VPN Konfiguration

Es gibt 26 Antworten in diesem Thema, welches 3.351 mal aufgerufen wurde. Der letzte Beitrag () ist von Networker.

    Ok, verstanden... für Handy, aber ich habe auf dem Router! eine OpenVPN Verbindung mit der UDM eingerichtet. Hier habe ich Zugriff auf alle Assets und Internet ... also mit meinem Rechner, der sich über den Router mit dem heimischen Netzwerk verbindet. 😬

    Du müsstest das Ganze mal sprachlich etwas präzisieren. "Assets" sind wahlweise Vermögenswerte oder auch Elemente innerhalb einer Datenbank. Was genau willst Du erreichen?

    Wenn ein Endgerät einen VPN-Tunnel öffnet, nennt sich dies "Client-To-Site" oder auch "Roadwarrior-Szenario". Ein VPN zwischen Routern nennt man "Site-To-Site", dies ist in aller Regel auch eine dauerhafte stehende Verbindung.


    Sobald ein Endgerät i, privaten Netzwerk A mit einem Endgerät bzw. Server im priaten Netzwerk B kommunizieren will und es zwischen den Netzwerken zwei oder mehr Router gibt, braucht es zwingend statische Routen. Dies hat auch nichts mit Wireguard zu tun, nicht mal mit VPN-Technik ansich, es sind ganz einfach Grundregeln beim Routing/Networking.


    Vielleicht fertigst Du mal eine Skizze (mit IP-Adressen und Beschriftung) von Deiner Umgebung, dann lässt sich Deine Thematik bestimmt besser nachvollziehen.

    Mit Assets meine ich alles in meinem Netzwerk. Also Clients und Server.

    Das Bild für mein Vorhaben ist einfach. Ich möchte mit einem externen Client über den OpenWRT Router Zugang zu meinem Netzwerk hinter der UDM erhalten.


    Wenn ich die VPN mit OpenVPN aufbaue, dann erreiche ich alle Server/Clients in den verschiedenen VLANS plus das Internet.

    Wenn ich die VPN mit WireGuard aufbaue, erreiche ich nicht die VLANS sondern nur das Internet.


    Ich habe verstanden, dass ich dafür Routen einreichten muss.

    Ich habe nicht verstanden, warum ich die Routen nur bei WireGuard anlegen muss.



    In der Konfigurationsdatei von Wireguard müssen immer noch (händisch) die erlaubten Subnetze eingetragen werden.


    Zitat von portboy

    Ich habe nicht verstanden, warum ich die Routen nur bei WireGuard anlegen muss.

    Diese musst Du *immer* einrichten, sobald es durch zwei Router hindurch geht. Es ist auch bei OpenVPN für ein Gerät aus VLAN1 hinter der UDM SE unmöglich, ohne Hilfestellung (statische Route) das Netz vor dem OpenWRT-Router zu erreichen. Die UDM SE weiß schließlich nichts von den Netzen, die ein anderer Router verwaltet.

    Diese Thematik ist wie gesagt komplett unabhängig von VPN.

    Die Skizze ist jetzt für Zugriff über die S2S via OpenVPN oder?


    Für wireguard kommt dein PC aus Richtung Internet zur UDM.


    Die allowe-ips aus der Client Konfig haben 2 Zwecke. Zum einen können diese beim Verbindungsaufbau zu automatisch gesetzten routen führen (in den Tunnel). Das kann man ggf. Auch statisch per Hand machen. Genauer Parametername weiß ich gerade nich aber auch was mit allowed ips und false oder true als wert.

    Zusätzlich verwirft wireguard die Pakete, die nicht aus den erlaubten IP Bereichen kommen.


    Letzteres sollte aber die firewall auf der anderen seite unterbinden, da das verschlüsseln und übertragen nicht so sinnig ist um dann verworfen zu werden.