Devices via VPN ins Lokale Netzwerk brücken

[Knogle]

Ich grüße euch liebe Community.

Aktuell habe ich einen OpenVPN Server am laufen, ganz normal über tun device, habe dafür config Scripts verwendet, und es läuft prima. Jedoch werde ich mich nun eine ganze Weile im Ausland im Urlaub befinden, und nehme meine Habe mit, umfasst meinen Laptop und ein VoIP Telefon.
Das VoIP Telefon möchte ich daher auch gerne vom Ausland aus mit deutscher Nummer betreiben, jedoch muss ich dafür irgendwie das bridgen mit OpenVPN hinkriegen, was wohl extrem knifflig zu sein scheint.

Das ganze soll etwa so aussehen: Oder wie ich es gezeichnet habe, etwa so.

https://i.imgur.com/Mf9zeqs.png

Dabei ist das VoIP Telefon per LAN mit einem OpenWRT Router verbunden, welcher widerum eine LAN-WLAN Bridge zu meinem Handy Hotspot herstellt, und von da aus verbindet sich das Handy als VPN client mit dem Server. Das ganze klappt bisher leider nur im NAT Mode.
Der OpenVPN Server rennt unter Debian 10, jedoch habe ich absolut keine Idee wie ich da anfangen soll, vorallem da ich mit Netzwerkkram und OpenVPN Konfiguration als auch mit den Zertifikaten keine Erfahrung habe.


Das ethernet-bridging tutorial habe ich weitesgehend von OpenVPN befolgt, und das sind die Ergebnisse.

Code: Alles auswählen

port 1194
proto udp
dev tap
user nobody
group nogroup
persist-key
keepalive 10 120
topology subnet
server-bridge 192.168.2.1 255.255.255.0 192.168.2.128 192.168.2.254
ifconfig-pool-persist ipp.txt
;push "dhcp-option DNS 1.0.0.1"
;push "dhcp-option DNS 1.1.1.1"
push "redirect-gateway def1"
dh none
ecdh-curve prime256v1
tls-crypt tls-crypt.key 0
crl-verify crl.pem
ca ca.crt
cert server_1nuWH2G8pXZSUkhp.crt
key server_1nuWH2G8pXZSUkhp.key
auth SHA256
cipher AES-128-GCM
ncp-ciphers AES-128-GCM
tls-server
tls-version-min 1.2
tls-cipher TLS-ECDHE-ECDSA-WITH-AES-128-GCM-SHA256
status /var/log/openvpn/status.log
verb 3

My client.conf

Code: Alles auswählen

client
proto udp
remote 192.168.2.25 1194
dev tun
resolv-retry infinite
nobind
persist-key
persist-tun
remote-cert-tls server
verify-x509-name server_1nuWH2G8pXZSUkhp name
auth SHA256
auth-nocache
cipher AES-128-GCM
tls-client
tls-version-min 1.2
tls-cipher TLS-ECDHE-ECDSA-WITH-AES-128-GCM-SHA256
setenv opt block-outside-dns # Prevent Windows 10 DNS leak
verb 3

My iptables -S

Code: Alles auswählen

-P INPUT ACCEPT
-P FORWARD ACCEPT
-P OUTPUT ACCEPT
-A INPUT -i enp0s3 -p udp -m udp --dport 1194 -j ACCEPT
-A INPUT -i tun0 -j ACCEPT
-A INPUT -i tap0 -j ACCEPT
-A INPUT -i br0 -j ACCEPT
-A FORWARD -i tun0 -o enp0s3 -j ACCEPT
-A FORWARD -i enp0s3 -o tun0 -j ACCEPT
-A FORWARD -i br0 -j ACCEPT

Das ganze klappt nicht so ganz, und führt eher dazu dass ich zwar Internetzugriff habe, aber in der Fritzbox wird mein PC irgendwie ohne IP oder sonst irgendwas angezeigt, als würde die Box damit irgendwie nicht klarkommen.
Würde mich freuen wenn jemand da weiter weiß.

[MSfree]

Das VoIP Telefon möchte ich daher auch gerne vom Ausland aus mit deutscher Nummer betreiben,

Das müßte auch durch ein geroutetes (tun) OpenVPN gehen.

Statt dich mit Bridging rumzuplagen, würde ich versuchen, VoiP durch das tun-Device zu schicken, ggfls. mit Portforwards und/oder NAT-Regeln via iptables.

jedoch muss ich dafür irgendwie das bridgen mit OpenVPN hinkriegen, was wohl extrem knifflig zu sein scheint.

Eigentlich ist die Bridge-Konfiguration sogar einfacher als die routed Konfiguration.

in der Fritzbox wird mein PC irgendwie ohne IP oder sonst irgendwas angezeigt

#
Was leicht erklärbar ist. OpenVPN vergibt selbst die IP-Adresse für den Client. Das geht nicht über das DHCP der Fritte, folglich kann die Fritte auch nichts anzegen.

[debianoli]

Ich grüße euch liebe Community.

Aktuell habe ich einen OpenVPN Server am laufen, ganz normal über tun device, habe dafür config Scripts verwendet, und es läuft prima. Jedoch werde ich mich nun eine ganze Weile im Ausland im Urlaub befinden, und nehme meine Habe mit, umfasst meinen Laptop und ein VoIP Telefon.
Das VoIP Telefon möchte ich daher auch gerne vom Ausland aus mit deutscher Nummer betreiben, jedoch muss ich dafür irgendwie das bridgen mit OpenVPN hinkriegen, was wohl extrem knifflig zu sein scheint.

Bekommst du von deinem Anbieter nicht die Zugangsdaten für VOIP? Dann müsste das doch überall auf der Welt funktionieren (=nomadische Nutzung). Oder unterbindet dein Anbieter das? Bei sipgate.de sollte das zB kein Problem sein.

[bluestar]

Bridging mit tun-Devices funktioniert schon mal nicht, du musst auf tap-Devices umstellen. Allerdings frage ich mich, warum du überhaupt Bridging machen möchtest und nicht einfach zwei Standorte mit Routing verbindest. Von deinem Auslands-Standort aus gesehen kannst du einfach deinen SIP-Anbieter routingtechnisch nach DE routen und hier ins Internet entlasssen.

[Knogle]

Oha, das ist eine gute Frage.
Mein Telefon ist ein Cisco SPA502G, und zu den Nummern: Von meinem Anbieter netcologne habe ich in der Fritzbox bei den Rufnummern eigentlich alle Daten, bis auf das Kennwort. Da sind nur Sternchen.

Habe nochmal dieses Script verwendet. https://github.com/angristan/openvpn-install und so sieht meine config nun aus:

Code: Alles auswählen

port 1194
proto udp6
dev tun
user nobody
group nogroup
persist-key
persist-tun
keepalive 10 120
topology subnet
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "dhcp-option DNS 1.0.0.1"
push "dhcp-option DNS 1.1.1.1"
push "redirect-gateway def1 bypass-dhcp"
server-ipv6 fd42:42:42:42::/112
tun-ipv6
push tun-ipv6
push "route-ipv6 2000::/3"
push "redirect-gateway ipv6"
compress lz4-v2
dh none
ecdh-curve prime256v1
tls-crypt tls-crypt.key 0
crl-verify crl.pem
ca ca.crt
cert server_SvMuc9xhzr1ktbQ9.crt
key server_SvMuc9xhzr1ktbQ9.key
auth SHA256
cipher AES-128-GCM
ncp-ciphers AES-128-GCM
tls-server
tls-version-min 1.2
tls-cipher TLS-ECDHE-ECDSA-WITH-AES-128-GCM-SHA256
status /var/log/openvpn/status.log
verb 3

Clientseitig habe ich noch den lokalen DNS server reingemacht, das klappt auch gut, und ist bspw. das aufrufen von "fritz.box" machbar.
Diese Adresse "fritz.box" habe ich auch in meinem Telefon angegeben, jedoch bleibt das Ding dann stehen bei "Checking DNS", das findet da wohl nix.
Oder stehe ich da wieder auf dem Schlauch? Kann ich denn meine Konfiguration in jetziger Form irgendwie gebrauchen, oder sollte ich lieber einem Tutorial nachgehen?
Von Routing und sowas habe ich leider auch keine Ahnung. Netzwerktechnik habe ich bis heute leider nie wirklich gebraucht

[heisenberg]

@Knogle: Erst Mal danke für diesen Beitrag mit Grafik und Details Deiner Situation/Konfiguration, der dadurch für mich leicht zu erfassen war! Da macht es mir Freude sich zu beteilligen!

Statt dich mit Bridging rumzuplagen, würde ich versuchen, VoiP durch das tun-Device zu schicken, ggfls. mit Portforwards und/oder NAT-Regeln via iptables.

Auch hier nochmal ein Kommentar dazu. Bridging hat wahrscheinlich ziehmlich stark negative Performanceauswirkungen auf Deine beiden Netzwerke, weil da diverse Pakete(Broadcasts) durch das VPN-Device auf die andere Seite getunnelt werden. D. h. Du ziehst Dir damit in Deine LANs eine Latenz von Internet + VPN rein. Gerade wenn Du da VoIP am laufen hast, könnte das ggf. Probleme bei der Sprachqualität verursachen.

Ich bekräftige die Empfehlung, dass auf Routing umzustellen. Dazu müsste natürlich in dem einen Netz der IP-Adressbereich umgestellt werden. 2 Netze mit gleichem IP-Bereich per Routing zu Verknüpfen ist nur mit Schmerzen(NAT) machbar. Langfristig viel angenehmer in der Verwaltung wäre vermutlich die Umstellung eines dieser Netze.

[bluestar]

Mein Telefon ist ein Cisco SPA502G, und zu den Nummern: Von meinem Anbieter netcologne habe ich in der Fritzbox bei den Rufnummern eigentlich alle Daten, bis auf

Ich würde mich gar nicht mit den Zugangsdaten von Netcologne in irgendeiner Form rumschlagen. Leg einfach in deiner Fritzbox ein SIP-Telefongerät für's LAN (https://service.avm.de/help/de/FRITZ-Bo ... ip-telefon) an und nutze die Zugangsdaten in deinem Cisco Telefon.

[Knogle]

Mein Telefon ist ein Cisco SPA502G, und zu den Nummern: Von meinem Anbieter netcologne habe ich in der Fritzbox bei den Rufnummern eigentlich alle Daten, bis auf

Ich würde mich gar nicht mit den Zugangsdaten von Netcologne in irgendeiner Form rumschlagen. Leg einfach in deiner Fritzbox ein SIP-Telefongerät für's LAN (https://service.avm.de/help/de/FRITZ-Bo ... ip-telefon) an und nutze die Zugangsdaten in deinem Cisco Telefon.

Ja genau, das habe ich gemacht, aber das ganze funktioniert ja nicht ausserhalb meines Netzwerks.

[bluestar]

Ja genau, das habe ich gemacht, aber das ganze funktioniert ja nicht ausserhalb meines Netzwerks.

Ich versuch dir mal zu skizzieren wie ich das machen würde mit Standort DE und Standort Other:

* Standort DE: 192.168.1.0/24
* Fritzbox 192.168.1.1
* VPN-Server DE: 192.168.1.2
* Route für LAN Standort Other: 192.168.2.0/24 via 192.168.1.2
* Cisco Tel: DHCP, Username + Pass aus Fritzbox und als SIP-Server 192.168.1.1

* Standort Other: 192.168.2.0/24
* openWRT: 192.168.2.1

Setup DE:
1) Du richtest in der Fritzbox DE die Route für LAN Standort Other ein: ExpertenModus, Netzwerk, Routing => 192.168.2.0 Subnetz: 255.255.255.0 Router: 192.168.1.2
2) Auf dem VPN Server DE richtest du OpenVPN oder ein anderes VPN im Point-To-Point Mode ein lokale VPN IP: 10.0.0.1/32, Remote: 10.0.0.2/32
3) auf dem VPN Server DE richtest du eine Route 192.168.2.0/24 via 10.0.0.2 ein
4) auf dem VPN Server DE aktivierst du IP-Forwarding

Setup Other:
1) Auf dem VPN Server/Router richtest du OpenVPN oder ein anderes VPN im Point-To-Point Mode ein, lokale IP: 10.0.0.2/32, Remote: 10.0.0.1/32
2) auf dem VPN Server Other richtest du eine Route 192.168.1.0/24 via 10.0.0.1 ein
3) auf dem VPN Server DE aktivierst du IP-Forwarding

Und schon bist du fertig ... achja und ich würde als VPN-Dienst Wireguard verwenden, das ist deutlich schneller als OpenVPN und auch einfacher zu konfigurieren.

Wireguard Standort DE:

Code: Alles auswählen

[Interface]
Address = 10.0.0.1/32
ListenPort = 4711
PrivateKey = xxxxx

[Peer]
PublicKey = yyyyy
AllowedIPs = 10.0.0.2/32, 192.168.2.0/24

Wireguard Standort Other:

Code: Alles auswählen

[Interface]
Address = 10.0.0.2/32
ListenPort = 4711
PrivateKey = xxxxx

[Peer]
PublicKey = yyyyy
AllowedIPs = 10.0.0.1/32, 192.168.1.0/24
Endpoint = my-fritzbox-dyndns-hostname.dyndns.org:4711
PersistentKeepalive = 30

Das Einrichten der Routen auf dem VPN Server DE und auf dem VPN Server Other entfällt, da wg-quick diese Routen automatisch konfiguriert.

[Knogle]

Vielen Dank für die umfangreiche Antwort.
Die Wireguard Variante werde ich aufjedenfall mal probieren, jedoch habe ich hier auch noch was zu OVPN gefunden.
Problem nur hier ist, dass ich das in dem Tutorial erwähnte "eth1" in dem Sinn garnicht habe, da der OVPN Server ja eine Maschine im LAN ist, und nicht der Router.
Gibt es außerdem Literatur zu Netzwerken und den ganzen Kram?
https://community.openvpn.net/openvpn/w ... AndRouting

Woher weiß ich dass mein VoIP Telefon IPv4 traffic hat, und keine anderen Protokolle? Weil zumindest laut dem Tutorial geht das mit dem Routing ja irgendwie nur mit IPv4 Kram.

[bluestar]

Vielen Dank für die umfangreiche Antwort.
Die Wireguard Variante werde ich aufjedenfall mal probieren, jedoch habe ich hier auch noch was zu OVPN gefunden.
Problem nur hier ist, dass ich das in dem Tutorial erwähnte "eth1" in dem Sinn garnicht habe, da der OVPN Server ja eine Maschine im LAN ist, und nicht der Router.
Gibt es außerdem Literatur zu Netzwerken und den ganzen Kram?
https://community.openvpn.net/openvpn/w ... AndRouting

Welches der Beispiele hast du dir den angesehen? Für dich passt der Abschnitt "Using routing and OpenVPN not running on the default gateway" https://community.openvpn.net/openvpn/w ... ultgateway

Woher weiß ich dass mein VoIP Telefon IPv4 traffic hat, und keine anderen Protokolle? Weil zumindest laut dem Tutorial geht das mit dem Routing ja irgendwie nur mit IPv4 Kram.

Hersteller fragen oder sich darüber ärgern, dass dieses Cisco Modell kein IPv6 kann und du daher in mehreren Setups extra noch IPv4 wegen Cisco Telefonen brauchst.

[debianoli]

Die absolut einfachste Variante wäre

• Man holt sich eine Prepaid-VOIP-Telefonnummer von Anbietern wie sipgate.de, easybell.de etc. Die erlauben nomadische Nutzung und geben die Zugangsdaten raus

• Dann richtet man in der heimischen Fritzbox eine Weiterleitung zu der Prepaid-VOIP-Telefonnummer ein

• Nun kommen alle Anrufe für die heimische Nummer beim VOIP-Telefon im Ausland an. Wenn man zurückruft, dann sehen die zwar eine andere Nummer, aber das sollte vermittelbar sein. Die Kosten für Prepaid-VOIP-Nummern sind recht fair

Als VOIP-Telefon nimmt man entweder ein Voip-Programm auf dem Debian-Rechner plus Headset oder eine App auf dem Android-Telefon.

Edit: netcologne ermöglicht wohl die nomadische Nutzung über eine App:

Kann mit der Comfort-Go-App auch über Mobilfunk, d.h. ohne WLAN telefoniert werden?

Ja, auch das Telefonieren ohne WLAN, über das Mobilfunk-Datenvolumen ist möglich. Bitte beachten Sie jedoch, dass einige Mobilfunkanbieter die VoIP-Nutzung unterbinden. Weitere Infos dazu entnehmen Sie bitte Ihrem Mobilfunkvertrag.

https://www.netcologne.de/privatkunden/ ... on-92300-3

Kann ich mit der Comfort Go App kostenlos aus dem Ausland nach Deutschland telefonieren?

Ja.
Mit der NetCologne Comfort Go App können Sie Ihren Festnetz-Tarif mit allen Optionen mobil nutzen.

und https://www.netcologne.de/privatkunden/ ... l?faq=1235

[MSfree]

Nun kommen alle Anrufe für die heimische Nummer beim VOIP-Telefon im Ausland an.

Solange das "Ausland" mitspielt. Ich Ländern wie China mit ihrer großen Firewall würde ich mich darauf nicht verlassen, aber da kann es auch sein, daß man VPN nicht nach hause aufbauen kann.

[Knogle]

Ich werde mich in Alto Horizonte aufhalten, in Brasilien, so ziemlich 200km von jeder Großstadt entfernt.
Da habe ich keine Ahnung wie es da klappt.
Danke für die Lösung mit den Anbieter, jedoch habe ich diese Variante hier extra gewählt da ich keine andauernden Kosten haben möchte, und auch etwas lernen will.
Weiterhin kann ich so vom PC aus meine geliebten öffentlich rechtlichen Sender schauen über das Internet, da ich Zuhause noch einen SAT to IP Receiver habe.

Wie kann ich feststellen wenn ich mich bspw. mit meinem Handy dann mal testweise verbinde, ob das mit dem Routing so klappt wie es soll?

[bluestar]

Wie kann ich feststellen wenn ich mich bspw. mit meinem Handy dann mal testweise verbinde, ob das mit dem Routing so klappt wie es soll?

Du kannst von Standort Other als auch von Standort DE Pings absetzen um das Routing zu testen.
1) Test am Standort Other, dort sollten folgende IPs pingbar sein:
- 10.0.0.1 - VPN Endpunkt de
- 192.168.1.2 - Router in DE
- 192.168.1.1 - Fritzbox in DE

2) Test am Standort DE, dort solltest du folgende IPs pingen können
- 10.0.0.2 - VPN Endpunkt Other
- 192.168.2.1- OpenWRT Router Standort Other
- 192.168.2.x (IP deines Cisco Telefons)

Je nachdem wie weit du mit deinen Ping-Tests kommst, kann man in die weitergehende Fehleranalyse gehen. Apropos ein ip route show in DE bzw. am Standort Other sollte auch die passenden Routen für die jeweiligen Remote-Netze zeigen.

[Knogle]

Vielen Dank an alle. Werde erstmal die ganzen Informationen sammeln, und dann ausprobieren.
Habe aber was interessantes im OpenWRT Interface gefunden, der erstellt direkt die ganzen Configs von sich aus, Problem ist, ich kann das nur Clientseitig machen, da auf dem Server ja kein OpenWRT ist.
Oder ich muss schauen dass ich auch die Serverconfig da erstelle, und mir die dann irgendwie via SSH ziehen kann auf meinem Server.

Hat dazu vielleicht jemand einen spontanen Tipp, wie ich fuer den Server der kein OpenWRT hat, auch so ein Template nehmen kann um damit meine Konfig einfach zu generieren?

[bluestar]

Hat dazu vielleicht jemand einen spontanen Tipp, wie ich fuer den Server der kein OpenWRT hat, auch so ein Template nehmen kann um damit meine Konfig einfach zu generieren?

Bei Bridging kann ich dir leider nicht weiterhelfen, falls du dein Setup auf Routing umbaust, bin ich wieder mit am Boot.

[Knogle]

Gerne auch Routing. Mir fehlt im Prinzip also nur die Serverside config.
Die Clientside konnte ich hier einfach erstellen. Nur Adresse eingeben, und Zertifikate importieren, fertig.

[TomL]

Aktuell habe ich einen OpenVPN Server am laufen, ganz normal über tun device, habe dafür config Scripts verwendet,

Ich würde auch auf routing und tun-Device setzen.

Das VoIP Telefon möchte ich daher auch gerne vom Ausland aus mit deutscher Nummer betreiben, jedoch muss ich dafür irgendwie das bridgen mit OpenVPN hinkriegen, was wohl extrem knifflig zu sein scheint.

Ja, ist es.

Dabei ist das VoIP Telefon per LAN mit einem OpenWRT Router verbunden, welcher widerum eine LAN-WLAN Bridge zu meinem Handy Hotspot herstellt, und von da aus verbindet sich das Handy als VPN client mit dem Server.

Das wird mit einem Standard-Android nicht funktionieren..... dazu müsste es gerootet sein. Selbst wenn das Android via Mobilfunk und VPN-Client-App eine Verbindung aufbauen würde, so würden Tethering-Clients am VPN des Handy vorbei ins Internet geroutet werden. Ich habe das gerade mal hier geprüft. VPN geht, Tethering geht, nur haben die WLAN-Clients des Handy-AP eben kein VPN.

Ich würde prüfen, ob sich dieser Ansatz realisieren lässt... zumindest wäre das mein erster Versuch. Und es spart die mehrfach geteilte Funkverbindung, die -was ich erwarte- vermutlich massiv die Performance reduzieren wird.

[Knogle]

Danke dir für das schicke Bild!
Das habe ich auch inzwischen so vor, habe daher OpenVPN auf meinem OpenWRT Gerät drauf, wäre wohl deutlich einfacher wenn ich in meinem Heimnetz auch ein entsprechendes Gerät gehabt hätte, dann hätte ich einfach die Templates übernehmen können.
Nun gut, ich habe momentan ein einfaches NAT Client script genommen, und im VPN Server einfach mal push "route 192.168xxx und so weiter eingetragen, problem ist momentan nur, dass der LAN traffic trotz bridge von LAN auf WLAN Radio irgendwie an dem VPN vorbei geht, ganz normal ins Mobilfunknetz. (Beachte, Handy diesmal nur als Hotspot, auf dem Router ist OVPN).

Wie genau kann ich mir die Unterschiede zwischen Routing und Bridgen nun vorstellen? Weil beides scheint ja hier irgendwie die gleiche Funktion zu bieten, ist im Grunde aber sehr unterschiedlich.

[TomL]

Wie genau kann ich mir die Unterschiede zwischen Routing und Bridgen nun vorstellen? Weil beides scheint ja hier irgendwie die gleiche Funktion zu bieten, ist im Grunde aber sehr unterschiedlich.

https://openvpn.net/faq/what-are-the-fu ... iguration/

Kurz gesagt wird ein via Bridge verbundener OpenVPN-Client integriertes Mitglied des entfernten Netzwerkes, mit einer regulären IP-Adresse aus diesem Netzwerk. Via Routing verbundene OpenVPN-Clients werkeln hingegen in einem eigenen Subnet, meistens irgendwas mit 10.8.0.0./16 (o.s.ä) und werden auf dem VPN-Server via NAT gehandhabt. In diesem Fall "verstecken" sich die VPN-Clients bei Aktionen im entfernten Netzwerk hinter der IP-Adresse des physischen NICs des VPN-Servers.

Funktionial hat das für uns Laien-Anwender keine große Auswirkung, welchen Typ man wählt... mir ist es völlig egal, ob ich genattet oder mit eigener LAN-IP auf meine IP-Cams schaue, ins lokale Postfach oder auf auf den Fileserver. Ganz allgemein würde ich sagen, dass Routing für mich mit diesen typischen On-The-Fly-Verbindungen besser geeignet ist. Hätte ich allerdings 2 permanent laufende stationäre Netzwerke persistent mit vollständiger Client-Integration zu verbinden, würde ich vermutlich Bridging wählen. Also mein Fazit: bei On-the-Fly-Connects = routing, bei persistenter Verbindung 2er stationärer Netze = bridging.

jm2c

[Knogle]

Danke dir Thomas.
Ich habe es nun etwas unkonventionell doch mal mit dem Bridgen probiert, undzwar mit dem Tutorial.
https://www.emaculation.com/doku.php/br ... rver_setup

Habe das auf Seite 4 oder 5 bei Google gefunden, aber da konnte ich jeden Befehl einfach Copy & Pasten, und es hat geklappt.
Musste jedoch von den Stretch Repos das alte Easy-RSA ziehen, weil es mit dem neuen nicht mehr so klappt.

Werde langfristig doch mal nach Routing schauen oder sowas, bzw. demnaechst, brauche aber die naechsten 4 Tage erstmal ein Setup das aufjedenfall klappt.
Die Fritte erkennt auch schon das Device, jedoch muss irgendwie noch der Traffic dann ueber VPN gehen. Folgender Hostname wurde von der Fritte angegeben " PC-AA-47-61-9A-D8-3A"

Muss ich da vielleicht noch was am Router selber einstellen, also dem "Ausland OpenWRT Router" damit das klappt? Bspw. muss ich das Subnetz anpassen statt 192.168.1.x auf 192.168.2.x ?

"Route Gateway habe ich in dem Tutorial so uebernommen, aber muss das die Server-IP sein im Netzwerk, oder die Router IP von dem Netzwerk, als Gateway?"
Andere anpingen kann ich aktuell auch noch nicht.

Also im Prinzip ist die Fragestellung nun, wie ich das 2. Netzwerk im Ausland genau anpassen muss, muss DHCP anbleiben oder wie schaut es aus?

Irgendwie alle 20 Minuten kommen irgendwelche komischen verschiedenenen neue MAC Adressen rein bei der Fritzbox, bekomme da immer eine E-Mail Benachrichtigung, jedoch ohne IPV4 Adresse.

Code: Alles auswählen

Sun Mar  8 22:05:48 2020 daemon.notice openvpn(client)[3280]: PUSH: Received control message: 'PUSH_REPLY,compress lz4-v2,route-gateway 192.168.2.100,ping 10,ping-restart 120,ifconfig 192.168.2.181 255.255.255.0,peer-id 0,cipher AES-256-GCM'
Sun Mar  8 22:05:48 2020 daemon.notice openvpn(client)[3280]: OPTIONS IMPORT: timers and/or timeouts modified
Sun Mar  8 22:05:48 2020 daemon.notice openvpn(client)[3280]: OPTIONS IMPORT: compression parms modified
Sun Mar  8 22:05:48 2020 daemon.notice openvpn(client)[3280]: OPTIONS IMPORT: --ifconfig/up options modified
Sun Mar  8 22:05:48 2020 daemon.notice openvpn(client)[3280]: OPTIONS IMPORT: route-related options modified
Sun Mar  8 22:05:48 2020 daemon.notice openvpn(client)[3280]: OPTIONS IMPORT: peer-id set
Sun Mar  8 22:05:48 2020 daemon.notice openvpn(client)[3280]: OPTIONS IMPORT: adjusting link_mtu to 1657
Sun Mar  8 22:05:48 2020 daemon.notice openvpn(client)[3280]: OPTIONS IMPORT: data channel crypto options modified
Sun Mar  8 22:05:48 2020 daemon.notice openvpn(client)[3280]: Outgoing Data Channel: Cipher 'AES-256-GCM' initialized with 256 bit key
Sun Mar  8 22:05:48 2020 daemon.notice openvpn(client)[3280]: Incoming Data Channel: Cipher 'AES-256-GCM' initialized with 256 bit key
Sun Mar  8 22:05:48 2020 daemon.notice openvpn(client)[3280]: TUN/TAP device tap0 opened
Sun Mar  8 22:05:48 2020 daemon.notice openvpn(client)[3280]: TUN/TAP TX queue length set to 100
Sun Mar  8 22:05:48 2020 daemon.notice openvpn(client)[3280]: /sbin/ifconfig tap0 192.168.2.181 netmask 255.255.255.0 mtu 1500 broadcast 192.168.2.255
Sun Mar  8 22:05:48 2020 daemon.warn openvpn(client)[3280]: WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
Sun Mar  8 22:05:48 2020 daemon.notice openvpn(client)[3280]: Initialization Sequence Completed

Das ist im Prinzip meine Config.

Code: Alles auswählen

port 1194
proto udp
dev tap0
ca /etc/openvpn/easy-rsa/keys/ca.crt
cert /etc/openvpn/easy-rsa/keys/server.crt
key /etc/openvpn/easy-rsa/keys/server.key
dh /etc/openvpn/easy-rsa/keys/dh2048.pem
remote-cert-tls client
server-bridge 192.168.2.100 255.255.255.0 192.168.2.181 192.168.2.190
client-to-client
keepalive 10 120
tls-auth /etc/openvpn/easy-rsa/keys/ta.key 0
cipher AES-256-GCM
compress lz4-v2
push "compress lz4-v2"
persist-key
persist-tun
status /var/log/openvpn-status.log
log-append /var/log/openvpn.log
verb 3

So mein OpenWRT Router wurde schonmal von der Fritte erkannt, mit IP.

Code: Alles auswählen

 	PC-192-168-2-181 	192.168.2.181 	4E:E9:23:B3:95:14 	LAN 1 

[Knogle]

Wie kann ich feststellen wenn ich mich bspw. mit meinem Handy dann mal testweise verbinde, ob das mit dem Routing so klappt wie es soll?

Du kannst von Standort Other als auch von Standort DE Pings absetzen um das Routing zu testen.
1) Test am Standort Other, dort sollten folgende IPs pingbar sein:
- 10.0.0.1 - VPN Endpunkt de
- 192.168.1.2 - Router in DE
- 192.168.1.1 - Fritzbox in DE

2) Test am Standort DE, dort solltest du folgende IPs pingen können
- 10.0.0.2 - VPN Endpunkt Other
- 192.168.2.1- OpenWRT Router Standort Other
- 192.168.2.x (IP deines Cisco Telefons)

Je nachdem wie weit du mit deinen Ping-Tests kommst, kann man in die weitergehende Fehleranalyse gehen. Apropos ein ip route show in DE bzw. am Standort Other sollte auch die passenden Routen für die jeweiligen Remote-Netze zeigen.

Die Performance war wirklich ziemlicher Schrott mit dem Bridging.
Habe mir daher nun ein bisschen Wireguard angeschaut, und das scheint ja echt easy zu sein.

Werde das jetzt probieren und berichten.

[TomL]

Die Performance war wirklich ziemlicher Schrott mit dem Bridging.
Habe mir daher nun ein bisschen Wireguard angeschaut, und das scheint ja echt easy zu sein.

Das war doch aber eigentlich ein Ergebnis mit vorheriger Ansage... oder? Ich vermute, dass auch Wireguard das nicht wirklich verbessern kann? Die Schwächen liegen meiner Meinung nach in den Mehrfach-Funkstrecken, die jede für sich die Performance brechen ... das war auch der Grund dafür, dass ich das nicht via Tethering machen würde, sondern wie UMTS-Stick und von dessen Host weiter mit Patchkabel.

Bin mal gespannt auf die Ergebnisse.....

[Knogle]

Die Performance war wirklich ziemlicher Schrott mit dem Bridging.
Habe mir daher nun ein bisschen Wireguard angeschaut, und das scheint ja echt easy zu sein.

Das war doch aber eigentlich ein Ergebnis mit vorheriger Ansage... oder? Ich vermute, dass auch Wireguard das nicht wirklich verbessern kann? Die Schwächen liegen meiner Meinung nach in den Mehrfach-Funkstrecken, die jede für sich die Performance brechen ... das war auch der Grund dafür, dass ich das nicht via Tethering machen würde, sondern wie UMTS-Stick und von dessen Host weiter mit Patchkabel.

Bin mal gespannt auf die Ergebnisse.....

Ich werde mal probieren ob ich mich ins WLAN vom Nachbarn mit meinem OpenWRT Device einklinken kann.
Mobil habe ich nach Hause einen Ping von ca. 600ms, via WLAN vom Nachbarn 95ms.

Ich denke das mit Wireguard ist die Methode via Routing (?) richtig?

Meine Configs schauen nun so aus, jedoch kann ich leider die jeweils andere Seite nicht anpingen.
Brauche ich weiterhin noch bestimmte iptable rules?

Netz in DE 192.168.2.0
Netz hier 192.168.1.0

Standort DE

Code: Alles auswählen

[Interface]
Address = 10.0.0.1/32
ListenPort = 5555
PrivateKey = Privater Key Standort DE

[Peer]
PublicKey = Public Key Standort Other
AllowedIPs = 10.0.0.2/32, 192.168.1.0/24

Wireguard Standort Other:

Code: Alles auswählen

[Interface]
Address = 10.0.0.2/32
ListenPort = 5555
PrivateKey = Privater Key Standort Other

[Peer]
PublicKey = Public Key Standort DE
AllowedIPs = 10.0.0.1/32, 192.168.2.0/24
Endpoint = tld-domain:5555
PersistentKeepalive = 30