT ist dann meist recht unaufwenig dazu (und eher ein technisches Problem - Präzisierung technischer Parameter).
Ansonsten - Sicherheit ist nicht Betrieb ausspähen :) ... unangenehemer ist es "wenn diene Rechner nicht mehr dir gehören", wenn du wegen Spam vom Mailverkehr abgeklemmt wirst oder solche Sachen, wenn falscher Traffic stattfindet (Übernahme) und deinen Bank dir nicht mehr traut wegen zu vieler Bestellungen ....
[kenne das.... wenn irgendwo wer Telefonverträge auf deinen Namen abschliesst, alles solch Kram -- nicht für alles brauchts Internet ]

Ich kenne auch den Satz ... ich muss erstmal über die nächsten Wochen (Monate) kommen...
mithin ... du baust "neu" und schaltest an einem Wochenende dann um .
Das ganze ordentlich gemacht - saubere lokale Netze - also brauchst du nur "die Zuleitungen umschalten" - fertig. Nichts an den lokalen Maschinen tun - die werden gleich (heute schon) sauber aufgebaut.

Letztlich -> Netze verbinden, WEege ins Internet festlegen/freischalten ... gut ist.
Der Rest müsste (ja ich weiss...müsste) jetzt schon sauber aufgebaut sein (werden).

Am längsten dürfte die Hardwarebeschaffung dauern :) Firewalls installieren/einrichten sind 2..3 Stunden, Umstecken sind 2+ Stunden ( 10 min Stecken, 2h evtl. Probleme beseitigen). Die Planung/Vorbereitung ist der schwierigste Teil ...
und wenn ich 700km weit weg von Zuhause gearbeitet habe, war es zu 98% auch nur zusammenstecken , IPs von Plan A auf Plan B ändern, reboot -> geht.

keine Ahnung, wo du steckst .. hier (Firma) mit Standort Berlin und Aussenstellen zwischen Alpen + kurz vor Dänemark.

F.

ps:
Plan A => Testnetz
Plan B => Einsatznetz


Top
Offline Profile  
Reply with quote  
 Post subject: Re: 2 openVPN-client über Gatewayserver. LAN-Zugriff
PostPosted: 14.02.2015 14:41 
DES
DES

Joined: 12.02.2015 15:03
Posts: 5
orcape wrote:
Hi Bernd,
also noch mal im Klartext, inzwischen ist wohl zu viel geredet worden.. :wink:
Quote:
Also beim kommerziellen Anbieter einen VPN-Gatewayserver schalten lassen.

- den Du von beiden Standorten erreichst.
- bist Du in der Lage, an der OpenVPN-Server Config von Portunity selbst etwas zu ändern ?
Wenn das zutrifft, wäre es mal an der Zeit, das Du die Config postest.
Gruß orcape



Hallo orcape

An der Server-Konfiguration bei Port-Unity kann nur über ein Web-Formular den Adressbereich , Verschlüsselungsart und alternative Name-Server einstellen. Ausserdem kann ich einen Key erzeugen lassen. Sonst habe ich keine weiteren Einstellmöglichkeiten.
Für die openVPN-Standorte werden dann von Portunity Certificate und eine Grund-Client-Config erstellt.

Das VPN-Gateway erreiche ich von beiden seiten. Genau.
Ein Ping von 192.168.2.60 (eth0 Adapter des Rechners mit openVPN-Client erreicht:
192.168.4.49 (der selbe Rechner aber tun0)
192.168.4.1 (Gateway des VPN-Tunnels)
192.168.7.255 (Nameserver des VPN-LANs, Netmask 255.255.252.0)
192.168.4.50 (tun0 Adapter am openVPN-Rechner des entfernten LANs)
192.168.3.23 (eth0 Adapter am openVPN-Rechner des entfernten LANs)
fail auf alle anderen IP-Adressen des entfernten LANs
von anderen Rechner im 192.168.2.0-Netzes Komme ich ins VPN-LAN 192.168.4.0, aber nicht ins entfernte LAN 192.168.3.0

Vice-versa gilt entsprechen das selbe


Ich vermute jetzt zwei Mögliche Fehler in der von mir ausgetüftelten Konfiguration:
1. Wie muss der 'Route' eintrag in der Client-Config aussehen? das jeweils eigene NAT- Netz oder das entfernte?
2. Fehler in der Windows-Routing-Tabelle.
Ich hatte als Gateway für ein Paket ins jeweils entfernte Netz die VPN-Lan-Adress des jeweils zu diesem Netz gehörenden openVPN-Clienten eingetragen. Je mehr ich lese sollte das aber wohl das Gateway des VPN-LANs sein. Aber woher weis der dann, wohin das Paket gehen soll? muss ich dann noch den Name-Server des VPN-Gateways konfigurieren? Auf den sehe ich aber keine Zugriffsmöglichkeit.


@dl5ym
Vielen Dank nochmal für deine erklärungen. Aber ich werde definitiv jetzt so kurz vor der Saison (und da gibt es keine Zeit für Bastelwochenenden) noch etwas an der Infrastruktur ändern noch würde der Rest der Betriebsleitung auch nur irgendeinen Funken Verständniss dafür haben. Entweder kriege ich das Routing jetzt noch ans laufen oder es wird halt nur die Kommisionierungssoftware installiert und der Rest per Filetransfer oder Email abgewickelt. Es gibt hier übrigens für jede EDV-Funktion Rückfallebenen bis hinunter zum Handlieferschein. Die Saison wird laufen. Es ist nur die Frage wie bequem.

Grüsse, Bernd


Top
Offline Profile  
Reply with quote  
 Post subject: Re: 2 openVPN-client über Gatewayserver. LAN-Zugriff
PostPosted: 14.02.2015 16:07 
AES 256 bit
AES 256 bit

Joined: 27.11.2012 18:37
Posts: 272
Quote:
von anderen Rechner im 192.168.2.0-Netzes Komme ich ins VPN-LAN 192.168.4.0, aber nicht ins entfernte LAN 192.168.3.0

Hast Du mal den Versuch gemacht, den remoten Tunnelendpunkt per ssh zu erreichen.
Wenn Du Dich dort einloggen kannst, solltest Du von da aus auch das remote Netz erreichen. Vorraussetzung ist natürlich, das auf Deinem remoten Client-PC auch ein ssh-Server läuft, was bei Winblows wohl nicht die Regel sein dürfte.
So erfährst Du zumindest, ob es am Routing liegt.
Wenn auf Deinen OVPN-Client-Rechnern das Routing aktiviert ist, sollte das eigentlich funktionieren. (Achtung Windows-Firewall)
Normalerweise heißt so ein Szenario Multiclientunnel und die Zugriffe von einem LAN zum anderen werden vom OpenVPN-Server geregelt.
Diesem sollten die Routen in Deine Netze bekannt sein und in der OpenVPN-ccd hat der auch seine Client-Spezifischen Einträge stehen.
Ich kann hier auch nur von meinen Erfahrungen mit OpenVPN auf pfSense, DD-WRT Routern und einzelnen Clients berichten.
Wenn Du unbedingt einen externen Server involvieren musst, währst Du wohl besser bedient, nicht so etwas wie Portunity zu nutzen, sondern Dir einen bei server4you.de etc. zu mieten.
Das sind Ubuntu-Server, bei denen Du nach Herzenslust am OpenVPN-Server schrauben kannst.
Solltest Du mit Routing-Einträgen auf Deinen Clients nicht klar kommen, hilft dann wohl letztlich nur der Anruf bei Portunity.
Gruß orcape


Top
Offline Profile  
Reply with quote  
Display posts from previous:  Sort by  
Post new topic Reply to topic  [ 12 posts ]  Moderator: Moderators

All times are UTC


Who is online

Users browsing this forum: Bing [Bot], Google [Bot] and 11 guests


You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot post attachments in this forum

Search for:
Jump to:  
Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group
Theme created StylerBB.net