Großes Vorhaben, OpenVPN, Gateway etc... Brauche Hilfe.

Heute ist Stammtischzeit:
Jeden Donnerstag 20:30 Uhr hier im Chat.
Wer Lust hat, kann sich gerne beteiligen. ;)
  • Hallo erstmal an die Community. Dies ist mein erster Post hier und ich habe direkt ein größeres Vorhaben und bin mir nicht sicher wie ich das ganze realisieren kann/soll. Deshalb brauche ich eure Hilfe.

    Die Zeichnung im Anhang soll der Verdeutlichung dienen, ich hoffe man kann etwas erkennen. :)

    Ich habe eine Fritz.Box zuhause, diese fungiert als Modem sowie Router und stellt auch das WLAN zur Verfügung. Jetzt möchte ich mir folgendes Setup einrichten.

    An der FritzBox (192.168.0.1) hängt ein 8-Port Switch an dem verschiedene Geräte hängen (XBOX, PC etc...)

    Ich habe ein VPS in den USA, auf diesem soll ein OpenVPN-Server laufen (sollte mit zahlreichen Anleitungen online ja kein Problem darstellen.)

    Jetzt kommt der RPi (192.168.0.2) ins Spiel, dieser soll auch per LAN an das Switch auf ihm läuft Debian. Jetzt möchte ich das dieser sich als OpenVPN Client mit der VPS in den USA verbindet und GLEICHZEITIG sozusagen als mein Router fungiert. D.h. DHCP bei der FritzBox aus. Wenn jetzt ein Gerät an das Switch gehängt wird oder eben per WLAN an die FritzBox soll der RPi alles erledigen und den gesamten Netzwerk-Traffic über die US-VPS leiten. DNS bei den Geräten sollte automatisch RPi(192.168.0.2) sein genauso wie das Gateway.

    Sobald man bei einem Gerät im Netzwerk aber das Gateway auf FritzBox(192.168.0.1) ändert sollte das auch noch gehen und der Traffic eben NICHT mehr über die USA laufen.

    Im Prinzip will ich zuhause 2 Gateways haben einmal den RPi der den Traffic aller Geräte automatisch über die OpenVPN-Verbindung über den US-VPS leitet und wenn gewünscht bei manueller Einstellung eben noch die normale Fritzbox.

    Das wäre soweit STEP 01, in STEP 02 soll es dann möglich sein das ich einen bestimmten Port bei mir Zuhause freigeben kann der dann eben auch über die US-VPS erreichbar ist. Beispiel:

    US-IP:8080 ---- leitet weiter an ---> XBOX_IM_HEIMNETZ:8080 (die Xbox nutzt den RPi also VPN-Gateway).

    Ist das ganze so überhaupt realisierbar !?

    Grüße und schonmal VIELEN DANKE für eure Hilfe!

    :)

    netzwerk3wy3n.jpg

  • Großes Vorhaben, OpenVPN, Gateway etc... Brauche Hilfe.? Schau mal ob du hier fündig wirst!

  • als leihe würde ich mal behaupten es ist alles soweit realisierbar... außer das mit den beiden gateways weiß ich nicht.

    in der hinsicht mit den gateways bin ich mir nicht sicher, vielleicht gibt es da eine art regel die man anweden kann "wenn .... dann pi gateway" oder halt die fritzbox.

    mit manueller eintragung des gateways am clienten würde es gehen.

    Einmal editiert, zuletzt von Denwo (6. Mai 2013 um 12:27)


  • Du hast die Lösung doch schon fast zusammen. Du installierst auf dem Pi noch einen dhcp und einen dns-Server. Der dhcp weist dann den Pi als DNS und Gateway zu. Wenn der dhcp im Router aus ist, bekommen auch die Clienten im WLan die IP vom Pi.

    So hatte ich das gedacht ja, aber wird dann 1. auch das gateway auf den pi automatisch gesetzt und 2. sobald die die openvpn clientverbindung vom pi zum US-VPS steht wird der traffic auch von den anderen geräten automatisch darüber geroutet ?

  • Das kannst Du in der Konfiguration des dhcp festlegen, du könntest auch für jeden Rechner DNS und Gateway getrennt festlegen.
    Du solltest aber immer den Pi als default-Gateway eintragen und das Routing entsprechend anpassen. Dafür reicht es dem Pi beide Routen bekannt zu geben und der Route über die Fritzbox höhere Kosten (Metric) zuzuweisen. Dann wird die nur benutzt, wenn das VPN nicht verfügbar ist.


  • Das kannst Du in der Konfiguration des dhcp festlegen, du könntest auch für jeden Rechner DNS und Gateway getrennt festlegen.
    Du solltest aber immer den Pi als default-Gateway eintragen und das Routing entsprechend anpassen. Dafür reicht es dem Pi beide Routen bekannt zu geben und der Route über die Fritzbox höhere Kosten (Metric) zuzuweisen. Dann wird die nur benutzt, wenn das VPN nicht verfügbar ist.

    Genau das möchte ich nicht, irgendwas feste eintragen, wenn ich Besuch bekomme und denen schnell mein WLAN PW geben sollen die automatisch einfach über den US-VPS laufen.

    Sobald der nicht verfügbar ist, alles über die Fritzbox laufen zu lassen müsste doch auch gehen wenn ich der fritz die IP-Range xx.150-160 per dhcp erlaube und dem RPi ein paar zahlen tiefer oder nicht ?

  • Hi,
    klingt interessant. Ich denke, das sollte - zumindest irgendwie - auch realiserbar sein.
    Mir ist nur ein Punkt nicht klar:


    Code
    Sobald man bei einem Gerät im Netzwerk aber das Gateway auf FritzBox(192.168.0.[b]1[/b]) ändert sollte das auch noch gehen und der Traffic eben NICHT mehr über die USA laufen.

    Du kannst natürlich jederzeit das Gateway ändern. Nur: soll das dann Auswirkungen auf andere Geräte im Netz haben? Das dürfte schwierig werden.
    Wie sieht es mit der IP-Adresse des Endgeräts aus? Ändert die sich auch oder bleibt die?
    Wie ist es mit DNS? Ändert sich da was?
    Diese Informationen stellst Du ja per DHCP zur Verfügung. Das würde u.U. einen neue DHCP-Request von allen Geräten bedeuten und im Falle einer Umkehr (ausklinken vom US-Netzwerk) ebenfalls.
    Oder hab' ich da was falsch verstanden?

    ciao,
    -ds-


  • Genau das möchte ich nicht, irgendwas feste eintragen, wenn ich Besuch bekomme und denen schnell mein WLAN PW geben sollen die automatisch einfach über den US-VPS laufen.


    Wenn Du nichst fest eintragen willst wird

    Zitat

    aber wird dann 1. auch das gateway auf den pi automatisch gesetzt und 2. sobald die die openvpn clientverbindung vom pi zum US-VPS steht wird der traffic auch von den anderen geräten automatisch darüber geroutet


    nicht funktionieren.

    Zitat

    Sobald der nicht verfügbar ist, alles über die Fritzbox laufen zu lassen müsste doch auch gehen wenn ich der fritz die IP-Range xx.150-160 per dhcp erlaube und dem RPi ein paar zahlen tiefer oder nicht ?


    Und wo legst Du fest, wer von den beiden auf die Anfrage reagiert? Zwei DHCP-Server in einem Netz klappt nur mit sehr viel Aufwand.

  • Hi,

    mir fiel da gerade noch was ein:
    Es gibt doch diese professionellen Switches die man per speziellem Protokoll programmieren kann.
    Ich denke, mittels so einem Teil könnte das eher funktionieren, denn die könnten dann ein masquerading der IP-Adressen durchführen. Evtl. erreichst Du das auch durch einen "vorgeschalteten" Pi quasi als "intelligentes Gateway" oder "Verteiler".
    Wenn ich mir das so überlege, wirst damit evtl. am wenigsten Aufwand und damit die kleinste Anzahl Fehlerquellen haben.
    Aber zu dem Thema muss ich leider passen, da brauchst Du Input von einem Netzwerk-Admin eines wirklich großen Netzwerks.

    cu,
    -ds-

  • Das soll natürlich nur bei dem einen dann so sein und nicht auf andere übergreifen.

    Das mit der Änderung der IP Adresse ist ne gute frage....

    Ich werde heute Abend anfangen das zu basteln und vorerst einmal OHNE portfowarding und dhcp... sozusagen werden einfach mit einem client dem ich fest als gateway den rpi eintrage testen. Wenn das Thema für euch itneressant klingt werde ich euch dann auf dem laufenden halten. Wahrscheinlich werden sowieso noch eine Fragen kommen :D

    Einmal editiert, zuletzt von jagabongo (6. Mai 2013 um 14:15)

  • Was sollten solche Switches hier können, was der Pi nicht kann?
    Das Problem sind auch keine IP-Adressen die maskiert werden müssten, die kann er so zuweisen wie er sie braucht. Den Rest kann man über passende Routen machen.
    Ich hab nur noch nicht ganz verstanden, wer jetzt wann auf das vpn oder die Fritzbox zugreifen soll.

    Zitat

    Aber zu dem Thema muss ich leider passen, da brauchst Du Input von einem Netzwerk-Admin eines wirklich großen Netzwerks.


    Hab ich irgendwann mal gemacht ...


  • Was sollten solche Switches hier können, was der Pi nicht kann?
    Das Problem sind auch keine IP-Adressen die maskiert werden müssten, die kann er so zuweisen wie er sie braucht. Den Rest kann man über passende Routen machen.
    Ich hab nur noch nicht ganz verstanden, wer jetzt wann auf das vpn oder die Fritzbox zugreifen soll.


    Hab ich irgendwann mal gemacht ...

    Hi,
    vielleicht habe ich das auch noch nicht ganz kapiert, aber ich sehe hier u.U. einen Höllenaufwand mit einem ganzen Sack Seiteneffekt.
    Ich denke, dass die Lösung nur sein kann, möglichst wenige Änderungen/Anpassungen in/an den lokalen Geräten vorzunehmen.
    Und diese intelligenten Switches/Router die es da gibt, könnten das evtl. alles leisten, ohne großartige Veränderungen vorzunehmen. Ausserdem müsste es mit dem Teufel zugehen, wenn solch ein Teil nicht günstig über ebay & Co. zu erwerben wäre.
    Routen, Adressen, DNS zentral zu filtern und zu ändern ... dafür sind diese Teile doch da, oder seh ich das falsch?

    Spätestens wenn es daran geht, evtl. an der Fritzbox irgendwas ein-/umzustellen dürfte es imho Probleme geben, denn da sind die Möglichkeiten (irgendwas automatisiert zu machen) dann doch eher beschränkt.
    Aber vielleicht habe ich das Problem auch noch nicht ganz verstanden ...

    grüssle,
    -ds-

  • Es geht hier nur darum den Rechner den passenden Ausgang aus dem Netz zuzuweisen, ein ganz normales Routingproblem.
    Weil man auf dem AVM-Router wenig einstellen kann macht man das alles auf dem Pi.

    Und ganz nebenbei, wer das da nicht hinbekommt braucht sich keine Cisco/Alcatel/Enterrasys/sonstige Switches/Router ansehen.

  • Die Clienten bekommen als Default Gateway die IP des PI.
    Der PI muß eine Route für den VPN Server haben welche auf die Fritzbox zeigt.
    Dann das Default Gateway des PI auf das tun0 legen.
    Einen zweiten Eintrag Def. Gateway auf die Fritzbox mit höherer Metric.

    Problem ist das wenn du das Def. Gateway des PI auf das Tunnel Interface legst er den Tunnel nicht aufbauen kann.
    Dafür die explizite Route für den VPN Server auf die Fritzbox.

    Wenn die Clienten jetzt ins Netz wollen geht alles über den PI und das VPN.
    Ist das VPN (tun0) down zeiht die höhere Metric der zweiten Default Route.
    Die Clienten gehen über den PI zur Fritzbox.

    Ganz einfach,
    Der Witz ist die Statische Route für den VPN Server.
    In die /etc/networking/interfaces bei ETH0 einen Eintrag machen :
    up route add -net IP-DES-VPNSERVER netmask 255.255.255.255 gw IP-DER-FRITZBOX

    Offizieller Schmier und Schmutzfink des Forum.
    Warum einfach wenn's auch schwer geht ?

    Kein Support per PN !
    Fragen bitte hier im Forum stellen. So hat jeder etwas davon.

    Einmal editiert, zuletzt von Der_Imperator (6. Mai 2013 um 14:59)


  • Es geht hier nur darum den Rechner den passenden Ausgang aus dem Netz zuzuweisen, ein ganz normales Routingproblem.
    Weil man auf dem AVM-Router wenig einstellen kann macht man das alles auf dem Pi.

    Und ganz nebenbei, wer das da nicht hinbekommt braucht sich keine Cisco/Alcatel/Enterrasys/sonstige Switches/Router ansehen.

    Hmm ...
    wenn es so trivial ist, dann täte es imho doch auch ein stinknormals subnet mit gateway pi ...

    // Edit
    der dann, falls sie nicht steht, die VPN-Verbindung aufbaut
    //

    Wie gesagt - ich glaube ich hab das noch nicht kapiert,
    mea culpa

    -ds-


  • Und das klappt auch wenn bei den Clients nichts fest eingetragen ist, sondern sie sich alles per DHCP am pi abholen !?

  • Und das klappt auch wenn bei den Clients nichts fest eingetragen ist, sondern sie sich alles per DHCP am pi abholen !?

    Was ist denn bei den Clienten eingetragen ?
    Da muß der PI als Default Gateway rein.
    Den Clienten ist mal Schnuppe was dahinter passiert.
    Alles was nicht geswitched wird landet beim PI.
    Der Routet das dann weiter, je nach Metric und Verfügbarkeit über tun0 oder eth0
    Dein PI wird zum Router.



    Ja, weil die Änderungen auf dem Pi passieren und am Client nichts geändert werden muß. Das ist die Lösung die ich in Posting 5 beschrieben hab.

    Sorry, deinen Post hab ich wohl überlesen, aber genau so ist das.
    Klappt aber nur mit der statischen Route auf den VPN Server.

    Offizieller Schmier und Schmutzfink des Forum.
    Warum einfach wenn's auch schwer geht ?

    Kein Support per PN !
    Fragen bitte hier im Forum stellen. So hat jeder etwas davon.

    Einmal editiert, zuletzt von Der_Imperator (6. Mai 2013 um 15:13)

  • Okay klingt echt gut :D Nur leider habe ich keinen Plan wie ich anfangen soll :D Für das Board hier gibts nicht zufällig ein IRC Chat in dem du heute Abend zufällig online sein wirst ? :D

Jetzt mitmachen!

Du hast noch kein Benutzerkonto auf unserer Seite? Registriere dich kostenlos und nimm an unserer Community teil!