LAN mit zwei Routern - VPN Setup

Es gibt 7 Antworten in diesem Thema, welches 2.053 mal aufgerufen wurde. Der letzte Beitrag () ist von DoPe.

    Hi,

    ich habe leider als Modem eine FB 7530 die weiterhin als Router agiert (Pass-through ist da soweit ich es weiss nicht möglich) und erst dahinter meine UDMP. D.h. doppeltes NAT und keine public ip am WAN der UDMP. Das war soweit kein Problem, weder aufgrund von Geschwindigleit noch wegen Konnektivitätsproblemen der Geräte hinter der UDMP. Beispielsweise klappt die Portfreigabe auf einem der Endgeräte im UDMP Lan einwandfrei durch die FB, sodas von extern Zugriff besteht.

    Jetzt würde ich gerne aber ein pivpn mit ins Netz aufnehmen. Der raspi des pivpn muss die public ip sehen, daher muss ich ihn in das FB Netz hängen. In der config von pivpn muss ich die DNS ip eingeben. Da ich pihole auf der UDMP laufen haben, soll pivpn natürlich sich auch von dort die DNS requests auflösen lassen.
    Die ip von pihole ist aber im UMDP Netz, für pivpn also nicht direkt sichtbar. Was muss ich tun, um das zu ändern??


    Nezwerkaufbau siehe screenshot

    Ich hatte ein DrayTek Modem um das dopplete NAT zu verhinndern, allerdings hat dies einen Defekt. Bevor ich wieder Geld ausgebe, würde ich sehr gerne wissen, ob mein Anliegen auch so realisierbar ist, oder ob ich da chancenlos bis.

    Hallo bucadox ,


    für Dein Problem gib es meiner Meinung nach nur 2 Lösungen:

    1. pivpn auch hinter die UDM (192.168.0.0/16) hängen und nicht hinter die FB (192.168.178.0/24); Achtung: AVM-LAN ist Teil des UniFi-LANs, Überschneidung
    2. statische Route und Firewall-Konfiguration

    Im ersten Fall musst Du "nur" das Problem lösen die öffentliche IP auch dem pivpn-Host bekannt zu machen. Da bist Du bestimmt nicht der Erste mit diesem Szenario. Mit z.B. https://wtfismyip.com/text (es gibt natürlich auch andere Möglichkeiten - auch zum selber hosten im Internet - das herauszubekommen) bekommst Du die öffentlichiche IP Deines Default-Gateways von jedem Client im LAN heraus.

    Im zweiten Fall musst Du für jedes UniFi-Netzwerk, welches vom AVM-LAN aus erreicht werden können soll (pi-hole und andere), eine statische Route in der FRITZ!Box eintragen. Bei geschickter Netzwerk-Verteilung in der UniFi-Welt könntest Du auch weniger Routen brauchen. Du musst nut dafür sorgen, dass das AVM-LAN (aktuell ja 192.168.178.0/24) nicht Teil der statischen Route wird. Wenn Du das AVM-LAN z.B. auf ein 24er-Netzwerk aus 172.16.0.0/12 oder gar 10.0.0.0/8 änderst, dann könntest Du mit einer Route alles "erschlagen".


    In beiden Fällen bist Du aber nicht davor gefeit, dass es beim VPN zu einer Überschneidung des Client-LANs (am entfernten Standort) mit einem bei Dir zu Hause kommt. In dem Fall müsstest Du den gesamten Traffic durch das VPN leiten; ein SPLIT-Tunnel könnte nicht funktionieren. Daher am Besten gleich beide Szenarien vorsehen. Habe ich mit meinem WireGuard auch gemacht: meist geht SPLIT-Tunnel. Wenn nicht kann ich das andere Profil für den gesamten Traffic wählen und gut ist's.


    So weit meine Ideen.

    Greift bei IP Überschneidung das "Alles in den Tunnel blasen" ? Vermutlich ja nicht, da ein Gerät Pakete die laut eigener IP/Subnetmaske im gleichen lokalen Netz liegen, niemals nicht an einen Gateway schickt - oder?


    razor Hatten wir die Idee mit den Routen etc. nicht schon mal und wegen dem Zwangs NAT am WAN Port der UDM verworfen?

    Zitat von DoPe

    Greift bei IP Überschneidung das "Alles in den Tunnel blasen" ? Vermutlich ja nicht, da ein Gerät Pakete die laut eigener IP/Subnetmaske im gleichen lokalen Netz liegen, niemals nicht an einen Gateway schickt - oder?

    Habe ich noch nicht probiert. Dazu muss ich mal ein VLAN zu Hause wie das Firmen-Gäste-Netz konfigurieren und es dann probieren. Das passiert aber frühestens nächstens Dienstag.

    Zitat von DoPe

    razor Hatten wir die Idee mit den Routen etc. nicht schon mal und wegen dem Zwangs NAT am WAN Port der UDM verworfen?

    Das muss dann aber in einem anderen Thema gewesen sein, welches ich nicht verfolgt habe.

    Besten Dank für die Anregungen.

    Option 1 war für mich ausgeschlossen, da ich annahm, das PiVPN damit nicht umgehen kann wenn es keinen direkten Zugriff auf die public ip hat (so war es auch irgendwo beschrieben). Ich habe es nun einfach mal probiert und siehe da - läuft.

    Zitat von razor

    In beiden Fällen bist Du aber nicht davor gefeit, dass es beim VPN zu einer Überschneidung des Client-LANs (am entfernten Standort) mit einem bei Dir zu Hause kommt

    Einleuchtend.


    Zitat von razor

    In dem Fall müsstest Du den gesamten Traffic durch das VPN leiten; ein SPLIT-Tunnel könnte nicht funktionieren. Daher am Besten gleich beide Szenarien vorsehen. Habe ich mit meinem WireGuard auch gemacht: meist geht SPLIT-Tunnel. Wenn nicht kann ich das andere Profil für den gesamten Traffic wählen und gut ist's.

    Okayyy....ich war bisher davon ausgegangen, dass defaultmäßig immer aller Traffic über den VPN läuft. Habe ja nirgends etwas anderes konfiguriert? Wie läuft das mit den SPLIT-Tunnel in Wiregaurd? Hast du einen Link?

    Beim Split-Tunnel musst Du die allowed-ips entsprechend konfigurieren. Die werden benutzt um zum einen nur Pakete von diesen IPs aus dem Tunnel zu lassen und zum anderen für die Routing Table, also welche Ziel IPs durch den Tunnel erreichbar sind.


    Wenn der komplette Traffic in den Tunnel soll hast Du da einen Wert der mit 0.0.0.0 anfängt bei allowed IPs.

    Der darf bei Splitt-Tunnel nicht dabei stehen. Dafür kommt dann z.B. 172.16.0.0/24 dazu (kommagetrennt) wenn die Pakete an die IPs von 172.16.0.1 bis 172.16.0.254 durch den Tunnel raus sollen und auch aus dem Tunnel raus. Die Netz- und/oder Hostadressen musst Du alle bei allowed IPs mit angeben für die Adressen die Du durch den Tunnel erreichen willst.


    Und natürlich die Firewallregeln checken, damit nicht irgendwo die Pakete oder Antwortpakete geblockt werden. Wenn man VLANs in LAN IN Regel mit der üblichen Quelle: alle priv. IP Netze und Ziel: alle priv. IP Netze blockiert, dann hat man meist schon einen "Störenfried".