VPN - Permanent mit Client

Hi Leute,

Ausgehend von einem anderen Thread UDM - P/P VPN mit DynDns hat sich eine neue Fragestellung ergeben, weswegen ich dafür einen neuen Thread aufmache.

Ausgehend von der Tatsache, dass ich in meinem neuen LWL-Netzwerk per se keine Verbindung von aussen herstellen kann (IPv6 mal aussen vorgelassen) hätte ich gerne einen permanenten Tunnel zu meinem Büro adressierbar über DynDNS.

Ich brauche also einen VPN-Client.

Der UDM hat sowas nicht eingebaut, soweit ich weiss (nur VPN-Server)

Die Überlegung ist jetzt einen RasPi einzusetzen, der den Tunnel permanent aufbaut, sodass ich wenigstens von meinem Büro aus in das "Haus"-Netzwerk sehen kann (Kameras, FHEM, usw.)

und eventuell die HTTP/HTTPS-Abfragen über das Büro an das Haus weiterleiten kann (dort habe ich einen RasPi mit NGINX als EIngangsserver).

Wie stalle ich das auf Netzwerk-Ebene an? (was ich am Pi machen muss und dafür brauche, muss ich auch noch nachforschen)

Aber was mache ich auf der Unifi-Ebene?

Ein neues Netzwerk/VLAN erstellen und auf einen Port der UDM routen und dahinter nur einen PI setzen der das macht? So als eine Art DMZ?

Oder gibt es eine andere Möglichkeit?

Vielleicht kann mir einer von Euch den Weg weisen.

Vielleicht wären noch die IP-Ranges wichtig:

Büro: 192.168.10.x

Haus: 192.168.1.x (zumindest jetzt noch in der Anfangs-Phase, bevor ich mein Netz aufteile)

Danke.

Hi EJHome,

Zitat von EJHome

"Ausgehend von der Tatsache, dass ich in meinem neuen LWL-Netzwerk per se keine Verbindung von aussen herstellen kann (IPv6 mal aussen vorgelassen)"

Das solltest Du uns erklären!

Ja das hat mich auch überrascht.

Ich bekomme vom LWL-Netz-Betreiber auf dem WAN der UDM eine IP, die dann im Service der UDM bei meinem DynDNS-Provider eingetragen wird. Das ist allerdings eine Netz-interne Adresse zb. 100.78.0.78

Meine End-IP bekomme ich dann von meinem Internet-Provider das wäre z.B. 89.187.168.170

Diese Provider-Id wird anscheinend nicht auf die Netz-interne Adresse zurück umgesetzt.

Die Ping's auf beide Adressen laufen ins leere, bzw. tracert zeigt in meinem Büro, das die Suche in einen Loop läuft.

Das ist aber anscheinend kein Phänomen meines LWL-Bereiches sondern scheint allgemein bei LWL zu bestehen:

https://www.ulrichivens.de/index.php/glasfaser/

Sicherheitstechnisch ist das ja nicht so schlecht, so kann kein China oder Russland-Scan an mein Netz kommen.

Blöd ist nur, wenn man selbst einen Server zur Verfügung stellen will, zumindest für den Privat-Gebrauch.

Oder so wie ich eine Site2Site-VPN aufbauen will.

Ich habe im Pi-Forum auch nach Vorschlägen gefragt und dabei sind 2 genannt worden:
Reverse SSH

OpenVPN

OpenVPN wäre nicht so schlecht, da mein LinkSys-VPN-Router intern schon einen OpenVPN-Server bereitstellt.

Und jetzt kommt das Schwarmwissen und die Hilfsbereitschaft der Gemeinde hier ins Spiel.

Wenn ich einen Pi mit OpenVPN aufsetze und der aktiv einen Tunnel zu meinem Büro betreibt, wie binde ich diesen in das Unifi-Netzwerk ein?
Einfach ins Main-LAN hängen?

Oder ein neues Netzwerk erstellen, den Pi alleine an einen Port der UDM hängen und dann Zugriffe über die Firewall steuern (obwohl das jetzt sowieso alle anderen Devices sind, weil ich noch keine Trennung gemacht habe).

Fürs erste wäre mir die einfachste Lösung recht, Feintunig mache ich später.

Warum ich verunsichert bin?
Bei der früheren Lösung wurde das allen innerhaln zweier gleich Router abgewickelt und ich habe am Ausgang auf dem LAN schon beide Adrersbereiche zur Verfügung gehabt, jetzt muss ich das ausserhalb des Routers aufsetzen und das ist neu für mich.

Hi tomtim

Zitat von tomtim

Controller nach außen verlagern (kleiner Ubuntu - Server ) und dann dort die Sites miteinander verbinden.
Feste IPs für beide Standorte besorgen (kein dyndns)
den Hauptrechner per VPN ins Netz bringen - also in der Firma -> nach Hause und umgekehrt - Verbindung bleibt ja dauerhaft bestehen bei Unifi

zu 1) Anscheinend gibt es bei der LWL-Anbindung kein außen

zu 2) Das zahlt sich nicht aus

zu 3) Das will ich mit dem aktiven Aufbau des Tunnels vom Haus aus realisieren.

Als 4. Möglichkeit sehe ich noch die Verwendung von IPv6 wie es in https://www.ulrichivens.de/index.php/glasfaser/ beschrieben ist. Das würde dann auch als Insellösung nur für das Haus funktionieren, wenn später die Firma nicht mehr existiert, und ich trotzdem von extern zugreifen will

Danke für die Vorschläge.

Zitat von tomtim

Wenn der Controller aussen ist wird deinen Netzen ja die set-inform Adresse vom Server mit fester IP gegeben. Dann können die Netze wohl verbunden werden.

Ich verstehe nur nicht, was Du unter außen verstehst.

Haus: Internet -> Provider -> LWL -> Router

Büro: Internet -> Provider -> Router

Ausserdem bin ich wahrscheinlich von falschen Voraussetzungen ausgegangen, ich dachte ein Tunnel wäre immer bidirektional.

Ich habe meinen OpenVPN-Zugriff zu meinem Büro-Router mal auf meiner Windows-Maschine getestet.

Verbindung klappt, Zugriff auf Devices von Haus zu Büro klappt.

Allerdings nicht die Strecke Büro-Haus.

Das ist also der Unterschied einer Sit2Site Verbindung und einer Client/Server-Verbindung.

So geht es also nicht.

Sorry, aber so ganz verstehe ich den Ansatz noch immer nicht.

Und ich weiss nicht ob ich erwähnt habe, dass ich auf der Büro-Seite nichts von Unifi habe und außerdem DynDNS.

Meine Konfiguration gegen einen OpenVPN-Server sähe so aus:

Allerdings kann ich keine fixe Remote (Büro?) Adresse angeben. Ich weiss zwar nicht, ob mein Privider switch't, aber es wäre möglich.

Und auch nicht was jetzt die lokale id ist.

Und die IpSec-Konfiguration sieht so aus:

und hier hier wüsste ich nicht, was ich als lokale WAN-Ip eingeben sollte.

LWL intern: wird nicht auflösbar sein

Provider extern: dynamisch

Es ist tatsächlich kompliziert in einem LWL-Netz.

Zumindest kommt es mir so vor.

Zitat von tomtim

Bei Site-To-Side musst du eben eine feste IP haben

OK, schade, dann fällt das aus.

Aber danke für die Erklärung

Zitat von EJHome

Jedoch müssen beide genannten IP's vom Internet erreichbar sein.

Und genau das ist das Problem, meine UDM bekommt eine IP, es ist aber nicht die IP, die im Internet zur Verfügung gestellt wird.

Also fällt ein direktes S2S aus.

Ich brauche eine Möglichkeit, einen Tunnel von einem Client aufzubauen, der bidirektional verwendet werden kann.

Aber das Wochenende ist vorbei und damit werden die Versuche erst nächstes Wochenende weitergehen.

In der Zwischenzeit werde ich wohl noch Recherche betreiben.

Zitat von EJHome

Das ist ein echtes Dilemma!

Kann der ISP nicht eine öffentliche IPv4 zu Verfügung stellen?

Kann ich noch nicht sagen, ist WE und auf mein Mail ist noch keine Antoert gekommen.

Zitat von grusim

Google einfach mal nach Dual Stack lite und VPN, da solltest du schnell fündig werden. Vielleicht passt ja eine der Lösungen zur UDM und ist bezahlbar ;-).

Danke für den Tip, werde ich machen.

Und auch auf andere Lösungen suchen.

Hi Leute,

Ich will mich wieder mal melden und an den Thread anschliessen.

Mein Provider hat mir eine öffentliche IP gegeben.

Jetzt will ich prüfen, ob es funktioniert, aber auf Ping gibt es keine Antwort,ich habe auf der DRM zwar eine Einstellung für Ping gefunden, wo ein Echo-Server eingetragen wird, aber ich weiss nicht ob das für das WLAN gilt.

Gibt es eine andere Einstellung, dass DRM auf einen Ping im WAN antwortet.

Und eine andere Frage:
Wenn ich mit HTTP auf diese Adresse zugreife, sollte eigentlich mein NGINX antworten, der in der HTTP-Weiterleitung als Standard definiert ist.

Aber muss ich noch ein Routing einstellen, dass WAN auf das LAN eine Portweiterleitung durchführt?

Ich habe voerest nur ein LAN, vielleicht später ein VLAN als DMZ, ist aber noch nicht notwendig, vorerst möchte ich nur mal reinkommen.

Zitat von EJHome

Hi!

Super, Du hast von Deinem ISP eine öffentliche IPv4 bekommen.

Das ist doch ein Erfolg.

Und was möchtest Du jetzt realisieren?

Die Antwort auf einen Ping ist ja wohl nicht Dein Ziel, oder?

Gruß!

Alles anzeigen

Wie ich schon geschrieben habe, zumindest einen Webserver. Was dann noch kommt, wird sich weisen