ElabNET Technik Forum

Einleitung

VPN bezeichnet ein virtuelles privates Kommunikationsnetz. Vereinfacht gesagt ermötlicht ein VPN den Zugriff auf ein anderes Netz oder teilnehmer davon.

1. DDNS oder statische IP
   Um ein VPN einzurichten ist es Notwendig, das eurem entfernten Endgerät jederzeit die IP eures Heimrouters bekannt ist um ihn zu erreichen. Dies kann entweder dadurch erreicht werden, dass ihr eine feste IP habt, oder durch das sogenannte DDNS (dynamic domain name service). Vereinfacht gesagt sorgt DDNS dafür, das einem DNS-Server im Internet jederzeit die IP eures Routers bekannt ist und das Endgerät diesen erreichen kann. Für DDNS gibt es zahllose Lösungen und Anbieter. anbei zwei Beispiele
   
   • DDNS über MyFRITZ
     
     Zunächst zu den Einstellungen an der Fritzbox. In meinem Fall handelt es sich um eine Fritzbox 7560. Wenn man über keine statische IP verfügt, kann man problemlos ein Myfritzkonto als Dyndns alternative benutzen.
     Als erstes muss man sich auf das Webinterface der Fritz!Box unter http://fritz.box einloggen.
     
     Zum MyFritz!-Eintrag gelangt man über das Menü:
     
     Internet -> MyFRITZ! -> MyFRITZ!-Konto -> Zugriff auf die FRITZ!Box aus dem Internet einrichten
     
     Daraufhin gibt man seine Email sowie das gewünschte Kennwort ein:
     
     Benutzername (eigene Email)
     
     FRITZ!Box-Internetkennwort (neues Passwort)
     
     Wer daraufhin die Meldung
     
     "Fehlermeldung: Es ist ein Fehler aufgetreten.
     Fehlerbeschreibung: Es ist bereits eine Port-Weiterleitung für FTP eingerichtet. Zugriff aus dem Internet ist daher nicht möglich.
     Ihre Eingaben wurden möglicherweise nicht übernommen. Bitte geben Sie Ihre Daten noch einmal ein. Sollte der Fehler erneut auftreten, wenden Sie sich bitte an den AVM-Support."
     
     erhält, muss unter Internet -> Freigaben nach der Portfriegabe für den Port 21 suchen und den entsprechenden Eintrag deaktivieren. Danach wieder zurück zu Internet -> MyFRITZ! -> MyFRITZ!-Konto -> Status aktualisieren.
     
     
   • DDNS über Docker Container
     
     Ein weiterere möglichkeit DDNS zu realisieren wenn man keine Fritzbox besitzt, oder Myfritz nicht nutzen will ist beispielsweise hier beschrieben.
     *Klick*
2. Einrichten der Portweiterleitung am Router
   
   • Einrichten einer Portweiterleitung
     
     Als nächstes ist es notwendig an eurem Router eine Portweiterleitung einzurichten. Der externe Port kann beliebig gewählt werden, der Port der an den Timberwolf weitergereicht wird sollte intern fix 1194 sein.
     Leider können wir keine Anleitung für jeden einzelnen Hersteller von Routern zu Verfügung stellen, aber mithilfe von einer Suchmaschine sollte man problemlos Beispiele für den eigenen Hersteller finden. Im weiteren Beispiel wurde 32200 verwendet
   • Einrichten der Portweiterleitung am Beispiel einer Fritzbox
     Zunächst in der Fritzbox auf Internet -> Freigaben -> Gerät für Freigaben und dann den Timberwolf auswählen
     Als nächstes auf neue Freigabe klicken und Protfreigabe wählen. Port an gerät ist fix 1194. Den externen Port kann man frei wählen, in diesem Beispiel ist es 32200
     
     
3. NAT oder Routing?
   • NAT
     Wird NAT verwendet, so Verarbeitet der Timberwolf die Anfragen eures externen Gerätes, und sendet sie ans Heimnetzwerk. Ebenso erkennt der Timberwolf die Antwort und reicht sie an euer Engerät weiter.
     Für die Geräte in eurem Heimnetzwerk sieht es also so aus, als würden die Kommunikation der Geräte im VPN von eurem Timberwolf kommen.
     In diesem Fall reicht es die Portweiterleitung einzurichten
   • Routing
     Wenn ihr Routing verwenden wollt, so muss in eurem Router noch eine Route hinterlegt werden. In diesem Fall bekommt jedes Gerät in eurem VPN Netzwerk eine eigene IP zugewiesen, und die Anfragen erscheinen in eurem Netzwerk von einer IP aus dem 10.102.45.XXX Bereich.
     Leider ist die Einrichtung von Routen nicht an jedem Router möglich.
     Eingetragen werden muss auf jeden Fall:
     
     mit IPv4-Netzwerk: 10.102.45.0
     Subnetmask: 255.255.255.0
     Gateway: IP des verwendeten Timberwolf ETH Ports
     
     
     • Besitzer einer Fritzbox können sich an folgende Anleitung halten
       Unter:
       Netzwerk -> Netzwekeinstellungen -> IPv4-Routen -> Neue UPv4-Route
       eine neue Route anlegen
       
       
       
       Das ganze sollte dann folgendermaßen aussehen:
       
       
4. VPN Konfiguration am Timberwolf
   
   Nun müssen wir uns auf unserem Timberwolf einloggen.
   
   Dann unter Einstellungen -> Remotezugriff -> Kunden VPN
   bei Externe Adresse euere DDNS Adresse oder feste IP eintragen, und unter Port den von euch verwendeten externen Port. Hier im Beispiel 32200.
   
   
   
   
   Als Netzwerkzugriff könnt ihr nun
   • Zugriff auf lokales Netzwerk über eth0 mit Routing verwendet". Hierfür muss die IPv4 Route in eurem Router erstellt worden sein
     
     oder
   • Zugriff auf lokales Netzwerk über eth0 mit NAT auswählen
   Nun noch auf Speichern klicken und den VPN-Dienst starten.
5. Anmeldeprofile erzeugen
   Um Anmeldeprofile zu erstellen muss nun einfach nur ein Username und ein optionales Password eingetragen werden. Durch hinzufügen wird das Profil erstellt.
   Am einfachsten ihr installiert Openvpn an eurem Endgerät und ladet das Profil am Endgerät direkt von eurem Wolf herunter wenn sich das Endgerät im Netz des Wolfes befindet.

Sauber Julian, sehr gut

und spitzenmäßig formatiert !!!

lg

Stefan

Frage: Müssen bei Verwendung der LAN-Schnittstelle im MacVLAN-Modus zusätzliche Einstellungen vorgenommen werden?

Konkret meine ich folgendes Verhalten:
MacVLAN ist deaktiviert

• Unter Kunden-VPN Netzwerkzugriff ist "Zugriff auf lokales Netzwerk über eth0 mit NAT" gewählt
  (Mir fällt gerade auf, dass Netzwerk im Dropdown-Menü überall ohne z geschrieben ist )

• alle notwendigen sonstigen Einstellungen vorgenommen --> VPN möglich

• alle Netzwerkteilnehmer können über VPN erreicht werden

MacVLAN ist aktiviert

• Kunden-VPN Netzwerkzugriff wie oben

• keine Veränderung der obigen Einstellungen vorgenommen --> VPN möglich

• die Netzwerkteilnehmer können nicht über VPN erreicht werden, lediglich der Zugriff auf den Wolf ist möglich

Die Release-Version hat dabei nie eine Rolle gespielt (bin aktuell bei V1.5RC11).
Reichen die Infos?

ich könnte mir vorstellen, dass hier eine kleine Anpassung gemacht werden muss, da bei aktiviertem MacVLAN der Ausgang ins lokale NEtzwerk nicht mehr eth0 sondern vermutlich br0 sein wird. Meine vermutung ist, dass dies in den automatiscvh angelegten Regeln bisher nicht berücksichtigt wird.

VG
Earl

Kann mir jmd. sagen, wo solch eine Anpassung vorgenommen werden müsste?

Wir prüfen das.

Stefan

@adimaster

Also grundsätzlich funktioniert das Kunden VPN inkl. NAT auch bei aktivierten MacVLAN.

Mir ist aber eine Unschönheit aufgefallen, in du vielleicht reingestolpert bist.
Schaltet man MacVLAN in den Netzwerkeinstellungen ein und hatte vorher schon das Kunden VPN an, funktioniert der NAT-Modus nicht mehr.
Um das Problem zu beheben, einfach in der Kunden-VPN-Seite auf Speichern klicken.
Neustart würde es wohl auch tun.

Viele Grüße,
Matthias

Matthias,
das VPN funktioniert prinzipiell einwandfrei. Das ist nicht das Problem!
(Hatte bereits Neustarts durchgeführt...)
Nur kann ich über VPN nicht mehr auf andere IP-Adressen zugreifen; einzig allein die Timberwolf-IP ist erreichbar.
Ohne MacVLAN kann ich mit denselben Einstellungen alle IP-Adressen erreichen.

Grüße
Adi

Guten Morgen.

Ich habe das jetzt auch mal bei mir getestet.

Mit aktiviertem MacVLAN kann ich mich anscheinend gar nicht über VPN mit dem TWS verbinden. Habe das VPN auch einmal gestoppt und wieder gestartet. Hat aber nichts an dem Verhalten geändert.

Dann MacVLAN ausgeschaltet, kurz gewartet und Verbindung getestet. Funktionierte zuhause sofort und auch heute kann ich aus dem Büro wieder eine Verbdindung aufbauen. Das funkionierte mit aktiviertem MacVLAN gestern nicht.

Noch zur Info: Mehr als eine Verbindung aufzubauen habe ich nicht getestet.

Gruß, Christian

Das MAC-VLAN kann man nicht einfach mal an /aus schalten, das hat so lange keine Wirkung bis dass der TWS vom DHCP eine neue IP-Adresse bekommen hat, also entweder der DHCP oder der TWS mal weg vom LAN war.

Schaltet man einfach nur um ohne eine neue IP-Adresse vom DHCP zu bekommen, kann dann natürlich einiges in der Netzwerkverwaltung durcheinander laufen.

Ich hatte es nicht probiert, aber nach dem ich MAC-VALAN aktiviert hatte, habe ich auch einfach neue VPN-Profile angelegt. Da ich relativ zeitgleich eh nen neues Handy am Start hatte, war das eh notwendig. Und da man ja eben nicht permanent oder zufällig zw. MAC-VLAN an/aus umschaltet ist das ja auch kein Problem wenn da die VPN-Profile neu angelegt werden sollten. Ob es so sein muss kann ich aber nicht sagen, da kenne ich mich nicht mit genügend aus.