Konfigurationsempfehlung fuer OpenVPN

20/12/2015 - 21:43 von Sebastian Suchanek | Report spam
Hallo NG!

Zunàchst zwei Dinge vorweg: Zum einen ist mir keine passendere
NG als diese hier eingefallen. Falls jemand dennoch meint, eine
andere NG sei passender, dann bitte entsprechend f'uppen -
danke. Zum anderen wird das folgende Posting etwas lànglich,
also jetzt schon mal danke fürs Durchhalten beim Lesen. ;-)

Und nun zur eigentlichen Problemstellung: Aktuell betreibe ich
zwei LANs an zwei ràumlich getrennten Standorten. Diese sehen
grob beschrieben so aus:

Standort A:
Hier befinden sich diverse PCs und sonstige Netzwerkgeràte wie
Drucker, IP-Kameras usw. Den Router via DSL zum Internet spielt
ein kleiner "Universal-Server" auf Debian-Basis (aktuell
Wheezy), auf dem dann auch der OpenVPN-Server laufen würde. Das
LAN ist als 10.0.0.0/8 konfiguriert, wobei ich bislang im
Hinblick auf spàtere Erweiterungen nur Adressen aus dem Bereich
10.1.0.0/16 vergeben habe.

Standort B:
Hier befinden sich aktuell nur ein unterforderter Raspberry Pi
und (m)ein Notebook. Den Zugang zum Internet stellt ein
Fritz!Box mit weitgehender out-of-the-box-Konfiguration zur
Verfügung. Ein zukünftige Erweiterung dieses Geràteparks ist
aber nicht ausgeschlossen.


Ziel soll es nun sein, beide Standorte "irgendwie" mit OpenVPN
zu verbinden - idealerweise so, dass sich das Ergebnis wie
ein einziges LAN "anfühlt". (Von der eher bescheidenen DSL-
Bandbreite mal abgesehen. ;-)) Was über diese VPN-Verbindung auf
jeden Fall funktionieren muss, sind diverse Standarddinge wie
Windows Netzwerkfreigaben, SMTP, IMAP, SSH und HTTP. Windows
Remotedesktop wàre nett; Netzwerkspiele o.à. sind zumindest
vorerst nicht geplant.

Da ich mich vor einiger Zeit schon einmal mit OpenVPN
auseinandergesetzt habe, kenne ich zumindest einige Grundlagen.
Unter anderem, dass OpenVPN je nach Konfiguration zwei
unterschiedliche Betriebsmodi kennt: Bridging-Modus mit (tap-
Device) und Routing-Modus (mit tun-Device). Eigentlich würde ich
für mein Vorhaben spontan zum Bridging-Modus greifen, allerdings
habe ich es von meinen früheren Experimenten so in Erinnerung
(IIRC...), dass man dafür unter Debian auf dem Router ein
Bridge-Device zwischen physikalischer LAN-Schnittstelle (z.B.
eth0) und dem tap-Device erstellen muss (und entsprechend auch
das Routing, die Konfigurationen der übrigen Dienste auf dem
Router) auf dieses Bridge-Device ausrichten muss - andererseits
dieses Bridge-Device nicht mehr richtig funktioniert, wenn der
OpenVPN-daemon (und damit das tap-Device) mal aussteigen sollte.
Ist das tatsàchlich so, oder tàuscht mich da meine Erinnerung?

Was den Standort B betrifft - der ja dann sozusagen Client der
OpenVPN-Verbindung wàre - gàbe es zwei Möglichkeiten: Zum einen
auf beiden Endgeràte separat die OpenVPN-Client-Software
installieren, was den Charme hàtte, dass ich mit dem Notebook
die VPN-Einwahl auch von unterwegs nutzen können. Allerdings
hàtte das den Nachteil, dass ich dann mindestens bei jedem
Neustart an Standort B (oder evtl. auch öfter) das VPN-Passwort
neu eingeben müsste (=unbequem). Zum anderen könnte man einen
"zentralen" OpenVPN-Client z.B. auf der Raspberry Pi einrichten.
Das wàre in der tàglichen Handhabung bequemer, allerdings könnte
es u.U. kniffelig werden in Verbindung mit der Fritz!Box ein
passendes Routing aufzusetzen.

Daher, unabhàngig von der vorherigen Frage etwas weiter oben:
Wie würdet Ihr in einem solchen Fall OpenVPN (und ggf. das
zugehörige Routing etc.) server- und clientseitig konfigurieren
und warum?


TIA,

Sebastian
 

Lesen sie die antworten

#1 Siegfried Schmidt
20/12/2015 - 23:22 | Warnen spam
Sebastian Suchanek schrieb:

Daher, unabhàngig von der vorherigen Frage etwas weiter oben:
Wie würdet Ihr in einem solchen Fall OpenVPN (und ggf. das
zugehörige Routing etc.) server- und clientseitig konfigurieren
und warum?



Routing-Modus mit preshared Keys, im Netz B den Pi als 2. Router hinter
der Fritzbox.

Dann klappt es auch mit übersichtlichen Filterregeln und es erfüllt deine
Anforderung eines "gemeinsamen Netzes".

Die zusàtzliche Einwahl-Installation auf dem Notebook ist unabhàngig
möglich.


Siegfried


Diese Nachricht kann zukunftsgerichtete Aussagen beinhalten, diese sind
mit Risiken und Ungewissheiten verbunden und basieren auf gegenwàrtigen
Erwartungen. Die tatsàchlichen Ereignisse können daher wesentlich von den
Darstellungen abweichen.

Ähnliche fragen